JP4280245B2 - Flood attack prevention method and apparatus - Google Patents

Flood attack prevention method and apparatus Download PDF

Info

Publication number
JP4280245B2
JP4280245B2 JP2005060813A JP2005060813A JP4280245B2 JP 4280245 B2 JP4280245 B2 JP 4280245B2 JP 2005060813 A JP2005060813 A JP 2005060813A JP 2005060813 A JP2005060813 A JP 2005060813A JP 4280245 B2 JP4280245 B2 JP 4280245B2
Authority
JP
Japan
Prior art keywords
traffic
rate
value
received
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005060813A
Other languages
Japanese (ja)
Other versions
JP2006246177A (en
Inventor
貴文 濱野
隆司 池川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005060813A priority Critical patent/JP4280245B2/en
Publication of JP2006246177A publication Critical patent/JP2006246177A/en
Application granted granted Critical
Publication of JP4280245B2 publication Critical patent/JP4280245B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信ネットワークに接続された装置を分散型サービス拒否攻撃(Distributed Denial of Service,DDoS)などのフラッド攻撃から防御するフラッド攻撃防御方法および装置に関するものである。   The present invention relates to a flood attack prevention method and apparatus for protecting a device connected to a communication network from a flood attack such as a distributed denial of service (DDoS).

通信ネットワークに接続された装置をフラッド攻撃から防御するために、被攻撃ホストと攻撃ホストの間に設置されたネットワーク装置において、被攻撃ホスト宛てのトラヒックの一部を廃棄し、被攻撃ホストに到達するトラヒックレートを小さくする処理が、従来より行われている。   In order to protect the devices connected to the communication network from flood attacks, a part of the traffic destined for the attacked host is discarded in the network device installed between the attacked host and the attacking host and reaches the attacked host. Conventionally, processing for reducing the traffic rate to be performed has been performed.

IPルータやレイヤ2スイッチなどのネットワーク装置において、宛先IPアドレス、送信元IPアドレス、プロトコル識別子などにより指定したパケット識別子にマッチするトラヒックに対し、指定したレートリミット設定値を超えた分を廃棄し、該レートリミット設定値以下のトラヒックレートでトラヒックを送信するトラヒックポリシング機能が広く実装されている。このトラヒックポリシング機能の実装例として、非特許文献1、非特許文献2、非特許文献3がある。
Cisco社、“Policing and Shaping Overview”、http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800bd8ed.html 日立製作所、“GR2000ソフトウェアマニュアル解説書Vol.2 Ver.08−03対応 500−10−158”、http://www.hitachi.co.jp/Prod/comp/network/manual/router/gr2k/0803/HTML/KAISETS2/INDEX.HTM JuniperNetworks社、“Netscreen Concepts & Examples ScreenOS Reference Guide Volume 2:Fundamentals ScreenOS5.1.0 P/N093−1367−0000 Rev.A”、http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/CE_v2.pdf In a network device such as an IP router or a layer 2 switch, for traffic matching the packet identifier specified by the destination IP address, source IP address, protocol identifier, etc., the portion exceeding the specified rate limit setting value is discarded, A traffic policing function for transmitting traffic at a traffic rate below the rate limit setting value is widely implemented. Non-Patent Document 1, Non-Patent Document 2, and Non-Patent Document 3 are examples of implementation of this traffic policing function.
Cicco, “Policing and Shaping Overview”, http: // www. cisco. com / en / US / products / sw / iosswrel / ps1835 / products_configuration_guide_chapter09186a00800bd8ed. html Hitachi, "GR2000 Software Manual Manual Vol.2 Ver.08-03 compatible 500-10-158", http: // www. hitachi. co. jp / Prod / comp / network / manual / router / gr2k / 0803 / HTML / KAISETS2 / INDEX. HTM Juniper Networks, “Netscreen Concepts & Examples ScreenOS Reference Guide Volume 2: Fundamentals ScreenOS 5.1.0 P / N093-1367-0000 Rev. A” /http://www.netscreenconcepts&examplesscreenOSReferenceGuideVolume 2: juniper. net / techpubs / software / screenos / screenos5.1.0 / CE_v2. pdf

しかしながら、被攻撃ホストと攻撃ホストの間に設置されたネットワーク装置において被攻撃ホスト宛てパケットの一部を廃棄する処理を、従来のネットワーク装置に実装されているトラヒックポリシング機能を用いて実現する場合、被攻撃ホスト宛てに少量のトラヒックレートでパケットを送出している正当ホストから受信したパケットも廃棄してしまう。   However, when the processing for discarding a part of the packet addressed to the attacked host in the network device installed between the attacked host and the attacking host is realized by using the traffic policing function implemented in the conventional network device, Packets received from legitimate hosts that send packets to the attacked host at a small traffic rate are also discarded.

本発明の目的は、被攻撃ホスト宛てに少ないトラヒックレートでパケットを送出している正当ホストから受信したパケットを保護することが可能なフラッド攻撃防御方法および装置を提供することにある。   An object of the present invention is to provide a flood attack prevention method and apparatus capable of protecting a packet received from a legitimate host sending a packet to the attacked host at a low traffic rate.

本発明の第1の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと、
(b)ステップ(a)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(c)ステップ(b)により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有する。 According to the first aspect of the present invention, the flood attack defense method comprises:
(A) The packet addressed to the attacked host is classified based on the value of the designated traffic identification parameter, and the received traffic rate of the received packet flow is designated as the designated first rate limit setting value for each classified packet flow. A packet that exceeds the first rate limit is transmitted for each classified packet flow at a transmission traffic rate that does not exceed the first rate limit setting value; and
(B) measuring the total transmission traffic rate of packets addressed to the attacked host transmitted in step (a);
(C) The transmission traffic rate addressed to the attacked host measured in step (b) is compared with the designated second rate limit setting value, and the transmission traffic rate addressed to the attacked host is set to the second rate limit setting. If greater than the value, updating the first rate limit set value to a value less than the current value.

本発明の第1の態様によれば、フラッド攻撃防御装置は、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する個別トラヒックポリシング手段と、
個別トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するレートリミット設定値更新手段と
を有する。 According to the first aspect of the present invention, the flood attack protection device comprises:
A packet receiving means for receiving a packet addressed to the attacked host;
The packet addressed to the host under attack received by the packet receiving means is classified based on the value of the designated traffic identification parameter, and the received traffic rate of the received packet flow is designated by the designated first traffic for each classified packet flow. Individual traffic that discards packets that exceed the rate limit setting value and transmits packets addressed to the attacked host for each classified packet flow at a transmission traffic rate that does not exceed the first rate limit setting value Policing means;
Transmission traffic rate measuring means for measuring the total transmission traffic rate of packets addressed to the attacked host transmitted by the individual traffic policing means;
When the total transmission traffic rate measured by the transmission traffic rate measuring means is compared with the designated second rate limit setting value, and the transmission traffic rate addressed to the attacked host is larger than the second rate limit setting value, Rate limit setting value updating means for updating the first rate limit setting value to a value smaller than the current value.

指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットについては、まったく廃棄されないか、あるいは、廃棄するパケット数が小さくなり、攻撃ホストから受信したパケットを多量に廃棄しながら、正当ホストから受信したパケットをあまり廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。   Packets addressed to the attacked host are classified based on the value of the specified traffic identification parameter, and traffic policing is performed using the same rate limit setting value for each classified packet flow. Therefore, a high traffic rate is addressed to the attacked host. While discarding a large amount of packets received from the attacking host that is sending packets at, the packets received from the legitimate host sending packets to the attacked host at a low traffic rate are either not discarded at all, or Thus, the number of packets to be discarded is reduced, and a large number of packets received from the attacking host are discarded, and packets received from the legitimate host can be transmitted to the attacked host without discarding much.

本発明の第2の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)ステップ(a)により測定されたトラヒック識別パラメータの値に基づいて分類されたパケットフロー毎の被攻撃ホスト宛て受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信するステップと、
(d)ステップ(c)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(e)ステップ(d)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するステップと
を有する。 According to the second aspect of the present invention, the flood attack protection method comprises:
(A) classifying a packet addressed to an attacked host based on a value of a designated traffic identification parameter, and measuring a received traffic rate of a received packet for each classified packet flow;
(B) The received traffic rate addressed to the attacked host for each packet flow classified based on the value of the traffic identification parameter measured in step (a), the specified attack determination threshold value, and the specified traffic identification parameter Comparing each value, and as a result, obtaining all the traffic identification parameter values that result in the received traffic rate being greater than the attack determination threshold;
(C) For each packet flow addressed to the attacked host that matches one of the traffic identification parameter values obtained in step (b), the received traffic rate of the received packet is set to the designated first rate limit setting value. The excess packets are discarded, and packets are sent to the host under attack at the transmission traffic rate that does not exceed the first rate limit setting value for each packet flow, and other packet flows are received. Sending all the packets,
(D) measuring the total transmission traffic rate of packets addressed to the attacked host transmitted in step (c);
(E) The total transmission traffic rate addressed to the attacked host measured in step (d) is compared with a designated second rate limit setting value, and the total transmission traffic rate addressed to the attacked host is the second rate. Updating the value of the first rate limit set value to a value less than the current value if greater than the limit set value.

本発明の第2の態様によれば、フラッド攻撃防御装置は、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定する受信トラヒックレート測定手段と、
受信トラヒックレート測定手段により測定された、受信トラヒックレートを、指定された攻撃判定閾値と、トラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求める攻撃トラヒック識別パラメータ値検出手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信する個別限定トラヒックポリシング手段と、
個別限定トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するレートリミット設定値更新手段と、
を有する。 According to the second aspect of the present invention, the flood attack protection device comprises:
A packet receiving means for receiving a packet addressed to the attacked host;
Receiving traffic rate measuring means for classifying the packets addressed to the attacked host received by the packet receiving means based on the value of the designated traffic identification parameter and measuring the received traffic rate of the received packet for each classified packet flow; ,
The traffic identification parameter measured by the reception traffic rate measuring means is compared with the specified attack determination threshold value for each traffic identification parameter value, and as a result, the received traffic rate is greater than the attack determination threshold value. An attack traffic identification parameter value detecting means for obtaining all values of
For each packet flow addressed to the attacked host that matches one of the traffic identification parameter values obtained by the attack traffic identification parameter value detection means, the received traffic rate of the received packet flow is designated as a first rate limit setting value. For each packet flow, a packet is transmitted to the host under attack at a transmission traffic rate not exceeding the first rate limit setting value, and other packet flows are Individually limited traffic policing means for transmitting all received packets;
Transmission traffic rate measuring means for measuring the total transmission traffic rate of packets addressed to the attacked host transmitted by the individual limited traffic policing means;
The total transmission traffic rate addressed to the attacked host measured by the transmission traffic rate measuring means is compared with the designated second rate limit setting value, and the transmission traffic rate addressed to the attacked host is the second rate limit setting value. A rate limit setting value updating means for updating the value of the first rate limit setting value to a value smaller than the current value, if greater,
Have

指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローに対してのみ、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットについてはまったく廃棄をしないため、攻撃ホストから受信したパケットを多量に廃棄しながら、正当ホストから受信したパケットをまったく廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。   Based on the value of the specified traffic identification parameter, the packets addressed to the attacked host are classified. Among the classified packet flows, only the packet flow having the traffic identification parameter value determined to be an attack is classified. Because traffic policing is performed using the same rate limit setting value for each packet flow, a large amount of packets received from the attacking host sending packets to the attacked host at a high traffic rate are discarded, while the attacked host Packets received from legitimate hosts that send packets at a low traffic rate are not discarded at all, so a large amount of packets received from the attacking host are discarded, and packets received from legitimate hosts are not discarded at all. Send a packet to the host under attack Door can be.

また、トラヒックポリシングの設定数がトラヒック識別パラメータの値が取りうる種類の数に依存しないため、トラヒック識別パラメータの値が取りうる種類の数が多い場合に、フラッド攻撃防御装置の処理負荷を小さく抑えることができる。   In addition, since the number of traffic policing settings does not depend on the number of types that can be taken by the traffic identification parameter value, the processing load on the flood attack defense device is kept small when the number of types that the traffic identification parameter value can take is large. be able to.

本発明の第3の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信トラヒックパケットの受信レートを測定するステップと、
(b)ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較するステップと、
(d)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より小さい場合には、
(d1) ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信し、
(d2) ステップ(d1)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定し、
(d3) ステップ(d2)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新する、
の各ステップ(d1〜d3)を順に実行するステップと、
(e)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より大きい場合には、被攻撃ホスト宛て受信パケットのうち、受信パケットの受信トラヒックレートが、第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと
を有する。 According to the third aspect of the present invention, the flood attack protection method comprises:
(A) classifying a packet addressed to an attacked host based on a value of a designated traffic identification parameter, and measuring a reception rate of a received traffic packet for each classified packet flow;
(B) The received traffic rate measured in step (a) is compared with the specified attack determination threshold value for each value of the specified traffic identification parameter, and as a result, the received traffic rate is greater than the attack determination threshold value. Obtaining all the traffic identification parameter values
(C) comparing the number of types of traffic identification parameter values obtained in step (b) with a designated attack flow number upper limit determination threshold;
(D) If the number of types of traffic identification parameter values is smaller than the attack flow number upper limit determination threshold value as a result of the comparison in step (c),
(D1) For each packet flow addressed to the attacked host that matches one of the traffic identification parameter values obtained in step (b), the received traffic rate of the received packet flow is designated as the first rate limit setting value. Packets that exceed the limit are discarded, and packets are sent to the attacked host at a transmission traffic rate that does not exceed the first rate limit setting value for each packet flow, and other packet flows are received. Send all packets,
(D2) Measure the total transmission traffic rate of packets addressed to the attacked host transmitted in step (d1),
(D3) The total transmission traffic rate addressed to the attacked host measured in step (d2) is compared with the designated second rate limit setting value, and the total transmission traffic rate addressed to the attacked host is the second rate. If greater than the limit set value, update the first rate limit set value to a value less than the current value.
Performing the steps (d1 to d3) in order,
(E) As a result of the comparison in step (c), when the number of types of traffic identification parameter values is larger than the attack flow number upper limit determination threshold, the received traffic rate of the received packet among the received packets addressed to the attacked host is And discarding packets that exceed the second rate limit setting value and transmitting the packet to the host under attack at a transmission traffic rate that does not exceed the second rate limit setting value.

本発明の第3の態様によれば、フラッド攻撃防御装置は、第2の態様のフラッド攻撃防御装置に、
パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較する攻撃フロー数上限判定手段と、
攻撃フロー数上限判定手段により、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より大きい場合には、全体トラヒックポリシング手段によるトラヒックポリシングを実行し、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より小さい場合には、個別限定トラヒックポリシング手段によるトラヒックポリシングを実行するトラヒックポリシング切替手段と
をさらに有する。 According to the third aspect of the present invention, the flood attack defense apparatus includes the flood attack defense apparatus according to the second aspect,
For packets addressed to the attacked host received by the packet receiving means, discard the packets for which the received traffic rate of the received packet exceeds the specified second rate limit setting value, and the second rate An overall traffic policing means for transmitting a packet to an attacked host at a transmission traffic rate not exceeding a limit setting value;
An attack flow number upper limit determination means for comparing the number of types of traffic identification parameter values obtained by the attack traffic identification parameter value detection means with a specified attack flow number upper limit determination threshold;
If the number of types of the traffic identification parameter value is larger than the attack flow number upper limit determination threshold by the attack flow number upper limit determination means, traffic policing is executed by the overall traffic policing means, and the value of the traffic identification parameter value is When the number of types is smaller than the attack flow number upper limit determination threshold, the traffic policing switching means for executing traffic policing by the individual limited traffic policing means is further provided.

指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローの種類の数が多い場合、全パケットフローを合算してトラヒックポリシングを行うため、前記攻撃と判定したトラヒック識別パラメータの値の数が多い場合であってもフラッド攻撃防御装置の処理負荷を小さくおさえながら、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したパケットを廃棄することができる。   If the packet addressed to the attacked host is classified based on the value of the specified traffic identification parameter, and there are many types of packet flows with the value of the traffic identification parameter determined to be an attack among the classified packet flows, Since traffic policing is performed by summing up all packet flows, even if the number of traffic identification parameter values determined to be the attack is large, the processing load of the flood attack defense device is kept low, and high for the attacked host Packets received from a number of attacking hosts that are sending packets at the traffic rate can be discarded.

本発明の第4の態様によれば、フラッド攻撃防御方法は、第2の態様のフラッド攻撃防御方法に対し、
第1のレートリミット設定値の値を0にした場合に、測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップをさらに有する。 According to the fourth aspect of the present invention, the flood attack defense method is different from the flood attack defense method of the second aspect.
When the value of the first rate limit setting value is set to 0, the transmission traffic rate addressed to the attacked host is compared with the specified second rate limit setting value, and the transmission traffic rate addressed to the attacked host Is larger than the second rate limit setting value, the received packet addressed to the attacked host is a packet for which the received traffic rate of the received packet exceeds the specified second rate limit setting value. And sending a packet to the attacked host at a transmission traffic rate that does not exceed the second rate limit setting value.

本発明の第4の態様によれば、フラッド攻撃防御装置は、第2の態様のフラッド攻撃防御装置に対し、
第1のレートリミット設定値の値を0にした場合に、送信トラヒックレート測定手段により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが、該第2のレートリミット設定値より大きい場合、パケット受信手段により受信した被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段をさらに有する。 According to the fourth aspect of the present invention, the flood attack defense apparatus is a flood attack defense apparatus according to the second aspect,
When the value of the first rate limit setting value is set to 0, the transmission traffic rate addressed to the attacked host measured by the transmission traffic rate measuring means is compared with the specified second rate limit setting value. When the transmission traffic rate addressed to the attacking host is larger than the second rate limit setting value, the received traffic rate of the received packet is set to the designated second rate limit with respect to the packet addressed to the attacked host received by the packet receiving means. It further comprises overall traffic policing means for discarding packets that exceed the set value and transmitting the packet to the attacked host at a transmission traffic rate that does not exceed the second rate limit set value.

指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー単位では攻撃と判定できない場合でも、フラッド攻撃防御装置の処理負荷を小さくおさえながら、被攻撃ホスト宛てにパケットを送出している多数の攻撃ホストから受信したパケットを廃棄することができる。   Packets addressed to the attacked host are classified based on the value of the specified traffic identification parameter, and even if it cannot be determined as an attack in the classified packet flow unit, addressing to the attacked host while reducing the processing load of the flood attack defense device Packets received from a number of attacking hosts that are sending packets to can be discarded.

本発明の第1〜第4の態様のいずれにおいても、トラヒック識別パラメータとして、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せを使用することができる。   In any of the first to fourth aspects of the present invention, the received line information, the source IP address and subnet mask, the protocol number, the source port number, the destination port number, Type of Service, and Total Length are used as the traffic identification parameters. , Any of Time to Live and combinations thereof can be used.

本発明は、以下に述べる効果がある。   The present invention has the following effects.

請求項1と6の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットをあまり廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。   The inventions of claims 1 and 6 classify a packet addressed to an attacked host based on a traffic identification parameter such as a receiving line, and perform traffic policing using the same rate limit setting value for each classified packet flow. While discarding a large amount of packets received from the attacking host that is sending packets to the attacked host at a high traffic rate, packets received from legitimate hosts that are sending packets to the attacking host at a low traffic rate The packet can be transmitted to the attacked host without discarding much.

請求項2と7の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローに対してのみ、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、前記トラヒック識別パラメータの値が取りうる種類の数が多い場合に、フラッド攻撃防御装置の処理負荷を軽減することができる。   According to the second and seventh aspects of the present invention, packets addressed to the attacked host are classified based on traffic identification parameters such as a receiving line, and a packet flow having a traffic identification parameter value determined as an attack among the classified packet flows. Only when the traffic policing is performed using the same rate limit setting value for each classified packet flow, when the number of types that the traffic identification parameter value can take is large, the flood attack protection device process The load can be reduced.

請求項3と8の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値の数が多い場合であっても、フラッド攻撃防御装置の処理負荷を小さくおさえたまま、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したトラヒックを廃棄することができる。   According to the third and eighth aspects of the present invention, packets addressed to the attacked host are classified based on traffic identification parameters such as a receiving line, and the number of traffic identification parameter values determined as attacks is large in the classified packet flow. Even in this case, it is possible to discard traffic received from a large number of attacking hosts that are sending packets to the attacked host at a high traffic rate while keeping the processing load of the flood attack protection apparatus small.

請求項4と9の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー単位では攻撃と判定できない場合でも、フラッド攻撃防御装置の処理負荷を小さくおさえたまま、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したトラヒックを廃棄することができる。   The inventions of claims 4 and 9 classify packets addressed to the host under attack based on traffic identification parameters such as receiving lines, and reduce the processing load of the flood attack defense device even when it cannot be determined as an attack for each classified packet flow. While being kept small, traffic received from a large number of attacking hosts that are sending packets to the attacked host at a high traffic rate can be discarded.

請求項1から10の発明は、受信回線情報に基づいて被攻撃ホスト宛てパケットを分類し、受信回線情報の値ごとに分類されたパケットフローに対し、パケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行う場合、IPネットワークのように、パケットの送信元アドレスが詐称される可能性のある場合であっても、攻撃元を特定することが可能である。   According to the first to tenth aspects of the present invention, packets addressed to the attacked host are classified based on the received line information, and the same rate limit setting value is set for each packet flow with respect to the packet flows classified for each value of the received line information. When traffic policing is used, even if there is a possibility that the source address of a packet may be spoofed as in an IP network, it is possible to specify the attack source.

次に、本発明の実施の形態について図面を参照して詳細に説明する。   Next, embodiments of the present invention will be described in detail with reference to the drawings.

[第1の実施形態]
図1は本発明の第1の実施形態によるフラッド攻撃防御装置の構成図である。 [First Embodiment]
FIG. 1 is a configuration diagram of a flood attack defense apparatus according to a first embodiment of the present invention.

図1を参照すると、フラッド攻撃防御装置1Aは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。   Referring to FIG. 1, the flood attack protection apparatus 1A is installed on a network 10 that connects an attacked host 11 and attack hosts 12, 13, and 14.

フラッド攻撃防御装置1Aは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9から構成されている。   The flood attack protection apparatus 1A includes a communication port 2, a packet transmitting / receiving unit 3, a traffic policing unit 4 for each traffic identification parameter value, a transmission traffic amount measuring unit 5, a rate limit set value updating unit 6, and a traffic identification parameter registration. The table 7 includes a rate limit set value A registration table 8 and a rate limit set value B registration table 9.

通信ポート2は、被攻撃ホスト11宛てパケットを受信し、該パケットをパケット送受信部3に転送する。また、通信ポート2は、パケット送受信部3から受信したパケットをネットワーク10に送信する。なお、受信用の通信ポートと送信用の通信ポートが独立に構成されていてもよい。また、受信用、送信用、送受信兼用のいずれの場合においても、複数の通信ポートから構成されていてもよい。   The communication port 2 receives the packet addressed to the attacked host 11 and transfers the packet to the packet transmitting / receiving unit 3. The communication port 2 transmits the packet received from the packet transmitting / receiving unit 3 to the network 10. Note that the communication port for reception and the communication port for transmission may be configured independently. Further, in any case of reception, transmission, and transmission / reception, the communication port may be composed of a plurality of communication ports.

パケット送受信部3は、通信ポート2から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。   The packet transmitting / receiving unit 3 transfers the packet received from the communication port 2 to the traffic policing unit 4 for each traffic identification parameter value, transfers the packet received from the traffic policing unit 4 for each traffic identification parameter value to the communication port 2, and Is transferred to the transmission traffic amount measuring unit 5.

トラヒック識別パラメータ値毎トラヒックポリシング部4は、パケット送受信部3から受信したパケットを、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを用いてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをパケット送受信部3に転送する。   The traffic policing unit 4 for each traffic identification parameter value classifies the packet received from the packet transmitting / receiving unit 3 based on the value of the traffic identification parameter registered in the traffic identification parameter registration table 7, and for each classified packet flow. Then, traffic policing is performed using the rate limit setting value A registered in the rate limit setting value A registration table 8, and packets that are not discarded by the traffic policing are transferred to the packet transmitting / receiving unit 3.

送信トラヒック量測定部5は、パケット送受信部3から受信したパケットに基づき、被攻撃ホスト11宛て単位時間当たり送信トラヒック量を周期的に測定し、レートリミット設定値更新部6に測定結果を随時通知する。なお、送信トラヒック量測定部5は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット送信処理と一体で行ってもよい。   The transmission traffic amount measurement unit 5 periodically measures the transmission traffic amount per unit time addressed to the attacked host 11 based on the packet received from the packet transmission / reception unit 3, and notifies the rate limit setting value update unit 6 of the measurement result as needed. To do. Note that the transmission traffic amount measurement unit 5 may perform the packet transmission process in the packet transmission / reception unit 3 without receiving a copy of the packet from the packet transmission / reception unit 3.

レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量が、該レートリミット設定値Bより大きい場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aの値を、現在の値より小さい値に更新する。   The rate limit set value update unit 6 registers the rate of transmission traffic per unit time addressed to the attacked host 11 notified from the transmission traffic amount measurement unit 5 in the rate limit set value B registration table 9. If the amount of traffic transmitted per unit time addressed to the attacked host 11 is greater than the rate limit setting value B compared to B, the value of the rate limit setting value A registered in the rate limit setting value A registration table 8 is Update to a value smaller than the current value.

図2は、図1のフラッド攻撃防御装置1Aにおけるフラッド攻撃防御処理手順の一例を示すフローチャートである。   FIG. 2 is a flowchart showing an example of a flood attack defense processing procedure in the flood attack defense apparatus 1A of FIG.

トラヒック識別パラメータテーブル7、レートリミット設定値A登録テーブル8、レートリミット設定値B登録テーブル9にそれぞれトラヒック識別パラメータ、レートリミット設定値A、レートリミット設定値Bを設定し(ステップ101)、並列に、トラヒック識別パラメータ値毎トラヒックポリシング部4がトラヒックポリシング処理(ステップ102)を、送信トラヒック量測定部5とレートリミット設定値更新部6が連携してレートリミット設定値更新処理(ステップ103〜105)を実行する。   The traffic identification parameter, the rate limit setting value A, and the rate limit setting value B are set in the traffic identification parameter table 7, the rate limit setting value A registration table 8, and the rate limit setting value B registration table 9, respectively (step 101). The traffic policing unit 4 for each traffic identification parameter value performs the traffic policing process (step 102), and the transmission traffic amount measuring unit 5 and the rate limit set value update unit 6 cooperate to rate limit set value update process (steps 103 to 105). Execute.

トラヒックポリシング処理では、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、レートリミット設定値Aを用いて、トラヒックポリシングを実行し(ステップ102)、ステップ102を繰り返す。レートリミット設定値更新処理では、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し(ステップ103)、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうか判定し(ステップ104)、多い場合、レートリミット設定値Aの値を、現在の値より小さい値に更新する(ステップ105)。ステップ104で、該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、および、ステップ105の処理終了後、ステップ103の前に戻り、ステップ103〜105の処理を繰り返す。   In the traffic policing process, received packets addressed to the attacked host are classified based on the value of the traffic identification parameter, and the traffic policing is executed for each classified packet flow using the rate limit setting value A (step 102). Step 102 is repeated. In the rate limit set value update processing, the amount of transmission traffic per unit time addressed to the attacked host is measured (step 103), and it is determined whether the amount of transmission traffic per unit time addressed to the attacked host is greater than the rate limit set value B ( Step 104) If there is more, the value of the rate limit set value A is updated to a value smaller than the current value (Step 105). If the amount of traffic transmitted to the attacked host is not greater than the rate limit set value B at step 104, and after the processing at step 105 is completed, the processing returns to step 103 and repeats the processing at steps 103 to 105.

[第2の実施形態]
図3は、本発明の第2の実施形態によるフラッド攻撃防御装置の構成図を示している。 [Second Embodiment]
FIG. 3 shows a block diagram of a flood attack defense apparatus according to the second embodiment of the present invention.

図3を参照すると、フラッド攻撃防御装置1Bは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置される。   Referring to FIG. 3, the flood attack protection device 1 </ b> B is installed on the network 10 that connects the attacked host 11 and the attacking hosts 12, 13, and 14.

フラッド攻撃防御装置1Bは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17から構成されている。   The flood attack protection apparatus 1B includes a communication port 2, a packet transmitting / receiving unit 3, a traffic policing unit 4 for each traffic identification parameter value, a transmission traffic amount measuring unit 5, a rate limit set value updating unit 6, and a traffic identification parameter registration. Table 7, rate limit set value A registration table 8, rate limit set value B registration table 9, received traffic amount measurement unit 15 for each traffic identification parameter value, attack traffic identification parameter value detection unit 16, and attack determination threshold It consists of a registration table 17.

通信ポート2は、被攻撃ホスト11宛てパケットを受信し、該パケットをパケット送受信部3に転送する。また、通信ポート2は、パケット送受信部3から受信したパケットをネットワーク10に送信する。なお、受信用の通信ポートと送信用の通信ポートが独立に構成されていてもよい。また、受信用、送信用、送受信兼用のいずれの場合においても、複数の通信ポートから構成されていてもよい。   The communication port 2 receives the packet addressed to the attacked host 11 and transfers the packet to the packet transmitting / receiving unit 3. The communication port 2 transmits the packet received from the packet transmitting / receiving unit 3 to the network 10. Note that the communication port for reception and the communication port for transmission may be configured independently. Further, in any case of reception, transmission, and transmission / reception, the communication port may be composed of a plurality of communication ports.

パケット送受信部3は、通信ポート2から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。   The packet transmitting / receiving unit 3 transfers the packet received from the communication port 2 to the traffic policing unit 4 for each traffic identification parameter value, and transfers a copy of the packet to the received traffic amount measuring unit 15 for each traffic identification parameter value. Further, the packet transmitting / receiving unit 3 transfers the packet received from the traffic policing unit 4 for each traffic identification parameter value to the communication port 2 and transfers a copy of the packet to the transmission traffic amount measuring unit 5.

トラヒック識別パラメータ値毎受信トラヒック量測定部15は、パケット送受信部3から受信したパケットを、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、被攻撃ホスト11宛て単位時間当たり受信トラヒック量を周期的に測定し、攻撃トラヒック識別パラメータ値検出部16に測定結果を随時通知する。なお、トラヒック識別パラメータ値毎受信トラヒック量測定部15は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット受信処理と一体で行ってもよい。   The received traffic amount measuring unit 15 for each traffic identification parameter value classifies the packet received from the packet transmitting / receiving unit 3 based on the value of the traffic identification parameter registered in the traffic identification parameter registration table 7, and the classified packet flow Every time, the received traffic volume per unit time addressed to the attacked host 11 is periodically measured, and the measurement result is notified to the attack traffic identification parameter value detection unit 16 as needed. Note that the received traffic amount measuring unit 15 for each traffic identification parameter value may not be received from the packet transmitting / receiving unit 3 but may be integrated with the packet receiving process in the packet transmitting / receiving unit 3.

攻撃トラヒック識別パラメータ値検出部16は、トラヒック識別パラメータ値毎受信トラヒック量測定部15から通知を受けた被攻撃ホスト11宛て単位時間当たり受信トラヒック量を、攻撃判定閾値登録テーブル17に登録されている攻撃判定閾値と比較し、該被攻撃ホスト11宛て単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め、その結果をトラヒック識別パラメータ値毎トラヒックポリシング部4に通知する。   The attack traffic identification parameter value detection unit 16 registers the received traffic amount per unit time addressed to the attacked host 11 notified from the received traffic amount measurement unit 15 for each traffic identification parameter value in the attack determination threshold registration table 17. Compared with the attack determination threshold value, all traffic identification parameter values for which the received traffic amount per unit time addressed to the attacked host 11 is larger than the attack determination threshold value are obtained, and the result is notified to the traffic policing unit 4 for each traffic identification parameter value. To do.

トラヒック識別パラメータ値毎トラヒックポリシング部4は、パケット送受信部3から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aの値に基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをパケット送受信部3に転送する。   The traffic policing unit 4 for each traffic identification parameter value responds to a packet flow that matches one of the traffic identification parameter values notified from the attack traffic identification parameter value detection unit 16 among the packets received from the packet transmitting / receiving unit 3. Only based on the value of the rate limit setting value A registered in the rate limit setting value A registration table 8 for each packet flow classified by the value of the traffic identification parameter registered in the traffic identification parameter registration table 7. Then, the traffic policing is performed, and the packet that is not discarded by the traffic policing is transferred to the packet transmitting / receiving unit 3.

送信トラヒック量測定部5は、パケット送受信部3から受信したパケットに基づき、被攻撃ホスト11宛て単位時間当たり送信トラヒック量を周期的に測定し、レートリミット設定値更新部6に測定結果を随時通知する。なお、送信トラヒック量測定部5は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット送信処理と一体で行ってもよい。   The transmission traffic amount measurement unit 5 periodically measures the transmission traffic amount per unit time addressed to the attacked host 11 based on the packet received from the packet transmission / reception unit 3, and notifies the rate limit setting value update unit 6 of the measurement result as needed. To do. Note that the transmission traffic amount measurement unit 5 may perform the packet transmission process in the packet transmission / reception unit 3 without receiving a copy of the packet from the packet transmission / reception unit 3.

レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量が、該レートリミット設定値Bより大きい場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを、現在の値より小さい値に更新する。   The rate limit set value update unit 6 registers the rate of transmission traffic per unit time addressed to the attacked host 11 notified from the transmission traffic amount measurement unit 5 in the rate limit set value B registration table 9. If the amount of traffic transmitted per unit time addressed to the attacked host 11 is larger than the rate limit setting value B as compared with B, the rate limit setting value A registered in the rate limit setting value A registration table 8 is Update to a value smaller than the value of.

図4は、図2のフラッド攻撃防御装置1Bにおけるフラッド攻撃防御処理手順の一例を示すフローチャートである。   FIG. 4 is a flowchart showing an example of a flood attack defense processing procedure in the flood attack defense apparatus 1B of FIG.

トラヒック識別パラメータ登録テーブル7、レートリミット設定値A登録テーブル8、レートリミット設定値B登録テーブル9にそれぞれトラヒック識別パラメータ、攻撃判定閾値、レートリミット設定値A、レートリミット設定値Bを設定し(ステップ201)、並列に、トラヒック識別パラメータ値毎トラヒックポリシング部4がトラヒックポリシング処理(ステップ202〜204)を、送信トラヒック量測定部5とレートリミット設定値更新部6が連携してレートリミット設定値更新処理(ステップ205〜207)を実行する。   A traffic identification parameter, an attack determination threshold, a rate limit setting value A, and a rate limit setting value B are set in the traffic identification parameter registration table 7, the rate limit setting value A registration table 8, and the rate limit setting value B registration table 9, respectively (step 201) In parallel, the traffic policing unit 4 for each traffic identification parameter value performs the traffic policing process (steps 202 to 204), and the transmission traffic amount measuring unit 5 and the rate limit set value update unit 6 cooperate to update the rate limit set value. Processing (steps 205 to 207) is executed.

トラヒックポリシング処理では、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、被攻撃ホスト宛て単位時間当たり受信トラヒック量を測定し(ステップ202)、トラヒック識別パラメータの値に基づいて分類された被攻撃ホスト宛てパケットフローの単位時間当たり受信トラヒック量を攻撃判定閾値と比較し、単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め(ステップ203)、ステップ203で求めたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値Aに基づいてトラヒックポリシングを実行し(ステップ204)、ステップ202に戻り、ステップ202〜204の処理を繰り返す。   In the traffic policing process, the received packets addressed to the attacked host are classified based on the value of the traffic identification parameter, and the received traffic amount per unit time addressed to the attacked host is measured for each classified packet flow (step 202). The value of the traffic identification parameter in which the received traffic volume per unit time of the packet flow addressed to the attacked host classified based on the identification parameter value is compared with the attack determination threshold value, and the received traffic volume per unit time is larger than the attack determination threshold value. (Step 203), and only for the packet flow that matches one of the traffic identification parameter values obtained in step 203, the rate limit set value A for each packet flow classified by the traffic identification parameter value. Based on Trahi Run the click policing (step 204), returns to step 202 to repeat the processes of steps 202 to 204.

レートリミット設定値更新処理では、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し(ステップ205)、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうかを判定し(ステップ206)、多い場合、レートリミット設定値Aを、現在の値より小さい値に更新する(ステップ207)。ステップ206で、該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、および、ステップ207の処理終了後、ステップ205に戻り、ステップ205〜207の処理を繰り返す。   In the rate limit set value update processing, the amount of transmission traffic per unit time addressed to the host under attack is measured (step 205), and it is determined whether the amount of traffic transmitted per unit time destined for the host under attack is greater than the rate limit set value B. (Step 206) If it is greater, the rate limit set value A is updated to a value smaller than the current value (Step 207). If the amount of traffic transmitted to the attacked host is not greater than the rate limit set value B in step 206, and after the process of step 207 is completed, the process returns to step 205, and the processes of steps 205 to 207 are repeated.

[第3の実施形態]
図5は、本発明の第3の実施形態によるフラッド攻撃防御装置の一構成図である。 [Third Embodiment]
FIG. 5 is a configuration diagram of a flood attack defense apparatus according to the third embodiment of the present invention.

図5を参照すると、フラッド攻撃防御装置1Cは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。   Referring to FIG. 5, the flood attack protection device 1 </ b> C is installed on the network 10 that connects the attacked host 11 and the attack hosts 12, 13, and 14.

フラッド攻撃防御装置1Cは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17と、攻撃フロー数上限判定トラヒックポリシング切替部18と、全体トラヒックポリシング部19と、攻撃フロー数上限判定閾値登録テーブル20から構成されている。   The flood attack protection apparatus 1C includes a communication port 2, a packet transmitting / receiving unit 3, a traffic policing unit 4 for each traffic identification parameter value, a transmission traffic amount measuring unit 5, a rate limit set value updating unit 6, and a traffic identification parameter registration. Table 7, rate limit set value A registration table 8, rate limit set value B registration table 9, received traffic amount measurement unit 15 for each traffic identification parameter value, attack traffic identification parameter value detection unit 16, and attack determination threshold The registration table 17 includes an attack flow number upper limit determination traffic policing switching unit 18, an overall traffic policing unit 19, and an attack flow number upper limit determination threshold registration table 20.

本実施形態のフラッド攻撃防御装置2Cの、図3に示す、本発明の第2の実施形態のフラッド攻撃防御装置2Bとの機能上の差分について説明する。   A functional difference between the flood attack defense apparatus 2C of the present embodiment and the flood attack defense apparatus 2B of the second embodiment of the present invention shown in FIG. 3 will be described.

パケット送受信部3は、通信ポート2から受信したパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。   The packet transmitting / receiving unit 3 transfers the packet received from the communication port 2 to the attack flow number upper limit determination traffic policing switching unit 18 and transfers a copy of the packet to the received traffic amount measuring unit 15 for each traffic identification parameter value. The packet transmitting / receiving unit 3 transfers the packet received from the attack flow number upper limit determination traffic policing switching unit 18 to the communication port 2 and transfers a copy of the packet to the transmission traffic amount measuring unit 5.

攻撃トラヒック識別パラメータ値検出部16は、トラヒック識別パラメータ値毎受信トラヒック量測定部15から通知を受けた被攻撃ホスト11宛て単位時間当たり受信トラヒック量を、攻撃判定閾値登録テーブル17に登録されている攻撃判定閾値と比較し、該被攻撃ホスト11宛て単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め、その結果をトラヒック識別パラメータ値毎トラヒックポリシング部4と攻撃フロー数上限判定トラヒックポリシング切替部18に通知する。   The attack traffic identification parameter value detection unit 16 registers the received traffic amount per unit time addressed to the attacked host 11 notified from the received traffic amount measurement unit 15 for each traffic identification parameter value in the attack determination threshold registration table 17. Compared with the attack determination threshold value, all traffic identification parameter values for which the received traffic amount per unit time addressed to the attacked host 11 is larger than the attack determination threshold value are obtained, and the results are obtained by the traffic policing unit 4 for each traffic identification parameter value and the attack. The flow number upper limit determination traffic policing switching unit 18 is notified.

攻撃フロー数上限判定トラヒックポリシング切替部18は、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値の数を、攻撃フロー数上限判定閾値登録テーブル20に登録されている攻撃フロー数上限判定閾値と比較し、該トラヒック識別パラメータの値の数が該攻撃フロー数上限判定閾値を超えている場合は、パケット送受信部3から受信したパケットを全体トラヒックポリシング部19に転送し、全体トラヒックポリシング部19から受信したパケットをパケット送受信部3に転送する。該トラヒック識別パラメータの数が該攻撃フロー数上限判定閾値を超えていないか同一の場合は、パケット送受信部3から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットをパケット送受信部3に転送する。   The attack flow number upper limit determination traffic policing switching unit 18 uses the number of traffic identification parameter values notified from the attack traffic identification parameter value detection unit 16 as the attack flow registered in the attack flow number upper limit determination threshold registration table 20. If the number of traffic identification parameter values exceeds the attack flow number upper limit determination threshold value compared with the number upper limit determination threshold value, the packet received from the packet transmitting / receiving unit 3 is forwarded to the overall traffic policing unit 19, The packet received from the traffic policing unit 19 is transferred to the packet transmitting / receiving unit 3. When the number of the traffic identification parameters does not exceed the same threshold value for determining the attack flow number upper limit, the packet received from the packet transmitting / receiving unit 3 is forwarded to the traffic policing unit 4 for each traffic identification parameter value, and the traffic identification parameter value The packet received from the traffic policing unit 4 is transferred to the packet transmitting / receiving unit 3.

全体トラヒックポリシング部19は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットに対し、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bの値に基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送する。   The overall traffic policing unit 19 performs traffic policing on the packet received from the attack flow number upper limit determination traffic policing switching unit 18 based on the value of the rate limit setting value B registered in the rate limit setting value B registration table 9. Then, the packet that is not discarded by the traffic policing is transferred to the attack flow number upper limit determination traffic policing switching unit 18.

トラヒック識別パラメータ値毎トラヒックポリシング部4は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送する。   The traffic policing unit 4 for each traffic identification parameter value receives one of the traffic identification parameter values notified from the attack traffic identification parameter value detection unit 16 among the packets received from the attack flow number upper limit determination traffic policing switching unit 18. Only for matching packet flows, the rate limit setting registered in the rate limit setting value A registration table 8 for each packet flow classified according to the value of the traffic identification parameter registered in the traffic identification parameter registration table 7 Based on the value A, traffic policing is performed, and packets that are not discarded by the traffic policing are transferred to the attack flow number upper limit determination traffic policing switching unit 18.

図6は、図5のフラッド攻撃防御装置1Cによるフラッド攻撃防御処理手順の一例を示すフローチャートである。ここでは、図4に示す、本発明の第2の実施形態のフラッド攻撃防御処理手順の一例を示すフローチャートとの差分について説明する。   FIG. 6 is a flowchart showing an example of a flood attack defense processing procedure by the flood attack defense apparatus 1C of FIG. Here, differences from the flowchart shown in FIG. 4 showing an example of the flood attack defense processing procedure of the second embodiment of the present invention will be described.

ステップ203とステップ204の間で、攻撃フロー数上限判定トラヒックポリシング切替部18が、ステップ203で求めたトラヒック識別パラメータの値の種類の数が、攻撃フロー数上限判定閾値より多いかどうかの判定を行い(ステップ208)、多い場合、被攻撃ホスト宛て受信パケットに対して、レートリミット設定値Bの基づいてトラヒックポリシングを実行する(ステップ209)。ステップ208で、該トラヒック識別パラメータの種類の数が該攻撃フロー数上限判定閾値より多くない場合、ステップ204の処理を行う。ステップ204およびステップ209の終了後、ステップ202に戻り、ステップ202〜204、208〜209の処理を繰り返す。   Between step 203 and step 204, the attack flow number upper limit determination traffic policing switching unit 18 determines whether or not the number of types of traffic identification parameter values obtained in step 203 is greater than the attack flow number upper limit determination threshold. If yes, traffic policing is executed on the received packet addressed to the host under attack based on the rate limit setting value B (step 209). If it is determined in step 208 that the number of types of the traffic identification parameters is not greater than the attack flow number upper limit determination threshold value, the process of step 204 is performed. After the completion of step 204 and step 209, the process returns to step 202, and the processes of steps 202 to 204 and 208 to 209 are repeated.

[第4の実施形態]
図7は、本発明の第4の実施形態によるフラッド攻撃防御装置の一構成図である。 [Fourth Embodiment]
FIG. 7 is a configuration diagram of a flood attack defense apparatus according to the fourth embodiment of the present invention.

図7を参照すると、フラッド攻撃防御装置1Dは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。   Referring to FIG. 7, the flood attack protection apparatus 1D is installed on the network 10 that connects the attacked host 11 and the attack hosts 12, 13, and 14.

フラッド攻撃防御装置1Dは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17と、レートリミット設定値更新判定トラヒックポリシング切替部21と、全体トラヒックポリシング部19から構成されている。   The flood attack prevention apparatus 1D includes a communication port 2, a packet transmitting / receiving unit 3, a traffic policing unit 4 for each traffic identification parameter value, a transmission traffic amount measuring unit 5, a rate limit set value updating unit 6, and a traffic identification parameter registration. Table 7, rate limit set value A registration table 8, rate limit set value B registration table 9, received traffic amount measurement unit 15 for each traffic identification parameter value, attack traffic identification parameter value detection unit 16, and attack determination threshold The registration table 17 includes a rate limit set value update determination traffic policing switching unit 21 and an overall traffic policing unit 19.

本実施形態のフラッド攻撃防御装置1Dの、図3に示す、本発明の第2の実施形態のフラッド攻撃防御装置1Bとの機能上の差分について説明する。   A functional difference between the flood attack defense apparatus 1D of the present embodiment and the flood attack defense apparatus 1B of the second embodiment of the present invention shown in FIG. 3 will be described.

パケット送受信部3は、通信ポート2から受信したパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。   The packet transmitting / receiving unit 3 transfers the packet received from the communication port 2 to the rate limit set value update determination traffic policing switching unit 21 and transfers a copy of the packet to the received traffic amount measuring unit 15 for each traffic identification parameter value. Further, the packet transmitting / receiving unit 3 transfers the packet received from the rate limit set value update determination traffic policing switching unit 21 to the communication port 2 and transfers a copy of the packet to the transmission traffic amount measuring unit 5.

レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多い場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを、現在の値より小さい値に更新する。   The rate limit set value update unit 6 registers the rate of transmission traffic per unit time addressed to the attacked host 11 notified from the transmission traffic amount measurement unit 5 in the rate limit set value B registration table 9. If the amount of traffic transmitted per unit time addressed to the attacked host 11 is greater than the rate limit setting value B as compared with B, the rate limit setting value A registered in the rate limit setting value A registration table 8 is changed to the current value. Update to a smaller value.

レートリミット設定値Aの値を0にした場合に、被攻撃ホスト11宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより大きい場合、レートリミット設定値更新判定トラヒックポリシング切替部21に対し、全体トラヒックポリシングへの切替指示を出す。   When the rate limit set value A is set to 0 and the amount of traffic transmitted per unit time to the attacked host 11 is larger than the rate limit set value B, the entire rate limit set value update determination traffic policing switching unit 21 is Instruct to switch to traffic policing.

攻撃フロー数上限判定トラヒックポリシング切替部1Gは、レートリミット設定値更新部6から全体トラヒックポリシングへの切替指示を受信した場合は、パケット送受信部3から受信したパケットを全体トラヒックポリシング部19に転送し、全体トラヒックポリシング部19から受信したパケットをパケット送受信部3に転送する。レートリミット設定値更新部6から全体トラヒックポリシングへの切替指示を受信しなかった場合は、パケット送受信部3から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットをパケット送受信部3に転送する。   The attack flow number upper limit determination traffic policing switching unit 1G transfers the packet received from the packet transmitting / receiving unit 3 to the general traffic policing unit 19 when receiving an instruction to switch to the total traffic policing from the rate limit setting value updating unit 6. Then, the packet received from the overall traffic policing unit 19 is transferred to the packet transmitting / receiving unit 3. When the switching instruction to the total traffic policing is not received from the rate limit set value updating unit 6, the packet received from the packet transmitting / receiving unit 3 is transferred to the traffic policing unit 4 for each traffic identification parameter value, and for each traffic identification parameter value The packet received from the traffic policing unit 4 is transferred to the packet transmitting / receiving unit 3.

全体トラヒックポリシング部19は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットに対し、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送する。   The overall traffic policing unit 19 performs traffic policing on the packet received from the rate limit set value update determination traffic policing switching unit 21 based on the rate limit set value B registered in the rate limit set value B registration table 9. Then, the packet that has not been discarded due to the traffic policing is transferred to the rate limit set value update determination traffic policing switching unit 21.

トラヒック識別パラメータ値毎トラヒックポリシング部4は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送する。   The traffic policing unit 4 for each traffic identification parameter value is one of the values of the traffic identification parameter received from the attack traffic identification parameter value detection unit 16 among the packets received from the rate limit setting value update determination traffic policing switching unit 21. Rate limit registered in the rate limit setting value A registration table 8 for each packet flow classified by the traffic identification parameter value registered in the traffic identification parameter registration table 7 only for packet flows that match Based on the set value A, traffic policing is performed, and packets that are not discarded by the traffic policing are transferred to the rate limit set value update determination traffic policing switching unit 21.

図8は、図7のフラッド攻撃防御装置1Dによるフラッド攻撃防御処理手順の一例を示すフローチャートである。ここでは、図4に示す、本発明の第2の実施形態のフラッド攻撃防御処理手順の一例を示すフローチャートとの差分について説明する。   FIG. 8 is a flowchart showing an example of a flood attack defense processing procedure by the flood attack defense apparatus 1D of FIG. Here, differences from the flowchart shown in FIG. 4 showing an example of the flood attack defense processing procedure of the second embodiment of the present invention will be described.

ステップ201の直後に、トラヒックポリシング切替判定フラグをオフに設定する(ステップ210)。ステップ206で、被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多い場合、レートリミット設定値Aが0かどうか判定し(ステップ211)、レートリミット設定値Aが0の場合、トラヒックポリシング切替判定フラグをオンに設定する(ステップ213)。ステップ211でレートリミット設定値Aが0でない場合、レートリミット設定値Aを、現在の値より小さい値に更新する(ステップ207)。   Immediately after step 201, the traffic policing switching determination flag is set to OFF (step 210). In step 206, if the amount of transmission traffic addressed to the host under attack is larger than the rate limit set value B, it is determined whether the rate limit set value A is 0 (step 211). If the rate limit set value A is 0, A traffic policing switching determination flag is set to ON (step 213). If the rate limit set value A is not 0 in step 211, the rate limit set value A is updated to a value smaller than the current value (step 207).

ステップ206で、被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多くない場合、トラヒックポリシング切替判定フラグをオフに設定し(ステップ212)、ステップ207、212、213の処理終了後、ステップ205に戻り、ステップ205〜207、211〜213の処理を繰り返す。   If the amount of traffic transmitted per unit time addressed to the host under attack is not greater than the rate limit setting value B in step 206, the traffic policing switching determination flag is set to OFF (step 212), and after the processing in steps 207, 212, and 213 is completed. Returning to step 205, the processes of steps 205-207 and 211-213 are repeated.

ステップ203とステップ204の間で、トラヒックポリシング切替判定フラグがオンかどうかの判定を行い(ステップ214)、オンの場合、被攻撃ホスト宛て受信パケットに対して、レートリミット設定値Bの値に基づいてトラヒックポリシングを実行する(ステップ215)。ステップ214で、トラヒックポリシング切替判定フラグがオフの場合、ステップ204の処理を行う。ステップ204およびステップ215の終了後、ステップ202に戻り、ステップ202〜204、214〜215の処理を繰り返す。   It is determined between step 203 and step 204 whether or not the traffic policing switching determination flag is ON (step 214). If ON, based on the rate limit setting value B for the received packet addressed to the attacked host. Then, traffic policing is executed (step 215). If the traffic policing switching determination flag is off in step 214, the processing in step 204 is performed. After completion of step 204 and step 215, the process returns to step 202, and the processes of steps 202 to 204 and 214 to 215 are repeated.

なお、以上の本発明の第1〜第4の実施形態のいずれにおいても、前記トラヒック識別パラメータとして、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せを使用することができる。   In any of the first to fourth embodiments of the present invention described above, as the traffic identification parameter, received line information, source IP address and subnet mask, protocol number, source port number, destination port number, Any of Type of Service, Total Length, Time to Live and combinations thereof may be used.

なお、以上説明したフラッド攻撃防御装置の機能は、専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記録装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。   In addition to the functions of the flood attack defense apparatus described above, which are realized by dedicated hardware, a program for realizing the functions is recorded on a computer-readable recording medium, and the recording medium is recorded on the recording medium. The recorded program may be read into a computer system and executed. The computer-readable recording medium refers to a recording medium such as a flexible disk, a magneto-optical disk, a CD-ROM, or a hard disk device built in a computer system. Furthermore, a computer-readable recording medium is a server that dynamically holds a program (transmission medium or transmission wave) for a short time, such as when transmitting a program via the Internet, and a server in that case. Some of them hold programs for a certain period of time, such as volatile memory inside computer systems.

本発明の第1の実施形態によるフラッド攻撃防御装置の構成例を示す図である。It is a figure which shows the structural example of the flood attack defense apparatus by the 1st Embodiment of this invention. 第1の実施形態のフラッド攻撃防御装置によるフラッド攻撃防御処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the flood attack defense process sequence by the flood attack defense apparatus of 1st Embodiment. 本発明の第2の実施形態のフラッド攻撃防御装置の構成例を示す図である。It is a figure which shows the structural example of the flood attack defense apparatus of the 2nd Embodiment of this invention. 第2の実施形態によるフラッド攻撃防御装置によるフラッド攻撃防御処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the flood attack defense process sequence by the flood attack defense apparatus by 2nd Embodiment. 本発明の第3の実施形態によるフラッド攻撃防御装置の構成例を示す図である。It is a figure which shows the structural example of the flood attack defense apparatus by the 3rd Embodiment of this invention. 第3の実施形態によるフラッド攻撃防御処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the flood attack defense process procedure by 3rd Embodiment. 本発明の第4の実施形態によるフラッド攻撃防御装置の構成例を示す図である。It is a figure which shows the structural example of the flood attack defense apparatus by the 4th Embodiment of this invention. 第4の実施形態のフラッド攻撃防御装置によるフラッド攻撃防御処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the flood attack defense process sequence by the flood attack defense apparatus of 4th Embodiment.

符号の説明Explanation of symbols

1A、1B、1C、1D フラッド攻撃防御装置
2 通信ポート
3 パケット送受信部
4 トラヒック識別パラメータ値毎トラヒックポリシング部
5 送信トラヒック量測定部
6 レートリミット設定値更新部
7 トラヒック識別パラメータ登録テーブル
8 レートリミット設定値A登録テーブル
9 レートリミット設定値B登録テーブル
10 ネットワーク
11 被攻撃ホスト
12〜14 攻撃ホスト
15 トラヒック識別パラメータ値毎受信トラヒック量測定部
16 攻撃トラヒック識別パラメータ値検出部
17 攻撃判定閾値登録テーブル
18 攻撃フロー数上限判定トラヒックポリシング切替部
19 全体トラヒックポリシング部
20 攻撃フロー数上限判定閾値登録テーブル
21 レートリミット設定値更新判定トラヒックポリシング切替部
101〜105、201〜215 ステップ 1A, 1B, 1C, 1D Flood attack defense device 2 Communication port 3 Packet transmission / reception unit 4 Traffic policing unit for each traffic identification parameter value 5 Transmission traffic amount measurement unit 6 Rate limit set value update unit 7 Traffic identification parameter registration table 8 Rate limit setting Value A registration table 9 Rate limit setting value B registration table 10 Network 11 Attacked host 12-14 Attack host 15 Traffic identification parameter value received traffic amount measurement unit 16 Attack traffic identification parameter value detection unit 17 Attack determination threshold value registration table 18 Attack Flow number upper limit determination traffic policing switching unit 19 Overall traffic policing unit 20 Attack flow number upper limit determination threshold registration table 21 Rate limit set value update determination traffic policing switching unit 1 1~105,201~215 step

Claims (10)

通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと、
(b)前記ステップ(a)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(c)前記ステップ(b)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが、前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有するフラッド攻撃防御方法。 A method for preventing a flood attack on a device connected to a communication network,
(A) The packet addressed to the attacked host is classified based on the value of the designated traffic identification parameter, and the received traffic rate of the received packet flow is designated as the designated first rate limit setting value for each classified packet flow. A packet that exceeds the first rate limit is transmitted for each classified packet flow at a transmission traffic rate that does not exceed the first rate limit setting value; and
(B) measuring a total transmission traffic rate of packets addressed to the attacked host transmitted in the step (a);
(C) The total transmission traffic rate addressed to the attacked host measured in the step (b) is compared with a designated second rate limit setting value, and the total transmission traffic rate addressed to the attacked host is determined as the second transmission rate. A flood attack defense method comprising: updating the first rate limit setting value to a value smaller than a current value when the rate limit setting value is larger than the current rate limit setting value. 通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)前記ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)前記ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信するステップと、
(d)前記ステップ(c)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(e)前記ステップ(d)により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有するフラッド攻撃防御方法。 A method for preventing a flood attack on a device connected to a communication network,
(A) classifying a packet addressed to an attacked host based on a value of a designated traffic identification parameter, and measuring a received traffic rate of a received packet for each classified packet flow;
(B) The received traffic rate measured in the step (a) is compared with the designated attack determination threshold value for each value of the designated traffic identification parameter, and as a result, the received traffic rate is greater than the attack decision threshold value. Determining all values of traffic identification parameters to be increased;
(C) For each packet flow addressed to the attacked host that matches one of the traffic identification parameter values obtained in the step (b), the received traffic rate of the received packet flow is set to the designated first rate limit setting. Packets that exceed the value are discarded, and packets are sent to the attacked host at a transmission traffic rate that does not exceed the first rate limit setting value for each packet flow. Sends all received packets, and
(D) measuring a total transmission traffic rate of packets addressed to the attacked host transmitted in the step (c);
(E) The total transmission traffic rate measured in the step (d) is compared with a specified second rate limit setting value, and the total transmission traffic rate addressed to the attacked host is set to the second rate limit setting value. If larger, the flood rate protection method comprising: updating the first rate limit setting value to a value smaller than a current value. 通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)前記ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)前記ステップ(b)により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較するステップと、
(d)前記ステップ(c)による比較の結果、前記トラヒック識別パラメータの値の種類の数が前記攻撃フロー数上限判定閾値より小さい場合には、
(d1) 前記ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信し、
(d2) 前記ステップ(d1)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定し、
(d3) 前記ステップ(d2)により測定した合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新する、
の各ステップ(d1〜d3)を順に実行するステップと、
(e)前記ステップ(c)による比較の結果、前記トラヒック識別パラメータの値の種類の数が前記攻撃フロー数上限判定閾値より大きい場合には、被攻撃ホスト宛て受信パケットのうち、受信パケットの受信トラヒックレートが、前記第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと
を有するフラッド攻撃防御方法。 A method for preventing a flood attack on a device connected to a communication network,
(A) classifying a packet addressed to an attacked host based on a value of a designated traffic identification parameter, and measuring a received traffic rate of a received packet for each classified packet flow;
(B) The received traffic rate measured in the step (a) is compared with the designated attack determination threshold value for each value of the designated traffic identification parameter, and as a result, the received traffic rate is greater than the attack decision threshold value. Determining all values of traffic identification parameters to be increased;
(C) comparing the number of types of traffic identification parameter values obtained in step (b) with a specified attack flow number upper limit determination threshold;
(D) As a result of the comparison in the step (c), when the number of types of values of the traffic identification parameter is smaller than the attack flow number upper limit determination threshold,
(D1) For each packet flow destined for the attacked host that matches one of the traffic identification parameter values obtained in step (b), the received traffic rate of the received packet flow is designated as a first rate limit setting. Packets that exceed the value are discarded, and packets are sent to the attacked host at a transmission traffic rate that does not exceed the first rate limit setting value for each packet flow. Sends all received packets,
(D2) Measure the total transmission traffic rate of the packets addressed to the attacked host transmitted in the step (d1),
(D3) The total transmission traffic rate measured in the step (d2) is compared with the designated second rate limit setting value, and the total transmission traffic rate addressed to the attacked host is compared with the second rate limit setting value. If larger, update the first rate limit setting value to a value smaller than the current value;
Performing the steps (d1 to d3) in order,
(E) As a result of the comparison in step (c), when the number of types of the traffic identification parameter value is larger than the attack flow number upper limit determination threshold, reception of received packets among the received packets addressed to the attacked host Discarding packets whose traffic rate exceeds the second rate limit setting value, and transmitting the packet to the attacked host at a transmission traffic rate not exceeding the second rate limit setting value; A flood attack defense method comprising: 前記第1のレートリミット設定値の値を0にした場合に、前記被攻撃ホスト宛て送信トラヒックレートを、前記第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、受信された被攻撃ホスト宛てパケットのうち、受信パケットの受信トラヒックレートが前記第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップをさらに有する、請求項2に記載のフラッド攻撃防御方法。   When the value of the first rate limit setting value is 0, the transmission traffic rate addressed to the attacked host is compared with the second rate limit setting value, and the transmission traffic rate addressed to the attacked host is If the rate limit setting value is greater than 2, the received packet destined for the attacked host discards the packet whose received traffic rate exceeds the second rate limit setting value, The flood attack prevention method according to claim 2, further comprising a step of transmitting a packet to an attacked host at a transmission traffic rate not exceeding a rate limit set value of 2. 前記トラヒック識別パラメータが、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せである、請求項1から4のいずれかに記載のフラッド攻撃防御方法。   The traffic identification parameter is any one of a received line information, a source IP address and a subnet mask, a protocol number, a source port number, a destination port number, a Type of Service, a Total Length, a Time to Live, and a combination thereof. The flood attack protection method according to claim 1. 通信ネットワークに接続された装置へのフラッド攻撃を防御する装置であって、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
前記パケット受信手段により受信された被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する個別トラヒックポリシング手段と、
前記個別トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
前記送信トラヒックレート測定手段により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するレートリミット設定値更新手段と
を有するフラッド攻撃防御装置。 A device that prevents a flood attack on a device connected to a communication network,
A packet receiving means for receiving a packet addressed to the attacked host;
The packet addressed to the host under attack received by the packet receiving means is classified based on the value of the designated traffic identification parameter, and the received traffic rate of the received packet flow is designated for each classified packet flow. Packets that exceed the rate limit setting value of 1 are discarded, and packets are sent to the attacked host at a transmission traffic rate that does not exceed the first rate limit setting value for each classified packet flow. Individual traffic policing means;
Transmission traffic rate measuring means for measuring the total transmission traffic rate of packets addressed to the attacked host transmitted by the individual traffic policing means;
When the total transmission traffic rate measured by the transmission traffic rate measuring means is compared with the designated second rate limit setting value, and the transmission traffic rate addressed to the attacked host is larger than the second rate limit setting value A flood attack defense apparatus comprising: rate limit setting value updating means for updating the first rate limit setting value to a value smaller than a current value. 通信ネットワークに接続された装置へのフラッド攻撃を防御する装置であって、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
前記パケット受信手段により受信された被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定する受信トラヒックレート測定手段と、
前記受信トラヒックレート測定手段により測定された受信トラヒックレートを、指定された攻撃判定閾値と、前記トラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求める攻撃トラヒック識別パラメータ値検出手段と、
前記攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信する個別限定トラヒックポリシング手段と、
前記個別限定トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
前記送信トラヒックレート測定手段により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するレートリミット設定値更新手段と、
を有するフラッド攻撃防御装置。 A device that prevents a flood attack on a device connected to a communication network,
A packet receiving means for receiving a packet addressed to the attacked host;
Received traffic rate measurement for classifying packets addressed to the attacked host received by the packet receiving means based on the value of a designated traffic identification parameter and measuring the received traffic rate of the received packet for each classified packet flow Means,
The received traffic rate measured by the received traffic rate measuring means is compared with a specified attack determination threshold value for each value of the traffic identification parameter, and as a result, the traffic identification in which the received traffic rate is greater than the attack determination threshold value. Attack traffic identification parameter value detection means for obtaining all parameter values;
For each packet flow addressed to the attacked host that matches one of the traffic identification parameter values obtained by the attack traffic identification parameter value detecting means, the received traffic rate of the received packet flow is designated as a first rate limit setting. Packets that exceed the value are discarded, and packets are sent to the attacked host at a transmission traffic rate that does not exceed the first rate limit setting value for each packet flow. Is an individual traffic policing means for transmitting all received packets, and
Transmission traffic rate measuring means for measuring the total transmission traffic rate of packets addressed to the attacked host transmitted by the individual limited traffic policing means;
The total transmission traffic rate addressed to the attacked host measured by the transmission traffic rate measuring means is compared with a designated second rate limit setting value, and the transmission traffic rate addressed to the attacked host is set to the second rate limit setting. If greater than the value, rate limit setting value updating means for updating the value of the first rate limit setting value to a value smaller than the current value;
A flood attack defense device having: 前記パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、該受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段と、
前記攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較する攻撃フロー数上限判定手段と、
該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より大きい場合には、前記全体トラヒックポリシング手段によるトラヒックポリシングを実行し、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より小さい場合には、前記個別限定トラヒックポリシング手段によるトラヒックポリシングを実行するトラヒックポリシング切替手段と
をさらに有する、請求項7に記載のフラッド攻撃防御装置。 For packets destined for the attacked host received by the packet receiving means, discard packets for which the received traffic rate of the received packet exceeds the specified second rate limit setting value, An overall traffic policing means for transmitting packets to an attacked host at a transmission traffic rate not exceeding the rate limit setting value of
Attack flow number upper limit determination means for comparing the number of types of traffic identification parameter values obtained by the attack traffic identification parameter value detection means with a specified attack flow number upper limit determination threshold;
When the number of types of the traffic identification parameter value is larger than the attack flow number upper limit determination threshold, traffic policing is performed by the overall traffic policing means, and the number of type of the traffic identification parameter value is the attack flow. The flood attack protection apparatus according to claim 7, further comprising: a traffic policing switching unit that performs traffic policing by the individual limited traffic policing unit when the number upper limit determination threshold is smaller. 前記第1のレートリミット設定値の値を0にした場合に、前記送信トラヒックレート測定手段により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、前記パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段をさらに有する、請求項7に記載のフラッド攻撃防御装置。   When the value of the first rate limit setting value is set to 0, the transmission traffic rate addressed to the attacked host measured by the transmission traffic rate measuring unit is compared with the designated second rate limit setting value; When the transmission traffic rate addressed to the attacked host is larger than the second rate limit setting value, the received traffic rate of the received packet is set to the designated second traffic rate for the packet addressed to the attacked host received by the packet receiving means. A total traffic policing unit that discards packets that exceed the rate limit setting value and transmits the packet to the host under attack at a transmission traffic rate that does not exceed the second rate limit setting value. Item 8. The flood attack defense device according to Item 7. 前記トラヒック識別パラメータが、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せである、請求項6から9のいずれかに記載のフラッド攻撃防御装置。   The traffic identification parameter is any one of a received line information, a source IP address and a subnet mask, a protocol number, a source port number, a destination port number, a Type of Service, a Total Length, a Time to Live, and a combination thereof. The flood attack defense device according to any one of claims 6 to 9.
JP2005060813A 2005-03-04 2005-03-04 Flood attack prevention method and apparatus Expired - Fee Related JP4280245B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005060813A JP4280245B2 (en) 2005-03-04 2005-03-04 Flood attack prevention method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005060813A JP4280245B2 (en) 2005-03-04 2005-03-04 Flood attack prevention method and apparatus

Publications (2)

Publication Number Publication Date
JP2006246177A JP2006246177A (en) 2006-09-14
JP4280245B2 true JP4280245B2 (en) 2009-06-17

Family

ID=37052097

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005060813A Expired - Fee Related JP4280245B2 (en) 2005-03-04 2005-03-04 Flood attack prevention method and apparatus

Country Status (1)

Country Link
JP (1) JP4280245B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4516612B2 (en) * 2008-02-25 2010-08-04 日本電信電話株式会社 Network control method and network control device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004166029A (en) * 2002-11-14 2004-06-10 Nippon Telegr & Teleph Corp <Ntt> Method, system and program for controlling distributed service rejection
JP3760919B2 (en) * 2003-02-28 2006-03-29 日本電気株式会社 Unauthorized access prevention method, apparatus and program
JP4271478B2 (en) * 2003-04-08 2009-06-03 パナソニック株式会社 Relay device and server
JP4163044B2 (en) * 2003-05-09 2008-10-08 古河電気工業株式会社 BAND CONTROL METHOD AND BAND CONTROL DEVICE THEREOF

Also Published As

Publication number Publication date
JP2006246177A (en) 2006-09-14

Similar Documents

Publication Publication Date Title
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
US7882556B2 (en) Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks
US7596097B1 (en) Methods and apparatus to prevent network mapping
US10798060B2 (en) Network attack defense policy sending method and apparatus, and network attack defending method and apparatus
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
JP5880560B2 (en) Communication system, forwarding node, received packet processing method and program
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20200137112A1 (en) Detection and mitigation solution using honeypots
US20080151887A1 (en) Method and Apparatus For Inter-Layer Binding Inspection
JP2007235341A (en) Apparatus and network system for performing protection against anomalous communication
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
US7464398B2 (en) Queuing methods for mitigation of packet spoofing
US20110265181A1 (en) Method, system and gateway for protection against network attacks
CN110198290B (en) Information processing method, equipment, device and storage medium
JP5178573B2 (en) Communication system and communication method
JP4280245B2 (en) Flood attack prevention method and apparatus
CN114095448A (en) Method and equipment for processing congestion flow
KR20030009887A (en) A system and method for intercepting DoS attack
Cao et al. AccFlow: defending against the low-rate TCP DoS attack in wireless sensor networks
KR101088868B1 (en) Method of processing arp packet in network switch
WO2024099078A1 (en) Method for detecting attack traffic, and related device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090304

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090313

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4280245

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees