JP4654092B2 - Attack protection method, system and program for SIP server - Google Patents

Attack protection method, system and program for SIP server Download PDF

Info

Publication number
JP4654092B2
JP4654092B2 JP2005244271A JP2005244271A JP4654092B2 JP 4654092 B2 JP4654092 B2 JP 4654092B2 JP 2005244271 A JP2005244271 A JP 2005244271A JP 2005244271 A JP2005244271 A JP 2005244271A JP 4654092 B2 JP4654092 B2 JP 4654092B2
Authority
JP
Japan
Prior art keywords
unit time
threshold
signal
exceeds
invite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005244271A
Other languages
Japanese (ja)
Other versions
JP2007060379A (en
Inventor
斉 金子
宏規 岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005244271A priority Critical patent/JP4654092B2/en
Publication of JP2007060379A publication Critical patent/JP2007060379A/en
Application granted granted Critical
Publication of JP4654092B2 publication Critical patent/JP4654092B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IPネットワークにおけるDDoS攻撃に対するインターネットセキュリティを向上する、SIPサーバにおける攻撃防御方法、システム及びプログラムに関する。   The present invention relates to an attack defense method, system, and program in a SIP server that improve Internet security against a DDoS attack in an IP network.

従来、SIP信号による攻撃の検出/防御は、単一のSA(ソースアドレス)からの多量信号の検出によるのが一般的である(例えば、特許文献1参照)。また、単一のSAからの信号量はさほど多くないが、複数のSAから送信されることによりトータルでは大きな影響を及ぼす攻撃に対しては、既存電話網で実現していたトラヒック制御技術をIPネットワークに対して実装するような方法が提案されている(例えば、非特許文献1参照)。
特開2004−320636号公報 宮越 外3名、“高品質な1P電話サービスの実現をサポートするIPトラヒック制御システム(IP−TOS)の開発”、NTTコムウェア・テクノロジー、NTTコムウェア株式会社、平成15年、Vol.05、P.43−47 Conventionally, attack detection / protection by SIP signals is generally based on detection of a large amount of signals from a single SA (source address) (see, for example, Patent Document 1). In addition, although the amount of signal from a single SA is not so large, the traffic control technology that has been realized in the existing telephone network can be applied to an attack that has a large effect in total when transmitted from a plurality of SAs. A method of mounting on a network has been proposed (for example, see Non-Patent Document 1).
JP 2004-320636 A Three people from Miyakoshi, “Development of IP traffic control system (IP-TOS) that supports the realization of high-quality 1P telephone service”, NTT Comware Technology, NTT Comware Corporation, 2003, Vol. 05, P.43-47

「単一のSAからの信号量はさほど多くないが、複数のSAから送信されることによりトータルでは大きな影響を及ぼす攻撃」については、チケット予約等のいわゆる企画型輻輳等の正規呼(善意呼)との区別が困難であり、既存電話網におけるトラヒック制御技術においては、攻撃呼も正当呼も一律同じ割合で制限することにより対応をとっているため、パースト的に押し寄せる攻撃呼に対して、正当呼が受け入れられる可能性が低くなることがあり、その結果、正当呼の保護に欠けてしまう不都合がある。   For “attack that does not have a large amount of signal from a single SA, but has a large effect in total when transmitted from multiple SAs”, a regular call (good intention call) such as so-called planned congestion such as ticket reservation ) And traffic control technology in the existing telephone network, the attack calls and legitimate calls are dealt with by restricting them at the same rate. There is a possibility that a legitimate call is less likely to be accepted, and as a result, the legitimate call is not protected.

本発明の目的は、複数のSAからの攻撃(DDoS攻撃)又はいわゆるワン切り(受信者に着信電話番号にかけ直させることにより有料番組などを聞かせるため、携帯電話などに電話を掛けて電話番号の表示をさせ、1回で切る迷惑電話)を精度良く検出することにより、fa1se−positive、fa1se−negativeのリスクの低い攻撃防御を行うことができるSIPサーバにおける攻撃防御方法、システム及びプログラムを提供することである。   An object of the present invention is to call a mobile phone or the like so as to listen to a pay program or the like by attacking from a plurality of SAs (DDoS attack) or so-called one-off (returning the receiver to the incoming phone number) Providing an attack defense method, system and program in a SIP server capable of providing an attack defense with a low risk of fa1se-positive and fa1se-negative by accurately detecting a nuisance call that can be displayed at once. It is to be.

本発明によるSIPサーバにおける攻撃防御方法は、
SIPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定するステップと、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測するステップと、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り
、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第の閾値を上回るソースアドレスの数が予め設定された第の閾値を上回るかを判定するステップと
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定するステップと
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第の閾値を上回るかを判定するステップと
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第の閾値を上回るかを判定するステップと
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第の閾値を上回るかを判定するステップと
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定するステップと、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定するステップと、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(10)前記ステップ(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングするステップと、
を含むことを特徴とする。 The attack defense method in the SIP server according to the present invention includes:
A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; and Presetting a third threshold for congestion to occur with respect to a third total number per unit time of the INVITE signal and the REGISTER signal ;
Measuring the first total number per unit time of the INVITE signal in the SIP server, the second total number per unit time of the REGISTER signal, and the third total number per unit time of the INVITE signal and the REGISTER signal ; ,
The first total exceeds the first threshold, and the second total exceeds the second threshold.
, If the third total exceeds the third threshold ,
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Determining whether or not
(2) monitoring the INVITE signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal is a fixed time;
(3) monitoring the INVITE signal for each source address during a unit time to determine whether the number of corresponding packet destinations exceeds a preset sixth threshold;
(4) monitoring the INVITE signal for each source address during a unit time, and determining whether the number of times that the call is disconnected when the call state is in the Ringing state exceeds a preset seventh threshold ; ,
(5) eighth the monitor for each source address the INVITE signal per unit time period, the number of times is shorter than a preset time period before it disconnects the call after receiving the INVITE signal preset Determining whether the threshold is exceeded;
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Determining whether or not
(7) monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Determining whether the threshold is exceeded;
(9) monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) filtering the traffic from the source address when satisfying the product condition of a plurality of results among the determination results of the steps (1) to (9) ;
It is characterized by including .

本発明によるSIPサーバにおける攻撃防御システムは、
SIPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定する手段と、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測する手段と、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第の閾値を上回るソースアドレスの数が予め設定された第の閾値を上回るかを判定する手段と
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定する手段と
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第の閾値を上回るかを判定する手段と
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第の閾値を上回るかを判定する手段と
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第の閾値を上回るかを判定する手段と
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定する手段と、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定する手段と、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定する手段と、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定する手段と、
(10)前記手段(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングする手段と、
を具えることを特徴とする。 An attack defense system in a SIP server according to the present invention includes:
A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; and Means for presetting a third threshold for congestion to occur for a third total number per unit time of the INVITE signal and the REGISTER signal ;
Means for measuring said first total number per unit time of INVITE signal in SIP server , said second total number per unit time of REGISTER signal, and said third total number per unit time of INVITE signal and REGISTER signal ; ,
When the first total exceeds the first threshold , the second total exceeds the second threshold, and the third total exceeds the third threshold ;
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Means for determining whether or not
(2) means for determining whether said INVITE signal monitor for each source address during a unit time is an interval in the unit of the INVITE signal time a predetermined time,
(3) means for monitoring the INVITE signal for each source address during a unit time and determining whether the number of destinations of the corresponding packet exceeds a preset sixth threshold;
(4) means for monitoring the INVITE signal for each source address during a unit time, and determining whether or not the number of times the call is disconnected when the call state is the Ringing state exceeds a preset seventh threshold value ; ,
(5) eighth the monitor for each source address the INVITE signal per unit time period, the number of times is shorter than a preset time period before it disconnects the call after receiving the INVITE signal preset Means for determining whether the threshold is exceeded,
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Means for determining whether or not
(7) means for monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Means for determining whether the threshold is exceeded,
(9) means for monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) a means for filtering traffic from the source address when a product condition of a plurality of results among the determination results of the means (1) to (9) is satisfied ;
It is characterized by comprising .

さらに、本発明は、
SIPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定するステップと、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測するステップと、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第4の閾値を上回るソースアドレスの数が予め設定された第5の閾値を上回るかを判定するステップと、
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第6の閾値を上回るかを判定するステップと、
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第7の閾値を上回るかを判定するステップと、
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第8の閾値を上回るかを判定するステップと、
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定するステップと、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定するステップと、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(10)前記ステップ(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングするステップと、
SIPサーバとして機能するコンピュータに実行させる攻撃防御プログラムとしても特徴付けられる。
Furthermore, the present invention provides
A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; and Presetting a third threshold for congestion to occur with respect to a third total number per unit time of the INVITE signal and the REGISTER signal;
Measuring the first total number per unit time of the INVITE signal in the SIP server, the second total number per unit time of the REGISTER signal, and the third total number per unit time of the INVITE signal and the REGISTER signal; ,
When the first total exceeds the first threshold, the second total exceeds the second threshold, and the third total exceeds the third threshold;
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Determining whether or not
(2) monitoring the INVITE signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal is a fixed time;
(3) monitoring the INVITE signal for each source address during a unit time to determine whether the number of corresponding packet destinations exceeds a preset sixth threshold;
(4) monitoring the INVITE signal for each source address during a unit time, and determining whether the number of times that the call is disconnected when the call state is in the Ringing state exceeds a preset seventh threshold; ,
(5) The INVITE signal is monitored for each source address during a unit time, and the number of times from when the INVITE signal is received until the call is disconnected is shorter than a preset time. Determining whether the threshold is exceeded;
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Determining whether or not
(7) monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Determining whether the threshold is exceeded;
(9) monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) filtering the traffic from the source address when satisfying the product condition of a plurality of results among the determination results of the steps (1) to (9);
Is also characterized as an attack defense program for causing a computer functioning as a SIP server to execute .

本発明によれば、単一のSAからの大量パケットではなく複数のSAからの積み重ねによりネットワーク全体としては大きな影響が及ぼされる攻撃や、VoIPを含む音声通話で近年増加しているワン切りに対する防御を行う。   According to the present invention, an attack that has a great influence on the entire network due to stacking from a plurality of SAs instead of a large number of packets from a single SA, and protection against one-off that has been increasing in recent years in voice calls including VoIP. I do.

このために、先ず、REGISTER信号やINVITE信号のようなセッション起動信号の量を観測し、閾値を超えた段階でDDoS攻撃又はワン切り特有のパターン(例えば、複数の相手にかける、相手との通話状態になる前に切断する等)が見受けられるサービスアドレスを特定して、当該サービスアドレスからのトラヒックをフィルタリングする。   For this purpose, first, the amount of session activation signal such as REGISTER signal or INVITE signal is observed, and when the threshold value is exceeded, a DDoS attack or a pattern specific to one-off (for example, calls with multiple opponents, calls with multiple opponents) The service address that can be seen) is identified, and traffic from the service address is filtered.

好適には、以下のフィルタリング条件を有する。
a.前記トラヒックのフィルタリングを行うステップが、前記サービスアドレスごとのセッション起動信号の数が閾値を上回るサービスアドレスの数が閾値を上回る場合、前記サービスアドレスからのトラヒックをフィルタリングする。
b.前記トラヒックのフィルタリングを行うステップが、前記セッション起動信号を単位時間の間にサービスアドレスごとに監視し、前記セッション起動信号の単位時間内の間隔が一定時間である場合、前記サービスアドレスからのトラヒックをフィルタリングする。
c.前記トラヒックのフィルタリングを行うステップが、前記セッション起動信号を単位時間の間にサービスアドレスごとに監視し、対応するパケットの宛先の数が閾値を上回る場合、前記サービスアドレスからのトラヒックをフィルタリングする。
d.前記トラヒックのフィルタリングを行うステップが、前記セッション起動信号を単位時間の間にサービスアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が閾値を上回る場合、前記サービスアドレスからのトラヒックをフィルタリングする。
e.前記トラヒックのフィルタリングを行うステップが、前記セッション起動信号を単位時間の間にサービスアドレスごとに監視し、前記セッション起動信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が、閾値を上回る場合、前記サービスアドレスからのトラヒックをフィルタリングする。 Preferably, it has the following filtering conditions.
a. The step of filtering the traffic filters the traffic from the service address when the number of service addresses in which the number of session activation signals for each service address exceeds a threshold value exceeds the threshold value.
b. The step of filtering the traffic monitors the session activation signal for each service address during a unit time, and if the interval within the unit time of the session activation signal is a fixed time, the traffic from the service address is Filter.
c. The traffic filtering step monitors the session activation signal for each service address during a unit time, and filters traffic from the service address when the number of corresponding packet destinations exceeds a threshold.
d. The step of filtering the traffic monitors the session activation signal for each service address during a unit time, and if the number of times the call is disconnected when the call state is in the Ringing state exceeds a threshold, the service address To filter traffic.
e. The step of filtering the traffic monitors the session activation signal for each service address during a unit time, and the time from receiving the session activation signal to disconnecting the call is shorter than a preset time When the number of times exceeds the threshold, the traffic from the service address is filtered.

a〜eのフィルタリング条件に関しては、保守者によってそのパラメータ(閾値及び単位時間)を変更可能とし、さらにフィルタリング条件自身も、それぞれの条件の和又は積の形で保守者が利用できるようにする。   Regarding the filtering conditions a to e, the parameters (threshold value and unit time) can be changed by the maintainer, and the filtering condition itself can be used by the maintainer in the form of the sum or product of the respective conditions.

本発明によるSIPサーバにおける攻撃防御方法、システム及びプログラムの実施の形態を、図面を参照して詳細に説明する。
図1は、本発明によるSIPサーバにおける攻撃防御システムの実施の形態を示す図である。
図1において、本発明による攻撃防御システムを実現するSIPサーバ1は、エッジルータ2を通じてISPコアネットワーク3に接続され、単位時間(T秒)当たりのSAごとのINVITE信号数及び総数I並びにSAごとのREGISTER信号数及び総数Rをカウントする。SIP端末2は、SIPサーバ1に収容され、エッジルータ4を通じてISPコアネットワーク3に接続される。 DESCRIPTION OF EMBODIMENTS Embodiments of an attack prevention method, system, and program in a SIP server according to the present invention will be described in detail with reference to the drawings.
FIG. 1 is a diagram showing an embodiment of an attack defense system in a SIP server according to the present invention.
In FIG. 1, a SIP server 1 that realizes an attack defense system according to the present invention is connected to an ISP core network 3 through an edge router 2 and the number of INVITE signals per SA (unit: T seconds) and the total number I and SA. The number of REGISTER signals and the total number R are counted. The SIP terminal 2 is accommodated in the SIP server 1 and connected to the ISP core network 3 through the edge router 4.

前提条件として、二つの前提を設ける。第1の前提は、SIPサーバ1では、SIPプロトコルのフオーマットやシーケンスをチェックしており、異常な処理が検出された場合には、パケットを事前に廃棄しているものとする。すなわち、SA詐称のパケットは本機能により排除されるため、本実施の形態にて対象とされる場所では、SAが詐称されておらず、また、フォーマットやシーケンスについても異常処理が行われておらず、正常な処理(悪意呼を含む)が行われていることを前提としている。第2の前提は、複数のSAからではない単一のSAからの攻撃(いわゆるDoS攻撃)については、単一SAからの多量信号の検出に基づき事前に防御されているものとする。   Two assumptions are made as preconditions. The first premise is that the SIP server 1 checks the format and sequence of the SIP protocol, and if an abnormal process is detected, the packet is discarded in advance. That is, since the SA spoofed packet is excluded by this function, the SA is not spoofed at the location targeted in this embodiment, and the format and sequence are not processed abnormally. It is assumed that normal processing (including malicious calls) is being performed. The second premise is that an attack from a single SA that is not from a plurality of SAs (so-called DoS attack) is preliminarily protected based on detection of a large amount of signals from a single SA.

先ず、SIPサーバ1において、INVITE信号及びREGISTER信号の各々の単位時間当たりの総数I,R及びSAごとの数、両者を含めた単位時間当たりの総数I+R及びSAごとの数を測定し、各々の総数I,Rについて輻輳が起こりうるための閾値Aを予め定め、総数Iが閾値Aを上回った場合に「DDoS検出・防御機能」を作動させ、即時に発呼規制を実施する(閾値を上回った分については受け付けないものとする)。それに対して、総数Iが閾値Aを下回った場合には、本機能を終了させることにより、fa1se−positiveのリスクを最小にする。   First, the SIP server 1 measures the total number I, R, and SA per unit time of each INVITE signal and REGISTER signal, the total number I + R per unit time including both, and the number per SA. A threshold A is set for the total number I and R in order to cause congestion. When the total number I exceeds the threshold A, the “DDoS detection / protection function” is activated, and the call restriction is immediately performed (the threshold is exceeded). Will not be accepted). On the other hand, when the total number I falls below the threshold A, the risk of fa1se-positive is minimized by terminating this function.

DDoS検出・防御機能としては、以下の五つの機能を設ける。
1−1.計測したSAごとのINVITE信号の数が予め定められた閾値Bを上回ったSAの数が、予め定められた閾値Cを上回ったとき、当該トラフィックをDDoS攻撃又はワン切り呼であると推定し、SAからのトラヒックをフィルタリングする。
1−2.単位時間Uの間にSAごとのINVITE信号を監視し、単位時間U内の各々の信号の間隔が一定時間(一定誤差e%内)であった場合、当該トラフィックをDDoS攻撃又はワン切り呼であると推定し、SAからのトラヒックをフィルタリングする。
1−3.単位時間Vの間にSAごとの1NVITE信号を監視し、パケットの宛先(Toフィールド)の数が予め定められた閾値Dを上回ったとき、当該トラフィックをDDoS攻撃又はワン切り呼であると推定し、SAからのトラヒックをフィルタリングする。
1−4.単位時間Wの間にSAごとのINVITE信号を監視し、呼状態がRinging状態であるときに呼を切断した(SIPサーバ1の発するBYE信号の受信)回数が予め定められた閾値Eを上回ったとき、当該トラフィックをDDoS攻撃又はワン切り呼であると推定し、SAからのトラヒックをフィルタリングする。
1−5.単位時間Xの間にSAごとのINVITE信号を監視し、INVITE信号を受信してから呼を切断する(SIP端末5の発するBYE信号の受信)までの時間が予め定められた時間Yよりも短い回数が予め定められた閾値Eを上回ったとき、当該トラフィックをDDoS攻撃又はワン切り呼であると推定し、SAからのトラヒックをフィルタリングする。 The following five functions are provided as the DDoS detection / protection function.
1-1. When the number of SAs for which the number of measured INVITE signals for each SA exceeds a predetermined threshold B exceeds a predetermined threshold C, the traffic is estimated to be a DDoS attack or a one-off call, Filter traffic from SA.
1-2. The INVITE signal for each SA is monitored during the unit time U, and when the interval of each signal within the unit time U is a certain time (within a certain error e%), the traffic is detected by a DDoS attack or one-off call. Presume that there is, and filter traffic from SA.
1-3. 1NVITE signal for each SA is monitored during unit time V, and when the number of packet destinations (To field) exceeds a predetermined threshold D, the traffic is estimated to be a DDoS attack or a one-off call. Filter traffic from SA.
1-4. During the unit time W, the INVITE signal for each SA is monitored, and when the call state is the Ringing state, the number of times that the call is disconnected (reception of the BYE signal issued by the SIP server 1) exceeds a predetermined threshold E. When the traffic is estimated to be a DDoS attack or a one-off call, the traffic from the SA is filtered.
1-5. The INVITE signal for each SA is monitored during unit time X, and the time from receiving the INVITE signal to disconnecting the call (receiving the BYE signal issued by the SIP terminal 5) is shorter than the predetermined time Y. When the number of times exceeds a predetermined threshold E, the traffic is estimated to be a DDoS attack or a one-off call, and traffic from the SA is filtered.

保守者は、フィルタリングの実施として上記1〜5を選択できるものとし、また、上記1−1〜1−5についての積条件、和条件に基づくSAによるフィルタリングも選択可能とする。また、閾値A〜E、時間T〜Y、誤差値eについては、保守者により設定可能とする。   It is assumed that the maintenance person can select the above 1 to 5 for performing the filtering, and can also select the filtering by SA based on the product condition and the sum condition for the above 1-1 to 1-5. The thresholds A to E, times T to Y, and error value e can be set by a maintenance person.

上記については、1NVITE信号の総数Iが閾値Aを上回った場合の機能について記したが、REGISTER信号の総数Rが予め定められた閾値を上回った場合について、上記1−1,1−2と同様の機能を実装する(各機能を、それぞれ、2−1,2−2とする。)。また、保守者によるカスタマイズについては、上記INVITE信号の場合と同様とする。   About the above, although the function when the total number I of 1NVITE signal exceeded the threshold value A was described, the case where the total number R of the REGISTER signal exceeds the predetermined threshold value is the same as the above 1-1 and 1-2. (Each function is referred to as 2-1 and 2-2, respectively). The customization by the maintenance person is the same as in the case of the INVITE signal.

また、INVITE信号とREGISTER信号の総数I+Rが予め定められた閾値を上回った場合の処理として、1−1かつ2−1(これを3−1とする。)、1−1かつ2−1(これを3−2とする。)の各条件を設ける。また、保守者によるカスタマイズについては、上記INVITE信号の場合と同様とする。INVITE信号による攻撃を防御する場合の保守者による条件の設定画面の例を図2に示す。また、上記の機能ブロック構成例について図3に示す。   As processing when the total number I + R of the INVITE signal and the REGISTER signal exceeds a predetermined threshold value, 1-1 and 2-1 (referred to as 3-1), 1-1 and 2-1 ( This is defined as 3-2). The customization by the maintenance person is the same as in the case of the INVITE signal. An example of a condition setting screen by the maintainer when defending against an attack by the INVITE signal is shown in FIG. An example of the functional block configuration is shown in FIG.

従来、SIPプロトコルを対象とする攻撃でも、複数のSAからの緩やかな攻撃(パースト性の弱い連続INVITE信号やREGISTER信号の発信)は、チケット予約などのいわゆる企画型発呼による輻輳との区別が困難であったが、本発明によればこれらの区別が可能となる。また、各条件の組み合わせや閾値などをチューニングすることにより、fa1se−negativeはもちろん、fa1se−positiveについても減らすことができる。   Conventionally, even attacks targeting the SIP protocol can be distinguished from congestion caused by so-called planned calls, such as ticket reservation, for moderate attacks from multiple SAs (sending continuous INVITE signals and REGISTER signals with low persistence). Although difficult, according to the present invention, these distinctions can be made. Further, by tuning the combination of the conditions and the threshold value, not only fa1se-negative but also fa1se-positive can be reduced.

本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。
例えば、SIPサーバにおける攻撃防御システムは、CPU,RAM等の揮発性の記憶媒体、ROMなどの不揮発性の記憶媒体、キーボード、ポインティングデバイス等の入力装置、画像やデータを表示するモニタ装置、及び外部の装置と通信をするためのインタフェースを具えたコンピュータによって構成されるようにしてもよい。この場合、SIPサーバにおける攻撃防御システムに具えた各機能は、これらの機能を記述したプログラムをCPUに実行させることによりそれぞれ実現される。また、これらのプログラムは、磁気ディスク(フロッピィーディスク、ハードディスク等)、光ディスク(CD−ROM,DVD等)、半導体メモリ等の記憶媒体に格納して頒布することもできる。 The present invention is not limited to the above-described embodiment, and many changes and modifications can be made.
For example, an attack defense system in a SIP server includes a volatile storage medium such as a CPU and a RAM, a nonvolatile storage medium such as a ROM, an input device such as a keyboard and a pointing device, a monitor device that displays images and data, and an external device You may make it comprise with the computer provided with the interface for communicating with this apparatus. In this case, each function provided in the attack defense system in the SIP server is realized by causing the CPU to execute a program describing these functions. These programs can also be stored and distributed in a storage medium such as a magnetic disk (floppy disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), semiconductor memory, or the like.

本発明によるSIPサーバにおける攻撃防御システムの実施の形態を示す図である。It is a figure which shows embodiment of the attack defense system in the SIP server by this invention. INVITE信号による攻撃を防御する場合の保守者による条件の設定画面の例を示す図である。It is a figure which shows the example of the setting screen of the condition by a maintenance person in the case of defending the attack by an INVITE signal. 本発明によるSIPサーバにおける機能防御方法及びプログラムの機能ブロックを示す図である。It is a figure which shows the functional block of the function defense method and program in a SIP server by this invention.

符号の説明Explanation of symbols

1 SIPサーバ
2,4 エッジルータ
3 ISPコアネットワーク
5 SIP端末 1 SIP server 2, 4 Edge router 3 ISP core network 5 SIP terminal

Claims (8)

SIPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定するステップと、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測するステップと、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第4の閾値を上回るソースアドレスの数が予め設定された第5の閾値を上回るかを判定するステップと、
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第6の閾値を上回るかを判定するステップと、
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第7の閾値を上回るかを判定するステップと、
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第8の閾値を上回るかを判定するステップと、
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定するステップと、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定するステップと、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(10)前記ステップ(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングするステップと、
を含むことを特徴とするSIPサーバにおける攻撃防御方法。 A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; and Presetting a third threshold for congestion to occur with respect to a third total number per unit time of the INVITE signal and the REGISTER signal;
Measuring the first total number per unit time of the INVITE signal in the SIP server, the second total number per unit time of the REGISTER signal, and the third total number per unit time of the INVITE signal and the REGISTER signal; ,
When the first total exceeds the first threshold, the second total exceeds the second threshold, and the third total exceeds the third threshold;
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Determining whether or not
(2) monitoring the INVITE signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal is a fixed time;
(3) monitoring the INVITE signal for each source address during a unit time to determine whether the number of corresponding packet destinations exceeds a preset sixth threshold;
(4) monitoring the INVITE signal for each source address during a unit time, and determining whether the number of times that the call is disconnected when the call state is in the Ringing state exceeds a preset seventh threshold; ,
(5) The INVITE signal is monitored for each source address during a unit time, and the number of times from when the INVITE signal is received until the call is disconnected is shorter than a preset time. Determining whether the threshold is exceeded;
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Determining whether or not
(7) monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Determining whether the threshold is exceeded;
(9) monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) filtering the traffic from the source address when satisfying the product condition of a plurality of results among the determination results of the steps (1) to (9);
An attack defense method in a SIP server, comprising: 前記ステップ(10)は、前記複数の結果の一つとして前記ステップ(1)の判定結果を用いることを特徴とする請求項1に記載のSIPサーバにおける攻撃防御方法。   The attack protection method in the SIP server according to claim 1, wherein the step (10) uses the determination result of the step (1) as one of the plurality of results. 前記ステップ(10)は、前記複数の結果の一つとして前記ステップ(2)の判定結果を用いることを特徴とする請求項1に記載のSIPサーバにおける攻撃防御方法。   The attack protection method in the SIP server according to claim 1, wherein the step (10) uses the determination result of the step (2) as one of the plurality of results. 前記ステップ(10)は、前記複数の結果の一つとして前記ステップ(3)の判定結果を用いることを特徴とする請求項1に記載のSIPサーバにおける攻撃防御方法。   The attack protection method in the SIP server according to claim 1, wherein the step (10) uses the determination result of the step (3) as one of the plurality of results. 前記ステップ(10)は、前記複数の結果の一つとして前記ステップ(4)の判定結果を用いることを特徴とする請求項1に記載のSIPサーバにおける攻撃防御方法。   The attack protection method in the SIP server according to claim 1, wherein the step (10) uses the determination result of the step (4) as one of the plurality of results. 前記ステップ(10)は、前記複数の結果の一つとして前記ステップ(5)の判定結果を用いることを特徴とする請求項1に記載のSIPサーバにおける攻撃防御方法。   The attack protection method in the SIP server according to claim 1, wherein the step (10) uses the determination result of the step (5) as one of the plurality of results. SIPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定する手段と、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測する手段と、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第4の閾値を上回るソースアドレスの数が予め設定された第5の閾値を上回るかを判定する手段と、
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定する手段と、
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第6の閾値を上回るかを判定する手段と、
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第7の閾値を上回るかを判定する手段と、
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第8の閾値を上回るかを判定する手段と、
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定する手段と、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定する手段と、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定する手段と、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定する手段と、
(10)前記手段(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングする手段と、
を具えることを特徴とするSIPサーバにおける攻撃防御システム。 A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; and Means for presetting a third threshold for congestion to occur for a third total number per unit time of the INVITE signal and the REGISTER signal;
Means for measuring the first total number per unit time of the INVITE signal in the SIP server, the second total number per unit time of the REGISTER signal, and the third total number per unit time of the INVITE signal and the REGISTER signal; ,
When the first total exceeds the first threshold, the second total exceeds the second threshold, and the third total exceeds the third threshold;
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Means for determining whether or not
(2) means for monitoring the INVITE signal for each source address during a unit time and determining whether an interval within the unit time of the INVITE signal is a fixed time;
(3) means for monitoring the INVITE signal for each source address during a unit time and determining whether the number of destinations of the corresponding packet exceeds a preset sixth threshold;
(4) means for monitoring the INVITE signal for each source address during a unit time, and determining whether or not the number of times the call is disconnected when the call state is the Ringing state exceeds a preset seventh threshold value; ,
(5) The INVITE signal is monitored for each source address during a unit time, and the number of times from when the INVITE signal is received until the call is disconnected is shorter than a preset time. Means for determining whether the threshold is exceeded,
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Means for determining whether or not
(7) means for monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Means for determining whether the threshold is exceeded,
(9) means for monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) a means for filtering traffic from the source address when a product condition of a plurality of results among the determination results of the means (1) to (9) is satisfied;
An attack defense system in a SIP server, comprising: IPサーバにおけるINVITE信号の単位時間当たりの第1の総数について輻輳が起こりうるための第1の閾値、REGISTER信号の単位時間当たりの第2の総数について輻輳が起こりうるための第2の閾値、並びにINVITE信号及びREGISTER信号の単位時間当たりの第3の総数について輻輳が起こりうるための第3の閾値を予め設定するステップと、
SIPサーバにおけるINVITE信号の単位時間当たりの前記第1の総数、REGISTER信号の単位時間当たりの前記第2の総数、並びにINVITE信号及びREGISTER信号の単位時間当たりの前記第3の総数を計測するステップと、
前記第1の総数が前記第1の閾値を上回り、前記第2の総数が前記第2の閾値を上回り、前記第3の総数が前記第3の閾値を上回った場合に、
(1)前記ソースアドレスごとに前記INVITE信号の単位時間当たりの数を計測し、該計測数が予め設定された第4の閾値を上回るソースアドレスの数が予め設定された第5の閾値を上回るかを判定するステップと、
(2)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(3)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、対応するパケットの宛先の数が予め設定された第6の閾値を上回るかを判定するステップと、
(4)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、呼状態がRinging状態であるときに呼を切断した回数が予め設定された第7の閾値を上回るかを判定するステップと、
(5)前記INVITE信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号を受信してから呼を切断するまでの時間が予め設定された時間より短い回数が予め設定された第8の閾値を上回るかを判定するステップと、
(6)前記ソースアドレスごとに前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第9の閾値を上回るソースアドレスの数が予め設定された第10の閾値を上回るかを判定するステップと、
(7)前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(8)前記ソースアドレスごとに前記INVITE信号及び前記REGISTER信号の単位時間当たりの数を計測し、該計測数が予め設定された第11の閾値を上回るソースアドレスの数が予め設定された第12の閾値を上回るかを判定するステップと、
(9)前記INVITE信号及び前記REGISTER信号を単位時間の間にソースアドレスごとに監視し、前記INVITE信号及び前記REGISTER信号の単位時間内の間隔が一定時間であるかを判定するステップと、
(10)前記ステップ(1)から(9)の判定結果のうち、複数の結果の積条件を満たす場合に、前記ソースアドレスからのトラヒックをフィルタリングするステップと、
をSIPサーバとして機能するコンピュータに実行させる攻撃防御プログラム。
 A first threshold for congestion to occur for a first total number of INVITE signals per unit time in the SIP server; a second threshold for congestion to occur for a second total number of REGISTER signals per unit time; And presetting a third threshold for congestion to occur with respect to a third total number per unit time of the INVITE signal and the REGISTER signal;
Measuring the first total number per unit time of the INVITE signal in the SIP server, the second total number per unit time of the REGISTER signal, and the third total number per unit time of the INVITE signal and the REGISTER signal; ,
When the first total exceeds the first threshold, the second total exceeds the second threshold, and the third total exceeds the third threshold;
(1) The number of INVITE signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset fourth threshold exceeds a preset fifth threshold. Determining whether or not
(2) monitoring the INVITE signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal is a fixed time;
(3) monitoring the INVITE signal for each source address during a unit time to determine whether the number of corresponding packet destinations exceeds a preset sixth threshold;
(4) monitoring the INVITE signal for each source address during a unit time, and determining whether the number of times that the call is disconnected when the call state is in the Ringing state exceeds a preset seventh threshold; ,
(5) The INVITE signal is monitored for each source address during a unit time, and the number of times from when the INVITE signal is received until the call is disconnected is shorter than a preset time. Determining whether the threshold is exceeded;
(6) The number of REGISTER signals per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset ninth threshold exceeds a preset tenth threshold. Determining whether or not
(7) monitoring the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the REGISTER signal is a fixed time;
(8) The number of the INVITE signal and the REGISTER signal per unit time is measured for each source address, and the number of source addresses in which the measured number exceeds a preset eleventh threshold is preset. Determining whether the threshold is exceeded;
(9) monitoring the INVITE signal and the REGISTER signal for each source address during a unit time, and determining whether an interval within the unit time of the INVITE signal and the REGISTER signal is a fixed time;
(10) filtering the traffic from the source address when satisfying the product condition of a plurality of results among the determination results of the steps (1) to (9);
Attack defense program for causing a computer functioning as a SIP server to execute
JP2005244271A 2005-08-25 2005-08-25 Attack protection method, system and program for SIP server Active JP4654092B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005244271A JP4654092B2 (en) 2005-08-25 2005-08-25 Attack protection method, system and program for SIP server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005244271A JP4654092B2 (en) 2005-08-25 2005-08-25 Attack protection method, system and program for SIP server

Publications (2)

Publication Number Publication Date
JP2007060379A JP2007060379A (en) 2007-03-08
JP4654092B2 true JP4654092B2 (en) 2011-03-16

Family

ID=37923451

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005244271A Active JP4654092B2 (en) 2005-08-25 2005-08-25 Attack protection method, system and program for SIP server

Country Status (1)

Country Link
JP (1) JP4654092B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102394868A (en) * 2011-10-12 2012-03-28 镇江金钛软件有限公司 Detection method for DDoS attacked address of dynamic threshold
JP2013223005A (en) * 2012-04-13 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> Dos attack detection apparatus

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101547124A (en) * 2008-03-28 2009-09-30 华为技术有限公司 Method, system and device for preventing illegal routing attacks
JP2009283990A (en) * 2008-05-19 2009-12-03 Nippon Telegr & Teleph Corp <Ntt> Call control device and call control method
JP5178573B2 (en) * 2009-02-17 2013-04-10 株式会社Kddi研究所 Communication system and communication method
JP4878630B2 (en) * 2009-03-25 2012-02-15 日本電信電話株式会社 Communication server and DoS attack prevention method
KR101071506B1 (en) 2009-12-30 2011-10-10 아주대학교산학협력단 DECTECTION METHOD AND APPARATUS OF SIP(Session Initiation Protocol) CANCEL FLOODING ATTACKS BASED ON THE UPPER BOUND OF POSSIBLE NUMER OF SIP MESSAGES
KR101069462B1 (en) 2009-12-30 2011-09-30 아주대학교산학협력단 DECTECTION METHOD AND APPARATUS OF SIPSession Initiation Protocol BYE FLOODING ATTACKS BASED ON THE UPPER BOUND OF POSSIBLE NUMER OF SIP MESSAGES
JP6040179B2 (en) * 2014-02-14 2016-12-07 日本電信電話株式会社 Call processing control device, call processing control system, call volume control method, call processing control program
JP6139431B2 (en) * 2014-02-14 2017-05-31 日本電信電話株式会社 Call processing control device, call processing control system, call volume control method, call processing control program
JP6040181B2 (en) * 2014-02-17 2016-12-07 日本電信電話株式会社 Call processing control system and call processing control method
JP6040185B2 (en) * 2014-02-18 2016-12-07 日本電信電話株式会社 Call processing control system and call processing control method
CN108028832A (en) * 2016-05-10 2018-05-11 华为技术有限公司 Detect the method and apparatus of network attack
CN110851836B (en) * 2019-10-17 2023-04-18 天津大学 Active defense method for Meltdown attack

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003271524A (en) * 2002-03-15 2003-09-26 Mitsubishi Electric Corp Mail server
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004320636A (en) * 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS ATTACK SOURCE DETECTING METHOD, ITS BLOCKING METHOD, SESSION CONTROL APPARATUS, ROUTER CONTROL APPARATUS, PROGRAM AND ITS STORAGE MEDIUM
JP2004356915A (en) * 2003-05-28 2004-12-16 Chiba Inst Of Technology System and apparatus for information processing, program, and method for detecting abnormality of communication through communication network
JP2005020524A (en) * 2003-06-27 2005-01-20 Hitachi Information Technology Co Ltd Server device and telephone set

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003271524A (en) * 2002-03-15 2003-09-26 Mitsubishi Electric Corp Mail server
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004320636A (en) * 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS ATTACK SOURCE DETECTING METHOD, ITS BLOCKING METHOD, SESSION CONTROL APPARATUS, ROUTER CONTROL APPARATUS, PROGRAM AND ITS STORAGE MEDIUM
JP2004356915A (en) * 2003-05-28 2004-12-16 Chiba Inst Of Technology System and apparatus for information processing, program, and method for detecting abnormality of communication through communication network
JP2005020524A (en) * 2003-06-27 2005-01-20 Hitachi Information Technology Co Ltd Server device and telephone set

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102394868A (en) * 2011-10-12 2012-03-28 镇江金钛软件有限公司 Detection method for DDoS attacked address of dynamic threshold
CN102394868B (en) * 2011-10-12 2014-05-07 镇江金钛软件有限公司 Detection method for DDoS attacked address of dynamic threshold
JP2013223005A (en) * 2012-04-13 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> Dos attack detection apparatus

Also Published As

Publication number Publication date
JP2007060379A (en) 2007-03-08

Similar Documents

Publication Publication Date Title
JP4654092B2 (en) Attack protection method, system and program for SIP server
US8156557B2 (en) Protection against reflection distributed denial of service attacks
US9479532B1 (en) Mitigating denial of service attacks
US7624447B1 (en) Using threshold lists for worm detection
US9282113B2 (en) Denial of service (DoS) attack detection systems and methods
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US8407342B2 (en) System and method for detecting and preventing denial of service attacks in a communications system
US20060075084A1 (en) Voice over internet protocol data overload detection and mitigation system and method
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
JP2005252808A (en) Unauthorized access preventing method, device, system and program
US20140380457A1 (en) Adjusting ddos protection
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
JP3928866B2 (en) DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof
JP2007288246A (en) Attack detector
CN107454065A (en) A kind of means of defence and device of UDP Flood attacks
US20070140121A1 (en) Method of preventing denial of service attacks in a network
JP2006100874A (en) Defense method against application type denial of service attack, and edge router
JP3643087B2 (en) Communication network, router and distributed denial-of-service attack detection protection method
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
JP4878630B2 (en) Communication server and DoS attack prevention method
JP4322179B2 (en) Denial of service attack prevention method and system
EP2109281A1 (en) Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks
KR101466895B1 (en) Method of detecting voip fraud, apparatus performing the same and storage media storing the same
JP5009200B2 (en) Network attack detection device and defense device
Farley et al. Exploiting VoIP softphone vulnerabilities to disable host computers: Attacks and mitigation

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070614

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070614

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070806

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20081017

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100420

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100824

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100928

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101220

R150 Certificate of patent or registration of utility model

Ref document number: 4654092

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131224

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350