JP3928866B2 - DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof - Google Patents

DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof Download PDF

Info

Publication number
JP3928866B2
JP3928866B2 JP2003114578A JP2003114578A JP3928866B2 JP 3928866 B2 JP3928866 B2 JP 3928866B2 JP 2003114578 A JP2003114578 A JP 2003114578A JP 2003114578 A JP2003114578 A JP 2003114578A JP 3928866 B2 JP3928866 B2 JP 3928866B2
Authority
JP
Japan
Prior art keywords
counter
dos attack
attack source
router
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003114578A
Other languages
Japanese (ja)
Other versions
JP2004320636A (en
Inventor
尚宏 寺山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003114578A priority Critical patent/JP3928866B2/en
Publication of JP2004320636A publication Critical patent/JP2004320636A/en
Application granted granted Critical
Publication of JP3928866B2 publication Critical patent/JP3928866B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、IP網をコア網としたベアラ・制御分離型のネットワークにおいて、端末などのある攻撃元からセッション制御を司どるセッション制御装置(CA:Control Agent)に機械的に連続してサービス等を要求などすることによりCAを高負荷にさせ、攻撃元以外の端末のサービスを不能にさせるいわゆる
DoS(Denial of Service)攻撃への対策技術、サイバーテロ防止対策技術に関する。
【0002】
【従来の技術】
近年、IP網をコア網としたベアラ・制御分離型のネットワークが提唱されている。これはIP網をコア網とし、制御網はセッション制御・端末制御を行うCAで構成し、端末間の制御信号の送受信は必ずCAを介して行い、ベアラ網は端末を収容する加入者ルータ及び端末間の音声または画像等のベアラ信号を中継する中継ルータから構成し、セッション確立後の端末間のベアラ信号の送受信はCAを介さずにベアラ網で中継する形で行う方式である。ここではVoIP(Voice Over IP)の場合を例にするが。CAのセッション制御により端末間で画像通信を行う場合もVoIPと同様である。
【0003】
ベアラ・制御(VoIPでは呼制御)分離型のネットワークにおいて、ある特定の端末などの攻撃元からCAに機械的に大量のパケットを送信し続けることによりCAで攻撃元以外の端末の呼処理制御能力を不能に陥らせる行為(DoS攻撃)の対策には、DoS攻撃元を検出する方法とDoS攻撃元を規制する方法に大別される。
【0004】
DoS攻撃元を検出する方法については、従来、CA内で1端末あたりの単位時間あたりの発呼信号数または端末登録信号数をカウントする1種類のカウンタを用い、閾値以上のものを攻撃元とする方法が提案されている(例えば非特許文献1参照)。この方法の場合、単独攻撃元からのDoS攻撃(single DoS攻撃)は検出できるが、複数の攻撃元からDoS攻撃するDDoS攻撃(DistributedDoS攻撃)の場合、1つの攻撃元あたりの送出頻度が閾値以下の場合は、攻撃元全体での送出頻度が閾値以上であっても検出できない。また、DDoS攻撃はイベントによるアクセス集中(例:人気イベントのチケット予約)するケースとDDoS攻撃と区別がつきづらいため、イベントのためにアクセスをしている全ユーザをDDoS攻撃元と見なしてしまう恐れがある。
【0005】
さらに従来では信号のフォーマットやパラメータに異常のある信号によるDS攻撃を検出するカウンタはないため、このような攻撃を検出することはできなかった。
【0006】
一方、DoS攻撃元を規制する方法については、従来、CAにパケットが入ってくる前にファイヤウォールでDoS攻撃を検出しパケット廃棄を行う方法が提案されている(例えば非特許文献2参照)。しかし、ファイヤウォールは信号の中身は見ずに廃棄するので、呼接続途中の信号を廃棄した場合は、CAで接続処理が完全に終了せずメモリ・リークを起す恐れがある。
【0007】
【非特許文献1】
寺山尚宏 外1名、「IPテレフォニー提供時の輻輳制御方式」、
電子情報通信学会ネットワークシステム研究会技術研究報告、
NS2001−142、P.7−12、2001年11月14日発行
【非特許文献2】
NTTコミュニケーションズNews Release、OCN ADSLサービス(A)における
「パーソナルファイアウォールサービス」の提供について、2002年7月24日掲載、インターネット<URL:http://www.ntt.com/release/2002NEWS/0007 /0724.html>
【0008】
【発明が解決しようとする課題】
本発明の目的は、IP網をコア網としたベアラ・制御分離型のネットワークにおいて、CAにてイベントによるアクセス集中とDDoS攻撃を区別し、DDoS攻撃だけを検出する方法及びフォーマットやパラメータが異常な不正信号によるDoS攻撃元を検出する方法、そのCA並びにプログラム、記録媒体を提供することにある。
【0009】
また、本発明のもう一つの目的は、IP網をコア網としたベアラ・制御分離型のネットワークにおいて、CAにDoS攻撃のパケットが侵入することを防ぎ、且つ、CAでメモリ・リークを起さない規制方法、そのルータOpS及びCA並びにプログラム、記録媒体を提供することにある。
【0010】
【課題を解決するための手段】
本発明は、CA内において、単独攻撃元からのDoS攻撃を検出するカウンタ(Single DoSカウンタ)と複数攻撃元からのDoS攻撃を検出するカウンタ(DDoSカウンタ)及びフォーマットやパラメータが異常な不正信号によるDoS攻撃を検出する不正信号カウンタの3つを設置し、DDoSカウンタは、SingleDoSカウンタより、監視周期を長くとり且つ、閾値をSingle DoSカウンタより低くすることを主要な特徴とする。この特徴により、様々なタイプのDoS攻撃に対応可能となる。
【0011】
なお、検出機能は一部縮退するが、場合によっては不正信号カウンタは省略してもよく、あるいは不正信号カウンタとSingle DoSカウンタとCAに入ってくる単位時間あたりの総呼数をカウントする呼量カウンタとの組み合わせとすることも可能である。
【0012】
また、本発明は、DDoSカウンタでDDoS攻撃を検出するまでの期間は、呼量規制(単位時間あたりのCAに入ってくる総呼数を制限する規制)を掛けることによりCAを保護し、さらに対象とする信号はCA(サーバ)が提供するサービスにおけるサービスへの登録信号および/もしくはサービスの開始要求信号に限定することを特徴とする。この特徴により、CAの保護が可能となると共に、サービスの途中でのパケット廃棄を避けることができるようになる。
【0013】
また、本発明は、Single DoSカウンタ、DDoSカウンタおよび不正信号カウンタでDoS攻撃を検出した後は、CAでのロックアウト処理をするだけではなく、さらに攻撃元のIPアドレスの情報を攻撃元を収容する加入者ルータに通知し、加入者ルータでIPアドレスフィルタリング(該当IPアドレスからのパケットを廃棄する規制)を行うことを特徴とする。この特徴により、CAに
DoS攻撃のパケットが進入することを未然に防止できる。
【0014】
【発明の実施の形態】
以下、本発明の一実施の形態について図面を用いて説明する。以下では音声サービス(VoIP)の場合を例に説明するが、CAのセッション制御により端末間で画像通信を行う場合も同様である。
【0015】
<ネットワーク構成>
図1は本発明で前提とするIP網をコア網としたベアラ・制御分離型のネットワークの概念図である。先に述べたように、IP網をコア網としたベアラ・制御(VoIPでは呼制御)分離型のネットワークでは、制御網1は、セッション制御・端末制御を行うセッション制御装置(CA:Control Agent)10で構成され、端末11、12間の制御信号の送受信は、必ずCA10を介して行われる。一方、ベアラ網2は、端末11、12を収容する加入者ルータ13、14及びベアラ信号(VoIPでは音声信号)を中継する中継ルータ15、16から構成され、セッション確立後の端末11、12間のベアラ信号の送受信は、CA10を介さずに、ベアラ網2で中継する形で行われる。
【0016】
このようなIP網をコア網としたベアラ・制御分離型のネットワークにおいて、セッションを制御するCA10に対し、単一あるいは複数の端末などの攻撃元から機械的に連続してサービス等を要求などした場合、CA10は高負荷となり、攻撃元以外の例えば端末11、12のサービス制御(セッション制御処理)が不能になる。
【0017】
以下に、本発明によるDoS攻撃元検出方法及びDoS攻撃阻止方法の具体的な実施例について詳述する。
【0018】
<DoS攻撃元検出>
図2は、本発明によるセッション制御装置(CA)の一実施例の構成図であり、特にDoS攻撃検出に関係する部分のみを示す。図2において、不正信号カウンタ101はフォーマットやパラメータが異常な不正信号によるDoS攻撃を検出するための第4のカウンタ、DoSカウンタ102は単独攻撃元からのDoS攻撃を検出するための第1のカウンタ(Single DoSカウンタ)、呼量カウンタ103はCA10に入ってくる単位時間あたりの総呼数をカウントする第2のカウンタ、DDoSカウンタ104は複数攻撃元からのDoS攻撃を検出するための第3のカウンタ(Distributed DoSカウンタ)である。ここで、不正信号カウンタ101、DoSカウンタ102及びDDoSカウンタ104はIPアドレス毎に用意する。また、DoSカウンタ102の監視期間をt1、閾値をv1、DDoSカウンタ104の監視期間をt2、閾値をv2とした場合、t1<t2、v1>v2としておく。
【0019】
信号フォーマット・パラメータチェック部105は、CA10に入ってきた信号のフォーマット及びパラメータのチェックを行う処理部である。パケット廃棄部106は、不正信号カウンタ101が所定閾値以下のIPアドレスに、該当する不正パケットの廃棄を行う処理部である。呼量規制処理部107は、呼量カウンタ103が所定閾値以上の場合、呼量規制(セッション確立要求信号等の総数を制限)を行う処理部である。ロックアウト処理部108は、不正信号カウンタ101、DoSカウンタ102及びDDoSカウンタ104のいずれか一つでも、それが所定閾値以上のIPアドレスについて、該当IPアドレスに対しロックアウトを行う処理部であり、IPアドレス通知部109は、該当IPアドレスを後述のルータ制御装置(ルータOpS)に通知する処理部である。呼処理部110は、正規の呼について所定の処理を実行する処理部である。
【0020】
上記各カウンタ101〜104及び各処理部105〜110の動作は、制御部100により制御される。
【0021】
図3は、CAにおけるDoS攻撃検出の処理フローチャートである。以下、図3に基づき図2の構成例のCAおける動作を説明する。
【0022】
CA10に入ってきた正規呼及びDoS攻撃呼を含んだ全ての信号は、まず、信号フォーマット・パラメータチェック部105で信号のフォーマット及びパラメータのチェックを受ける(S11、S12)。NGの場合は、不正信号カウンタ101において、IPアドレスごとに単位時間あたりの不正信号数をカウントする(S18)。ここで、ある閾値以上であれば、不正信号によるDoS攻撃と見なし、ロックアウト処理部108にて該当IPアドレスに対するロックアウト処理を行うとともに、IPアドレス通知部109にて該当IPアドレスを外部装置(例えば、後述のルータOpS)に通知する(S19、S20)。また、閾値以下であれば、該当パケットの廃棄だけを行う(S19、S21)。
【0023】
一方、信号フォーマット・パラメータチェック部105でOKの場合は、DoSカウンタ102において、IPアドレスごとに単位時間あたりの発呼信号(SIPの場合、INVITE信号)または端末登録信号(SIPの場合、REGISTER信号)の信号数をカウントする(S13)。ここで、閾値以上のIPアドレスの場合は、単独攻撃元からのDoS攻撃と見なし、ロックアウト処理部108にて該当IPアドレスに対するロックアウと処理を行うとともに、IPアドレス通知部109にて該当IPアドレスを外部装置に通知する(S14、S20)。
【0024】
DoSカウンタ102のカウント値が各IPアドレスについて閾値以下の場合、呼量カウンタ103ではCA10に入ってくる単位時間あたりの総呼数(SIPの場合、INVITE数またはREGISTER数)をカウントする(S15)。ここで、閾値以下であれば、呼処理部110において所定の呼処理を実行する(S16、S17)。
【0025】
一方、呼量カウンタ103が閾値以上の場合は、DDoSカウンタ104と呼量規制処理部107が同時に起動する。呼量規制処理部107では、CA10の呼量の規制を開始し、輻輳を防止する(S22)。DDoSカウンタ104では、DoSカウンタ102よりも長期の監視期間で且つ低い閾値(通話及び端末登録するのが目的でないほど短い送出間隔で連続的な送信を行った場合の値)で、IPアドレスごとに単位時間あたりの発呼信号または端末登録信号の信号数をカウントする(S23)。例えば、DoSカウンタ102の閾値が50INVITE/sならば、DDoSカウンタ104の閾値は30INVITE/30sとする。
【0026】
ここで、DDoSカウンタ104が閾値以下の場合は、呼量規則処理部107での呼量規則をそのまま続行する(S24、S22)。一方、DDoSカウンタ104が閾値以上のIPアドレスがあれば、複数攻撃元からのDoS攻撃と見なし、呼量規則を解除し(S24、S25)、ステップS20に進む。先に述べたように、ステップS20では、ロックアウト処理部108にて該当IPアドレスに対するロックアウト処理を行うとともに、IPアドレス通知部109にて該当アドレスを外部装置(例えば、後述のルータOpS)に通知する。
【0027】
<DoS攻撃阻止>
図4は、本発明によるDoS攻撃阻止方法の一実施例の概念図、図5は動作シーケンス図である。以下、図4及び図5をもとに本発明によるDoS攻撃阻止方法の一実施例の動作を説明する。なお、図4、図5では中継ルータは省略してある。
【0028】
認証サーバ20では、ユーザ端末が加入者ルータにアクセスし認証する際に、ユーザ端末のIPアドレスの情報と加入者ルータのIPアドレスの情報を収集している。ルータ制御装置(ルータOpS)30は、一般に加入者ルータや中継ルータの保守制御を司るが、ここでは、セッション制御装置(CA)10から、該CA10で検出したDoS攻撃端末(図4では31、32、33)のIPアドレス情報の通知を受けると、認証サーバ20にアクセスし、DoS攻撃端末のIPアドレス情報からそれを収容している加入者ルータ(図4では34、35、36)のIPアドレスを検索し、該当の加入者ルータ34、35、36に対して、
DoS攻撃端末(厳密にはDoS攻撃端末のIPアドレス)からのパケットを規制するIPアドレスフィルタリングのコマンドを配布するようにする。加入者ルータ34、35、36は、ルータOpS30から規政コマンドを受信すると、該当DoS攻撃端末34、35、36からのパケットを規制するIPフィルタリング規制を実施する。
【0029】
先に述べたように、CA10でDoS攻撃を検出した場合、まず、CA10では攻撃元に対するロックアウト処理を行う。これにより、CA10にDoS攻撃元から発呼信号または端末登録信号が入ってきても処理されないため、CA10の負荷は軽減される。ただし、この時点ではDoS攻撃元からのパケットの廃棄処理の負荷は残ったままである。
【0030】
次に、CA10は、攻撃元のIPアドレス情報をルータOpS30に通知する。ルータOpS30では攻撃元のIPアドレス情報から認証サーバ20を使って攻撃元を収容する加入者ルータのIPアドレスを検索する。そしてルータOpS30該当は加入者ルータに対して攻撃元からのパケットを規制するIPフィルタリング規制コマンドを配布し、加入者ルータがDoS攻撃元のIPフィルタリング規制を実行する。これにより、CAにDoS攻撃のパケットが侵入することが未然に防げる。
【0031】
図6は本発明によるルータ制御装置(ルータOpS)30の一実施例の構成図である。本ルータOpS30は、CAからDoS攻撃端末などのDoS攻撃元のIPアドレスを受信するCA通知受信部301、認証サーバ20を使って、DoS攻撃元を収容する加入者ルータのIPアドレスを検索する認証サーバ検索部302、検索結果の加入者ルータに対して規制コマンドを配布する規制コマンド配信部303、及び、これら各部301、302、303の動作を制御する制御部300から構成される。なお、ルータOpS30は、ルータ保守等のための本来の処理手段も備えているが、ここでは省略してある。
【0032】
図7は、本ルータOpS30の処理フローチャートである。CA通知受信部301が、CA10からDoS攻撃端末などのDoS攻撃元のIPアドレスを受信すると(S31)、認証サーバ検索部302を起動する。認証サーバ検索部302は、認証サーバ20に対しDoS攻撃元のIPアドレスを送信して、当該DoS攻撃元の端末等を収容している加入者ルータのIPアドレスの検索要求を行い、その応答として認証サーバ20から、DoS攻撃元のIPアドレスと該当加入者ルータのIPアドレスとの対応を取得する(S32)。規制コマンド配信部303は、認証サーバ検索部302による検索結果の加入者ルータIPアドレスをもとに、該当加入者ルータに対して、DoS攻撃元の端末等からのパケットを規制するIPフィルタリング規制コマンドを配布する(S33)。
【0033】
上述の実施例は、ルータOpS30がCA10からDoS攻撃元端末等のIPアドレス情報の通知を受けて、該ルータOpS30から該当の加入者ルータに対してDoS攻撃端末等からのパケットを規制するコマンドを配布する方式であったが、CA10に上記ルータOpS30と同様の機能を実装することにより、直接CA10が認証サーバ20を使って、DoS攻撃端末等を収容する加入者ルータに対して規制コマンドを配布することが可能である。図8に本実施例の動作シーケンス図を示す。
【0034】
図8の場合、CA10は、DoS攻撃を検出すると、攻撃元に対するロックアウト処理を行うとともに、該CA10みずから、攻撃元のIPアドレス情報から認証サーバ20を使って攻撃元を収容する加入者ルータのIPアドレスを検索する。そして、該CA10みずから、該当加入者ルータに対して攻撃元からのパケットを規制するIPフィルタリング規制コマンドを配布する。本実施例によれば、ルータOpS30が介在しないため、該当加入者ルータにおいて、より迅速に攻撃元からのパケットを規制することが可能になる。
【0035】
本実施例のCA10の構成は、先の図2の構成に図6の認証サーバ検索部302及び規制コマンド配信部303を追加すればよく、図示は省略する。また、処理フローは、先の図3において、ステップS20中の「IPアドレス通知」をなくし、かわりに該ステップS20の下に図7のステップS32、S33を追加すればよく、同様に図示は省略する。
【0036】
また、いずれの実施例の場合も、ルータOpS30あるいはCA10が端末IPアドレスと加入者ルータIPアドレスの対応表を所持していれば、これまで述べたような認証サーバ20を検索する処理は不要である。
【0037】
なお、図2や図6で示したCA、ルータOpSにおける各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図3や図7で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【0038】
【発明の効果】
本発明によれば、DDoSカウンタで長期的に監視することにより、通話及び端末登録するのが目的でない連続的な送信かどうかがわかるのでDDoS攻撃なのかイベントによるアクセス集中かの区別がつきDDoS攻撃だけを検出できる利点がある。また、DDoS攻撃検出までに受ける攻撃については呼量規制を行うことにより、暫定的にCAを攻撃から保護することができる。次に不正信号カウンターを設置することによりフォーマットやパラメータが異常な不正信号によるDoS攻撃を検出できる利点もある。
【0039】
また、本発明によれば、CAで最初にロックアウトを行うことによりメモリ・リークを起さずにDoS攻撃からCAを保護することができる。ただし、この時点ではCAのパケット廃棄処理の負荷が残るが、加入者ルータでCAで検出した攻撃元のIPアドレスの情報からIPフィルタリング規制を掛けることにより、CAに攻撃元からのパケットが入ってくることがないため、CAはパケット廃棄処理の負荷から解放できる利点がある。また攻撃元のパケットだけを廃棄するため、他のユーザはDoS攻撃の影響を受けずVoIPを行うことができる。
【図面の簡単な説明】
【図1】本発明で前提とするベアラ・制御分離型のネットワークの概念図である。
【図2】本発明のDoS攻撃元検出方法を実現するセッション制御装置(CA)の一実施例の構成図である。
【図3】図2のCAの処理フローチャートである。
【図4】本発明によるDoS攻撃阻止方法の一実施例の概念図である。
【図5】図4の実施例の動作シーケンス図である。
【図6】本発明のDoS攻撃阻止方法を実現するルータ制御装置(ルータOpS)の一実施例の構成図である。
【図7】図6のルータOpSの処理フローチャートである。
【図8】本発明によるDoS攻撃阻止方法の別の実施例の動作シーケンス図である。
【符号の説明】
1 制御網
2 ベアラ網
10 セッション制御装置(CA)
11、12 端末
13、14、34、35、36 加入者ルータ
15、16 中継ルータ
20 認証ルータ
30 ルータ制御装置(ルータOpS)
31、32、33 DoS攻撃端末
100 制御部
101 不正信号カウンタ
102 DoSカウンタ
103 呼量カウンタ
104 DDoSカウンタ
105 信号フォーマット・パラメータチェック部
106 パケット廃棄部
107 呼量規制処理部
108 ロクアウト処理部
109 IPアドレス通知部
110 呼処理部
300 制御部
301 CA通知受信部
302 認証サーバ検索部
303 規制コマンド配信部[0001]
BACKGROUND OF THE INVENTION
The present invention is a bearer / control separation type network in which an IP network is a core network, and mechanically continuously services and the like to a session control apparatus (CA: Control Agent) that manages session control from a certain attack source such as a terminal. The present invention relates to a countermeasure technology against a so-called DoS (Denial of Service) attack and a cyber terrorism prevention technology that cause a high load on the CA by requesting the service and disable the services of terminals other than the attack source.
[0002]
[Prior art]
In recent years, a bearer / control separated network having an IP network as a core network has been proposed. The IP network is a core network, the control network is configured by a CA that performs session control and terminal control, transmission and reception of control signals between terminals is always performed via the CA, and the bearer network is a subscriber router that accommodates terminals, This is a system that comprises a relay router that relays bearer signals such as voice or images between terminals, and transmits and receives bearer signals between terminals after session establishment via a bearer network without going through a CA. Here, the case of VoIP (Voice Over IP) is taken as an example. The case where image communication is performed between terminals by CA session control is the same as that of VoIP.
[0003]
In a bearer / control (call control in VoIP) separation type network, call processing control capability of terminals other than the attack source by CA by continuously sending a large number of packets from the attack source such as a specific terminal to CA. The countermeasures for the act of making the system impossible (DoS attack) are roughly classified into a method for detecting the DoS attack source and a method for regulating the DoS attack source.
[0004]
Regarding a method for detecting a DoS attack source, conventionally, one type of counter that counts the number of call signals or the number of terminal registration signals per unit time per terminal in a CA is used. Has been proposed (see Non-Patent Document 1, for example). In the case of this method, a DoS attack (single DoS attack) from a single attack source can be detected, but in the case of a DDoS attack (DistributedDoS attack) in which a DoS attack is performed from a plurality of attack sources, the transmission frequency per attack source is below a threshold value. In this case, even if the transmission frequency of the entire attack source is greater than or equal to the threshold, it cannot be detected. Also, since the DDoS attack is difficult to distinguish from the case of access concentration due to events (eg, ticket reservation for popular events) and the DDoS attack, all users accessing for the event may be regarded as the DDoS attack source. There is.
[0005]
Furthermore, conventionally, there is no counter for detecting a DS attack caused by a signal having an abnormal signal format or parameter, and thus such an attack cannot be detected.
[0006]
On the other hand, as a method for restricting a DoS attack source, a method has been proposed in which a DoS attack is detected by a firewall and a packet is discarded before the packet enters the CA (see, for example, Non-Patent Document 2). However, since the firewall discards the signal without looking at the contents of the signal, if the signal in the middle of the call connection is discarded, the connection process may not be completed completely by the CA, and there is a risk of causing a memory leak.
[0007]
[Non-Patent Document 1]
Naohiro Terayama, 1 other person, "Congestion control method when providing IP telephony",
IEICE Network System Technical Report,
NS2001-142, p. 7-12, issued on November 14, 2001 [Non-Patent Document 2]
NTT Communications News Release, OCN ADSL service (A) offering “Personal Firewall Service” on July 24, 2002, Internet <URL: http://www.ntt.com/release/2002NEWS/0007 / 0724 .html>
[0008]
[Problems to be solved by the invention]
It is an object of the present invention to distinguish between access concentration due to an event and a DDoS attack by CA in a bearer / control separation type network having an IP network as a core network, and to detect only a DDoS attack and a format or parameter is abnormal. An object of the present invention is to provide a method of detecting a DoS attack source by an illegal signal, its CA, a program, and a recording medium.
[0009]
Another object of the present invention is to prevent DoS attack packets from entering the CA and cause a memory leak in the CA in a bearer / control separation type network with the IP network as the core network. There is no regulation method, its router OpS and CA, as well as a program and a recording medium.
[0010]
[Means for Solving the Problems]
In the present invention, a CA detects a DoS attack from a single attack source (Single DoS counter), a counter detects a DoS attack from multiple attack sources (DDoS counter), and an illegal signal whose format or parameter is abnormal. Three illegal signal counters for detecting a DoS attack are installed, and the DDoS counter is characterized in that the monitoring period is longer than that of the Single DoS counter and the threshold value is set lower than that of the Single DoS counter. This feature makes it possible to cope with various types of DoS attacks.
[0011]
Although the detection function is partially degenerated, the illegal signal counter may be omitted in some cases, or the amount of calls for counting the total number of calls per unit time entering the illegal signal counter, the Single DoS counter, and the CA. A combination with a counter is also possible.
[0012]
Further, the present invention protects the CA by applying a call volume restriction (a restriction that limits the total number of calls entering the CA per unit time) until a DDoS attack is detected by the DDoS counter. The target signal is limited to a registration signal for a service and / or a service start request signal in a service provided by a CA (server). This feature makes it possible to protect the CA and avoid packet discard during the service.
[0013]
In addition, after detecting a DoS attack using the Single DoS counter, the DDoS counter, and the illegal signal counter, the present invention not only performs lockout processing at the CA, but also stores the attack source IP address information. The subscriber router is notified, and the subscriber router performs IP address filtering (regulation for discarding packets from the corresponding IP address). This feature can prevent a DoS attack packet from entering the CA.
[0014]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings. In the following, the case of voice service (VoIP) will be described as an example, but the same applies to the case where image communication is performed between terminals by CA session control.
[0015]
<Network configuration>
FIG. 1 is a conceptual diagram of a bearer / control separation type network in which an IP network premised on the present invention is a core network. As described above, in the bearer / control (call control in VoIP) separation type network in which the IP network is a core network, the control network 1 is a session control device (CA: Control Agent) that performs session control / terminal control. 10, transmission / reception of control signals between the terminals 11 and 12 is always performed via the CA 10. On the other hand, the bearer network 2 includes subscriber routers 13 and 14 that accommodate terminals 11 and 12 and relay routers 15 and 16 that relay bearer signals (voice signals in VoIP). The bearer signal is transmitted and received via the bearer network 2 without using the CA 10.
[0016]
In such a bearer / control separation type network with the IP network as a core network, the CA 10 that controls the session mechanically requests a service or the like continuously from an attack source such as a single or a plurality of terminals. In this case, the CA 10 becomes heavily loaded, and service control (session control processing) of the terminals 11 and 12 other than the attack source becomes impossible.
[0017]
Hereinafter, specific embodiments of the DoS attack source detection method and the DoS attack prevention method according to the present invention will be described in detail.
[0018]
<DoS attack source detection>
FIG. 2 is a configuration diagram of an embodiment of the session control apparatus (CA) according to the present invention, and particularly shows only a part related to DoS attack detection. In FIG. 2, an illegal signal counter 101 is a fourth counter for detecting a DoS attack due to an illegal signal having an abnormal format or parameter, and a DoS counter 102 is a first counter for detecting a DoS attack from a single attack source. (Single DoS counter), the call volume counter 103 is a second counter for counting the total number of calls per unit time entering the CA 10, and the DDoS counter 104 is a third counter for detecting DoS attacks from a plurality of attack sources. It is a counter (Distributed DoS counter). Here, the illegal signal counter 101, the DoS counter 102, and the DDoS counter 104 are prepared for each IP address. Further, when the monitoring period of the DoS counter 102 is t 1 , the threshold is v1, the monitoring period of the DDoS counter 104 is t 2 , and the threshold is v2, t 1 <t 2 and v1> v2 are set.
[0019]
The signal format / parameter check unit 105 is a processing unit that checks the format and parameters of a signal that has entered the CA 10. The packet discard unit 106 is a processing unit that discards a corresponding illegal packet to an IP address whose illegal signal counter 101 is equal to or less than a predetermined threshold. The call volume restriction processing unit 107 is a processing unit that performs call volume restriction (limits the total number of session establishment request signals and the like) when the call volume counter 103 is equal to or greater than a predetermined threshold. The lockout processing unit 108 is a processing unit that locks out the IP address of any one of the illegal signal counter 101, the DoS counter 102, and the DDoS counter 104 for an IP address that is equal to or greater than a predetermined threshold value. The IP address notifying unit 109 is a processing unit that notifies a corresponding IP address to a router control device (router OpS) described later. The call processing unit 110 is a processing unit that executes predetermined processing for a regular call.
[0020]
The operations of the counters 101 to 104 and the processing units 105 to 110 are controlled by the control unit 100.
[0021]
FIG. 3 is a processing flowchart of DoS attack detection in CA. The operation in the CA of the configuration example of FIG. 2 will be described below with reference to FIG.
[0022]
All signals including regular calls and DoS attack calls that have entered the CA 10 are first subjected to signal format and parameter checks by the signal format / parameter check unit 105 (S11, S12). In the case of NG, the unauthorized signal counter 101 counts the number of unauthorized signals per unit time for each IP address (S18). Here, if it is above a certain threshold value, it is regarded as a DoS attack by an unauthorized signal, the lockout processing unit 108 performs lockout processing for the corresponding IP address, and the IP address notification unit 109 sets the corresponding IP address to an external device ( For example, it notifies the router OpS (described later) (S19, S20). If it is less than or equal to the threshold value, only the corresponding packet is discarded (S19, S21).
[0023]
On the other hand, if the signal format / parameter check unit 105 is OK, the DoS counter 102 makes a call signal per unit time (INVITE signal in the case of SIP) or a terminal registration signal (in the case of SIP, a REGISTER signal) for each IP address. ) Is counted (S13). Here, if the IP address is greater than or equal to the threshold value, it is regarded as a DoS attack from a single attack source, the lockout processing unit 108 performs lockout and processing for the corresponding IP address, and the IP address notification unit 109 performs the corresponding IP address. To the external device (S14, S20).
[0024]
When the count value of the DoS counter 102 is equal to or less than the threshold value for each IP address, the call volume counter 103 counts the total number of calls per unit time entering the CA 10 (in the case of SIP, the number of INVITEs or REGISTERs) (S15). . Here, if it is below the threshold value, the call processing unit 110 executes predetermined call processing (S16, S17).
[0025]
On the other hand, when the call volume counter 103 is equal to or greater than the threshold, the DDoS counter 104 and the call volume restriction processing unit 107 are activated simultaneously. The call volume regulation processing unit 107 starts regulating the call volume of the CA 10 and prevents congestion (S22). The DDoS counter 104 has a longer monitoring period than the DoS counter 102 and a low threshold value (a value when continuous transmission is performed at a short transmission interval so as not to be used for call and terminal registration) for each IP address. The number of call signals or terminal registration signals per unit time is counted (S23). For example, if the threshold of the DoS counter 102 is 50 INVITE / s, the threshold of the DDoS counter 104 is 30 INVITE / 30s.
[0026]
Here, when the DDoS counter 104 is equal to or smaller than the threshold value, the call amount rule in the call amount rule processing unit 107 is continued as it is (S24, S22). On the other hand, if there is an IP address whose DDoS counter 104 is equal to or greater than the threshold, it is regarded as a DoS attack from a plurality of attack sources, the call volume rule is canceled (S24, S25), and the process proceeds to step S20. As described above, in step S20, the lockout processing unit 108 performs lockout processing for the corresponding IP address, and the IP address notification unit 109 sends the corresponding address to an external device (for example, a router OpS described later). Notice.
[0027]
<DoS attack prevention>
FIG. 4 is a conceptual diagram of an embodiment of the DoS attack prevention method according to the present invention, and FIG. 5 is an operation sequence diagram. Hereinafter, the operation of an embodiment of the DoS attack prevention method according to the present invention will be described with reference to FIGS. In FIG. 4 and FIG. 5, the relay router is omitted.
[0028]
When the user terminal accesses and authenticates the subscriber router, the authentication server 20 collects the IP address information of the user terminal and the IP address information of the subscriber router. The router control device (router OpS) 30 generally manages maintenance control of subscriber routers and relay routers. Here, the DoS attack terminal (31 in FIG. 4) detected by the CA 10 from the session control device (CA) 10. 32, 33) upon receiving the notification of the IP address information, the authentication server 20 is accessed, and the IP of the subscriber router (34, 35, 36 in FIG. 4) accommodating it from the IP address information of the DoS attack terminal. The address is searched, and for the corresponding subscriber router 34, 35, 36,
An IP address filtering command for restricting packets from the DoS attack terminal (strictly, the IP address of the DoS attack terminal) is distributed. When the subscriber routers 34, 35, 36 receive the regulation command from the router OpS 30, the subscriber routers 34, 35, 36 implement IP filtering regulation that regulates packets from the corresponding DoS attack terminals 34, 35, 36.
[0029]
As described above, when a DoS attack is detected by CA 10, first, CA 10 performs a lockout process for the attack source. As a result, even if a call signal or a terminal registration signal enters the CA 10 from the DoS attack source, the CA 10 is not processed, so the load on the CA 10 is reduced. However, at this time, the load for discarding packets from the DoS attack source remains.
[0030]
Next, the CA 10 notifies the router OpS 30 of the IP address information of the attack source. In the router OpS 30, the IP address of the subscriber router that accommodates the attack source is retrieved from the IP address information of the attack source using the authentication server 20. The router OpS 30 applies an IP filtering restriction command for restricting packets from the attack source to the subscriber router, and the subscriber router executes DoS attack source IP filtering restriction. This prevents the DoS attack packet from entering the CA.
[0031]
FIG. 6 is a block diagram of an embodiment of the router control device (router OpS) 30 according to the present invention. This router OpS 30 uses the CA notification receiving unit 301 that receives the IP address of the DoS attack source such as the DoS attack terminal from the CA, and the authentication server 20 to search for the IP address of the subscriber router that accommodates the DoS attack source. The server search unit 302 includes a restriction command distribution unit 303 that distributes restriction commands to subscriber routers as search results, and a control unit 300 that controls operations of these units 301, 302, and 303. Note that the router OpS 30 also includes original processing means for router maintenance or the like, but is omitted here.
[0032]
FIG. 7 is a process flowchart of the router OpS30. When the CA notification receiving unit 301 receives an IP address of a DoS attack source such as a DoS attack terminal from the CA 10 (S31), the authentication server search unit 302 is activated. The authentication server search unit 302 transmits the IP address of the DoS attack source to the authentication server 20, requests the IP address search of the subscriber router that accommodates the DoS attack source terminal, and the like as a response. Correspondence between the IP address of the DoS attack source and the IP address of the corresponding subscriber router is acquired from the authentication server 20 (S32). The restriction command distribution unit 303 is an IP filtering restriction command for restricting a packet from a DoS attack source terminal to the subscriber router based on the subscriber router IP address of the search result by the authentication server search unit 302. Is distributed (S33).
[0033]
In the above-described embodiment, the router OpS 30 receives a notification of the IP address information of the DoS attack source terminal from the CA 10 and issues a command for regulating packets from the DoS attack terminal to the corresponding subscriber router from the router OpS 30. Although it was a distribution method, by implementing the same function as the router OpS30 in the CA 10, the CA 10 directly distributes the restriction command to the subscriber router that accommodates the DoS attack terminal etc. using the authentication server 20. Is possible. FIG. 8 shows an operation sequence diagram of this embodiment.
[0034]
In the case of FIG. 8, when the CA 10 detects a DoS attack, the CA 10 performs a lockout process for the attack source, and also uses the authentication server 20 from the IP address information of the attack source to check the subscriber router that accommodates the attack source. Search for an IP address. Then, the CA 10 itself distributes an IP filtering restriction command for restricting packets from the attack source to the corresponding subscriber router. According to the present embodiment, since the router OpS30 is not interposed, it is possible to regulate packets from the attack source more quickly in the corresponding subscriber router.
[0035]
In the configuration of the CA 10 of this embodiment, the authentication server search unit 302 and the restriction command distribution unit 303 in FIG. 6 may be added to the configuration in FIG. Further, in the processing flow, the “IP address notification” in step S20 in FIG. 3 is eliminated, and steps S32 and S33 in FIG. 7 may be added instead of step S20. To do.
[0036]
In any of the embodiments, if the router OpS 30 or the CA 10 has a correspondence table between the terminal IP address and the subscriber router IP address, the processing for searching the authentication server 20 as described above is unnecessary. is there.
[0037]
The processing functions of some or all of the components in the CA and router OpS shown in FIGS. 2 and 6 can be configured by a computer program, and the program can be executed using the computer to implement the present invention. Alternatively, it goes without saying that the processing procedure shown in FIGS. 3 and 7 can be configured by a computer program and the program can be executed by the computer. In addition, a computer-readable recording medium such as an FD, MO, ROM, memory card, CD, or the like is stored in the computer. In addition, the program can be recorded and stored on a DVD, a removable disk, etc., and the program can be distributed through a network such as the Internet.
[0038]
【The invention's effect】
According to the present invention, since long-term monitoring with the DDoS counter shows whether or not continuous transmission is intended for calls and terminal registration, it is possible to distinguish between a DDoS attack and an access concentration due to an event. There is an advantage that only can be detected. In addition, CAs can be provisionally protected from attacks by performing call volume control for attacks received before the detection of a DDoS attack. Next, there is an advantage that a DoS attack by an illegal signal with an abnormal format or parameter can be detected by installing an illegal signal counter.
[0039]
Also, according to the present invention, the CA can be protected from a DoS attack without causing a memory leak by performing a lockout first with the CA. However, at this point, the CA packet discard processing load remains, but by applying IP filtering restriction based on the IP address information of the attack source detected by the CA in the subscriber router, the packet from the attack source enters the CA. Since CA does not come, there is an advantage that CA can be released from the load of packet discard processing. Since only the attack source packet is discarded, other users can perform VoIP without being affected by the DoS attack.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram of a bearer / control separation type network assumed in the present invention.
FIG. 2 is a configuration diagram of an embodiment of a session control apparatus (CA) that realizes the DoS attack source detection method of the present invention.
FIG. 3 is a processing flowchart of CA in FIG. 2;
FIG. 4 is a conceptual diagram of an embodiment of a DoS attack prevention method according to the present invention.
FIG. 5 is an operation sequence diagram of the embodiment of FIG. 4;
FIG. 6 is a configuration diagram of an embodiment of a router control device (router OpS) for realizing the DoS attack prevention method of the present invention.
7 is a processing flowchart of the router OpS of FIG. 6;
FIG. 8 is an operation sequence diagram of another embodiment of the DoS attack prevention method according to the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Control network 2 Bearer network 10 Session control apparatus (CA)
11, 12 Terminals 13, 14, 34, 35, 36 Subscriber routers 15, 16 Relay router 20 Authentication router 30 Router control device (router OpS)
31, 32, 33 DoS attack terminal 100 Control unit 101 Unauthorized signal counter 102 DoS counter 103 Call volume counter 104 DDoS counter 105 Signal format / parameter check unit 106 Packet discard unit 107 Call volume restriction processing unit 108 Lockout processing unit 109 IP address notification Unit 110 call processing unit 300 control unit 301 CA notification reception unit 302 authentication server search unit 303 restriction command distribution unit

Claims (15)

IP網をコア網としたベアラ・制御分離型のネットワークにおいて、セッションを制御するセッション制御装置(以下、CA)に対し、ある攻撃元から機械的に連続送信してCAを高負荷にさせ、攻撃元以外の端末のセッション制御処理を不能にさせるDoS(Denial of Service)攻撃におけるDoS攻撃元検出方法であって、
前記CAに対するIPアドレス毎の所定監視期間の端末登録信号または/およびセッション確立要求信号数を第1カウンタによりカウントするステップと、
前記CAに対する端末登録信号または/およびセッション確立要求信号数を第2カウンタによりカウントし、所定監視期間中に予め定めた閾値を超えた場合に第3カウンタを起動するステップと、
前記CAに対するIPアドレス毎の、前記第1カウンタの監視期間よりも長い所定監視期間の端末登録信号または/およびセッション確立要求信号数を前記第3カウンタによりカウントするステップと、
前記第1カウンタおよび第3カウンタのいずれかで閾値以上(但し、第1カウンタの閾値>第3カウンタの閾値)になったIPアドレス元をDoS攻撃元と判断するステップと、
を有することを特徴とするDoS攻撃元検出方法。In a bearer / control-separated type network with the IP network as the core network, attacking the session control device (hereinafter referred to as CA) that controls the session mechanically continuously from a certain attack source to increase the load on the CA A DoS attack source detection method in a DoS (Denial of Service) attack that disables session control processing of terminals other than the original terminal,
Counting the number of terminal registration signals and / or session establishment request signals for a predetermined monitoring period for each IP address for the CA by a first counter;
Counting the number of terminal registration signals or / and session establishment request signals for the CA with a second counter, and starting a third counter when a predetermined threshold is exceeded during a predetermined monitoring period;
Counting the number of terminal registration signals and / or session establishment request signals for a predetermined monitoring period longer than the monitoring period of the first counter for each IP address for the CA by the third counter;
Determining an IP address source that is equal to or greater than a threshold value in any one of the first counter and the third counter (where the threshold value of the first counter> the threshold value of the third counter) as a DoS attack source;
A DoS attack source detection method characterized by comprising: 請求項1に記載のDoS攻撃元検出方法において、
前記第3カウンタを起動してからDoS攻撃元を検出するまでの間、セッション確立要求信号の総数を制限するステップを更に有することを特徴とするDoS攻撃元検出方法。The DoS attack source detection method according to claim 1,
The DoS attack source detection method further comprising the step of limiting the total number of session establishment request signals from when the third counter is activated until a DoS attack source is detected. 請求項1もしくは2に記載のDD according to claim 1 or 2 oo S攻撃元検出方法において、In the S attack source detection method,
前記CAに対するIPアドレス毎の所定監視期間のフォーマットやパラメータチェックが不正な信号数を第4カウンタによりカウントするステップを更に有し、A step of counting by a fourth counter the number of signals in which the format or parameter check of the predetermined monitoring period for each IP address for the CA is invalid,
前記第1カウンタ、第3カウンタ、第4カウンタのいずれかのカウンタで閾値以上になったIPアドレス元をDThe IP address source that has exceeded the threshold value in any of the first counter, the third counter, and the fourth counter is D oo S攻撃元と判断することを特徴とするDD characterized by being determined as an S attack source oo S攻撃元検出方法。S attack source detection method. IP網をコア網としたベアラ・制御分離型のネットワークにおいて、CAに対し、ある攻撃元から機械的に連続送信してCAを高負荷にさせ、攻撃元以外の端末のセッション制御処理を不能にさせるDIn a bearer / control-separated network with the IP network as the core network, the CA continuously increases the load by mechanically transmitting to a CA, making session control processing for terminals other than the attack source impossible. D oo S攻撃におけるDD in S attack oo S攻撃元検出方法であって、S attack source detection method,
前記CAに入力される端末登録信号またはおよびセッション確率要求信号のフォーマットおよびパラメータの異常をチェックするステップと、Checking the terminal registration signal or session probability request signal format and parameter anomaly input to the CA; and
前記チェックで異常が検出されなかった場合、前記CAに対するIPアドレス毎の所定監視期間の端末登録信号または/およびセッション確率要求信号数を第1カウンタによりカウントするステップと、If no abnormality is detected in the check, counting a terminal registration signal or / and a session probability request signal number in a predetermined monitoring period for each IP address for the CA by a first counter;
前記第1カウンタのカウント値が各IPアドレスについて予め定めた閾値以下の場合、前記CAに対する端末登録信号または/およびセッション確率要求信号数を第2カウンタによりカウントするステップと、Counting the number of terminal registration signals or / and session probability request signals for the CA with a second counter when the count value of the first counter is less than or equal to a predetermined threshold for each IP address;
前記チェックで異常が検出された場合、前記CAに対するIPアドレス毎の所定監視期間の前記フォーマットやパラメータが異常の不正な信号数を第4カウンタによりカウントするステップと、When an abnormality is detected in the check, a step of counting the number of illegal signals in which the format and parameters of the predetermined monitoring period for each IP address for the CA are abnormal by a fourth counter;
前記第2カウンタのカウント値が所定監視期間中に予め定めた閾値以下であれば所定の呼処理を実行し、閾値を超えた場合、セッション確率要求信号の総数を制限するステップと、Executing a predetermined call process if the count value of the second counter is equal to or less than a predetermined threshold value during a predetermined monitoring period, and limiting the total number of session probability request signals when the threshold value is exceeded;
前記第4カウンタのカウント値が予め定めた閾値以下の場合、当該不正な端末登録信号または/およびセッション確立要求信号のパケットを廃棄するステップと、If the count value of the fourth counter is less than or equal to a predetermined threshold, discarding the unauthorized terminal registration signal or / and session establishment request signal packet;
前記第1カウンタおよび第4カウンタのいずれかでのカウント値が閾値以上になった場合、前記閾値以上になったIPアドレス元をDos攻撃元と判断し、当該IPアドレスに対してロックアウト処理を行うステップと、When the count value in either the first counter or the fourth counter is equal to or greater than the threshold, the IP address source that is equal to or greater than the threshold is determined as the Dos attack source, and lockout processing is performed on the IP address. Steps to do,
を有することを特徴とするDD characterized by having oo S攻撃元検出方法。S attack source detection method. 請求項1ないし4のいずれか1項に記載のDoS攻撃元検出方法を実現する機能を備えることを特徴とするセッション制御装置。  A session control apparatus comprising a function for realizing the DoS attack source detection method according to any one of claims 1 to 4. 請求項5に記載のセッション制御装置の機能をコンピュータで実行するためのプログラム。  The program for performing the function of the session control apparatus of Claim 5 with a computer. 請求項5に記載のセッション制御装置の機能をコンピュータで実行するためのプログラムを記録した記録媒体。  A recording medium recording a program for executing the function of the session control device according to claim 5 on a computer. 請求項1乃至4のいずれか1項に記載のDoS攻撃元検出方法においてDoS攻撃を検出した際に、
CAがセッション制御中のサービスはそのまま処理を継続し、新規のセッション接続要求または端末登録要求はパケット廃棄により拒否するロックアウト処理を行うとともに、DoS攻撃元のIPアドレス情報をルータ制御装置(以下、ルータOpS)へ通知するステップと、
前記ルータOpSがIPアドレス情報からDoS攻撃元を収容している加入者ルータを選択し、該加入者ルータに該DoS攻撃元からのパケットを廃棄するフィルタリング規制コマンドを配布するステップと、
前記加入者ルータがフィルタリング規制コマンドに従い、DoS攻撃元からのパケットを廃棄するステップと、
を有することを特徴とするDoS攻撃阻止方法。When a DoS attack is detected in the DoS attack source detection method according to any one of claims 1 to 4,
The service for which the CA is in session control continues processing, lockout processing for rejecting a new session connection request or terminal registration request by discarding the packet, and the IP address information of the DoS attack source is obtained from the router control device (hereinafter, referred to as “CA”). The router OpS),
The router OpS selects a subscriber router accommodating the DoS attack source from the IP address information, and distributes a filtering restriction command for discarding a packet from the DoS attack source to the subscriber router;
Said subscriber router discarding a packet from a DoS attack source according to a filtering restriction command;
A DoS attack prevention method comprising: 請求項8記載のDoS攻撃阻止方法を実現する機能を備えることを特徴とするルータ制御装置。  A router control device comprising a function for realizing the DoS attack prevention method according to claim 8. 請求項9に記載のルータ制御装置の機能をコンピュータで実行するためのプログラム。  The program for performing the function of the router control apparatus of Claim 9 with a computer. 請求項9に記載のルータ制御装置の機能をコンピュータで実行するためのプログラムを記録した記録媒体。  The recording medium which recorded the program for performing the function of the router control apparatus of Claim 9 with a computer. 請求項1ないし4のいずれか1項に記載のDoS攻撃元検出方法においてDoS攻撃を検出した際、
CAが、セッション制御中のサービスはそのまま処理を継続し、新規のセッション接続要求または端末登録要求はパケット廃棄により拒否するロックアウト処理を行うとともに、DoS攻撃元のIPアドレス情報からDoS攻撃元を収容している加入者ルータを選択し、該加入者ルータにDoS攻撃元からのパケットを廃棄するフィルタリング規制コマンドを配布するステップと、
前記加入者ルータがフィルタリング規制コマンドに従いDoS攻撃元からのパケットを廃棄するステップと、
を有することを特徴とするDoS攻撃阻止方法。When a DoS attack is detected in the DoS attack source detection method according to any one of claims 1 to 4,
The CA continues to process the service under session control, performs a lockout process to reject a new session connection request or terminal registration request by discarding the packet, and accommodates the DoS attack source from the IP address information of the DoS attack source. Distributing a filtering restriction command for discarding a packet from a DoS attack source to the subscriber router;
Said subscriber router discarding a packet from a DoS attack source according to a filtering restriction command;
A DoS attack prevention method comprising: 請求項12に記載のDoS攻撃阻止方法を実現する機能を備えることを特徴とするセッション制御装置。  A session control apparatus comprising a function for realizing the DoS attack prevention method according to claim 12. 請求項13に記載のセッション制御装置の機能をコンピュータで実現するためのプログラム。  A program for realizing the function of the session control device according to claim 13 by a computer. 請求項13に記載のセッション制御装置の機能をコンピュータで実現するためのプログラムを記録した記録媒体。  A recording medium storing a program for realizing the function of the session control device according to claim 13 by a computer.
JP2003114578A 2003-04-18 2003-04-18 DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof Expired - Lifetime JP3928866B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003114578A JP3928866B2 (en) 2003-04-18 2003-04-18 DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003114578A JP3928866B2 (en) 2003-04-18 2003-04-18 DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof

Publications (2)

Publication Number Publication Date
JP2004320636A JP2004320636A (en) 2004-11-11
JP3928866B2 true JP3928866B2 (en) 2007-06-13

Family

ID=33474119

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003114578A Expired - Lifetime JP3928866B2 (en) 2003-04-18 2003-04-18 DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof

Country Status (1)

Country Link
JP (1) JP3928866B2 (en)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4421462B2 (en) * 2004-12-06 2010-02-24 三菱電機株式会社 Intrusion detection system and management device
US7515926B2 (en) 2005-03-30 2009-04-07 Alcatel-Lucent Usa Inc. Detection of power-drain denial-of-service attacks in wireless networks
US20090034527A1 (en) * 2005-04-13 2009-02-05 Bertrand Mathieu Method of combating the sending of unsolicited voice information
JP4545647B2 (en) 2005-06-17 2010-09-15 富士通株式会社 Attack detection / protection system
JP4654092B2 (en) * 2005-08-25 2011-03-16 日本電信電話株式会社 Attack protection method, system and program for SIP server
JP4687520B2 (en) * 2006-03-14 2011-05-25 沖電気工業株式会社 Exchange system and congestion control method thereof
JP2007267151A (en) * 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program for detecting abnormal traffic
JP4556981B2 (en) * 2007-09-28 2010-10-06 沖電気工業株式会社 Network monitoring apparatus and network monitoring method
JP4692557B2 (en) * 2008-02-21 2011-06-01 沖電気工業株式会社 Packet relay device
EP2112803B1 (en) * 2008-04-22 2013-12-18 Alcatel Lucent Attack protection for a packet-based network
JP5178573B2 (en) * 2009-02-17 2013-04-10 株式会社Kddi研究所 Communication system and communication method
JP4878630B2 (en) * 2009-03-25 2012-02-15 日本電信電話株式会社 Communication server and DoS attack prevention method
KR20150084970A (en) * 2012-11-22 2015-07-22 코닌클리즈케 케이피엔 엔.브이. System to detect behaviour in a telecommunications network
JP2017108210A (en) * 2015-12-07 2017-06-15 日本電気株式会社 Call processing system, call processing server, call processing method, call processing program, relay device, relay method and relay program
JP6743778B2 (en) 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 Receiver, monitor and computer program
JP7273875B2 (en) * 2021-03-03 2023-05-15 本田技研工業株式会社 Determination device, moving body, determination method and program
JP7494240B2 (en) 2022-03-30 2024-06-03 尚承科技股▲フン▼有限公司 AI-based network attack defense system and method

Also Published As

Publication number Publication date
JP2004320636A (en) 2004-11-11

Similar Documents

Publication Publication Date Title
JP3928866B2 (en) DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof
US20060075084A1 (en) Voice over internet protocol data overload detection and mitigation system and method
US8806630B2 (en) Methods and apparatus for intrusion protection in systems that monitor for improper network usage
KR101107742B1 (en) SIP Intrusion Detection and Response System for Protecting SIP-based Services
US8407342B2 (en) System and method for detecting and preventing denial of service attacks in a communications system
JP5745619B2 (en) Methods for adapting information system infrastructure security policies
JP4654092B2 (en) Attack protection method, system and program for SIP server
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
JP2013525927A5 (en)
CN106713216A (en) Flow processing method, device and system
CN111770090A (en) Single package authorization method and system
KR101042291B1 (en) System and method for detecting and blocking to distributed denial of service attack
US20060120284A1 (en) Apparatus and method for controlling abnormal traffic
JP4602158B2 (en) Server equipment protection system
JP4278593B2 (en) Protection method against application denial of service attack and edge router
JP2007267151A (en) Apparatus, method and program for detecting abnormal traffic
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR100818302B1 (en) Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol
KR101794746B1 (en) Method, firewall system and computer-readable recording medium for detecting intrusion of network
JP4878630B2 (en) Communication server and DoS attack prevention method
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
CN113890760B (en) Data packet processing method and device based on single packet authorization, electronic equipment and medium
JP2006023934A (en) Method and system for protecting against denial-of-service attack
JP2005286716A (en) Dos attack defending apparatus and defending method
JP2008252221A (en) DoS ATTACK/DEFENCE SYSTEM, AND ATTACK/DEFENCE METHOD AND DEVICE IN DoS ATTACK DEFENCE/SYSTEM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070228

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070301

R151 Written notification of patent or utility model registration

Ref document number: 3928866

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110316

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120316

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130316

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term