JP2007267151A - 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム - Google Patents
異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム Download PDFInfo
- Publication number
- JP2007267151A JP2007267151A JP2006090850A JP2006090850A JP2007267151A JP 2007267151 A JP2007267151 A JP 2007267151A JP 2006090850 A JP2006090850 A JP 2006090850A JP 2006090850 A JP2006090850 A JP 2006090850A JP 2007267151 A JP2007267151 A JP 2007267151A
- Authority
- JP
- Japan
- Prior art keywords
- sip
- packet
- abnormal
- transaction processing
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】異常トラフィック検知装置20は、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知する。具体的には、異常トラフィック検知装置20は、特定のトランザクション処理の状態で、意図しないSIPパケットを受信した場合や、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知する。
【選択図】 図1
Description
まず最初に、図1を用いて、実施例1に係る異常トラフィック検知装置の概要および特徴を説明する。図1は、実施例1に係る異常トラフィック検知装置を含むシステムの全体構成を示すシステム構成図である。
次に、図2を用いて、図1に示した異常トラフィック検知装置20の構成を説明する。図2は、異常トラフィック検知装置20の構成を示すブロック図である。同図に示すように、この異常トラフィック検知装置20は、通信制御I/F部21と、記憶部22と、パケット処理部23と、異常パケットカウント部24と、異常パケット処理部25とから構成される。
次に、図9を用いて、実施例1に係る異常トラフィック検知装置20による処理を説明する。図9は、実施例1に係る異常トラフィック検知処理の流れを示すフローチャートである。
このように、実施例1によれば、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知するので、例えば、パケットパターンに規定していない新たな攻撃などを検知でき、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知することを防ぐことができる結果、SIPサーバ装置10あるいはSIPクライアント装置30へのDoS攻撃を正確かつ確実に検知することが可能である。
例えば、図10に示したように、SIPサーバ装置とSIPクライアント装置とが各々インターネットと接続されている中間に異常トラフィック検知装置を接続するようにしてもよい。これにより、既存のシステムに付加的に異常トラフィック検知装置を挿入することが可能である。
なお、上記の実施例では、本発明を実現する異常トラフィック検知装置20を機能面から説明したが、異常トラフィック検知装置20の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順(例えば、図9参照)は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したような異常トラフィック検知プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい(図12参照)。
20 異常トラフィック検知装置
21 通信制御I/F部
22 記憶部
22a 状態遷移テーブル
22b 状態遷移ルール
23 パケット処理部
23a パケット監視部
23b 状態情報取得部
23c 異常検知部
23d 攻撃検出部
24 異常パケットカウント部
25 異常パケット処理部
30 SIPクライアント装置
40 悪意のあるユーザ端末装置
Claims (8)
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知する異常トラフィック検知装置であって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手段と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手段と、
前記パケット監視手段により監視されるSIPパケットと前記状態情報取得手段により取得された状態情報とから異常パケットを検知する異常検知手段と、
を備えたことを特徴とする異常トラフィック検知装置。 - 前記異常検知手段は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする請求項1に記載の異常トラフィック検知装置。
- 前記異常検知手段は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする請求項1または2に記載の異常トラフィック検知装置。
- 前記異常検知手段は、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定することを特徴とする請求項1〜3のいずれか一つに記載の異常トラフィック検知装置。
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することに適する異常トラフィック検知方法であって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得工程と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視工程と、
前記パケット監視工程により監視されるSIPパケットと前記状態情報取得工程により取得された状態情報とから異常パケットを検知する異常検知工程と、
を備えたことを特徴とする異常トラフィック検知方法。 - 前記異常検知工程は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする請求項5に記載の異常トラフィック検知方法。
- 前記異常検知方法は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする請求項5または6に記載の異常トラフィック検知方法。
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することをコンピュータに実行させる異常トラフィック検知プログラムであって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手順と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手順と、
前記パケット監視手順により監視されるSIPパケットと前記状態情報取得手順により取得された状態情報とから異常パケットを検知する異常検知手順と、
をコンピュータに実行させることを特徴とする異常トラフィック検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006090850A JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006090850A JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007267151A true JP2007267151A (ja) | 2007-10-11 |
Family
ID=38639678
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006090850A Pending JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007267151A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009182573A (ja) * | 2008-01-30 | 2009-08-13 | Nec Corp | 監視分析装置、方法、及び、プログラム |
JP2011139152A (ja) * | 2009-12-25 | 2011-07-14 | Toshiba Corp | パケット誤配信対処方法、サーバ装置及び端末装置 |
JP2013223005A (ja) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出装置 |
KR101388628B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 방법 |
KR101388627B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
WO2015083926A1 (en) * | 2013-12-06 | 2015-06-11 | Korea Internet & Security Agency | Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks |
CN111813615A (zh) * | 2020-06-30 | 2020-10-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320636A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
JP2004363663A (ja) * | 2003-06-02 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Sip−algにおける呼状態管理方法 |
-
2006
- 2006-03-29 JP JP2006090850A patent/JP2007267151A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320636A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
JP2004363663A (ja) * | 2003-06-02 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Sip−algにおける呼状態管理方法 |
Non-Patent Citations (1)
Title |
---|
千村 保文: "IPセントレックス・サービス(18)", 日経コミュニケーション 第429号 NIKKEI COMMUNICATIONS, vol. 第429号, JPN6010006223, 1 January 2005 (2005-01-01), JP, pages 126 - 127, ISSN: 0001531203 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009182573A (ja) * | 2008-01-30 | 2009-08-13 | Nec Corp | 監視分析装置、方法、及び、プログラム |
JP2011139152A (ja) * | 2009-12-25 | 2011-07-14 | Toshiba Corp | パケット誤配信対処方法、サーバ装置及び端末装置 |
JP2013223005A (ja) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出装置 |
KR101388628B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 방법 |
KR101388627B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
WO2015083926A1 (en) * | 2013-12-06 | 2015-06-11 | Korea Internet & Security Agency | Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks |
CN111813615A (zh) * | 2020-06-30 | 2020-10-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
CN111813615B (zh) * | 2020-06-30 | 2024-02-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
US8375453B2 (en) | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network | |
US8782207B2 (en) | System and method to prevent endpoint device recovery flood in NGN | |
US20100154057A1 (en) | Sip intrusion detection and response architecture for protecting sip-based services | |
JP5088239B2 (ja) | 輻輳制御システム、境界ゲートウェイ装置及びそれらに用いる輻輳制御方法 | |
JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
JP2007060379A (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
US20080285468A1 (en) | Method and computer-readable medium for detecting abnormal packet in VoIP | |
JP3928866B2 (ja) | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 | |
JP4602158B2 (ja) | サーバ装置保護システム | |
JP2009053969A (ja) | サービス提供システム、フィルタリング装置、フィルタリング方法及びメッセージ確認方法 | |
Tas et al. | Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies | |
JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 | |
WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
JP5596626B2 (ja) | DoS攻撃検出方法及びDoS攻撃検出装置 | |
Park et al. | Security threats and countermeasure frame using a session control mechanism on volte | |
JP5574698B2 (ja) | 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 | |
JP2006023934A (ja) | サービス拒絶攻撃防御方法およびシステム | |
Jahanbakhsh et al. | Local and distributed SIP overload control solution improving sustainability of SIP networks | |
EP2493136A1 (en) | Method, apparatus and system for media data replay statistics | |
JP2011223256A (ja) | 通信監視装置、方法およびプログラム | |
Phit et al. | A protocol specification-based intrusion detection system for voip and its evaluation | |
JP2007142664A (ja) | ファイアウォール装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070702 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090703 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090907 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100209 |