JP2013223005A - DoS攻撃検出装置 - Google Patents
DoS攻撃検出装置 Download PDFInfo
- Publication number
- JP2013223005A JP2013223005A JP2012091771A JP2012091771A JP2013223005A JP 2013223005 A JP2013223005 A JP 2013223005A JP 2012091771 A JP2012091771 A JP 2012091771A JP 2012091771 A JP2012091771 A JP 2012091771A JP 2013223005 A JP2013223005 A JP 2013223005A
- Authority
- JP
- Japan
- Prior art keywords
- sip response
- response signal
- dos attack
- sip
- determination condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】SIPレスポンス信号識別部12により、SIPレスポンス信号の正常・異常を識別し、SIPレスポンス信号数計測部13により、異常と識別されたSIPレスポンス信号の数を計測し、DoS攻撃判定部14により、その計測数が閾値を超過するかを判定して、DoS攻撃検出部15により、その閾値を超過したSIPレスポンス信号をDoS攻撃として検出する。
【選択図】図1
Description
第1の実施の形態では、仮装SIPレスポンス信号はその信号フォーマットやそれに含まれるデータが不正(以下、異常)であることに着目し、DoS攻撃検出のカウント対象を異常なSIPレスポンス信号のみにすることを最たる特徴としている。
第1の実施の形態では、「仮装SIPレスポンス信号=異常と識別されるSIPレスポンス信号」を前提にDoS攻撃検出方法について説明した。しかし、攻撃側がSIPレスポンス信号として送信されるべきデータなどを事前に設定した上で、一見正常なSIPレスポンス信号を大量に生成して送信するような高度なDoS攻撃に対しては対応できない。
11,21…データ記憶部
12…SIPレスポンス信号識別部
13,22…SIPレスポンス信号数計測部
14,23…DoS攻撃判定部
15,25…DoS攻撃検出部
16,26…防御実行部
24…着信制限部
S101〜S103,S201〜S204,S301〜S302,S401〜S410…ステップ
Claims (5)
- DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
SIPレスポンス信号の正常・異常を識別する識別手段と、
異常と識別されたSIPレスポンス信号の数を計測する計測手段と、
前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
前記判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
を備えることを特徴とするDoS攻撃検出装置。 - SIPサーバにおけるDoS攻撃検出装置であって、
DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
SIPレスポンス信号の数を計測する計測手段と、
前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、
前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
を備えることを特徴とするDoS攻撃検出装置。 - SIPサーバにおけるDoS攻撃検出装置であって、
DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
SIPレスポンス信号の正常・異常を識別する識別手段と、
異常と識別されたSIPレスポンス信号の数を計測する計測手段と、
前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、
前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
を備えることを特徴とするDoS攻撃検出装置。 - 前記識別手段は、
前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合し、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれている場合に正常と識別し、前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合しない、又は、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれていない場合に異常と識別することを特徴とする請求項1又は3記載のDoS攻撃検出装置。 - 前記判定手段は、同一送信元から単位時間あたりに送信されたSIPレスポンス信号の数が閾値を超過するかを判定し、
前記検出手段は、前記閾値を超過した場合に、当該送信元からのSIPレスポンス信号をDoS攻撃として検出することを特徴とする請求項1乃至4のいずれかに記載のDoS攻撃検出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012091771A JP5613196B2 (ja) | 2012-04-13 | 2012-04-13 | DoS攻撃検出装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012091771A JP5613196B2 (ja) | 2012-04-13 | 2012-04-13 | DoS攻撃検出装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013223005A true JP2013223005A (ja) | 2013-10-28 |
JP5613196B2 JP5613196B2 (ja) | 2014-10-22 |
Family
ID=49593716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012091771A Active JP5613196B2 (ja) | 2012-04-13 | 2012-04-13 | DoS攻撃検出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5613196B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110998576A (zh) * | 2017-07-19 | 2020-04-10 | 株式会社自动网络技术研究所 | 接收装置、监视机及计算机程序 |
WO2022249399A1 (ja) * | 2021-05-27 | 2022-12-01 | 日本電信電話株式会社 | サービス妨害攻撃検出装置、方法およびプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007267151A (ja) * | 2006-03-29 | 2007-10-11 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
JP2010226635A (ja) * | 2009-03-25 | 2010-10-07 | Nippon Telegr & Teleph Corp <Ntt> | 通信サーバおよびDoS攻撃防御方法 |
JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
JP2011101172A (ja) * | 2009-11-05 | 2011-05-19 | Nec Corp | ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ |
-
2012
- 2012-04-13 JP JP2012091771A patent/JP5613196B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
JP2007267151A (ja) * | 2006-03-29 | 2007-10-11 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
JP2010226635A (ja) * | 2009-03-25 | 2010-10-07 | Nippon Telegr & Teleph Corp <Ntt> | 通信サーバおよびDoS攻撃防御方法 |
JP2011101172A (ja) * | 2009-11-05 | 2011-05-19 | Nec Corp | ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ |
Non-Patent Citations (2)
Title |
---|
CSNH200800082005; チェン エリック: '異常トラフィック対策の実用化に向けた取り組み 不正VoIPトラフィック対策システムSIPGuard' NTT技術ジャーナル 第20巻 第7号, 20080701, pp.28〜31, 社団法人電気通信協会 * |
JPN6014004081; チェン エリック: '異常トラフィック対策の実用化に向けた取り組み 不正VoIPトラフィック対策システムSIPGuard' NTT技術ジャーナル 第20巻 第7号, 20080701, pp.28〜31, 社団法人電気通信協会 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110998576A (zh) * | 2017-07-19 | 2020-04-10 | 株式会社自动网络技术研究所 | 接收装置、监视机及计算机程序 |
WO2022249399A1 (ja) * | 2021-05-27 | 2022-12-01 | 日本電信電話株式会社 | サービス妨害攻撃検出装置、方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5613196B2 (ja) | 2014-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
JP4654092B2 (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
US10218725B2 (en) | Device and method for detecting command and control channel | |
KR101122646B1 (ko) | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 | |
CN111698214A (zh) | 网络攻击的安全处理方法、装置及计算机设备 | |
JPWO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
WO2015078388A1 (zh) | 针对拒绝服务攻击的处理方法及装置 | |
JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
CN102281298A (zh) | 检测和防御cc攻击的方法及装置 | |
RU2017105709A (ru) | Обнаружение поведения агентов вредоносного программного обеспечения | |
GB2544608A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
EP3144845B1 (en) | Detection device, detection method, and detection program | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
JP5613196B2 (ja) | DoS攻撃検出装置 | |
CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
WO2019047693A1 (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
CN106656912B (zh) | 一种检测拒绝服务攻击的方法及装置 | |
CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
JP2017147558A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US11108797B2 (en) | Timely detection of network traffic to registered DGA generated domains | |
US20150256505A1 (en) | Electronic mail monitoring | |
CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140404 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140905 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5613196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |