JP4170301B2 - DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム - Google Patents
DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム Download PDFInfo
- Publication number
- JP4170301B2 JP4170301B2 JP2005047888A JP2005047888A JP4170301B2 JP 4170301 B2 JP4170301 B2 JP 4170301B2 JP 2005047888 A JP2005047888 A JP 2005047888A JP 2005047888 A JP2005047888 A JP 2005047888A JP 4170301 B2 JP4170301 B2 JP 4170301B2
- Authority
- JP
- Japan
- Prior art keywords
- dos attack
- exceeds
- threshold
- processing contents
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
図4は、DoS攻撃検出処理の全体処理フロー図である。まず、サービス制御サーバ2の処理部21は、端末1から送信されたサービス制御信号(以下、「信号」)を受信し、信号のフォーマットが正常であるか否かを判別する(S11)。フォーマットが不正な場合(S11:NO)、処理部21は、受信した信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。
図7に示すDoS攻撃検出処理により、複数の処理内容(例えば、宛先端末)を1つの信号に含めることが可能なサービスにおいて、同一の処理内容(例えば、同一宛先端末または不正な宛先端末)を大量に含む信号によるDoS攻撃を、検出することができる。
Claims (11)
- 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
発信元端末毎に、第1の監視期間内に受信した信号の数をカウントする第1の計測ステップと、
前記カウントした発信元端末毎の各信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測ステップと、
前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 - 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 - 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置に送信される信号には、複数の処理内容が含まれ、
前記情報処理装置は、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
を特徴とするDoS攻撃検出方法。 - 情報処理装置が行うDoS攻撃検出方法であって、
前記情報処理装置は、
信号の種別を示す信号種別情報毎に、DoS攻撃の検出パターンが記憶された信号種別記憶部を、有し、
前記信号種別記憶部を参照して、受信した信号に含まれる信号識別情報に対応する検出パターンを選択する選択ステップと、
前記選択ステップで選択した検出パターンを行い、DoS攻撃を検出する検出ステップと、を行い、
前記検出ステップは、第1の検出パターンが選択された場合、
第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
前記カウントした信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から、所定の処理内容の信号数をカウントする第2の計測ステップと、
前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有し、
前記検出ステップは、第2の検出パターンが選択された場合、
受信した信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、各処理内容が正常であると判別された信号については、
所定の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第3の計測ステップと、
前記カウントした処理内容の数が第3の閾値を超えるか否かを判別する第3の判別ステップと、
前記カウントした処理内容の数が前記第3の閾値を超えた場合、処理内容毎に重複数をカウントする第4の計測ステップと、
前記第4の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第4の閾値を超えるか否かを判別する第4の判別ステップと、
前記いずれかの処理内容の重複数が前記第4の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有し、
前記エラー判別ステップで、エラーの処理内容を有すると判別された信号については、
所定の監視時間内に受信した信号各々に含まれるエラーの処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有すること
を特徴とするDoS攻撃検出方法。 - 請求項1、請求項2、または、請求項3記載のDoS攻撃検出方法であって、
前記処理内容には、当該処理内容を識別するための宛先情報が含まれること
を特徴とするDoS攻撃検出方法。 - DoS攻撃検出システムであって、
発信元端末毎に、第1の監視期間内に受信した信号の数を、カウントする第1の計測手段と、
前記カウントした発信元端末毎の信号数が第1の閾値を超えるか否かを判別する第1の判別手段と、
所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測手段と、
前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 - DoS攻撃検出システムであって、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測手段と、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別手段と、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測手段と、
前記第2の計測手段がカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別手段と、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 - DoS攻撃検出システムであって、
当該DoS攻撃検出システムに送信される信号には、複数の処理内容が含まれ、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別手段と、
前記エラー判別手段がエラーと判別した処理内容の数をカウントする計測手段と、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別手段と、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
を特徴とするDoS攻撃検出システム。 - 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に、
発信元端末毎に、第1の監視期間内に受信した信号の数をカウントする第1の計測ステップと、
前記カウントした発信元端末毎の各信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測ステップと、
前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 - 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に、
第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。 - 情報処理装置が実行するDoS攻撃検出プログラムであって、
前記情報処理装置に送信される信号には、複数の処理内容が含まれ、
前記情報処理装置に、
所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
を特徴とするDoS攻撃検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047888A JP4170301B2 (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047888A JP4170301B2 (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006237892A JP2006237892A (ja) | 2006-09-07 |
JP4170301B2 true JP4170301B2 (ja) | 2008-10-22 |
Family
ID=37045083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005047888A Active JP4170301B2 (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4170301B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5050781B2 (ja) | 2007-10-30 | 2012-10-17 | 富士通株式会社 | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
JP4987019B2 (ja) * | 2009-01-22 | 2012-07-25 | 日本電信電話株式会社 | 攻撃トラヒック検出方法および攻撃トラヒック検出装置 |
JP5376011B2 (ja) * | 2012-05-07 | 2013-12-25 | 株式会社リコー | 情報処理装置と情報処理方法とプログラム |
WO2014079960A1 (en) * | 2012-11-22 | 2014-05-30 | Koninklijke Kpn N.V. | System to detect behaviour in a telecommunications network |
JP2013122784A (ja) * | 2013-02-08 | 2013-06-20 | Ricoh Co Ltd | 情報処理方法、情報処理装置及びシステム |
CN105306436B (zh) * | 2015-09-16 | 2016-08-24 | 广东睿江云计算股份有限公司 | 一种异常流量检测方法 |
CN107872434B (zh) * | 2016-09-27 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 一种访问点的筛选方法和装置 |
JP6743778B2 (ja) * | 2017-07-19 | 2020-08-19 | 株式会社オートネットワーク技術研究所 | 受信装置、監視機及びコンピュータプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
JP3760919B2 (ja) * | 2003-02-28 | 2006-03-29 | 日本電気株式会社 | 不正アクセス防止方法、装置、プログラム |
JP3828523B2 (ja) * | 2003-07-16 | 2006-10-04 | 株式会社東芝 | 不正アクセス防御装置及びプログラム |
-
2005
- 2005-02-23 JP JP2005047888A patent/JP4170301B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006237892A (ja) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
JP3824274B2 (ja) | 不正接続検知システム及び不正接続検知方法 | |
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
JP6520515B2 (ja) | ネットワーク監視システム、ネットワーク監視プログラム及びネットワーク監視方法 | |
JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
JP4437107B2 (ja) | コンピュータシステム | |
US8064454B2 (en) | Protocol incompatibility detection | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
JPH10143338A (ja) | ネットワークプリンタ | |
JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
JP4002276B2 (ja) | 不正接続検知システム | |
JP2003348113A (ja) | スイッチおよびlan | |
CN114301644A (zh) | 网络异常检测系统及方法 | |
JP2009225045A (ja) | 通信妨害装置及び通信妨害プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070918 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080122 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080729 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080806 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4170301 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120815 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130815 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |