JP2010218462A - Information processor, information processing method, and program - Google Patents

Information processor, information processing method, and program Download PDF

Info

Publication number
JP2010218462A
JP2010218462A JP2009067074A JP2009067074A JP2010218462A JP 2010218462 A JP2010218462 A JP 2010218462A JP 2009067074 A JP2009067074 A JP 2009067074A JP 2009067074 A JP2009067074 A JP 2009067074A JP 2010218462 A JP2010218462 A JP 2010218462A
Authority
JP
Japan
Prior art keywords
request
snmp
dos attack
received
snmp request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009067074A
Other languages
Japanese (ja)
Inventor
Hiromoto Osaki
博基 大▲崎▼
Yuichiro Hayashi
雄一郎 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2009067074A priority Critical patent/JP2010218462A/en
Publication of JP2010218462A publication Critical patent/JP2010218462A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To appropriately detect a DoS (denial of service) attack even if throughput is low. <P>SOLUTION: An SNMP (simple network management protocol) request is once held in a queue prior to carrying out processing for the received SNMP request. Whether SNMP requests from an optional remote host were made the fixed number of times or more is examined prior to carrying out processing for the head SNMP request in the queue. As a result, if the SNMP requests from the same remote host were made the fixed number of times or more, they are detected as the DoS attack from the remote host. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、DoS攻撃の検出を行う情報処理装置、情報処理方法およびプログラムに関する。   The present invention relates to an information processing apparatus, an information processing method, and a program for detecting a DoS attack.

標的の情報処理装置(コンピュータなど)に対して、ネットワークを介して大量のパケットを送信することで当該情報処理装置の処理を滞らせ、当該情報処理装置の利用に支障が起こるようにする、DoS(Denial of Service)攻撃が知られている。このため、標的となり得る情報処理装置側では、何らかの手段でDoS攻撃を検知し、当該情報処理装置による他のサービスを継続して提供できるように対応する必要がある。   DoS that delays the processing of the information processing device by transmitting a large amount of packets to the target information processing device (such as a computer) via the network, thereby hindering the use of the information processing device. (Denial of Service) attacks are known. For this reason, the information processing apparatus that can be a target needs to detect a DoS attack by some means and take measures to continuously provide other services by the information processing apparatus.

特許文献1には、パスワードクラックとDoS攻撃を共に防止する事を目的とし、所定時間内に閾値以上のアクセスがあった場合にDoS攻撃として検知する構成が開示されている。   Patent Document 1 discloses a configuration that detects a DoS attack when there is an access exceeding a threshold value within a predetermined time, for the purpose of preventing both a password crack and a DoS attack.

ところで、DoS攻撃の一つとして、SNMP(Simple Network Management Protocol)エージェント機能を有する情報処理装置に対し、ネットワークを介してSNMPリクエストを大量に送信する事で当該情報処理装置の処理能力を浪費させ、他のサービスの提供を不可能な状態にする攻撃がある。   By the way, as one of the DoS attacks, an information processing apparatus having an SNMP (Simple Network Management Protocol) agent function is wasteful of processing power of the information processing apparatus by transmitting a large number of SNMP requests via the network. There are attacks that make it impossible to provide other services.

すなわち、SNMPによれば、SNMPリクエストを受信した情報処理装置は、当該SNMPリクエストに応じて所定の処理を行い応答を返すのが一般的である。そのため、連続的に送信された大量のSNMPリクエストを受信すると、受信したSNMPリクエストに対する応答を生成する処理に処理能力が費やされ、他のサービスに対して僅かな処理能力しか振り分けることができなくなる。   That is, according to SNMP, an information processing apparatus that has received an SNMP request generally performs a predetermined process in response to the SNMP request and returns a response. For this reason, when a large number of continuously transmitted SNMP requests are received, processing capacity is consumed for generating a response to the received SNMP request, and only a small processing capacity can be allocated to other services. .

従来では、特定のリモートホストから送信されたSNMPリクエストを受け、それに対する応答を行った回数を計測し、計測された回数が所定時間内(例えば1秒間)に閾値以上に達した場合にこの特定のリモートホストからのSNMPリクエストの送信がDoS攻撃であると検知していた。そして、DoS攻撃が検知された以降は、そのリモートホストからのSNMPリクエストを読み捨てるという処理を行っていた。   Conventionally, the number of times an SNMP request sent from a specific remote host is received and responded to is measured, and this number is specified when the measured number reaches a threshold value within a predetermined time (for example, 1 second). It has been detected that the transmission of an SNMP request from the remote host is a DoS attack. After the DoS attack is detected, a process of reading and discarding the SNMP request from the remote host has been performed.

この方法だと、処理能力が低く所定時間当たりの処理可能なSNMPリクエストの数が少ない情報処理装置では、現在なされているSNMPリクエストによるアクセスが通常のアクセスなのかDoS攻撃なのかを判断するのが困難であるという問題があった。   In this method, in an information processing apparatus having a low processing capability and a small number of SNMP requests that can be processed per predetermined time, it is determined whether the current access by the SNMP request is a normal access or a DoS attack. There was a problem that it was difficult.

例えば、上述した閾値が1000回以上に設定されている情報処理装置が所定時間内にSNMPリクエストを100個しか処理できなければ、DoS攻撃を受けているにも関わらず検知できないということが起こる。一方、閾値を低くすると、通常のアクセスをDoS攻撃として検知してしまう可能性がある。   For example, if the information processing apparatus in which the above-described threshold is set to 1000 times or more can process only 100 SNMP requests within a predetermined time, it may be impossible to detect despite being subjected to a DoS attack. On the other hand, if the threshold is lowered, normal access may be detected as a DoS attack.

また、上述の特許文献1では、他のコンピュータからのアクセスがある度に利用者の認証を行うため、処理能力の低いコンピュータではDoS攻撃が検知できない可能性があるという問題を含んでいる。   In addition, the above-described Patent Document 1 includes a problem that a DoS attack may not be detected by a computer with low processing capability because user authentication is performed every time there is an access from another computer.

本発明は、上記に鑑みてなされたものであって、処理能力が低くても適切にDoS攻撃を検知することができる情報処理装置、情報処理方法およびプログラムを提供することを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to provide an information processing apparatus, an information processing method, and a program capable of appropriately detecting a DoS attack even when processing capability is low.

上述した課題を解決し、目的を達成するために、本発明は、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う情報処理装置であって、受信されたリクエストを一時的に保持する保持手段と、保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定手段と、判定手段による判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行う処理手段とを有することを特徴とする。   In order to solve the above-described problems and achieve the object, the present invention is an information processing apparatus that receives a request transmitted from a host device via a network and performs predetermined processing on the request. A holding unit that temporarily holds a received request, a determination unit that determines whether a DoS attack has been received based on the request held in the holding unit, and a holding unit that holds the request according to the determination by the determination unit And processing means for performing predetermined processing on the received request.

また、本発明は、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う情報処理方法であって、受信されたリクエストを保持手段に一時的に保持する保持ステップと、保持ステップにより保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定ステップと、判定ステップによる判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行う処理ステップとを有することを特徴とする。   In addition, the present invention is an information processing method for receiving a request transmitted from a host device via a network and performing a predetermined process on the request, and temporarily holding the received request in a holding unit A holding step, a determination step for determining whether or not a DoS attack has been received based on the request held in the holding unit by the holding step, and a request held in the holding unit according to the determination by the determination step. And a processing step for performing the above processing.

本発明によれば、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う際に、受信されたリクエストを保持手段に一時的に保持し、保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定し、判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行うようにしているため、処理能力が低くても適切にDoS攻撃を検知することができるという効果を奏する。   According to the present invention, when a request transmitted from a host device via a network is received and predetermined processing is performed on the request, the received request is temporarily held in the holding unit, and the holding unit Since it is determined whether or not a DoS attack has been received based on the request held in the server, and a predetermined process is performed on the request held in the holding unit according to the determination, even if the processing capability is low There is an effect that a DoS attack can be appropriately detected.

図1は、本発明の各実施形態に適用可能な情報処理装置の一例の構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of an example of an information processing apparatus applicable to each embodiment of the present invention. 図2は、本発明の各実施形態に適用可能な情報処理装置の機能を示す一例の機能ブロック図である。FIG. 2 is a functional block diagram illustrating an example of the functions of the information processing apparatus applicable to each embodiment of the present invention. 図3は、情報処理装置が正常にSNMPリクエストを処理する場合の一例の処理を示すシーケンス図である。FIG. 3 is a sequence diagram illustrating an example of processing when the information processing apparatus normally processes an SNMP request. 図4は、情報処理装置においてDoS攻撃が検知された場合の一例の処理を示すシーケンス図である。FIG. 4 is a sequence diagram illustrating an example of processing when a DoS attack is detected in the information processing apparatus. 図5は、キューの最大サイズまで未処理のSNMPリクエストが入っている場合の一例の処理を示すシーケンス図である。FIG. 5 is a sequence diagram illustrating an example of processing when an unprocessed SNMP request is included up to the maximum queue size.

以下に添付図面を参照して、この発明に係る情報処理装置の最良な実施の形態を詳細に説明する。先ず、本発明について、概念的に説明する。SNMP(Simple Network Management Protocol)リクエストを送信するリモートホストは、一般的には、1つのSNMPリクエストを送信し、その応答を待って次のSNMPリクエストを送信する。一方、DoS(Denial of Service)攻撃を目的としたリモートホストは、送信したSNMPリクエストに対する応答を待たずに、連続的にSNMPリクエストを送信する。換言すると、DoS攻撃を仕掛けてきたリモートホストからのSNMPリクエストは、情報処理装置が当該リモートホストから送信されたSNMPリクエストに対する応答を返す前に、連続的に送信されてくる。   Exemplary embodiments of an information processing apparatus according to the present invention will be explained below in detail with reference to the accompanying drawings. First, the present invention will be conceptually described. A remote host that transmits an SNMP (Simple Network Management Protocol) request generally transmits one SNMP request and waits for a response to transmit the next SNMP request. On the other hand, a remote host intended for a DoS (Denial of Service) attack continuously transmits an SNMP request without waiting for a response to the transmitted SNMP request. In other words, an SNMP request from a remote host that has launched a DoS attack is continuously transmitted before the information processing apparatus returns a response to the SNMP request transmitted from the remote host.

本発明は、この点に着目し、受信したSNMPリクエストに対する処理を行う前に、当該SNMPリクエストを一旦キューに保持する。そして、キューの先頭のSNMPリクエストの処理を行う前に、任意のリモートホストからのSNMPリクエストが一定回数以上あったか否かを調べる。その結果、同一のリモートホストからのSNMPリクエストが一定回数以上あった場合に、当該リモートホストによるDoS攻撃として検知する。   The present invention pays attention to this point, and temporarily holds the SNMP request in the queue before processing the received SNMP request. Then, before processing the SNMP request at the head of the queue, it is checked whether or not an SNMP request from an arbitrary remote host has occurred a predetermined number of times or more. As a result, when there are SNMP requests from the same remote host more than a certain number of times, it is detected as a DoS attack by the remote host.

このように、本発明では、SNMPリクエストの処理数ではなくSNMPリクエストの受信数に基づきDoS攻撃の有無を判断できるため、情報処理装置の処理能力に拠らずDoS攻撃を検知する事が可能になる。   As described above, according to the present invention, since it is possible to determine the presence or absence of a DoS attack based on the number of received SNMP requests instead of the number of processed SNMP requests, it is possible to detect a DoS attack regardless of the processing capability of the information processing apparatus. Become.

なお、以下では、DoS攻撃は、ネットワークを介して送信されたリクエストに対して応答を返すシステムを利用して、リクエストを、対応する応答を待たずに次々と情報処理装置に送信することで、当該情報処理装置の処理能力を浪費させる攻撃であるものとする。   In the following, a DoS attack uses a system that returns a response to a request transmitted via a network, and transmits requests to information processing devices one after another without waiting for a corresponding response. It is assumed that the attack is a waste of the processing capability of the information processing apparatus.

<各実施形態に共通の構成>
図1は、本発明の各実施形態に適用可能な情報処理装置100の一例の構成を示す。情報処理装置100において、バス10に対してCPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、ネットワークI/F14、ハードディスク15、入出力I/F16およびドライブ装置17が接続される。バス10に接続される各部は、バス10を介して互いにデータのやりとりを行うことができるようにされている。 <Configuration common to each embodiment>
FIG. 1 shows an exemplary configuration of an information processing apparatus 100 applicable to each embodiment of the present invention. In the information processing apparatus 100, a CPU (Central Processing Unit) 11, a ROM (Read Only Memory) 12, a RAM (Random Access Memory) 13, a network I / F 14, a hard disk 15, an input / output I / F 16 and a drive are connected to the bus 10. A device 17 is connected. Each unit connected to the bus 10 can exchange data with each other via the bus 10.

CPU11は、ROM12やハードディスク15に予め記憶されたプログラムに従い、RAM13をワークメモリとして用いてこの情報処理装置100の全体の動作を制御する。本実施形態においては、CPU11が実行するプログラムには、TCP/IP(Transmission Control Protocol/Internet Protocol)やSNMP(Simple Network Management Protocol)といったプロトコルが実装される。   The CPU 11 controls the overall operation of the information processing apparatus 100 using the RAM 13 as a work memory in accordance with a program stored in advance in the ROM 12 or the hard disk 15. In the present embodiment, a protocol such as TCP / IP (Transmission Control Protocol / Internet Protocol) or SNMP (Simple Network Management Protocol) is implemented in the program executed by the CPU 11.

ハードディスク15は、上述したCPU11が動作するためのプログラムや、様々なデータが格納される。また、ハードディスク15は、CPU11がプログラムの実行に際して発生したデータを一時的に格納することもできる。   The hard disk 15 stores a program for operating the above-described CPU 11 and various data. The hard disk 15 can also temporarily store data generated when the CPU 11 executes the program.

入出力I/F16は、この情報処理装置100に対するデータの入出力を制御する。例えば、入出力I/F16に対してキーボードやマウスなどの入力デバイスが接続される。これら入力デバイスに対するユーザ操作に応じた制御信号が入出力I/F16から出力され、バス10を介してCPU11に供給される。また、入出力I/F16がUSB(Universal Serial Bus)やIEEE(Institute Electrical and Electronics Engineers)1394といったシリアルインターフェイスに対応していてもよい。   The input / output I / F 16 controls data input / output with respect to the information processing apparatus 100. For example, an input device such as a keyboard and a mouse is connected to the input / output I / F 16. Control signals corresponding to user operations on these input devices are output from the input / output I / F 16 and supplied to the CPU 11 via the bus 10. The input / output I / F 16 may correspond to a serial interface such as USB (Universal Serial Bus) or IEEE (Institute Electrical and Electronics Engineers) 1394.

ドライブ装置17は、CD(Compact Disk)やDVD(Digital Versatile Disk)といったディスク記憶媒体20からデータを読み出す。これに限らず、ドライブ装置17の対応する記憶媒体が不揮発性の半導体メモリなどであってもよい。上述したCPU11が動作するためのプログラムは、例えばこれらCD、DVD、不揮発性の半導体メモリなどの記憶媒体に記憶されて提供され、ドライブ装置17から読み込まれてハードディスク15に対して所定に格納される。表示制御部18は、ディスプレイ21が接続され、CPU11により生成された表示制御信号をディスプレイ21が表示可能な形式の信号に変換して出力する。   The drive device 17 reads data from a disk storage medium 20 such as a CD (Compact Disk) or a DVD (Digital Versatile Disk). However, the storage medium corresponding to the drive device 17 may be a non-volatile semiconductor memory. The above-described program for operating the CPU 11 is provided by being stored in a storage medium such as a CD, a DVD, or a nonvolatile semiconductor memory, and is read from the drive device 17 and stored in the hard disk 15 in a predetermined manner. . The display control unit 18 is connected to the display 21, converts the display control signal generated by the CPU 11 into a signal in a format that can be displayed on the display 21, and outputs the converted signal.

ネットワークI/F14は、TCP/IPに対応し、インターネットやLAN(Local Area Network)といったネットワーク200を介して、外部の情報機器と通信を行うことができる。上述したCPU11が動作するためのプログラムは、外部のサーバ装置などから、ネットワーク200を介して提供され、ネットワークI/F14で受信してハードディスク15に所定に格納することもできる。   The network I / F 14 corresponds to TCP / IP and can communicate with an external information device via a network 200 such as the Internet or a LAN (Local Area Network). The above-described program for operating the CPU 11 can be provided from an external server device or the like via the network 200, received by the network I / F 14, and stored in the hard disk 15 in a predetermined manner.

図2は、本発明の各実施形態に適用可能な情報処理装置100の機能を示す一例の機能ブロック図である。情報処理装置100は、ネットワークI/F101、SNMPリクエスト処理部102、DoS攻撃判定部103、SNMPリクエスト管理部104およびSNMPリクエスト保持部105を備える。   FIG. 2 is a functional block diagram illustrating an example of functions of the information processing apparatus 100 that can be applied to each embodiment of the present invention. The information processing apparatus 100 includes a network I / F 101, an SNMP request processing unit 102, a DoS attack determination unit 103, an SNMP request management unit 104, and an SNMP request holding unit 105.

これらのうち、ネットワークI/F101は、上述したネットワークI/F14に対応し、ネットワーク200を介してリモートホスト210A、210B、…との間での通信を制御する。SNMPリクエスト処理部102、DoS攻撃判定部103およびSNMPリクエスト管理部104は、CPU11上で動作するプログラムにより実現される。例えば、SNMPリクエスト処理部102、DoS攻撃判定部103、SNMPリクエスト管理部104およびSNMPリクエスト保持部105のそれぞれは、プログラム上のモジュールとして、CPU11によりRAM13上に展開されて構成される。   Among these, the network I / F 101 corresponds to the network I / F 14 described above, and controls communication with the remote hosts 210A, 210B,... Via the network 200. The SNMP request processing unit 102, the DoS attack determination unit 103, and the SNMP request management unit 104 are realized by a program operating on the CPU 11. For example, each of the SNMP request processing unit 102, the DoS attack determination unit 103, the SNMP request management unit 104, and the SNMP request holding unit 105 is configured to be expanded on the RAM 13 by the CPU 11 as a module on the program.

SNMPリクエスト処理部102は、リモートホスト210A、210B、…から送信されたSNMPリクエストを受け取って処理を行う。SNMPリクエスト管理部104は、SNMPリクエスト処理部102が処理を実行する前にリモートホスト210A、210B、…から送信されてきた全てのSNMPリクエストを受け取って管理する。SNMPリクエスト保持部105は、リモートホスト210A、210B、…から送信されてきたSNMPリクエストを、キューに保持する。キューは、具体的には、例えばRAM13の所定領域を用いて構成される。DoS攻撃判定部103は、DoS攻撃判定のための閾値を持っており、任意のリモートホスト210A、210B、…がDoS攻撃を行ってきているか否かを、例えばSNMPリクエストの受信数と閾値とに基づき判定する。   The SNMP request processing unit 102 receives and processes an SNMP request transmitted from the remote hosts 210A, 210B,. The SNMP request management unit 104 receives and manages all SNMP requests transmitted from the remote hosts 210A, 210B,... Before the SNMP request processing unit 102 executes processing. The SNMP request holding unit 105 holds SNMP requests transmitted from the remote hosts 210A, 210B,... In a queue. Specifically, the queue is configured using, for example, a predetermined area of the RAM 13. The DoS attack determination unit 103 has a threshold for determining a DoS attack, and whether or not any remote host 210A, 210B,... Has performed a DoS attack is determined based on, for example, the number of received SNMP requests and the threshold. Judgment based on.

<実施形態>
以下、図3〜図5のシーケンス図を用いて、本発明の実施形態によるDoS攻撃の検知処理について説明する。図3は、情報処理装置100に対してDoS攻撃が行われておらず、情報処理装置100が正常にSNMPリクエストを処理する場合の一例の処理を示すシーケンス図である。 <Embodiment>
The DoS attack detection process according to the embodiment of the present invention will be described below using the sequence diagrams of FIGS. FIG. 3 is a sequence diagram illustrating an example of processing when the DoS attack is not performed on the information processing apparatus 100 and the information processing apparatus 100 normally processes an SNMP request.

先ず、SEQ1で、SNMPリクエスト処理部102は、例えばリモートホスト210Aから送信されたSNMPリクエストを受け取る。すなわち、リモートホスト210Aから送信されたSNMPリクエストは、ネットワーク200を介してネットワークI/F101に受信される。ネットワークI/F101は、受信したSNMPリクエストをSNMPリクエスト処理部102に渡す。なお、SNMPリクエストは、送信元の機器を識別するための識別情報と、SNMPリクエストの内容を示す情報とを含む。   First, in SEQ1, the SNMP request processing unit 102 receives an SNMP request transmitted from, for example, the remote host 210A. In other words, the SNMP request transmitted from the remote host 210 </ b> A is received by the network I / F 101 via the network 200. The network I / F 101 passes the received SNMP request to the SNMP request processing unit 102. The SNMP request includes identification information for identifying the transmission source device and information indicating the content of the SNMP request.

SNMPリクエスト処理部102は、リモートホスト210AからのSNMPリクエストを受け取ると、SEQ2で、このSNMPリクエストをSNMPリクエスト管理部104に渡す。SNMPリクエスト管理部104は、SNMPリクエストを受け取ると、このSNMPリクエストを受け付けた時刻を示す情報を保持し(SEQ3)、当該SNMPリクエストをSNMPリクエスト保持部105に渡す(SEQ4)。SNMPリクエスト保持部105は、受け取ったSNMPリクエストをキューに追加して保持する。   When receiving the SNMP request from the remote host 210A, the SNMP request processing unit 102 passes this SNMP request to the SNMP request management unit 104 in SEQ2. When receiving the SNMP request, the SNMP request management unit 104 holds information indicating the time at which the SNMP request was received (SEQ3), and passes the SNMP request to the SNMP request holding unit 105 (SEQ4). The SNMP request holding unit 105 adds the received SNMP request to the queue and holds it.

上述のSEQ1〜SEQ4の処理は、この情報処理装置100がSNMPリクエストを継続的に受信している間、繰り返される。例えば、SNMPリクエスト管理部104は、現在の時刻が直前にSNMPリクエストを受け付けた時刻から所定時間を経過しているか否かを判定し、所定時間を経過していると判定されたら、SNMPリクエストの受信が直前の受信で終了していると判断する。   The processes of SEQ1 to SEQ4 described above are repeated while the information processing apparatus 100 continuously receives SNMP requests. For example, the SNMP request management unit 104 determines whether or not a predetermined time has elapsed since the time when the SNMP request was received immediately before the current time, and if it is determined that the predetermined time has elapsed, It is determined that the reception is finished with the previous reception.

SNMPリクエストの受信が終了したと判定されたら、SNMPリクエスト管理部104は、DoS攻撃判定部103に対して、この情報処理装置100がDoS攻撃されていたか否かの判定を行うように要求する(SEQ5)。この要求に応じて、DoS攻撃判定部103は、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストの一覧を要求する(SEQ6)。この要求に応じて、キューに保持されているSNMPリクエストの一覧がSNMPリクエスト保持部105からDoS攻撃判定部103に対して渡される。DoS攻撃判定部103は、SNMPリクエスト保持部105から取得したSNMPリクエストの一覧に基づき、この情報処理装置100がDoS攻撃を受けていたか否かを判定する。   When it is determined that the reception of the SNMP request has been completed, the SNMP request management unit 104 requests the DoS attack determination unit 103 to determine whether or not the information processing apparatus 100 has been subjected to the DoS attack ( SEQ5). In response to this request, the DoS attack determination unit 103 requests the SNMP request holding unit 105 for a list of SNMP requests held in the queue (SEQ6). In response to this request, a list of SNMP requests held in the queue is passed from the SNMP request holding unit 105 to the DoS attack determination unit 103. The DoS attack determination unit 103 determines whether or not the information processing apparatus 100 has been subjected to a DoS attack based on the list of SNMP requests acquired from the SNMP request holding unit 105.

本実施形態では、この判定を、同一のリモートホストから予め決められた閾値以上の数のSNMPリクエストを受信しているか否かにより行う。一例として、DoS攻撃判定部103は、SNMPリクエスト保持部105から取得したSNMPリクエストの一覧に基づき、SNMPリクエストの数をリモートホスト毎に計数する。そして、閾値と各リモートホストの計数結果とをそれぞれ比較し、閾値以上の数を受信したSNMPリクエストの送信元のリモートホストを検出する。   In the present embodiment, this determination is made based on whether or not SNMP requests equal to or greater than a predetermined threshold value are received from the same remote host. As an example, the DoS attack determination unit 103 counts the number of SNMP requests for each remote host based on the list of SNMP requests acquired from the SNMP request holding unit 105. Then, the threshold value and the count result of each remote host are respectively compared, and the remote host that is the source of the SNMP request that has received a number greater than or equal to the threshold value is detected.

その結果、若し、同一のリモートホストから閾値以上の数のSNMPリクエストを受信しているとされれば、DoS攻撃判定部103は、この情報処理装置100がDoS攻撃を受けていたと判定する。DoS攻撃を受けていたと判定された場合の処理は、図4を用いて後述する。   As a result, if it is determined that SNMP requests equal to or greater than the threshold are received from the same remote host, the DoS attack determination unit 103 determines that the information processing apparatus 100 has been subjected to a DoS attack. The processing when it is determined that the DoS attack has been received will be described later with reference to FIG.

一方、各リモートホストから受信したSNMPリクエストの回数が閾値未満であるとされれば、この情報処理装置100がDoS攻撃を受けていないと判定する。この場合、DoS攻撃判定部103は、DoS攻撃を受けていない旨を示す判定結果をSNMPリクエスト管理部104に対して通知する(SEQ7)。SNMPリクエスト管理部104は、このDoS攻撃を受けていない旨の通知に応じて、SNMPリクエスト処理部102に対して、キューに保持されているSNMPリクエストの処理を行うように要求する(SEQ8)。   On the other hand, if the number of SNMP requests received from each remote host is less than the threshold, it is determined that the information processing apparatus 100 has not been subjected to a DoS attack. In this case, the DoS attack determination unit 103 notifies the SNMP request management unit 104 of a determination result indicating that the DoS attack has not been received (SEQ7). In response to the notification that the DoS attack is not received, the SNMP request management unit 104 requests the SNMP request processing unit 102 to process the SNMP request held in the queue (SEQ8).

SNMPリクエスト処理部102は、この要求を受け、SNMPリクエスト管理部104に対して、キューに保持されているSNMPリクエストを1つ、要求する。SNMPリクエスト管理部104は、この要求に応じてSNMPリクエスト保持部105に対して、キューの先頭に保持されているSNMPリクエストを読み出すように要求する(SEQ10)。SNMPリクエスト保持部105は、キューから先頭のSNMPリクエストを読み出してSNMPリクエスト管理部104に渡す。   In response to this request, the SNMP request processing unit 102 requests one SNMP request held in the queue from the SNMP request management unit 104. In response to this request, the SNMP request management unit 104 requests the SNMP request holding unit 105 to read out the SNMP request held at the head of the queue (SEQ10). The SNMP request holding unit 105 reads the head SNMP request from the queue and passes it to the SNMP request management unit 104.

続けて、SNMPリクエスト処理部102は、SNMPリクエスト管理部104に渡されたSNMPリクエストの受付時刻を確認する(SEQ12)、若し、確認した受付時刻が現在の時刻が確認した受付時刻から一定の時間を経過していたと判定されたら、当該SNMPリクエストが古いリクエストであるとして、当該SNMPリクエストを処理せずに捨て、次のSNMPリクエストの処理に移行する。   Subsequently, the SNMP request processing unit 102 confirms the reception time of the SNMP request passed to the SNMP request management unit 104 (SEQ12), and the confirmed reception time is constant from the reception time confirmed by the current time. If it is determined that the time has passed, it is determined that the SNMP request is an old request, the SNMP request is discarded without being processed, and the process proceeds to the next SNMP request.

一方、現在の時刻が確認した受付時刻から一定の時間を経過していないと判定されたら、SNMPリクエスト処理部102は、当該SNMPリクエストをSNMPリクエスト管理部104から取得し(SEQ13)、取得したSNMPリクエストに応じた処理、例えばレスポンス生成処理を行う(SEQ14)。   On the other hand, if it is determined that the predetermined time has not elapsed from the confirmed reception time, the SNMP request processing unit 102 acquires the SNMP request from the SNMP request management unit 104 (SEQ13), and acquires the acquired SNMP. Processing corresponding to the request, for example, response generation processing is performed (SEQ14).

上述のSEQ9〜SEQ14の処理は、キューに保持されている全てのSNMPリクエストに対して行うように、繰り返される。また、SEQ9〜SEQ14の処理において、新たなSNMPリクエストを受信した場合、処理がSEQ1に戻される。   The processes of SEQ9 to SEQ14 described above are repeated so as to be performed for all SNMP requests held in the queue. Further, in the processes of SEQ9 to SEQ14, when a new SNMP request is received, the process is returned to SEQ1.

次に、情報処理装置100においてDoS攻撃が検知された場合の一例の処理を、図4を用いて説明する。なお、図4において、上述の図3と共通する処理には同一の符号を付し、詳細な説明を省略する。以下では、煩雑さを避けるために、上述の図3によるDoS攻撃がなされていない場合の例との差異部分を中心に説明を行う。   Next, an example process when a DoS attack is detected in the information processing apparatus 100 will be described with reference to FIG. In FIG. 4, the same processes as those in FIG. 3 described above are denoted by the same reference numerals, and detailed description thereof is omitted. In the following, in order to avoid complexity, the description will focus on differences from the example in the case where the DoS attack according to FIG. 3 is not made.

リモートホストからのSNMPリクエストを継続的に受信している間、SEQ1〜SEQ4の処理が繰り返され、受信されたSNMPリクエストがSNMPリクエスト保持部105によりキューに順次、保持される。最後のSNMPリクエストの受信から所定時間が経過したら、SEQ5によりSNMPリクエスト管理部104からDoS攻撃判定部103に対してDoS攻撃の有無の判定が要求される。DoS攻撃判定部103は、この要求に応じてSNMPリクエスト保持部105からキューに保持されているSNMPリクエストの一覧を取得し(SEQ6)、取得した一覧に基づきこの情報処理装置100がDoS攻撃を受けているか否かを判定する。   While the SNMP request from the remote host is continuously received, the processing of SEQ1 to SEQ4 is repeated, and the received SNMP request is sequentially held in the queue by the SNMP request holding unit 105. When a predetermined time has elapsed since the reception of the last SNMP request, the SNMP request management unit 104 requests the DoS attack determination unit 103 to determine whether or not there is a DoS attack by SEQ5. In response to this request, the DoS attack determination unit 103 acquires a list of SNMP requests held in the queue from the SNMP request holding unit 105 (SEQ6), and the information processing apparatus 100 receives a DoS attack based on the acquired list. It is determined whether or not.

若し、同一のリモートホストから閾値以上の回数のSNMPリクエストを受信していれば、DoS攻撃判定部103は、この情報処理装置100が当該リモートホストからDoS攻撃を受けていたと判定する。DoS攻撃判定部103は、このDoS攻撃を受けていた旨を示す判定結果をSNMPリクエスト管理部104に対して通知する(SEQ7)。   If the SNMP request has been received from the same remote host a number of times greater than or equal to the threshold, the DoS attack determination unit 103 determines that the information processing apparatus 100 has received a DoS attack from the remote host. The DoS attack determination unit 103 notifies the SNMP request management unit 104 of a determination result indicating that the DoS attack has been received (SEQ7).

SNMPリクエスト管理部104は、このDoS攻撃を受けていた旨を示す通知に応じて、SNMPリクエスト保持部105に対して、DoS攻撃を行ったと判定されたリモートホストから受け取ったSNMPリクエストをキューから一括削除するように、SNMPリクエスト保持部105に対して要求する(SEQ20)。SNMPリクエスト保持部105は、この要求に応じて、当該リモートホストから受け取ったSNMPリクエストをキューから一括削除する。   In response to the notification indicating that the DoS attack has been received, the SNMP request management unit 104 collects from the queue SNMP requests received from the remote host determined to have performed the DoS attack to the SNMP request holding unit 105. A request is made to the SNMP request holding unit 105 to be deleted (SEQ20). In response to this request, the SNMP request holding unit 105 collectively deletes SNMP requests received from the remote host from the queue.

SNMPリクエスト管理部104は、上述のSEQ20による一括削除要求の後、SNMPリクエスト処理部102に対して、キューに保持されているSNMPリクエストの処理を行うように要求する(SEQ8)。以降、SEQ9〜SEQ14の処理で、上述の一括削除でキューに残ったSNMPリクエストの処理が行われる。   The SNMP request management unit 104 requests the SNMP request processing unit 102 to process the SNMP request held in the queue after the collective deletion request by SEQ20 described above (SEQ8). Thereafter, in the processes of SEQ9 to SEQ14, the SNMP request remaining in the queue by the batch deletion described above is processed.

このように、本実施形態によれば、リモートホストから受け取ったSNMPリクエストを、処理前に一旦キューに保持する。そして、DoS攻撃の有無の判定を、キューに保持されたSNMPリクエストのうち同一リモートホストから受け取ったSNMPリクエストの数に基づき行うようにしている。そのため、情報処理装置100の処理能力が低くても、適切にDoS攻撃を検出することができると共に、DoS攻撃により情報処理装置100が提供する他のサービスが停止されることが防がれる。   Thus, according to this embodiment, the SNMP request received from the remote host is temporarily held in the queue before processing. Then, the presence / absence of a DoS attack is determined based on the number of SNMP requests received from the same remote host among the SNMP requests held in the queue. Therefore, even if the processing capability of the information processing apparatus 100 is low, a DoS attack can be detected appropriately, and other services provided by the information processing apparatus 100 are prevented from being stopped due to the DoS attack.

また、DoS攻撃を受けていたと判定した場合、キューに保持されているSNMPリクエストのうちDoS攻撃元によるSNMPリクエストを一括削除するようにしているため、無駄にSNMPリクエストに対する処理を行うことがない。   Further, when it is determined that the DoS attack has been received, the SNMP requests from the DoS attack source among the SNMP requests held in the queue are collectively deleted, so that the process for the SNMP request is not performed unnecessarily.

なお、DoS攻撃判定部103により、リモートホストからDoS攻撃を受けていると判定された場合に、当該リモートホストから送信されたSNMPリクエストを情報処理装置100が受け付けないようにすると、より好ましい。一例として、DoS攻撃によるSNMPリクエストに含まれる、当該SNMPリクエストの送信元の機器を示す識別情報に基づき、当該送信元の機器からのSNMPリクエストに対するフィルタをネットワークI/F101に対して設定して、当該リモートホストから送信されたSNMPリクエストの受付を禁止することが考えられる。   It is more preferable that the information processing apparatus 100 not accept the SNMP request transmitted from the remote host when the DoS attack determination unit 103 determines that the DoS attack is received from the remote host. As an example, based on identification information indicating the source device of the SNMP request included in the SNMP request by the DoS attack, a filter for the SNMP request from the source device is set for the network I / F 101, It is conceivable to prohibit acceptance of an SNMP request transmitted from the remote host.

ところで、本実施形態では、リモートホストからのSNMPリクエストを、処理前に一旦キューに保持するため、図3や図4のSEQ1〜SEQ4の処理を繰り返しているうちに、キューの最大サイズまで未処理のSNMPリクエストが入ってしまう可能性がある。この状態で新規に受け取ったSNMPリクエストは、キューに保持できずに捨てられてしまうことになる。   By the way, in this embodiment, since the SNMP request from the remote host is temporarily held in the queue before processing, the processing up to the maximum size of the queue is not processed while the processing of SEQ1 to SEQ4 in FIG. 3 and FIG. 4 is repeated. May be entered. The SNMP request newly received in this state cannot be held in the queue and is discarded.

図5を用いて、キューの最大サイズまで未処理のSNMPリクエストが入っている場合に、新規に受け取ったSNMPリクエストが捨てられてしまうことを防ぐ一例の方法について説明する。なお、図5において、上述の図3と共通する処理には同一の符号を付し、詳細な説明を省略する。以下では、煩雑さを避けるために、上述の図3によるDoS攻撃がなされていない場合の例との差異部分を中心に説明を行う。   An example method for preventing a newly received SNMP request from being discarded when there is an unprocessed SNMP request up to the maximum queue size will be described with reference to FIG. In FIG. 5, the processes common to those in FIG. 3 described above are denoted by the same reference numerals, and detailed description thereof is omitted. In the following, in order to avoid complexity, the description will focus on differences from the example in the case where the DoS attack according to FIG. 3 is not made.

リモートホストからのSNMPリクエストを継続的に受信している間、SEQ1〜SEQ4の処理が繰り返され、受信されたSNMPリクエストがSNMPリクエスト保持部105によりキューに順次、保持される。   While the SNMP request from the remote host is continuously received, the processing of SEQ1 to SEQ4 is repeated, and the received SNMP request is sequentially held in the queue by the SNMP request holding unit 105.

ここで、SNMPリクエスト保持部105は、SEQ4でSNMPリクエスト管理部104からのSNMPリクエストのキューへの追加要求を受け取ったら、追加が要求されるSNMPリクエストをキューに追加して保持することが可能か否かを判定する。若し、追加して保持が可能であると判定されたら、当該SNMPリクエストをキューに追加して保持する。   Here, when the SNMP request holding unit 105 receives a request to add an SNMP request to the queue from the SNMP request management unit 104 in SEQ4, is it possible to add and hold the SNMP request to be added to the queue? Determine whether or not. If it is determined that it can be added and held, the SNMP request is added to the queue and held.

一方、既にキューの最大サイズまでSNMPリクエストが保持されており、新規のSNMPリクエストを追加して保持することができないと判定されたら、SNMPリクエスト保持部105は、キューに保持されているSNMPリクエストのうち、当該新規SNMPリクエストと重複するSNMPリクエストを削除する(SEQ30)。   On the other hand, if it is determined that the SNMP request is already held up to the maximum size of the queue and a new SNMP request cannot be added and held, the SNMP request holding unit 105 displays the SNMP request held in the queue. Among them, the SNMP request overlapping with the new SNMP request is deleted (SEQ30).

一例として、SNMPリクエスト保持部105は、キューに保持されているSNMPリクエストから、当該新規SNMPリクエストの送信元のリモートホストから受け取ったSNMPリクエストを検索する。さらに、検索されたSNMPリクエストから、当該新規SNMPリクエストと内容が一致するSNMPリクエストを検索する。ここで検索されたSNMPリクエストを削除する。   As an example, the SNMP request holding unit 105 searches for an SNMP request received from the remote host that is the transmission source of the new SNMP request, from the SNMP requests held in the queue. Further, an SNMP request whose content matches that of the new SNMP request is searched from the searched SNMP request. The SNMP request searched here is deleted.

なお、キュー内に、新規SNMPリクエストと重複するSNMPリクエストが無かった場合、当該新規SNMPリクエストが捨てられる。   If there is no SNMP request in the queue that overlaps with the new SNMP request, the new SNMP request is discarded.

上述のSEQ1〜SEQ30の処理は、この情報処理装置100がSNMPリクエストを継続的に受信している間、繰り返される。   The processes of SEQ1 to SEQ30 described above are repeated while the information processing apparatus 100 continuously receives SNMP requests.

最後のSNMPリクエストの受信から所定時間が経過したら、SEQ5によりSNMPリクエスト管理部104からDoS攻撃判定部103に対してDoS攻撃の有無の判定が要求される。DoS攻撃判定部103は、この要求に応じて、既に説明したようにしてDoS攻撃の有無を判定する。DoS攻撃を受けていないと判定されたら、キューに保持されているSNMPリクエストの処理が行われる(SEQ9〜SEQ14)。一方、DoS攻撃を受けていたと判定されたら、図4のSEQ20によりキューに保持されているSNMPリクエストのうち、DoS攻撃を行ったと判定されたリモートホストから受け取ったSNMPリクエストを一括削除し、キューに残ったSNMPリクエストの処理が行われる(SEQ9〜SEQ14)。   When a predetermined time has elapsed since the reception of the last SNMP request, the SNMP request management unit 104 requests the DoS attack determination unit 103 to determine whether or not there is a DoS attack by SEQ5. In response to this request, the DoS attack determination unit 103 determines the presence or absence of a DoS attack as described above. If it is determined that the DoS attack has not been received, the SNMP request held in the queue is processed (SEQ9 to SEQ14). On the other hand, if it is determined that the DoS attack has been received, the SNMP requests received from the remote host determined to have performed the DoS attack are collectively deleted from the SNMP requests held in the queue by SEQ20 in FIG. The remaining SNMP request is processed (SEQ9 to SEQ14).

<第1の変形例>
次に、本発明の実施形態の第1の変形例について説明する。上述の実施形態では、DoS攻撃の有無を、リモートホスト毎のSNMPリクエストの受信数を閾値と比較することで判定したが、これはこの例に限定されるものではない。本第1の変形例では、リモートホスト毎のSNMPリクエストの受信数を計数し、同一のリモートホストから所定時間内に閾値以上の数のSNMPリクエストの受信を検知した場合に、DoS攻撃を受けたと判定する。換言すれば、本第1の変形例では、リモートホストからのSNMPリクエストの受信速度に基づき、DoS攻撃の有無を判定する。 <First Modification>
Next, a first modification of the embodiment of the present invention will be described. In the above-described embodiment, the presence / absence of a DoS attack is determined by comparing the number of received SNMP requests for each remote host with a threshold value, but this is not limited to this example. In the first modified example, the number of SNMP requests received for each remote host is counted, and when a reception of SNMP requests equal to or greater than the threshold value is detected from the same remote host within a predetermined time, a DoS attack is detected. judge. In other words, in the first modification, the presence / absence of a DoS attack is determined based on the reception speed of the SNMP request from the remote host.

一例として、DoS攻撃判定部103は、上述の実施形態と同様に、最後のSNMPリクエストが受信されてから所定時間の経過後に、SNMPリクエスト保持部105に対してキューに保持されているSNMPリクエストの一覧を要求する(SEQ6)。SNMPリクエスト保持部105は、この要求に応じてSNMPリクエスト管理部104に対して各SNMPリクエストの受付時刻を要求する。   As an example, the DoS attack determination unit 103, similar to the above-described embodiment, receives SNMP requests held in a queue with respect to the SNMP request holding unit 105 after a predetermined time has elapsed since the last SNMP request was received. A list is requested (SEQ6). In response to this request, the SNMP request holding unit 105 requests the SNMP request management unit 104 for the reception time of each SNMP request.

SNMPリクエスト保持部105は、この要求に応じて取得された各SNMPリクエストの受付時刻と、キューに保持されているSNMPリクエストの一覧とを、SNMPリクエスト毎に関連付けてDoS攻撃判定部103に渡す。DoS攻撃判定部103は、SNMPリクエスト保持部105から受け取ったSNMPリクエストの受付時刻と一覧とに基づき、各リモートホスト毎に、SNMPリクエストの受信速度、すなわち、同一のSNMPリクエストを所定時間内に何回受け取ったかを求める。この所定時間内に受け取ったSNMPリクエスト数が閾値以上で、当該SNMPリクエストの送信元からDoS攻撃を受けていると判定し、SNMPリクエスト管理部104に対してその旨を通知する。   The SNMP request holding unit 105 associates the reception time of each SNMP request acquired in response to this request and the list of SNMP requests held in the queue with each SNMP request and passes it to the DoS attack determination unit 103. Based on the SNMP request reception time and the list received from the SNMP request holding unit 105, the DoS attack determination unit 103 determines the SNMP request reception speed, that is, the same SNMP request within a predetermined time, for each remote host. Ask if it was received once. The number of SNMP requests received within the predetermined time is greater than or equal to the threshold value, and it is determined that a DoS attack has been received from the source of the SNMP request, and that fact is notified to the SNMP request management unit 104.

これに限らず、DoS攻撃判定部103は、SNMPリクエスト保持部105によってSNMPリクエストがキューに保持されるのを常時監視して、略リアルタイムにDoS攻撃の有無を判定することも可能である。一例として、DoS攻撃判定部103は、キューに保持されるSNMPリクエストの受付時刻に基づき、単位時間当たりの平均受信数(受信速度)をリモートホスト毎に求める。この単位時間当たりの平均受信数を閾値と比較して、DoS攻撃の有無を判定することが考えられる。DoS攻撃判定部103は、DoS攻撃を受けていると判定されたら、その旨をSNMPリクエスト管理部104に通知する。   Not limited to this, the DoS attack determination unit 103 can always monitor whether the SNMP request is held in the queue by the SNMP request holding unit 105, and can determine the presence or absence of the DoS attack in substantially real time. As an example, the DoS attack determination unit 103 obtains the average number of receptions (reception speed) per unit time for each remote host based on the reception time of the SNMP request held in the queue. It is conceivable to determine the presence or absence of a DoS attack by comparing the average number of receptions per unit time with a threshold value. When it is determined that the DoS attack is received, the DoS attack determination unit 103 notifies the SNMP request management unit 104 to that effect.

SNMPリクエスト管理部104は、このDoS攻撃を受けている旨の通知に応じて、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストのうち、DoS攻撃を行っているとされたリモートホストからのSNMPリクエストを一括削除するように要求する。   The SNMP request management unit 104 is said to be performing a DoS attack among the SNMP requests held in the queue with respect to the SNMP request holding unit 105 in response to the notification that the SNMP request has been received. Requests that SNMP requests from remote hosts be deleted at once.

この第1の変形例によれば、DoS攻撃によるSNMPリクエスト数が少なくても、情報処理装置100がDoS攻撃を受けているか否かを判断できる。   According to the first modification, even if the number of SNMP requests due to the DoS attack is small, it can be determined whether or not the information processing apparatus 100 is subjected to the DoS attack.

<第2の変形例>
次に、本発明の実施形態の第2の変形例について説明する。上述した実施形態および実施形態の第1の変形例では、DoS攻撃の有無を、受け付けたSNMPリクエストの数をリモートホスト毎に計数することで判定したが、これはこの例に限定されるものではない。本第2の変形例では、キューの状態を監視し、同一のリモートホストからのSNMPリクエストによってキューの最大サイズまでSNMPリクエストが追加されてしまった場合に、情報処理装置100がDoS攻撃を受けていると判定する。 <Second Modification>
Next, a second modification of the embodiment of the present invention will be described. In the above-described embodiment and the first modification of the embodiment, the presence / absence of a DoS attack is determined by counting the number of accepted SNMP requests for each remote host. However, this is not limited to this example. Absent. In the second modification, the status of the queue is monitored, and when the SNMP request is added to the maximum queue size by the SNMP request from the same remote host, the information processing apparatus 100 is subjected to a DoS attack. It is determined that

一例として、SNMPリクエスト保持部105は、SEQ4でキューに新規のSNMPリクエストを追加した際に、キューの最大サイズまでSNMPリクエストが追加されたか否かを判定する。キューの最大サイズまでSNMPリクエストが追加されていないと判定されたら、次のSNMPリクエストの追加要求を待つ。   As an example, when a new SNMP request is added to the queue in SEQ4, the SNMP request holding unit 105 determines whether the SNMP request has been added up to the maximum size of the queue. If it is determined that the SNMP request has not been added up to the maximum size of the queue, it waits for a request for adding the next SNMP request.

一方、キューの最大サイズまでSNMPリクエストが追加されたと判定したら、SNMPリクエスト保持部105は、その旨をSNMPリクエスト管理部105に通知する。SNMPリクエスト管理部105は、この通知に応じてDoS攻撃判定部103に対してDoS攻撃の判定を行うように要求する(SEQ5)。   On the other hand, if it is determined that the SNMP request has been added up to the maximum size of the queue, the SNMP request holding unit 105 notifies the SNMP request management unit 105 to that effect. In response to this notification, the SNMP request management unit 105 requests the DoS attack determination unit 103 to determine the DoS attack (SEQ5).

DoS攻撃判定部103は、この判定要求に応じて、キューに保持されるSNMPリクエストの一覧をSNMPリクエスト保持部105に要求し(SEQ6)、この要求に応じて取得された一覧に基づき、キューに保持されているSNMPリクエストが同一のリモートホストからものであるか否かを調べる。その結果、若し、キューに保持されているSNMPリクエストが同一のリモートホストからものであれば、この情報処理装置100がDoS攻撃を受けていると判定し、その旨をSNMPリクエスト管理部104に対して通知する(SEQ7)。   In response to this determination request, the DoS attack determination unit 103 requests a list of SNMP requests held in the queue from the SNMP request holding unit 105 (SEQ6), and enters the queue based on the list acquired in response to this request. It is checked whether the held SNMP request is from the same remote host. As a result, if the SNMP request held in the queue is from the same remote host, it is determined that the information processing apparatus 100 has been subjected to the DoS attack, and the fact is notified to the SNMP request management unit 104. Notification is made (SEQ7).

SNMPリクエスト管理部104は、このDoS攻撃を受けている旨の通知に応じて、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストのうち、DoS攻撃を行っているとされたリモートホストからのSNMPリクエストを一括削除するように要求する。   The SNMP request management unit 104 is said to be performing a DoS attack among the SNMP requests held in the queue with respect to the SNMP request holding unit 105 in response to the notification that the SNMP request has been received. Requests that SNMP requests from remote hosts be deleted at once.

なお、上述では、キューに保持されているSNMPリクエスト全てが同一のリモートホストからものである場合に、DoS攻撃を受けていると判定しているが、これはこの例に限られない。例えば、キューに保持されているSNMPリクエストのうち所定の割合以上が同一のリモートホストからものである場合に、DoS攻撃を受けていると判定することもできる。   In the above description, when all the SNMP requests held in the queue are from the same remote host, it is determined that a DoS attack has occurred, but this is not limited to this example. For example, it is possible to determine that a DoS attack has been received when a predetermined ratio or more of the SNMP requests held in the queue are from the same remote host.

このように、本第2の変形例によれば、DoS攻撃の有無を、キューの状態を監視することで判定しているため、DoS攻撃の有無を、情報処理装置100の負荷を増やすことなく、リアルタイムに近い状態で検知することができる。   As described above, according to the second modification, since the presence / absence of the DoS attack is determined by monitoring the queue state, the presence / absence of the DoS attack can be determined without increasing the load on the information processing apparatus 100. It can be detected in a state close to real time.

なお、上述では、本発明がSNMPリクエストを用いたDoS攻撃に対して適用されるように説明したが、これはこの例に限定されるものではない。すなわち、本発明は、受信したリクエストを処理して応答を返すようなシステムを利用したDoS攻撃であれば、他の種類のDoS攻撃にも適用可能である。   In the above description, the present invention has been described as applied to a DoS attack using an SNMP request, but this is not limited to this example. That is, the present invention can be applied to other types of DoS attacks as long as it is a DoS attack using a system that processes a received request and returns a response.

また、上述では、実施形態、実施形態の第1の変形例および第2の変形例がそれぞれ独立的に用いられるように説明したが、これはこの例に限定されない。すなわち、上述の実施形態、実施形態の第1の変形例および第2の変形例は、互いに組み合わせて用いることができる。この場合、実施形態、実施形態の第1の変形例および第2の変形例のうち2または全てを、論理和として組み合わせることが考えられる。   In the above description, the embodiment, the first modification example, and the second modification example of the embodiment have been described as being independently used. However, this is not limited to this example. That is, the above-described embodiment, the first modification example and the second modification example of the embodiment can be used in combination with each other. In this case, it is conceivable to combine two or all of the embodiments, the first modification and the second modification of the embodiment as a logical sum.

100 情報処理装置
101 ネットワークI/F
102 SNMPリクエスト処理部
103 DoS攻撃判定部
104 SNMPリクエスト管理部
105 SNMPリクエスト保持部 100 Information processing apparatus 101 Network I / F
102 SNMP request processing unit 103 DoS attack determination unit 104 SNMP request management unit 105 SNMP request holding unit

特開2008−310677号公報JP 2008-310677 A

Claims (9)

ホスト装置からネットワークを介して送信されたリクエストを受信して、該リクエストに対して所定の処理を行う情報処理装置であって、
受信された前記リクエストを一時的に保持する保持手段と、
前記保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定手段と、
前記判定手段による前記判定に応じて、前記保持手段に保持された前記リクエストに対して前記所定の処理を行う処理手段と
を有する
ことを特徴とする情報処理装置。 An information processing device that receives a request transmitted from a host device via a network and performs predetermined processing on the request,
Holding means for temporarily holding the received request;
Determination means for determining whether or not a DoS attack has been received based on the request held in the holding means;
An information processing apparatus comprising: processing means for performing the predetermined processing on the request held in the holding means in response to the determination by the determination means. 前記判定手段は、
前記DoS攻撃を受けたと判定された場合に、前記保持手段に保持される前記リクエストのうち該DoS攻撃によるリクエストを該保持手段から削除する
ことを特徴とする請求項1に記載の情報処理装置。 The determination means includes
2. The information processing apparatus according to claim 1, wherein when it is determined that the DoS attack has been received, a request due to the DoS attack is deleted from the holding unit among the requests held in the holding unit. 前記判定手段は、
前記保持手段に保持される、同一のホスト装置からのリクエストの数が第1の閾値以上の場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1または請求項2に記載の情報処理装置。 The determination means includes
3. The method according to claim 1, wherein when the number of requests from the same host device held in the holding unit is equal to or greater than a first threshold, it is determined that the DoS attack has been received. Information processing device. 前記判定手段は、
前記保持手段に対して、所定時間内に第2の閾値以上の数の同一のホスト装置からのリクエストが保持された場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1乃至請求項3の何れか1項に記載の情報処理装置。 The determination means includes
The determination as to whether or not the DoS attack has been received when the holding means holds requests from the same number of host devices equal to or greater than a second threshold value within a predetermined time. The information processing apparatus according to claim 3. 前記判定手段は、
同一のホスト装置からのリクエストが前記保持手段の最大サイズまで保持された場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1乃至請求項4の何れか1項に記載の情報処理装置。 The determination means includes
The information according to any one of claims 1 to 4, wherein when the request from the same host device is held up to the maximum size of the holding means, it is determined that the DoS attack has been received. Processing equipment. 前記判定手段は、
前記DoS攻撃を受けたと判定したら、該DoS攻撃として送信されたリクエストの送信元のホスト装置からのリクエストの受付を禁止するように、リクエストを受信する受信手段に対する設定を行う
ことを特徴とする請求項1乃至請求項5の何れか1項に記載の情報処理装置。 The determination means includes
When it is determined that the DoS attack has been received, a setting is made for a receiving unit that receives a request so as to prohibit reception of a request from a host device that is a transmission source of the request transmitted as the DoS attack. The information processing apparatus according to any one of claims 1 to 5. 前記保持手段は、
該保持手段の最大サイズまで前記リクエストが保持されている状態で新規の前記リクエストが追加される際に、保持されているリクエストのうち該新規のリクエストの送信元のホスト装置から送信された、該新規のリクエストと重複したリクエストを削除する
ことを特徴とする請求項1乃至請求項6の何れか1項に記載の情報処理装置。 The holding means is
When a new request is added in a state where the request is held up to the maximum size of the holding unit, the request transmitted from the host apparatus that is the transmission source of the new request among the held requests, The information processing apparatus according to any one of claims 1 to 6, wherein a request that overlaps with a new request is deleted. ホスト装置からネットワークを介して送信されたリクエストを受信して、該リクエストに対して所定の処理を行う情報処理方法であって、
受信された前記リクエストを保持手段に一時的に保持する保持ステップと、
前記保持ステップにより前記保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定ステップと、
前記判定ステップによる前記判定に応じて、前記保持手段に保持された前記リクエストに対して前記所定の処理を行う処理ステップと
を有する
ことを特徴とする情報処理方法。 An information processing method for receiving a request transmitted from a host device via a network and performing predetermined processing on the request,
A holding step for temporarily holding the received request in a holding means;
A determination step of determining whether or not a DoS attack has been received based on the request held in the holding means by the holding step;
And a processing step of performing the predetermined processing on the request held in the holding unit in response to the determination in the determination step. コンピュータを請求項1乃至請求項7の何れか1項に記載の情報処理装置の各手段として機能させるためのプログラム。   A program for causing a computer to function as each unit of the information processing apparatus according to any one of claims 1 to 7.
JP2009067074A 2009-03-18 2009-03-18 Information processor, information processing method, and program Pending JP2010218462A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009067074A JP2010218462A (en) 2009-03-18 2009-03-18 Information processor, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009067074A JP2010218462A (en) 2009-03-18 2009-03-18 Information processor, information processing method, and program

Publications (1)

Publication Number Publication Date
JP2010218462A true JP2010218462A (en) 2010-09-30

Family

ID=42977194

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009067074A Pending JP2010218462A (en) 2009-03-18 2009-03-18 Information processor, information processing method, and program

Country Status (1)

Country Link
JP (1) JP2010218462A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015532048A (en) * 2012-08-29 2015-11-05 エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd Automatic scanning action determination method and apparatus
JP2017005519A (en) * 2015-06-11 2017-01-05 三菱電機株式会社 Communication apparatus and communication method

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005193590A (en) * 2004-01-09 2005-07-21 Canon Inc Printing device
JP2005286716A (en) * 2004-03-30 2005-10-13 Nec Engineering Ltd Dos attack defending apparatus and defending method
US20060041667A1 (en) * 2002-11-19 2006-02-23 Gaeil Ahn Method and apparatus for protecting legitimate traffic from dos and ddos attacks
JP2006352864A (en) * 2005-06-10 2006-12-28 At & T Corp Apparatus for optimizing filter
JP2008276457A (en) * 2007-04-27 2008-11-13 Ionos:Kk Network protection program, network protection device, and network protection method
JP2008310677A (en) * 2007-06-15 2008-12-25 Ricoh Co Ltd Information processor, information processing method, and program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060041667A1 (en) * 2002-11-19 2006-02-23 Gaeil Ahn Method and apparatus for protecting legitimate traffic from dos and ddos attacks
JP2005193590A (en) * 2004-01-09 2005-07-21 Canon Inc Printing device
JP2005286716A (en) * 2004-03-30 2005-10-13 Nec Engineering Ltd Dos attack defending apparatus and defending method
JP2006352864A (en) * 2005-06-10 2006-12-28 At & T Corp Apparatus for optimizing filter
JP2008276457A (en) * 2007-04-27 2008-11-13 Ionos:Kk Network protection program, network protection device, and network protection method
JP2008310677A (en) * 2007-06-15 2008-12-25 Ricoh Co Ltd Information processor, information processing method, and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015532048A (en) * 2012-08-29 2015-11-05 エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd Automatic scanning action determination method and apparatus
JP2017005519A (en) * 2015-06-11 2017-01-05 三菱電機株式会社 Communication apparatus and communication method

Similar Documents

Publication Publication Date Title
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
US9444821B2 (en) Management server, communication cutoff device and information processing system
JP5619691B2 (en) Device management apparatus, device management method, and device management program
JP6435695B2 (en) Controller and its attacker detection method
JP2006178698A (en) Load state monitoring apparatus and load state monitoring method
JP2011022920A (en) Plant monitoring system, plant monitoring device, data aggregating device thereof, and terminal device
US20160156516A1 (en) Monitoring device, method, and medium
JP2015057930A (en) Network apparatus, communication system, and detection method and program for abnormal traffic
CN110740072A (en) fault detection method, device and related equipment
CN104424438A (en) Anti-virus file detection method, anti-virus file detection device and network equipment
US9654491B2 (en) Network filtering apparatus and filtering method
US8819808B2 (en) Host trust report based filtering mechanism in a reverse firewall
JP2010218462A (en) Information processor, information processing method, and program
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
CN110784337A (en) Cloud service quality monitoring method and related product
CN115002009A (en) Flow sampling method, device, system, electronic equipment and medium
JP2011114805A (en) Communication apparatus and method, and program
JP2009176137A (en) Virus suffering range prediction system
JP6880896B2 (en) Image forming equipment, information processing system, and programs
JP2022049717A (en) Communication device
JP2004234306A (en) Server, method for monitoring component processing, and program
KR101769447B1 (en) Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same
KR20120067584A (en) Method and apparatus for detecting and filtering ddos attack in a massive traffic
JP5277073B2 (en) Image reading apparatus and timeout time management program
JP7087819B2 (en) Communication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130423

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130813