JP4170301B2 - DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム - Google Patents

DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム Download PDF

Info

Publication number
JP4170301B2
JP4170301B2 JP2005047888A JP2005047888A JP4170301B2 JP 4170301 B2 JP4170301 B2 JP 4170301B2 JP 2005047888 A JP2005047888 A JP 2005047888A JP 2005047888 A JP2005047888 A JP 2005047888A JP 4170301 B2 JP4170301 B2 JP 4170301B2
Authority
JP
Japan
Prior art keywords
dos attack
exceeds
threshold
processing contents
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005047888A
Other languages
English (en)
Other versions
JP2006237892A (ja
Inventor
尚宏 寺山
聖 古川
隆茂 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005047888A priority Critical patent/JP4170301B2/ja
Publication of JP2006237892A publication Critical patent/JP2006237892A/ja
Application granted granted Critical
Publication of JP4170301B2 publication Critical patent/JP4170301B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、DoS攻撃を検出する技術に関する。
不正なデータを送信してコンピュータ装置を使用不能に陥らせるDoS(Denial of Services)攻撃に対し、さまざまなDoS攻撃検出方法が提案されている。例えば、特許文献1では、単位時間当たりに受信したパケット数に基づいてDoS攻撃を検知する方法が記載されている。
特開2004−140524
ところで、特定の端末から大量の信号(パケット、メッセージ、データなど)が送信される場合であっても、DoS攻撃に該当しない場合がある。具体的には、サービスの仕様上、端末が大量の信号を送信すること(例えば、多数の宛先端末に対する同報送信など)が許容される場合がある。このような場合、信号数に基づいてDoS攻撃を検出する方法(例えば、特許文献1)では、DoS攻撃に該当しない正規な信号の大量送信を、DoS攻撃と誤って認識する危険性がある。
また、特定の端末から送信される信号が少ない場合であっても、DoS攻撃に該当する場合がある。具体的には、サービスの仕様上、1つの信号の中に多数の処理内容(例えば、多数の宛先端末に対するデータ送信処理など)を設定することが許容される場合がある。このような信号については、信号数自体は少ない場合であっても、信号の中に含まれる処理内容によってはDoS攻撃に該当する場合がある。そのため、信号数に基づいてDoS攻撃を検出する方法では、このような信号に対するDoS攻撃の検出は困難である。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、サービスの仕様に応じて、より高い精度でDoS攻撃の検出を行うことにある。
上記課題を解決するために、例えば、第1の発明では、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、発信元端末毎に第1の監視期間内に受信した信号の数をカウントする第1の計測ステップと、前記カウントした発信元端末毎の各信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測ステップと、前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。
また、第2の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置は、第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、前記カウントした処理内容の数が第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、前記いずれかの処理内容の重複数が第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。
また、第3の発明は、情報処理装置が行うDoS攻撃検出方法であって、情報処理装置に送信される信号には、複数の処理内容が含まれ、情報処理装置は、所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行う。
本発明により、サービスの仕様に応じて、DoS攻撃の誤検出を防止し、より高い精度でDoS攻撃を検出することができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態が適用されたシステムの全体構成図である。
本実施形態のシステムでは、少なくとも1つの端末1と、サービス制御サーバ2と、付属サーバ3とが、インターネットなどのネットワーク9により接続されている。なお、ネットワーク9は、図示しないエッジルータや中継ルータを有するものとする。
サービス制御サーバ2は、各端末1に提供するサービスの制御を行う。そして、サービス制御サーバ2は、DoS攻撃の検出処理などを行う処理部21と、端末1から受信した信号等をカウントする各種のカウンタ22と、記憶部23とを有する。記憶部23には、対象外装置リスト24と、信号種別テーブル25と、端末登録リスト26と、が記憶されている。
対象外装置リスト24は、DoS攻撃の検出対象外の装置の一覧である。例えば、付属サーバ3や特定の端末1については、大量の信号をサービス制御サーバ2に送信することがサービスの仕様上不可欠な場合がある。このような装置については、DoS攻撃の検出対象外とするために、あらかじめ対象外装置リスト24に登録する。なお、対象外装置リスト24には、対象外とする各装置の識別情報(例えば、IPアドレス)が設定されるものとする。
信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。なお、信号種別テーブル25については後述する。端末登録リスト26には、サービス制御サーバ2のサービス提供を受けることができる端末1の識別情報(例えば、IPアドレス)が設定されている。付属サーバ3は、サービス制御サーバ2の制御の基づいて、端末1にサービスを提供する。
なお、本実施形態では、サービス制御サーバ2のサービス制御処理は、端末1がサービス制御信号を送信することにより始まる。サービス制御信号は、パケットやメッセージなどであって、端末1からサービス制御サーバ2にサービスの要求、通知、ファイル転送(音声・画像などのメディアやファイルの転送)などを行うためのデータである。また、サービス制御信号には、後述する信号種別、発信元端末の識別情報(例えば、IPアドレス)、宛先端末の識別情報(例えば、IPアドレス)などが含まれているものとする。
本実施形態では、サービスの種類に応じて、サービス制御信号AからEの5種類のサービス制御信号があるものとする。
サービス制御信号A(以下、「信号A」)およびサービス制御信号D(「以下、信号D」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Aおよび信号Dは、サービスの仕様上、一斉に複数の信号を送信する一斉送信(同報送信)は禁止(不正行為)されているものとする。
処理内容は、サービス制御サーバ2が端末1に対して行うサービス制御の最小単位である。処理内容の例としては、1つの宛先端末への通信処理、1つのコンテンツのダウンロード処理、1つの端末の状態通知受信処理などが考えられる。なお、本実施形態では、処理内容として、1つの宛先端末への通信処理を用いることとし、処理内容が同一か否かを識別するために宛先端末の識別情報を用いるものとする。
サービス制御信号B(以下、「信号B」)およびサービス制御信号E(「以下、信号E」)は、サービスの仕様上、1つのサービス制御信号内に1つの処理内容しか含めることができないものとする。また、信号Bおよび信号Eは、サービスの仕様上、複数の異なる処理内容の信号を一斉送信することは許容されているが、同一の処理内容の信号または不正な処理内容の信号を大量に一斉送信することは禁止されているものとする。すなわち、本実施形態の場合、信号Bおよび信号Eでは、異なる複数の宛先端末に対する一斉送信は許容されていが、同一の宛先端末に対する一斉送信については禁止(不正行為と)されているものとする。また、不正な宛先端末に対する一斉送信についても、禁止されているものとする。
サービス制御信号C(以下、「信号C」)は、サービスの仕様上、1つの信号内に複数の処理内容を含めることができるが、1つの信号内に大量に重複した処理内容、または、大量の不正な処理内容を含めることは禁止されているものとする。すなわち、本実施形態の場合、信号Cでは、異なる複数の宛先端末に対する操作指示を含めることができるが、同一の宛先端末または不正な宛先端末に対する大量の操作指示を含めることは禁止されているものとする。
次に、記憶部23に記憶された信号種別テーブル25について説明する。信号種別テーブル25は、サービス制御信号の種別に応じたDoS攻撃の検出方法が設定されたテーブルである。
図2は、信号種別テーブル25の一例を示した図である。信号種別テーブル25は、図示するように、信号種別201と、DoS攻撃の検出方法202と、第1の監視期間203と、第1の閾値204と、第2の監視期間205と、第2の閾値206と、第3の監視期間207と、第3の閾値208とを有する。図示する例では、信号Aと信号Dは、ともに「パターンa」の検出方法202を用いてDoS攻撃の検出を行う。しかしながら、信号Aと信号Dとでは、第1の監視期間203(「T1」と「T2」)、および、第1の閾値204(「S1」と「S2」)がそれぞれ異なる。なお、信号種別テーブル25の各項目については、後述するDoS検出処理で説明する。
上記説明した、端末1、サービス制御サーバ2および付属サーバ3は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、他の装置と接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。
このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、端末1、サービス制御サーバ2、および、付属サーバ3の各機能は、端末1用のプログラムの場合は端末1のCPU901が、サービス制御サーバ2用のプログラムの場合はサービス制御サーバ2のCPU901が、そして、付属サーバ3用のプログラムの場合は付属サーバ3のCPU901が、それぞれ実行することにより実現される。なお、サービス制御サーバ2の記憶部23には、サービス制御サーバ2のメモリ902または外部記憶装置903が用いられる。また、外部記憶装置903、入力装置904および出力装置905は、各装置が必要に応じて備えるものとする。
次に、サービス制御サーバ2におけるDoS攻撃の検知処理について説明する。
図4は、DoS攻撃検出処理の全体処理フロー図である。まず、サービス制御サーバ2の処理部21は、端末1から送信されたサービス制御信号(以下、「信号」)を受信し、信号のフォーマットが正常であるか否かを判別する(S11)。フォーマットが不正な場合(S11:NO)、処理部21は、受信した信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。
そして、不正フォーマットカウンタは、特定の発信元端末から所定の監視時間内に受信した不正なフォーマットの信号数をカウントする。すなわち、不正フォーマットカウンタは、記憶部23の不正フォーマット用監視テーブル(不図示)を参照し、特定した発信端末から受信した不正なフォーマットの信号数をカウントアップする。なお、不正フォーマット用監視テーブルに特定した発信端末が存在しない場合は、不正フォーマット用監視テーブルに当該発信端末を新規に追加し、現時点から所定の監視時間内に受信する不正なフォーマットの信号数を監視する。また、不正フォーマットカウンタは、所定の監視時間が満了すると、不正フォーマット用監視テーブルから監視時間が満了した発信端末を削除(または、信号数をゼロクリア)する。そして、処理部21は、不正フォーマットカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S12)。
不正なフォーマットの信号数が閾値より小さい場合(S12:NO)、処理部21は、DoS攻撃とみなさず、S11で受信した信号を廃棄、または、発信元端末にエラーレスポンスを送信する(S13)。一方、不正なフォーマットの信号数が閾値を超える場合(S12:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対しDoS攻撃に対する規制処理を行う(S14)。なお、DoS攻撃に対する規制処理としては、例えば、発信元端末から送信された信号を全て廃棄することにより、サービス制御サーバ2へのDoS攻撃の被害を防止することなどが考えられる。また、システム保守者にDoS攻撃を検出したことを通知するために、出力装置に発信元端末に関する情報(IPアドレスなど)を含むアラームメッセージを出力することが考えられる。
また、DoS攻撃の規制処理の解除については、所定の時間が経過した後に規制を解除する時限解除と、システム保守者が投入する解除コマンドによる手動解除との2つの方法が考えられる。ネットワークを運用する事業者のセキュリティ方針により、どちらの方法を選択することとしてもよい。例えば、24時間連続して稼動しているサーバの場合や、DoS攻撃の解除を行う発信元端末の数が多い場合、手動解除の方法ではシステム保守者の作業負荷が大きい。そのため、デフォルトは時限解除とし、時限解除までにDoS攻撃が明らかに収束している場合に限って手動解除を併用する方法が考えられる。
一方、信号のフォーマットが正常な場合(S11:YES)、処理部21は、信号のヘッダ情報を解析して、当該信号の発信元端末(発信元IPアドレス)を特定する。そして、処理部21は、特定した発信元端末がDoS攻撃の検出対象か否かを判別する(S15)。すなわち、処理部21は、発信元装置の発信元IPアドレスが、記憶部23の対象外装置リスト24に存在するか否かを判別する。
発信元装置が検出対象外の場合、すなわち、対象外装置リスト24に存在する場合(S15:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S16)。例えば、処理部21は、付属サーバ3を用いて、所定のサービスを端末に提供する。
また、発信元装置が検出対象の場合、すなわち、対象外装置リスト24に存在しない場合(S15:YES)、処理部21は、S11で受信した信号に含まれる信号種別を特定する。そして、処理部21は、記憶部23の信号種別テーブル25(図2参照)を参照し、特定した信号に対応する検出方法(検出パターン)の処理に振り分ける(S17)。なお、図示する例では、処理部21は、信号Aおよび信号Dの場合はパターンa(S18)、信号Bおよび信号Eの場合はパターンb(S19)、信号Cの場合はパターンc(S20)に振り分ける。
次に、パターンa、パターンb、パターンcの処理について、それぞれ説明する。
図5は、パターンa(図3のS18:信号Aまたは信号Dの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号のパラメータが正常か否かを判別する(S31)。受信した信号のパラメータが不正な場合(S31:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正なパラメータの信号数をカウントする。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、記憶部23の不正パラメータ用監視テーブル(不図示)を参照し、特定した発信元端末から受信した不正なパラメータの信号数をカウントアップする。なお、このような不正なパラメータの信号数をカウントする方法の他に、後述するS33においてサービス制御サーバ2が送信するエラーレスポンスの信号数をカウントすることとしてもよい。そして、処理部21は、不正パラメータカウンタがカウントした信号数が、所定の閾値を超えているか否かを判別する(S32)。
なお、パラメータが不正な場合としては、例えば、記憶部23の端末登録リスト26に記憶されていない宛先端末が設定されている場合、または、発信元端末の認証が必要なサービスにおいて発信元端末のパスワードと異なるパスワードが設定されている場合、などが考えられる。
不正なパラメータの信号数が閾値より小さい場合(S32:NO)、処理部21は、DoS攻撃と判別せず、発信元端末にエラーレスポンスを送信する(S33)。一方、不正なパラメータの信号数が閾値を超える場合(S32:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S34)。
一方、信号のパラメータが正常な場合(S31:YES)、信号数カウンタは、発信元端末から所定の監視時間内に受信した正常な信号数をカウントする。なお、信号数カウンタは、S11で受信した信号の信号種別(信号Aまたは信号D)に応じて、信号種別テーブル25(図2参照)に設定されたの第1の監視期間203内に受信した正常な信号数をカウントする。なお、信号数カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、正常な信号数をカウントアップする。
そして、処理部21は、信号数カウンタがカウントした正常な信号数が、信号種別テーブル25(図2参照)の第1の閾値204を超えているか否かを判別する(S35)。例えば、S11で受信した信号が「信号A」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。
正常な信号数が閾値より小さい場合(S35:NO)、処理部21は、S11で受信した信号がDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S36)。一方、正常な信号数が閾値を超える場合(S35:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S37)。
図6は、パターンb(図3のS19:信号Bまたは信号Eの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、図5で説明したS31と同様に、S11で受信した信号のパラメータが正常か否かを判別する(S41)。パラメータが不正な場合(S41:NO)、処理部21は、図5のS32からS34と同様の処理を行う(S42〜S44)。
一方、パラメータが正常な場合(S41:YES)、図3のS35と同様の処理を行う(S45)。例えば、S11で受信した信号が「信号B」の場合、信号数カウンタは、第1の監視期間203「T1」の間に発信元端末から受信した正常な信号数をカウントする。そして、処理部21は、正常な信号数が第1の閾値204「S1」を超えるか否かを判別する。
正常な信号数が閾値より小さい場合(S45:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S46)。一方、正常な信号数が閾値を超える場合(S45:YES)、処理部21は、S11で受信した当該発信元端末からの信号を対象に、処理内容が重複しているか否か(すなわち、処理内容が同じか否か)をチェックする。そして、当該発信元端末の処理内容毎に異なる処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号の中から、同一処理内容の信号数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号Bまたは信号E)に応じて、信号種別テーブル25に設定されたの第2の監視期間205「T4」または「T6」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、同一処理内容の信号数をカウントアップする。
そして、処理部21は、信号種別テーブル25を参照し、S11で受信した信号種別に対応する第2の閾値206を取得する。そして、処理部21は、処理内容カウンタがカウントした同一処理内容の信号数が、取得した第2の閾値206を超えているか否かを判別する(S47)。
なお、本実施形態では、特定発信元端末からの処理内容が同一か否かを識別するために宛先端末を用いている。そのため、処理内容カウンタは、S11で受信した信号に設定された宛先端末と同一の宛先端末に対する信号数をカウントする。そして、処理部21は、同一宛先端末に対する信号数が閾値を超えているか否かを判別する。
同一処理内容の信号数が閾値より小さい場合(S47:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S48)。一方、同一処理内容の信号数が閾値を超える場合(S47:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S49)。
図6に示すDoS攻撃検出処理により、端末からの一斉送信(例えば、同報送信)が可能なサービスにおいて、異なる複数の宛先端末への一斉送信はDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として検出することができる。
図7は、パターンc(図3のS20:信号Cの場合)のDoS攻撃検出処理フロー図である。まず、処理部21は、S11で受信した信号に含まれる処理内容のパラメータが正常か否かを判別する(S51)。いずれかのパラメータが不正な場合(S51:NO)、不正パラメータカウンタは、発信元端末から所定の監視時間内に受信した不正パラメータを有する信号の中から、不正パラメータを含む処理内容の数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて、信号種別テーブル25に設定されたの第3の監視期間207「T7」である。なお、不正パラメータカウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、不正パラメータの処理内容の数をカウントアップする。
そして、処理部21は、不正パラメータカウンタがカウントした処理内容の数が、信号種別テーブル25の第3の閾値208を超えているか否かを判別する(S52)。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。したがって、信号Cは、1つの信号に複数の宛先端末を設定することができる。そのため、処理部21は、例えば、信号の中に、端末登録リスト26に設定されていない不正な宛先端末が1つでも設定されている場合、不正な宛先の処理内容数の情報はS52に渡し、正常な処理内容数の情報はS55に渡す。
S51では、宛先端末以外のパラメータもチェックし、そのパラメータが宛先端末と関連付けられる場合は正しい宛先であってもその処理内容は不正と判別する(S51:NO)。関連付けられない共通パラメータの不正の場合は、不正な処理内容数を「1」、正当な処理内容数を「0」と判別する。
不正なパラメータの処理内容数が閾値より小さい場合(S52:NO)、処理部21は、DoS攻撃と判別せず、発信元端末に対しエラーレスポンスを送信する(S53)。一方、不正なパラメータの処理内容数が閾値を超える場合(S52:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S54)。
一方、受信した信号のパラメータが正常な場合(S51:YES)、処理内容カウンタは、発信元端末から所定の監視時間内に受信した正常な信号各々に含まれる処理内容の総数をカウントする。なお、所定の監視時間は、S11で受信した信号の信号種別(信号C)に応じて信号種別テーブル25に設定されたの第1の監視期間203「T1」である。なお、処理内容カウンタは、前述の不正フォーマットカウンタ(図4:S12)と同様の処理により、処理内容の数をカウントアップする。
そして、処理部21は、カウントした処理内容の数が、信号種別テーブル25の第1の閾値204を超えているか否かを判別する(S55)。処理内容数が閾値より小さい場合(S55:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S56)。一方、処理内容数が閾値を超える場合(S55:YES)、重複数カウンタは、S55でカウントした当該発信元端末の正常な処理内容の重複数を、さらにカウントする。なお、本実施形態では、処理内容の同一性を識別するために宛先端末を用いている。そのため、重複数カウンタは、第1の監視期間内に受信した当該発信元端末の正常な信号各々に含まれる各宛先端末の重複数をカウントする。
そして、処理部21は、いずれかの処理内容の重複数が、信号種別テーブル25の第2の閾値206を超えているか否かを判別する(S57)。
全ての処理内容の重複数が閾値より小さい場合(S57:NO)、処理部21は、S11で受信した信号はDoS攻撃ではないと判別し、当該信号に設定された正常な処理を行う(S58)。一方、いずれかの処理内容の重複数が閾値を超える場合(S57:YES)、処理部21は、DoS攻撃と判別し、発信元端末に対して図4のS14と同様の規制処理(信号の廃棄等)を行う(S59)
図7に示すDoS攻撃検出処理により、複数の処理内容(例えば、宛先端末)を1つの信号に含めることが可能なサービスにおいて、同一の処理内容(例えば、同一宛先端末または不正な宛先端末)を大量に含む信号によるDoS攻撃を、検出することができる。
以上、本発明の一実施形態を説明した。
本実施形態では、異なる複数の宛先端末(処理内容)への一斉送信(同報送信)が可能なサービスにおいて(図6参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号数が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の所定の監視時間内に送信された同一宛先端末への信号数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、通常の異なる複数の宛先端末への一斉送信についてはDoS攻撃と判別せず、同一の宛先端末に対する大量の一斉送信のみをDoS攻撃として効率よく検出することができる。
また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる総宛先端末数(総処理内容数)が所定の閾値を超えるか否かを判別し、閾値を超える場合は、さらに当該発信元端末の宛先端末毎の重複数が所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、同一の宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。
また、本実施形態では、複数の宛先端末(処理内容)を1つの信号に含めることが可能なサービスにおいて(図7参照)、サービス制御サーバ2は、所定の監視時間内に送信された信号各々に含まれる不正な宛先端末数(不正な処理内容数)が、所定の閾値を超えるか否かを判別する。これにより、サービス制御サーバ2は、不正な宛先端末を大量に含む信号によるDoS攻撃を、効率よく検出することができる。
また、本実施形態では、信号種別テーブル25を用いて、信号種別ごとに、DoS攻撃の検出方法(検出パターン)、監視時間、および閾値を設定している。これにより、サービス制御信号の種別に応じて、サービスの特性および仕様に応じた柔軟なDoS攻撃の検出を行うことができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、本発明は、最近注目されているSIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)プロトコルを使用したインスタントメッセージサービスに適用することが考えられる。すなわち、サービス制御信号Aをインスタントメッセージサービスの提供を受けられるようにプレゼンスサーバに端末を登録するための端末登録要求信号とし、サービス制御信号Bを特定の端末のプレゼンス状態を監視可能とする状態監視要求信号、サービス制御信号Dをユーザの状態またはアプリケーションなどのプレゼンス状態を変更する状態要求変更信号、サービス制御信号Eを特定の端末にメッセージを送信するメッセージング制御信号とした場合、プレゼンスサーバは、本発明を適用してDoS攻撃の検出を行うことができる。
なお、インスタントメッセージサービスにおいて、従来のDoS攻撃検出方法では、多数の宛先端末に対する状態監視要求信号、または、メッセージング制御信号の一斉同報は、誤ってDoS攻撃と判別されてしまう場合があった。しかしなから、本発明を適用することにより、正規の異なる宛先端末への一斉同報については、大量であってもDoS攻撃とはみなさず正常な処理を行う。一方、同一の宛先端末に対する信号の大量送信、または、不正な宛先端末への信号の大量送信については、DoS攻撃と判断する。これにより、サービス仕様と整合性の取れたDoS攻撃の検出を行うことができる。
本発明の一実施形態が適用されたシステムの全体構成図。 信号種別テーブルの一例を示す図。 各装置のハードウェア構成例を示す図。 DoS攻撃検出処理の全体処理フロー図。 パターンaのDoS攻撃検出処理フロー図。 パターンbのDoS攻撃検出処理フロー図。 パターンcのDoS攻撃検出処理フロー図。
符号の説明
1:端末、2:サービス制御サーバ、21:処理部、22:各種のカウンタ、23:記憶部、24:対象外装置リスト、25:信号種別テーブル、26:端末登録リスト、3:付属サーバ、9:ネットワーク

Claims (11)

  1. 情報処理装置が行うDoS攻撃検出方法であって、
    前記情報処理装置は、
    発信元端末毎に、第1の監視期間内に受信した信号の数をカウントする第1の計測ステップと、
    前記カウントした発信元端末毎の各信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
    所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測ステップと、
    前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
    前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
    を特徴とするDoS攻撃検出方法。
  2. 情報処理装置が行うDoS攻撃検出方法であって、
    前記情報処理装置は、
    第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
    前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
    前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
    前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
    前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
    を特徴とするDoS攻撃検出方法。
  3. 情報処理装置が行うDoS攻撃検出方法であって、
    前記情報処理装置に送信される信号には、複数の処理内容が含まれ、
    前記情報処理装置は、
    所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
    前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
    前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
    前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を行うこと
    を特徴とするDoS攻撃検出方法。
  4. 情報処理装置が行うDoS攻撃検出方法であって、
    前記情報処理装置は、
    信号の種別を示す信号種別情報毎に、DoS攻撃の検出パターンが記憶された信号種別記憶部を、有し、
    前記信号種別記憶部を参照して、受信した信号に含まれる信号識別情報に対応する検出パターンを選択する選択ステップと、
    前記選択ステップで選択した検出パターンを行い、DoS攻撃を検出する検出ステップと、を行い、
    前記検出ステップは、第1の検出パターンが選択された場合、
    第1の監視期間内に受信した信号の数を、カウントする第1の計測ステップと、
    前記カウントした信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
    前記カウントした信号数が前記第1の閾値を超えた場合、第2の監視期間内に受信した信号の中から、所定の処理内容の信号数をカウントする第2の計測ステップと、
    前記カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
    前記カウントした所定の処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有し、
    前記検出ステップは、第2の検出パターンが選択された場合、
    受信した信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
    前記エラー判別ステップで、各処理内容が正常であると判別された信号については、
    所定の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第3の計測ステップと、
    前記カウントした処理内容の数が第3の閾値を超えるか否かを判別する第3の判別ステップと、
    前記カウントした処理内容の数が前記第3の閾値を超えた場合、処理内容毎に重複数をカウントする第4の計測ステップと、
    前記第4の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第4の閾値を超えるか否かを判別する第4の判別ステップと、
    前記いずれかの処理内容の重複数が前記第4の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有し、
    前記エラー判別ステップで、エラーの処理内容を有すると判別された信号については、
    所定の監視時間内に受信した信号各々に含まれるエラーの処理内容の数をカウントする計測ステップと、
    前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
    前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を有すること
    を特徴とするDoS攻撃検出方法。
  5. 請求項1、請求項2、または、請求項3記載のDoS攻撃検出方法であって、
    前記処理内容には、当該処理内容を識別するための宛先情報が含まれること
    を特徴とするDoS攻撃検出方法。
  6. DoS攻撃検出システムであって、
    発信元端末毎に、第1の監視期間内に受信した信号の数を、カウントする第1の計測手段と、
    前記カウントした発信元端末毎の信号数が第1の閾値を超えるか否かを判別する第1の判別手段と、
    所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測手段と、
    前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別手段と、
    前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
    を特徴とするDoS攻撃検出システム。
  7. DoS攻撃検出システムであって、
    第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測手段と、
    前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別手段と、
    前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測手段と、
    前記第2の計測手段がカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別手段と、
    前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
    を特徴とするDoS攻撃検出システム。
  8. DoS攻撃検出システムであって、
    当該DoS攻撃検出システムに送信される信号には、複数の処理内容が含まれ、
    所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別手段と、
    前記エラー判別手段がエラーと判別した処理内容の数をカウントする計測手段と、
    前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別手段と、
    前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別手段と、を有すること
    を特徴とするDoS攻撃検出システム。
  9. 情報処理装置が実行するDoS攻撃検出プログラムであって、
    前記情報処理装置に、
    発信元端末毎に、第1の監視期間内に受信した信号の数をカウントする第1の計測ステップと、
    前記カウントした発信元端末毎の各信号数が、第1の閾値を超えるか否かを判別する第1の判別ステップと、
    所定の発信元端末の信号数が前記第1の閾値を超えた場合、第2の監視期間内に当該発信元端末から受信した信号の中から、重複する処理内容の信号数を処理内容毎にカウントする第2の計測ステップと、
    前記カウントした重複する処理内容の信号数が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
    前記重複する処理内容の信号数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
    を特徴とするDoS攻撃検出プログラム。
  10. 情報処理装置が実行するDoS攻撃検出プログラムであって、
    前記情報処理装置に、
    第1の監視期間内に受信した信号各々に含まれる複数の処理内容の数を、カウントする第1の計測ステップと、
    前記カウントした処理内容の数が第1の閾値を超えるか否かを判別する第1の判別ステップと、
    前記カウントした処理内容の数が前記第1の閾値を超えた場合、処理内容毎に重複数をカウントする第2の計測ステップと、
    前記第2の計測ステップでカウントした前記処理内容毎の重複数のいずれかの値が、第2の閾値を超えるか否かを判別する第2の判別ステップと、
    前記いずれかの処理内容の重複数が前記第2の閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
    を特徴とするDoS攻撃検出プログラム。
  11. 情報処理装置が実行するDoS攻撃検出プログラムであって、
    前記情報処理装置に送信される信号には、複数の処理内容が含まれ、
    前記情報処理装置に、
    所定の監視期間内に受信した各信号に含まれる複数の処理内容各々について、当該処理内容がエラーか否かを判別するエラー判別ステップと、
    前記エラー判別ステップで、エラーと判別した処理内容の数をカウントする計測ステップと、
    前記カウントしたエラーの処理内容の数が、所定の閾値を超えるか否かを判別する閾値判別ステップと、
    前記エラーの処理内容の数が前記閾値を超えた場合、DoS攻撃と判別するDoS攻撃判別ステップと、を実行させること
    を特徴とするDoS攻撃検出プログラム。
JP2005047888A 2005-02-23 2005-02-23 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム Active JP4170301B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005047888A JP4170301B2 (ja) 2005-02-23 2005-02-23 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005047888A JP4170301B2 (ja) 2005-02-23 2005-02-23 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム

Publications (2)

Publication Number Publication Date
JP2006237892A JP2006237892A (ja) 2006-09-07
JP4170301B2 true JP4170301B2 (ja) 2008-10-22

Family

ID=37045083

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005047888A Active JP4170301B2 (ja) 2005-02-23 2005-02-23 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム

Country Status (1)

Country Link
JP (1) JP4170301B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5050781B2 (ja) 2007-10-30 2012-10-17 富士通株式会社 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4987019B2 (ja) * 2009-01-22 2012-07-25 日本電信電話株式会社 攻撃トラヒック検出方法および攻撃トラヒック検出装置
JP5376011B2 (ja) * 2012-05-07 2013-12-25 株式会社リコー 情報処理装置と情報処理方法とプログラム
WO2014079960A1 (en) * 2012-11-22 2014-05-30 Koninklijke Kpn N.V. System to detect behaviour in a telecommunications network
JP2013122784A (ja) * 2013-02-08 2013-06-20 Ricoh Co Ltd 情報処理方法、情報処理装置及びシステム
CN105306436B (zh) * 2015-09-16 2016-08-24 广东睿江云计算股份有限公司 一种异常流量检测方法
CN107872434B (zh) * 2016-09-27 2020-12-01 阿里巴巴集团控股有限公司 一种访问点的筛选方法和装置
JP6743778B2 (ja) * 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 受信装置、監視機及びコンピュータプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (ja) * 2002-10-16 2004-05-13 Sony Corp DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
JP3760919B2 (ja) * 2003-02-28 2006-03-29 日本電気株式会社 不正アクセス防止方法、装置、プログラム
JP3828523B2 (ja) * 2003-07-16 2006-10-04 株式会社東芝 不正アクセス防御装置及びプログラム

Also Published As

Publication number Publication date
JP2006237892A (ja) 2006-09-07

Similar Documents

Publication Publication Date Title
JP4170301B2 (ja) DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP5264470B2 (ja) 攻撃判定装置及びプログラム
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
CN109889547B (zh) 一种异常网络设备的检测方法及装置
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
CN106537872B (zh) 用于检测计算机网络中的攻击的方法
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
US20070022468A1 (en) Packet transmission equipment and packet transmission system
JP6520515B2 (ja) ネットワーク監視システム、ネットワーク監視プログラム及びネットワーク監視方法
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
JP4437107B2 (ja) コンピュータシステム
US8064454B2 (en) Protocol incompatibility detection
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
JP2014036408A (ja) 通信装置、通信システム、通信方法、および、通信プログラム
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JPH10143338A (ja) ネットワークプリンタ
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
JP4002276B2 (ja) 不正接続検知システム
JP2003348113A (ja) スイッチおよびlan
CN114301644A (zh) 网络异常检测系统及方法
JP2009225045A (ja) 通信妨害装置及び通信妨害プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070717

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080122

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080729

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080806

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4170301

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130815

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350