JP2013223005A - DoS攻撃検出装置 - Google Patents

DoS攻撃検出装置 Download PDF

Info

Publication number
JP2013223005A
JP2013223005A JP2012091771A JP2012091771A JP2013223005A JP 2013223005 A JP2013223005 A JP 2013223005A JP 2012091771 A JP2012091771 A JP 2012091771A JP 2012091771 A JP2012091771 A JP 2012091771A JP 2013223005 A JP2013223005 A JP 2013223005A
Authority
JP
Japan
Prior art keywords
sip response
response signal
dos attack
sip
determination condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012091771A
Other languages
English (en)
Other versions
JP5613196B2 (ja
Inventor
Nobuyuki Chiwata
伸之 千綿
Sei Negishi
聖 根岸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012091771A priority Critical patent/JP5613196B2/ja
Publication of JP2013223005A publication Critical patent/JP2013223005A/ja
Application granted granted Critical
Publication of JP5613196B2 publication Critical patent/JP5613196B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】仮装SIPレスポンス信号によるDoS攻撃を検出すること。
【解決手段】SIPレスポンス信号識別部12により、SIPレスポンス信号の正常・異常を識別し、SIPレスポンス信号数計測部13により、異常と識別されたSIPレスポンス信号の数を計測し、DoS攻撃判定部14により、その計測数が閾値を超過するかを判定して、DoS攻撃検出部15により、その閾値を超過したSIPレスポンス信号をDoS攻撃として検出する。
【選択図】図1

Description

本発明は、SIPレスポンス信号によるDoS攻撃を検出する技術に関する。
IMS(IP Multimedia Subsystem)などのSIP(Session Initiation Protocol)応用システムでは、その信頼性を確保するための様々な防御対策が実施可能であり、その一例としてDoS(Denial of Service attack)攻撃に対する防御を実施している。DoS攻撃とは、悪意のある攻撃者が特定のシステムに大量の負荷を発生させることにより、そのシステムで提供されているサービスの継続を困難にさせるものである。
特にSIP応用システムに対するDoS攻撃検出方法として、同一IPアドレスのSIP端末からSIPサーバに単位時間あたりに送信されるINVITE信号やREGISTER信号などのSIPリクエスト信号の数をカウントし、そのカウント数が閾値を超えた場合にDoS攻撃として検出する方法がある(特許文献1参照)。
特許第4654092号公報
「SIP: Session Initiation Protocol」、RFC3261、[online]、平成24年4月3日検索、<URL: http://www.ietf.org/rfc/rfc3261.txt>
しかしながら、DoS攻撃検出時のカウント対象をSIPリクエスト信号とし、それ以外の信号を使用したDoS攻撃を想定していないため、SIPレスポンス信号に仮装した仮装SIPレスポンス信号によるDoS攻撃を検出できず、適切な防御を実施できないという問題があった。
このような問題に対し、その従来の検出方法をSIPレスポンス信号に適用することも考えられる。しかし、SIPレスポンス信号はSIPリクエスト信号と異なり、SIPリクエスト信号に対する応答として返信されるものであり、SIPリクエスト信号を受信したSIP端末又はSIPサーバで正しい処理を実行した結果、まとまった量のSIPレスポンス信号が返信される場合もある。
例えば、SIP端末に短時間で大量着信した場合、その大量着信に基づくSIPリクエスト信号に応じて大量のSIPレスポンス信号(例えば、100や486のコード番号を含む応答信号)がSIPサーバに返信されることから、結果的にSIPレスポンス信号の送出が集中する可能性が考えられる。
すなわち、SIPレスポンス信号の正常なる使用の範疇であっても、一定の期間、同一IPアドレスのSIP端末から大量のSIPレスポンス信号が送信される場合があるため、SIPレスポンス信号数のカウントによるDoS攻撃検出方法では、正しい処理をDoS攻撃と誤認するおそれがあった。
本発明は、上記課題を鑑みてなされたものであり、その課題とするところは、仮装SIPレスポンス信号によるDoS攻撃を検出することにある。
請求項1記載のDoS攻撃検出装置は、DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、SIPレスポンス信号の正常・異常を識別する識別手段と、異常と識別されたSIPレスポンス信号の数を計測する計測手段と、前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、前記判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、を備えることを特徴とする。
本発明によれば、SIPレスポンス信号の正常・異常を識別し、異常と識別されたSIPレスポンス信号の数を計測し、その計測結果が判定条件に適合するかを判定して、その判定条件に適合したSIPレスポンス信号をDoS攻撃として検出するため、仮装SIPレスポンス信号によるDoS攻撃を検出できる。
請求項2記載のDoS攻撃検出装置は、SIPサーバにおけるDoS攻撃検出装置であって、DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、SIPレスポンス信号の数を計測する計測手段と、前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、を備えることを特徴とする。
本発明によれば、SIPレスポンス信号の数を計測し、その計測結果が判定条件に適合するかを判定して、その判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより当該送信元からのSIPレスポンス信号の送出契機を制限させ、送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出するため、仮装SIPレスポンス信号によるDoS攻撃を確実に検出できる。
請求項3記載のDoS攻撃検出装置は、SIPサーバにおけるDoS攻撃検出装置であって、DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、SIPレスポンス信号の正常・異常を識別する識別手段と、異常と識別されたSIPレスポンス信号の数を計測する計測手段と、前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、を備えることを特徴とする。
本発明によれば、SIPレスポンス信号の正常・異常を識別し、異常と識別されたSIPレスポンス信号の数を計測し、その計測結果が判定条件に適合するかを判定して、その判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより当該送信元からのSIPレスポンス信号の送出契機を制限させ、送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出するため、仮装SIPレスポンス信号によるDoS攻撃をより確実に検出できる。
請求項4記載のDoS攻撃検出装置は、請求項1又は3記載のDoS攻撃検出装置において、前記識別手段は、前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合し、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれている場合に正常と識別し、前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合しない、又は、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれていない場合に異常と識別することを特徴とする。
請求項5記載のDoS攻撃検出装置は、請求項1乃至4のいずれかに記載のDoS攻撃検出装置において、前記判定手段は、同一送信元から単位時間あたりに送信されたSIPレスポンス信号の数が閾値を超過するかを判定し、前記検出手段は、前記閾値を超過した場合に、当該送信元からのSIPレスポンス信号をDoS攻撃として検出することを特徴とする。
本発明によれば、仮装SIPレスポンス信号によるDoS攻撃を検出できる。
第1の実施の形態に係るDoS攻撃検出装置の機能ブロック構成を示す図である。 第1の実施の形態に係るDoS攻撃検出装置の処理フローを示す図である。 第2の実施の形態に係るDoS攻撃検出装置の機能ブロック構成を示す図である。 第2の実施の形態に係るDoS攻撃検出装置の処理フローを示す図である。
以下、本発明を実施する一実施の形態について図面を用いて説明する。但し、本発明は多くの異なる様態で実施することが可能であり、本実施の形態の記載内容に限定して解釈すべきではない。
〔第1の実施の形態〕
第1の実施の形態では、仮装SIPレスポンス信号はその信号フォーマットやそれに含まれるデータが不正(以下、異常)であることに着目し、DoS攻撃検出のカウント対象を異常なSIPレスポンス信号のみにすることを最たる特徴としている。
図1は、本実施の形態に係るDoS攻撃検出装置の機能ブロック構成を示す図である。このDoS攻撃検出装置1は、DoS攻撃判定用の判定条件データを記憶しておくデータ記憶部11と、SIPレスポンス信号の正常・異常を識別するSIPレスポンス信号識別部12と、異常と識別されたSIPレスポンス信号の数を計測するSIPレスポンス信号数計測部13と、データ記憶部11から判定条件データを読み出して、その計測結果が当該判定条件に適合するかを判定するDoS攻撃判定部14と、その判定条件に適合したSIPレスポンス信号をDoS攻撃として検出するDoS攻撃検出部15と、検出されたDoS攻撃に対して防御処理を実行する防御実行部16と、を主に備える。
以下、DoS攻撃検出装置1は、通信ネットワークを介してSIP端末に通信可能に接続されたSIPサーバ内で動作するものとする。また、そのSIPサーバは背景技術で説明したように信頼性確保の様々な防御処理を実行可能であることから、防御実行部16は、DoS攻撃検出時に防御処理実行命令をSIPサーバに通知し、防御処理自体をSIPサーバに委ねることも可能である。
尚、本実施の形態に係るDoS攻撃検出装置1は、後述する第2の実施の形態と異なりDoS攻撃検出時に呼制御を伴うものでないことから、SIP端末とSIPサーバ間の通信ネットワークに接続可能なコンピュータ(SIP端末やSIPサーバ以外の第3のコンピュータ)内で独立して動作させることも可能である。
次に、図2を参照しながら、SIPサーバ内で動作するDoS攻撃検出装置1の動作を説明する。本処理は、SIPレスポンス信号受信イベントを契機にDoS攻撃検出プログラムが起動してスタートする。
最初に、SIPレスポンス信号識別部12により、SIPサーバに送信されたSIPレスポンス信号が後述する識別基準に基づいて正常であるか異常であるかが識別される(ステップS101)。
次に、SIPレスポンス信号数計測部13により、正常と識別されたSIPレスポンス信号はDoS攻撃判定の計測対象から除外され、異常と識別されたSIPレスポンス信号のみが計測対象とされて、異常なSIPレスポンス信号の数が例えば記録値に「1」を加算するなどの方法で計測される(ステップS102)。
その後、SIPサーバにより、通常のSIPレスポンス処理が実行される(ステップS103)。尚、ステップS103の終了後は次のSIPレスポンス信号受信イベントが発生するまで待機状態となり、そのイベントが発生する毎にステップS101〜S103は繰り返し実行される。
ステップS101〜S103と併行して、例えば1分間隔などの一定周期ごとに、DoS攻撃判定部14により、ステップS102で計測された異常なSIPレスポンス信号の計測数が取得され(ステップS201)、同一IPアドレスのSIP端末から送信されたSIPレスポンス信号の計測数が判定条件データとしての閾値を超過するか否かが判定される(ステップS202)。
その後、その閾値を超過した場合、DoS攻撃検出部15により、そのSIP端末からのSIPレスポンス信号がDoS攻撃として検出され(ステップS203)、防御実行部16により、検出されたDoS攻撃に対して所定の防御処理が実行される(ステップS204)。尚、ステップS204の終了後は上記一定周期が経過するまで待機状態となり、その一定周期毎にステップS201〜S204は繰り返し実行される。
また、ステップS204で実行される防御処理方法は、例えば、検出されたSIP端末からの信号受信規制や特開2006−235876号公報で開示された従来技術など任意の方法を利用でき、特定の方法に限定されない。また、ステップS102で計測されるSIPレスポンス信号の数は、上記一定周期ごとにリセットされる。
ここで、ステップS101の識別基準について説明する。SIPレスポンス信号の正常・異常の識別方法は様々である。その識別を厳密に行うことによりDoS攻撃検出精度を向上できるが、同時に処理負荷が増加するため適切ではない。
そこで、本実施の形態では、DoS攻撃検出精度の向上を図るとともに処理負荷の増加を適正に抑制にするため、SIP端末から送信されたSIPレスポンス信号の信号フォーマットが非特許文献1で許容された信号フォーマット(標準の信号フォーマット)に適合し、そのSIPレスポンス信号に対応するSIPダイアログ識別情報(コールID、ローカルタグ、リモートタグの組み合わせ)が含まれている場合に、正常なSIPレスポンス信号と識別する。
一方、そのSIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合しない、又は、そのSIPレスポンス信号に対応するSIPダイアログ識別情報が含まれていない場合に、異常なSIPレスポンス信号と識別する。なお、SIPレスポンス信号に対応するSIPダイアログ識別情報の存在有無の定義やその判断方法については、非特許文献1の規定に従う。
また、ステップS202の判定基準についても様々な方法がある。本実施の形態では、同一IPアドレスのSIP端末から単位時間あたりに送信される異常なSIPレスポンス信号の計測数が一定の閾値を超過するか否かを基準例としているが、例えば、計測数の増加率や、単位時間あたりの計測数の非低下継続時間などを判定条件に用いて適合の有無を判定してもよい。第2の実施の形態の場合も同様である。
また、SIPレスポンス信号数計測部で備える信号数カウンタは、SIPリクエスト信号専用カウンタ又はSIPレスポンス信号専用カウンタとしてもよく、SIPリクエスト信号・SIPレスポンス信号共用カウンタとしてもよい。第2の実施の形態の場合も同様である。
本実施の形態によれば、SIPレスポンス信号識別部12により、SIPレスポンス信号の正常・異常を識別し、SIPレスポンス信号数計測部13により、異常と識別されたSIPレスポンス信号の数を計測し、DoS攻撃判定部14により、その計測数が閾値を超過するかを判定して、DoS攻撃検出部15により、その閾値を超過したSIPレスポンス信号をDoS攻撃として検出するので、仮装SIPレスポンス信号によるDoS攻撃を検出できる。
〔第2の実施の形態〕
第1の実施の形態では、「仮装SIPレスポンス信号=異常と識別されるSIPレスポンス信号」を前提にDoS攻撃検出方法について説明した。しかし、攻撃側がSIPレスポンス信号として送信されるべきデータなどを事前に設定した上で、一見正常なSIPレスポンス信号を大量に生成して送信するような高度なDoS攻撃に対しては対応できない。
例えば、発信者と着信者が共謀して、発信者のコンピュータから着信者のSIP端末へ発信すると、着信者のSIP端末が受信したSIPリクエスト信号に対して過剰な頻度で暫定応答信号(例えば、100や18xのコード番号を含む応答信号)をSIPレスポンス信号としてSIPサーバに送りつけるようなDoS攻撃が想定される。
これに対し、正常なSIPシーケンスにおいては、着信者が発信者からSIPリクエスト信号を受けるとSIP暫定応答を1回返送し、仮に信号再送する場合であっても再送タイマに従って32秒間に最大6回までの返送に限られている。
そこで、第2の実施の形態では、仮装SIPレスポンス信号は正常なSIPリクエスト信号とは無関係に送信されることに着目し、SIPレスポンス信号によるDoS攻撃の可能性が認められた場合、DoS攻撃が疑われるSIP端末に対する着信を一旦制限し、SIPレスポンス信号の送出契機を除去した上で、SIPレスポンス信号を再計測することを最たる特徴としている。
図2は、本実施の形態に係るDoS攻撃検出装置の機能ブロック構成を示す図である。このDoS攻撃検出装置1は、DoS攻撃判定用の判定条件データを記憶しておくデータ記憶部21と、SIPレスポンス信号の数を計測するSIPレスポンス信号数計測部22と、データ記憶部21から判定条件データを読み出して、その計測結果が当該判定条件に適合するかを判定するDoS攻撃判定部23と、その判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、その送信元からのSIPレスポンス信号の送出契機を制限させる着信制限部24と、送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく計測結果が判定条件に適合する場合に、その判定条件に適合したSIPレスポンス信号をDoS攻撃として検出するDoS攻撃検出部25と、検出されたDoS攻撃に対して防御処理を実行する防御実行部16と、を主に備える。
本実施の形態に係るDoS攻撃検出装置1は、DoS攻撃検出時に呼制御を伴うため、通信ネットワークを介してSIP端末に通信可能に接続されたSIPサーバ内で動作する。また、第1の実施の形態で説明したように、防御実行部26は、DoS攻撃検出時に防御処理実行命令をSIPサーバに通知し、防御処理自体をSIPサーバに委ねることも可能である。
次に、図4を参照しながら、SIPサーバ内で動作するDoS攻撃検出装置1の動作を説明する。本処理は、SIPレスポンス信号受信イベントを契機にDoS攻撃検出プログラムが起動してスタートする。
最初に、SIPレスポンス信号数計測部22により、SIPサーバに送信されたSIPレスポンス信号に対して特段の事前フィルタリング(第1の実施の形態で説明したような異常なSIPレスポンス信号のみに選別するなど)が何ら実行されることなく、全てのSIPレスポンス信号の数が同一IPアドレスのSIP端末毎に例えば記録値に「1」を加算するなどの方法で計測される(ステップS301)。
その後、SIPサーバにより、通常のSIPレスポンス処理が実行される(ステップS302)。尚、ステップS302の終了後は次のSIPレスポンス信号受信イベントが発生するまで待機状態となり、そのイベントが発生する毎にステップS301〜S302は繰り返し実行される。
ステップS301〜S302と併行して、例えば1分間隔などの一定周期ごとに、DoS攻撃判定部23により、ステップS301で計測された全てのSIPレスポンス信号の計測数が取得され(ステップS401)、同一IPアドレスのSIP端末から送信されたSIPレスポンス信号の計測数が判定条件データとしての閾値を超過するか否かが判定される(ステップS402)。
その後、その閾値を超過した場合にはそのSIP端末によってDoS攻撃されている可能性が高いことから、着信制限部24により、そのSIP端末への着信が現在制限中であるか否かが判定され(ステップS403)、着信制限中でない場合はそのSIP端末への着信が一旦制限される(ステップS404)。この着信制限により、SIPリクエスト信号の受信数がゼロ又は一定以下に抑制されることから、そのSIP端末からのSIPレスポンス信号の送出契機が制限されることになる。
ステップS404の終了後は上記一定周期が経過するまで待機状態となり、その一定周期経過後、DoS攻撃判定部23により、ステップS401及びステップS402が再度実行(SIPレスポンス信号数の再計測、その再計測数と閾値とによるDoS攻撃の再判定)され(ステップS405〜S406)、着信制限部24により、ステップS403が再度実行(着信制限有無の再判定)される(ステップS407)。
ここで、仮にステップS407の判定対象が上記一旦制限されたSIP端末であった場合には、既に着信が制限されていることから、DoS攻撃検出部25により、そのSIP端末からのSIPレスポンス信号がDoS攻撃として検出され(ステップS408)、防御実行部26により、検出されたDoS攻撃に対して所定の防御処理が実行される(ステップS409)。
すなわち、DoS攻撃者と想定されるSIP端末への着信制限を実施し、その結果、SIPレスポンス信号送出の契機となるSIPリクエスト信号の受信を低下させ、次の観測周期で、当該SIP端末からのSIPレスポンス信号が一定の閾値を超過しなければ着信制限を解除するが(ステップS410)、引き続きSIPレスポンス信号が一定の閾値を超過する場合はDoS攻撃と判定して適切なDoS攻撃防御を実施する(ステップS408〜S409)。
なお、ステップS406で再判定する際に用いる閾値(判定基準)を、ステップS402で判定する際の閾値(判定基準)と異なるものを用いてもよい。例えば、着信制限中のSIP端末が再判定される場合には、その再判定時の閾値レベルを前回よりも低くしてもよいし、他の判定基準を利用してもよい。
また、本実施の形態では、DoS攻撃の可能性を考慮してSIPレスポンス信号の送信元への着信制限を行った直後にSIPレスポンス信号が一定の閾値以下にならなければDoS攻撃と判定しているが、着信制限がSIPレスポンス信号の送出契機に反映されるまでの時間差を考慮して、着信制限の実施後、何回か継続してSIPレスポンス信号が一定の閾値を超過した場合に、DoS攻撃と判定するようにしてもよい。
本実施の形態によれば、SIPレスポンス信号数計測部22により、SIPレスポンス信号の数を計測し、DoS攻撃判定部23により、その計測数が閾値を超過するかを判定して、着信制限部24により、その閾値を超過したSIPレスポンス信号の送信元への着信を制限することにより当該送信元からのSIPレスポンス信号の送出契機を制限させ、DoS攻撃検出部25により、送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数が閾値を超過する場合に、当該閾値を超過したSIPレスポンス信号をDoS攻撃として検出するので、仮装SIPレスポンス信号によるDoS攻撃を確実に検出できる。
以上説明した2つの実施の形態をそれぞれ独立に実施してもよいが、それらを組み合わせて併用実施してもよい。すなわち、第2の実施の形態におけるステップS301での計測対象を第1の実施の形態のように異常なSIPレスポンス信号に限定する。処理フロー上は、図2のステップS101を図4のステップS301の前で実施し、ステップS301では異常と識別されたSIPレスポンス信号の数のみを計測する。以降、その計測された異常なSIPレスポンス信号についてステップS401〜S410を実行する。第2の実施の形態において計測対象を異常なSIPレスポンス信号に限定するので、仮装SIPレスポンス信号によるDoS攻撃をより確実に検出できる。
最後に、各実施の形態で説明したDoS攻撃検出装置は、メモリなどの記憶手段、CPUなどの計算制御手段、モニタなどの出力手段を備えたコンピュータで実現可能である。各処理はプログラムにより実行される。
1…DoS攻撃検出装置
11,21…データ記憶部
12…SIPレスポンス信号識別部
13,22…SIPレスポンス信号数計測部
14,23…DoS攻撃判定部
15,25…DoS攻撃検出部
16,26…防御実行部
24…着信制限部
S101〜S103,S201〜S204,S301〜S302,S401〜S410…ステップ

Claims (5)

  1. DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
    SIPレスポンス信号の正常・異常を識別する識別手段と、
    異常と識別されたSIPレスポンス信号の数を計測する計測手段と、
    前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
    前記判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
    を備えることを特徴とするDoS攻撃検出装置。
  2. SIPサーバにおけるDoS攻撃検出装置であって、
    DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
    SIPレスポンス信号の数を計測する計測手段と、
    前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
    前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、
    前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
    を備えることを特徴とするDoS攻撃検出装置。
  3. SIPサーバにおけるDoS攻撃検出装置であって、
    DoS攻撃判定用の判定条件データを記憶しておく記憶手段と、
    SIPレスポンス信号の正常・異常を識別する識別手段と、
    異常と識別されたSIPレスポンス信号の数を計測する計測手段と、
    前記記憶手段から前記判定条件データを読み出して、前記計測結果が当該判定条件に適合するかを判定する判定手段と、
    前記判定条件に適合したSIPレスポンス信号の送信元への着信を制限することにより、当該送信元からのSIPレスポンス信号の送出契機を制限させる制限手段と、
    前記送出契機制限対象の送信元から送信されたSIPレスポンス信号の再計測数に基づく再計測結果が判定条件に適合する場合に、当該判定条件に適合したSIPレスポンス信号をDoS攻撃として検出する検出手段と、
    を備えることを特徴とするDoS攻撃検出装置。
  4. 前記識別手段は、
    前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合し、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれている場合に正常と識別し、前記SIPレスポンス信号の信号フォーマットが標準の信号フォーマットに適合しない、又は、当該SIPレスポンス信号に対応するSIPダイアログ識別情報が含まれていない場合に異常と識別することを特徴とする請求項1又は3記載のDoS攻撃検出装置。
  5. 前記判定手段は、同一送信元から単位時間あたりに送信されたSIPレスポンス信号の数が閾値を超過するかを判定し、
    前記検出手段は、前記閾値を超過した場合に、当該送信元からのSIPレスポンス信号をDoS攻撃として検出することを特徴とする請求項1乃至4のいずれかに記載のDoS攻撃検出装置。
JP2012091771A 2012-04-13 2012-04-13 DoS攻撃検出装置 Active JP5613196B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012091771A JP5613196B2 (ja) 2012-04-13 2012-04-13 DoS攻撃検出装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012091771A JP5613196B2 (ja) 2012-04-13 2012-04-13 DoS攻撃検出装置

Publications (2)

Publication Number Publication Date
JP2013223005A true JP2013223005A (ja) 2013-10-28
JP5613196B2 JP5613196B2 (ja) 2014-10-22

Family

ID=49593716

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012091771A Active JP5613196B2 (ja) 2012-04-13 2012-04-13 DoS攻撃検出装置

Country Status (1)

Country Link
JP (1) JP5613196B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110998576A (zh) * 2017-07-19 2020-04-10 株式会社自动网络技术研究所 接收装置、监视机及计算机程序
WO2022249399A1 (ja) * 2021-05-27 2022-12-01 日本電信電話株式会社 サービス妨害攻撃検出装置、方法およびプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007267151A (ja) * 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
JP2010226635A (ja) * 2009-03-25 2010-10-07 Nippon Telegr & Teleph Corp <Ntt> 通信サーバおよびDoS攻撃防御方法
JP4654092B2 (ja) * 2005-08-25 2011-03-16 日本電信電話株式会社 Sipサーバにおける攻撃防御方法、システム及びプログラム
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4654092B2 (ja) * 2005-08-25 2011-03-16 日本電信電話株式会社 Sipサーバにおける攻撃防御方法、システム及びプログラム
JP2007267151A (ja) * 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
JP2010226635A (ja) * 2009-03-25 2010-10-07 Nippon Telegr & Teleph Corp <Ntt> 通信サーバおよびDoS攻撃防御方法
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNH200800082005; チェン エリック: '異常トラフィック対策の実用化に向けた取り組み 不正VoIPトラフィック対策システムSIPGuard' NTT技術ジャーナル 第20巻 第7号, 20080701, pp.28〜31, 社団法人電気通信協会 *
JPN6014004081; チェン エリック: '異常トラフィック対策の実用化に向けた取り組み 不正VoIPトラフィック対策システムSIPGuard' NTT技術ジャーナル 第20巻 第7号, 20080701, pp.28〜31, 社団法人電気通信協会 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110998576A (zh) * 2017-07-19 2020-04-10 株式会社自动网络技术研究所 接收装置、监视机及计算机程序
WO2022249399A1 (ja) * 2021-05-27 2022-12-01 日本電信電話株式会社 サービス妨害攻撃検出装置、方法およびプログラム

Also Published As

Publication number Publication date
JP5613196B2 (ja) 2014-10-22

Similar Documents

Publication Publication Date Title
CN109889547B (zh) 一种异常网络设备的检测方法及装置
JP4654092B2 (ja) Sipサーバにおける攻撃防御方法、システム及びプログラム
US10218725B2 (en) Device and method for detecting command and control channel
KR101122646B1 (ko) 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
CN111698214A (zh) 网络攻击的安全处理方法、装置及计算机设备
JPWO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
WO2015078388A1 (zh) 针对拒绝服务攻击的处理方法及装置
JP6435695B2 (ja) コントローラ,及びその攻撃者検知方法
CN102281298A (zh) 检测和防御cc攻击的方法及装置
RU2017105709A (ru) Обнаружение поведения агентов вредоносного программного обеспечения
GB2544608A (en) Network monitoring device, network monitoring method, and network monitoring program
EP3144845B1 (en) Detection device, detection method, and detection program
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
CN110061998B (zh) 一种攻击防御方法及装置
CN107454065B (zh) 一种UDP Flood攻击的防护方法及装置
JP5613196B2 (ja) DoS攻撃検出装置
CN109413022B (zh) 一种基于用户行为检测http flood攻击的方法和装置
WO2019047693A1 (zh) 一种进行WiFi网络安全监控的方法与设备
CN106656912B (zh) 一种检测拒绝服务攻击的方法及装置
CN113242260A (zh) 攻击检测方法、装置、电子设备及存储介质
JP2017147558A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US11108797B2 (en) Timely detection of network traffic to registered DGA generated domains
US20150256505A1 (en) Electronic mail monitoring
CN108965277B (zh) 一种基于dns的感染主机分布监测方法与系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140902

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140905

R150 Certificate of patent or registration of utility model

Ref document number: 5613196

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150