JP2006237892A - DoS ATTACK DETECTION METHOD, SYSTEM, AND PROGRAM - Google Patents

DoS ATTACK DETECTION METHOD, SYSTEM, AND PROGRAM Download PDF

Info

Publication number
JP2006237892A
JP2006237892A JP2005047888A JP2005047888A JP2006237892A JP 2006237892 A JP2006237892 A JP 2006237892A JP 2005047888 A JP2005047888 A JP 2005047888A JP 2005047888 A JP2005047888 A JP 2005047888A JP 2006237892 A JP2006237892 A JP 2006237892A
Authority
JP
Japan
Prior art keywords
dos attack
threshold
exceeds
signals
counted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005047888A
Other languages
Japanese (ja)
Other versions
JP4170301B2 (en
Inventor
Naohiro Terayama
尚宏 寺山
Sei Furukawa
聖 古川
Takashige Hayashi
隆茂 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
NTT Resonant Inc
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Resonant Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Resonant Inc filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005047888A priority Critical patent/JP4170301B2/en
Publication of JP2006237892A publication Critical patent/JP2006237892A/en
Application granted granted Critical
Publication of JP4170301B2 publication Critical patent/JP4170301B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To perform the DoS attack detection with higher precision by preventing the incorrect detection of the DoS attach in response to the specification of a service. <P>SOLUTION: A method of detecting the DoS attack includes a first measuring step of counting the number of signals received in first monitor periods, a first distinction step of distinguishing whether the number of the counted signals exceeds the first threshold or not, a second measuring step of counting the number of the signals of the predetermined content of processing out the signal received in the second monitor periods when the number of the counted signals exceeds the first threshold, a second distinction step of distinguishing whether the number of the signals of the predetermined content of processing which performs the above count when the number of the counted signals exceeds the first threshold, and a DoS attack distinction step of distinguishing from the DoS attack when the number of the signals of the predetermined content of processing which performs the counting exceeds the second threshold. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、DoS攻撃を検出する技術に関する。   The present invention relates to a technique for detecting a DoS attack.

不正なデータを送信してコンピュータ装置を使用不能に陥らせるDoS(Denial of Services)攻撃に対し、さまざまなDoS攻撃検出方法が提案されている。例えば、特許文献1では、単位時間当たりに受信したパケット数に基づいてDoS攻撃を検知する方法が記載されている。
特開2004−140524 Various DoS attack detection methods have been proposed for DoS (Denial of Services) attacks that send illegal data and make computer devices unusable. For example, Patent Document 1 describes a method for detecting a DoS attack based on the number of packets received per unit time.
JP 2004-140524 A

ところで、特定の端末から大量の信号(パケット、メッセージ、データなど)が送信される場合であっても、DoS攻撃に該当しない場合がある。具体的には、サービスの仕様上、端末が大量の信号を送信すること(例えば、多数の宛先端末に対する同報送信など)が許容される場合がある。このような場合、信号数に基づいてDoS攻撃を検出する方法(例えば、特許文献1)では、DoS攻撃に該当しない正規な信号の大量送信を、DoS攻撃と誤って認識する危険性がある。   By the way, even when a large amount of signals (packets, messages, data, etc.) are transmitted from a specific terminal, there are cases where the DoS attack does not apply. Specifically, in some service specifications, the terminal may be allowed to transmit a large amount of signals (for example, broadcast transmission to a large number of destination terminals). In such a case, in a method for detecting a DoS attack based on the number of signals (for example, Patent Document 1), there is a risk that a large number of legitimate signals that do not correspond to the DoS attack are erroneously recognized as a DoS attack.

また、特定の端末から送信される信号が少ない場合であっても、DoS攻撃に該当する場合がある。具体的には、サービスの仕様上、1つの信号の中に多数の処理内容(例えば、多数の宛先端末に対するデータ送信処理など)を設定することが許容される場合がある。このような信号については、信号数自体は少ない場合であっても、信号の中に含まれる処理内容によってはDoS攻撃に該当する場合がある。そのため、信号数に基づいてDoS攻撃を検出する方法では、このような信号に対するDoS攻撃の検出は困難である。   Moreover, even when there are few signals transmitted from a specific terminal, it may correspond to a DoS attack. Specifically, in some service specifications, it may be permitted to set a large number of processing contents (for example, data transmission processing for a large number of destination terminals) in one signal. Such a signal may correspond to a DoS attack depending on the processing content included in the signal even if the number of signals itself is small. For this reason, it is difficult to detect a DoS attack on such a signal in the method of detecting a DoS attack based on the number of signals.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、サービスの仕様に応じて、より高い精度でDoS攻撃の検出を行うことにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to detect a DoS attack with higher accuracy in accordance with service specifications.

上記課題を解決するために、例えば、第1の発明では、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、前記カウントした信号数が第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記カウントした所定の処理内容の信号数が第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。   In order to solve the above problem, for example, in the first invention, a DoS attack detection method performed by the information processing device, the information processing device counts the number of signals received within the first monitoring period. A first measurement step; a first determination step of determining whether or not the counted number of signals exceeds a first threshold; and a second determination when the counted number of signals exceeds a first threshold. A second measurement step of counting the number of signals of a predetermined processing content from signals received within the monitoring period, and determining whether or not the counted number of signals of the predetermined processing content exceeds a second threshold And a DoS attack determining step of determining a DoS attack when the counted number of signals of the predetermined processing content exceeds a second threshold.

また、第2の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、前記カウントした処理内容の数が第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記いずれかの処理内容の重複数が第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。   The second invention is a DoS attack detection method performed by the information processing apparatus, and the information processing apparatus counts the number of processing contents included in each of the signals received within the first monitoring period. A first determination step, a first determination step of determining whether or not the counted number of processing contents exceeds a first threshold, and a case where the counted number of processing contents exceeds a first threshold A second measurement step for counting the duplication number for each processing content, and determining whether any one of the duplication number for each processing content counted in the second measurement step exceeds a second threshold value And a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds a second threshold value.

また、第3の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。   The third invention is a DoS attack detection method performed by an information processing device, wherein the information processing device has a processing content for each of a plurality of processing contents included in each signal received within a predetermined monitoring period. An error determination step for determining whether or not there is an error, a measurement step for counting the number of processing contents determined to be an error in the error determination step, and whether the number of processing contents of the counted error exceeds a predetermined threshold A threshold determination step for determining whether or not, and a DoS attack determination step for determining a DoS attack when the number of error processing contents exceeds the threshold.

本発明により、サービスの仕様に応じて、DoS攻撃の誤検出を防止し、より高い精度でDoS攻撃を検出することができる。   According to the present invention, it is possible to prevent a false detection of a DoS attack and detect a DoS attack with higher accuracy according to the service specifications.

以下、本発明の実施の形態について説明する。   Hereinafter, embodiments of the present invention will be described.

図1は、本発明の一実施形態が適用されたシステムの全体構成図である。   FIG. 1 is an overall configuration diagram of a system to which an embodiment of the present invention is applied.

本実施形態のシステムでは、少なくとも1つの端末1と、サービス制御サーバ2と、付属サーバ3とが、インターネットなどのネットワーク9により接続されている。なお、ネットワーク9は、図示しないエッジルータや中継ルータを有するものとする。   In the system of the present embodiment, at least one terminal 1, a service control server 2, and an attached server 3 are connected by a network 9 such as the Internet. The network 9 has an edge router and a relay router (not shown).

サービス制御サーバ2は、各端末1に提供するサービスの制御を行う。そして、サービス制御サーバ2は、DoS攻撃の検出処理などを行う処理部21と、端末1から受信した信号等をカウントする各種のカウンタ22と、記憶部23とを有する。記憶部23には、対象外装置リスト24と、信号種別テーブル25と、端末登録リスト26と、が記憶されている。   The service control server 2 controls services provided to each terminal 1. The service control server 2 includes a processing unit 21 that performs a DoS attack detection process, various counters 22 that count signals received from the terminal 1, and a storage unit 23. The storage unit 23 stores a non-target device list 24, a signal type table 25, and a terminal registration list 26.

対象外装置リスト24は、DoS攻撃の検出対象外の装置の一覧である。例えば、付属サーバ3や特定の端末1については、大量の信号をサービス制御サーバ2に送信することがサービスの仕様上不可欠な場合がある。このような装置については、DoS攻撃の検出対象外とするために、あらかじめ対象外装置リスト24に登録する。なお、対象外装置リスト24には、対象外とする各装置の識別情報(例えば、IPアドレス)が設定されるものとする。   The non-target device list 24 is a list of devices that are not detected by the DoS attack. For example, for the attached server 3 and the specific terminal 1, it may be indispensable in terms of service specifications to transmit a large amount of signals to the service control server 2. Such devices are registered in advance in the non-target device list 24 in order to be excluded from the DoS attack detection target. It is assumed that identification information (for example, IP address) of each device to be excluded is set in the excluded device list 24.

信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。なお、信号種別テーブル25については後述する。端末登録リスト26には、サービス制御サーバ2のサービス提供を受けることができる端末1の識別情報(例えば、IPアドレス)が設定されている。付属サーバ3は、サービス制御サーバ2の制御の基づいて、端末1にサービスを提供する。   The signal type table 25 is a table in which a DoS attack detection method according to the type of service control signal is set. The signal type table 25 will be described later. In the terminal registration list 26, identification information (for example, IP address) of the terminal 1 that can receive the service provided by the service control server 2 is set. The attached server 3 provides a service to the terminal 1 based on the control of the service control server 2.

なお、本実施形態では、サービス制御サーバ2のサービス制御処理は、端末1がサービス制御信号を送信することにより始まる。サービス制御信号は、パケットやメッセージなどであって、端末1からサービス制御サーバ2にサービスの要求、通知、ファイル転送(音声・画像などのメディアやファイルの転送)などを行うためのデータである。また、サービス制御信号には、後述する信号種別、発信元端末の識別情報(例えば、IPアドレス)、宛先端末の識別情報(例えば、IPアドレス)などが含まれているものとする。   In the present embodiment, the service control process of the service control server 2 starts when the terminal 1 transmits a service control signal. The service control signal is a packet, a message, or the like, and is data for performing a service request, notification, file transfer (transfer of media such as voice / image and file) from the terminal 1 to the service control server 2. Further, it is assumed that the service control signal includes a signal type to be described later, source terminal identification information (for example, IP address), destination terminal identification information (for example, IP address), and the like.

本実施形態では、サービスの種類に応じて、サービス制御信号AからEの5種類のサービス制御信号があるものとする。   In the present embodiment, it is assumed that there are five types of service control signals, service control signals A to E, according to the type of service.

サービス制御信号A(以下、「信号A」)およびサービス制御信号D(「以下、信号D」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Aおよび信号Dは、サービスの仕様上、一斉に複数の信号を送信する一斉送信(同報送信)は禁止(不正行為)されているものとする。   The service control signal A (hereinafter referred to as “signal A”) and the service control signal D (hereinafter referred to as “signal D”) can include only one processing content in one service control signal due to service specifications. To do. Further, it is assumed that the signal A and the signal D are prohibited (illegal act) from simultaneous transmission (broadcast transmission) for transmitting a plurality of signals all at once in accordance with service specifications.

処理内容は、サービス制御サーバ2が端末1に対して行うサービス制御の最小単位である。処理内容の例としては、1つの宛先端末への通信処理、1つのコンテンツのダウンロード処理、1つの端末の状態通知受信処理などが考えられる。なお、本実施形態では、処理内容として、1つの宛先端末への通信処理を用いることとし、処理内容が同一か否かを識別するために宛先端末の識別情報を用いるものとする。   The processing content is a minimum unit of service control performed by the service control server 2 on the terminal 1. Examples of processing contents include communication processing to one destination terminal, one content download processing, one terminal status notification reception processing, and the like. In the present embodiment, it is assumed that communication processing to one destination terminal is used as the processing content, and identification information of the destination terminal is used to identify whether the processing content is the same.

サービス制御信号B(以下、「信号B」)およびサービス制御信号E(「以下、信号E」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Bおよび信号Eは、サービスの仕様上、複数の異なる処理内容の信号を一斉送信することは許容されているが、同一の処理内容の信号または不正な処理内容の信号を大量に一斉送信することは禁止されているものとする。すなわち、本実施形態の場合、信号Bおよび信号Eでは、異なる複数の宛先端末に対する一斉送信は許容されていが、同一の宛先端末に対する一斉送信については禁止(不正行為と)されているものとする。また、不正な宛先端末に対する一斉送信についても、禁止されているものとする。   Service control signal B (hereinafter referred to as “signal B”) and service control signal E (hereinafter referred to as signal E) can include only one processing content in one service control signal due to service specifications. To do. Signal B and signal E are allowed to be transmitted simultaneously with a plurality of signals having different processing contents according to the service specifications, but a large number of signals having the same processing contents or illegal processing contents are simultaneously transmitted. Transmission is prohibited. That is, in the case of the present embodiment, in the signal B and the signal E, simultaneous transmission to a plurality of different destination terminals is permitted, but simultaneous transmission to the same destination terminal is prohibited (illegal act). . Further, it is assumed that simultaneous transmission to an unauthorized destination terminal is also prohibited.

サービス制御信号C(以下、「信号C」)は、サービスの仕様上、1つの信号内に複数の処理内容を含めることができるが、1つの信号内に大量に重複した処理内容、または、大量の不正な処理内容を含めることは禁止されているものとする。すなわち、本実施形態の場合、信号Cでは、異なる複数の宛先端末に対する操作指示を含めることができるが、同一の宛先端末または不正な宛先端末に対する大量の操作指示を含めることは禁止されているものとする。   The service control signal C (hereinafter, “signal C”) can include a plurality of processing contents in one signal due to service specifications. However, a large amount of processing contents overlapped in one signal or a large amount It is forbidden to include illegal processing contents. That is, in this embodiment, the signal C can include operation instructions for a plurality of different destination terminals, but it is prohibited to include a large number of operation instructions for the same destination terminal or an illegal destination terminal. And

次に、記憶部23に記憶された信号種別テーブル25について説明する。信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。   Next, the signal type table 25 stored in the storage unit 23 will be described. The signal type table 25 is a table in which a DoS attack detection method according to the type of service control signal is set.

図2は、信号種別テーブル25の一例を示した図である。信号種別テーブル25は、図示するように、信号種別201と、DoS攻撃の検出方法202と、第1の監視期間203と、第1の閾値204と、第2の監視期間205と、第2の閾値206と、第3の監視期間207と、第3の閾値208とを有する。図示する例では、信号Aと信号Dは、ともに「パターンa」の検出方法202を用いてDoS攻撃の検出を行う。しかしながら、信号Aと信号Dとでは、第1の監視期間203(「T1」と「T2」)、および、第1の閾値204(「S1」と「S2」)がそれぞれ異なる。なお、信号種別テーブル25の各項目については、後述するDoS検出処理で説明する。   FIG. 2 is a diagram showing an example of the signal type table 25. As illustrated, the signal type table 25 includes a signal type 201, a DoS attack detection method 202, a first monitoring period 203, a first threshold value 204, a second monitoring period 205, a second monitoring period 205, and a second monitoring period 205. It has a threshold value 206, a third monitoring period 207, and a third threshold value 208. In the illustrated example, both the signal A and the signal D detect the DoS attack using the “pattern a” detection method 202. However, the first monitoring period 203 (“T1” and “T2”) and the first threshold value 204 (“S1” and “S2”) are different between the signal A and the signal D, respectively. Each item of the signal type table 25 will be described in the DoS detection process described later.

上記説明した、端末1、サービス制御サーバ2および付属サーバ3は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、他の装置と接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。   The terminal 1, the service control server 2 and the attached server 3 described above all include, for example, a CPU 901, a memory 902, an external storage device 903 such as an HDD, and an input device such as a keyboard and a mouse as shown in FIG. It is possible to use a general-purpose computer system including 904, an output device 905 such as a display or a printer, a communication control device 906 for connecting to other devices, and a bus 907 for connecting these devices. it can.

このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、端末1、サービス制御サーバ2、および、付属サーバ3の各機能は、端末1用のプログラムの場合は端末1のCPU901が、サービス制御サーバ2用のプログラムの場合はサービス制御サーバ2のCPU901が、そして、付属サーバ3用のプログラムの場合は付属サーバ3のCPU901が、それぞれ実行することにより実現される。なお、サービス制御サーバ2の記憶部23には、サービス制御サーバ2のメモリ902または外部記憶装置903が用いられる。また、外部記憶装置903、入力装置904および出力装置905は、各装置が必要に応じて備えるものとする。   In this computer system, the CPU 901 executes a predetermined program loaded on the memory 902, thereby realizing each function of each device. For example, the functions of the terminal 1, the service control server 2, and the attached server 3 are the CPU 901 of the terminal 1 in the case of the program for the terminal 1, and the CPU 901 of the service control server 2 in the case of the program for the service control server 2. However, in the case of the program for the attached server 3, the CPU 901 of the attached server 3 executes the program. Note that the memory 902 or the external storage device 903 of the service control server 2 is used for the storage unit 23 of the service control server 2. Further, it is assumed that the external storage device 903, the input device 904, and the output device 905 are provided as necessary by each device.

次に、サービス制御サーバ2におけるDoS攻撃の検知処理について説明する。
図4は、DoS攻撃検出処理の全体処理フロー図である。まず、サービス制御サーバ2の処理部21は、端末1から送信されたサービス制御信号(以下、「信号」)を受信し、信号のフォーマットが正常であるか否かを判別する(S11)。フォーマットが不正な場合(S11:NO)、処理部21は、受信した信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。 Next, DoS attack detection processing in the service control server 2 will be described.
FIG. 4 is an overall process flow diagram of the DoS attack detection process. First, the processing unit 21 of the service control server 2 receives a service control signal (hereinafter, “signal”) transmitted from the terminal 1, and determines whether or not the signal format is normal (S11). When the format is invalid (S11: NO), the processing unit 21 analyzes the header information of the received signal and identifies the source terminal (source IP address) of the signal.

そして、不正フォーマットカウンタは、特定の発信元端末から所定の監視時間内に受信した不正なフォーマットの信号数をカウントする。すなわち、不正フォーマットカウンタは、記憶部23の不正フォーマット用監視テーブル(不図示)を参照し、特定した発信端末から受信した不正なフォーマットの信号数をカウントアップする。なお、不正フォーマット用監視テーブルに特定した発信端末が存在しない場合は、不正フォーマット用監視テーブルに当該発信端末を新規に追加し、現時点から所定の監視時間内に受信する不正なフォーマットの信号数を監視する。また、不正フォーマットカウンタは、所定の監視時間が満了すると、不正フォーマット用監視テーブルから監視時間が満了した発信端末を削除(または、信号数をゼロクリア)する。そして、処理部21は、不正フォーマットカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S12)。   The illegal format counter counts the number of illegally formatted signals received from a specific source terminal within a predetermined monitoring time. That is, the illegal format counter refers to an illegal format monitoring table (not shown) in the storage unit 23, and counts up the number of illegally formatted signals received from the specified transmitting terminal. If there is no transmission terminal specified in the illegal format monitoring table, the new transmission terminal is newly added to the illegal format monitoring table, and the number of illegally formatted signals received from the present time within a predetermined monitoring time is calculated. Monitor. Further, when the predetermined monitoring time expires, the illegal format counter deletes the transmitting terminal whose monitoring time has expired from the illegal format monitoring table (or clears the number of signals to zero). Then, the processing unit 21 determines whether or not the number of signals counted by the illegal format counter exceeds a predetermined threshold (S12).

不正なフォーマットの信号数が閾値より小さい場合(S12:NO)、処理部21は、DoS攻撃とみなさず、S11で受信した信号を廃棄、または、発信元端末にエラーレスポンスを送信する(S13)。一方、不正なフォーマットの信号数が閾値を超える場合(S12:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対しDoS攻撃に対する規制処理を行う(S14)。なお、DoS攻撃に対する規制処理としては、例えば、発信元端末から送信された信号を全て廃棄することにより、サービス制御サーバ2へのDoS攻撃の被害を防止することなどが考えられる。また、システム保守者にDoS攻撃を検出したことを通知するために、出力装置に発信元端末に関する情報(IPアドレスなど)を含むアラームメッセージを出力することが考えられる。   When the number of illegally formatted signals is smaller than the threshold (S12: NO), the processing unit 21 does not regard the DoS attack and discards the signal received in S11 or transmits an error response to the source terminal (S13). . On the other hand, if the number of illegally formatted signals exceeds the threshold value (S12: YES), the processing unit 21 determines that the DoS attack and performs restriction processing for the DoS attack on the source terminal (S14). In addition, as a restriction | limiting process with respect to a DoS attack, the damage of the DoS attack to the service control server 2 etc. can be considered by discarding all the signals transmitted from the transmission origin terminal, for example. In order to notify the system maintainer that a DoS attack has been detected, it is conceivable to output an alarm message including information (such as an IP address) regarding the source terminal to the output device.

また、DoS攻撃の規制処理の解除については、所定の時間が経過した後に規制を解除する時限解除と、システム保守者が投入する解除コマンドによる手動解除との2つの方法が考えられる。ネットワークを運用する事業者のセキュリティ方針により、どちらの方法を選択することとしてもよい。例えば、24時間連続して稼動しているサーバの場合や、DoS攻撃の解除を行う発信元端末の数が多い場合、手動解除の方法ではシステム保守者の作業負荷が大きい。そのため、デフォルトは時限解除とし、時限解除までにDoS攻撃が明らかに収束している場合に限って手動解除を併用する方法が考えられる。   Also, regarding the cancellation of the DoS attack restriction process, there are two methods: a timed release for releasing the restriction after a predetermined time has elapsed, and a manual release by a release command input by the system maintainer. Either method may be selected according to the security policy of the operator operating the network. For example, in the case of a server that has been operating continuously for 24 hours, or when the number of source terminals that release a DoS attack is large, the manual release method has a heavy workload on the system maintainer. For this reason, it is conceivable that the default is timed cancellation, and manual cancellation is used only when the DoS attack is clearly converged by the timed cancellation.

一方、信号のフォーマットが正常な場合(S11:YES)、処理部21は、信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。そして、処理部21は、特定した発信元端末がDoS攻撃の検出対象か否かを判別する(S15)。すなわち、処理部21は、発信元装置の発信元IPアドレスが、記憶部23の対象外装置リスト24に存在するか否かを判別する。   On the other hand, when the signal format is normal (S11: YES), the processing unit 21 analyzes the header information of the signal and identifies the source terminal (source IP address) of the signal. Then, the processing unit 21 determines whether or not the identified source terminal is a DoS attack detection target (S15). That is, the processing unit 21 determines whether or not the source IP address of the source device exists in the non-target device list 24 of the storage unit 23.

発信元装置が検出対象外の場合、すなわち、対象外装置リスト24に存在する場合(S15:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S16)。例えば、処理部21は、付属サーバ3を用いて、所定のサービスを端末に提供する。   When the transmission source device is not the detection target, that is, when it exists in the non-target device list 24 (S15: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack and sets the signal. The normal process is performed (S16). For example, the processing unit 21 uses the attached server 3 to provide a predetermined service to the terminal.

また、発信元装置が検出対象の場合、すなわち、対象外装置リスト24に存在しない場合(S15:YES)、処理部21は、S11で受信した信号に含まれる信号種別を特定する。そして、処理部21は、記憶部23の信号種別テーブル25(図2参照)を参照し、特定した信号に対応する検出方法(検出パターン)の処理に振り分ける(S17)。なお、図示する例では、処理部21は、信号Aおよび信号Dの場合はパターンa(S18)、信号Bおよび信号Eの場合はパターンb(S19)、信号Cの場合はパターンc(S20)に振り分ける。   Further, when the transmission source device is a detection target, that is, when the transmission source device does not exist in the non-target device list 24 (S15: YES), the processing unit 21 specifies the signal type included in the signal received in S11. Then, the processing unit 21 refers to the signal type table 25 (see FIG. 2) in the storage unit 23 and distributes the processing to the detection method (detection pattern) corresponding to the identified signal (S17). In the illustrated example, the processing unit 21 performs pattern a (S18) for signal A and signal D, pattern b (S19) for signal B and signal E, and pattern c (S20) for signal C. Sort out.

次に、パターンa、パターンb、パターンcの処理について、それぞれ説明する。   Next, processing of pattern a, pattern b, and pattern c will be described.

図5は、パターンa(図3のS18:信号Aまたは信号Dの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号のパラメータが正常か否かを判別する(S31)。受信した信号のパラメータが不正な場合(S31:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正なパラメータの信号数をカウントする。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、記憶部23の不正パラメータ用監視テーブル(不図示)を参照し、特定した発信元端末から受信した不正なパラメータの信号数をカウントアップする。なお、このような不正なパラメータの信号数をカウントする方法の他に、後述するS33においてサービス制御サーバ2が送信するエラーレスポンスの信号数をカウントすることとしてもよい。そして、処理部21は、不正パラメータカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S32)。   FIG. 5 is a DoS attack detection process flow diagram of the pattern a (S18 in FIG. 3: signal A or signal D). First, the processing unit 21 determines whether or not the parameter of the signal received in S11 is normal (S31). When the parameter of the received signal is illegal (S31: NO), the illegal parameter counter counts the number of illegal parameter signals received from the source terminal within a predetermined monitoring time. The unauthorized parameter counter refers to the unauthorized parameter monitoring table (not shown) in the storage unit 23 by the same process as the aforementioned unauthorized format counter (FIG. 4: S12), and receives the unauthorized Count up the number of signals with various parameters. In addition to such a method of counting the number of illegal parameter signals, the number of error response signals transmitted by the service control server 2 in S33 described later may be counted. Then, the processing unit 21 determines whether or not the number of signals counted by the illegal parameter counter exceeds a predetermined threshold (S32).

なお、パラメータが不正な場合としては、例えば、記憶部23の端末登録リスト26に記憶されていない宛先端末が設定されている場合、または、発信元端末の認証が必要なサービスにおいて発信元端末のパスワードと異なるパスワードが設定されている場合、などが考えられる。   In addition, as a case where the parameter is invalid, for example, when a destination terminal that is not stored in the terminal registration list 26 of the storage unit 23 is set, or in a service that requires authentication of the source terminal, If a password different from the password is set, etc.

不正なパラメータの信号数が閾値より小さい場合(S32:NO)、処理部21は、DoS攻撃と判別せず、発信元端末にエラーレスポンスを送信する(S33)。一方、不正なパラメータの信号数が閾値を超える場合(S32:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S34)。   When the number of illegal parameter signals is smaller than the threshold value (S32: NO), the processing unit 21 does not determine the DoS attack and transmits an error response to the source terminal (S33). On the other hand, when the number of illegal parameter signals exceeds the threshold value (S32: YES), the processing unit 21 determines that the DoS attack and performs the same restriction process (signal discarding, etc.) as S14 in FIG. (S34).

一方、信号のパラメータが正常な場合(S31:YES)、信号数カウンタは、発信元端末から所定の監視時間内に受信した正常な信号数をカウントする。なお、信号数カウンタは、S11で受信した信号の信号種別(信号Aまたは信号D)に応じて、信号種別テーブル25(図2参照)に設定されたの第1の監視期間203内に受信した正常な信号数をカウントする。なお、信号数カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、正常な信号数をカウントアップする。   On the other hand, when the signal parameter is normal (S31: YES), the signal number counter counts the number of normal signals received from the source terminal within a predetermined monitoring time. The signal number counter is received within the first monitoring period 203 set in the signal type table 25 (see FIG. 2) according to the signal type (signal A or signal D) of the signal received in S11. Count the number of normal signals. The signal number counter counts up the number of normal signals by the same processing as the above-described illegal format counter (FIG. 4: S12).

そして、処理部21は、信号数カウンタがカウントした正常な信号数が、信号種別テーブル25(図2参照)の第1の閾値204を超えているか否かを判別する(S35)。例えば、S11で受信した信号が「信号A」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。   Then, the processing unit 21 determines whether or not the number of normal signals counted by the signal number counter exceeds the first threshold value 204 of the signal type table 25 (see FIG. 2) (S35). For example, when the signal received in S11 is “signal A”, the signal number counter counts the number of normal signals received from the transmission source terminal during the first monitoring period 203 “T1”. Then, the processing unit 21 determines whether or not the number of normal signals exceeds the first threshold value 204 “S1”.

正常な信号数が閾値より小さい場合(S35:NO)、処理部21は、S11で受信した信号がDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S36)。一方、正常な信号数が閾値を超える場合(S35:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S37)。   When the number of normal signals is smaller than the threshold value (S35: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack, and performs normal processing set for the signal (S36). On the other hand, when the number of normal signals exceeds the threshold value (S35: YES), the processing unit 21 determines that the DoS attack, and performs the same restriction process (such as signal discarding) as S14 in FIG. Perform (S37).

図6は、パターンb(図3のS19:信号Bまたは信号Eの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、図5で説明したS31と同様に、S11で受信した信号のパラメータが正常か否かを判別する(S41)。パラメータが不正な場合(S41:NO)、処理部21は、図5のS32からS34と同様の処理を行う(S42〜S44)。   FIG. 6 is a DoS attack detection process flow diagram of pattern b (S19 in FIG. 3: in the case of signal B or signal E). First, the processing unit 21 determines whether or not the parameter of the signal received in S11 is normal, similarly to S31 described in FIG. 5 (S41). When the parameter is invalid (S41: NO), the processing unit 21 performs the same processing as S32 to S34 in FIG. 5 (S42 to S44).

一方、パラメータが正常な場合(S41:YES)、図3のS35と同様の処理を行う(S45)。例えば、S11で受信した信号が「信号B」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。   On the other hand, when the parameter is normal (S41: YES), the same processing as S35 of FIG. 3 is performed (S45). For example, when the signal received in S11 is “signal B”, the signal number counter counts the number of normal signals received from the transmission source terminal during the first monitoring period 203 “T1”. Then, the processing unit 21 determines whether or not the number of normal signals exceeds the first threshold value 204 “S1”.

正常な信号数が閾値より小さい場合(S45:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S46)。一方、正常な信号数が閾値を超える場合(S45:YES)、処理部21は、S11で受信した当該発信元端末からの信号を対象に、処理内容が重複しているか否か(すなわち、処理内容が同じか否か)をチェックする。そして、当該発信元端末の処理内容毎に異なる処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号の中から、同一処理内容の信号数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号Bまたは信号E)に応じて、信号種別テーブル25に設定されたの第2の監視期間205「T4」または「T6」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、同一処理内容の信号数をカウントアップする。   When the number of normal signals is smaller than the threshold (S45: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack, and performs normal processing set for the signal (S46). On the other hand, when the number of normal signals exceeds the threshold value (S45: YES), the processing unit 21 determines whether or not the processing contents overlap with respect to the signal from the source terminal received in S11 (that is, processing). Check if the contents are the same). Then, the processing content counter that is different for each processing content of the transmission source terminal counts the number of signals having the same processing content from the normal signals received from the transmission source terminal within a predetermined monitoring time. Note that the predetermined monitoring time is the second monitoring period 205 “T4” or “T6” set in the signal type table 25 according to the signal type (signal B or signal E) of the signal received in S11. is there. The processing content counter counts up the number of signals having the same processing content by the same processing as the above-described illegal format counter (FIG. 4: S12).

そして、処理部21は、信号種別テーブル25を参照し、S11で受信した信号種別に対応する第2の閾値206を取得する。そして、処理部21は、処理内容カウンタがカウントした同一処理内容の信号数が、取得した第2の閾値206を超えているか否かを判別する(S47)。   Then, the processing unit 21 refers to the signal type table 25 and acquires the second threshold value 206 corresponding to the signal type received in S11. Then, the processing unit 21 determines whether or not the number of signals of the same processing content counted by the processing content counter exceeds the acquired second threshold value 206 (S47).

なお、本実施形態では、特定発信元端末からの処理内容が同一か否かを識別するために宛先端末を用いている。そのため、処理内容カウンタは、S11で受信した信号に設定された宛先端末と同一の宛先端末に対する信号数をカウントする。そして、処理部21は、同一宛先端末に対する信号数が閾値を超えているか否かを判別する。   In the present embodiment, the destination terminal is used to identify whether the processing contents from the specific source terminal are the same. For this reason, the processing content counter counts the number of signals for the same destination terminal as the destination terminal set in the signal received in S11. Then, the processing unit 21 determines whether or not the number of signals for the same destination terminal exceeds a threshold value.

同一処理内容の信号数が閾値より小さい場合(S47:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S48)。一方、同一処理内容の信号数が閾値を超える場合(S47:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S49)。   When the number of signals having the same processing content is smaller than the threshold (S47: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack, and performs normal processing set for the signal (S48). . On the other hand, when the number of signals having the same processing content exceeds the threshold value (S47: YES), the processing unit 21 determines that the DoS attack has occurred, and performs the same restriction processing (signal discarding, etc.) as S14 in FIG. ) Is performed (S49).

図6に示すDoS攻撃検出処理により、端末からの一斉送信(例えば、同報送信)が可能なサービスにおいて、異なる複数の宛先端末への一斉送信はDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として検出することができる。   In a service that allows simultaneous transmission (for example, broadcast transmission) from a terminal by the DoS attack detection process shown in FIG. 6, simultaneous transmission to a plurality of different destination terminals is not determined as a DoS attack and is performed on the same destination terminal. Only a large number of simultaneous transmissions can be detected as a DoS attack.

図7は、パターンc(図3のS20:信号Cの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号に含まれる処理内容のパラメータが正常か否かを判別する(S51)。いずれかのパラメータが不正な場合(S51:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正パラメータを有する信号の中から、不正パラメータを含む処理内容の数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて、信号種別テーブル25に設定されたの第3の監視期間207「T7」である。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、不正パラメータの処理内容の数をカウントアップする。   FIG. 7 is a DoS attack detection process flow diagram of the pattern c (S20 in FIG. 3: signal C). First, the processing unit 21 determines whether or not the parameter of the processing content included in the signal received in S11 is normal (S51). If any parameter is illegal (S51: NO), the illegal parameter counter counts the number of processing contents including the illegal parameter from signals having the illegal parameter received within a predetermined monitoring time from the transmission source terminal. To do. Note that the predetermined monitoring time is the third monitoring period 207 “T7” set in the signal type table 25 in accordance with the signal type (signal C) of the signal received in S11. The illegal parameter counter counts up the number of illegal parameter processes by the same process as the illegal format counter (FIG. 4: S12).

そして、処理部21は、不正パラメータカウンタがカウントした処理内容の数が、信号種別テーブル25の第3の閾値208を超えているか否かを判別する(S52)。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。したがって、信号Cは、1つの信号に複数の宛先端末を設定することができる。そのため、処理部21は、例えば、信号の中に、端末登録リスト26に設定されていない不正な宛先端末が1つでも設定されている場合、不正な宛先の処理内容数の情報はS52に渡し、正常な処理内容数の情報はS55に渡す。   Then, the processing unit 21 determines whether or not the number of processing contents counted by the illegal parameter counter exceeds the third threshold value 208 of the signal type table 25 (S52). In this embodiment, the destination terminal is used to identify the identity of the processing contents. Therefore, the signal C can set a plurality of destination terminals in one signal. Therefore, for example, when at least one unauthorized destination terminal that is not set in the terminal registration list 26 is set in the signal, the processing unit 21 passes information on the number of processing contents of the unauthorized destination to S52. Information on the number of normal processing contents is passed to S55.

S51では、宛先端末以外のパラメータもチェックし、そのパラメータが宛先端末と関連付けられる場合は正しい宛先であってもその処理内容は不正と判別する(S51:NO)。関連付けられない共通パラメータの不正の場合は、不正な処理内容数を「1」、正当な処理内容数を「0」と判別する。   In S51, parameters other than the destination terminal are also checked, and if the parameter is associated with the destination terminal, the processing content is determined to be illegal even if it is a correct destination (S51: NO). If the common parameter that is not associated is invalid, the number of illegal processing contents is determined as “1”, and the number of legal processing contents is determined as “0”.

不正なパラメータの処理内容数が閾値より小さい場合(S52:NO)、処理部21は、DoS攻撃と判別せず、発信元端末に対しエラーレスポンスを送信する(S53)。一方、不正なパラメータの処理内容数が閾値を超える場合(S52:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S54)。   When the number of processing contents of the illegal parameter is smaller than the threshold (S52: NO), the processing unit 21 does not determine the DoS attack and transmits an error response to the source terminal (S53). On the other hand, when the number of processing contents of the illegal parameter exceeds the threshold value (S52: YES), the processing unit 21 determines that the DoS attack and performs the same restriction process (signal discarding) as S14 in FIG. Etc.) (S54).

一方、受信した信号のパラメータが正常な場合(S51:YES)、処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号各々に含まれる処理内容の総数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて信号種別テーブル25に設定されたの第1の監視期間203「T1」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、処理内容の数をカウントアップする。   On the other hand, when the parameter of the received signal is normal (S51: YES), the processing content counter counts the total number of processing content included in each normal signal received from the transmission source terminal within a predetermined monitoring time. The predetermined monitoring time is the first monitoring period 203 “T1” set in the signal type table 25 according to the signal type (signal C) of the signal received in S11. The processing content counter counts up the number of processing contents by the same processing as the above-described illegal format counter (FIG. 4: S12).

そして、処理部21は、カウントした処理内容の数が、信号種別テーブル25の第1の閾値204を超えているか否かを判別する(S55)。処理内容数が閾値より小さい場合(S55:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S56)。一方、処理内容数が閾値を超える場合(S55:YES)、重複数カウンタは、S55でカウントした当該発信元端末の正常な処理内容の重複数を、さらにカウントする。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。そのため、重複数カウンタは、第1の監視期間内に受信した当該発信元端末の正常な信号各々に含まれる各宛先端末の重複数をカウントする。   Then, the processing unit 21 determines whether or not the counted number of processing contents exceeds the first threshold value 204 of the signal type table 25 (S55). When the number of processing contents is smaller than the threshold (S55: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack, and performs normal processing set in the signal (S56). On the other hand, when the number of processing contents exceeds the threshold (S55: YES), the duplication counter further counts the duplication number of normal processing contents of the transmission source terminal counted in S55. In this embodiment, the destination terminal is used to identify the identity of the processing contents. Therefore, the duplication number counter counts the duplication number of each destination terminal included in each normal signal of the transmission source terminal received within the first monitoring period.

そして、処理部21は、いずれかの処理内容の重複数が、信号種別テーブル25の第2の閾値206を超えているか否かを判別する(S57)。   Then, the processing unit 21 determines whether or not the overlap of any of the processing contents exceeds the second threshold value 206 of the signal type table 25 (S57).

全ての処理内容の重複数が閾値より小さい場合(S57:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S58)。一方、いずれかの処理内容の重複数が閾値を超える場合(S57:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S59)
図7に示すDoS攻撃検出処理により、複数の処理内容(例えば、宛先端末)を1つの信号に含めることが可能なサービスにおいて、同一の処理内容(例えば、同一宛先端末または不正な宛先端末)を大量に含む信号によるDoS攻撃を、検出することができる。 When the overlap number of all the processing contents is smaller than the threshold (S57: NO), the processing unit 21 determines that the signal received in S11 is not a DoS attack, and performs normal processing set in the signal (S58). ). On the other hand, when the duplication number of any of the processing contents exceeds the threshold (S57: YES), the processing unit 21 determines that the DoS attack and performs the same restriction process (signal signal) as S14 in FIG. Disposal) (S59)
In a service in which a plurality of processing contents (for example, destination terminals) can be included in one signal by the DoS attack detection process shown in FIG. 7, the same processing contents (for example, the same destination terminal or an illegal destination terminal) are included. A DoS attack caused by a large amount of signals can be detected.

以上、本発明の一実施形態を説明した。   The embodiment of the present invention has been described above.

本実施形態では、異なる複数の宛先端末(処理内容)への一斉送信(同報送信)が可能なサービスにおいて(図6参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号数が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の所定の監視時間内に送信された同一宛先端末への信号数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、通常の異なる複数の宛先端末への一斉送信についてはDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として効率よく検出することができる。   In the present embodiment, in a service capable of simultaneous transmission (broadcast transmission) to a plurality of different destination terminals (processing contents) (see FIG. 6), the service control server 2 transmits a signal transmitted within a predetermined monitoring time. It is determined whether or not the number exceeds a predetermined threshold. If the number exceeds the threshold, whether or not the number of signals transmitted to the same destination terminal within the predetermined monitoring time of the source terminal exceeds the predetermined threshold. Is determined. Thus, the service control server 2 can efficiently detect only a large number of simultaneous transmissions to the same destination terminal as a DoS attack without distinguishing a simultaneous transmission to a plurality of different destination terminals as a DoS attack. .

また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる総宛先端末数(総処理内容数)が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の宛先端末毎の重複数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、同一の宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。   In the present embodiment, in a service in which a plurality of destination terminals (processing contents) can be included in one signal (see FIG. 7), the service control server 2 transmits each signal transmitted within a predetermined monitoring time. It is determined whether or not the total number of destination terminals (total number of processing contents) included in the number exceeds a predetermined threshold. If the number exceeds the threshold, the duplication number for each destination terminal of the source terminal further exceeds the predetermined threshold It is determined whether or not. Thereby, the service control server 2 can efficiently detect a DoS attack caused by a signal including a large amount of the same destination terminal.

また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる不正な宛先端末数(不正な処理内容数)が、所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、不正な宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。   In the present embodiment, in a service in which a plurality of destination terminals (processing contents) can be included in one signal (see FIG. 7), the service control server 2 transmits each signal transmitted within a predetermined monitoring time. It is determined whether or not the number of unauthorized destination terminals (number of unauthorized processing contents) included in the number exceeds a predetermined threshold. As a result, the service control server 2 can efficiently detect a DoS attack caused by a signal including a large number of unauthorized destination terminals.

また、本実施形態では、信号種別テーブル25を用いて、信号種別ごとに、DoS攻撃の検出方法(検出パターン)、監視時間、および閾値を設定している。これにより、サービス制御信号の種別に応じて、サービスの特性および仕様に応じた柔軟なDoS攻撃の検出を行うことができる。   In the present embodiment, a DoS attack detection method (detection pattern), a monitoring time, and a threshold are set for each signal type using the signal type table 25. Thereby, it is possible to detect a flexible DoS attack according to the service characteristics and specifications according to the type of the service control signal.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、本発明は、最近注目されているSIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)プロトコルを使用したインスタントメッセージサービスに適用することが考えられる。すなわち、サービス制御信号Aをインスタントメッセージサービスの提供を受けられるようにプレゼンスサーバに端末を登録するための端末登録要求信号とし、サービス制御信号Bを特定の端末のプレゼンス状態を監視可能とする状態監視要求信号、サービス制御信号Dをユーザの状態またはアプリケーションなどのプレゼンス状態を変更する状態要求変更信号、サービス制御信号Eを特定の端末にメッセージを送信するメッセージング制御信号とした場合、プレゼンスサーバは、本発明を適用してDoS攻撃の検出を行うことができる。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, the present invention can be applied to an instant message service using a SIMPLE (SIP for Instant Messaging and Presence Leveraging Extensions) protocol which has recently attracted attention. That is, the service control signal A is used as a terminal registration request signal for registering a terminal in the presence server so that the instant message service can be provided, and the service control signal B is used to monitor the presence status of a specific terminal. When the request signal and the service control signal D are a state request change signal for changing a user state or a presence state such as an application, and the service control signal E is a messaging control signal for transmitting a message to a specific terminal, the presence server The invention can be applied to detect a DoS attack.

なお、インスタントメッセージサービスにおいて、従来のDoS攻撃検出方法では、多数の宛先端末に対する状態監視要求信号、または、メッセージング制御信号の一斉同報は、誤ってDoS攻撃と判別されてしまう場合があった。しかしなから、本発明を適用することにより、正規の異なる宛先端末への一斉同報については、大量であってもDoS攻撃とはみなさず正常な処理を行う。一方、同一の宛先端末に対する信号の大量送信、または、不正な宛先端末への信号の大量送信については、DoS攻撃と判断する。これにより、サービス仕様と整合性の取れたDoS攻撃の検出を行うことができる。   In the instant message service, in the conventional DoS attack detection method, the simultaneous broadcast of the status monitoring request signal or the messaging control signal to many destination terminals may be erroneously determined as a DoS attack. However, by applying the present invention, the simultaneous broadcast to different regular destination terminals is not regarded as a DoS attack even if it is a large amount, and normal processing is performed. On the other hand, mass transmission of signals to the same destination terminal or mass transmission of signals to an illegal destination terminal is determined as a DoS attack. This makes it possible to detect a DoS attack that is consistent with the service specification.

本発明の一実施形態が適用されたシステムの全体構成図。1 is an overall configuration diagram of a system to which an embodiment of the present invention is applied. 信号種別テーブルの一例を示す図。The figure which shows an example of a signal classification table. 各装置のハードウェア構成例を示す図。The figure which shows the hardware structural example of each apparatus. DoS攻撃検出処理の全体処理フロー図。The whole process flow figure of DoS attack detection processing. パターンaのDoS攻撃検出処理フロー図。The DoS attack detection processing flowchart of pattern a. パターンbのDoS攻撃検出処理フロー図。The DoS attack detection processing flowchart of pattern b. パターンcのDoS攻撃検出処理フロー図。The DoS attack detection processing flowchart of pattern c.

符号の説明Explanation of symbols

1:端末、2:サービス制御サーバ、21:処理部、22:各種のカウンタ、23:記憶部、24:対象外装置リスト、25:信号種別テーブル、26:端末登録リスト、3:付属サーバ、9:ネットワーク
1: terminal, 2: service control server, 21: processing unit, 22: various counters, 23: storage unit, 24: non-target device list, 25: signal type table, 26: terminal registration list, 3: attached server, 9: Network

Claims (11)

情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
A first measuring step for counting the number of signals received within a first monitoring period;
A first determination step of determining whether the counted number of signals exceeds a first threshold;
A second measurement step of counting the number of signals of a predetermined processing content from among signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
A second determination step of determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection method comprising: performing a DoS attack discrimination step of discriminating a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value. 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
A first measurement step for counting the number of processing contents included in each of the signals received within the first monitoring period;
A first determination step of determining whether or not the counted number of processing contents exceeds a first threshold;
A second measurement step of counting a plurality of overlaps for each processing content when the number of processing content counted exceeds the first threshold;
A second determination step of determining whether any of a plurality of overlapping values for each processing content counted in the second measurement step exceeds a second threshold;
A DoS attack detection method, comprising: performing a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds the second threshold. 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, an error determination step for determining whether or not the processing contents are errors;
A measurement step for counting the number of processing contents determined to be errors in the error determination step;
A threshold determination step for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection method comprising: performing a DoS attack determination step of determining a DoS attack when the number of error processing contents exceeds the threshold. 請求項1、請求項2、または、請求項3記載のDoS攻撃検出方法であって、
前記信号は、信号の種別を示す信号種別情報を含み、
前記情報処理装置は、
前記信号種別情報毎にDoS攻撃の検出方法が記憶された信号種別記憶部を、有し、
前記信号種別記憶部を参照して、前記信号種別に対応するDoS攻撃の検出方法を選択する選択ステップを、さらに行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method according to claim 1, claim 2 or claim 3, wherein
The signal includes signal type information indicating the type of signal,
The information processing apparatus includes:
A signal type storage unit storing a DoS attack detection method for each signal type information;
A DoS attack detection method, further comprising a selection step of selecting a DoS attack detection method corresponding to the signal type with reference to the signal type storage unit. 請求項1、請求項2、または、請求項3記載のDoS攻撃検出方法であって、
前記処理内容には、当該処理内容を識別するための宛先情報が含まれること
を特徴とするDoS攻撃検出方法。 A DoS attack detection method according to claim 1, claim 2 or claim 3, wherein
The DoS attack detection method, wherein the processing content includes destination information for identifying the processing content. DoS攻撃検出システムであって、
第1の監視期間内に受信した信号の数を、カウントする第1の計測手段と、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別手段と、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測手段と、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
First measuring means for counting the number of signals received within the first monitoring period;
First discriminating means for discriminating whether or not the counted number of signals exceeds a first threshold;
A second measuring unit that counts the number of signals having a predetermined processing content from among signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
Second determination means for determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection system, comprising: a DoS attack discrimination unit that discriminates a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value. DoS攻撃検出システムであって、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測手段と、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別手段と、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測手段と、
前記第2の計測手段がカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
First measuring means for counting the number of processing contents included in each of the signals received within the first monitoring period;
First discriminating means for discriminating whether or not the counted number of processing contents exceeds a first threshold;
A second measuring unit that counts a plurality of overlaps for each processing content when the number of processing content counted exceeds the first threshold;
Second determination means for determining whether any of a plurality of overlapping values for each processing content counted by the second measurement means exceeds a second threshold;
A DoS attack detection system, comprising: a DoS attack discrimination unit that discriminates a DoS attack when the overlap of any one of the processing contents exceeds the second threshold value. DoS攻撃検出システムであって、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別手段と、
前記エラー判別手段がエラーと判別した処理内容の数をカウントする計測手段と、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別手段と、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, error determination means for determining whether or not the processing contents are errors;
Measuring means for counting the number of processing contents determined by the error determination means as an error;
Threshold determination means for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection system, comprising: a DoS attack determination unit that determines a DoS attack when the number of error processing contents exceeds the threshold. 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に、
第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
A first measuring step for counting the number of signals received within a first monitoring period;
A first determination step of determining whether the counted number of signals exceeds a first threshold;
A second measurement step of counting the number of signals having a predetermined processing content from signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
A second determination step of determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value. 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
A first measurement step for counting the number of processing contents included in each of the signals received within the first monitoring period;
A first determination step of determining whether or not the counted number of processing contents exceeds a first threshold;
A second measurement step of counting the number of duplicates for each processing content when the number of processing content counted exceeds the first threshold;
A second determination step of determining whether any of a plurality of overlapping values for each processing content counted in the second measurement step exceeds a second threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds the second threshold. 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。



A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, an error determination step for determining whether or not the processing contents are errors;
A measurement step for counting the number of processing contents determined to be errors in the error determination step;
A threshold determination step for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the number of error processing contents exceeds the threshold.



JP2005047888A 2005-02-23 2005-02-23 DoS attack detection method, DoS attack detection system, and DoS attack detection program Active JP4170301B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005047888A JP4170301B2 (en) 2005-02-23 2005-02-23 DoS attack detection method, DoS attack detection system, and DoS attack detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005047888A JP4170301B2 (en) 2005-02-23 2005-02-23 DoS attack detection method, DoS attack detection system, and DoS attack detection program

Publications (2)

Publication Number Publication Date
JP2006237892A true JP2006237892A (en) 2006-09-07
JP4170301B2 JP4170301B2 (en) 2008-10-22

Family

ID=37045083

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005047888A Active JP4170301B2 (en) 2005-02-23 2005-02-23 DoS attack detection method, DoS attack detection system, and DoS attack detection program

Country Status (1)

Country Link
JP (1) JP4170301B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110270A (en) * 2007-10-30 2009-05-21 Fujitsu Ltd Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP2010171669A (en) * 2009-01-22 2010-08-05 Nippon Telegr & Teleph Corp <Ntt> Attack traffic detecting method and attack traffic detecting device
JP2012146337A (en) * 2012-05-07 2012-08-02 Ricoh Co Ltd Information processing apparatus, information processing method, program
JP2013122784A (en) * 2013-02-08 2013-06-20 Ricoh Co Ltd Information processing method, information processor and system
JP2016502340A (en) * 2012-11-22 2016-01-21 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior in communication networks
JP6071026B1 (en) * 2015-09-16 2017-02-01 広東睿江云計算股▲ふん▼有限公司 Abnormal flow detection method
CN107872434A (en) * 2016-09-27 2018-04-03 阿里巴巴集团控股有限公司 The screening technique and device of a kind of accessing points
CN110998576A (en) * 2017-07-19 2020-04-10 株式会社自动网络技术研究所 Receiving device, monitoring machine, and computer program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004266483A (en) * 2003-02-28 2004-09-24 Nec Corp Unauthorized access prevention method,device, program
JP2005039591A (en) * 2003-07-16 2005-02-10 Toshiba Corp Unauthorized access protection device and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004266483A (en) * 2003-02-28 2004-09-24 Nec Corp Unauthorized access prevention method,device, program
JP2005039591A (en) * 2003-07-16 2005-02-10 Toshiba Corp Unauthorized access protection device and program

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8375445B2 (en) 2007-10-30 2013-02-12 Fujitsu Limited Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP2009110270A (en) * 2007-10-30 2009-05-21 Fujitsu Ltd Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP2010171669A (en) * 2009-01-22 2010-08-05 Nippon Telegr & Teleph Corp <Ntt> Attack traffic detecting method and attack traffic detecting device
JP2012146337A (en) * 2012-05-07 2012-08-02 Ricoh Co Ltd Information processing apparatus, information processing method, program
JP2018033144A (en) * 2012-11-22 2018-03-01 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior on communication network
JP2016502340A (en) * 2012-11-22 2016-01-21 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior in communication networks
JP2013122784A (en) * 2013-02-08 2013-06-20 Ricoh Co Ltd Information processing method, information processor and system
JP6071026B1 (en) * 2015-09-16 2017-02-01 広東睿江云計算股▲ふん▼有限公司 Abnormal flow detection method
JP2017059232A (en) * 2015-09-16 2017-03-23 広東睿江云計算股▲ふん▼有限公司 Abnormal flow detection method
US10505958B2 (en) 2015-09-16 2019-12-10 Guangdong Eflycloud Computing Co., LTD Method for detecting abnormal traffic
CN107872434A (en) * 2016-09-27 2018-04-03 阿里巴巴集团控股有限公司 The screening technique and device of a kind of accessing points
CN107872434B (en) * 2016-09-27 2020-12-01 阿里巴巴集团控股有限公司 Method and device for screening access points
CN110998576A (en) * 2017-07-19 2020-04-10 株式会社自动网络技术研究所 Receiving device, monitoring machine, and computer program
CN110998576B (en) * 2017-07-19 2023-05-23 株式会社自动网络技术研究所 Receiving device, monitor, and recording medium

Also Published As

Publication number Publication date
JP4170301B2 (en) 2008-10-22

Similar Documents

Publication Publication Date Title
JP4170301B2 (en) DoS attack detection method, DoS attack detection system, and DoS attack detection program
CN109889547B (en) Abnormal network equipment detection method and device
JP3824274B2 (en) Unauthorized connection detection system and unauthorized connection detection method
JP5264470B2 (en) Attack determination device and program
CN106537872B (en) Method for detecting attacks in a computer network
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
US7440406B2 (en) Apparatus for displaying network status
CN106330944B (en) Malicious system vulnerability scanner identification method and device
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
KR101972295B1 (en) The intrusion detection device and the intrusion detection program stored in the storage medium
JP2007179131A (en) Event detection system, management terminal and program, and event detection method
CN109951345A (en) A kind of alert processing method and device
JP6520515B2 (en) Network monitoring system, network monitoring program, and network monitoring method
US8064454B2 (en) Protocol incompatibility detection
JP2010250607A (en) System, method and program for analysis of unauthorized access
JP3760919B2 (en) Unauthorized access prevention method, apparatus and program
JP2014036408A (en) Communication apparatus, communication system, communication method, and communication program
JP2003258795A (en) Computer aggregate operating method, implementation system therefor, and processing program therefor
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
JP4002276B2 (en) Unauthorized connection detection system
JP2003348113A (en) Switch and lan
JP2009225045A (en) Communication jamming apparatus and communication jamming program
CN112491911A (en) DNS distributed denial of service defense method, device, equipment and storage medium
KR20110027907A (en) System for counterplaning web firewall using conative detection·interception and method therefor
JP2007102747A (en) Packet detector, message detection program, shutdown program of unauthorized e-mail

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070717

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080122

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080729

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080806

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4170301

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130815

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350