JP3917546B2 - ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 - Google Patents

ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 Download PDF

Info

Publication number
JP3917546B2
JP3917546B2 JP2003111741A JP2003111741A JP3917546B2 JP 3917546 B2 JP3917546 B2 JP 3917546B2 JP 2003111741 A JP2003111741 A JP 2003111741A JP 2003111741 A JP2003111741 A JP 2003111741A JP 3917546 B2 JP3917546 B2 JP 3917546B2
Authority
JP
Japan
Prior art keywords
packet
network attack
attack prevention
transmission source
source device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003111741A
Other languages
English (en)
Other versions
JP2004320461A (ja
Inventor
浩一 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003111741A priority Critical patent/JP3917546B2/ja
Publication of JP2004320461A publication Critical patent/JP2004320461A/ja
Application granted granted Critical
Publication of JP3917546B2 publication Critical patent/JP3917546B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に存在するサーバなどに対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法及びその装置と、そのネットワーク攻撃防止方法の実現に用いられるネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
最近、サーバに対してDoS攻撃を行うことで、他のユーザがそのサーバへアクセスすることを困難にすることが行われている。
【0003】
「DoS攻撃(Denial of Service 攻撃:サービス拒否攻撃)」とは、インターネット等で不特定多数のユーザからアクセス可能なサーバに対して、攻撃者が不正な通信パケットを送ることにより、サーバや通信経路上の装置のリソース(処理能力や転送可能帯域)を消費するなどの悪影響を与えて、他のユーザがそのサーバへアクセスすることを困難にする攻撃である。
【0004】
【従来の技術】
DoS攻撃を大きく分類すると以下の3つのものがある。
【0005】
(A)攻撃を実施する送信元装置から、異常な形式のパケットをサーバに送信することにより、送信先装置や通信経路上の装置の処理に異常を起こさせてサーバのサービス継続を困難にするもの(異常パケット形式送信型DoS攻撃)。
【0006】
(B)単体または少数の送信元装置から、それぞれ大量の正常な形式のパケットをサーバに送信することにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(大量パケット送信型DoS攻撃)。
【0007】
(C)それぞれ少量の正常な形式のパケットを多数の送信元装置からサーバに向けて送り、結果として大量の攻撃パケットがサーバに送られることにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(高度分散型DoS攻撃)。
【0008】
次に、(A)に関する対策の従来技術と、(B)に関する対策の従来技術とについて説明する。
【0009】
(A)に関する対策としては、サーバあるいは通信経路上の装置をシステムのバージョンアップや修正プログラムを実施することにより改良・修正し、異常な形式のパケットによって処理上の異常を起こさないようにする方法や、サーバ内あるいは、サーバと送信元装置との間の通信経路上の装置で、異常な形式のパケットを破棄する方法がある。後者の場合、パケットの形式が異常であることの判定は、主にパターンマッチングによって行なわれる。
【0010】
(B)に関する対策としては、パケットの送信元ごとに、送信してきたパケットの量を比較し、他のユーザにくらべて大量のパケットを送信する送信元からのパケットを遮断あるいは送信量の制限を行う方式がある。送信元の特定は、パケットヘッダ内の送信元IPアドレスによって行われる場合があるが、IPアドレスの偽装が行われているとIPアドレスだけでは送信元の特定を正しく行うことができなくなるため、経路上のパケット転送装置を特定するための情報をパケットヘッダに埋め込む方法や、標的となっているサーバに対するパケットの送信量を経路上の装置ごとに測定することにより、送信元に近い装置を特定するなどの方法がある。
【0011】
なお、DoS攻撃に対する対策として提供されている従来技術として、下記の非特許文献1に記載されるものがある。
【0012】
【非特許文献1】
FloodGuard〔平成15年4月4日検索〕、インターネット<URL:http://www.reactivenetwork.com/products/floodguard2point1.pdf >
【0013】
【発明が解決しようとする課題】
このように、(A)に関する対策や、(B)に関する対策については従来技術で提供されていた。
【0014】
しかしながら、(C)に関する対処としては、従来では充分な対処方法がなかった。
【0015】
その理由は、多数の送信元装置により攻撃が行われる際に、一つの送信元装置が送る攻撃パケットの量は正規利用者が送る量と変わらないことがあり、パケットの送信量による区別では攻撃元を特定することが困難であることと、正常な形式のパケットが攻撃に使用されるので、パターンマッチングによる攻撃パケットの特定もできないためである。
【0016】
このように、従来、高度分散型DoS攻撃への充分な対策がないというのが実情である。なお、高度分散型DoS攻撃の攻撃対象は通常の場合サーバであるが、特定のクライアント端末が攻撃対象となるということも考えられる。
【0017】
本発明はかかる事情に鑑みてなされたものであって、高度分散型DoS攻撃から公開サーバなどを防御できるようにする新たなネットワーク攻撃防止技術の提供を目的とする。
【0018】
【課題を解決するための手段】
この目的を達成するために、本発明のネットワーク攻撃防止装置は、ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するために、▲1▼パケットの送信元装置における不正プログラムについての検査結果を取得する取得手段と、▲2▼パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した検査結果に応じた優先識別子を付与する付与手段と、▲3▼パケットの配送経路上で、パケットに対して、そのパケットに付与される優先識別子に応じた優先転送制御を行う転送制御手段とを備えるように構成する。
【0019】
このように構成されるときにあって、付与手段は、検査の詳細度を考慮した形の優先識別子をパケットに付与することがある。
【0020】
また、取得手段は、パケット送信元装置から取得する検査結果が第三者により改竄されたり偽造されるのを防ぐために、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から検査結果を取得することがある。
【0021】
また、送信元装置から配送されるパケットが第三者により改竄されたり偽造されるのを防ぐために、この暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する受信手段を備えることがある。
【0022】
また、優先転送制御を行ったパケットをパケット送信先装置へ転送する際に、そのパケットを送ってきた送信元装置の優先度を隠匿するために、そのパケットに付与されている優先識別子を削除する削除手段を備えることがある。
【0023】
以上の各処理手段が動作することで実現される本発明のネットワーク攻撃防止方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどの記録媒体に記録して提供したり、ネットワークを介して提供することができる。
【0024】
このように構成される本発明のネットワーク攻撃防止装置では、送信元装置の中にインストールされたネットワーク攻撃に用いられる不正プログラムを検査するための検査プログラムの検査結果を取得して、それに基づいて、送信元装置から送られてきたパケットの優先度を決定し、この決定結果に応じて、その送信元装置から送られてきたパケットに優先識別子を付与する。
【0025】
具体的に説明するならば、攻撃に使用される可能性の高いプログラムが埋め込まれていると報告された送信元装置の優先度については低くなるように優先識別子を付与し、攻撃に使用される可能性の高いプログラムが埋め込まれていないと報告された送信元装置の優先度については高くなるように優先識別子を付与することになる。
【0026】
さらに、どこまで詳細な検査を行ったかに応じて、優先度(優先識別子)を変えるようにしてもよい。
【0027】
例えば、最新のウィルス情報を元に検査を行った場合には、古いウィルス情報を元に検査を行った場合よりも、高い優先識別子を付与するようにしてもよい。
【0028】
また、高性能の検査プログラムを使って検査を行った場合には、低性能の検査プログラムを使って検査を行った場合よりも、高い優先識別子を付与するようにしてもよい。
【0029】
また、不正プログラムの検査プログラムがインストールされていない送信元装置からは検査プログラムからの報告を受けることができないので、その送信元装置から送信されたパケットに対しては比較的低い優先識別子を付与することになる。
【0030】
このようにしてパケットに優先識別子が付与されると、優先転送制御を司る転送制御手段は、付与された優先識別子に応じた優先度に従ってパケットを送信先装置まで転送する。
【0031】
この構成に従って、本発明のネットワーク攻撃防止装置によれば、高度分散型DoS攻撃から公開サーバなどを防御することができるようになる。
【0032】
具体的に説明するならば、分散型DoS攻撃の攻撃者は、多数の攻撃ホストを確保するために、コンピュータウィルス等の形で多数のホストに攻撃プログラムを配布し、攻撃プログラムを埋め込むことが多い。
【0033】
この攻撃プログラムは、端末におけるウィルススキャン等の検査プログラムにより検出することができる場合が多い。逆に、端末におけるウィルススキャン等の検査プログラムによる検査の結果、攻撃プログラムが検出されないのであれば、その端末は攻撃に使用される可能性が低いといえる。したがって、その端末から送信されるパケットの優先度を上げることで、攻撃に使用されている可能性がより高いパケットにより通信経路が混雑している場合でも、優先的に通信を行なうことで攻撃は無効化されることになる。
【0034】
このようにして、本発明によれば、高度分散型DoS攻撃から公開サーバなどを防御することができるようになる。
【0035】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0036】
図1に、本発明を実現する主装置1の一実施形態例を図示する。
【0037】
この図に示すように、本発明を実現する主装置1は、パケットを転送する優先制御転送部10が中心に配置され、この優先制御転送部10と外部との間の接続境界部のすべてに、検査部11-1〜11−6 と優先識別子付与部12-1〜12-12 の両方、もしくは優先識別子付与部12-1〜12-12 のみを配置した構成をもつ。
【0038】
検査部11-iと優先識別子付与部12-iとの間は、最低一つのチャンネルによって接続されている。検査部11-iと優先識別子付与部12-iとの間のチャンネルのうち一つは未検査パケット(検査未実施の送信元装置3-iから送信されてきたパケット)を送信するためのものであり、「未検査パケット用チャンネル」と呼ぶ。未検査パケット用チャンネル以外のチャンネルについては、検査部11-iを経た送信元装置3-i毎に確立されることになる。
【0039】
各チャンネルには優先度が割り当てられている。未検査パケット用チャンネルには、検査未実施の送信元装置3-iから送信されたパケットのための優先度が割り当てられている。
【0040】
検査部11-iと接続されていない優先識別子付与部12-iについては、未検査パケット用チャンネルのみで外部と接続される。
【0041】
以上の構成を持つ主装置1は、送信先装置2と送信元装置3-1〜3-7との間に設置され、送信先装置2を高度分散型DoS攻撃から防御する。
【0042】
送信元および送信先となりうる装置は、同一の検査部11-iもしくは同一の優先識別子付与部12-iに対して複数接続されていてもよい。また、送信元装置3-iが外部ネットワーク4-1〜4-3経由で主装置1にパケットを送りこむような接続も可能である。
【0043】
なお、本発明における主装置1については、必ずしも一つの装置として一体的に実現される必要はなく、分散配置される複数の装置要素によって実現されていてもよい。
【0044】
以下に、図1中の各々の構成要素がどのように機能するかについて、図2を参照し、パケットの流れをもとに説明する。
【0045】
ここで、図1では、送信元装置3-iの送信したパケットは、「送信元装置3-i→検査部11-i/優先識別子付与部12-i→優先制御転送部10→優先識別子付与部12-1→送信先装置2」というルートでもって送信先装置2に配送されることを想定している。
【0046】
まず、パケットは送信元装置3-iから送出される(ステップ201)。このパケットは本発明の主装置1を経由して送信先装置2へ配送されるが、その際に、主装置1の検査部11-iに送られる場合と、主装置1の優先識別子付与部12-iに直接送られる場合の2通りがある(ステップ202)。前者の場合、パケットには検査部11-iの処理が行われる(ステップ203)。
【0047】
検査部11-iでは、図3で示される処理が行われる。
【0048】
ここで、検査部11-iに送られるパケットには、その検査部11-iと送信元装置3-iとの間で安全な通信路を確立するためのものがある。この安全な通信路は、パケットがその送信元装置3-iから送られたものであることを保証するために確立されるものであり、送信元装置3-iは、検査部11-iとの間でパケットの偽造を防止するためにこの安全な通信路を使用する。この通信路の確立にはIPsec 等の暗号通信技術等を使う。ダイアルアップ接続で送信元装置3-iと主装置1とが接続される場合など、第三者によってパケットが偽造される可能性が低い場合には、暗号通信経路は必ずしも必要ではない。
【0049】
図3に従って検査部11-iの処理について説明するならば、検査部11-iは、パケットを受け取ることで処理を開始すると(ステップ301)、安全な通信路を確立するためのパケットを受け取ったのかどうかの判断を行ない(ステップ302)、この判断において、安全な通信路を確立するためのパケットを受け取ったことを判断する場合には、送信元装置3-iとの間で安全な通信路を確立する(ステップ303)。
【0050】
そして、その経路を確立した送信元装置3-iにおける不正プログラム検査の結果(不正プログラムの有無の検査結果)を受け取り(ステップ304)、その検査結果に応じて送信元装置3-iの優先度を決定する(ステップ305)。さらに、その経路ごとに個別のチャンネルを優先識別子付与部12-iとの間で確立し(ステップ306)、先に決定した優先度をこのチャンネルに割り当てる(ステップ307)。その後、検査部11-iの処理は終了する(ステップ313)。
【0051】
一方、ステップ302で、受け取ったパケットが安全な通信路を確立するためのものでないと判断する場合には、次に、すでに確立された安全な通信路を通してパケットを受け取ったのかどうかの判断を行う(ステップ308)。この判断において、すでに確立された安全な通信路を通してパケットを受け取ったことを判断する場合には、その経路のために用意したチャンネルを通して優先識別子付与部12-iへパケットを送る(ステップ309)。その後、検査部11-iの処理は終了する(ステップ313)。
【0052】
一方、ステップ308で、受け取ったパケットが安全な通信路を経由せずに送られてきたことを判断する場合には、次に、受け取ったパケットが優先識別子付与部12-iから送られたものであるかどうかの判断を行う(ステップ301)。この判断において、受け取ったパケットが優先識別子付与部12-iから送られたものでないことを判断する場合には、未検査パケット用チャンネルを通して、優先識別子付与部12-iにパケットを送る(ステップ312)。その後、検査部11-iの処理は終了する(ステップ314)。
【0053】
一方、ステップ310で、受け取ったパケットが優先識別子付与部12-iから送られたものであることを判断する場合には、送信先装置2へ向けた経路にパケットを送信する(ステップ311)。その後、検査部11-iの処理は終了する(ステップ314)。
【0054】
再び、図2の処理の説明に戻る。
【0055】
検査部11-iの処理が終了し(ステップ203)、パケットの宛先がこの検査部11-i宛のものであった場合には(ステップ204)、パケットは送信先に到着したものとして、そのパケットの流れに沿った処理は終了する(ステップ210)。
【0056】
一方、パケットの宛先がこの検査部11-i宛のものでない場合には、パケットは検査部11-iと優先識別子付与部12-iとの間に確立されたチャンネルを介して優先識別子付与部12-iに到着する(ステップ205)。また、送信元装置3-iが検査部11-iを経由せずに主装置1に接続されている場合にも(ステップ202)、パケットは外部と優先識別子付与部12-iを結ぶチャンネルを通して直接、優先識別子付与部12-iに到着する(ステップ205)。
【0057】
優先識別子付与部12-iでは、図4で示される処理が行われる。
【0058】
図4に従って優先識別子付与部12-iの処理について説明するならば、優先識別子付与部12-iは、パケットを受け取ることで処理を開始すると(ステップ401)、入力されたパケットが優先制御転送部10から送られてきたものであるかどうかの判断を行う(ステップ402)。
【0059】
この判断において、優先制御転送部10ではなくて、検査部11-iもしくは外部と接続されたチャンネルを経由してパケットを受け取ったことを判断する場合には、入力されたパケットに対して、そのパケットが通ったチャンネルを確立する際に伝えられた優先度を示す優先識別子を付与し(ステップ403)、優先制御転送部10にパケットを送る(ステップ404)。その後、優先識別子付与部10は処理を終了する(ステップ406)。
【0060】
一方、ステップ402で、入力されたパケットが優先制御転送部10から送られてきたものであることを判断する場合には、入力されたパケットに付与されている優先識別子を削除した後、送信先装置2に向けたチャンネルを通してパケットを送出する(ステップ405)。その後、優先識別子付与部10は処理を終了する(ステップ406)。
【0061】
再び、図2の処理の説明に戻る。
【0062】
優先識別子付与部12-iの処理(ステップ205)が終了すると、パケットは優先識別子付与部12-iから優先制御転送部10へ送られ、そこで、優先制御転送部10の処理が行われる(ステップ206)。
【0063】
優先制御転送部10は、パケットを受け取ると、図5に示すように、パケットに示された送信先装置2に接続されたチャンネルに向けて、自らの内部でパケットを転送していく。その際、パケットに付与された優先識別子に応じて、優先的に転送を行う。すなわち、優先度の高いパケットを優先的に転送していくという転送制御を行うのである。
【0064】
このようにして、優先制御転送部10の処理に従って、パケットが送信先装置2の最寄りの優先識別子付与部12-1(図1では、送信先装置2の最寄りの優先識別子付与部として優先識別子付与部12-1を想定している)に到着すると、この優先識別子付与部12-1による処理が行われる(ステップ207)。
【0065】
この処理では、送信先装置2が検査部11-iを経由せずに主装置1に接続されている場合には(ステップ208)、送信先装置2と接続するチャンネル経由でパケットを主装置1の外部に送出し、これを受けて、そのパケットは主装置1を出て送信先装置2に向けて配送され、送信先装置2に到着する(ステップ210)。
【0066】
一方、送信先装置2が検査部11-iを経由して主装置1に接続されている場合には(ステップ208)、検査部11-iの処理が行われ(ステップ209)、そのパケットの送信先装置2と接続された安全な通信路がある場合には、その安全な通信路経由でパケットを送信し、その安全な通信路がない場合には、送信先装置2と接続された経路にパケットを送信する(図3のステップ311)。その後、パケットは送信先装置2に到着する(ステップ210)。
【0067】
以下に、本発明の構成要素の具体化例について説明する。
【0068】
優先識別子としては、優先識別子のために新たなパケット形式を採用することに限らず、既存のパケット識別方法、すなわちIPヘッダ内のTOSフィールド(Type Of Serviceフィールド) 、DSフィールド(Differentiated Service フィールド) 、IEEE 802.1Qのラベル、MPLS(Multi Protocol Label Switching)のラベル等を利用可能である。
【0069】
優先制御転送部10としては、優先識別子の内容に応じて優先制御を行う装置を利用する。例えば、TOSフィールドの値に応じて、優先制御する装置を利用する。
【0070】
また、優先制御転送部10の優先制御の機能としては、優先識別子の値に応じて優先制御を行うだけでなく、通信コネクションの確立を行なうための最初のパケット(TCPのSYNパケット等)に対しても最大帯域を指定でき、その帯域の中で優先識別子に応じて優先制御を行なうものを導入することが望ましいが、パケットの種類を区別せずに単に優先識別子の内容に応じて優先制御を行なう装置を導入してもかまわない。
【0071】
また、優先制御転送部10は、優先制御装置を設置したIPネットワークのバックボーンを利用することが可能である。これは、一つのISPもしくはキャリアによって提供されても良いが、複数のISPもしくはキャリアによって提供されてもよく、それらの接続を直接もしくはVPN等によって行うことなどにより、第三者により優先識別子を偽造されることを防止する必要がある。
【0072】
図示実施形態例に従って本発明を説明したが、本発明はこれに限定されるものではない。例えば、実施形態例では、公開サーバに対して行われるDoS攻撃を防止することを具体例にして本発明を説明したが、本発明はその適用がこのような場合に限られるものではない。例えば、特定のユーザ端末に対して行われるDoS攻撃を防止する場合にも、本発明はそのまま適用できるのである。
【0073】
【発明の効果】
インターネットの利用者が爆発的に増大する中で、近年、インターネット上においてもオンライン証券取引サービスやオンラインバンキングサービス等、通信品質が重要視されるサービスを提供する動きが活発になっている。
【0074】
しかしインターネットでは、パケットの送信元を偽装することが容易であり、かつ、大量のパケットの送信を低コストで実施することが可能であるため、インターネット内で公開されたサーバに対して大量のパケットを送りつけるというDoS攻撃の脅威が存在する。したがって、このDoS攻撃をいかに防ぐかが課題となっている。
【0075】
DoS攻撃防止のための方法としては、前述のとおり様々な方法が提案されてきたが、少量の正常な形式のパケットを多数の送信元装置からサーバに向けて送り、結果として大量の攻撃パケットをサーバに送りつけるという高度分散型DoS攻撃に対しては十分な対策が提供されていなかった。
【0076】
本発明は、従来の方法では防ぐことが困難であったこのような高度分散型DoS攻撃への対策を提供する。
【0077】
本発明が対象とするのは特に、攻撃者が予め多数の装置に不正プログラムを埋め込むことにより、これらの不正プログラムを使って大量のパケットを標的となるサーバに送りつけるという特徴を持つ高度分散型DoS攻撃であり、多くの高度分散型DoS攻撃がこれに該当する。したがって、本発明により、高度分散型DoS攻撃への効果的な対策をとることが可能になる。
【0078】
本発明によれば、攻撃者が多数の不正プログラムを使って大量のパケットを標的となるサーバに送りつけた場合でも、不正プログラムがインストールされていないことが不正プログラム検出システムにより保証された装置からのパケットについては、本発明により優先的に配送されるため、攻撃の影響を受けることがない。
【0079】
また、大量パケット送信型DoS攻撃に対しても、攻撃元装置に埋め込んだ不正プログラムを利用したものについては、本発明による対策が有効である。
【0080】
本発明を具備する装置は、例えば、ISP(インターネットサービスプロバイダ)によって導入され、ISPはサーバ運営者およびそのサーバへアクセスするユーザに対して、高度分散型DoS攻撃を防止可能なインターネット接続サービスを提供することが可能である。
【0081】
本発明を具備する装置に接続されるサーバは、インターネット上に公開されつつも、本発明を具備する装置に接続されるユーザに対しては不正プログラムを利用した高度分散型DoS攻撃からの影響を排除できるようになる。
【図面の簡単な説明】
【図1】本発明を実現する主装置の一実施形態例を示す図である。
【図2】パケットに対しての処理の流れを示す図である。
【図3】検査部の処理を示す図である。
【図4】優先識別子付与部の処理を示す図である。
【図5】優先制御転送部の処理を示す図である。
【符号の説明】
1 主装置
2 送信先装置
3 送信元装置
4 外部ネットワーク
10 優先制御転送部
11 検査部
12 優先識別子付与部

Claims (12)

  1. ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法であって、
    パケットの送信元装置における不正プログラムについての検査結果を取得する過程と、
    パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した上記検査結果に応じた優先識別子を付与する過程と、
    パケットの配送経路上で、パケットに対して、そのパケットに付与される上記優先識別子に応じた優先転送制御を行う過程とを備えることを、
    特徴とするネットワーク攻撃防止方法。
  2. 請求項1に記載のネットワーク攻撃防止方法において、
    上記付与する過程では、検査の詳細度を考慮した形の優先識別子をパケットに付与することを、
    特徴とするネットワーク攻撃防止方法。
  3. 請求項1又は2に記載のネットワーク攻撃防止方法において、
    上記取得する過程では、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から上記検査結果を取得することを、
    特徴とするネットワーク攻撃防止方法。
  4. 請求項3に記載のネットワーク攻撃防止方法において、
    上記暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する過程を備えることを、
    特徴とするネットワーク攻撃防止方法。
  5. 請求項1ないし4のいずれか1項に記載のネットワーク攻撃防止方法において、
    パケット送信先装置へと配送される上記優先転送制御を行ったパケットに付与されている優先識別子を削除する過程を備えることを、
    特徴とするネットワーク攻撃防止方法。
  6. ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置であって、
    パケットの送信元装置における不正プログラムについての検査結果を取得する手段と、
    パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した上記検査結果に応じた優先識別子を付与する手段と、
    パケットの配送経路上で、パケットに対して、そのパケットに付与される上記優先識別子に応じた優先転送制御を行う手段とを備えることを、
    特徴とするネットワーク攻撃防止装置。
  7. 請求項6に記載のネットワーク攻撃防止装置において、
    上記付与する手段は、検査の詳細度を考慮した形の優先識別子をパケットに付与することを、
    特徴とするネットワーク攻撃防止装置。
  8. 請求項6又は7に記載のネットワーク攻撃防止装置において、
    上記取得する手段は、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から上記検査結果を取得することを、
    特徴とするネットワーク攻撃防止装置。
  9. 請求項8に記載のネットワーク攻撃防止装置において、
    上記暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する手段を備えることを、
    特徴とするネットワーク攻撃防止装置。
  10. 請求項6ないし9のいずれか1項に記載のネットワーク攻撃防止装置において、
    パケット送信先装置へと配送される上記優先転送制御を行ったパケットに付与されている優先識別子を削除する手段を備えることを、
    特徴とするネットワーク攻撃防止装置。
  11. 請求項1ないし5のいずれか1項に記載のネットワーク攻撃防止方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラム。
  12. 請求項1ないし5のいずれか1項に記載のネットワーク攻撃防止方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラムを記録した記録媒体。
JP2003111741A 2003-04-16 2003-04-16 ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 Expired - Fee Related JP3917546B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003111741A JP3917546B2 (ja) 2003-04-16 2003-04-16 ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003111741A JP3917546B2 (ja) 2003-04-16 2003-04-16 ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JP2004320461A JP2004320461A (ja) 2004-11-11
JP3917546B2 true JP3917546B2 (ja) 2007-05-23

Family

ID=33472204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003111741A Expired - Fee Related JP3917546B2 (ja) 2003-04-16 2003-04-16 ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP3917546B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100454895C (zh) * 2005-06-30 2009-01-21 华为技术有限公司 一种通过报文处理提高网络安全性的方法

Also Published As

Publication number Publication date
JP2004320461A (ja) 2004-11-11

Similar Documents

Publication Publication Date Title
US10630645B1 (en) Private network request forwarding
US10033696B1 (en) Identifying applications for intrusion detection systems
US7076803B2 (en) Integrated intrusion detection services
US7478429B2 (en) Network overload detection and mitigation system and method
US7222366B2 (en) Intrusion event filtering
JP4664257B2 (ja) 攻撃検出システム及び攻撃検出方法
US8661544B2 (en) Detecting botnets
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
US8315169B2 (en) Loadbalancing network traffic across multiple remote inspection devices
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP2008516306A (ja) ネットワークベースのセキュリティプラットフォーム
KR20130068631A (ko) 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
US7725587B1 (en) Deep packet scan hacker identification
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
Žagar et al. Security aspects in IPv6 networks–implementation and testing
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
CN112491836A (zh) 通信系统、方法、装置及电子设备
JP3917546B2 (ja) ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体
JP3917557B2 (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
JP3784799B2 (ja) 攻撃パケット防御システム
JP3938763B2 (ja) DoS攻撃対策システムおよび方法およびプログラム
Vijaya et al. Robust Technique for Detecting and Blocking of VPN over Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070208

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

LAPS Cancellation because of no payment of annual fees