JP3984233B2 - ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム - Google Patents
ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム Download PDFInfo
- Publication number
- JP3984233B2 JP3984233B2 JP2004034508A JP2004034508A JP3984233B2 JP 3984233 B2 JP3984233 B2 JP 3984233B2 JP 2004034508 A JP2004034508 A JP 2004034508A JP 2004034508 A JP2004034508 A JP 2004034508A JP 3984233 B2 JP3984233 B2 JP 3984233B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transmission
- attack
- network
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 67
- 238000001514 detection method Methods 0.000 title claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 189
- 238000012545 processing Methods 0.000 claims description 41
- 230000003111 delayed effect Effects 0.000 description 16
- 230000007423 decrease Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000005259 measurement Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
Images
Description
「SYN cookies,"http://www.gcd.org/sengoku/docs/NikkeiLinux00-10/tcp-attack.ja.html" 」 「TCP/IPに対する攻撃,"http://cr.yp.to/syncookies.html"」 「FloodGuard,"http://www.netzentry.com/pdfs/netzentry whitepaper 7 15 03.pdf" 」
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するために、(イ)パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する更新手段と、(ロ)記憶手段に記憶される受信パケット情報に基づいて、記憶手段に登録される送信先のランキングを決定する決定手段と、(ハ)パケットを受信するときに、そのパケットの送信元の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ニ)制御手段の制御に関連付けて、記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、それらの送信先に対して攻撃が行われているのか否かを判断する判断手段とを備えるように構成する。
〔2−1〕攻撃の発生を検出してから、その攻撃を行っている攻撃元の識別に用いる記憶手段を構築する構成
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)検出手段の検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、記憶手段に登録される送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、検出手段の検出した送信先にパケットを送信している送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元の内の、検出手段の検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
0≦Ti+1 ≦Ti ≦Ti-1
の関係が成立するようにする。すなわち、ランキングの順位が高いほどTi は大きく、最小でも0とし、さらに2種類以上の時間になるように決めておく。また、先に受信したパケットの送信元アドレスがパケットランキング履歴記録部400のランキングにない場合には、遅延時間Ti を0とする。
100 ネットワークI/F部
200 パケットカウンタ部
300 パケットランキング処理部
400 パケットランキング履歴記録部
500 送出パケット遅延時間算出部
600 DDoS攻撃判断処理部
700 パケット送出遅延処理部
800 DDoS攻撃通知部
Claims (17)
- ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク攻撃検出方法であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信先に応じて、その受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、送信先に送信されるパケット量の変動を評価することで、送信先に対して攻撃が行われているのか否かを判断する過程とを備えることを、
特徴とするネットワーク攻撃検出方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク攻撃検出方法であって、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する過程と、
上記記憶手段に記憶される受信パケット情報に基づいて、上記記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、該送信先に対して攻撃が行われているのか否かを判断する過程とを備えることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2に記載のネットワーク攻撃検出方法において、
上記記憶手段は、上記受信パケット情報として、受信パケット量を記憶するように構成されることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2に記載のネットワーク攻撃検出方法において、
上記記憶手段は、上記受信パケット情報として、受信したパケットの持つ非アドレス項目値で区分けした受信パケット量を記憶するように構成されることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2ないし4のいずれか1項に記載のネットワーク攻撃検出方法において、
上記判断する過程では、上記記憶手段に登録される送信先の持つ上記ランキングの変動を評価することで、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することを、
特徴とするネットワーク攻撃検出方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
上記攻撃を受けている送信先を検出する過程と、
上記検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する過程と、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信元のランキングを決定する過程と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - 請求項7記載のネットワーク攻撃元識別方法において、
上記検出する過程は、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する第2の記憶手段に記憶される受信パケット情報を更新する過程と、
上記第2の記憶手段に記憶される受信パケット情報に基づいて、上記第2の記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記送信先ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記第2の記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、攻撃を受けている送信先を特定する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
上記攻撃を受けている送信先を検出する過程と、
パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する過程と、
上記記憶手段に記憶される受信パケット量に基づいて、上記検出した送信先にパケットを送信している送信元のランキングを決定する過程と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信元の内の、上記検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - 請求項9記載のネットワーク攻撃元識別方法において、
上記検出する過程は、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記送信先ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、攻撃を受けている送信先を特定する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク装置であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信先に応じて、その受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、送信先に送信されるパケット量の変動を評価することで、送信先に対して攻撃が行われているのか否かを判断する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク装置であって、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する手段と、
上記記憶手段に記憶される受信パケット情報に基づいて、上記記憶手段に登録される送信先のランキングを決定する手段と、
パケットを受信するときに、該パケットの送信元の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、該送信先に対して攻撃が行われているのか否かを判断する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
上記攻撃を受けている送信先を検出する手段と、
上記検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する手段と、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信元のランキングを決定する手段と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
上記攻撃を受けている送信先を検出する手段と、
パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する手段と、
上記記憶手段に記憶される受信パケット量に基づいて、上記検出した送信先にパケットを送信している送信元のランキングを決定する手段と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信元の内の、上記検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - 請求項1ないし5のいずれか1項に記載のネットワーク攻撃検出方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃検出プログラム。
- 請求項6ないし10のいずれか1項に記載のネットワーク攻撃元識別方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃元識別プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004034508A JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004034508A JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005229234A JP2005229234A (ja) | 2005-08-25 |
JP3984233B2 true JP3984233B2 (ja) | 2007-10-03 |
Family
ID=35003620
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004034508A Expired - Lifetime JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3984233B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
EP1999585A4 (en) * | 2006-03-03 | 2012-01-25 | New Jersey Tech Inst | BEHAVIOR-BASED TRANSPORT DIFFERENTIATION FOR DEFENSE AGAINST DISTRIBUTED SERVICE REFUSAL ATTACKS |
JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
EP3767926A3 (en) | 2010-12-27 | 2021-03-24 | FINEWELL Co., Ltd. | Incoming-talk unit |
KR101870750B1 (ko) * | 2017-12-28 | 2018-06-26 | 오픈스택 주식회사 | 패킷 전송 순서 재배열을 이용한 영상 인코딩 장치 및 그 동작 방법 |
-
2004
- 2004-02-12 JP JP2004034508A patent/JP3984233B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005229234A (ja) | 2005-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
AU2011305214B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
CN102763384B (zh) | 名誉阈值的自动调整 | |
US8677473B2 (en) | Network intrusion protection | |
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
JP6291135B2 (ja) | コネクション制御装置、コネクション制御方法およびコネクション制御プログラム | |
US20200067946A1 (en) | Network attack defense system and method | |
US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
CN106357660B (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
JP3984233B2 (ja) | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム | |
CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
Ďurčeková et al. | Detection of attacks causing network service denial | |
KR101103744B1 (ko) | 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 | |
CN114157441A (zh) | 请求处理系统、方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070607 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070703 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070705 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |