JP2010218462A - Information processor, information processing method, and program - Google Patents
Information processor, information processing method, and program Download PDFInfo
- Publication number
- JP2010218462A JP2010218462A JP2009067074A JP2009067074A JP2010218462A JP 2010218462 A JP2010218462 A JP 2010218462A JP 2009067074 A JP2009067074 A JP 2009067074A JP 2009067074 A JP2009067074 A JP 2009067074A JP 2010218462 A JP2010218462 A JP 2010218462A
- Authority
- JP
- Japan
- Prior art keywords
- request
- snmp
- dos attack
- received
- snmp request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、DoS攻撃の検出を行う情報処理装置、情報処理方法およびプログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program for detecting a DoS attack.
標的の情報処理装置(コンピュータなど)に対して、ネットワークを介して大量のパケットを送信することで当該情報処理装置の処理を滞らせ、当該情報処理装置の利用に支障が起こるようにする、DoS(Denial of Service)攻撃が知られている。このため、標的となり得る情報処理装置側では、何らかの手段でDoS攻撃を検知し、当該情報処理装置による他のサービスを継続して提供できるように対応する必要がある。 DoS that delays the processing of the information processing device by transmitting a large amount of packets to the target information processing device (such as a computer) via the network, thereby hindering the use of the information processing device. (Denial of Service) attacks are known. For this reason, the information processing apparatus that can be a target needs to detect a DoS attack by some means and take measures to continuously provide other services by the information processing apparatus.
特許文献1には、パスワードクラックとDoS攻撃を共に防止する事を目的とし、所定時間内に閾値以上のアクセスがあった場合にDoS攻撃として検知する構成が開示されている。
ところで、DoS攻撃の一つとして、SNMP(Simple Network Management Protocol)エージェント機能を有する情報処理装置に対し、ネットワークを介してSNMPリクエストを大量に送信する事で当該情報処理装置の処理能力を浪費させ、他のサービスの提供を不可能な状態にする攻撃がある。 By the way, as one of the DoS attacks, an information processing apparatus having an SNMP (Simple Network Management Protocol) agent function is wasteful of processing power of the information processing apparatus by transmitting a large number of SNMP requests via the network. There are attacks that make it impossible to provide other services.
すなわち、SNMPによれば、SNMPリクエストを受信した情報処理装置は、当該SNMPリクエストに応じて所定の処理を行い応答を返すのが一般的である。そのため、連続的に送信された大量のSNMPリクエストを受信すると、受信したSNMPリクエストに対する応答を生成する処理に処理能力が費やされ、他のサービスに対して僅かな処理能力しか振り分けることができなくなる。 That is, according to SNMP, an information processing apparatus that has received an SNMP request generally performs a predetermined process in response to the SNMP request and returns a response. For this reason, when a large number of continuously transmitted SNMP requests are received, processing capacity is consumed for generating a response to the received SNMP request, and only a small processing capacity can be allocated to other services. .
従来では、特定のリモートホストから送信されたSNMPリクエストを受け、それに対する応答を行った回数を計測し、計測された回数が所定時間内(例えば1秒間)に閾値以上に達した場合にこの特定のリモートホストからのSNMPリクエストの送信がDoS攻撃であると検知していた。そして、DoS攻撃が検知された以降は、そのリモートホストからのSNMPリクエストを読み捨てるという処理を行っていた。 Conventionally, the number of times an SNMP request sent from a specific remote host is received and responded to is measured, and this number is specified when the measured number reaches a threshold value within a predetermined time (for example, 1 second). It has been detected that the transmission of an SNMP request from the remote host is a DoS attack. After the DoS attack is detected, a process of reading and discarding the SNMP request from the remote host has been performed.
この方法だと、処理能力が低く所定時間当たりの処理可能なSNMPリクエストの数が少ない情報処理装置では、現在なされているSNMPリクエストによるアクセスが通常のアクセスなのかDoS攻撃なのかを判断するのが困難であるという問題があった。 In this method, in an information processing apparatus having a low processing capability and a small number of SNMP requests that can be processed per predetermined time, it is determined whether the current access by the SNMP request is a normal access or a DoS attack. There was a problem that it was difficult.
例えば、上述した閾値が1000回以上に設定されている情報処理装置が所定時間内にSNMPリクエストを100個しか処理できなければ、DoS攻撃を受けているにも関わらず検知できないということが起こる。一方、閾値を低くすると、通常のアクセスをDoS攻撃として検知してしまう可能性がある。 For example, if the information processing apparatus in which the above-described threshold is set to 1000 times or more can process only 100 SNMP requests within a predetermined time, it may be impossible to detect despite being subjected to a DoS attack. On the other hand, if the threshold is lowered, normal access may be detected as a DoS attack.
また、上述の特許文献1では、他のコンピュータからのアクセスがある度に利用者の認証を行うため、処理能力の低いコンピュータではDoS攻撃が検知できない可能性があるという問題を含んでいる。
In addition, the above-described
本発明は、上記に鑑みてなされたものであって、処理能力が低くても適切にDoS攻撃を検知することができる情報処理装置、情報処理方法およびプログラムを提供することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to provide an information processing apparatus, an information processing method, and a program capable of appropriately detecting a DoS attack even when processing capability is low.
上述した課題を解決し、目的を達成するために、本発明は、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う情報処理装置であって、受信されたリクエストを一時的に保持する保持手段と、保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定手段と、判定手段による判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行う処理手段とを有することを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is an information processing apparatus that receives a request transmitted from a host device via a network and performs predetermined processing on the request. A holding unit that temporarily holds a received request, a determination unit that determines whether a DoS attack has been received based on the request held in the holding unit, and a holding unit that holds the request according to the determination by the determination unit And processing means for performing predetermined processing on the received request.
また、本発明は、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う情報処理方法であって、受信されたリクエストを保持手段に一時的に保持する保持ステップと、保持ステップにより保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定ステップと、判定ステップによる判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行う処理ステップとを有することを特徴とする。 In addition, the present invention is an information processing method for receiving a request transmitted from a host device via a network and performing a predetermined process on the request, and temporarily holding the received request in a holding unit A holding step, a determination step for determining whether or not a DoS attack has been received based on the request held in the holding unit by the holding step, and a request held in the holding unit according to the determination by the determination step. And a processing step for performing the above processing.
本発明によれば、ホスト装置からネットワークを介して送信されたリクエストを受信して、リクエストに対して所定の処理を行う際に、受信されたリクエストを保持手段に一時的に保持し、保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定し、判定に応じて、保持手段に保持されたリクエストに対して所定の処理を行うようにしているため、処理能力が低くても適切にDoS攻撃を検知することができるという効果を奏する。 According to the present invention, when a request transmitted from a host device via a network is received and predetermined processing is performed on the request, the received request is temporarily held in the holding unit, and the holding unit Since it is determined whether or not a DoS attack has been received based on the request held in the server, and a predetermined process is performed on the request held in the holding unit according to the determination, even if the processing capability is low There is an effect that a DoS attack can be appropriately detected.
以下に添付図面を参照して、この発明に係る情報処理装置の最良な実施の形態を詳細に説明する。先ず、本発明について、概念的に説明する。SNMP(Simple Network Management Protocol)リクエストを送信するリモートホストは、一般的には、1つのSNMPリクエストを送信し、その応答を待って次のSNMPリクエストを送信する。一方、DoS(Denial of Service)攻撃を目的としたリモートホストは、送信したSNMPリクエストに対する応答を待たずに、連続的にSNMPリクエストを送信する。換言すると、DoS攻撃を仕掛けてきたリモートホストからのSNMPリクエストは、情報処理装置が当該リモートホストから送信されたSNMPリクエストに対する応答を返す前に、連続的に送信されてくる。 Exemplary embodiments of an information processing apparatus according to the present invention will be explained below in detail with reference to the accompanying drawings. First, the present invention will be conceptually described. A remote host that transmits an SNMP (Simple Network Management Protocol) request generally transmits one SNMP request and waits for a response to transmit the next SNMP request. On the other hand, a remote host intended for a DoS (Denial of Service) attack continuously transmits an SNMP request without waiting for a response to the transmitted SNMP request. In other words, an SNMP request from a remote host that has launched a DoS attack is continuously transmitted before the information processing apparatus returns a response to the SNMP request transmitted from the remote host.
本発明は、この点に着目し、受信したSNMPリクエストに対する処理を行う前に、当該SNMPリクエストを一旦キューに保持する。そして、キューの先頭のSNMPリクエストの処理を行う前に、任意のリモートホストからのSNMPリクエストが一定回数以上あったか否かを調べる。その結果、同一のリモートホストからのSNMPリクエストが一定回数以上あった場合に、当該リモートホストによるDoS攻撃として検知する。 The present invention pays attention to this point, and temporarily holds the SNMP request in the queue before processing the received SNMP request. Then, before processing the SNMP request at the head of the queue, it is checked whether or not an SNMP request from an arbitrary remote host has occurred a predetermined number of times or more. As a result, when there are SNMP requests from the same remote host more than a certain number of times, it is detected as a DoS attack by the remote host.
このように、本発明では、SNMPリクエストの処理数ではなくSNMPリクエストの受信数に基づきDoS攻撃の有無を判断できるため、情報処理装置の処理能力に拠らずDoS攻撃を検知する事が可能になる。 As described above, according to the present invention, since it is possible to determine the presence or absence of a DoS attack based on the number of received SNMP requests instead of the number of processed SNMP requests, it is possible to detect a DoS attack regardless of the processing capability of the information processing apparatus. Become.
なお、以下では、DoS攻撃は、ネットワークを介して送信されたリクエストに対して応答を返すシステムを利用して、リクエストを、対応する応答を待たずに次々と情報処理装置に送信することで、当該情報処理装置の処理能力を浪費させる攻撃であるものとする。 In the following, a DoS attack uses a system that returns a response to a request transmitted via a network, and transmits requests to information processing devices one after another without waiting for a corresponding response. It is assumed that the attack is a waste of the processing capability of the information processing apparatus.
<各実施形態に共通の構成>
図1は、本発明の各実施形態に適用可能な情報処理装置100の一例の構成を示す。情報処理装置100において、バス10に対してCPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、ネットワークI/F14、ハードディスク15、入出力I/F16およびドライブ装置17が接続される。バス10に接続される各部は、バス10を介して互いにデータのやりとりを行うことができるようにされている。
<Configuration common to each embodiment>
FIG. 1 shows an exemplary configuration of an
CPU11は、ROM12やハードディスク15に予め記憶されたプログラムに従い、RAM13をワークメモリとして用いてこの情報処理装置100の全体の動作を制御する。本実施形態においては、CPU11が実行するプログラムには、TCP/IP(Transmission Control Protocol/Internet Protocol)やSNMP(Simple Network Management Protocol)といったプロトコルが実装される。
The CPU 11 controls the overall operation of the
ハードディスク15は、上述したCPU11が動作するためのプログラムや、様々なデータが格納される。また、ハードディスク15は、CPU11がプログラムの実行に際して発生したデータを一時的に格納することもできる。
The
入出力I/F16は、この情報処理装置100に対するデータの入出力を制御する。例えば、入出力I/F16に対してキーボードやマウスなどの入力デバイスが接続される。これら入力デバイスに対するユーザ操作に応じた制御信号が入出力I/F16から出力され、バス10を介してCPU11に供給される。また、入出力I/F16がUSB(Universal Serial Bus)やIEEE(Institute Electrical and Electronics Engineers)1394といったシリアルインターフェイスに対応していてもよい。
The input / output I /
ドライブ装置17は、CD(Compact Disk)やDVD(Digital Versatile Disk)といったディスク記憶媒体20からデータを読み出す。これに限らず、ドライブ装置17の対応する記憶媒体が不揮発性の半導体メモリなどであってもよい。上述したCPU11が動作するためのプログラムは、例えばこれらCD、DVD、不揮発性の半導体メモリなどの記憶媒体に記憶されて提供され、ドライブ装置17から読み込まれてハードディスク15に対して所定に格納される。表示制御部18は、ディスプレイ21が接続され、CPU11により生成された表示制御信号をディスプレイ21が表示可能な形式の信号に変換して出力する。
The
ネットワークI/F14は、TCP/IPに対応し、インターネットやLAN(Local Area Network)といったネットワーク200を介して、外部の情報機器と通信を行うことができる。上述したCPU11が動作するためのプログラムは、外部のサーバ装置などから、ネットワーク200を介して提供され、ネットワークI/F14で受信してハードディスク15に所定に格納することもできる。
The network I / F 14 corresponds to TCP / IP and can communicate with an external information device via a
図2は、本発明の各実施形態に適用可能な情報処理装置100の機能を示す一例の機能ブロック図である。情報処理装置100は、ネットワークI/F101、SNMPリクエスト処理部102、DoS攻撃判定部103、SNMPリクエスト管理部104およびSNMPリクエスト保持部105を備える。
FIG. 2 is a functional block diagram illustrating an example of functions of the
これらのうち、ネットワークI/F101は、上述したネットワークI/F14に対応し、ネットワーク200を介してリモートホスト210A、210B、…との間での通信を制御する。SNMPリクエスト処理部102、DoS攻撃判定部103およびSNMPリクエスト管理部104は、CPU11上で動作するプログラムにより実現される。例えば、SNMPリクエスト処理部102、DoS攻撃判定部103、SNMPリクエスト管理部104およびSNMPリクエスト保持部105のそれぞれは、プログラム上のモジュールとして、CPU11によりRAM13上に展開されて構成される。
Among these, the network I /
SNMPリクエスト処理部102は、リモートホスト210A、210B、…から送信されたSNMPリクエストを受け取って処理を行う。SNMPリクエスト管理部104は、SNMPリクエスト処理部102が処理を実行する前にリモートホスト210A、210B、…から送信されてきた全てのSNMPリクエストを受け取って管理する。SNMPリクエスト保持部105は、リモートホスト210A、210B、…から送信されてきたSNMPリクエストを、キューに保持する。キューは、具体的には、例えばRAM13の所定領域を用いて構成される。DoS攻撃判定部103は、DoS攻撃判定のための閾値を持っており、任意のリモートホスト210A、210B、…がDoS攻撃を行ってきているか否かを、例えばSNMPリクエストの受信数と閾値とに基づき判定する。
The SNMP
<実施形態>
以下、図3〜図5のシーケンス図を用いて、本発明の実施形態によるDoS攻撃の検知処理について説明する。図3は、情報処理装置100に対してDoS攻撃が行われておらず、情報処理装置100が正常にSNMPリクエストを処理する場合の一例の処理を示すシーケンス図である。
<Embodiment>
The DoS attack detection process according to the embodiment of the present invention will be described below using the sequence diagrams of FIGS. FIG. 3 is a sequence diagram illustrating an example of processing when the DoS attack is not performed on the
先ず、SEQ1で、SNMPリクエスト処理部102は、例えばリモートホスト210Aから送信されたSNMPリクエストを受け取る。すなわち、リモートホスト210Aから送信されたSNMPリクエストは、ネットワーク200を介してネットワークI/F101に受信される。ネットワークI/F101は、受信したSNMPリクエストをSNMPリクエスト処理部102に渡す。なお、SNMPリクエストは、送信元の機器を識別するための識別情報と、SNMPリクエストの内容を示す情報とを含む。
First, in SEQ1, the SNMP
SNMPリクエスト処理部102は、リモートホスト210AからのSNMPリクエストを受け取ると、SEQ2で、このSNMPリクエストをSNMPリクエスト管理部104に渡す。SNMPリクエスト管理部104は、SNMPリクエストを受け取ると、このSNMPリクエストを受け付けた時刻を示す情報を保持し(SEQ3)、当該SNMPリクエストをSNMPリクエスト保持部105に渡す(SEQ4)。SNMPリクエスト保持部105は、受け取ったSNMPリクエストをキューに追加して保持する。
When receiving the SNMP request from the
上述のSEQ1〜SEQ4の処理は、この情報処理装置100がSNMPリクエストを継続的に受信している間、繰り返される。例えば、SNMPリクエスト管理部104は、現在の時刻が直前にSNMPリクエストを受け付けた時刻から所定時間を経過しているか否かを判定し、所定時間を経過していると判定されたら、SNMPリクエストの受信が直前の受信で終了していると判断する。
The processes of SEQ1 to SEQ4 described above are repeated while the
SNMPリクエストの受信が終了したと判定されたら、SNMPリクエスト管理部104は、DoS攻撃判定部103に対して、この情報処理装置100がDoS攻撃されていたか否かの判定を行うように要求する(SEQ5)。この要求に応じて、DoS攻撃判定部103は、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストの一覧を要求する(SEQ6)。この要求に応じて、キューに保持されているSNMPリクエストの一覧がSNMPリクエスト保持部105からDoS攻撃判定部103に対して渡される。DoS攻撃判定部103は、SNMPリクエスト保持部105から取得したSNMPリクエストの一覧に基づき、この情報処理装置100がDoS攻撃を受けていたか否かを判定する。
When it is determined that the reception of the SNMP request has been completed, the SNMP
本実施形態では、この判定を、同一のリモートホストから予め決められた閾値以上の数のSNMPリクエストを受信しているか否かにより行う。一例として、DoS攻撃判定部103は、SNMPリクエスト保持部105から取得したSNMPリクエストの一覧に基づき、SNMPリクエストの数をリモートホスト毎に計数する。そして、閾値と各リモートホストの計数結果とをそれぞれ比較し、閾値以上の数を受信したSNMPリクエストの送信元のリモートホストを検出する。
In the present embodiment, this determination is made based on whether or not SNMP requests equal to or greater than a predetermined threshold value are received from the same remote host. As an example, the DoS
その結果、若し、同一のリモートホストから閾値以上の数のSNMPリクエストを受信しているとされれば、DoS攻撃判定部103は、この情報処理装置100がDoS攻撃を受けていたと判定する。DoS攻撃を受けていたと判定された場合の処理は、図4を用いて後述する。
As a result, if it is determined that SNMP requests equal to or greater than the threshold are received from the same remote host, the DoS
一方、各リモートホストから受信したSNMPリクエストの回数が閾値未満であるとされれば、この情報処理装置100がDoS攻撃を受けていないと判定する。この場合、DoS攻撃判定部103は、DoS攻撃を受けていない旨を示す判定結果をSNMPリクエスト管理部104に対して通知する(SEQ7)。SNMPリクエスト管理部104は、このDoS攻撃を受けていない旨の通知に応じて、SNMPリクエスト処理部102に対して、キューに保持されているSNMPリクエストの処理を行うように要求する(SEQ8)。
On the other hand, if the number of SNMP requests received from each remote host is less than the threshold, it is determined that the
SNMPリクエスト処理部102は、この要求を受け、SNMPリクエスト管理部104に対して、キューに保持されているSNMPリクエストを1つ、要求する。SNMPリクエスト管理部104は、この要求に応じてSNMPリクエスト保持部105に対して、キューの先頭に保持されているSNMPリクエストを読み出すように要求する(SEQ10)。SNMPリクエスト保持部105は、キューから先頭のSNMPリクエストを読み出してSNMPリクエスト管理部104に渡す。
In response to this request, the SNMP
続けて、SNMPリクエスト処理部102は、SNMPリクエスト管理部104に渡されたSNMPリクエストの受付時刻を確認する(SEQ12)、若し、確認した受付時刻が現在の時刻が確認した受付時刻から一定の時間を経過していたと判定されたら、当該SNMPリクエストが古いリクエストであるとして、当該SNMPリクエストを処理せずに捨て、次のSNMPリクエストの処理に移行する。
Subsequently, the SNMP
一方、現在の時刻が確認した受付時刻から一定の時間を経過していないと判定されたら、SNMPリクエスト処理部102は、当該SNMPリクエストをSNMPリクエスト管理部104から取得し(SEQ13)、取得したSNMPリクエストに応じた処理、例えばレスポンス生成処理を行う(SEQ14)。
On the other hand, if it is determined that the predetermined time has not elapsed from the confirmed reception time, the SNMP
上述のSEQ9〜SEQ14の処理は、キューに保持されている全てのSNMPリクエストに対して行うように、繰り返される。また、SEQ9〜SEQ14の処理において、新たなSNMPリクエストを受信した場合、処理がSEQ1に戻される。 The processes of SEQ9 to SEQ14 described above are repeated so as to be performed for all SNMP requests held in the queue. Further, in the processes of SEQ9 to SEQ14, when a new SNMP request is received, the process is returned to SEQ1.
次に、情報処理装置100においてDoS攻撃が検知された場合の一例の処理を、図4を用いて説明する。なお、図4において、上述の図3と共通する処理には同一の符号を付し、詳細な説明を省略する。以下では、煩雑さを避けるために、上述の図3によるDoS攻撃がなされていない場合の例との差異部分を中心に説明を行う。
Next, an example process when a DoS attack is detected in the
リモートホストからのSNMPリクエストを継続的に受信している間、SEQ1〜SEQ4の処理が繰り返され、受信されたSNMPリクエストがSNMPリクエスト保持部105によりキューに順次、保持される。最後のSNMPリクエストの受信から所定時間が経過したら、SEQ5によりSNMPリクエスト管理部104からDoS攻撃判定部103に対してDoS攻撃の有無の判定が要求される。DoS攻撃判定部103は、この要求に応じてSNMPリクエスト保持部105からキューに保持されているSNMPリクエストの一覧を取得し(SEQ6)、取得した一覧に基づきこの情報処理装置100がDoS攻撃を受けているか否かを判定する。
While the SNMP request from the remote host is continuously received, the processing of SEQ1 to SEQ4 is repeated, and the received SNMP request is sequentially held in the queue by the SNMP
若し、同一のリモートホストから閾値以上の回数のSNMPリクエストを受信していれば、DoS攻撃判定部103は、この情報処理装置100が当該リモートホストからDoS攻撃を受けていたと判定する。DoS攻撃判定部103は、このDoS攻撃を受けていた旨を示す判定結果をSNMPリクエスト管理部104に対して通知する(SEQ7)。
If the SNMP request has been received from the same remote host a number of times greater than or equal to the threshold, the DoS
SNMPリクエスト管理部104は、このDoS攻撃を受けていた旨を示す通知に応じて、SNMPリクエスト保持部105に対して、DoS攻撃を行ったと判定されたリモートホストから受け取ったSNMPリクエストをキューから一括削除するように、SNMPリクエスト保持部105に対して要求する(SEQ20)。SNMPリクエスト保持部105は、この要求に応じて、当該リモートホストから受け取ったSNMPリクエストをキューから一括削除する。
In response to the notification indicating that the DoS attack has been received, the SNMP
SNMPリクエスト管理部104は、上述のSEQ20による一括削除要求の後、SNMPリクエスト処理部102に対して、キューに保持されているSNMPリクエストの処理を行うように要求する(SEQ8)。以降、SEQ9〜SEQ14の処理で、上述の一括削除でキューに残ったSNMPリクエストの処理が行われる。
The SNMP
このように、本実施形態によれば、リモートホストから受け取ったSNMPリクエストを、処理前に一旦キューに保持する。そして、DoS攻撃の有無の判定を、キューに保持されたSNMPリクエストのうち同一リモートホストから受け取ったSNMPリクエストの数に基づき行うようにしている。そのため、情報処理装置100の処理能力が低くても、適切にDoS攻撃を検出することができると共に、DoS攻撃により情報処理装置100が提供する他のサービスが停止されることが防がれる。
Thus, according to this embodiment, the SNMP request received from the remote host is temporarily held in the queue before processing. Then, the presence / absence of a DoS attack is determined based on the number of SNMP requests received from the same remote host among the SNMP requests held in the queue. Therefore, even if the processing capability of the
また、DoS攻撃を受けていたと判定した場合、キューに保持されているSNMPリクエストのうちDoS攻撃元によるSNMPリクエストを一括削除するようにしているため、無駄にSNMPリクエストに対する処理を行うことがない。 Further, when it is determined that the DoS attack has been received, the SNMP requests from the DoS attack source among the SNMP requests held in the queue are collectively deleted, so that the process for the SNMP request is not performed unnecessarily.
なお、DoS攻撃判定部103により、リモートホストからDoS攻撃を受けていると判定された場合に、当該リモートホストから送信されたSNMPリクエストを情報処理装置100が受け付けないようにすると、より好ましい。一例として、DoS攻撃によるSNMPリクエストに含まれる、当該SNMPリクエストの送信元の機器を示す識別情報に基づき、当該送信元の機器からのSNMPリクエストに対するフィルタをネットワークI/F101に対して設定して、当該リモートホストから送信されたSNMPリクエストの受付を禁止することが考えられる。
It is more preferable that the
ところで、本実施形態では、リモートホストからのSNMPリクエストを、処理前に一旦キューに保持するため、図3や図4のSEQ1〜SEQ4の処理を繰り返しているうちに、キューの最大サイズまで未処理のSNMPリクエストが入ってしまう可能性がある。この状態で新規に受け取ったSNMPリクエストは、キューに保持できずに捨てられてしまうことになる。 By the way, in this embodiment, since the SNMP request from the remote host is temporarily held in the queue before processing, the processing up to the maximum size of the queue is not processed while the processing of SEQ1 to SEQ4 in FIG. 3 and FIG. 4 is repeated. May be entered. The SNMP request newly received in this state cannot be held in the queue and is discarded.
図5を用いて、キューの最大サイズまで未処理のSNMPリクエストが入っている場合に、新規に受け取ったSNMPリクエストが捨てられてしまうことを防ぐ一例の方法について説明する。なお、図5において、上述の図3と共通する処理には同一の符号を付し、詳細な説明を省略する。以下では、煩雑さを避けるために、上述の図3によるDoS攻撃がなされていない場合の例との差異部分を中心に説明を行う。 An example method for preventing a newly received SNMP request from being discarded when there is an unprocessed SNMP request up to the maximum queue size will be described with reference to FIG. In FIG. 5, the processes common to those in FIG. 3 described above are denoted by the same reference numerals, and detailed description thereof is omitted. In the following, in order to avoid complexity, the description will focus on differences from the example in the case where the DoS attack according to FIG. 3 is not made.
リモートホストからのSNMPリクエストを継続的に受信している間、SEQ1〜SEQ4の処理が繰り返され、受信されたSNMPリクエストがSNMPリクエスト保持部105によりキューに順次、保持される。
While the SNMP request from the remote host is continuously received, the processing of SEQ1 to SEQ4 is repeated, and the received SNMP request is sequentially held in the queue by the SNMP
ここで、SNMPリクエスト保持部105は、SEQ4でSNMPリクエスト管理部104からのSNMPリクエストのキューへの追加要求を受け取ったら、追加が要求されるSNMPリクエストをキューに追加して保持することが可能か否かを判定する。若し、追加して保持が可能であると判定されたら、当該SNMPリクエストをキューに追加して保持する。
Here, when the SNMP
一方、既にキューの最大サイズまでSNMPリクエストが保持されており、新規のSNMPリクエストを追加して保持することができないと判定されたら、SNMPリクエスト保持部105は、キューに保持されているSNMPリクエストのうち、当該新規SNMPリクエストと重複するSNMPリクエストを削除する(SEQ30)。
On the other hand, if it is determined that the SNMP request is already held up to the maximum size of the queue and a new SNMP request cannot be added and held, the SNMP
一例として、SNMPリクエスト保持部105は、キューに保持されているSNMPリクエストから、当該新規SNMPリクエストの送信元のリモートホストから受け取ったSNMPリクエストを検索する。さらに、検索されたSNMPリクエストから、当該新規SNMPリクエストと内容が一致するSNMPリクエストを検索する。ここで検索されたSNMPリクエストを削除する。
As an example, the SNMP
なお、キュー内に、新規SNMPリクエストと重複するSNMPリクエストが無かった場合、当該新規SNMPリクエストが捨てられる。 If there is no SNMP request in the queue that overlaps with the new SNMP request, the new SNMP request is discarded.
上述のSEQ1〜SEQ30の処理は、この情報処理装置100がSNMPリクエストを継続的に受信している間、繰り返される。
The processes of SEQ1 to SEQ30 described above are repeated while the
最後のSNMPリクエストの受信から所定時間が経過したら、SEQ5によりSNMPリクエスト管理部104からDoS攻撃判定部103に対してDoS攻撃の有無の判定が要求される。DoS攻撃判定部103は、この要求に応じて、既に説明したようにしてDoS攻撃の有無を判定する。DoS攻撃を受けていないと判定されたら、キューに保持されているSNMPリクエストの処理が行われる(SEQ9〜SEQ14)。一方、DoS攻撃を受けていたと判定されたら、図4のSEQ20によりキューに保持されているSNMPリクエストのうち、DoS攻撃を行ったと判定されたリモートホストから受け取ったSNMPリクエストを一括削除し、キューに残ったSNMPリクエストの処理が行われる(SEQ9〜SEQ14)。
When a predetermined time has elapsed since the reception of the last SNMP request, the SNMP
<第1の変形例>
次に、本発明の実施形態の第1の変形例について説明する。上述の実施形態では、DoS攻撃の有無を、リモートホスト毎のSNMPリクエストの受信数を閾値と比較することで判定したが、これはこの例に限定されるものではない。本第1の変形例では、リモートホスト毎のSNMPリクエストの受信数を計数し、同一のリモートホストから所定時間内に閾値以上の数のSNMPリクエストの受信を検知した場合に、DoS攻撃を受けたと判定する。換言すれば、本第1の変形例では、リモートホストからのSNMPリクエストの受信速度に基づき、DoS攻撃の有無を判定する。
<First Modification>
Next, a first modification of the embodiment of the present invention will be described. In the above-described embodiment, the presence / absence of a DoS attack is determined by comparing the number of received SNMP requests for each remote host with a threshold value, but this is not limited to this example. In the first modified example, the number of SNMP requests received for each remote host is counted, and when a reception of SNMP requests equal to or greater than the threshold value is detected from the same remote host within a predetermined time, a DoS attack is detected. judge. In other words, in the first modification, the presence / absence of a DoS attack is determined based on the reception speed of the SNMP request from the remote host.
一例として、DoS攻撃判定部103は、上述の実施形態と同様に、最後のSNMPリクエストが受信されてから所定時間の経過後に、SNMPリクエスト保持部105に対してキューに保持されているSNMPリクエストの一覧を要求する(SEQ6)。SNMPリクエスト保持部105は、この要求に応じてSNMPリクエスト管理部104に対して各SNMPリクエストの受付時刻を要求する。
As an example, the DoS
SNMPリクエスト保持部105は、この要求に応じて取得された各SNMPリクエストの受付時刻と、キューに保持されているSNMPリクエストの一覧とを、SNMPリクエスト毎に関連付けてDoS攻撃判定部103に渡す。DoS攻撃判定部103は、SNMPリクエスト保持部105から受け取ったSNMPリクエストの受付時刻と一覧とに基づき、各リモートホスト毎に、SNMPリクエストの受信速度、すなわち、同一のSNMPリクエストを所定時間内に何回受け取ったかを求める。この所定時間内に受け取ったSNMPリクエスト数が閾値以上で、当該SNMPリクエストの送信元からDoS攻撃を受けていると判定し、SNMPリクエスト管理部104に対してその旨を通知する。
The SNMP
これに限らず、DoS攻撃判定部103は、SNMPリクエスト保持部105によってSNMPリクエストがキューに保持されるのを常時監視して、略リアルタイムにDoS攻撃の有無を判定することも可能である。一例として、DoS攻撃判定部103は、キューに保持されるSNMPリクエストの受付時刻に基づき、単位時間当たりの平均受信数(受信速度)をリモートホスト毎に求める。この単位時間当たりの平均受信数を閾値と比較して、DoS攻撃の有無を判定することが考えられる。DoS攻撃判定部103は、DoS攻撃を受けていると判定されたら、その旨をSNMPリクエスト管理部104に通知する。
Not limited to this, the DoS
SNMPリクエスト管理部104は、このDoS攻撃を受けている旨の通知に応じて、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストのうち、DoS攻撃を行っているとされたリモートホストからのSNMPリクエストを一括削除するように要求する。
The SNMP
この第1の変形例によれば、DoS攻撃によるSNMPリクエスト数が少なくても、情報処理装置100がDoS攻撃を受けているか否かを判断できる。
According to the first modification, even if the number of SNMP requests due to the DoS attack is small, it can be determined whether or not the
<第2の変形例>
次に、本発明の実施形態の第2の変形例について説明する。上述した実施形態および実施形態の第1の変形例では、DoS攻撃の有無を、受け付けたSNMPリクエストの数をリモートホスト毎に計数することで判定したが、これはこの例に限定されるものではない。本第2の変形例では、キューの状態を監視し、同一のリモートホストからのSNMPリクエストによってキューの最大サイズまでSNMPリクエストが追加されてしまった場合に、情報処理装置100がDoS攻撃を受けていると判定する。
<Second Modification>
Next, a second modification of the embodiment of the present invention will be described. In the above-described embodiment and the first modification of the embodiment, the presence / absence of a DoS attack is determined by counting the number of accepted SNMP requests for each remote host. However, this is not limited to this example. Absent. In the second modification, the status of the queue is monitored, and when the SNMP request is added to the maximum queue size by the SNMP request from the same remote host, the
一例として、SNMPリクエスト保持部105は、SEQ4でキューに新規のSNMPリクエストを追加した際に、キューの最大サイズまでSNMPリクエストが追加されたか否かを判定する。キューの最大サイズまでSNMPリクエストが追加されていないと判定されたら、次のSNMPリクエストの追加要求を待つ。
As an example, when a new SNMP request is added to the queue in SEQ4, the SNMP
一方、キューの最大サイズまでSNMPリクエストが追加されたと判定したら、SNMPリクエスト保持部105は、その旨をSNMPリクエスト管理部105に通知する。SNMPリクエスト管理部105は、この通知に応じてDoS攻撃判定部103に対してDoS攻撃の判定を行うように要求する(SEQ5)。
On the other hand, if it is determined that the SNMP request has been added up to the maximum size of the queue, the SNMP
DoS攻撃判定部103は、この判定要求に応じて、キューに保持されるSNMPリクエストの一覧をSNMPリクエスト保持部105に要求し(SEQ6)、この要求に応じて取得された一覧に基づき、キューに保持されているSNMPリクエストが同一のリモートホストからものであるか否かを調べる。その結果、若し、キューに保持されているSNMPリクエストが同一のリモートホストからものであれば、この情報処理装置100がDoS攻撃を受けていると判定し、その旨をSNMPリクエスト管理部104に対して通知する(SEQ7)。
In response to this determination request, the DoS
SNMPリクエスト管理部104は、このDoS攻撃を受けている旨の通知に応じて、SNMPリクエスト保持部105に対して、キューに保持されているSNMPリクエストのうち、DoS攻撃を行っているとされたリモートホストからのSNMPリクエストを一括削除するように要求する。
The SNMP
なお、上述では、キューに保持されているSNMPリクエスト全てが同一のリモートホストからものである場合に、DoS攻撃を受けていると判定しているが、これはこの例に限られない。例えば、キューに保持されているSNMPリクエストのうち所定の割合以上が同一のリモートホストからものである場合に、DoS攻撃を受けていると判定することもできる。 In the above description, when all the SNMP requests held in the queue are from the same remote host, it is determined that a DoS attack has occurred, but this is not limited to this example. For example, it is possible to determine that a DoS attack has been received when a predetermined ratio or more of the SNMP requests held in the queue are from the same remote host.
このように、本第2の変形例によれば、DoS攻撃の有無を、キューの状態を監視することで判定しているため、DoS攻撃の有無を、情報処理装置100の負荷を増やすことなく、リアルタイムに近い状態で検知することができる。
As described above, according to the second modification, since the presence / absence of the DoS attack is determined by monitoring the queue state, the presence / absence of the DoS attack can be determined without increasing the load on the
なお、上述では、本発明がSNMPリクエストを用いたDoS攻撃に対して適用されるように説明したが、これはこの例に限定されるものではない。すなわち、本発明は、受信したリクエストを処理して応答を返すようなシステムを利用したDoS攻撃であれば、他の種類のDoS攻撃にも適用可能である。 In the above description, the present invention has been described as applied to a DoS attack using an SNMP request, but this is not limited to this example. That is, the present invention can be applied to other types of DoS attacks as long as it is a DoS attack using a system that processes a received request and returns a response.
また、上述では、実施形態、実施形態の第1の変形例および第2の変形例がそれぞれ独立的に用いられるように説明したが、これはこの例に限定されない。すなわち、上述の実施形態、実施形態の第1の変形例および第2の変形例は、互いに組み合わせて用いることができる。この場合、実施形態、実施形態の第1の変形例および第2の変形例のうち2または全てを、論理和として組み合わせることが考えられる。 In the above description, the embodiment, the first modification example, and the second modification example of the embodiment have been described as being independently used. However, this is not limited to this example. That is, the above-described embodiment, the first modification example and the second modification example of the embodiment can be used in combination with each other. In this case, it is conceivable to combine two or all of the embodiments, the first modification and the second modification of the embodiment as a logical sum.
100 情報処理装置
101 ネットワークI/F
102 SNMPリクエスト処理部
103 DoS攻撃判定部
104 SNMPリクエスト管理部
105 SNMPリクエスト保持部
100
102 SNMP
Claims (9)
受信された前記リクエストを一時的に保持する保持手段と、
前記保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定手段と、
前記判定手段による前記判定に応じて、前記保持手段に保持された前記リクエストに対して前記所定の処理を行う処理手段と
を有する
ことを特徴とする情報処理装置。 An information processing device that receives a request transmitted from a host device via a network and performs predetermined processing on the request,
Holding means for temporarily holding the received request;
Determination means for determining whether or not a DoS attack has been received based on the request held in the holding means;
An information processing apparatus comprising: processing means for performing the predetermined processing on the request held in the holding means in response to the determination by the determination means.
前記DoS攻撃を受けたと判定された場合に、前記保持手段に保持される前記リクエストのうち該DoS攻撃によるリクエストを該保持手段から削除する
ことを特徴とする請求項1に記載の情報処理装置。 The determination means includes
2. The information processing apparatus according to claim 1, wherein when it is determined that the DoS attack has been received, a request due to the DoS attack is deleted from the holding unit among the requests held in the holding unit.
前記保持手段に保持される、同一のホスト装置からのリクエストの数が第1の閾値以上の場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1または請求項2に記載の情報処理装置。 The determination means includes
3. The method according to claim 1, wherein when the number of requests from the same host device held in the holding unit is equal to or greater than a first threshold, it is determined that the DoS attack has been received. Information processing device.
前記保持手段に対して、所定時間内に第2の閾値以上の数の同一のホスト装置からのリクエストが保持された場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1乃至請求項3の何れか1項に記載の情報処理装置。 The determination means includes
The determination as to whether or not the DoS attack has been received when the holding means holds requests from the same number of host devices equal to or greater than a second threshold value within a predetermined time. The information processing apparatus according to claim 3.
同一のホスト装置からのリクエストが前記保持手段の最大サイズまで保持された場合に、前記DoS攻撃を受けたと判定する
ことを特徴とする請求項1乃至請求項4の何れか1項に記載の情報処理装置。 The determination means includes
The information according to any one of claims 1 to 4, wherein when the request from the same host device is held up to the maximum size of the holding means, it is determined that the DoS attack has been received. Processing equipment.
前記DoS攻撃を受けたと判定したら、該DoS攻撃として送信されたリクエストの送信元のホスト装置からのリクエストの受付を禁止するように、リクエストを受信する受信手段に対する設定を行う
ことを特徴とする請求項1乃至請求項5の何れか1項に記載の情報処理装置。 The determination means includes
When it is determined that the DoS attack has been received, a setting is made for a receiving unit that receives a request so as to prohibit reception of a request from a host device that is a transmission source of the request transmitted as the DoS attack. The information processing apparatus according to any one of claims 1 to 5.
該保持手段の最大サイズまで前記リクエストが保持されている状態で新規の前記リクエストが追加される際に、保持されているリクエストのうち該新規のリクエストの送信元のホスト装置から送信された、該新規のリクエストと重複したリクエストを削除する
ことを特徴とする請求項1乃至請求項6の何れか1項に記載の情報処理装置。 The holding means is
When a new request is added in a state where the request is held up to the maximum size of the holding unit, the request transmitted from the host apparatus that is the transmission source of the new request among the held requests, The information processing apparatus according to any one of claims 1 to 6, wherein a request that overlaps with a new request is deleted.
受信された前記リクエストを保持手段に一時的に保持する保持ステップと、
前記保持ステップにより前記保持手段に保持されたリクエストに基づきDoS攻撃を受けたか否かを判定する判定ステップと、
前記判定ステップによる前記判定に応じて、前記保持手段に保持された前記リクエストに対して前記所定の処理を行う処理ステップと
を有する
ことを特徴とする情報処理方法。 An information processing method for receiving a request transmitted from a host device via a network and performing predetermined processing on the request,
A holding step for temporarily holding the received request in a holding means;
A determination step of determining whether or not a DoS attack has been received based on the request held in the holding means by the holding step;
And a processing step of performing the predetermined processing on the request held in the holding unit in response to the determination in the determination step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009067074A JP2010218462A (en) | 2009-03-18 | 2009-03-18 | Information processor, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009067074A JP2010218462A (en) | 2009-03-18 | 2009-03-18 | Information processor, information processing method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010218462A true JP2010218462A (en) | 2010-09-30 |
Family
ID=42977194
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009067074A Pending JP2010218462A (en) | 2009-03-18 | 2009-03-18 | Information processor, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010218462A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015532048A (en) * | 2012-08-29 | 2015-11-05 | エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd | Automatic scanning action determination method and apparatus |
JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005193590A (en) * | 2004-01-09 | 2005-07-21 | Canon Inc | Printing device |
JP2005286716A (en) * | 2004-03-30 | 2005-10-13 | Nec Engineering Ltd | Dos attack defending apparatus and defending method |
US20060041667A1 (en) * | 2002-11-19 | 2006-02-23 | Gaeil Ahn | Method and apparatus for protecting legitimate traffic from dos and ddos attacks |
JP2006352864A (en) * | 2005-06-10 | 2006-12-28 | At & T Corp | Apparatus for optimizing filter |
JP2008276457A (en) * | 2007-04-27 | 2008-11-13 | Ionos:Kk | Network protection program, network protection device, and network protection method |
JP2008310677A (en) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | Information processor, information processing method, and program |
-
2009
- 2009-03-18 JP JP2009067074A patent/JP2010218462A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060041667A1 (en) * | 2002-11-19 | 2006-02-23 | Gaeil Ahn | Method and apparatus for protecting legitimate traffic from dos and ddos attacks |
JP2005193590A (en) * | 2004-01-09 | 2005-07-21 | Canon Inc | Printing device |
JP2005286716A (en) * | 2004-03-30 | 2005-10-13 | Nec Engineering Ltd | Dos attack defending apparatus and defending method |
JP2006352864A (en) * | 2005-06-10 | 2006-12-28 | At & T Corp | Apparatus for optimizing filter |
JP2008276457A (en) * | 2007-04-27 | 2008-11-13 | Ionos:Kk | Network protection program, network protection device, and network protection method |
JP2008310677A (en) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | Information processor, information processing method, and program |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015532048A (en) * | 2012-08-29 | 2015-11-05 | エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd | Automatic scanning action determination method and apparatus |
JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
JP5619691B2 (en) | Device management apparatus, device management method, and device management program | |
JP6435695B2 (en) | Controller and its attacker detection method | |
JP2006178698A (en) | Load state monitoring apparatus and load state monitoring method | |
JP2011022920A (en) | Plant monitoring system, plant monitoring device, data aggregating device thereof, and terminal device | |
US20160156516A1 (en) | Monitoring device, method, and medium | |
JP2015057930A (en) | Network apparatus, communication system, and detection method and program for abnormal traffic | |
CN110740072A (en) | fault detection method, device and related equipment | |
CN104424438A (en) | Anti-virus file detection method, anti-virus file detection device and network equipment | |
US9654491B2 (en) | Network filtering apparatus and filtering method | |
US8819808B2 (en) | Host trust report based filtering mechanism in a reverse firewall | |
JP2010218462A (en) | Information processor, information processing method, and program | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
CN110784337A (en) | Cloud service quality monitoring method and related product | |
CN115002009A (en) | Flow sampling method, device, system, electronic equipment and medium | |
JP2011114805A (en) | Communication apparatus and method, and program | |
JP2009176137A (en) | Virus suffering range prediction system | |
JP6880896B2 (en) | Image forming equipment, information processing system, and programs | |
JP2022049717A (en) | Communication device | |
JP2004234306A (en) | Server, method for monitoring component processing, and program | |
KR101769447B1 (en) | Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same | |
KR20120067584A (en) | Method and apparatus for detecting and filtering ddos attack in a massive traffic | |
JP5277073B2 (en) | Image reading apparatus and timeout time management program | |
JP7087819B2 (en) | Communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120622 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130423 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130813 |