JP4697968B2 - 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 - Google Patents

分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 Download PDF

Info

Publication number
JP4697968B2
JP4697968B2 JP2006061066A JP2006061066A JP4697968B2 JP 4697968 B2 JP4697968 B2 JP 4697968B2 JP 2006061066 A JP2006061066 A JP 2006061066A JP 2006061066 A JP2006061066 A JP 2006061066A JP 4697968 B2 JP4697968 B2 JP 4697968B2
Authority
JP
Japan
Prior art keywords
token
network
amount
attack
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006061066A
Other languages
English (en)
Other versions
JP2007243419A (ja
Inventor
一浩 大倉
康宏 佐竹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006061066A priority Critical patent/JP4697968B2/ja
Publication of JP2007243419A publication Critical patent/JP2007243419A/ja
Application granted granted Critical
Publication of JP4697968B2 publication Critical patent/JP4697968B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、予め分配されるトークンにより伝送帯域レートの制御を行う帯域制御装置を複数利用し、分散型サービス不能攻撃を防止するための分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置に関する。
多くの端末から特定のWebサイトにサーバの処理能力を超えるトラヒックを集中させてサービスの停止を引き起こす分散型サービス不能攻撃(DDoS:Distributed Denial of Service)が増加しつつある。
DDoS攻撃の対策では、攻撃を検出し、これに基づいてトラヒック制御を行う処理が考えられる。攻撃検出系において、各パケットに対し正規トラヒックフロー(Lフロー)、攻撃トラヒックフロー(Mフロー)、若しくはいずれかの判定が出来ない容疑トラヒックフロー(Sフロー)を判定してパケットヘッダ等により区別できるようにした後、制御系において各パケットヘッダによりパケットがどのフローに属するかを識別し、各フローに応じたトラヒック制御を行う。
DDoS攻撃時の対策の目標は、トラヒックが集中する被攻撃サーバを停止させることなく、正規のトラヒックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることである。攻撃時にはネットワーク、サーバ等において相対的に設備量の小さな部分から輻輳するが、通常は被攻撃サーバがネックとなる。このため、被攻撃サーバに向かうパケットのうち、Lフローに属するパケットは可能な限り疎通を確保し、Mフローのパケットは遮断する制御を行う。Sフローのパケットについては、正規か攻撃かの判断がつかないパケットであるため、正規のパケットについて最大限の疎通を確保するために、被攻撃サーバの処理能力(Cbps)についてLフローに属するパケット処理の余剰処理能力分だけの疎通を確保するように帯域制御を行うことが必要となる。
すなわち、Lフローのトラヒック量をLbpsとすると(C−L)bpsのレートを実現する帯域制御が必要となる。このためには、Lフローのトラヒック量Lbpsを測定し、これに応じて(C−L)bpsのレートを時々刻々調整する必要がある。
トラヒック量を陽に測定することなく容易に帯域制御を行う方式としてトークンバケット方式がある。トークンバケット方式は、単位時間毎に一定レートのパケットの送出を許可するトークンを発行してパケットを送出させる毎にトークンを消費する方式である。トークンバケットを応用した様々な帯域制御が提案されている(例えば、特許文献1)。
ここで、トラヒックを測定してレートを時々刻々調整する煩雑さを回避するため、陽に測定することなく容易に帯域制御を行うトークンバケット方式の応用が考えられる。しかしながら、特許文献1などの従来の提案はネットワーク上でのサービス品質保証、トラヒックフロー間の公平性、余剰帯域の活用を目的としたもので、DDoS攻撃時の対策を目的とするものではない。また、トラヒックを測定してトークン量を調整する方法、余ったトークンの再配置などを提案するもので方法も異なり、DDoS攻撃時の対策を可能とするものではない。
特開2004−336549号公報
DDoS攻撃時の対策として、トラヒックが集中する被攻撃サーバを停止させることなく、正規のトラヒックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることを目標に、陽にトラヒック測定を行う煩雑さを伴わない帯域制御方式、帯域制御装置を提供することは重要である。
すなわち、優先パケットであるLフローのパケットのトラヒック量Lbpsを測定することなく非優先パケットであるSフローのパケットに対して(C−L)bpsのレートで帯域制御を可能とすることが課題である。この問題に関する提案として、本出願人による特願2006−59407号(NTTH176675)の発明が出願(以下、出願1という。)されている。
出願1の発明は、ネットワーク上の一箇所に配備された一台の帯域制御装置を用いて、DDoS攻撃を防止するものである。一方、DDoS攻撃は、ネットワーク上の多地点に位置している攻撃者により送信される攻撃パケットにより構成されるものであり、攻撃者に近い上流の複数ポイントで攻撃パケットを廃棄することがネットワークの輻輳を回避する点で望ましい。従って、ネットワーク上の複数地点に出願1の帯域制御装置を配備し、非攻撃サーバの停止とネットワーク内の輻輳を同時に回避できるよう帯域制御装置のトークン量を算出し分配することが重要である。
一般にISP等のネットワーク事業者網は、図1に示すように中継通信装置からなる中継網と、それらに接続されるエッジ装置およびボーダー装置(図1では両装置とも帯域制御装置と記載)から構成される。尚、ユーザ網にはエッジ装置を介して接続され、他のネットワーク事業者網へはボーダー装置を介して接続されているのが一般的である。
出願1に記載の帯域制御装置は、図1に示されるアクセス回線に接続される帯域制御装置として利用されることが考えられる。この場合、アクセス回線の直前で攻撃パケットの廃棄を行うため、被攻撃サーバとアクセス網の輻輳は防止できる。しかしながら、DDoS攻撃を構成するパケットは、ユーザ網および他ネットワークに接続されている複数の攻撃者から発信されるため、上流のISPネットワーク内での輻輳発生を防止することはできない。
そこで、ISPネットワークのエッジ箇所に出願1に記載の帯域制御装置を配備し、これらに対してトークンを適切に分配することで、DDoS被攻撃サーバへ向かうSフローパケットを(C−L)bpsに制御することが重要である。
図2に出願1に記載のトークンを用いた帯域制御装置の動作内容を記載する。優先パケットのフローが前記正規トラヒックフロー(Lフロー)であり、非優先パケットのフローが前記容疑トラヒックフロー(Sフロー)である。図2に示すように、トークンを被攻撃サーバなど制御対象の処理能力Cのレートで単位時間毎に補給する。パケット送出時に、該パケットのデータ量分だけトークンを消費する。但し、優先パケット(L)については、トークン不足時でもトークンを消費しトークンの借りを認める。一方、非優先パケット(S)では、トークン不足時には非優先パケット蓄積機能に並べ、トークンが補給されてパケット転送を許容できるだけ貯まった時点で順次送出する。これにより、優先パケットのフロー(Lフロー)を陽に測定することなくC−Lのレートで非優先パケット(L)の帯域制御が可能となる。
尚、DDoS攻撃の検出過程においては、パケットフロー毎に攻撃パケットか否かの判定を行うが、検出処理の精度によりL及びSフローパケットの量が動的に変化する。更に、DDoS攻撃パケット自身のレートも時間に応じて変化するため、複数の帯域制御装置に対するトークンの分配量はこれらに合せて動的に変化されることが望ましい。
上記に基づき、本発明の課題は、ネットワーク上に配備された複数の帯域制御装置に対してトークンを分配し、正規トラヒックの疎通を最大限確保するとともに、DDoS被攻撃サーバの停止を防ぐこと及び攻撃パケットによるネットワーク内での輻輳発生を同時に防止することである。すなわち、DDoS攻撃パケットの流入地点に配備された複数の帯域制御装置に対してトークンを分配し、そのトークン量の総和が(C−L)bpsとなるよう動的に分配制御することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明に係るトークン分配方法の要点を、図3を用いて説明する。処理能力CbpsのDDoS被攻撃サーバ303に対してDDoS攻撃が発生した場合を考える。一般的に、ISPネットワーク301のトラヒック管理は、運用センター307において集中的に行われ、DDoS攻撃の検出処理もここで行われる。トークンの分配判断および分配量の算出処理は、この運用センター307に配備されたトークン分配装置306において行う。
DDoS攻撃が検出された場合、その検出箇所とフロー情報に基づき、攻撃パケットの流入箇所(ingressポイント)に配備された帯域制御装置に対してトークンを分配する。具体的には、図における帯域制御装置#1〜4(305−1〜4)へのトークンの分配量の総和がCとなるよう分配量の算出を行う。これにより、ネットワーク内に流入するSフローパケットの総量を(C−L)bpsに制限し、輻輳の発生を回避する。(C−L)bpsに分配制御することで、被攻撃サーバの停止を防ぎつつ、かつSフロー内に含まれる正規パケットを最大限救済できる範囲でネットワーク内へのSフローパケットの流入を許可することが可能となる。
このトークン分配手段を、図4に示す帯域制御装置305と図5に示すトークン分配装置306の構成に基づいて説明する。
図4に帯域制御装置305を示す。トークン消費量監視部401では、帯域制御装置305内でのLおよびSフローパケットの伝送量に関するトークン消費量を監視する。このトークン消費量はトークン制御情報通信部402を介してトークン分配装置306に送信される。出願1に示されるように、トークン消費量はLおよびSフローパケットを伝送する度に消費されるトークン量を示すものであり、これらパケットの実効的な伝送量に該当する。尚、分配済みのトークンに比してLおよびSフローパケットの平均伝送量が大きく、パケット廃棄が生じている状況では、トークン消費量は分配済みのトークン量よりも大きな値を持つ。尚、トークン分配装置306から通知されたトークン量は、図4のトークン制御情報通信部402を介してトークン発行部453へ通知される。
図5にトークン分配装置306の構成を記載する。DDoS攻撃がISPネットワーク301で検出された場合、通信インターフェース501を介して、攻撃検出情報受信部502が、DDoS攻撃が検出された箇所とLおよびSフローパケットのフロー情報を含む攻撃検出情報を受信する。同様に、帯域制御装置305におけるトークン消費量をトークン消費量受信部503が受信する。
トークン分配判定部504では、攻撃検出情報とトークン消費情報に基き、トークンを分配するか否かの判定を行う。トークンを分配する場合には、分配先の帯域制御装置を特定する情報を網構成情報DB507から取得する。トークンを分配するケースとしては、DDoS攻撃が発生し、制御を行う帯域制御装置を新規に追加する場合と、逆にDDoS攻撃が終了し、分配済みのトークンを回収するケースが考えられる。更に、トークンを一度分配した後、特定の帯域制御装置のトークン消費量が分配済みのトークン量と一定値以上異なる場合に、適切なトークン量を再計算し、再分配する場合がある。
トークン分配量算出部505では、分配するトークン量を算出する。
第2の発明に係るトークン分配判定手段とトークン分配量算出手段では、(式1)で示されるΔCを分配するトークン量の最小単位とし、分配するトークン量の総計がCとなるように全体として分配処理を行う。
ΔC=C/N ・・・ (式1)
但し、Cは被攻撃サーバの処理能力(bps)、Nは任意の分割変数であるが、例えば、ネットワーク内に設置されている帯域制御装置の総数としても良い。
帯域制御装置に対しトークンを分配若しくは回収する場合、ΔCのトークン量毎に分配と回収をそれぞれ行う。DDoS攻撃が発生した場合、帯域制御装置305にΔCずつのトークンを分配し、その後、各帯域制御装置内でのトークン消費量とΔCが一定値以上異なる場合には、ΔC分の追加分配、若しくは回収を行う。これらの処理は帯域制御装置に対して再帰的に繰り返し処理される。
図5に記載のトークン情報DB508では、分配済みのトークン量を記憶し、分配済みのトークン量の総計がCより小さい場合には追加分配を許可し、それ以外では追加分配許可せず、当該帯域制御装置をトークン不足の状態として記憶する。
上記の第2の発明に係る手段は、トークンの分配と回収を複数の帯域制御装置に対して同時に行わない為、ネットワーク構成および帯域制御装置の構造上、頻度の高いトークン分配処理が困難な場合に適している。一方、下記の第3の発明に係るトークン分配手段は、一つの帯域制御装置に対してトークンを分配若しくは回収する際、他の帯域制御装置のトークンについても同時に再計算と分配若しくは回収の処理を行う。従って、頻度の高いトークン分配が許される環境で、より精度高く制御を行う必要がある場合に適している。
第3の発明に係るトークン分配量算出部505では、(式2)に基づいて分配するトークン量を算出する。特定の帯域制御装置に対してトークンの分配、再計算、回収が必要となった場合、制御処理を行っているその他の帯域制御装置についてもTを算出し、n台の帯域制御装置に対して同時にトークンを再分配若しくは回収する手段である。
但し、帯域制御装置を識別する番号をiとし、トークン分配済みの帯域制御装置数をnとし、iで識別される帯域制御装置のトークン消費量をTC、分配するトークン量をTとし、被攻撃サーバの処理能力をCとする。
第4の発明に係るトークン分配量算出部505では、被攻撃サーバの処理能力をCとすると、帯域制御装置#0(305−0)へのトークンの分配量をCと算出する手段を備える。
上記のトークン量の帯域制御装置への通知は、図5のトークン送信部506で行う。各帯域制御装置に対するトークンの分配量とトークン消費量に関する情報はトークン情報DB508において記憶される。
本発明により、DDoS攻撃に対して、正規トラヒックの疎通を最大限確保するとともに被攻撃サーバの停止を防ぎ、同時にネットワーク内の輻輳の発生を回避することが可能となる。また、攻撃発生時において攻撃者の意図により若しくはDDoS攻撃の検出過程の精度によって、Sフローパケットのネットワークへの流入地点とそのパケット量が変動した場合においても、トークンの動的な分配を行うことで上記の効果を得ることが可能となる。
以下、本発明の実施形態について図を用いて説明する。
(第一の実施形態)
本発明の第一の形態を、図3、図4、図5に示すネットワーク環境、帯域制御装置、トークン分配装置と図6〜8のフローチャートを用いて説明する。
図3において、301はISPネットワークであり、302−0〜302−3は中継装置である。303は分散型サービス不能攻撃の攻撃対象となるDDoS被攻撃サーバであり、304はDDoS被攻撃サーバ303を有するLANである。305−0はISPネットワーク301とLAN304との接続点に配置された帯域制御装置#0である。305−1〜4はISPネットワーク301とISPネットワーク301に隣接する外部ネットワーク(図示していない)との接続点に配置された帯域制御装置#1〜#4である。306はトークン分配装置であり、307はトークン分配装置306が配置された運用センターである。LAN304は一般のネットワークでも良く、また、DDoS被攻撃サーバ303に接続するネットワークでも良い。図3に示す帯域制御装置#0〜#4(305−0〜4)は、通常はルータ装置が考えられ、図2に記載のトークン機能を具備したルータが帯域制御を行うことになるが、これはルータ装置に付加する外部制御装置でも良い。帯域制御装置#0〜#4(305−0〜4)は、エッジ装置、ボーダー装置等を含むゲート装置で良く、トークン分配装置306は一般的には帯域を管理する帯域管理装置でも良い。
図3の帯域制御装置305の詳細を図4に示す。451はパケットを受信するパケット受信部であり、452は優先パケットと非優先パケットを識別するパケット種別識別部であり、453はトークンを発行するトークン発行部であり、454はトークンを蓄積するトークン蓄積部であり、455はトークンの残量を計算するトークン残量計算部であり、456は非優先パケットの送出の判断を行う非優先パケット送出判断部であり、457は非優先パケット用の蓄積を行う非優先パケット用蓄積部であり、458はパケットを送出するパケット送出部である。401はトークン消費量を監視するトークン消費量監視部であり、402はトークン制御情報(トークン消費情報、トークン分配量)の送受信を行うトークン制御情報通信部である。451〜458は発明が解決しようとする課題の項に記載した出願1と同様であり、トークン消費量監視部401とトークン制御情報通信部402が本実施形態において付け加えられたものである。
まず、図4の帯域制御装置305のうち前記出願1と同様な451〜458について簡単に説明する。パケット受信部451は複数種別のパケットを受信し、パケット種別識別部452ヘパケットを転送する。パケット種別識別部452は、パケットが優先パケットか被優先パケットを識別する。識別のための情報は図示していないが別に設けてある攻撃検出系から予め受け取っておく。例えば、TCPのSyn−flood攻撃を想定すると、TCPのSynフラグが立ったパケットを非優先パケット、TCPのそれ以外のパケットは優先パケットとして識別するケースがありえる。尚、このケースでは、背景技術にて説明した正規トラヒックフロー(Lフロー)が優先パケット(TCPのSynフラグの立たないパケット)、容疑トラヒックフロー(Sフロー)が非優先パケット(TCPのSynフラグの立ったパケット)に相当する。パケット種別識別部452において、優先パケットと識別したパケットはトークン残量計算部455に転送する。非優先パケットと識別したパケットは非優先パケット送出判断部456に転送する。トークン発行部453ではパケットの送出を許可するトークンを一定レートで発行する。例えば、被攻撃サーバなど流入するトラヒックの総量を制御したい制御対象について、その処理能力をパケットの総量制限値Cbpsとして制御する場合は、1秒間にCビットのパケット送出を許可するトークンを一定レートで発行する。トークン蓄積部454はトークン発行部453が発行したトークンを蓄積する。トークン残量計算部455は、優先パケット、または、非優先パケットの送出時に該パケットのデータ量の分だけトークン蓄積部454に蓄積されているトークンを消費してトークンの残量を計算し、その結果をトークン蓄積部454に蓄える。ここで、優先パケットの送出時にはトークンが不足していても優先パケットを送出してトークン残量をマイナス値として計算し、計算の結果をトークン蓄積部454に蓄える。この処理のあと、パケット送出部458に転送する。非優先パケット送出判断部456は、トークン蓄積部454にて蓄積しているトークンの残量で送出許可できるパケットデータ量と送出したい非優先パケットのデータ量を比較して、等しいか前者が大きい場合に非優先パケットの送出を許可する。この比較は、パケット種別識別部452から非優先パケットを受け取ったときには、該パケットとトークン残量を比較する。または、トークン発行部453がトークンを発行したときは、非優先パケット蓄積部457の中で例えば最も時間が経過しているパケットなど次に送出すべきパケットとトークン残量を比較する。送出を許可したパケットはトークン残量計算部455に転送する。送出を許可できない場合は非優先パケット蓄積部457に該パケットを蓄積する。パケット送出部458では受信したパケットを本帯域制御装置から送出する。
以上が出願1の帯域制御装置の説明であるが、本実施形態においては、トークン消費量監視部401がトークン消費量を監視し、トークン制御情報通信部402がトークン消費量情報をトークン分配装置に送信する。また、トークン制御情報通信部402が、トークン分配装置306からトークン分配量を受信すると、トークン発行部は、受信したトークン分配量を伝送帯域制限値に指定しトークンの発行レートを伝送帯域制限値に制限し、これにより、DDoS被攻撃サーバ303を送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を伝送帯域制御値に制限する処理を行う。ここで、正規パケットとは、Lフローのパケットであり、DDoS被攻撃サーバ303が正規に受信すべきパケット(図1の正規利用者からのパケット)である。攻撃容疑パケットとは、Sフローのパケットであり、攻撃パケットか正規パケットかの判定が出来ないパケットである。
図3のトークン分配装置306の詳細を図5に示す。501は通信インターフェースであり、この通信インターフェースを介してトークン分配装置306がISPネットワーク301に接続される。502はISPネットワーク301内における正規パケットおよび攻撃容疑パケットが通過する帯域制御装置の特定情報とそれらのパケット量からなる攻撃検出情報を受信する攻撃情報を受信する攻撃検出情報受信部である。503は帯域制御装置305のトークン消費量情報を受信するトークン消費情報受信部である。504は攻撃検出情報とトークン消費情報に基づきトークンを分配する帯域制御装置を決定し、トークンを増減するか否かを判定するトークン分配判定部である。505はISPネットワーク301内に流入される正規パケットと攻撃容疑パケットの総量がDDoS被攻撃サーバのパケットの処理能力以下に制限されるように帯域制御装置に分配するトークンの量であるトークン分配量を決定するトークン分配量算出部であり、506はトークン分配量を送信するトークン送信部である。507は網構成情報を蓄積する網構成情報DBであり、508はトークン情報を蓄積するトークン情報DBである。
トークン分配装置306は図5に記載される各処理部とDBから構成され、汎用的なパーソナルコンピュータやワークステーション等により実現することができる。攻撃検出情報受信部502、トークン消費情報受信部503、トークン分配判定部504、トークン分配量算出部505、トークン送信部506は、CPUで処理されるプログラムとして実現しても良い。また、網構成情報DB507とトークン情報DB508は、汎用DBを利用して実現しても良い。通信インターフェース501は、LANまたはWAN等のネットワークと接続するためのネットワーク接続カード等により構成される。
図6〜8はトークン分配装置306の動作を示すフローチャートである。以下に図6〜8のフローチャートを用いて、DDoS攻撃が検出されてからトークン分配による帯域制御を実施するまでの処理の流れを説明する。
DDoS攻撃が検出された場合、図6のフローチャートにおいて、攻撃情報受信部502から攻撃検出情報が受信される(S61)。攻撃検出情報には、例えば、LおよびSフローパケットのIPヘッダ部、TCPヘッダ部およびUDPヘッダ部の属性、並びにフローデータ量(bps)の情報が含まれる。加えて、Sフローパケットが検出された帯域制御装置の識別子が含まれる。
攻撃情報の取得後、トークン分配判定部504において網構成情報DB507に蓄積された情報に基き、DDoS被攻撃サーバと帯域制御装置の特定情報を取得する(S62)。例えば、SフローパケットのDestination IPアドレスとDestination Portから被攻撃サーバを特定し、網構成情報DBから当該サーバの処理能力Cを得る(S63)。
また、攻撃情報に含まれる帯域制御装置の識別子を検索キーとして、網構成情報DB507から帯域制御装置のIPアドレスおよび通信ポート識別番号を得る。攻撃検出情報に帯域制御装置の識別子を規定する事ができない場合には、Sフローのパケット情報とネットワークの管理情報であるルーティング情報から帯域制御装置を一意に特定してもよい。
次に、トークン分配判定部504では、ISPネットワーク301と外部ネットワーク(図示していない)との接続点に配置された帯域制御装置#1〜#4(305−1〜4)に対して、ISPネットワーク301内に流入される正規パケットと攻撃容疑パケットの総量が攻撃対象のコンピュータの処理能力以下に制限されるように、トークンの分配若しくは回収のいずれを行うかの判定と、対象の帯域制御装置の決定を行う(S64、S65)。DDoS攻撃が発生し、新規に制御を行う帯域制御装置を追加する場合(S703、図7参照)、トークン情報DB508に蓄積されているトークン分配量に基づき、(式3)で表されるトークン残量を確認する(S703,S704)。
但し、トークン残量をTRとし、帯域制御装置を識別する番号をiとし、トークン分配済みの帯域制御装置数をnとし、iで識別される帯域制御装置に分配済みのトークン量をTiとする。
トークン残量が単位トークン量ΔC以上の場合、ΔCのトークンを当該帯域制御装置に分配する(S705)。トークン残量が単位トークン量ΔC以下の場合、当該帯域制御装置に対するトークン情報を、例えば、不分配とする属性を付与してトークン情報DB508に蓄積する(S707)。ここで、単位トークン量ΔCは、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、ΔC=C/Nである。分割変数Nは、例えば、ネットワーク内に設置されている帯域制御装置の総数としても良い。
また、特定の帯域制御装置を通過するDDoS攻撃が停止した場合、当該帯域制御装置から分配済みのトークンを回収する(S708)。更に、トークン残量がΔC以下の場合で、かつトークン情報DB508にトークン不分配の帯域制御装置が登録されている場合(S710、S711)、当該帯域制御装置に対してトークンを分配する(S712)。
トークンの分配若しくは回収処理を行った後は、分配結果をトークン情報DB508に登録し蓄積する(S706)。尚、トークン情報DB508のテーブル構成は、例えば、図10に示される情報項目と属性から構成されてもよい。
次に、上記の処理により帯域制御装置に対してトークンの分配を行った後、特定の帯域制御装置のトークン消費量が分配済みのトークン量と一定値以上の差がある場合の処理を、図8のフローチャートを用いて説明する。
帯域制御装置305では、図4に記載のトークン消費量監視部401においてトークン消費量を監視する。分配されているトークン量との差分が一定値以上である場合、トークン分配装置306は、図5のトークン消費情報受信部503を介して、トークン消費情報を受信する(S81)。トークン消費情報は、例えば、帯域制御装置の識別子およびトークン消費量(bps)からなる情報で規定される。
次に、トークン情報DB508から当該帯域制御装置の特定情報とCの値を取得する(S82、S83)。同様に、当該帯域制御装置に分配済みのトークン量を取得し(S84)、トークン分配判定部504でトークンの追加若しくは回収のいずれかを行うかの判断を行う。
以降の処理は、前述の図7に示されるフローチャートと同様の処理である為、省略する。但し、S702の判定内容は、当該帯域制御装置に対してトークンを追加分配するか若しくは回収するかの判断となる。
以上により、第2の発明のトークン分配量算出手段を用いた帯域制御を実施することが可能となる。
また、被攻撃サーバが特定され、その処理能力Cが得られると、トークン分配量算出部505は、ISPネットワーク301と、DDoS被攻撃サーバ303を有するLAN304あるいはDDoS被攻撃サーバに接続するネットワーク(図示していない)と、の接続点に配置された帯域制御装置#0(305−0)に送信するトークン分配量をCと算出し、トークン送信部506がそのトークン分配量を帯域制御装置#0(305−0)に送信する。これにより、第4の発明を用いた帯域制御を実施することができる。
結局、本実施形態では、トークン分配判定部504は、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された特定の帯域制御装置のトークン消費量がトークン分配量よりも一定値以上の場合に、トークンの残量があれば固定の単位トークン量を追加的に分配し、トークンの残量が無い場合には不分配とするトークン分配手段と、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された特定の帯域制御装置のトークン消費量がトークン分配量よりも一定値以下の場合には、その帯域制御装置からトークンを回収し不分配の帯域制御装置に対して前記トークンを分配するトークン回収手段と、を備えている。また、トークン分配量算出部505は、単位トークン量をΔCとし、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、
ΔC=C/N ・・・ (式1)
からなる値を算出する手段を備える。また、トークン分配量算出部505は、DDoS被攻撃サーバ303の処理能力をCとすると、帯域制御装置#0(305−0)に送信するトークン分配量をCと算出する手段を備える。
(第二の実施形態)
本発明の帯域制御を実施する第二の実施形態として、第3の発明のトークン分配量算出手段を用いた帯域制御を、図6、8、9のフローチャートを用いて説明する。当該実施形態では、第一の実施形態について図6と8で説明した処理が同様に必要となり、図7に代わり図9の処理で実現される。従って、図9に示すフローチャートを特に説明する。
尚、具体的に第一の実施形態と異なる点としては、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された特定の帯域制御装置にトークンを分配する契機において、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された他の帯域制御装置についてもトークン量を同時に再計算し、トークンの分配を行うことである。この際、制御中の全ての帯域制御装置のトークン消費量の大小に応じて、トークンの総計がCとなるように最適なトークン量が算出される。
第二の実施形態では、一斉にトークンの送受信と更新処理を要する為、処理負荷が増加することとなるが、一方で、帯域制御装置毎にトークン消費量に応じた適切なトークン量の分配なされる。これによりDDoS被攻撃サーバのサービスを停止することなく、Sフローパケット中に含まれる正規パケットを最大限救済することが可能となる。
DDoS攻撃が発生若しくは終了し、図6に示すフローチャートにより制御を行う帯域制御装置が追加若しくは削除される場合、図6のS64の処理の後、図9のS901に遷移する。次に、制御処理中の全ての帯域制御装置からその時点でのトークン消費情報を取得する(S901)。これらをトークン情報DBに登録し、同時に制御中の帯域制御装置の装置数nを取得する(S902)。
次に、帯域制御装置を追加か削除するかに応じて、nを±1ずつ増減し(S903、S904、S905)、式2により各帯域制御装置に分配するトークン量を決定する(S906、S907)。その後、各帯域制御装置に当該トークン量を分配し、分配結果をトークン情報DBに登録する(S908、S909)。
特定の帯域制御装置のトークン消費量が分配済みのトークン量と一定値以上の差がある場合の処理は、図8に記載のフローチャートにより開始される。この場合、制御を行う帯域制御装置の数量は増減しないため、図8のS85の処理の後、図9のS910に遷移する。その後、S906〜S909において、制御を行っている全ての帯域制御装置に対して分配すべきトークン量を再計算し、それらに対して送信処理を行う。
以上により、第3の発明のトークン分配量算出手段を用いた帯域制御を実施することが可能となる。
結局、本実施形態においては、トークン分配判定部504は、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された特定の帯域制御装置のトークン消費量がトークン分配量よりも一定値以上大きい場合、および一定値以上小さい場合に、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置されたトークンを分配済みの帯域制御装置に対してトークンの再分配を行うと判定する手段を備える。また、トークン分配量算出手段505は、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置された帯域制御装置を識別する番号をiとし、ISPネットワーク301と外部ネットワーク(図示していない)の接続点に配置されたトークン分配済みの帯域制御装置数をnとし、iで識別される帯域制御装置のトークン消費量をTC、分配するトークン量をTとし、攻撃対象のコンピュータの処理能力をCとすると、
からなる値を算出する手段を備える。また、トークン送信部506は、iで識別されるn台の帯域制御装置に対して前記Tを分配する手段を備える。また、トークン分配量算出部505は、DDoS被攻撃サーバ303の処理能力をCとすると、帯域制御装置#0(305−0)に送信するトークン分配量をCと算出する手段を備える。
以上説明した第一および第二の実施形態の共通する点をまとめると次のとおりである。帯域制御装置305は、一定レートで発行されるトークンの有無と、指定されたパケット識別子に基づきパケットの伝送許可を判断する装置であり、トークンの発行レートを伝送帯域制御値に基づいて指定することにより、攻撃対象のコンピュータを送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を前記伝送帯域制御値に基づいて制限する処理を行う装置である。また、トークン分配装置306は、帯域制御装置305に対して分配するトークンの量を制御する装置であり、分散型サービス不能攻撃が検出されたことを示す攻撃検出情報を受信する攻撃検出情報受信部502と、帯域制御装置305のトークン消費情報を受信するトークン消費情報受信部503と、攻撃検出情報とトークン消費情報に基づきトークンを分配する帯域制御装置を決定し、トークンを増減するか否かを判定するトークン分配判定部504と、ISPネットワーク301内に流入される正規パケットと攻撃容疑パケットの総量が攻撃対象のコンピュータのパケット処理能力以下に制限されるように前記帯域制御装置に分配するトークンの量であるトークン分配量を決定するトークン分配量算出部505と、トークン分配量を伝送帯域制御値として帯域制御装置に送信するトークン送信部と、を備える装置である。
なお、前記実施形態のDDoS被攻撃サーバの処理能力Cを実際のDDoS被攻撃サーバの処理能力とは異なる値、例えば実際のDDoS被攻撃サーバの処理能力以下の値としてもよい。また、通常のサーバの処理能力あるいはそれ以下の処理能力をDDoS被攻撃サーバの処理能力Cとしてもよい。また、DDoS被攻撃サーバを特定することができなくても、攻撃パケットや攻撃容疑パケットが流出する位置に配置された帯域制御装置が特定できれば、同様に処理を行うことができる。また、攻撃パケットや攻撃容疑パケットが流出する位置に配置された帯域制御装置が特定できなくても、攻撃パケットや攻撃容疑パケットが流入する位置に配置された帯域制御装置が特定できれば、その帯域制御装置にトークン分配量を送信することができる。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
出願1に記載の帯域制御装置を配備したネットワーク環境を示す図である。 出願1に記載の帯域制御装置における帯域制御方法を示す図である。 本発明の実施形態のネットワーク環境を示す図である。 本発明の実施形態の帯域制御装置を示す図である。 本発明の実施形態のトークン分配装置を示す図である。 制御を行う帯域制御装置の追加若しくは削除を行うケースのフローチャートである。 第一の実施形態のトークン分配処理のフローチャートを示す図である。 一つの帯域制御装置においてトークン消費量が分配済みのトークン量と一定値以上、差があるケースのフローチャートを示す図である。 第二の実施形態のトークン分配処理のフローチャートを示す図である。 トークン情報DBテーブルの例である。
符号の説明
301…ISPネットワーク、302…中継装置、303…DDoS被攻撃サーバ、304…LAN、305…帯域制御装置、306…トークン分配装置、307…運用センター、401…トークン消費量監視部、402…トークン制御情報通信部、451…パケット受信部、452…パケット種別識別部、453…トークン発行部、454…トークン蓄積部、455…トークン残量計算部、456…非優先パケット送出判断部、457…非優先パケット用蓄積部、458…パケット送出部、501…通信インターフェース、502…攻撃検出情報受信部、503…トークン消費情報受信部、504…トークン分配判定部、505…トークン分配量算出部、506…トークン送信部、507…網構成情報DB、508…トークン情報DB

Claims (9)

  1. 複数の通信装置を接続してなる第1のネットワークと、分散型サービス不能攻撃の攻撃対象となるコンピュータを有するまたは分散型サービス不能攻撃の攻撃対象となるコンピュータに接続する第2のネットワークおよび前記第1のネットワークに隣接し前記第2のネットワークとは異なる第3のネットワークと、の接続点に配置されたゲート装置と、前記ゲート装置に対して伝送帯域制御値の指示を行う帯域管理装置とを有する分散型サービス不能攻撃防止システムであって、
    前記ゲート装置は、
    一定レートで発行されるトークンの有無と、指定されたパケット識別子に基づきパケットの伝送許可を判断する帯域制御装置であって、前記トークンの発行レートを伝送帯域制御値に基づいて指定することにより、攻撃対象のコンピュータを送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を前記伝送帯域制御値に基づいて制限するとともに、前記トークンの消費情報を前記帯域管理装置に送信する処理を行う装置であり、
    前記帯域管理装置は、
    前記ゲート装置に対して分配するトークンの量を制御するトークン分配装置であって、分散型サービス不能攻撃が検出されたことを示す攻撃検出情報を受信する攻撃検出情報受信手段と、前記ゲート装置のトークン消費情報を受信するトークン消費情報受信手段と、前記攻撃検出情報と前記トークン消費情報に基づきトークンを分配するゲート装置を決定し、トークンを増減するか否かを判定するトークン分配判定手段と、前記第3のネットワークから前記第1のネットワーク内に流入される正規パケットと攻撃容疑パケットの総量が前記分散型サービス不能攻撃の攻撃対象となるコンピュータのパケット処理能力以下に制限されるように前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に分配するトークンの量であるトークン分配量を決定するトークン分配量算出手段と、前記トークン分配量を伝送帯域制御値として前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に送信するトークン送信手段と、を備える
    ことを特徴とする分散型サービス不能攻撃防止システム。
  2. 前記トークン分配判定手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上の場合に、トークンの残量があれば固定の単位トークン量を追加的に分配し、トークンの残量が無い場合には不分配とするトークン分配手段と、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以下の場合には、該ゲート装置からトークンを回収し不分配のゲート装置に対してトークンを分配するトークン回収手段と、を備え、
    前記トークン分配量算出手段は、前記単位トークン量をΔCとし、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、
    ΔC=C/N ・・・ (式1)
    からなる値を算出する手段を備える
    ことを特徴とする請求項1に記載の分散型サービス不能攻撃防止システム。
  3. 前記トークン分配判定手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上大きい場合、および一定値以上小さい場合に、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークンを分配済みのゲート装置に対してトークンの再分配を行うと判定する手段を備え、
    前記トークン分配量算出手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置を識別する番号をiとし、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークン分配済みのゲート装置数をnとし、iで識別されるゲート装置のトークン消費量をTCi、分配するトークン量をTiとし、攻撃対象のコンピュータの処理能力をCとすると、
    からなる値を算出する手段を備え、
    前記トークン送信手段は、iで識別されるn台のゲート装置に対して前記Tiを分配する手段を備える
    ことを特徴とする請求項1に記載の分散型サービス不能攻撃防止システム。
  4. 前記トークン分配量算出手段は、攻撃対象のコンピュータの処理能力をCとすると、前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するトークン分配量をCと算出する手段を備え、
    前記トークン送信手段は、前記トークン分配量Cを伝送帯域制御値として前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信する
    ことを特徴とする請求項1ないし3のうちいずれか1項に記載の分散型サービス不能攻撃防止システム。
  5. 複数の通信装置を接続してなる第1のネットワークと、分散型サービス不能攻撃の攻撃対象となるコンピュータを有するまたは分散型サービス不能攻撃の攻撃対象となるコンピュータに接続する第2のネットワークおよび前記第1のネットワークに隣接し前記第2のネットワークとは異なる第3のネットワークと、の接続点に配置されたゲート装置と、前記ゲート装置に対して伝送帯域制御値の指示を行う帯域管理装置とを有する分散型サービス不能攻撃防止システムにおける分散型サービス不能攻撃防止方法であって、
    前記ゲート装置は、
    一定レートで発行されるトークンの有無と、指定されたパケット識別子に基づきパケットの伝送許可を判断する帯域制御装置であって、前記トークンの発行レートを伝送帯域制御値に基づいて指定することにより、攻撃対象のコンピュータを送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を前記伝送帯域制御値に基づいて制限するとともに、前記トークンの消費情報を前記帯域管理装置に送信する処理を行い、
    前記帯域管理装置は、
    前記ゲート装置に対して分配するトークンの量を制御するトークン分配装置であって、攻撃検出情報受信手段とトークン消費情報受信手段とトークン分配判定手段とトークン分配量算出手段とトークン送信手段とを備え、前記攻撃検出情報受信手段が分散型サービス不能攻撃が検出されたことを示す攻撃検出情報を受信するステップと、前記トークン消費情報受信手段が前記ゲート装置のトークン消費情報を受信するステップと、前記トークン分配判定手段が前記攻撃検出情報と前記トークン消費情報に基づきトークンを分配するゲート装置を決定し、トークンを増減するか否かを判定するステップと、前記トークン分配量算出手段が前記第3のネットワークから前記第1のネットワーク内に流入される正規パケットと攻撃容疑パケットの総量が前記分散型サービス不能攻撃の攻撃対象となるコンピュータのパケット処理能力以下に制限されるように前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に分配するトークンの量であるトークン分配量を決定するステップと、トークン送信手段が前記トークン分配量を伝送帯域制御値として前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に送信するステップと、を含むことを特徴とする分散型サービス不能攻撃防止方法。
  6. 前記トークン分配判定手段は、トークン分配手段とトークン回収手段とを備え、前記トークン分配手段が前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上の場合に、トークンの残量があれば固定の単位トークン量を追加的に分配し、トークンの残量が無い場合には不分配とするステップと、前記トークン回収手段が前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以下の場合には、該ゲート装置からトークンを回収し不分配のゲート装置に対して前記トークンを分配するステップと、を含み、
    前記トークン分配量算出手段が、前記単位トークン量をΔCとし、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、
    ΔC=C/N ・・・ (式1)
    からなる値を算出するステップを含む
    ことを特徴とする請求項5に記載の分散型サービス不能攻撃防止方法。
  7. 前記トークン分配判定手段が、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上大きい場合、および一定値以上小さい場合に、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークンを分配済みのゲート装置に対してトークンの再分配を行うことと判定するステップと、
    前記トークン分配量算出手段が、前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置を識別する番号をiとし、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークン分配済みのゲート装置数をnとし、iで識別されるゲート装置のトークン消費量をTCi、分配するトークン量をTiとし、攻撃対象のコンピュータの処理能力をCとすると、
    からなる値を算出するステップと、
    前記トークン送信手段が、iで識別されるn台のゲート装置に対して前記Tiを分配するステップと、を含む
    ことを特徴とする請求項5に記載の分散型サービス不能攻撃防止方法。
  8. 前記トークン分配量算出手段が、攻撃対象のコンピュータの処理能力をCとすると、前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するトークン分配量をCと算出するステップと、
    前記トークン送信手段が、前記トークン分配量Cを伝送帯域制御値として前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するステップと、を含む
    ことを特徴とする請求項5ないし7のうちいずれか1項に記載の分散型サービス不能攻撃防止方法。
  9. 請求項1ないし4のうちいずれか1項の分散型サービス不能攻撃防止システムにおける帯域管理装置。

JP2006061066A 2006-03-07 2006-03-07 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 Expired - Fee Related JP4697968B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006061066A JP4697968B2 (ja) 2006-03-07 2006-03-07 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006061066A JP4697968B2 (ja) 2006-03-07 2006-03-07 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置

Publications (2)

Publication Number Publication Date
JP2007243419A JP2007243419A (ja) 2007-09-20
JP4697968B2 true JP4697968B2 (ja) 2011-06-08

Family

ID=38588532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006061066A Expired - Fee Related JP4697968B2 (ja) 2006-03-07 2006-03-07 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置

Country Status (1)

Country Link
JP (1) JP4697968B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109795277A (zh) * 2018-10-17 2019-05-24 南京林业大学 一种控制器与执行器之间的网络受到DoS攻击时主动悬架可靠性控制的方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017098605A (ja) * 2015-11-18 2017-06-01 日本電信電話株式会社 通信制御装置、通信制御方法、及びプログラム
JP6509143B2 (ja) * 2016-02-16 2019-05-08 日本電信電話株式会社 帯域制御装置及び方法
JP6923809B2 (ja) * 2018-08-23 2021-08-25 日本電信電話株式会社 通信制御システム、ネットワークコントローラ及びコンピュータプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283572A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283572A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109795277A (zh) * 2018-10-17 2019-05-24 南京林业大学 一种控制器与执行器之间的网络受到DoS攻击时主动悬架可靠性控制的方法

Also Published As

Publication number Publication date
JP2007243419A (ja) 2007-09-20

Similar Documents

Publication Publication Date Title
US9231876B2 (en) User traffic accountability under congestion in flow-based multi-layer switches
US6556578B1 (en) Early fair drop buffer management method
EP1790131B1 (en) Methods of and systems for network traffic security
US8898295B2 (en) Achieving endpoint isolation by fairly sharing bandwidth
US7724660B2 (en) Communication traffic congestion management systems and methods
EP1759495B1 (en) Processing of data in networks
JP4474192B2 (ja) ネットワークにおけるサービス品質の暗黙的弁別のための方法及び装置
EP1393194B1 (en) Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network
EP2033369B1 (en) Monitoring networks
US20040148391A1 (en) Cognitive network
EP3384641B1 (en) Dynamic configuration of routing paths in a data network
US9998400B2 (en) Attribution of congestion contributions
EP2575303A1 (en) Determining congestion measures
KR20150013800A (ko) 아웃라이어 검출을 이용한 가입자 공정성 보장 시스템 및 방법
JP4697968B2 (ja) 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置
US7417951B2 (en) Apparatus and method for limiting bandwidths of burst aggregate flows
US9258388B2 (en) Framework of an efficient congestion exposure audit function
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP4271199B2 (ja) 帯域制御方法および帯域制御装置
JP2006148778A (ja) パケット転送制御装置
Akintola et al. Modeling and Performance Analysis of Dynamic Random Early Detection (DRED) Gateway for Congestion Avoidance.
JP2006311084A (ja) ネットワーク制御システム
Moncaster et al. The Need for Congestion Exposure in the Internet; draft-moncaster-conex-problem-00
Jeong et al. An effective DDoS attack detection and packet-filtering scheme
JP2003023448A (ja) パケット廃棄装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071211

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080812

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090224

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090422

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090501

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20090529

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090709

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090909

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110228

R150 Certificate of patent or registration of utility model

Ref document number: 4697968

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees