JP2007267151A - 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム - Google Patents
異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム Download PDFInfo
- Publication number
- JP2007267151A JP2007267151A JP2006090850A JP2006090850A JP2007267151A JP 2007267151 A JP2007267151 A JP 2007267151A JP 2006090850 A JP2006090850 A JP 2006090850A JP 2006090850 A JP2006090850 A JP 2006090850A JP 2007267151 A JP2007267151 A JP 2007267151A
- Authority
- JP
- Japan
- Prior art keywords
- sip
- packet
- abnormal
- transaction processing
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】SIPサーバあるいはSIPクライアントへのDoS攻撃を正確かつ確実に検知することを課題とする。
【解決手段】異常トラフィック検知装置20は、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知する。具体的には、異常トラフィック検知装置20は、特定のトランザクション処理の状態で、意図しないSIPパケットを受信した場合や、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知する。
【選択図】 図1
【解決手段】異常トラフィック検知装置20は、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知する。具体的には、異常トラフィック検知装置20は、特定のトランザクション処理の状態で、意図しないSIPパケットを受信した場合や、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知する。
【選択図】 図1
Description
この発明は、SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知する異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムに関する。
従来より、悪意のあるユーザが、インターネット上のウェブサーバなどが提供するサービスを妨害する方法として、当該サーバに対して大量のパケットを送信することで、当該サーバの負荷を増加させてサービスを妨害するDoS(Denial of Service)攻撃がある。そして、近年では、SIP(Session Initiation Protocol)を用いたIP電話の普及に伴い、SIPサーバあるいはSIPクライアントがDoS攻撃の標的になる恐れが発生している。
そこで、このDoS攻撃を検知する方法として、Signature−based検出方法(例えば、非特許文献1)とanomaly−based検出方法(例えば、非特許文献2)などが知られている。
かかるSignature−based検出方法は、過去の攻撃トラフィックを分析することにより、攻撃検知の基準となるパケットパターンを抽出し、抽出したパケットパターンと攻撃対象とされるサーバが受信するパケットとのマッチングにより攻撃検知を行う。
また、anomaly−based検出方法は、特定の送信先に通常より大幅に大量のトラヒックが発生し、トラフィック量が所定の閾値を超えた場合に攻撃と検知する。
SNORT、[online]、[平成18年3月13日検索]、インターネット<http://www.snort.org/pub-bin/sigs-search.cgi?sid=ddos>
CISCO、"Advanced Policy Procedures"、[online]、[平成18年3月13日検索]、インターネット<http://www.cisco.com/univercd/cc/td/doc/product/secure/ad_g/ad_g_308/grdum/advpolcy.pdf>
ところで、上記した非特許文献1に係る従来技術では、パケットパターンに規定するもののみ攻撃と検知するので、パケットパターンに規定していない新たな攻撃などに対しては、攻撃検知が確実でないという課題があった。
また、上記した非特許文献2に係る従来技術では、設定される所定の閾値は、通常のパケットレートの上限値であるので、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知してしまい、攻撃検知が正確でないという課題があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、SIPサーバあるいはSIPクライアントへのDoS攻撃を正確かつ確実に検知することが可能である異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知する異常トラフィック検知装置であって、前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手段と、前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手段と、前記パケット監視手段により監視されるSIPパケットと前記状態情報取得手段により取得された状態情報とから異常パケットを検知する異常検知手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記異常検知手段は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記異常検知手段は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記異常検知手段は、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定することを特徴とする。
また、請求項5に係る発明は、SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することに適する異常トラフィック検知方法であって、前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得工程と、前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視工程と、前記パケット監視工程により監視されるSIPパケットと前記状態情報取得工程により取得された状態情報とから異常パケットを検知する異常検知工程と、を備えたことを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記異常検知工程は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記異常検知方法は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする。
また、請求項8に係る発明は、SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することをコンピュータに実行させる異常トラフィック検知プログラムであって、前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手順と、前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手順と、前記パケット監視手順により監視されるSIPパケットと前記状態情報取得手順により取得された状態情報とから異常パケットを検知する異常検知手順と、をコンピュータに実行させることを特徴とする。
請求項1、5または8の発明によれば、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知するので、例えば、パケットパターンに規定していない新たな攻撃などを検知でき、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知することを防ぐことができる結果、SIPサーバあるいはSIPクライアントへのDoS攻撃を正確かつ確実に検知することが可能である。
また、請求項2または6の発明によれば、特定のトランザクション処理の状態で、当該処理状態では意図しないSIPパケットを受信した場合に、SIPパケットを異常パケットとして検知するので、例えば、特定のトランザクション処理に不必要なSIPパケットを異常パケットとして検知することができる結果、SIPサーバあるいはSIPクライアントへのDoS攻撃をより正確かつ確実に検知することが可能である。
また、請求項3または7の発明によれば、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知するので、例えば、通信状態が悪い場合に起こる再送処理を異常パケットとして誤検知することなく、また、必要以上の再送処理を異常パケットとして検知することができる結果、SIPサーバあるいはSIPクライアントへのDoS攻撃をより正確かつ確実に検知することが可能である。
また、請求項4の発明によれば、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定するので、例えば、何らかの原因で突発的に発生した異常パケットをすぐにDoS攻撃と判断しないなど、より正確にDoS攻撃を検知することが可能である。
以下に添付図面を参照して、この発明に係る異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムの実施例を詳細に説明する。
以下の実施例1では、本発明に係る異常トラフィック検知装置の概要および特徴、異常トラフィック検知装置の構成および処理の流れ、実施例1による効果等を順に説明する。
[異常トラフィック検知装置の概要および特徴]
まず最初に、図1を用いて、実施例1に係る異常トラフィック検知装置の概要および特徴を説明する。図1は、実施例1に係る異常トラフィック検知装置を含むシステムの全体構成を示すシステム構成図である。
まず最初に、図1を用いて、実施例1に係る異常トラフィック検知装置の概要および特徴を説明する。図1は、実施例1に係る異常トラフィック検知装置を含むシステムの全体構成を示すシステム構成図である。
図1に示すように、実施例1に係る異常トラフィック検知装置20は、DoS攻撃などからの保護対象とされるSIPサーバ装置10またはSIPクライアント装置30とインターネットとの間に接続される。また、インターネットには、他の複数のSIPサーバ装置10またはSIPクライアント装置30が接続され、さらに、DoS攻撃などを行う悪意のあるユーザ端末装置(以下、ユーザ端末装置)40も接続される。
ここで、SIPサーバ装置10およびSIPクライアント装置30は、インターネットを介して、他のSIPサーバ装置10またはSIPクライアント装置30とやりとりを行うSIPパケットを用いて、SIPトランザクション処理を行う端末装置である。一方、ユーザ端末装置30は、SIPトランザクション処理に不要であり、異常トラフィックを発生させる原因となるSIPパケット(異常パケット)をSIPサーバ装置10やSIPクライアント装置30に送信する端末装置である。
このような構成のもと、実施例1に係る異常トラフィック検知装置20は、SIPトランザクション処理を行うSIPサーバ装置10またはSIPクライアント装置30に対する異常トラフィックを検知することを概要とするものであり、特に、SIPサーバ装置10またはSIPクライアント装置30へのDoS攻撃(異常トラフィックなど)を正確かつ確実に検知することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、異常トラフィック検知装置20は、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し(図1の(1))、SIPトランザクション処理にて処理されるSIPパケットを監視し(図1の(2))、監視されるSIPパケットと取得された状態情報とから異常パケットを検知する(図1の(3))。
これをより詳細に説明すると、異常トラフィック検知装置20は、SIPサーバ装置10またはSIPクライアント装置30によるSIPトランザクション処理の状態遷移ルールとして、SIPトランザクション処理を進行するにあたり、特定のトランザクション処理において、予想されるメッセージ種別などを記憶する(図4〜図8参照)。そして、異常トラフィック検知装置20は、DoS攻撃などからの保護対象とされるSIPサーバ装置10またはSIPクライアント装置30がやりとりするSIPパケットをネットワークから取り出し、SIPサーバ装置10またはSIPクライアント装置30におけるSIPトランザクション処理の状態情報を推測するとともに、SIPパケットのヘッダーから、送信SIPパケットか受信SIPパケットか、新しいセッションか否か、レスポンスパケットか否かなどの情報を取得する。
そして、異常トラフィック検知装置20は、状態遷移ルール(図4〜図8参照)を参照し、特定のトランザクション処理の状態で、意図しないSIPパケットを受信した場合や、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知する。
このようなことから、実施例1に係る異常トラフィック検知装置20は、例えば、パケットパターンに規定していない新たな攻撃などを検知でき、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知することを防ぐことができる結果、上記した主たる特徴のごとく、SIPサーバあるいはSIPクライアントへのDoS攻撃(異常トラフィックなど)を正確かつ確実に検知することが可能である。
[異常トラフィック検知装置の構成(実施例1)]
次に、図2を用いて、図1に示した異常トラフィック検知装置20の構成を説明する。図2は、異常トラフィック検知装置20の構成を示すブロック図である。同図に示すように、この異常トラフィック検知装置20は、通信制御I/F部21と、記憶部22と、パケット処理部23と、異常パケットカウント部24と、異常パケット処理部25とから構成される。
次に、図2を用いて、図1に示した異常トラフィック検知装置20の構成を説明する。図2は、異常トラフィック検知装置20の構成を示すブロック図である。同図に示すように、この異常トラフィック検知装置20は、通信制御I/F部21と、記憶部22と、パケット処理部23と、異常パケットカウント部24と、異常パケット処理部25とから構成される。
かかる通信制御I/F部21は、SIPサーバ装置10やSIPクライアント装置30など外部装置との間でやり取りする各種情報に関する通信を制御する手段である。具体的には、SIPサーバ装置10やSIPクライアント装置30など外部装置との間でやり取りされるパケットをネットワークから取り出して受信する。
記憶部22は、異常パケットの検知処理に必要なデータを格納する格納手段(記憶手段)であり、特に本発明に密接に関連するものとしては、状態遷移テーブル22aと、状態遷移ルール22bとを備える。
このうち、状態遷移テーブル22aは、SIPトランザクション処理の状態遷移をリアルタイムに記憶する手段であり、具体的には、図3に示すように、SIPトランザクション処理(セッション)ごとに、セッションID、トランザクションタイプ、最新パケット受信時間などを対応付けて記憶して構成される。なお、図3は、状態遷移テーブルの構成例を示す図である。
例えば、図3に示すように、SIPトランザクション処理(セッション)ごとに、「SessionID、TransactionType、Session開始時間、CurentState、最新パケット受信時間、ErrorCount」として、「aaa、INVITE ST、3 Feb 2006 20:40:01、Proceeding、3 Feb 2006 20:40:03、0」などを記憶する。
状態遷移ルール22bは、SIPトランザクション処理の状態遷移ルールを記憶する手段であり、具体的には、図4〜図8に示すように、SIPトランザクション処理を進行するにあたり、特定のトランザクション処理において、予想されるメッセージ種別などを記憶する。なお、図4は、SIPパケットを受信した際に遷移するSIPトランザクション状態を示した図であり、図5は、「INVITE ST」状態を詳細に示した図であり、図6は、「INVITE CT」状態を詳細に示した図であり、図7は、「Non_INVITE ST」状態を詳細に示した図であり、図8は、「Non_INVITE CT」状態を詳細に示した図である。なお、「ST」とは、SIPサーバ装置のSIPトランザクション処理で遷移する状態であり、「CT」は、SIPクライアント装置のSIPトランザクション処理で遷移する状態である。
ここで、図4〜図8を簡単に説明すると、まず、図4に示すように、SIPサーバ装置10は、新しいセッションのSIPパケットであって、種別がINVITEであるセッション開始のSIPパケットを受信した場合、中心の「アイドリング」状態から「INVITE ST」状態へ遷移し、また、新しいセッションのSIPパケットであって、INVITE以外のパケット(例えば、Ringing、OK、ACKなど)を受信した場合、「アイドリング」状態から「Non_INVITE ST」状態へ遷移する。同様に、SIPクライアント装置30は、新しいセッションのSIPパケットであって、種別がINVITEであるセッション開始のSIPパケットを受信した場合、中心の「アイドリング」状態から「INVITE CT」状態へ遷移し、また、新しいセッションのSIPパケットであって、INVITE以外のパケット(例えば、Ringing、OK、ACKなど)を受信した場合、「アイドリング」状態から「Non_INVITE CT」状態へ遷移する。
一方、SIPサーバ装置10およびSIPクライアント装置30は、新しいセッションのSIPパケットであるが、存在しないセッションのresponseを受信した場合、「ERROR」状態へ遷移する。つまり、存在しないセッションのresponseを受信した場合、異常トラフィック検知装置20は、「存在しないセッションのresponse」を「不要パケット」として検知する。
続いて、図5〜図8に示した各トランザクション処理の状態のうちから、図5を用いて、「INVITE ST」状態を詳細に説明すると、SIPサーバ装置10において、SIPトランザクション処理の「INVITE ST」状態は、「Proceeding」と「Completed」と「Confirmed」と「Terminated」と「Error」との5つのStateから構成される。
例えば、SIPサーバ装置10が「アイドリング」状態から「INVITE ST」状態へ遷移すると、SIPサーバ装置10におけるSIPトランザクション状態は、「Proceeding」State状態となる。その後、SIPサーバ装置10が、「INVITE」または「1xx」種別のSIPパケットを受信すると、「Proceeding」State状態のままであり、「300〜699」種別のSIPパケットを送信すると、「Completed」State状態に遷移し、「2xx」または「transport error」種別のSIPパケットを受信すると、「Terminated」State状態に遷移する。なお、「1xx」はSIPパケットのinformationalレスポンスパケットを示し、「2xx」は、successレスポンスパケットを示し、「300−699」はエラーレスポンスパケットを示している。
ところが、SIPサーバ装置10におけるSIPトランザクション状態がこの「Proceeding」State状態である場合に、SIPサーバ装置10が、「非INVITE」種別のSIPパケットを受信、または、「INVITE」再送回数が閾値以上となった場合、SIPトランザクション状態は、「Proceeding」から「Error」Stateに遷移する。つまり、異常トラフィック検知装置20は、SIPサーバ装置10におけるSIPトランザクション状態が「Proceeding」State状態である場合に、「非INVITE」種別のSIPパケットを検知、または、「INVITE」再送回数が閾値以上となった場合、それぞれ起因となるSIPパケットを「不要パケット」として検知する。
このように、図4に示したSIPパケットを受信した際に遷移するSIPトランザクション状態、または、図5〜図8に示したそれぞれの詳細なSIPトランザクション状態において、異常トラフィック検知装置20は、状態を遷移させるために意図しないSIPパケットを検知した場合や、あるパケットの再送回数が閾値以上となった場合に、当該SIPパケットを「不要パケット」として検知する。
図2の説明に戻ると、パケット処理部23は、通信制御I/F部21にて受信したパケットからSIPに関する情報を取得し、SIPパケットを制御する手段であり、特に本発明に密接に関連するものとしては、パケット監視部23aと、状態情報取得部23bと、異常検知部23cと、攻撃検出部23dとから構成される。なお、パケット監視部23aは、特許請求の範囲に記載の「パケット監視手段」に対応し、同様に、状態情報取得部23bは、「状態情報取得手段」に対応し、異常検知部23cと攻撃検出部23dは、「異常検知手段」に対応する。
このうち、パケット監視部23aは、SIPサーバ装置10またはSIPクライアント装置30のSIPトランザクション処理にて処理されるSIPパケットを監視する手段であり、具体的には、通信制御I/F部21で取り出されたSIPパケットを監視し、SIPパケットのヘッダーから各種情報を取得する。例えば、SIPパケットのヘッダーから、送信SIPパケットか受信SIPパケットか、新しいセッションか否か、レスポンスパケットか否かなどの情報を取得する。
また、状態情報取得部23bは、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する手段であり、具体的には、状態遷移ルール22bに記憶されたルールやパケット監視部23aにより取得された情報により、SIPサーバ装置10またはSIPクライアント装置30におけるSIPトランザクション処理の状態情報を推測し、状態遷移テーブル22aに書き込む。なお、状態情報取得部23bは、新しいセッション、かつ、セッション数が上限値を超えるか否かを判定し、上限数を超えない場合に、新たなトランザクション処理として、状態遷移テーブル22aに新しいテーブルを作成する。
異常検知部22cは、パケット監視部22aにより監視されるSIPパケットと状態情報取得部22bにより取得された状態情報とから異常パケット(不要パケット)を検知する手段である。具体的には、状態遷移ルール22bに記憶されたルールを参照し、特定のトランザクション処理の状態で、意図しないSIPパケットを受信した場合に、SIPパケットを異常パケットとして検知し、同一のトランザクション処理の状態で、SIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知する。言い換えれば、異常検知部22cは、状態遷移ルール22bに記憶されたルールを参照し、SIPパケットを受信したことによってトランザクション処理の状態が「Error」状態に遷移した場合に、そのSIPパケットを異常パケットとして検知する(図5〜図8参照)。
また、異常検知部22cは、新しいセッションのSIPパケットを受信した場合、当該SIPパケットがレスポンスパケットか否かを判定し、レスポンスパケットである場合、そのSIPパケットを異常パケットとして検知する(図4参照)。なお、レスポンスパケットである場合、後述する異常パケットカウント部25により異常パケットとしてカウントされる。一方、レスポンスパケットでない場合、状態情報取得部23bによりセッション状態上限数が超過するか否かが判定される。
攻撃検出部23dは、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定する手段であり、具体的には、意図しないSIPパケットを受信した場合やレスポンスパケットを受信した場合など、異常検知部22cにより異常パケットとして検知されたパケット数が後述する異常パケットカウント部25にてカウントされ、所定の閾値以上になった場合に、攻撃を受けていると判定する。
そして、異常パケットカウント部25は、異常パケット数をカウントする手段であり、具体的には、異常検知部22cにより異常パケットとして検知されたパケット数をカウントする。
異常パケット処理部26は、検知された異常パケットを処理する手段であり、具体的には、異常検知部22cにより検知された異常パケットを破棄したり、攻撃検出部23dによる攻撃検知に応じて警報処理を行ったりなど、攻撃に対する適切な処理を行う。
[異常トラフィック検知装置による処理(実施例1)]
次に、図9を用いて、実施例1に係る異常トラフィック検知装置20による処理を説明する。図9は、実施例1に係る異常トラフィック検知処理の流れを示すフローチャートである。
次に、図9を用いて、実施例1に係る異常トラフィック検知装置20による処理を説明する。図9は、実施例1に係る異常トラフィック検知処理の流れを示すフローチャートである。
図9に示すように、SIPサーバ装置10またはSIPクライアント装置30にてSIPパケットの送受信が行われると(ステップS901肯定)、異常トラフィック検知装置20の通信制御I/F部21は、送受信されるSIPパケットをネットワークから取り出して受信する(ステップS902)。
そして、異常トラフィック検知装置20のパケット監視部23aは、SIPパケットのヘッダーから各種情報を取得する(ステップS903)。続いて、状態情報取得部23bは、パケット監視部23aにより取得したヘッダー情報から当該SIPパケットが新しいセッションのパケットか否かを判定する(ステップS904)。
その後、新しいセッションのパケットでない場合(ステップS904否定)、状態情報取得部23bは、状態遷移テーブル22aに該当セッションの状態をアップデートする(ステップS905)。続いて、状態情報取得部23bは、当該トランザクションの状態がErrorか否か、つまり、異常か否かを判定する(ステップS906)。
そして、Errorでない、つまり、異常でない場合(ステップS906否定)、異常トラフィック検知装置20は、処理を終了し、次のパケットを監視する。一方、Errorである、つまり、異常である場合(ステップS906肯定)、状態情報取得部23bは、異常パケット発生を異常パケットカウント部25に通知し、異常パケットカウント部25は、異常パケットをカウントし(ステップS908)、攻撃検出部23dは、異常パケット数が閾値超過したか否かを判定する(ステップS909)。
一方、上記したステップS904に戻り、新しいセッションのSIPパケットである場合(ステップS904肯定)、異常検知部23cは、当該SIPパケットがレスポンスパケットか否かを判定する(ステップS907)。
そして、レスポンスパケットである場合(ステップS907肯定)、異常検知部23cは、異常パケット発生を異常パケットカウント部25に通知し、異常パケットカウント部25は、異常パケットをカウントする(ステップS908)。その後、攻撃検出部23dは、異常パケット数が閾値超過したか否かを判定する(ステップS909)。
続いて、異常パケット数が閾値超過した場合(ステップS909肯定)、攻撃検出部23dは、攻撃を受けていると判定し、攻撃を検出する(ステップS910)。一方、異常パケット数が閾値超過していない場合(ステップS909否定)、異常トラフィック検知装置20は、処理を終了し、次のパケットを監視する。
一方、上記したステップS907に戻り、SIPパケットがレスポンスパケットでない場合(ステップS907否定)、状態情報取得部23bは、セッション数が上限値を超過したか否かを判定する(ステップS911)。
そして、セッション数が上限値を超過した場合(ステップS911肯定)、異常検知部23cは、異常パケット発生を異常パケットカウント部25に通知し、異常パケットカウント部25は、異常パケットをカウントし(ステップS908)、攻撃検出部23dは、異常パケット数が閾値超過したか否かを判定する(ステップS909)。
一方、セッション数が上限値を超過していない場合(ステップS911否定)、状態情報取得部23bは、状態遷移テーブル22aに新しいエントリを追加する(ステップS912)。その後、異常トラフィック検知装置20は、処理を終了し、次のパケットを監視する。
[実施例1による効果]
このように、実施例1によれば、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知するので、例えば、パケットパターンに規定していない新たな攻撃などを検知でき、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知することを防ぐことができる結果、SIPサーバ装置10あるいはSIPクライアント装置30へのDoS攻撃を正確かつ確実に検知することが可能である。
このように、実施例1によれば、SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得し、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視されるSIPパケットと取得された状態情報とから異常パケットを検知するので、例えば、パケットパターンに規定していない新たな攻撃などを検知でき、攻撃以外の正規ユーザからの集中アクセスも攻撃と誤検知することを防ぐことができる結果、SIPサーバ装置10あるいはSIPクライアント装置30へのDoS攻撃を正確かつ確実に検知することが可能である。
また、実施例1によれば、特定のトランザクション処理の状態で、当該処理状態で意図しないSIPパケットを受信した場合に、SIPパケットを異常パケットとして検知するので、例えば、特定のトランザクション処理に不必要なSIPパケットを異常パケットとして検知することができる結果、SIPサーバ装置10あるいはSIPクライアント装置30へのDoS攻撃をより正確かつ確実に検知することが可能である。
また、実施例1によれば、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超過した場合に、SIPパケットを異常パケットとして検知するので、例えば、通信状態が悪い場合に起こる再送処理を異常パケットとして誤検知することなく、また、必要以上の再送処理を異常パケットとして検知することができる結果、SIPサーバ装置10あるいはSIPクライアント装置30へのDoS攻撃をより正確かつ確実に検知することが可能である。
また、実施例1によれば、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定するので、例えば、何らかの原因で突発的に発生した異常パケットをすぐにDoS攻撃と判断しないなど、より正確にDoS攻撃を検知することが可能である。
また、実施例1では、SIPサーバ装置10またはSIPクライアント装置30に対する異常トラフィックを別々の異常トラフィック検知装置20で検知する場合を説明したが、本発明はこれに限定されるものではなく、SIPクライアント装置10またはSIPサーバ装置30との両方に対する異常トラフィックを1台の異常トラフィック検知装置20で検知するようにしてもよい。
ところで、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)システム構成等、(2)プログラムにそれぞれ区分けして実施例2として説明する。
(1)システム構成等
例えば、図10に示したように、SIPサーバ装置とSIPクライアント装置とが各々インターネットと接続されている中間に異常トラフィック検知装置を接続するようにしてもよい。これにより、既存のシステムに付加的に異常トラフィック検知装置を挿入することが可能である。
例えば、図10に示したように、SIPサーバ装置とSIPクライアント装置とが各々インターネットと接続されている中間に異常トラフィック検知装置を接続するようにしてもよい。これにより、既存のシステムに付加的に異常トラフィック検知装置を挿入することが可能である。
また、図11に示したように、SIPサーバ装置とSIPクライアント装置とが各々インターネットと接続されている中間に、tapなどを用いて、異常トラフィック検知装置を接続するようにしてもよい。これにより、既存のシステムに付加的に異常トラフィック検知装置を挿入することが可能である。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図2に示した異常トラフィック検知装置20の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち異常トラフィック検知装置20の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、異常パケット処理部25をパケット処理部23に統合するなど)。さらに、異常トラフィック検知装置20にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)プログラム
なお、上記の実施例では、本発明を実現する異常トラフィック検知装置20を機能面から説明したが、異常トラフィック検知装置20の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順(例えば、図9参照)は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したような異常トラフィック検知プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい(図12参照)。
なお、上記の実施例では、本発明を実現する異常トラフィック検知装置20を機能面から説明したが、異常トラフィック検知装置20の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順(例えば、図9参照)は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したような異常トラフィック検知プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい(図12参照)。
以上のように、本発明に係る異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムは、SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することに有用であり、特に、SIPサーバあるいはSIPクライアントへのDoS攻撃を正確かつ確実に検知することに適する。
10 SIPサーバ装置
20 異常トラフィック検知装置
21 通信制御I/F部
22 記憶部
22a 状態遷移テーブル
22b 状態遷移ルール
23 パケット処理部
23a パケット監視部
23b 状態情報取得部
23c 異常検知部
23d 攻撃検出部
24 異常パケットカウント部
25 異常パケット処理部
30 SIPクライアント装置
40 悪意のあるユーザ端末装置
20 異常トラフィック検知装置
21 通信制御I/F部
22 記憶部
22a 状態遷移テーブル
22b 状態遷移ルール
23 パケット処理部
23a パケット監視部
23b 状態情報取得部
23c 異常検知部
23d 攻撃検出部
24 異常パケットカウント部
25 異常パケット処理部
30 SIPクライアント装置
40 悪意のあるユーザ端末装置
Claims (8)
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知する異常トラフィック検知装置であって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手段と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手段と、
前記パケット監視手段により監視されるSIPパケットと前記状態情報取得手段により取得された状態情報とから異常パケットを検知する異常検知手段と、
を備えたことを特徴とする異常トラフィック検知装置。 - 前記異常検知手段は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする請求項1に記載の異常トラフィック検知装置。
- 前記異常検知手段は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする請求項1または2に記載の異常トラフィック検知装置。
- 前記異常検知手段は、検知した異常パケットの数が所定の閾値以上になった場合に、攻撃を受けていると判定することを特徴とする請求項1〜3のいずれか一つに記載の異常トラフィック検知装置。
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することに適する異常トラフィック検知方法であって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得工程と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視工程と、
前記パケット監視工程により監視されるSIPパケットと前記状態情報取得工程により取得された状態情報とから異常パケットを検知する異常検知工程と、
を備えたことを特徴とする異常トラフィック検知方法。 - 前記異常検知工程は、特定のトランザクション処理の状態で、当該処理状態では意図しない当該SIPパケットを受信した場合に、前記SIPパケットを異常パケットとして検知することを特徴とする請求項5に記載の異常トラフィック検知方法。
- 前記異常検知方法は、同一のトランザクション処理の状態で、前記SIPパケットの再送回数が所定の閾値を超過した場合に、当該SIPパケットを異常パケットとして検知することを特徴とする請求項5または6に記載の異常トラフィック検知方法。
- SIPトランザクション処理を行うSIPクライアント装置および/またはSIPサーバ装置に対する異常トラフィックを検知することをコンピュータに実行させる異常トラフィック検知プログラムであって、
前記SIPトランザクション処理の状態情報をSIPパケットのヘッダーから取得する状態情報取得手順と、
前記SIPトランザクション処理にて処理されるSIPパケットを監視するパケット監視手順と、
前記パケット監視手順により監視されるSIPパケットと前記状態情報取得手順により取得された状態情報とから異常パケットを検知する異常検知手順と、
をコンピュータに実行させることを特徴とする異常トラフィック検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006090850A JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006090850A JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007267151A true JP2007267151A (ja) | 2007-10-11 |
Family
ID=38639678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006090850A Pending JP2007267151A (ja) | 2006-03-29 | 2006-03-29 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007267151A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009182573A (ja) * | 2008-01-30 | 2009-08-13 | Nec Corp | 監視分析装置、方法、及び、プログラム |
| JP2011139152A (ja) * | 2009-12-25 | 2011-07-14 | Toshiba Corp | パケット誤配信対処方法、サーバ装置及び端末装置 |
| JP2013223005A (ja) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出装置 |
| KR101388628B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 방법 |
| KR101388627B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
| WO2015083926A1 (en) * | 2013-12-06 | 2015-06-11 | Korea Internet & Security Agency | Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks |
| CN111813615A (zh) * | 2020-06-30 | 2020-10-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320636A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| JP2004363663A (ja) * | 2003-06-02 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Sip−algにおける呼状態管理方法 |
-
2006
- 2006-03-29 JP JP2006090850A patent/JP2007267151A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320636A (ja) * | 2003-04-18 | 2004-11-11 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| JP2004363663A (ja) * | 2003-06-02 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | Sip−algにおける呼状態管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 千村 保文: "IPセントレックス・サービス(18)", 日経コミュニケーション 第429号 NIKKEI COMMUNICATIONS, vol. 第429号, JPN6010006223, 1 January 2005 (2005-01-01), JP, pages 126 - 127, ISSN: 0001531203 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009182573A (ja) * | 2008-01-30 | 2009-08-13 | Nec Corp | 監視分析装置、方法、及び、プログラム |
| JP2011139152A (ja) * | 2009-12-25 | 2011-07-14 | Toshiba Corp | パケット誤配信対処方法、サーバ装置及び端末装置 |
| JP2013223005A (ja) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出装置 |
| KR101388628B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 방법 |
| KR101388627B1 (ko) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
| WO2015083926A1 (en) * | 2013-12-06 | 2015-06-11 | Korea Internet & Security Agency | Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks |
| CN111813615A (zh) * | 2020-06-30 | 2020-10-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
| CN111813615B (zh) * | 2020-06-30 | 2024-02-23 | 光大兴陇信托有限责任公司 | 一种应用系统事务异常处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
| US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
| US8375453B2 (en) | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network | |
| US8782207B2 (en) | System and method to prevent endpoint device recovery flood in NGN | |
| US20100154057A1 (en) | Sip intrusion detection and response architecture for protecting sip-based services | |
| JP5088239B2 (ja) | 輻輳制御システム、境界ゲートウェイ装置及びそれらに用いる輻輳制御方法 | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| JP2007060379A (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US20080285468A1 (en) | Method and computer-readable medium for detecting abnormal packet in VoIP | |
| JP3928866B2 (ja) | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 | |
| JP4602158B2 (ja) | サーバ装置保護システム | |
| JP2009053969A (ja) | サービス提供システム、フィルタリング装置、フィルタリング方法及びメッセージ確認方法 | |
| Tas et al. | Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies | |
| JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 | |
| WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
| JP5596626B2 (ja) | DoS攻撃検出方法及びDoS攻撃検出装置 | |
| Park et al. | Security threats and countermeasure frame using a session control mechanism on volte | |
| JP5574698B2 (ja) | 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品 | |
| JP2006023934A (ja) | サービス拒絶攻撃防御方法およびシステム | |
| Jahanbakhsh et al. | Local and distributed SIP overload control solution improving sustainability of SIP networks | |
| EP2493136A1 (en) | Method, apparatus and system for media data replay statistics | |
| JP2011223256A (ja) | 通信監視装置、方法およびプログラム | |
| Phit et al. | A protocol specification-based intrusion detection system for voip and its evaluation | |
| JP2007142664A (ja) | ファイアウォール装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070702 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090703 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090907 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100209 |