JP3984233B2 - ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム - Google Patents
ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム Download PDFInfo
- Publication number
- JP3984233B2 JP3984233B2 JP2004034508A JP2004034508A JP3984233B2 JP 3984233 B2 JP3984233 B2 JP 3984233B2 JP 2004034508 A JP2004034508 A JP 2004034508A JP 2004034508 A JP2004034508 A JP 2004034508A JP 3984233 B2 JP3984233 B2 JP 3984233B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transmission
- attack
- network
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 67
- 238000001514 detection method Methods 0.000 title claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 189
- 238000012545 processing Methods 0.000 claims description 41
- 230000003111 delayed effect Effects 0.000 description 16
- 230000007423 decrease Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000005259 measurement Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
Images
Description
本発明は、ネットワーク上に存在する装置に対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク攻撃検出方法と、その攻撃の攻撃元を識別するネットワーク攻撃元識別方法と、そのネットワーク攻撃検出方法やネットワーク攻撃元識別方法の実現に用いられるネットワーク装置と、そのネットワーク攻撃検出方法の実現に用いられるネットワーク攻撃検出プログラムと、そのネットワーク攻撃元識別方法の実現に用いられるネットワーク攻撃元識別プログラムとに関する。
ネットワークに接続されている1つ以上の端末が、別の1つ以上の端末やサーバなどに不必要なパケットを送信することにより、パケットの送信先の端末がネットワークに接続して行っているサービスなどを妨害する分散サービス停止攻撃(DDoS攻撃)が行われている。
このDDoS攻撃を検出する方法や、DDoS攻撃を行っている端末を識別するための方法として、DDoS攻撃の標的に向けて送られているパケットを測定し、異常な特徴を見つけ出す方法がある。
この異常な特徴を見つけ出す方法としては、通常の通信で行われるプロトコルの手順に違反したものを見つける方法(例えば、SYN Flood を見つけるために、SYN とその返答であるSYN /ACKとの数量の差を検出する方法)や、過去のトラヒック状態と比べて異常な状態であるかを比較するアノーマリー検出などがある。
下記に示す非特許文献1や非特許文献2には、SYN Flood 攻撃対策の一つであるSYN クッキーに関する技術が記載されている。
また、下記に非特許文献3に記載されるように、NetZentry 社の FloodGuard では、DDoS攻撃のパケットの送信元を識別するための方法(TCP Back-Offアルゴリズム)を用いている。この方法は、DDoS攻撃が行われている標的サーバに向けて送られているパケットを全て遮断し、その遮断した後にも特定のサーバ向けに送られているパケットの観測を続け、その観測したパケットの送信挙動から攻撃元を識別するという方法である。
「SYN cookies,"http://www.gcd.org/sengoku/docs/NikkeiLinux00-10/tcp-attack.ja.html" 」 「TCP/IPに対する攻撃,"http://cr.yp.to/syncookies.html"」 「FloodGuard,"http://www.netzentry.com/pdfs/netzentry whitepaper 7 15 03.pdf" 」
「SYN cookies,"http://www.gcd.org/sengoku/docs/NikkeiLinux00-10/tcp-attack.ja.html" 」 「TCP/IPに対する攻撃,"http://cr.yp.to/syncookies.html"」 「FloodGuard,"http://www.netzentry.com/pdfs/netzentry whitepaper 7 15 03.pdf" 」
しかしながら、従来から使われているアノーマリー検出は、DDoS攻撃の検出やDDoS攻撃元の識別を試みている時点よりも過去のトラヒックの特徴と比較することで、正常状態と異常状態とを区別しようとする方法であり、DDoS攻撃の検出やDDoS攻撃元の識別を試みている時点の端末やサーバの挙動とは直接関係のない基準を用いている。
これから、正規の利用者が短時間に大量にサーバにアクセスをするといったDDoS攻撃ではない状態でも、過去の特徴とは異なるという理由でDDoS攻撃として検出してしまうことがある(問題1)。
また、DDoS攻撃を行っている端末を識別しようとするTCP Back-Offアルゴリズムでは、DDoS攻撃が行われているとみなしたサーバ向けに送られているパケットを全て遮断する。この際には、DDoS攻撃のパケットを遮断するが、通常にサーバにアクセスしてサービスを利用しようとしている正規の利用者のパケットについても同様に遮断してしまうことになる。
これから、正規の利用者からのパケットがサーバに届かないために、サーバからはサービスを提供するためのパケットが返送されてくることはなくなるので、結局、正規の利用者はサーバのサービスを享受することができなくなる(問題2)。
本発明はかかる事情に鑑みてなされたものであって、パケットの転送を止めることなく、さらに、過去のトラヒックと現在のトラヒックとの単純比較によらずに、DDoS攻撃などのネットワーク攻撃の発生を検出できるようにするとともに、DDoS攻撃などのネットワーク攻撃を行っている攻撃元を識別できるようにする新たな技術の提供を目的とする。
〔1〕ネットワーク攻撃の発生を検出する機能を有する本発明のネットワーク装置の構成
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するために、(イ)パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する更新手段と、(ロ)記憶手段に記憶される受信パケット情報に基づいて、記憶手段に登録される送信先のランキングを決定する決定手段と、(ハ)パケットを受信するときに、そのパケットの送信元の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ニ)制御手段の制御に関連付けて、記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、それらの送信先に対して攻撃が行われているのか否かを判断する判断手段とを備えるように構成する。
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するために、(イ)パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する更新手段と、(ロ)記憶手段に記憶される受信パケット情報に基づいて、記憶手段に登録される送信先のランキングを決定する決定手段と、(ハ)パケットを受信するときに、そのパケットの送信元の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ニ)制御手段の制御に関連付けて、記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、それらの送信先に対して攻撃が行われているのか否かを判断する判断手段とを備えるように構成する。
この構成を採るときに、記憶手段は、受信パケット情報として、受信パケット量を記憶するように構成されたり、受信したパケットの持つ非アドレス項目値で区分けした受信パケット量を記憶するように構成されることがある。
また、判断手段は、記憶手段に登録される送信先の持つランキングの変動を評価することで、記憶手段に登録される送信先に送信されるパケット量の変動を評価することがある。
以上の各処理手段が動作することで実現される本発明のネットワーク攻撃検出方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供されたり、ネットワークを介して提供され、本発明を実施する際にインストールされてCPUなどの制御手段上で動作することにより本発明を実現することになる。
このように構成される本発明のネットワーク装置では、更新手段の処理に従って、送信先で区分けした受信パケット情報(受信パケット量や、受信したパケットの持つ非アドレス項目値で区分けした受信パケット量など)について記憶する記憶手段が構築されることになる。
この記憶手段の記憶する受信パケット情報を受けて、決定手段は、例えば、受信パケット量の多いほど高いランキングを与えるという形で、記憶手段に記憶される受信パケット情報に基づいて、記憶手段に登録される送信先のランキングを決定する。
このランキングの決定を受けて、制御手段は、パケットを受信するときに、そのパケットの送信元の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する。例えば、高いランキングの送信元ほど長い遅延時間を設定して、それに従って受信したパケットを遅延させて送出するというように、パケットの受信から送出までの遅延時間を制御するのである。
このような制御が行われると、パケット発行元が正規の利用者である場合には、送信したパケットの返送が遅れてくることになるので、送信するパケット量が減少することになるのに対して、パケット発行元が攻撃者である場合には、送信したパケットの返送に関係なくパケットを送信してくるので、送信するパケット量が変動しないことになる。
これから、判断手段は、この制御に関連付けて、記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、それらの送信先に対して攻撃が行われているのか否かを判断する。
このようにして、本発明のネットワーク攻撃検出方法は、送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信先に応じて、その受信から送出までの遅延時間を制御する構成を採って、その制御に関連付けて、送信先に送信されるパケット量の変動を評価することで、送信先に対して攻撃が行われているのか否かを判断するように処理するのである。
〔2〕ネットワーク攻撃の攻撃元を識別する機能を有する本発明のネットワーク装置の構成
〔2−1〕攻撃の発生を検出してから、その攻撃を行っている攻撃元の識別に用いる記憶手段を構築する構成
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)検出手段の検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、記憶手段に登録される送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
〔2−1〕攻撃の発生を検出してから、その攻撃を行っている攻撃元の識別に用いる記憶手段を構築する構成
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)検出手段の検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、記憶手段に登録される送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
この構成を採るときに、検出手段は、前述した本発明のネットワーク攻撃検出方法を使って、攻撃を受けている送信先を検出することがあり、この場合には、(イ)パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する第2の記憶手段に記憶される受信パケット情報を更新し、(ロ)第2の記憶手段に記憶される受信パケット情報に基づいて、第2の記憶手段に登録される送信先のランキングを決定し、(ハ)パケットを受信するときに、そのパケットの送信元の持つ送信先ランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御し、(ニ)その制御に関連付けて、第2の記憶手段に登録される送信先に送信されるパケット量の変動を評価する(例えば、送信先のランキングの変動で評価する)ことで、攻撃を受けている送信先を特定するように処理することになる。
以上の各処理手段が動作することで実現される本発明のネットワーク攻撃元識別方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供されたり、ネットワークを介して提供され、本発明を実施する際にインストールされてCPUなどの制御手段上で動作することにより本発明を実現することになる。
このように構成される本発明のネットワーク装置では、検出手段が攻撃を受けている送信先を検出すると、更新手段の処理に従って、その攻撃を受けている送信先を記録対象として、送信元で区分けした受信パケット量について記憶する記憶手段が構築されることになる。
この記憶手段の記憶する受信パケット量を受けて、決定手段は、例えば、受信パケット量の多いほど高いランキングを与えるという形で、記憶手段に記憶される受信パケット量に基づいて、記憶手段に登録される送信元のランキングを決定する。
このランキングの決定を受けて、制御手段は、攻撃を受けている送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する。例えば、高いランキングの送信先ほど長い遅延時間を設定して、それに従って受信したパケットを遅延させて送出するというように、パケットの受信から送出までの遅延時間を制御するのである。
このような制御が行われると、パケット発行元が正規の利用者である場合には、送信したパケットの返送が遅れてくることになるので、送信するパケット量が減少することになるのに対して、パケット発行元が攻撃者である場合には、送信したパケットの返送に関係なくパケットを送信してくるので、送信するパケット量が変動しないことになる。
これから、識別手段は、この制御に関連付けて、記憶手段に登録される送信元から送信されるパケット量の変動を評価することで、攻撃を行っている送信元を識別する。
このようにして、本発明のネットワーク攻撃元識別方法は、送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する構成を採って、その制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別するように処理するのである。
〔2−2〕攻撃の発生を検出する前から、その攻撃を行っている攻撃元の識別に用いる記憶手段を構築する構成
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、検出手段の検出した送信先にパケットを送信している送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元の内の、検出手段の検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
本発明のネットワーク装置は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するために、(イ)攻撃を受けている送信先を検出する検出手段と、(ロ)パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する更新手段と、(ハ)記憶手段に記憶される受信パケット量に基づいて、検出手段の検出した送信先にパケットを送信している送信元のランキングを決定する決定手段と、(ニ)検出手段の検出した送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する制御手段と、(ホ)制御手段の制御に関連付けて、記憶手段に登録される送信元の内の、検出手段の検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価する(例えば、送信元のランキングの変動で評価する)ことで、攻撃の送信元を識別する識別手段とを備えるように構成する。
この構成を採るときに、検出手段は、前述した本発明のネットワーク攻撃検出方法を使って、攻撃を受けている送信先を検出することがあり、この場合には、(イ)記憶手段に記憶される受信パケット量に基づいて、記憶手段に登録される送信先のランキングを決定し、(ロ)パケットを受信するときに、そのパケットの送信元の持つ送信先ランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御し、(ハ)その制御に関連付けて、記憶手段に登録される送信先に送信されるパケット量の変動を評価する(例えば、送信先のランキングの変動で評価する)ことで、攻撃を受けている送信先を特定するように処理することになる。
以上の各処理手段が動作することで実現される本発明のネットワーク攻撃元識別方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供されたり、ネットワークを介して提供され、本発明を実施する際にインストールされてCPUなどの制御手段上で動作することにより本発明を実現することになる。
このように構成される本発明のネットワーク装置では、更新手段の処理に従って、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段が構築されることになる。
これから、決定手段は、検出手段が攻撃を受けている送信先を検出すると、例えば、受信パケットの多いほど高いランキングを与えるという形で、記憶手段に記憶される受信パケット量に基づいて、攻撃を受けている送信先にパケットを送信している送信元のランキングを決定する。
このランキングの決定を受けて、制御手段は、攻撃を受けている送信先から返送されるパケットを受信するときに、そのパケットの送信先の持つランキングに基づいて、そのパケットの受信から送出までの遅延時間を制御する。例えば、高いランキングの送信先ほど長い遅延時間を設定して、それに従って受信したパケットを遅延させて送出するというように、パケットの受信から送出までの遅延時間を制御するのである。
このような制御が行われると、パケット発行元が正規の利用者である場合には、送信したパケットの返送が遅れてくることになるので、送信するパケット量が減少することになるのに対して、パケット発行元が攻撃者である場合には、送信したパケットの返送に関係なくパケットを送信してくるので、送信するパケット量が変動しないことになる。
これから、識別手段は、この制御に関連付けて、記憶手段に登録される送信元の内の、攻撃を受けている送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価することで、攻撃を行っている送信元を識別する。
このようにして、本発明のネットワーク攻撃元識別方法は、送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する構成を採って、その制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別するように処理するのである。
以上に説明したように、本発明によれば、パケットの転送を止めることなく、さらに、端末の送信挙動をふまえた過去のトラヒックと現在のトラヒックとの比較を用いることで、過去のトラヒックと現在のトラヒックとの単純比較によらずに、DDoS攻撃などのネットワーク攻撃の発生を検出できるようになるとともに、DDoS攻撃などのネットワーク攻撃を行っている端末を識別できるようになる。
本発明は、本発明を具備するネットワーク装置を通過するパケットを測定して、その測定した結果に基づいて、パケットを受信してから送信するまでの時間を任意に調整することにより、従来技術の持つ問題を解決しながら、DDoS攻撃が発生していることを検出することを可能にするとともに、DDoS攻撃を行っている端末を識別することを可能にするものである。
本発明を具備するネットワーク装置では、通過するパケット量をパケットのヘッダ項目ごとに計測する。その計測した結果を利用してDDoS攻撃の検出を行う場合には、まず、パケットの宛先アドレス(IPアドレスのこともあるし、ネットワークアドレスのこともある)ごとにパケット量の多少によって宛先アドレスをn(n:2以上の整数)種類のランキングに分類する。
このn種類のランキングへの分類は、DDoS攻撃の検出を試みている期間内は継続的に実施する。また、n種類のランキングに分類する方法としては、最初からnの数値を固定的に決めておいてもよいし、測定した宛先アドレスごとのパケットの測定結果を利用してnの数値を決めてもよい。
次に、本発明を具備するネットワーク装置がパケットを受信した際に、そのパケットの送信元アドレスを取り出し、その取り出した送信元アドレスが、先に分類した宛先アドレスのn種類のランキングに含まれているのか否かを調べて、調べた結果、該当するアドレスが見つかった場合には、どのランキングに該当するのかを基準にしてそのパケットの送出を遅らせる。
このとき、宛先アドレスごとのパケット量の測定結果が多いランキングに含まれるアドレスほどパケットの送出を遅らせる時間が大きく、宛先アドレスごとのパケット量の測定結果が少ないランキングに含まれるアドレスほどパケットの送出を遅らせる時間が小さくなるように制御する。
したがって、ある端末とその端末がアクセスしているあるサーバとの間の通信に着目すると、端末からサーバ宛に送られるパケットが本発明を具備するネットワーク装置を通過する全パケットの中で相対的に多いほど、サーバから端末へ送られるパケットの遅延時間が大きくなる。
端末がサーバからの応答を受けてから再度サーバへのアクセスをするような相互関係を持っている場合、本発明を具備するネットワーク装置で意図的にサーバから端末への応答を遅延させることによって、端末とサーバとの間で行われている相互の通信が遅れることになる。
すなわち、先に分類されたn種類のランキングで上位に分類された宛先アドレスほど、端末とサーバとの応答が遅延することによってサーバ向けのパケットが減ることになり、この結果、そのサーバのアドレスを宛先アドレスにしているパケット量は次第に減少する。これによって、最初は宛先アドレスごとのパケット量のランキングで上位に分類されていたアドレスは、ランキングが下がることになる。
一方、DDoS攻撃は一般にサーバのサービスを停止させることを目的として大量のパケットを送信するため、サーバからの応答の如何に関わらず大量のパケットをサーバに送り続けることが特徴である。
このような端末からサーバへの通信が行われている場合、宛先アドレスごとのパケット量の測定結果のランキングに基づいて、宛先アドレスが送信元となっているパケットの送出を本発明を具備するネットワーク装置において遅らせたとしても、それとは無関係にサーバに向かってパケットを送信し続けている端末、すなわち、サーバからの応答を待たずにパケットを送信し続けている端末が送信しているパケットの宛先アドレスのランキングは下がらない。
正規の利用者の端末とDDoS攻撃を行っている端末とでは、このようなランキングの変化の違いが現れるため、本発明を具備するネットワーク装置において送出を意図的に遅らせたアドレスのランキングが変化しない場合には、DDoS攻撃であるとして検出することが可能になる。
本発明によって、DDoS攻撃を行っている端末を識別しようとする場合には、本発明を具備するネットワーク装置で計測したパケットのヘッダ項目ごとのパケット量のうち、宛先アドレス以外の項目(送信元のアドレスなど)ごとに、前述した宛先アドレスの場合のように2種類以上のランキングを作成し分類する。例えば、送信元アドレスをm(m:2以上の整数)種類のランキングに分類する。
次に、本発明を具備するネットワーク装置がパケットを受信した際に、そのパケットの宛先アドレスを取り出し、その取り出した宛先アドレスが、先に分類した送信元アドレスのm種類のランキングに含まれているのか否かを調べて、調べた結果、該当するアドレスが見つかった場合には、どのランキングに該当するのかを基準にしてそのパケットの送出を遅らせる。
このとき、送信元アドレスごとのパケット量の測定結果が多いランキングに含まれるアドレスほどパケットの送出を遅らせる時間が大きく、送信元アドレスごとのパケット量の測定結果が少ないランキングに含まれるアドレスほどパケットの送出を遅らせる時間が小さくなるように制御する。
この結果、前述のDDoS攻撃の検出を行うために送信先アドレスの分類とそれに基づくパケット送出の遅延を行った場合と同様に、ある端末からサーバ宛に送られるパケットが本発明を具備するネットワーク装置を通過する全パケットの中で相対的に多いほど、サーバからその端末へ送られるパケットの遅延時間が大きくなる。
端末がサーバからの応答を受けてから再度サーバへのアクセスをするような相互関係を持っている場合、本発明を具備するネットワーク装置で意図的にサーバから端末への応答を遅延させることによって、端末とサーバとの間で行われている相互の通信が遅れることになる。すなわち、先に分類されたm種類のランキングで上位に分類された送信元アドレスほど、端末とサーバとの応答が遅延することによってサーバ向けのパケットが減ることになり、この結果、その端末のアドレスを送信元アドレスにしているパケット量は次第に減少する。
これによって、最初は送信元アドレスごとのパケット量のランキングで上位に分類されていたアドレスは、ランキングが下がることになるが、DDoS攻撃を行っている端末からのパケットは減少しないためランキングは下がらない。この違いによって、DDoS攻撃を行っている端末とそうでない端末とを識別することが可能になる。
以下、実施例に従って本発明を詳細に説明する。
図1に、本発明の一実施例として、本発明を具備するネットワーク装置30およびルータにより、端末11〜14、サーバ21〜23が接続されているネットワークの一例を図示する。
ここで、端末11〜14は、サーバ21〜23へネットワークを経由してアクセスすることができる。
図2に、本発明を具備するネットワーク装置30の装置構成の一例を図示する。
この図に示すネットワーク装置30は、ネットワークI/F部100、パケットカウンタ部200、パケットランキング処理部300、パケットランキング履歴記録部400、送出パケット遅延時間算出部500、DDoS攻撃判断処理部600、パケット送出遅延処理部700、DDoS攻撃通知部800で構成される。
図3に、ネットワーク装置30の備えるパケットランキング履歴記録部400のデータ構造の一例を図示する。
この図に示すパケットランキング履歴記録部400は、DDoS攻撃の発生の有無を検出するために用意されるものであって、これまでに受信・送出したパケットの宛先アドレス(送信先アドレス)に対応付けて、その宛先アドレスに向けて受信・送出したパケットの数を記録するとともに、そのパケット数により決定された各宛先アドレスのランキング(例えばパケット数の降順に決定される)の履歴情報を記録する。
ここで、この図に示すパケットランキング履歴記録部400では、ネットワーク上の装置に対する攻撃を検出することを想定していることから、宛先アドレスとして、IPアドレスを使ってパケット数を記録するようにしているが、ネットワークに対する攻撃を検出する場合には、図4に示すように、宛先アドレスとして、ネットワークアドレスを使ってパケット数を記録するという構成を採ることになる。
ネットワーク装置30は、このようなデータ構造を持つパケットランキング履歴記録部400を備えており、パケットカウンタ部200は、パケットランキング履歴記録部400に記録されるパケット数を更新する処理を行ない、パケットランキング処理部300は、パケットランキング履歴記録部400に記録されるパケット数に基づいて宛先アドレスのランキングを決定して、パケットランキング履歴記録部400に記録されるランキング履歴を更新する処理を行ない、送出パケット遅延時間算出部500は、パケットランキング履歴記録部400に記録される最新のランキングに従って、受信・送出するパケットの遅延時間を算出する処理を行うことになる。
このパケットランキング履歴記録部400については、図5に示すような形でネットワーク装置30に1つ備えられることもあるが、対となるネットワークインタフェースとの間の方向を考えて、例えば2つというように、図6に示すような形でネットワーク装置30に複数備えられることもある。
図7に、ネットワーク装置30において実行されるDDoS攻撃の検出処理の処理フローの一例を図示する。
次に、この処理フローに従って、ネットワーク装置30において実行されるDDoS攻撃の検出処理について説明する。
ネットワーク装置30は、まず、ネットワークI/F部100で、パケットを受信する(S10)。
続いて、パケットカウンタ部200で、この受信したパケットについて宛先アドレスを調べ、パケットランキング履歴記録部400の宛先アドレス欄に、その宛先アドレスが登録されている場合には、その宛先アドレスのパケット数を1つインクリメントし、その宛先アドレスが登録されていない場合には、宛先アドレス欄に、その宛先アドレスが入ったランキングを作成してパケット数として1を登録するとともに、ランキング履歴として0を登録する(S11)。
この処理が終わると、後述するパケットランキング処理(図8の処理:パケットランキング処理部300が実行する)によって、パケットランキング履歴記録部400を最新状態にする(S12)。
パケットランキング処理が終了した後は、送出パケット遅延時間算出部500の処理と、後述するDDoS攻撃判断処理部600の処理(図9の処理)とを並行して進める。
送出パケット遅延時間算出部500では、先に受信したパケットの送信元アドレスがパケットランキング履歴記録部400の宛先アドレス欄の何番目に該当するのかを調べ、このランキングの値をiにして遅延時間Ti(i=1,2,・・・,n)を算出する(S13)。
このTi はn種類が全て違っても、一部同じであっても構わないが、
0≦Ti+1 ≦Ti ≦Ti-1
の関係が成立するようにする。すなわち、ランキングの順位が高いほどTi は大きく、最小でも0とし、さらに2種類以上の時間になるように決めておく。また、先に受信したパケットの送信元アドレスがパケットランキング履歴記録部400のランキングにない場合には、遅延時間Ti を0とする。
0≦Ti+1 ≦Ti ≦Ti-1
の関係が成立するようにする。すなわち、ランキングの順位が高いほどTi は大きく、最小でも0とし、さらに2種類以上の時間になるように決めておく。また、先に受信したパケットの送信元アドレスがパケットランキング履歴記録部400のランキングにない場合には、遅延時間Ti を0とする。
ここで、このように遅延時間Ti をランキングに応じて変えるのは、ランキングが低くなる正規の利用者に対して、できる限りパケットを遅延させないで返送するようにするからである。
続いて、パケット送出遅延処理部700で、パケットを受信してからの時間がTi 経過するのを待つ(S14)。
そして、パケットを受信してからの時間がTi 経過すると、ネットワークI/F部100からパケットを送出する(S15)。
次に、図8に従って、パケットランキング処理部300が実行するパケットランキング処理(図7のS12の処理)について説明する。
パケットランキング処理部300は、まず、パケットランキング履歴記録部400の受信パケット数の項目をキーとした降順のソート処理を行ない、パケットランキング履歴記録部400のランキングを最新なものにする(S20)。
続いて、パケットランキング履歴記録部400のランキング履歴欄の一番目の値とその時点のランキングとを比較し、違う場合、すなわちソート処理の前後でランキングが変化している項目がある場合には、ランキング履歴欄の一番目に現在のランキング番号を入れ、それまでの1〜α番目までのランキング履歴を一つずつ古い履歴にずらす。このとき、α番目の履歴があった場合には、その値を破棄する(S21)。
パケットランキング処理が終了すると、図7で説明したS13〜S15の処理と、これから説明するDDoS攻撃判断処理部600の処理とが並行して実行されることになる(S22)。
ここで、本実施例ではパケットを受信するたびに、このパケットランキング処理を実施するようにしているが、複数のパケットを受信してから実施してもよいし、一定の時間ごとに実施してもよい。
次に、図9に従って、DDoS攻撃判断処理部600が実行するDDoS攻撃判断処理について説明する。
DDoS攻撃判断処理部600は、まず、パケットランキング履歴記録部400の項目(宛先アドレス)をランキング1の項目から順に1つ選択してランキング履歴を調べ(S30)、項目ごとにランキング履歴がDDoS攻撃検出条件に合致しているのかどうかを判断する(S31)。
このDDoS攻撃検出条件は、ランキングの上位に位置していて、かつ、ランキングが下がらないものを見つけ出す条件として記述されるもので、例えば、ランキング5以上で、かつ3回以上連続してランキングが同等あるいは上昇しているものといったもので記述される。この攻撃検出条件の場合、図3の例では、宛先アドレス“201.201.10.3”が、このDDoS攻撃検出条件に合致することなる。
DDoS攻撃検出条件に合致していることを判断する場合には、DDoS攻撃通知部800がDDoS攻撃を検出したことを外部に通知する(S32)。
続いて、ランキング履歴チェックの終了条件(例えば、あるランキングまで到達したといった終了条件)に合致したのか否かを判断して、ランキング履歴チェックの終了条件に合致しない場合には、次の項目(宛先アドレス)を調べるべくS30に戻り、ランキング履歴チェックの終了条件に合致した場合には、処理を終了する。
このようにして、本発明のネットワーク装置30は、例えば、アドレスaaaを持つ端末がアドレスAAAを持つサーバにパケットを送信して、その返送のパケットを受信する場合、図10に示すように、端末からサーバに送信されるパケット(宛先アドレス:AAA,送信元アドレス:aaa)に従って、パケットランキング履歴記録部400に記録される宛先アドレスAAAの受信パケット数を更新し、その受信パケット数に応じたランキングの規定する遅延時間に従って、サーバから端末に返送されるパケット(宛先アドレス:aaa,送信元アドレス:AAA)を遅延させていくように処理する。
このような場合に、アドレスaaaを持つ端末がDDoS攻撃を行っている場合には、返送パケットが遅延することになっても、アドレスaaaを持つ端末は次々と攻撃用のパケットを送信してくるので、アドレスAAAを持つサーバのランキングは高いまま変動しないことになる。
本発明のネットワーク装置30は、このような状態を検出することにより、アドレスAAAを持つサーバがDDoS攻撃を受けていることを検出するのである。
なお、本発明のネットワーク装置30は、パケットを受信するときには、図5に示したように、遅延を行わないことを含めて、ランキングの更新と受信パケットの遅延との双方の処理を行うことになるが、図10では、説明を分かりやすいものとするために、一方の処理のみを行うことで説明している。
図3に示したパケットランキング履歴記録部400では、これまでに受信・送出したパケットの宛先アドレスに対応付けて、その宛先アドレスに向けて受信・送出したパケットの数を記録するという構成を採っているが、図11に示すように、パケットに設定されるTTL(time to live:生存時間)などで区分けする形で、その宛先アドレスに向けて受信・送出したパケットの数を記録するという構成を採ってもよい。
DDoS攻撃に用いられるパケットについては、TTLやウィンドウサイズ(送達の確認なしに連続して送受信できるデータ量)に特徴のあることが多く、これから、パケットに設定されるTTLやウィンドウサイズなどで区分けする形で、宛先アドレスに向けて受信・送出したパケットの数を記録するという構成を採ると、DDoS攻撃の発生をより正確に検出することができるようになるからである。
パケットランキング履歴記録部400が図11に示すようなデータ構造を持つ場合には、例えば、突出したTTLを持つ受信パケット量を、その宛先アドレスの受信パケット量と見なして前述のランキングを行うことになる。
図12に、DDoS攻撃の攻撃元を識別するために用意されるパケットランキング履歴記録部400のデータ構造の一例を図示する。
この図に示すように、パケットランキング履歴記録部400は、DDoS攻撃の攻撃元を識別する場合には、これまでに受信・送出したパケットの宛先アドレスと、それらのパケットの送信元のアドレスとの組み合わせに対応付けて、その送信元アドレスからその宛先アドレスに向けて受信・送出したパケットの数を記録するとともに、そのパケット数により決定された各送信元アドレスのランキングの履歴情報を記録し、さらに、前述したDDoS攻撃の発生を検出するために、宛先アドレスごとの受信パケット数の総数を記録するという構成を採ることになる。
ネットワーク装置30は、DDoS攻撃の攻撃元を識別する場合には、前述した処理に従ってDDoS攻撃を受けている装置(ネットワークのこともある)を検出すると、パケットランキング履歴記録部400の記録データに従い、その攻撃を受けている装置の宛先アドレスに対応付けられる送信元アドレスの受信パケット数に基づいて、それらの送信元アドレスのランキングを決定して、そのランキングに基づいて、それらの送信元アドレスを宛先アドレスとするパケット(返送パケット)を受け取る場合に、ランキングの上位にあるアドレスほど遅延時間が大きくなるようにと決定して、パケットを遅延させて送出する。
そして、このようなパケット送出の遅延を行っても、受信パケット数のランキングが下がらない送信元アドレスを持つ端末を攻撃を行っている端末として識別する。
すなわち、本発明のネットワーク装置30は、例えば、アドレスAAAを持つサーバがDDoS攻撃を受けていることを検出すると、図13に示すように、そのサーバからアドレスaaaを持つ端末に返送されるパケットを受け取るときに、パケットランキング履歴記録部400に記録される宛先アドレスAAA/送信元アドレスaaaの指す受信パケット数により決定されたランキングの規定する遅延時間に従って、そのパケットを遅延させていくように処理するのである。
このような場合に、アドレスaaaを持つ端末がDDoS攻撃を行っている場合には、返送パケットが遅延することになっても、次々と攻撃用のパケットを送信してくるので、アドレスaaaを持つ端末のランキングは高いまま変動しないことになる。
本発明のネットワーク装置30は、このような状態を検出することにより、アドレスaaaを持つ端末がDDoS攻撃を行っていることを識別するのである。
なお、本発明のネットワーク装置30は、パケットを受信するときには、図5に示したように、遅延を行わないことを含めて、ランキングの更新と受信パケットの遅延との双方の処理を行うことになるが、図13では、説明を分かりやすいものとするために、一方の処理のみを行うことで説明している。
図12では、DDoS攻撃の発生の検出とその攻撃元の識別との双方の処理に用いられるデータ構造を持つパケットランキング履歴記録部400について示したが、図3に示したデータ構造を持つパケットランキング履歴記録部400を使って、DDoS攻撃の発生の検出した後に、その攻撃を受けているサーバにパケットを送信している送信元アドレスを記録対象として、その送信元アドレスごとの受信パケット数について記録する図14に示すようなデータ構造を持つ別のパケットランキング履歴記録部の作成に入って、それを作成し、その記録する受信パケット数に基づいて、それらの送信元アドレスのランキングを決定するという方法を用いることも可能である。
この方法を用いると、DDoS攻撃の発生の検出した後、直ちにその攻撃元を識別することができないものの、図12に示すような大容量のパケットランキング履歴記録部400を用意する必要がないという利点が得られることになる。
30 ネットワーク装置
100 ネットワークI/F部
200 パケットカウンタ部
300 パケットランキング処理部
400 パケットランキング履歴記録部
500 送出パケット遅延時間算出部
600 DDoS攻撃判断処理部
700 パケット送出遅延処理部
800 DDoS攻撃通知部
100 ネットワークI/F部
200 パケットカウンタ部
300 パケットランキング処理部
400 パケットランキング履歴記録部
500 送出パケット遅延時間算出部
600 DDoS攻撃判断処理部
700 パケット送出遅延処理部
800 DDoS攻撃通知部
Claims (17)
- ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク攻撃検出方法であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信先に応じて、その受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、送信先に送信されるパケット量の変動を評価することで、送信先に対して攻撃が行われているのか否かを判断する過程とを備えることを、
特徴とするネットワーク攻撃検出方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク攻撃検出方法であって、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する過程と、
上記記憶手段に記憶される受信パケット情報に基づいて、上記記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、該送信先に対して攻撃が行われているのか否かを判断する過程とを備えることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2に記載のネットワーク攻撃検出方法において、
上記記憶手段は、上記受信パケット情報として、受信パケット量を記憶するように構成されることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2に記載のネットワーク攻撃検出方法において、
上記記憶手段は、上記受信パケット情報として、受信したパケットの持つ非アドレス項目値で区分けした受信パケット量を記憶するように構成されることを、
特徴とするネットワーク攻撃検出方法。 - 請求項2ないし4のいずれか1項に記載のネットワーク攻撃検出方法において、
上記判断する過程では、上記記憶手段に登録される送信先の持つ上記ランキングの変動を評価することで、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することを、
特徴とするネットワーク攻撃検出方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
上記攻撃を受けている送信先を検出する過程と、
上記検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する過程と、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信元のランキングを決定する過程と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - 請求項7記載のネットワーク攻撃元識別方法において、
上記検出する過程は、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する第2の記憶手段に記憶される受信パケット情報を更新する過程と、
上記第2の記憶手段に記憶される受信パケット情報に基づいて、上記第2の記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記送信先ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記第2の記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、攻撃を受けている送信先を特定する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク装置で実行されて、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク攻撃元識別方法であって、
上記攻撃を受けている送信先を検出する過程と、
パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する過程と、
上記記憶手段に記憶される受信パケット量に基づいて、上記検出した送信先にパケットを送信している送信元のランキングを決定する過程と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信元の内の、上記検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - 請求項9記載のネットワーク攻撃元識別方法において、
上記検出する過程は、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信先のランキングを決定する過程と、
パケットを受信するときに、該パケットの送信元の持つ上記送信先ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する過程と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、攻撃を受けている送信先を特定する過程とを備えることを、
特徴とするネットワーク攻撃元識別方法。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク装置であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信先に応じて、その受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、送信先に送信されるパケット量の変動を評価することで、送信先に対して攻撃が行われているのか否かを判断する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の発生を検出するネットワーク装置であって、
パケットを受信するときに、送信先で区分けした受信パケット情報について記憶する記憶手段に記憶される受信パケット情報を更新する手段と、
上記記憶手段に記憶される受信パケット情報に基づいて、上記記憶手段に登録される送信先のランキングを決定する手段と、
パケットを受信するときに、該パケットの送信元の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信先に送信されるパケット量の変動を評価することで、該送信先に対して攻撃が行われているのか否かを判断する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
送信先から送信元へと返送されてくるパケットを受信して送出するときに、送信元に応じて、その受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、送信先に送信される送信元毎のパケット量の変動を評価することで、送信先に対して攻撃を行っている送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
上記攻撃を受けている送信先を検出する手段と、
上記検出した送信先に送信されるパケットを受信するときに、送信元で区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する手段と、
上記記憶手段に記憶される受信パケット量に基づいて、上記記憶手段に登録される送信元のランキングを決定する手段と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃の攻撃元を識別するネットワーク装置であって、
上記攻撃を受けている送信先を検出する手段と、
パケットを受信するときに、送信先と送信元との組み合わせで区分けした受信パケット量について記憶する記憶手段に記憶される受信パケット量を更新する手段と、
上記記憶手段に記憶される受信パケット量に基づいて、上記検出した送信先にパケットを送信している送信元のランキングを決定する手段と、
上記検出した送信先から返送されるパケットを受信するときに、該パケットの送信先の持つ上記ランキングに基づいて、該パケットの受信から送出までの遅延時間を制御する手段と、
上記制御に関連付けて、上記記憶手段に登録される送信元の内の、上記検出した送信先に対してパケットを送信している送信元から送信されるパケット量の変動を評価することで、上記攻撃の送信元を識別する手段とを備えることを、
特徴とするネットワーク装置。 - 請求項1ないし5のいずれか1項に記載のネットワーク攻撃検出方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃検出プログラム。
- 請求項6ないし10のいずれか1項に記載のネットワーク攻撃元識別方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃元識別プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004034508A JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004034508A JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005229234A JP2005229234A (ja) | 2005-08-25 |
| JP3984233B2 true JP3984233B2 (ja) | 2007-10-03 |
Family
ID=35003620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004034508A Expired - Lifetime JP3984233B2 (ja) | 2004-02-12 | 2004-02-12 | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3984233B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
| EP1999585A4 (en) * | 2006-03-03 | 2012-01-25 | New Jersey Tech Inst | BEHAVIOR-BASED TRANSPORT DIFFERENTIATION FOR DEFENSE AGAINST DISTRIBUTED SERVICE REFUSAL ATTACKS |
| JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
| EP3767926A3 (en) | 2010-12-27 | 2021-03-24 | FINEWELL Co., Ltd. | Incoming-talk unit |
| KR101870750B1 (ko) * | 2017-12-28 | 2018-06-26 | 오픈스택 주식회사 | 패킷 전송 순서 재배열을 이용한 영상 인코딩 장치 및 그 동작 방법 |
-
2004
- 2004-02-12 JP JP2004034508A patent/JP3984233B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005229234A (ja) | 2005-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| AU2011305214B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
| CN102763384B (zh) | 名誉阈值的自动调整 | |
| US8677473B2 (en) | Network intrusion protection | |
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| JP6291135B2 (ja) | コネクション制御装置、コネクション制御方法およびコネクション制御プログラム | |
| US20200067946A1 (en) | Network attack defense system and method | |
| US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
| CN106357660B (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| JP3984233B2 (ja) | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム | |
| CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
| Ďurčeková et al. | Detection of attacks causing network service denial | |
| KR101103744B1 (ko) | 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 | |
| CN114157441A (zh) | 请求处理系统、方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070607 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070703 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070705 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |