JP4116920B2 - 分散型サービス不能攻撃を防ぐネットワークシステム - Google Patents

分散型サービス不能攻撃を防ぐネットワークシステム Download PDF

Info

Publication number
JP4116920B2
JP4116920B2 JP2003115182A JP2003115182A JP4116920B2 JP 4116920 B2 JP4116920 B2 JP 4116920B2 JP 2003115182 A JP2003115182 A JP 2003115182A JP 2003115182 A JP2003115182 A JP 2003115182A JP 4116920 B2 JP4116920 B2 JP 4116920B2
Authority
JP
Japan
Prior art keywords
attack
access request
value
feature
feature value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003115182A
Other languages
English (en)
Other versions
JP2004318742A (ja
Inventor
由晃 竹島
文雄 野田
満 生澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003115182A priority Critical patent/JP4116920B2/ja
Publication of JP2004318742A publication Critical patent/JP2004318742A/ja
Application granted granted Critical
Publication of JP4116920B2 publication Critical patent/JP4116920B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、特定の装置への不正アクセスに対する防御方法、及びネットワークシステムに関する。
【0002】
【従来の技術】
インターネットにおける不正アクセス手法の一つに、分散型サービス不能攻撃(Distributed Denial of Service Attack、 DDoS攻撃という)がある。この手法は、サーバ等のコンピュータを攻撃対象として、アクセス要求などの通信データをネットワーク経由で大量にを送信し、実質的にサービスを利用不能にするものである。
【0003】
単独の攻撃装置が、攻撃対象に対して攻撃を行うものをサービス不能攻撃(Denial of Service Attack、DoS攻撃という)と呼ぶ。それに対して、インターネット上の複数の攻撃装置が、攻撃対象に対して同時にDoS攻撃を行うものを、DDoS攻撃と呼ぶ。DDoS攻撃の主なケースを以下に述べる。攻撃者は、インターネット上のセキュリティが脆弱な装置を、なんらかの方法でDoS攻撃用のプログラムを設定する。そして、これらの脆弱装置(踏み台ホストとも呼ばれる)を攻撃装置として利用する。攻撃装置は、攻撃者から攻撃指示を与えられることで、攻撃対象サーバに対して一斉攻撃を行う。攻撃対象サーバや、その装置が接続されているネットワーク(攻撃対象ネットワーク)には、処理限界を超えたアクセス要求が集中するため、実質的にサービスは停止するか、もしくは実際に装置が停止してしまう。
【0004】
従来のDDoS攻撃の防御方法には、主に以下のものがある。
(a−1)インターネット上の全てのホストのセキュリティを高めて、踏み台にされないようにする方法。
(a−2)DDoS攻撃を検知した攻撃対象ネットワークの管理者が、各攻撃ホストの管理者に対して、個別に対応を依頼する方法。
(a−3)DDoS攻撃を検知した攻撃対象ネットワークの入口の中継装置か、攻撃対象ネットワークから攻撃ホストまでの経路上の中継装置(ルータ等)で、攻撃と思われるアクセスを全て遮断する方法。
しかし、対象となるホストが非常に多いことから、(a−1)(a−2)は極めて困難である。現実的には、(a−3)の方法が有効である。
【0005】
(a−3)の方法の一つに、次のようなものがある。攻撃対象ネットワークとそれ以外のネットワークとの境界近辺に存在する攻撃検出装置がDDoS攻撃を検知すると、その攻撃検出装置は、攻撃対象ネットワークから攻撃ホストまでの経路上に存在する中継装置に攻撃遮断指示を送信して、それらの中継装置に攻撃に使われているアクセス要求(攻撃アクセス要求という)を遮断させる方法がある。この方法の実現例については、特許文献1に記載されている。
【0006】
また、別の方法として、中継装置に攻撃遮断指示ではなく、攻撃遮断プログラムを送信して、中継装置でそのプログラムを実行させることで、攻撃アクセス要求を遮断する方法がある。この方法の実現例については、特許文献2に記載されている。
【0007】
これらの方法は、ネットワーク上に分散している攻撃ホストからの多量の攻撃アクセス要求を、なるべく攻撃ホストに近い中継装置で遮断することで、インターネット上に余計なトラフィックが流れるのを防ぐことができるという利点がある。また、インターネット上に分散している多数の中継装置で攻撃アクセス要求を遮断するため、アクセス要求の検査及び遮断処理による各中継装置の負荷が低いという利点がある。
【0008】
【特許文献1】
特開2002−158660号公報
【特許文献2】
米国特許出願公開第2002/0032854号明細書
【0009】
【発明が解決しようとする課題】
しかしながら、前述のDDoS攻撃の防御方法を採用すると、攻撃検知処理の負荷が非常に重くなるという課題がある。その原因としては、検査対象となるアクセス要求量が非常に多いにもかかわらず、検査ポイントを攻撃対象ネットワーク上の一箇所で行っていることがあげられる。攻撃対象ネットワークには大量の攻撃アクセス要求が集中するので、全てのアクセス要求について検査を行う処理は、非常に負荷が重くなる。中継装置自身で攻撃検知を行うケースでは、攻撃アクセス要求が集中すると、攻撃検知の処理遅延がボトルネックとなり、攻撃アクセス以外の、通常のアクセス要求の応答性能への影響が非常に大きくなる。よって、攻撃検知の負荷を軽減することが必要である。
【0010】
また、現在の送信元のIPアドレスに対する攻撃遮断手法では、攻撃ホストから攻撃対象サーバへの正規のアクセス要求も同じように遮断されてしまうという課題がある。攻撃ホストは、その所有者がウィルスに汚染されているということに気付かず放置している一般ユーザの端末の場合もある。その場合、一般ユーザの正規アクセス要求に混じって、ウィルスプログラムによる攻撃アクセス要求も送信される可能性があるが、従来の攻撃遮断方法によれば、攻撃アクセス要求と同様に正規アクセス要求を遮断してしまう。例えば、Webサービスを中継するプロキシサーバが攻撃ホストに改造された場合、そのプロキシサーバを経由して利用している正規ユーザの正規アクセス要求が、全て遮断されてしまうことになり、正規ユーザにとって、そのWebサービスの利便性が悪くなる。
【0011】
したがって、より適切な攻撃遮断方法が求められている。
【0012】
【課題を解決するための手段】
本発明は、攻撃検知処理の一部を、攻撃対象ネットワークと攻撃装置間の経路上の中継装置側で分散的に行うことで、DDoS攻撃を高速に検知する方法、及びネットワークシステムを提供する。
【0013】
本発明は、攻撃検知対象をIPアドレスではなく、アプリケーションデータ単位で細かく攻撃遮断の要否を制御する方法、及びネットワークシステムを提供する。さらに、本発明は、上記制御時の負荷を軽減する、効率の良い攻撃検知方法を提供する。
【0014】
従来技術における主な攻撃検知の対象は、主に送信元のIPアドレスに対するトラフィックパターンである。トラフィックパターンとは、ネットワークトラフィックの監視装置を用いて、ネットワークに流れたメッセージ流量を時系列解析した場合や、あるいはメッセージの送信順序を解析した場合に得られる、メッセージ流量や送信順序がある特徴的なパターンを指す。
【0015】
つまり、従来の検知手法は、ある送信先IPアドレスに対する送信元IPアドレスとそのトラフィックパターンを組で監視し、トラフィックパターンが攻撃パターンを示していれば、その送信元IPアドレスからのパケットは廃棄する、というような低レイヤで行われている。
【0016】
しかし本発明は、今後必要になると予想する、より高レイヤでの攻撃遮断も可能とする。
【0017】
具体的には、現在、アクセス要求にXML(Extensible Markup Language)ベースのメッセージを含む、Webサービスという形態が広まりつつある。Webサービスのアプリケーションプログラムは、複数パケット中に分割されて格納されているXMLメッセージの文字列を解析する処理を行う。この処理は非常に負荷が大きいので、サービスを提供するサーバの文字列解析プログラムを狙い、複雑な構文を持つサイズの大きいXMLメッセージをサーバに多量に送信する、といった攻撃が行われるおそれがある。しかしながら、本発明は、このような攻撃が行われても、これを効率よく検知し、遮断することが可能である。
【0018】
本発明は、その具体的な一態様において、受信した上記攻撃対象サーバへのアクセス要求の特徴値を算出し、上記アクセス要求に添付して転送する特徴抽出装置と、上記アクセス要求に添付された上記特徴値を元に、上記攻撃対象サーバへの上記攻撃を検知し、上記特徴値を備えたアクセス要求の遮断指示を送出する攻撃検知装置と、上記攻撃遮断指示を受信して、上記攻撃対象サーバへの上記特徴値を備えたアクセス要求の転送を行わない攻撃遮断装置を備えるネットワークシステムを提供する。なお、上記特徴抽出装置と攻撃遮断装置とは同一装置上に構成されてもよい。
【0019】
【発明の実施の形態】
図1は、本発明の第一の実施形態が適用されたネットワークシステムの論理的な構成例を示す図である。
【0020】
本実施形態におけるネットワークシステムは、攻撃対象ネットワーク01と、特徴抽出装置80〜81と、攻撃装置90〜92と、正規装置100とが、ネットワーク50を介して接続されている。攻撃指示装置60は、攻撃装置90〜92に接続されている。さらに、攻撃対象ネットワーク01では、攻撃対象サーバ10が攻撃検知装置20を介して攻撃対象ネットワーク01に接続されている。ネットワーク50は、物理的には、同軸ケーブルや光ファイバ等の通信回線と、ネットワークインタフェースカードやハブ、ルータ等のネットワーク機器の集合体である。図1において、ネットワーク50を介さずに接続されている各装置は、ネットワーク50を経由して接続されていても良い。例えば、攻撃指示装置60と攻撃装置90〜92の間は、実際にはネットワーク50を経由して接続されていても良い。
【0021】
攻撃対象サーバ10は、既存のサーバアプリケーションが動作しているサーバ装置である。例えば、文書・動画像データやプログラムファイルなどを提供するWebサーバ装置や、Webサービスを提供するアプリケーションサーバ装置、メールサーバ装置等である。
【0022】
攻撃検知装置20は、アクセス要求解析を行う。攻撃検知装置20は、ネットワーク50経由で攻撃対象サーバ10宛に送信されたアクセス要求のデータを解析して、DDoS攻撃によるものかどうかを判定する。攻撃検知装置20は、判定によりDDoS攻撃を検出した場合は、特徴抽出装置80〜81に対して、検出したDDoS攻撃と同じ特徴をもつアクセス要求の遮断指示(攻撃遮断指示)を送信する。
【0023】
また、攻撃遮断指示送信後、予め設定された攻撃遮断タイマ時間が経過すると、特徴抽出装置80〜81に対して、攻撃遮断終了指示を送信する。攻撃遮断終了については、攻撃対象ネットワーク01のネットワーク管理者が、手動で指示を送出しても良いし、特徴抽出装置80〜81に任せてもよい。なお、本実施の形態では、DDoS攻撃の検知アルゴリズムについては、特徴抽出装置80〜81から送信されてきた特徴値情報から算出するが、公知のアルゴリズムを用いても良い。
【0024】
攻撃指示装置60は、攻撃装置90〜92に対して、ネットワーク経由でDDoS攻撃の制御指示命令を送信する。
【0025】
特徴抽出装置80〜81は、アクセス要求の特徴を抽出して、その特徴値をアクセス要求に付加する装置である。付加方法としては、たとえばアクセス要求のヘッダ等に特徴値を記述する方法がある。ヘッダとは、主にIPヘッダやHTTPヘッダ等である。特徴抽出装置80〜81は、特徴値が付加されたアクセス要求を、攻撃検知装置20に送信する。また、攻撃検知装置20から攻撃遮断指示を受信すると、攻撃遮断処理を行う。
【0026】
攻撃遮断指示は、例えば、ある特徴値を備えたアクセス要求を転送しないことを指示する命令が記述されているXMLデータである。
【0027】
攻撃遮断指示受信後、予め設定された攻撃遮断タイムアウト時間が経過するか、攻撃検知装置20等から攻撃遮断終了指示を受信すると、特徴抽出装置80〜81は攻撃遮断処理を終了する。
【0028】
攻撃遮断指示、及び攻撃遮断終了指示については、攻撃対象ネットワーク01のネットワーク管理者が、特徴抽出装置80〜81にリモートログインして、攻撃遮断指示もしくは攻撃遮断終了操作を直接行っても良い。
【0029】
攻撃装置90〜92は、DDoS攻撃用ソフトウェアが組み込まれた装置である。DDoS攻撃用ソフトウェアは、DDoS攻撃の実行者によって、いわゆるトロイの木馬等なんらかの方法でインストールされる。攻撃装置90〜92の管理者は、そのことに気付かないことが多い。攻撃装置90〜92は、攻撃指示装置60からの攻撃制御指示を受信して、攻撃対象サーバ10に対して一斉にDoS攻撃を行う。
【0030】
正規装置100は、DDoS攻撃用ソフトウェアが組み込まれていない、正常な正規ユーザの装置である。正規装置100から送信されるアクセス要求は、正規ユーザが発信しているアクセス要求であるため、このデータを極力遮断しないようにする必要がある。
【0031】
本実施例では、攻撃検知装置20、及び特徴抽出装置80〜81が協同することにより、正規装置100から送信される正規なアクセス要求を極力遮断せず、攻撃装置90〜92からのDDoS攻撃から攻撃対象サーバ10を防御する。
【0032】
本実施例に関わる各装置は、例えば図14に示すような、CPU1001と、メモリ1002と、CD−ROMやDVD−ROM等の着脱可能で、可搬性を有する記憶媒体1008から情報を読み出す読み取り装置1003と、ネットワーク50を介して相手装置と通信を行うための通信装置1004と、HDD等の外部記憶装置1005と、キーボードやマウスやディスプレイなどの入出力装置1006とが、バスなどの内部通信線1007を介して接続された一般的な情報処理装置1000において、CPU1001がメモリ1002上にロードされた所定のプログラムを実行することにより実現することができる。
【0033】
さらに、上記各装置の機能は、CPU1001が外部記憶装置1005またはメモリ1002に格納されているプログラムを実行することにより、上記情報処理装置1000上に具現化される。上記プログラムは、あらかじめ、上記情報表示装置1000内に格納されていても良いし、必要なときに、着脱可能で当該情報処理装置が利用可能な記憶媒体、または、ネットワークまたはネットワーク上を伝搬する搬送波といった当該情報処理装置が利用可能な通信媒体を介して、導入されてもよい。また、各装置の機能一部または全てをハードウェアによって実現してもよい。
【0034】
次に、図2ないし図5を用いて、第一の実施形態を説明する。
【0035】
図2に、攻撃装置90〜92からのDDoS攻撃が攻撃検知装置20に届くまでの処理シーケンスと、攻撃装置90〜92からのDDoS攻撃が遮断され、アクセス規制メッセージが攻撃装置90〜92に返信されるまでの処理シーケンスを示す。
【0036】
まず、攻撃指示装置60が攻撃開始処理を行い(S101)、攻撃装置90〜92に、攻撃対象サーバ10へのDDoS攻撃開始指示を意味するメッセージを送信する(S102)。攻撃装置90〜92は攻撃開始指示を受信すると、攻撃対象サーバ10に対して一斉にDDoS攻撃を開始する(S103)。攻撃装置90〜92は、攻撃対象サーバ10宛の大量のアクセス要求104を送信する。特徴抽出装置80〜81は、攻撃装置90〜92からアクセス要求を受信すると、特徴抽出処理を開始する(S105)。
【0037】
特徴抽出処理は、アクセス要求の特徴値を抽出し、当該アクセス要求に付加する処理である。本実施形態では、アクセス要求のヘッダ部に、抽出した特徴値を新たなヘッダ情報として付加する。特徴値は、ハッシュ関数等のなんらかのアルゴリズムを用いて、アクセス要求中に含まれるデータの一部を簡単な数値もしくは文字列に変換することにより得られる。特徴値は、ダイジェスト値とも呼ぶ。
【0038】
同じ特徴値を持つアクセス要求同士は、必ずしも同じだとは言えない。しかし、アクセス要求を完全に比較することは非常に処理負荷が重いため、処理負荷軽減のため、本実施形態では、同一特徴値を持つアクセス要求同士は、同一の内容であると見なす。つまり、別々のアクセス要求を同じものと誤認識することはありえるが、本実施形態ではこれを許容する。特徴抽出処理の詳細については、図4で後述する。
【0039】
次に、特徴抽出装置80〜81は、S105で抽出した特徴値が、攻撃遮断対象の値かどうかを判断する(S106)。この処理の詳細については、図4で後述する。
【0040】
受信したアクセス要求が、攻撃遮断対象のアクセス要求でなければ、攻撃検知装置20に、特徴値付きアクセス要求108を転送する(S107)。この特徴値付きアクセス要求108を受信した攻撃検知装置20は、攻撃検知処理を行う(S109)。ここでは、アクセス要求のヘッダ部に付加された特徴値ヘッダから特徴値を取得し、アクセス要求のヘッダ部から特徴値ヘッダを除去する。攻撃検知処理の詳細については、図5で後述する。
【0041】
特徴抽出装置80〜81は、受信したアクセス要求が、攻撃遮断対象であれば、アクセスできない旨を通知するアクセス規制メッセージ111を攻撃装置90〜92に返信する(S110)。そして、統計情報を更新する(S113)。統計情報の更新については、図6で後述する。攻撃装置90〜92はアクセス規制メッセージを受信する(S112)。
【0042】
図3に、図2に続き、攻撃装置90〜92からのDDoS攻撃を構成するアクセス要求が攻撃検知装置に届いてからの処理シーケンスを示す。
【0043】
S109を実行後、攻撃検知装置20は、特徴値ヘッダを除去したアクセス要求120を攻撃対象サーバ10に転送する。攻撃対象サーバ10は、受信したアクセス要求に対する応答データ122を攻撃検知装置20に返信する(S121)。
【0044】
攻撃検知装置20は、受信した応答データ124を、特徴抽出装置80〜81に返信する(S123)。そして、特徴抽出装置80〜81は、その応答データ126を、更に攻撃装置90〜92に応答する(S125)。これで、攻撃装置90〜92及び正規装置100からのアクセス要求に対する一連の処理は終了する。
【0045】
図4に、特徴抽出装置80〜81における、特徴抽出処理(S105)及び攻撃遮断対象判定処理(S106)の詳細フロー例を示す。特徴抽出装置80〜81は、以下の処理を行う。
【0046】
S105の処理について説明する。正規装置100及び攻撃装置90〜92からのアクセス要求に含まれている、アクセス要求データの特徴値を算出する(S1051)。特徴値の算出方法の例としては、HTTPのボディ部に格納されているデータの、先頭のあらかじめ決められたバイト数分のデータにハッシュ関数を作用させてハッシュ値を算出し、そしてこのハッシュ値を特徴値として用いる方法がある。
【0047】
次に、S1051で算出した特徴値を、アクセス要求のHTTPヘッダ部に特徴値ヘッダとして付加する(S1052)。
【0048】
図13に、アクセス要求の一構成例を示す。アクセス要求2000は、大きくヘッダ部2001とボディ部2002の二つに分けることができる。ヘッダ部2001は、アプリケーションの付加情報(ヘッダ)を保持している。ボディ部2002には、Webサービス等で用いるXMLタイプのデータが格納されている。特徴抽出装置80〜81は、このヘッダ部2001に対して、ボディ部2002に格納されているデータの特徴を数値化した、データ特徴値ヘッダ2003を付加する。また、攻撃検知装置20は、このデータ特徴値ヘッダ2003を除去する。
【0049】
次にS106の処理について説明する。まず、アクセス先URLと、S1051で算出したデータ特徴値との組み合わせで検索し、攻撃遮断対象のアクセス要求かどうかを決定する(S1061)。S1061の処理で、攻撃遮断対象だと判定した場合は、S110の処理に進む。攻撃遮断対象外だと判定した場合は、S107の処理に進む(S1062)。
【0050】
図5に、攻撃検知装置20における、攻撃検知処理(S109)の詳細フロー例を示す。攻撃検知装置20は、以下の処理を行う。
【0051】
攻撃検知装置20は、特徴抽出装置80〜81から受信したアクセス要求のヘッダ部2001にあるデータ特徴値ヘッダ2003に示されている特徴値を抽出し、データ特徴値ヘッダ2003をヘッダ部2001から削除する(S1091)。次に、攻撃検知装置20の統計情報を更新する(S1092)。
【0052】
統計情報の更新について、図6を用いて説明する。攻撃検知装置20及び特徴抽出装置80〜81は、図6に示すような統計情報データベース8000を外部記憶装置1005内に管理している。統計情報データベース8000の各エントリ8005は、管理IDフィールド8001、アクセス先URLフィールド8002、データ特徴値フィールド9003、及び攻撃頻度フィールド8004を含む。管理IDフィールド8001は、各装置が各エントリ8005を管理するための識別子(ID)を保持する。アクセス先URLフィールド8002は、アクセス要求先のURL情報を保持する。データ特徴値フィールド8003は、アクセス要求毎に、その特徴値ヘッダ2003に格納されている、ボディ部2002の特徴値を保持する。攻撃頻度フィールド8004は、アクセス先URLとデータ特徴値の組が同じであるアクセス要求を受信する頻度の値(攻撃頻度)を保持する。攻撃頻度とは、例えば、単位時間あたりの受信アクセス要求数などである。
【0053】
アクセス先URLフィールド8002に格納するURLの記述の細かさは、攻撃対象サーバ10の装置構成等を考慮して、決定すればよい。
【0054】
統計情報データベース8000の更新方法の例を示す。攻撃検知装置20が新しいアクセス要求を受信すると、まずアクセス先URLとデータ特徴値の組を検索キーとして、データベース8000を検索する。もし一致するエントリ8005があれば、攻撃頻度フィールド8004中に保持されている攻撃頻度の値を更新する。もし一致しなければ、そのアクセス先URLとデータ特徴値を持つ新しいエントリ8005を作成し、攻撃頻度8004の値を更新する。
【0055】
また、攻撃頻度8004の値は定期的に更新され、攻撃頻度が0になると、エントリは消去される。
【0056】
また、特徴抽出装置80〜81が新しいアクセス要求を受信すると、攻撃検知装置20と同様に、まずアクセス先URLとデータ特徴値の組を検索キーとして、データベース8000を検索する。もし一致するエントリ8005があれば、攻撃遮断対象だと見なす。エントリの一致を判断するステップにおいて、URLはあるレベルまで一致すれば、それ以下のレベルが異なっていても一致すると見なして良い。S110でアクセス規制メッセージを返信した後、攻撃頻度フィールド8004中に保持されている攻撃頻度の値を更新する。また、攻撃頻度8004の値は定期的に更新され、攻撃頻度が0になると、エントリ8005は消去され、攻撃遮断対象から外れる。もしくは、予め特徴抽出装置80〜81に設定されているある一定時間が経過すると、エントリ8005は自動的に消去される、あるいは、攻撃検知装置20から攻撃終了指示を受信するとエントリ8005を消去するという設定にしても良い。
【0057】
図7に、特徴抽出装置80〜81及び攻撃検知装置20における、攻撃遮断及び遮断終了のシーケンスを示す。
【0058】
まず、攻撃検知装置20が、統計情報データベース8000の情報から不正アクセスの存在を判定する(S501)。この判定は、例えば定期的に行う。
【0059】
その判定には、例えば、以下の方法がある。
(a)攻撃検知装置20に対し、通常アクセスと不正アクセスとを区別するための、攻撃頻度の閾値を予め設定しておく。
(b)攻撃検知装置20は、統計情報データベース8000のエントリ8005毎に、攻撃頻度フィールド8004の値と、(a)で設定した閾値とを比較する。
(c)(b)での比較の結果、攻撃頻度フィールド8004の値の方が閾値より大きければ、不正アクセスと判断する。そうでなければ、通常アクセスと判断する。
【0060】
ステップS501の後、不正アクセスと判断されたエントリ8005が存在していれば、特徴抽出装置80〜81に対し、そのエントリ8005に示されるアクセス要求の攻撃遮断指示503を送信する(S502)。そして、特徴抽出装置80〜81を経由せずに攻撃対象ネットワーク10に到達したアクセス要求を遮断するために、攻撃検知装置20自身でも攻撃遮断を開始する(S504A)。
【0061】
不正アクセスが存在していなければ、攻撃遮断処理をスキップする。
【0062】
また、攻撃検知装置20は、統計情報データベース8000の情報から不正アクセスが消滅していると判定すると(S507)、攻撃遮断終了指示509を特徴抽出装置80〜81に送信する(S508)。
【0063】
特徴抽出装置80〜81は、攻撃遮断指示503を受信すると、攻撃遮断を開始し(S504B)、開始確認505を示すデータを攻撃検知装置20に送信する。そして、特徴抽出装置80〜81は、特徴値抽出を繰り返して統計情報データベース8000を更新し、さらにその統計情報202を攻撃検知装置20に定期的に送信する(S201)。ここで、攻撃検知装置20は、開始確認505を受信できなかったら、再度ステップS502を繰り返すようにしてもよい。
【0064】
予め特徴抽出装置80〜81に設定された攻撃遮断時間が経過しているかどうかチェックする(S520)。
【0065】
経過していなければ、S201のステップを繰り返す。攻撃遮断タイマ時間が経過しているか、もしくは攻撃遮断終了指示を受信すると(S509)、攻撃遮断終了処理を行い(S510B)、終了確認を示すデータ511を攻撃検知装置20に送信する。これで攻撃遮断処理は終了となる。攻撃遮断終了処理(S510B)として、統計情報データベース8000の該当エントリを削除してもよい。
【0066】
第一の実施形態により、攻撃検知処理の大規模、高速、かつ高機能化という効果がある。その効果について詳細に説明する。
【0067】
第一に、本実施の形態では、従来、攻撃検知装置20で行っていた不正アクセス(DDoS攻撃)の検査処理のうち、アクセス要求データの特徴を数値化する処理を特徴抽出装置80〜81で行うようにした。すなわち、本実施形態では、不正アクセスの検査を、ネットワークの二箇所(特徴抽出装置80〜81、及び攻撃検知装置20)で分担して行うことで、アクセスが集中する攻撃対象ネットワークでの、各装置の攻撃検知処理負荷が非常に軽量化される。さらに、特徴抽出装置が複数になれば一台当たりの処理負荷もさらに軽量化される。
【0068】
第二に、攻撃検知手法を高機能化できる、という効果がある。処理ポイントを簡単に分散化できるため、全体の性能を落とさずに、一台の装置当たりで行える機能を複雑化することができる。例えば、Webサービスシステムを例に取る。Webサービスの提供装置は、大容量のテキストデータの文字列解析を行わなければならないが、これは非常に負荷の重い処理なので、大容量のダミーデータを含むアクセス要求が、攻撃装置90〜92からWebサーバに繰り返し送信されると、Webサーバは簡単に停止させられてしまう。
【0069】
本実施形態では、ネットワークの各地点に備える特徴抽出装置80でアクセス要求中のデータを特徴値化し、攻撃検知装置20ではただ特徴値の統計をとって検知るようにした。これにより、攻撃検知装置20及びWeb装置側での不要な文字列解析処理を回避することができ、結果的に、システム全体の処理性能を向上させることができる。
【0070】
第三に、本実施の形態では、送信者のIPアドレスをベースとした単純な攻撃遮断ではなく、アプリケーションデータレベルでの遮断を行うことができる。上述の通り、従来のIPアドレスをベースとする遮断方法だと、踏み台となる装置からの正規のアクセスを含む全てのアクセスが遮断されてしまう。しかし本実施形態によると、アクセス要求のヘッダ部に付加されている、アクセス要求の特徴を表す特徴値をチェックして遮断するので、アプリケーションデータレベルでの遮断を行うことができる。
【0071】
例えば、ある攻撃ホストで、大きなサイズのデータを持つアクセス要求が、複製されて繰り返し同じ攻撃対象サーバに送信された場合、それらのアクセス要求には同じ特徴値が特徴抽出サーバで付加される。そのため、正規アクセス要求を遮断せずに、不正アクセス要求と見られる同じ特徴値を持つアクセス要求だけを全て遮断できる。
【0072】
このような攻撃検知対象の細粒化により、不要な遮断を回避することができるので、ユーザにとって使い勝手の良い、高機能なシステムを実現できる。
【0073】
これらの効果により、本実施形態では、DDoS攻撃を効率よく防御できる。
【0074】
次に、図8ないし図10を用いて、第二の実施形態を説明する。
【0075】
図8は、本発明の第二の実施形態が適用されたネットワークシステムの構成を示す図である。図1のネットワーク構成に加え、中継装置A30、中継装置B70〜71が加わる。本実施形態では、システム管理装置40は使用しない。
【0076】
中継装置A30は、中継装置B70〜71から攻撃対象サーバ10宛に送信されたアクセス要求の中継を行う装置であり、例えば、ルータやファイアウォール、Webプロキシサーバ等である。中継装置A30は、中継装置B70〜71から送信されたアクセス要求を、攻撃検知装置20に転送する。また、中継装置A30は、攻撃検知装置20から返信されたアクセス要求を攻撃対象サーバ10に転送する。そして、攻撃対象サーバ10から返信された応答データを、中継装置B70〜71経由で、アクセス要求の送信元である正規装置100もしくは攻撃装置90〜92に返信する。中継装置A30は、中継装置B70〜71と攻撃対象サーバ10との経路上に設置される。もしくは、中継装置B70〜71からのアクセス要求が必ず中継装置A30を経由するように、中継装置B70〜71に設定しても良い。
【0077】
中継装置B70〜71は、アクセス要求の中継を行う装置である。処理としては、中継装置A30と同様である。中継装置B70〜71は、攻撃装置90〜92及び正規装置100が攻撃対象サーバ10宛に送信したアクセス要求を中継できるように、攻撃装置90〜92及び正規装置100と攻撃対象サーバ10との経路上に設置される。もしくは、アクセス要求が必ず中継装置B70〜71を経由するように、攻撃装置90〜92及び正規装置100に設定しても良い。中継装置B70〜71は、正規装置100や、攻撃装置90〜92から、アクセス要求等のアクセス要求を受信すると、特徴抽出装置80〜81に転送する。また中継装置B70〜71は、特徴抽出装置80〜81から返信された特徴値付きアクセス要求を、中継装置A30経由で攻撃検知装置20に転送する。
【0078】
図9に、攻撃装置90〜92からのDDoS攻撃が攻撃検知装置20に届くまでの処理シーケンスを示す。また、攻撃装置90〜92からの攻撃が特徴抽出装置80〜81で遮断され、アクセス規制メッセージが攻撃装置90〜92に返信されるまでの処理シーケンスを示す。
【0079】
図9では、図2に示す処理シーケンスと、次のステップが異なる。
【0080】
まず、図2のS105のステップにおいて、正規装置100及び攻撃装置90〜92から送信されたアクセス要求104を、中継装置B70〜71が特徴抽出装置80〜81に転送する(S401)。
【0081】
また、攻撃検知装置20に特徴値付きアクセス要求を転送するステップ(S107)では、特徴抽出装置80〜81は、中継装置B70〜71に一旦特徴値付きアクセス要求108Aを返信する(S402)。そして中継装置B70〜71が、その特徴値付きアクセス要求108B、108Cを中継装置A30経由で攻撃検知装置20に転送する(S403,S404)。
【0082】
さらに、図2のS110〜S112のステップにおいて、一旦中継装置B70〜71経由でアクセス規制メッセージ111A,111Bを転送する(S405)。
【0083】
図10に、図9のステップに続く、攻撃装置90〜92からのDDoS攻撃が中継装置A30に届いてからの処理シーケンスを示す。
【0084】
図10では、図3の、攻撃検知装置20から攻撃対象サーバ10にアクセス要求120を転送するステップにおいて、アクセス要求(S120A、S120B)を、一旦中継装置A30を経由させて転送する(S501、S502)。
【0085】
また、攻撃対象サーバ10からの応答データ122、124、126を、攻撃装置90〜92に返信するステップ(S121、S123、S125)において、中継装置A30及び中継装置B70〜71経由で返信する(S503、S504)。
【0086】
第二の実施形態により、特徴抽出装置80〜82及び攻撃検知装置20を、簡単に負荷分散させ、さらに高速化することができる。
【0087】
具体的には、図8の中継装置B71及び特徴抽出装置81〜82を接続し、中継装置B70〜71が、中継するアクセス要求を、負荷分散機能を用いて、複数の特徴抽出装置81〜82に振分けることで、特徴抽出装置80自体が性能のボトルネックとなった場合でも、簡単に負荷軽減することができる。攻撃検知装置20と中継装置A30の関係についても、同様のことが可能である。
【0088】
次に、図8、図11、及び図12を用いて、第三の実施形態を説明する。
【0089】
第一もしくは第二の実施形態に加え、本発明の装置群(中継装置A30、中継装置B70〜71、特徴抽出装置80〜82、攻撃検知装置20)を管理する、図8に記載のシステム管理装置40を追加する。
【0090】
図11に、システム管理装置40と、特徴抽出装置80〜82と、攻撃検知装置20を用いて、システム全体の統計情報をシステム管理装置40で管理するシーケンスについて示す。
【0091】
まず、特徴抽出装置80〜82は、統計情報データベース8000の統計情報202を、システム管理装置40に、繰り返し(たとえば定期的に)、送信し(S201)、システム管理装置40の統計情報を更新させる(S203)。
【0092】
また、攻撃検知装置20は、統計情報データベース8000の統計情報を、繰り返し(たとえば定期的に)、更新し(S204)、その都度システム管理装置40に統計情報を送信することで(S205)、システム管理装置40の統計情報を更新させる(S206)。
【0093】
上記シーケンスでは、中継装置B70、71を明示していないが、第二の実施形態と同様に中継装置B70、71を介した処理となるように構成しても良いし、中継装置B70、71を介さない処理となるように構成しても良い。
【0094】
図12に、システム管理装置40と、特徴抽出装置80〜81と、攻撃検知装置20を用いて、システム全体の攻撃遮断処理、及び攻撃遮断終了処理を行うシーケンスについて示す。
【0095】
まず、システム管理装置40は、統計情報から不正アクセスの存在を判定し(S501)、攻撃遮断指示503A、503Bを攻撃検知装置20及び/または特徴抽出装置80〜81に送信する(S502)。それを受信した特徴抽出装置80〜81及び攻撃検知装置20は、攻撃遮断を開始し(S504A、S504B)、開始確認を示すデータS505A、S505Bをシステム管理装置40に送信する。システム管理装置40は、その開始確認データを受信することで、攻撃遮断が開始されたことを確認する(S506)。もしそれが届かなければ、再度ステップS502、S503A、S503Bを繰り返す。
【0096】
その後、システム管理装置40は、統計情報から不正アクセスの存在が消滅したかを判定し(S507)、攻撃遮断終了指示509A、509Bを攻撃検知装置20及び/または特徴抽出装置80〜81に送信する(S508)。それを受信した特徴抽出装置80〜81及び/または攻撃検知装置20は、攻撃遮断を終了し(S510A、S510B)、終了確認を示すデータ511A、511Bをシステム管理装置40に送信する。システム管理装置40は、その終了確認データを受信することで、攻撃遮断が終了したことを確認する。もしそれが届かなければ、再度ステップS508を繰り返す。
【0097】
第三の実施形態により、システム全体の統計情報を元に、攻撃遮断の開始、終了を一括管理して行うことができる、という効果がある。
【0098】
なお、上記各実施形態において、特徴抽出装置80、81は、アクセス要求の特徴抽出機能と、攻撃検知装置20からの指示に応じた攻撃遮断機能とを併せ持っているものとして説明した。しかし、これら2つの機能のいずれか片方だけ持つように各装置を構成しても良い。例えば、特徴抽出装置80、81は攻撃遮断機能を備えず、攻撃遮断機能を備える攻撃遮断装置を新たに設けても良い。または、図8における中継装置B70、71が攻撃遮断機能を備えるようにしても良い。
【0099】
【発明の効果】
本発明によれば、DDoS攻撃を検知する際の負荷を軽減することが可能となる。また、不要な遮断を排除するネットワークシステムを実現することが可能となる。
【図面の簡単な説明】
【図1】第一の実施形態に関わるネットワークシステムの一論理構成図。
【図2】第一の実施形態における、処理フローの一例。
【図3】第一の実施形態における、処理フローの一例。
【図4】第一の実施形態における、特徴抽出処理フローの一例。
【図5】第一の実施形態における、攻撃検出処理フローの一例。
【図6】各実施形態における、特徴抽出装置80〜81及び攻撃検知装置20の統計情報データベースの一構成例。
【図7】第一の実施形態における、攻撃遮断開始及び終了処理フローの一例。
【図8】第二及び第三の実施形態に関わるネットワークシステムの一論理構成図。
【図9】第二の実施形態における、処理フローの一例。
【図10】第二の実施形態における、処理フローの一例。
【図11】第三の実施形態における、システム管理装置40、特徴抽出装置80〜81、及び攻撃検知装置20の統計情報の更新処理フローの一例。
【図12】第三の実施形態における、攻撃遮断開始及び終了処理フローの一例。
【図13】各実施形態における、アクセス要求フォーマットの一例。
【図14】各実施形態における攻撃対象サーバ10、攻撃検知装置20、中継装置A30、システム管理装置40、ネットワーク50、攻撃指示装置60、中継装置B70〜71、特徴抽出装置80〜81、攻撃装置90〜92、正規装置100として使用する情報処理装置の一構成図。
【符号の説明】
01…攻撃対象ネットワーク、10…攻撃対象サーバ、20…攻撃検知装置、30…中継装置A、40…システム管理装置、50…ネットワーク、60…攻撃指示装置、70〜71…中継装置B、80〜81…特徴抽出装置、90〜92…攻撃装置、100…正規装置、2000…アクセス要求、2001…ヘッダ部、2002…ボディ部、2003…特徴値フィールド、1000…情報処理装置、1001…CPU、1002…メモリ、1003…読取装置、1004…通信装置、1005…外部記憶装置、1006…入出力装置、1007…内部通信線、1008…記憶媒体。

Claims (10)

  1. 攻撃対象サーバに対する分散型サービス不能攻撃を防ぐネットワークシステムであって、
    受信した前記攻撃対象サーバへのアクセス要求に含まれるデータの一部を、所定のアルゴリズムを用いて数値もしくは文字列に変換して特徴値を算出し、該特徴値を前記アクセス要求に添付して転送する特徴抽出装置と、
    前記特徴抽出装置から転送されてきた、前記特徴値付アクセス要求を受信し、前記アクセス要求に添付された前記特徴値を基に、同じ特徴値を持つアクセス要求による前記攻撃対象サーバへのアクセス頻度を調べ、前記アクセス頻度から前記特徴値を備えたアクセス要求を攻撃と判断して、遮断する指示を送出する、ネットワークシステム上前記特徴抽出装置の後段に配置される攻撃検知装置と、
    前記攻撃検知装置から送出された前記遮断指示を受信して、前記攻撃対象サーバへの前記特徴値を持つアクセス要求の転送を行わない攻撃遮断装置と、
    を有することを特徴とするネットワークシステム。
  2. 請求項1に記載のネットワークシステムであって、
    前記特徴抽出装置及び前記攻撃検知装置は、該アクセス要求先のURL情報と、該アクセス要求毎に該アクセス要求の該特徴値のヘッダに格納されているボディ部の特徴値と、該アクセス要求先のURLとデータ特徴値の組が同じであるアクセス要求を受信する頻度の値とを、各エントリに保管するデータベースを有し、
    前記特徴抽出装置及び前記攻撃検知装置は、新しいアクセス要求を受信すると、それぞれ該データベースを検索して、一致するエントリがあれば、該頻度の値を更新し、一致しなければ該URL情報と該特徴値を保管する新たなエントリを作成する。
  3. 請求項1又は2に記載のネットワークシステムであって、
    前記特徴抽出装置は、前記攻撃遮断指示を受信すると、前記特徴値を備えたアクセス要求の送信元に対して、アクセス規制メッセージを送信する。
  4. 請求項に記載のネットワークシステムであって、
    前記攻撃検知装置は、前記特徴値付アクセス要求を受信した時、該特徴値と同一の特徴値を持つアクセス要求について前記データベースを検索して、該該データベースに記憶された前記攻撃対象サーバへのアクセス頻度と予め設定された閾値とを比較して、該アクセス頻度が該閾値よりも大きい場合前記攻撃対象サーバへの不正アクセスと判断する。
  5. 請求項4に記載のネットワークシステムであって、
    前記攻撃検知装置は、前記攻撃対象サーバへの攻撃を検知すると、前記特徴抽出装置に対し、前記特徴値を備えるアクセス要求の転送を行わないよう指示する攻撃遮断指示を送信する。
  6. 請求項1乃至5のいずれかの請求項に記載のネットワークシステムであって、
    前記特徴抽出装置は、前記アクセス要求の該特徴値を算出する場合、前記アクセス要求のHTTPのボディ部に格納されているデータの、先頭のあらかじめ決められたバイト数分のデータにハッシュ関数を作用させてハッシュ値を算出し、該ハッシュ値を特徴値として用いる。
  7. 請求項1又は2に記載のネットワークシステムであって、
    前記攻撃検知装置は、前記攻撃が終了したと判断した時に行う攻撃遮断終了処理として、前記特徴抽出装置に対して、攻撃遮断終了指示を送信し、前記特徴抽出装置は、前記攻撃遮断終了指示を受信したら、前記攻撃遮断終了処理を実行する。
  8. 請求項1又は2に記載のネットワークシステムであって、
    さらに、前記ネットワークシステムを管理するシステム管理装置を備え、前記特徴抽出装置は、前記特徴値付きアクセス要求を前記システム管理装置へ転送し、
    前記システム管理装置は、前記特徴抽出装置から転送されてきた、前記特徴値付きアクセス要求に付加された該特徴値に基づき、同一の特徴値を持つアクセス要求による、前記攻撃対象サーバへのアクセス頻度を調べ、
    前記アクセス頻度から前記攻撃対象サーバへの攻撃を検知し、
    前記攻撃検知装置および前記特徴抽出装置に対して、前記攻撃遮断指示を送信する。
  9. ネットワークシステムにおいて攻撃対象サーバに対する分散型サービス不能攻撃を防ぐ防御方法であって、
    ネットワークシステム上に配置される特徴抽出装置において、受信した前記攻撃対象サーバへのアクセス要求に含まれるデータの一部を、所定のアルゴリズムを用いて数値もしくは文字列に変換して特徴値を算出し、該特徴値を前記アクセス要求に添付して転送するステップと、
    前記特徴抽出装置から送られる、該アクセス要求先のURL情報と、該アクセス要求毎に該アクセス要求の該特徴値のヘッダに格納されているボディ部の特徴値と、該アクセス要求先のURLとデータ特徴値の組が同じであるアクセス要求を受信する頻度の値とを、エントリ毎にデータベースに保管して管理するステップと、
    前記特徴抽出装置が新しいアクセス要求を受信すると、該データベースを検索して、一致するエントリがあれば、該頻度の値を更新し、一致しなければ該URL情報と該特徴値を保管する新たなエントリを作成するステップと、
    ネットワークシステム上前記特徴抽出装置の後段に配置される攻撃検知装置において、前記特徴抽出装置から転送された前記特徴値付アクセス要求を受信し、前記アクセス要求に添付された前記特徴値と同一の特徴値を持つアクセス要求に関して、前記データベースを検索して、前記攻撃対象サーバに対する該アクセス要求の該頻度の値に基づいて前記攻撃対象サーバへの攻撃と判断して、前記特徴値を備えたアクセス要求の遮断指示を送出するステップと、
    ネットワークシステム上前記攻撃検知装置に接続される攻撃遮断装置において、前記攻撃検知装置からの前記遮断指示を受信して、前記攻撃対象サーバへの前記特徴値を備えたアクセス要求の転送を行わないステップと、を有することを特徴とする防御方法。
  10. ネットワークシステムにおいて攻撃対象サーバに対する分散型サービス不能攻撃を防ぐ防御方法であって、
    ネットワークシステム上に配置される特徴抽出装置において、受信した前記攻撃対象サーバに対するアクセス要求のHTTPのボディ部に格納されているデータの予め決められたバイト数分のデータにハッシュ関数を作用させてハッシュ値を算出し、該ハッシュ値を特徴値として前記アクセス要求に添付して転送するステップと、
    前記特徴抽出装置から転送される、前記アクセス要求先のURL情報と、前記アクセス要求の該特徴値をデータベースに保管して管理するステップと、
    ネットワークシステム上前記特徴抽出装置の後段に配置される攻撃検知装置において、前記特徴抽出装置から転送される前記アクセス要求を受信した時、前記データベースを参照し、前記アクセス要求に添付された前記特徴値と同一の特徴値を持つアクセス要求に関して、前記攻撃対象サーバに対する攻撃を判断して、前記特徴値と同じ特徴値を持つアクセス要求の遮断指示を送出するステップと、
    ネットワークシステム上前記攻撃検知装置に接続される攻撃遮断装置において、前記攻撃検知装置からの前記遮断指示を受信して、前記攻撃対象サーバに対する前記特徴値を持つアクセス要求の転送を遮断するステップと、を有することを特徴とする防御方法。
JP2003115182A 2003-04-21 2003-04-21 分散型サービス不能攻撃を防ぐネットワークシステム Expired - Fee Related JP4116920B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003115182A JP4116920B2 (ja) 2003-04-21 2003-04-21 分散型サービス不能攻撃を防ぐネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003115182A JP4116920B2 (ja) 2003-04-21 2003-04-21 分散型サービス不能攻撃を防ぐネットワークシステム

Publications (2)

Publication Number Publication Date
JP2004318742A JP2004318742A (ja) 2004-11-11
JP4116920B2 true JP4116920B2 (ja) 2008-07-09

Family

ID=33474455

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003115182A Expired - Fee Related JP4116920B2 (ja) 2003-04-21 2003-04-21 分散型サービス不能攻撃を防ぐネットワークシステム

Country Status (1)

Country Link
JP (1) JP4116920B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060282525A1 (en) * 2005-06-10 2006-12-14 Giles James R Method and apparatus for delegating responses to conditions in computing systems
JP5035006B2 (ja) * 2007-07-25 2012-09-26 富士通株式会社 通信装置の制御方法及び通信装置
CN101674293B (zh) * 2008-09-11 2013-04-03 阿里巴巴集团控股有限公司 一种分布式应用中处理非正常请求的方法及系统
US10021119B2 (en) * 2015-02-06 2018-07-10 Honeywell International Inc. Apparatus and method for automatic handling of cyber-security risk events
JP6623903B2 (ja) * 2016-03-30 2019-12-25 富士通株式会社 受信制御システム、受信制御プログラム及び受信制御方法
DE102016222740A1 (de) * 2016-11-18 2018-05-24 Continental Automotive Gmbh Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
JP7403414B2 (ja) 2020-08-18 2023-12-22 株式会社日立製作所 通信中継装置および通信中継方法
CN112351031B (zh) * 2020-11-05 2023-05-05 中国电子信息产业集团有限公司 攻击行为画像的生成方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
JP2004318742A (ja) 2004-11-11

Similar Documents

Publication Publication Date Title
US7188366B2 (en) Distributed denial of service attack defense method and device
JP4905395B2 (ja) 通信監視装置、通信監視プログラム、および通信監視方法
US7958549B2 (en) Attack defending system and attack defending method
KR101263329B1 (ko) 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
US8561188B1 (en) Command and control channel detection with query string signature
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
KR20110089179A (ko) 네트워크 침입 방지
JP2005506736A (ja) パケットネットワークのルータ内のノードセキュリティを提供するための方法及び装置。
JP2012522295A (ja) フィルタリング方法、システムおよびネットワーク機器
CN110166480B (zh) 一种数据包的分析方法及装置
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
JP4116920B2 (ja) 分散型サービス不能攻撃を防ぐネットワークシステム
JP2007325293A (ja) 攻撃検知システムおよび攻撃検知方法
JP2006067605A (ja) 攻撃検知装置および攻撃検知方法
CN112350939B (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
CN111031077B (zh) 一种流量清洗方法、流量清洗系统和设备
CN114745142A (zh) 一种异常流量处理方法、装置、计算机设备及存储介质
CN110198290A (zh) 一种信息处理方法、设备、装置及存储介质
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP5925287B1 (ja) 情報処理装置、方法およびプログラム
JP7206980B2 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
JP2002164938A (ja) 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050916

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20051214

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080325

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080418

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110425

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110425

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120425

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120425

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130425

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130425

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140425

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees