JP2006237892A - DoS ATTACK DETECTION METHOD, SYSTEM, AND PROGRAM - Google Patents
DoS ATTACK DETECTION METHOD, SYSTEM, AND PROGRAM Download PDFInfo
- Publication number
- JP2006237892A JP2006237892A JP2005047888A JP2005047888A JP2006237892A JP 2006237892 A JP2006237892 A JP 2006237892A JP 2005047888 A JP2005047888 A JP 2005047888A JP 2005047888 A JP2005047888 A JP 2005047888A JP 2006237892 A JP2006237892 A JP 2006237892A
- Authority
- JP
- Japan
- Prior art keywords
- dos attack
- threshold
- exceeds
- signals
- counted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、DoS攻撃を検出する技術に関する。 The present invention relates to a technique for detecting a DoS attack.
不正なデータを送信してコンピュータ装置を使用不能に陥らせるDoS(Denial of Services)攻撃に対し、さまざまなDoS攻撃検出方法が提案されている。例えば、特許文献1では、単位時間当たりに受信したパケット数に基づいてDoS攻撃を検知する方法が記載されている。
ところで、特定の端末から大量の信号(パケット、メッセージ、データなど)が送信される場合であっても、DoS攻撃に該当しない場合がある。具体的には、サービスの仕様上、端末が大量の信号を送信すること(例えば、多数の宛先端末に対する同報送信など)が許容される場合がある。このような場合、信号数に基づいてDoS攻撃を検出する方法(例えば、特許文献1)では、DoS攻撃に該当しない正規な信号の大量送信を、DoS攻撃と誤って認識する危険性がある。 By the way, even when a large amount of signals (packets, messages, data, etc.) are transmitted from a specific terminal, there are cases where the DoS attack does not apply. Specifically, in some service specifications, the terminal may be allowed to transmit a large amount of signals (for example, broadcast transmission to a large number of destination terminals). In such a case, in a method for detecting a DoS attack based on the number of signals (for example, Patent Document 1), there is a risk that a large number of legitimate signals that do not correspond to the DoS attack are erroneously recognized as a DoS attack.
また、特定の端末から送信される信号が少ない場合であっても、DoS攻撃に該当する場合がある。具体的には、サービスの仕様上、1つの信号の中に多数の処理内容(例えば、多数の宛先端末に対するデータ送信処理など)を設定することが許容される場合がある。このような信号については、信号数自体は少ない場合であっても、信号の中に含まれる処理内容によってはDoS攻撃に該当する場合がある。そのため、信号数に基づいてDoS攻撃を検出する方法では、このような信号に対するDoS攻撃の検出は困難である。 Moreover, even when there are few signals transmitted from a specific terminal, it may correspond to a DoS attack. Specifically, in some service specifications, it may be permitted to set a large number of processing contents (for example, data transmission processing for a large number of destination terminals) in one signal. Such a signal may correspond to a DoS attack depending on the processing content included in the signal even if the number of signals itself is small. For this reason, it is difficult to detect a DoS attack on such a signal in the method of detecting a DoS attack based on the number of signals.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、サービスの仕様に応じて、より高い精度でDoS攻撃の検出を行うことにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to detect a DoS attack with higher accuracy in accordance with service specifications.
上記課題を解決するために、例えば、第1の発明では、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、前記カウントした信号数が第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記カウントした所定の処理内容の信号数が第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。 In order to solve the above problem, for example, in the first invention, a DoS attack detection method performed by the information processing device, the information processing device counts the number of signals received within the first monitoring period. A first measurement step; a first determination step of determining whether or not the counted number of signals exceeds a first threshold; and a second determination when the counted number of signals exceeds a first threshold. A second measurement step of counting the number of signals of a predetermined processing content from signals received within the monitoring period, and determining whether or not the counted number of signals of the predetermined processing content exceeds a second threshold And a DoS attack determining step of determining a DoS attack when the counted number of signals of the predetermined processing content exceeds a second threshold.
また、第2の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、前記カウントした処理内容の数が第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記いずれかの処理内容の重複数が第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。 The second invention is a DoS attack detection method performed by the information processing apparatus, and the information processing apparatus counts the number of processing contents included in each of the signals received within the first monitoring period. A first determination step, a first determination step of determining whether or not the counted number of processing contents exceeds a first threshold, and a case where the counted number of processing contents exceeds a first threshold A second measurement step for counting the duplication number for each processing content, and determining whether any one of the duplication number for each processing content counted in the second measurement step exceeds a second threshold value And a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds a second threshold value.
また、第3の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。 The third invention is a DoS attack detection method performed by an information processing device, wherein the information processing device has a processing content for each of a plurality of processing contents included in each signal received within a predetermined monitoring period. An error determination step for determining whether or not there is an error, a measurement step for counting the number of processing contents determined to be an error in the error determination step, and whether the number of processing contents of the counted error exceeds a predetermined threshold A threshold determination step for determining whether or not, and a DoS attack determination step for determining a DoS attack when the number of error processing contents exceeds the threshold.
本発明により、サービスの仕様に応じて、DoS攻撃の誤検出を防止し、より高い精度でDoS攻撃を検出することができる。 According to the present invention, it is possible to prevent a false detection of a DoS attack and detect a DoS attack with higher accuracy according to the service specifications.
以下、本発明の実施の形態について説明する。 Hereinafter, embodiments of the present invention will be described.
図1は、本発明の一実施形態が適用されたシステムの全体構成図である。 FIG. 1 is an overall configuration diagram of a system to which an embodiment of the present invention is applied.
本実施形態のシステムでは、少なくとも1つの端末1と、サービス制御サーバ2と、付属サーバ3とが、インターネットなどのネットワーク9により接続されている。なお、ネットワーク9は、図示しないエッジルータや中継ルータを有するものとする。
In the system of the present embodiment, at least one
サービス制御サーバ2は、各端末1に提供するサービスの制御を行う。そして、サービス制御サーバ2は、DoS攻撃の検出処理などを行う処理部21と、端末1から受信した信号等をカウントする各種のカウンタ22と、記憶部23とを有する。記憶部23には、対象外装置リスト24と、信号種別テーブル25と、端末登録リスト26と、が記憶されている。
The
対象外装置リスト24は、DoS攻撃の検出対象外の装置の一覧である。例えば、付属サーバ3や特定の端末1については、大量の信号をサービス制御サーバ2に送信することがサービスの仕様上不可欠な場合がある。このような装置については、DoS攻撃の検出対象外とするために、あらかじめ対象外装置リスト24に登録する。なお、対象外装置リスト24には、対象外とする各装置の識別情報(例えば、IPアドレス)が設定されるものとする。
The
信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。なお、信号種別テーブル25については後述する。端末登録リスト26には、サービス制御サーバ2のサービス提供を受けることができる端末1の識別情報(例えば、IPアドレス)が設定されている。付属サーバ3は、サービス制御サーバ2の制御の基づいて、端末1にサービスを提供する。
The signal type table 25 is a table in which a DoS attack detection method according to the type of service control signal is set. The signal type table 25 will be described later. In the terminal registration list 26, identification information (for example, IP address) of the
なお、本実施形態では、サービス制御サーバ2のサービス制御処理は、端末1がサービス制御信号を送信することにより始まる。サービス制御信号は、パケットやメッセージなどであって、端末1からサービス制御サーバ2にサービスの要求、通知、ファイル転送(音声・画像などのメディアやファイルの転送)などを行うためのデータである。また、サービス制御信号には、後述する信号種別、発信元端末の識別情報(例えば、IPアドレス)、宛先端末の識別情報(例えば、IPアドレス)などが含まれているものとする。
In the present embodiment, the service control process of the
本実施形態では、サービスの種類に応じて、サービス制御信号AからEの5種類のサービス制御信号があるものとする。 In the present embodiment, it is assumed that there are five types of service control signals, service control signals A to E, according to the type of service.
サービス制御信号A(以下、「信号A」)およびサービス制御信号D(「以下、信号D」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Aおよび信号Dは、サービスの仕様上、一斉に複数の信号を送信する一斉送信(同報送信)は禁止(不正行為)されているものとする。 The service control signal A (hereinafter referred to as “signal A”) and the service control signal D (hereinafter referred to as “signal D”) can include only one processing content in one service control signal due to service specifications. To do. Further, it is assumed that the signal A and the signal D are prohibited (illegal act) from simultaneous transmission (broadcast transmission) for transmitting a plurality of signals all at once in accordance with service specifications.
処理内容は、サービス制御サーバ2が端末1に対して行うサービス制御の最小単位である。処理内容の例としては、1つの宛先端末への通信処理、1つのコンテンツのダウンロード処理、1つの端末の状態通知受信処理などが考えられる。なお、本実施形態では、処理内容として、1つの宛先端末への通信処理を用いることとし、処理内容が同一か否かを識別するために宛先端末の識別情報を用いるものとする。
The processing content is a minimum unit of service control performed by the
サービス制御信号B(以下、「信号B」)およびサービス制御信号E(「以下、信号E」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Bおよび信号Eは、サービスの仕様上、複数の異なる処理内容の信号を一斉送信することは許容されているが、同一の処理内容の信号または不正な処理内容の信号を大量に一斉送信することは禁止されているものとする。すなわち、本実施形態の場合、信号Bおよび信号Eでは、異なる複数の宛先端末に対する一斉送信は許容されていが、同一の宛先端末に対する一斉送信については禁止(不正行為と)されているものとする。また、不正な宛先端末に対する一斉送信についても、禁止されているものとする。 Service control signal B (hereinafter referred to as “signal B”) and service control signal E (hereinafter referred to as signal E) can include only one processing content in one service control signal due to service specifications. To do. Signal B and signal E are allowed to be transmitted simultaneously with a plurality of signals having different processing contents according to the service specifications, but a large number of signals having the same processing contents or illegal processing contents are simultaneously transmitted. Transmission is prohibited. That is, in the case of the present embodiment, in the signal B and the signal E, simultaneous transmission to a plurality of different destination terminals is permitted, but simultaneous transmission to the same destination terminal is prohibited (illegal act). . Further, it is assumed that simultaneous transmission to an unauthorized destination terminal is also prohibited.
サービス制御信号C(以下、「信号C」)は、サービスの仕様上、1つの信号内に複数の処理内容を含めることができるが、1つの信号内に大量に重複した処理内容、または、大量の不正な処理内容を含めることは禁止されているものとする。すなわち、本実施形態の場合、信号Cでは、異なる複数の宛先端末に対する操作指示を含めることができるが、同一の宛先端末または不正な宛先端末に対する大量の操作指示を含めることは禁止されているものとする。 The service control signal C (hereinafter, “signal C”) can include a plurality of processing contents in one signal due to service specifications. However, a large amount of processing contents overlapped in one signal or a large amount It is forbidden to include illegal processing contents. That is, in this embodiment, the signal C can include operation instructions for a plurality of different destination terminals, but it is prohibited to include a large number of operation instructions for the same destination terminal or an illegal destination terminal. And
次に、記憶部23に記憶された信号種別テーブル25について説明する。信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。
Next, the signal type table 25 stored in the
図2は、信号種別テーブル25の一例を示した図である。信号種別テーブル25は、図示するように、信号種別201と、DoS攻撃の検出方法202と、第1の監視期間203と、第1の閾値204と、第2の監視期間205と、第2の閾値206と、第3の監視期間207と、第3の閾値208とを有する。図示する例では、信号Aと信号Dは、ともに「パターンa」の検出方法202を用いてDoS攻撃の検出を行う。しかしながら、信号Aと信号Dとでは、第1の監視期間203(「T1」と「T2」)、および、第1の閾値204(「S1」と「S2」)がそれぞれ異なる。なお、信号種別テーブル25の各項目については、後述するDoS検出処理で説明する。
FIG. 2 is a diagram showing an example of the signal type table 25. As illustrated, the signal type table 25 includes a
上記説明した、端末1、サービス制御サーバ2および付属サーバ3は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、他の装置と接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。
The
このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、端末1、サービス制御サーバ2、および、付属サーバ3の各機能は、端末1用のプログラムの場合は端末1のCPU901が、サービス制御サーバ2用のプログラムの場合はサービス制御サーバ2のCPU901が、そして、付属サーバ3用のプログラムの場合は付属サーバ3のCPU901が、それぞれ実行することにより実現される。なお、サービス制御サーバ2の記憶部23には、サービス制御サーバ2のメモリ902または外部記憶装置903が用いられる。また、外部記憶装置903、入力装置904および出力装置905は、各装置が必要に応じて備えるものとする。
In this computer system, the
次に、サービス制御サーバ2におけるDoS攻撃の検知処理について説明する。
図4は、DoS攻撃検出処理の全体処理フロー図である。まず、サービス制御サーバ2の処理部21は、端末1から送信されたサービス制御信号(以下、「信号」)を受信し、信号のフォーマットが正常であるか否かを判別する(S11)。フォーマットが不正な場合(S11:NO)、処理部21は、受信した信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。
Next, DoS attack detection processing in the
FIG. 4 is an overall process flow diagram of the DoS attack detection process. First, the
そして、不正フォーマットカウンタは、特定の発信元端末から所定の監視時間内に受信した不正なフォーマットの信号数をカウントする。すなわち、不正フォーマットカウンタは、記憶部23の不正フォーマット用監視テーブル(不図示)を参照し、特定した発信端末から受信した不正なフォーマットの信号数をカウントアップする。なお、不正フォーマット用監視テーブルに特定した発信端末が存在しない場合は、不正フォーマット用監視テーブルに当該発信端末を新規に追加し、現時点から所定の監視時間内に受信する不正なフォーマットの信号数を監視する。また、不正フォーマットカウンタは、所定の監視時間が満了すると、不正フォーマット用監視テーブルから監視時間が満了した発信端末を削除(または、信号数をゼロクリア)する。そして、処理部21は、不正フォーマットカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S12)。
The illegal format counter counts the number of illegally formatted signals received from a specific source terminal within a predetermined monitoring time. That is, the illegal format counter refers to an illegal format monitoring table (not shown) in the
不正なフォーマットの信号数が閾値より小さい場合(S12:NO)、処理部21は、DoS攻撃とみなさず、S11で受信した信号を廃棄、または、発信元端末にエラーレスポンスを送信する(S13)。一方、不正なフォーマットの信号数が閾値を超える場合(S12:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対しDoS攻撃に対する規制処理を行う(S14)。なお、DoS攻撃に対する規制処理としては、例えば、発信元端末から送信された信号を全て廃棄することにより、サービス制御サーバ2へのDoS攻撃の被害を防止することなどが考えられる。また、システム保守者にDoS攻撃を検出したことを通知するために、出力装置に発信元端末に関する情報(IPアドレスなど)を含むアラームメッセージを出力することが考えられる。
When the number of illegally formatted signals is smaller than the threshold (S12: NO), the
また、DoS攻撃の規制処理の解除については、所定の時間が経過した後に規制を解除する時限解除と、システム保守者が投入する解除コマンドによる手動解除との2つの方法が考えられる。ネットワークを運用する事業者のセキュリティ方針により、どちらの方法を選択することとしてもよい。例えば、24時間連続して稼動しているサーバの場合や、DoS攻撃の解除を行う発信元端末の数が多い場合、手動解除の方法ではシステム保守者の作業負荷が大きい。そのため、デフォルトは時限解除とし、時限解除までにDoS攻撃が明らかに収束している場合に限って手動解除を併用する方法が考えられる。 Also, regarding the cancellation of the DoS attack restriction process, there are two methods: a timed release for releasing the restriction after a predetermined time has elapsed, and a manual release by a release command input by the system maintainer. Either method may be selected according to the security policy of the operator operating the network. For example, in the case of a server that has been operating continuously for 24 hours, or when the number of source terminals that release a DoS attack is large, the manual release method has a heavy workload on the system maintainer. For this reason, it is conceivable that the default is timed cancellation, and manual cancellation is used only when the DoS attack is clearly converged by the timed cancellation.
一方、信号のフォーマットが正常な場合(S11:YES)、処理部21は、信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。そして、処理部21は、特定した発信元端末がDoS攻撃の検出対象か否かを判別する(S15)。すなわち、処理部21は、発信元装置の発信元IPアドレスが、記憶部23の対象外装置リスト24に存在するか否かを判別する。
On the other hand, when the signal format is normal (S11: YES), the
発信元装置が検出対象外の場合、すなわち、対象外装置リスト24に存在する場合(S15:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S16)。例えば、処理部21は、付属サーバ3を用いて、所定のサービスを端末に提供する。
When the transmission source device is not the detection target, that is, when it exists in the non-target device list 24 (S15: NO), the
また、発信元装置が検出対象の場合、すなわち、対象外装置リスト24に存在しない場合(S15:YES)、処理部21は、S11で受信した信号に含まれる信号種別を特定する。そして、処理部21は、記憶部23の信号種別テーブル25(図2参照)を参照し、特定した信号に対応する検出方法(検出パターン)の処理に振り分ける(S17)。なお、図示する例では、処理部21は、信号Aおよび信号Dの場合はパターンa(S18)、信号Bおよび信号Eの場合はパターンb(S19)、信号Cの場合はパターンc(S20)に振り分ける。
Further, when the transmission source device is a detection target, that is, when the transmission source device does not exist in the non-target device list 24 (S15: YES), the
次に、パターンa、パターンb、パターンcの処理について、それぞれ説明する。 Next, processing of pattern a, pattern b, and pattern c will be described.
図5は、パターンa(図3のS18:信号Aまたは信号Dの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号のパラメータが正常か否かを判別する(S31)。受信した信号のパラメータが不正な場合(S31:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正なパラメータの信号数をカウントする。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、記憶部23の不正パラメータ用監視テーブル(不図示)を参照し、特定した発信元端末から受信した不正なパラメータの信号数をカウントアップする。なお、このような不正なパラメータの信号数をカウントする方法の他に、後述するS33においてサービス制御サーバ2が送信するエラーレスポンスの信号数をカウントすることとしてもよい。そして、処理部21は、不正パラメータカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S32)。
FIG. 5 is a DoS attack detection process flow diagram of the pattern a (S18 in FIG. 3: signal A or signal D). First, the
なお、パラメータが不正な場合としては、例えば、記憶部23の端末登録リスト26に記憶されていない宛先端末が設定されている場合、または、発信元端末の認証が必要なサービスにおいて発信元端末のパスワードと異なるパスワードが設定されている場合、などが考えられる。
In addition, as a case where the parameter is invalid, for example, when a destination terminal that is not stored in the terminal registration list 26 of the
不正なパラメータの信号数が閾値より小さい場合(S32:NO)、処理部21は、DoS攻撃と判別せず、発信元端末にエラーレスポンスを送信する(S33)。一方、不正なパラメータの信号数が閾値を超える場合(S32:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S34)。
When the number of illegal parameter signals is smaller than the threshold value (S32: NO), the
一方、信号のパラメータが正常な場合(S31:YES)、信号数カウンタは、発信元端末から所定の監視時間内に受信した正常な信号数をカウントする。なお、信号数カウンタは、S11で受信した信号の信号種別(信号Aまたは信号D)に応じて、信号種別テーブル25(図2参照)に設定されたの第1の監視期間203内に受信した正常な信号数をカウントする。なお、信号数カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、正常な信号数をカウントアップする。
On the other hand, when the signal parameter is normal (S31: YES), the signal number counter counts the number of normal signals received from the source terminal within a predetermined monitoring time. The signal number counter is received within the
そして、処理部21は、信号数カウンタがカウントした正常な信号数が、信号種別テーブル25(図2参照)の第1の閾値204を超えているか否かを判別する(S35)。例えば、S11で受信した信号が「信号A」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。
Then, the
正常な信号数が閾値より小さい場合(S35:NO)、処理部21は、S11で受信した信号がDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S36)。一方、正常な信号数が閾値を超える場合(S35:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S37)。
When the number of normal signals is smaller than the threshold value (S35: NO), the
図6は、パターンb(図3のS19:信号Bまたは信号Eの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、図5で説明したS31と同様に、S11で受信した信号のパラメータが正常か否かを判別する(S41)。パラメータが不正な場合(S41:NO)、処理部21は、図5のS32からS34と同様の処理を行う(S42〜S44)。
FIG. 6 is a DoS attack detection process flow diagram of pattern b (S19 in FIG. 3: in the case of signal B or signal E). First, the
一方、パラメータが正常な場合(S41:YES)、図3のS35と同様の処理を行う(S45)。例えば、S11で受信した信号が「信号B」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。
On the other hand, when the parameter is normal (S41: YES), the same processing as S35 of FIG. 3 is performed (S45). For example, when the signal received in S11 is “signal B”, the signal number counter counts the number of normal signals received from the transmission source terminal during the
正常な信号数が閾値より小さい場合(S45:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S46)。一方、正常な信号数が閾値を超える場合(S45:YES)、処理部21は、S11で受信した当該発信元端末からの信号を対象に、処理内容が重複しているか否か(すなわち、処理内容が同じか否か)をチェックする。そして、当該発信元端末の処理内容毎に異なる処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号の中から、同一処理内容の信号数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号Bまたは信号E)に応じて、信号種別テーブル25に設定されたの第2の監視期間205「T4」または「T6」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、同一処理内容の信号数をカウントアップする。
When the number of normal signals is smaller than the threshold (S45: NO), the
そして、処理部21は、信号種別テーブル25を参照し、S11で受信した信号種別に対応する第2の閾値206を取得する。そして、処理部21は、処理内容カウンタがカウントした同一処理内容の信号数が、取得した第2の閾値206を超えているか否かを判別する(S47)。
Then, the
なお、本実施形態では、特定発信元端末からの処理内容が同一か否かを識別するために宛先端末を用いている。そのため、処理内容カウンタは、S11で受信した信号に設定された宛先端末と同一の宛先端末に対する信号数をカウントする。そして、処理部21は、同一宛先端末に対する信号数が閾値を超えているか否かを判別する。
In the present embodiment, the destination terminal is used to identify whether the processing contents from the specific source terminal are the same. For this reason, the processing content counter counts the number of signals for the same destination terminal as the destination terminal set in the signal received in S11. Then, the
同一処理内容の信号数が閾値より小さい場合(S47:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S48)。一方、同一処理内容の信号数が閾値を超える場合(S47:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S49)。
When the number of signals having the same processing content is smaller than the threshold (S47: NO), the
図6に示すDoS攻撃検出処理により、端末からの一斉送信(例えば、同報送信)が可能なサービスにおいて、異なる複数の宛先端末への一斉送信はDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として検出することができる。 In a service that allows simultaneous transmission (for example, broadcast transmission) from a terminal by the DoS attack detection process shown in FIG. 6, simultaneous transmission to a plurality of different destination terminals is not determined as a DoS attack and is performed on the same destination terminal. Only a large number of simultaneous transmissions can be detected as a DoS attack.
図7は、パターンc(図3のS20:信号Cの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号に含まれる処理内容のパラメータが正常か否かを判別する(S51)。いずれかのパラメータが不正な場合(S51:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正パラメータを有する信号の中から、不正パラメータを含む処理内容の数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて、信号種別テーブル25に設定されたの第3の監視期間207「T7」である。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、不正パラメータの処理内容の数をカウントアップする。
FIG. 7 is a DoS attack detection process flow diagram of the pattern c (S20 in FIG. 3: signal C). First, the
そして、処理部21は、不正パラメータカウンタがカウントした処理内容の数が、信号種別テーブル25の第3の閾値208を超えているか否かを判別する(S52)。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。したがって、信号Cは、1つの信号に複数の宛先端末を設定することができる。そのため、処理部21は、例えば、信号の中に、端末登録リスト26に設定されていない不正な宛先端末が1つでも設定されている場合、不正な宛先の処理内容数の情報はS52に渡し、正常な処理内容数の情報はS55に渡す。
Then, the
S51では、宛先端末以外のパラメータもチェックし、そのパラメータが宛先端末と関連付けられる場合は正しい宛先であってもその処理内容は不正と判別する(S51:NO)。関連付けられない共通パラメータの不正の場合は、不正な処理内容数を「1」、正当な処理内容数を「0」と判別する。 In S51, parameters other than the destination terminal are also checked, and if the parameter is associated with the destination terminal, the processing content is determined to be illegal even if it is a correct destination (S51: NO). If the common parameter that is not associated is invalid, the number of illegal processing contents is determined as “1”, and the number of legal processing contents is determined as “0”.
不正なパラメータの処理内容数が閾値より小さい場合(S52:NO)、処理部21は、DoS攻撃と判別せず、発信元端末に対しエラーレスポンスを送信する(S53)。一方、不正なパラメータの処理内容数が閾値を超える場合(S52:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S54)。
When the number of processing contents of the illegal parameter is smaller than the threshold (S52: NO), the
一方、受信した信号のパラメータが正常な場合(S51:YES)、処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号各々に含まれる処理内容の総数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて信号種別テーブル25に設定されたの第1の監視期間203「T1」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、処理内容の数をカウントアップする。
On the other hand, when the parameter of the received signal is normal (S51: YES), the processing content counter counts the total number of processing content included in each normal signal received from the transmission source terminal within a predetermined monitoring time. The predetermined monitoring time is the
そして、処理部21は、カウントした処理内容の数が、信号種別テーブル25の第1の閾値204を超えているか否かを判別する(S55)。処理内容数が閾値より小さい場合(S55:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S56)。一方、処理内容数が閾値を超える場合(S55:YES)、重複数カウンタは、S55でカウントした当該発信元端末の正常な処理内容の重複数を、さらにカウントする。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。そのため、重複数カウンタは、第1の監視期間内に受信した当該発信元端末の正常な信号各々に含まれる各宛先端末の重複数をカウントする。
Then, the
そして、処理部21は、いずれかの処理内容の重複数が、信号種別テーブル25の第2の閾値206を超えているか否かを判別する(S57)。
Then, the
全ての処理内容の重複数が閾値より小さい場合(S57:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S58)。一方、いずれかの処理内容の重複数が閾値を超える場合(S57:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S59)
図7に示すDoS攻撃検出処理により、複数の処理内容(例えば、宛先端末)を1つの信号に含めることが可能なサービスにおいて、同一の処理内容(例えば、同一宛先端末または不正な宛先端末)を大量に含む信号によるDoS攻撃を、検出することができる。
When the overlap number of all the processing contents is smaller than the threshold (S57: NO), the
In a service in which a plurality of processing contents (for example, destination terminals) can be included in one signal by the DoS attack detection process shown in FIG. 7, the same processing contents (for example, the same destination terminal or an illegal destination terminal) are included. A DoS attack caused by a large amount of signals can be detected.
以上、本発明の一実施形態を説明した。 The embodiment of the present invention has been described above.
本実施形態では、異なる複数の宛先端末(処理内容)への一斉送信(同報送信)が可能なサービスにおいて(図6参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号数が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の所定の監視時間内に送信された同一宛先端末への信号数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、通常の異なる複数の宛先端末への一斉送信についてはDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として効率よく検出することができる。
In the present embodiment, in a service capable of simultaneous transmission (broadcast transmission) to a plurality of different destination terminals (processing contents) (see FIG. 6), the
また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる総宛先端末数(総処理内容数)が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の宛先端末毎の重複数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、同一の宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。
In the present embodiment, in a service in which a plurality of destination terminals (processing contents) can be included in one signal (see FIG. 7), the
また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる不正な宛先端末数(不正な処理内容数)が、所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、不正な宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。
In the present embodiment, in a service in which a plurality of destination terminals (processing contents) can be included in one signal (see FIG. 7), the
また、本実施形態では、信号種別テーブル25を用いて、信号種別ごとに、DoS攻撃の検出方法(検出パターン)、監視時間、および閾値を設定している。これにより、サービス制御信号の種別に応じて、サービスの特性および仕様に応じた柔軟なDoS攻撃の検出を行うことができる。 In the present embodiment, a DoS attack detection method (detection pattern), a monitoring time, and a threshold are set for each signal type using the signal type table 25. Thereby, it is possible to detect a flexible DoS attack according to the service characteristics and specifications according to the type of the service control signal.
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、本発明は、最近注目されているSIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)プロトコルを使用したインスタントメッセージサービスに適用することが考えられる。すなわち、サービス制御信号Aをインスタントメッセージサービスの提供を受けられるようにプレゼンスサーバに端末を登録するための端末登録要求信号とし、サービス制御信号Bを特定の端末のプレゼンス状態を監視可能とする状態監視要求信号、サービス制御信号Dをユーザの状態またはアプリケーションなどのプレゼンス状態を変更する状態要求変更信号、サービス制御信号Eを特定の端末にメッセージを送信するメッセージング制御信号とした場合、プレゼンスサーバは、本発明を適用してDoS攻撃の検出を行うことができる。 In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, the present invention can be applied to an instant message service using a SIMPLE (SIP for Instant Messaging and Presence Leveraging Extensions) protocol which has recently attracted attention. That is, the service control signal A is used as a terminal registration request signal for registering a terminal in the presence server so that the instant message service can be provided, and the service control signal B is used to monitor the presence status of a specific terminal. When the request signal and the service control signal D are a state request change signal for changing a user state or a presence state such as an application, and the service control signal E is a messaging control signal for transmitting a message to a specific terminal, the presence server The invention can be applied to detect a DoS attack.
なお、インスタントメッセージサービスにおいて、従来のDoS攻撃検出方法では、多数の宛先端末に対する状態監視要求信号、または、メッセージング制御信号の一斉同報は、誤ってDoS攻撃と判別されてしまう場合があった。しかしなから、本発明を適用することにより、正規の異なる宛先端末への一斉同報については、大量であってもDoS攻撃とはみなさず正常な処理を行う。一方、同一の宛先端末に対する信号の大量送信、または、不正な宛先端末への信号の大量送信については、DoS攻撃と判断する。これにより、サービス仕様と整合性の取れたDoS攻撃の検出を行うことができる。 In the instant message service, in the conventional DoS attack detection method, the simultaneous broadcast of the status monitoring request signal or the messaging control signal to many destination terminals may be erroneously determined as a DoS attack. However, by applying the present invention, the simultaneous broadcast to different regular destination terminals is not regarded as a DoS attack even if it is a large amount, and normal processing is performed. On the other hand, mass transmission of signals to the same destination terminal or mass transmission of signals to an illegal destination terminal is determined as a DoS attack. This makes it possible to detect a DoS attack that is consistent with the service specification.
1:端末、2:サービス制御サーバ、21:処理部、22:各種のカウンタ、23:記憶部、24:対象外装置リスト、25:信号種別テーブル、26:端末登録リスト、3:付属サーバ、9:ネットワーク
1: terminal, 2: service control server, 21: processing unit, 22: various counters, 23: storage unit, 24: non-target device list, 25: signal type table, 26: terminal registration list, 3: attached server, 9: Network
Claims (11)
前記情報処理装置は、
第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
A first measuring step for counting the number of signals received within a first monitoring period;
A first determination step of determining whether the counted number of signals exceeds a first threshold;
A second measurement step of counting the number of signals of a predetermined processing content from among signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
A second determination step of determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection method comprising: performing a DoS attack discrimination step of discriminating a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value.
前記情報処理装置は、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
A first measurement step for counting the number of processing contents included in each of the signals received within the first monitoring period;
A first determination step of determining whether or not the counted number of processing contents exceeds a first threshold;
A second measurement step of counting a plurality of overlaps for each processing content when the number of processing content counted exceeds the first threshold;
A second determination step of determining whether any of a plurality of overlapping values for each processing content counted in the second measurement step exceeds a second threshold;
A DoS attack detection method, comprising: performing a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds the second threshold.
前記情報処理装置は、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method performed by an information processing apparatus,
The information processing apparatus includes:
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, an error determination step for determining whether or not the processing contents are errors;
A measurement step for counting the number of processing contents determined to be errors in the error determination step;
A threshold determination step for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection method comprising: performing a DoS attack determination step of determining a DoS attack when the number of error processing contents exceeds the threshold.
前記信号は、信号の種別を示す信号種別情報を含み、
前記情報処理装置は、
前記信号種別情報毎にDoS攻撃の検出方法が記憶された信号種別記憶部を、有し、
前記信号種別記憶部を参照して、前記信号種別に対応するDoS攻撃の検出方法を選択する選択ステップを、さらに行うこと
を特徴とするDoS攻撃検出方法。 A DoS attack detection method according to claim 1, claim 2 or claim 3, wherein
The signal includes signal type information indicating the type of signal,
The information processing apparatus includes:
A signal type storage unit storing a DoS attack detection method for each signal type information;
A DoS attack detection method, further comprising a selection step of selecting a DoS attack detection method corresponding to the signal type with reference to the signal type storage unit.
前記処理内容には、当該処理内容を識別するための宛先情報が含まれること
を特徴とするDoS攻撃検出方法。 A DoS attack detection method according to claim 1, claim 2 or claim 3, wherein
The DoS attack detection method, wherein the processing content includes destination information for identifying the processing content.
第1の監視期間内に受信した信号の数を、カウントする第1の計測手段と、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別手段と、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測手段と、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
First measuring means for counting the number of signals received within the first monitoring period;
First discriminating means for discriminating whether or not the counted number of signals exceeds a first threshold;
A second measuring unit that counts the number of signals having a predetermined processing content from among signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
Second determination means for determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection system, comprising: a DoS attack discrimination unit that discriminates a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value.
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測手段と、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別手段と、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測手段と、
前記第2の計測手段がカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
First measuring means for counting the number of processing contents included in each of the signals received within the first monitoring period;
First discriminating means for discriminating whether or not the counted number of processing contents exceeds a first threshold;
A second measuring unit that counts a plurality of overlaps for each processing content when the number of processing content counted exceeds the first threshold;
Second determination means for determining whether any of a plurality of overlapping values for each processing content counted by the second measurement means exceeds a second threshold;
A DoS attack detection system, comprising: a DoS attack discrimination unit that discriminates a DoS attack when the overlap of any one of the processing contents exceeds the second threshold value.
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別手段と、
前記エラー判別手段がエラーと判別した処理内容の数をカウントする計測手段と、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別手段と、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 A DoS attack detection system,
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, error determination means for determining whether or not the processing contents are errors;
Measuring means for counting the number of processing contents determined by the error determination means as an error;
Threshold determination means for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection system, comprising: a DoS attack determination unit that determines a DoS attack when the number of error processing contents exceeds the threshold.
前記情報処理装置に、
第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
前記カウントした信号数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントする第2の計測ステップと、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
A first measuring step for counting the number of signals received within a first monitoring period;
A first determination step of determining whether the counted number of signals exceeds a first threshold;
A second measurement step of counting the number of signals having a predetermined processing content from signals received within a second monitoring period when the number of counted signals exceeds the first threshold;
A second determination step of determining whether the counted number of signals of the predetermined processing content exceeds a second threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the counted number of signals of the predetermined processing content exceeds the second threshold value.
前記情報処理装置に、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
A first measurement step for counting the number of processing contents included in each of the signals received within the first monitoring period;
A first determination step of determining whether or not the counted number of processing contents exceeds a first threshold;
A second measurement step of counting the number of duplicates for each processing content when the number of processing content counted exceeds the first threshold;
A second determination step of determining whether any of a plurality of overlapping values for each processing content counted in the second measurement step exceeds a second threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the overlap of any one of the processing contents exceeds the second threshold.
前記情報処理装置に、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。
A DoS attack detection program executed by an information processing apparatus,
In the information processing apparatus,
For each of a plurality of processing contents included in each signal received within a predetermined monitoring period, an error determination step for determining whether or not the processing contents are errors;
A measurement step for counting the number of processing contents determined to be errors in the error determination step;
A threshold determination step for determining whether or not the number of error processing contents counted exceeds a predetermined threshold;
A DoS attack detection program for executing a DoS attack determination step of determining a DoS attack when the number of error processing contents exceeds the threshold.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047888A JP4170301B2 (en) | 2005-02-23 | 2005-02-23 | DoS attack detection method, DoS attack detection system, and DoS attack detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047888A JP4170301B2 (en) | 2005-02-23 | 2005-02-23 | DoS attack detection method, DoS attack detection system, and DoS attack detection program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006237892A true JP2006237892A (en) | 2006-09-07 |
JP4170301B2 JP4170301B2 (en) | 2008-10-22 |
Family
ID=37045083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005047888A Active JP4170301B2 (en) | 2005-02-23 | 2005-02-23 | DoS attack detection method, DoS attack detection system, and DoS attack detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4170301B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2010171669A (en) * | 2009-01-22 | 2010-08-05 | Nippon Telegr & Teleph Corp <Ntt> | Attack traffic detecting method and attack traffic detecting device |
JP2012146337A (en) * | 2012-05-07 | 2012-08-02 | Ricoh Co Ltd | Information processing apparatus, information processing method, program |
JP2013122784A (en) * | 2013-02-08 | 2013-06-20 | Ricoh Co Ltd | Information processing method, information processor and system |
JP2016502340A (en) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior in communication networks |
JP6071026B1 (en) * | 2015-09-16 | 2017-02-01 | 広東睿江云計算股▲ふん▼有限公司 | Abnormal flow detection method |
CN107872434A (en) * | 2016-09-27 | 2018-04-03 | 阿里巴巴集团控股有限公司 | The screening technique and device of a kind of accessing points |
CN110998576A (en) * | 2017-07-19 | 2020-04-10 | 株式会社自动网络技术研究所 | Receiving device, monitoring machine, and computer program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (en) * | 2002-10-16 | 2004-05-13 | Sony Corp | Method and apparatus for detecting dos attack, and program |
JP2004266483A (en) * | 2003-02-28 | 2004-09-24 | Nec Corp | Unauthorized access prevention method,device, program |
JP2005039591A (en) * | 2003-07-16 | 2005-02-10 | Toshiba Corp | Unauthorized access protection device and program |
-
2005
- 2005-02-23 JP JP2005047888A patent/JP4170301B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (en) * | 2002-10-16 | 2004-05-13 | Sony Corp | Method and apparatus for detecting dos attack, and program |
JP2004266483A (en) * | 2003-02-28 | 2004-09-24 | Nec Corp | Unauthorized access prevention method,device, program |
JP2005039591A (en) * | 2003-07-16 | 2005-02-10 | Toshiba Corp | Unauthorized access protection device and program |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8375445B2 (en) | 2007-10-30 | 2013-02-12 | Fujitsu Limited | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2010171669A (en) * | 2009-01-22 | 2010-08-05 | Nippon Telegr & Teleph Corp <Ntt> | Attack traffic detecting method and attack traffic detecting device |
JP2012146337A (en) * | 2012-05-07 | 2012-08-02 | Ricoh Co Ltd | Information processing apparatus, information processing method, program |
JP2018033144A (en) * | 2012-11-22 | 2018-03-01 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior on communication network |
JP2016502340A (en) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior in communication networks |
JP2013122784A (en) * | 2013-02-08 | 2013-06-20 | Ricoh Co Ltd | Information processing method, information processor and system |
JP6071026B1 (en) * | 2015-09-16 | 2017-02-01 | 広東睿江云計算股▲ふん▼有限公司 | Abnormal flow detection method |
JP2017059232A (en) * | 2015-09-16 | 2017-03-23 | 広東睿江云計算股▲ふん▼有限公司 | Abnormal flow detection method |
US10505958B2 (en) | 2015-09-16 | 2019-12-10 | Guangdong Eflycloud Computing Co., LTD | Method for detecting abnormal traffic |
CN107872434A (en) * | 2016-09-27 | 2018-04-03 | 阿里巴巴集团控股有限公司 | The screening technique and device of a kind of accessing points |
CN107872434B (en) * | 2016-09-27 | 2020-12-01 | 阿里巴巴集团控股有限公司 | Method and device for screening access points |
CN110998576A (en) * | 2017-07-19 | 2020-04-10 | 株式会社自动网络技术研究所 | Receiving device, monitoring machine, and computer program |
CN110998576B (en) * | 2017-07-19 | 2023-05-23 | 株式会社自动网络技术研究所 | Receiving device, monitor, and recording medium |
Also Published As
Publication number | Publication date |
---|---|
JP4170301B2 (en) | 2008-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4170301B2 (en) | DoS attack detection method, DoS attack detection system, and DoS attack detection program | |
CN109889547B (en) | Abnormal network equipment detection method and device | |
JP3824274B2 (en) | Unauthorized connection detection system and unauthorized connection detection method | |
JP5264470B2 (en) | Attack determination device and program | |
CN106537872B (en) | Method for detecting attacks in a computer network | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
US7440406B2 (en) | Apparatus for displaying network status | |
CN106330944B (en) | Malicious system vulnerability scanner identification method and device | |
US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
KR101972295B1 (en) | The intrusion detection device and the intrusion detection program stored in the storage medium | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
CN109951345A (en) | A kind of alert processing method and device | |
JP6520515B2 (en) | Network monitoring system, network monitoring program, and network monitoring method | |
US8064454B2 (en) | Protocol incompatibility detection | |
JP2010250607A (en) | System, method and program for analysis of unauthorized access | |
JP3760919B2 (en) | Unauthorized access prevention method, apparatus and program | |
JP2014036408A (en) | Communication apparatus, communication system, communication method, and communication program | |
JP2003258795A (en) | Computer aggregate operating method, implementation system therefor, and processing program therefor | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
JP4002276B2 (en) | Unauthorized connection detection system | |
JP2003348113A (en) | Switch and lan | |
JP2009225045A (en) | Communication jamming apparatus and communication jamming program | |
CN112491911A (en) | DNS distributed denial of service defense method, device, equipment and storage medium | |
KR20110027907A (en) | System for counterplaning web firewall using conative detection·interception and method therefor | |
JP2007102747A (en) | Packet detector, message detection program, shutdown program of unauthorized e-mail |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070918 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080122 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080729 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080806 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4170301 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120815 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130815 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |