JP5957211B2 - コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 - Google Patents
コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 Download PDFInfo
- Publication number
- JP5957211B2 JP5957211B2 JP2011256060A JP2011256060A JP5957211B2 JP 5957211 B2 JP5957211 B2 JP 5957211B2 JP 2011256060 A JP2011256060 A JP 2011256060A JP 2011256060 A JP2011256060 A JP 2011256060A JP 5957211 B2 JP5957211 B2 JP 5957211B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- blocking
- address
- content
- dos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 title claims description 94
- 238000001914 filtration Methods 0.000 title claims description 34
- 238000000034 method Methods 0.000 title claims description 24
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 206010033799 Paralysis Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用してDoS攻撃を遮断する方法、システム及びコンピュータ読み取り可能な記録媒体に関し、より詳細には、DoS攻撃を認識した時、コンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動により、リソースの消費を少なくしながらも優れた性能でDoS攻撃を遮断するための方法、システム及びコンピュータ読み取り可能な記録媒体に関する。
インターネットの使用が一般化し、その技術が発達するにつれて生活がより便利になる一方、インターネットを利用したウィルスやハッキングも益々多様化し、発展する傾向を示している。特に最近は、DoS(Denial of Service;サービス拒否)方式、または複数の分散したコンピュータを一斉に動作させてDoS方式を利用するDDoS(Distributed Denial Of Service;分散サービス拒否)などを利用した特定サイトの攻撃が多く発生している。DoS方式とは、所定コンピュータの動作によって特定サイトを攻撃する方式であり、ハッカーがサービス攻撃のための道具を予めコンピュータに設け、標的サイトのコンピュータシステムの処理能力を超える大量のパケットを送りつけ、ネットワークの性能を低下させたり、システム資源を枯渇させて麻痺させたりするハッキング方式を意味する。
従って、ユーザは特定サイトに正常にアクセスできなくなり、数多くのコンピュータシステムが運営者も知らないうちにハッキングの宿主に利用される可能性がある。DoS攻撃は、一般的に悪質なコードや電子メールなどを利用して一般ユーザのコンピュータを感染させるいわゆるゾンビPCにした後、C&C(Command and Control)サーバの制御によって特定時間に行われる。
このようなDoS攻撃を遮断するために、コンテンツフィルタリングシステムを備え、DoS攻撃でみられる特定パターンを把握して、このような特定パターンを有するパケットを全て遮断する方式が利用されている。しかし、特定パターンを把握するためには、パケット内部を全て確認しなければならないため、大量のパケットが一時的に伝達される際にはコンテンツフィルタリングシステムに過負荷が発生してシステムが麻痺する可能性がある。そのため、DoS攻撃を遮断するという目的を果たすには物足りない面があった。
また、パケットの伝送IP(Internet Protocol)アドレスのみを把握してパケットの伝達を遮断するパケットレベル遮断システムをDoS攻撃の遮断のために利用する場合、システム資源のリソース消費は減少するが、該当IPアドレスから伝達されたパケットが正常なパケットであるか否かに関わらず遮断するため、遮断性能が非常に劣り、DoS攻撃が終了した後にも特定のIPアドレスからのパケットは無条件的に防ぎ続けるという問題が発生する。
従って、DoS攻撃が発生する場合、コンテンツフィルタリングシステム及びパケットレベル遮断システムの両方を有機的に連動して、リソース消費を減少させながらも、優れた性能で攻撃を遮断するための方法及びシステムが必要となる。
本発明の目的は、上述の従来技術の問題を解決することにある。
本発明の一つの目的は、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することにある。
また、本発明の他の目的は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することにある。
上記のような本発明の目的を果たし、後述する本発明の特有の効果を果たすための本発明の特徴的な構成は下記のとおりである。
本発明の一態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法は、前記パケットレベル遮断システムにより、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケットレベル遮断段階と、前記コンテンツフィルタリングシステムにより、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、前記コンテンツフィルタリングシステムにより、前記攻撃基準を満たす場合、前記パケットを遮断するコンテンツベース遮断段階と、を含み、前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレスに関する情報を追加する。
本発明の他の態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムは、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケット遮断部と、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを遮断し、前記パケットが特定条件を満たすかを確認し、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレスを追加するコンテンツ遮断部と、を備える。
上述のような本発明によると、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することができる。
また、本発明によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することができる。
後述する本発明についての詳細な説明は、本発明が実施できる特定の実施形態を例示として示す添付の図面を参照する。これらの実施形態は、当業者が本発明を十分に実施することができるように詳細に説明される。本発明の多様な実施形態は、互いに異なるが、相互排他的な必要はないことを理解すべきである。例えば、ここに記載されている特定の形状、構造及び特徴は、一実施形態に関連して本発明の思想及び範囲を外れずに他の実施形態に実現することができる。また、それぞれの開示された実施形態内の個別構成要素の位置または配置は、本発明の思想及び範囲を外れずに変更することができることを理解するべきである。従って、後述する詳細な説明は限定的な意味で扱うものでなく、本発明の範囲は、適切に説明されるならば、その請求範囲が主張するものと均等な全ての範囲と共に、添付した請求範囲によってのみ限定される。図面において、類似の参照符号は、様々な側面にわたって同一または類似の機能を示す。
以下、本発明が属する技術分野において通常の知識を有する者が本発明を容易に実施できるように、本発明の好ましい実施形態について添付の図面を参照して詳細に説明する。
[本発明の好ましい実施形態]
本発明の実施形態において、用語「DoS」は、特定のシステムを悪意的に攻撃して該当システムの資源を足りなくして、元々意図された用途に使用できなくする全ての攻撃方式を含む広義の意味に解釈されなければならない。従って、DoSはその類型に応じて、一つのコンピュータの動作による方式であることもでき、または多数のコンピュータを分散して配置し、同時に攻撃するDDoS方式であることもできるが、必ずしも上記の例に限定されるものではない。
本発明の実施形態において、用語「DoS」は、特定のシステムを悪意的に攻撃して該当システムの資源を足りなくして、元々意図された用途に使用できなくする全ての攻撃方式を含む広義の意味に解釈されなければならない。従って、DoSはその類型に応じて、一つのコンピュータの動作による方式であることもでき、または多数のコンピュータを分散して配置し、同時に攻撃するDDoS方式であることもできるが、必ずしも上記の例に限定されるものではない。
全体システムの構成
図1は本発明の一実施形態により、DoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
図1は本発明の一実施形態により、DoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
図1に図示されているように、本発明の一実施形態による全体システムは、悪質なコードなどにより感染された多数のゾンビPC(Personal Computer)100と、ゾンビPC100からのDoS攻撃を遮断するDoS攻撃遮断システム300と、ユーザにサービスを提供するサービスシステム400と、が通信網200を介して接続している。
まず、本発明の一実施形態によると、ゾンビPC100は、悪質なコードなどに感染したコンピュータを意味する。通信網で接続している如何なるコンピュータも、悪質なコードにより感染するとゾンビPC100として動作することもあり、一般的に、電子メールの添付ファイルを開く過程、出所の不明なActive Xをダウンロードして設ける過程、または感染したUSBメモリなどの外部記憶デバイスを接続する過程などで悪質なコードに感染し、後でC&Cサーバの制御によって、または感染された悪質なコードの内部に記載された内容によって、指定された目標のために特定の時点にDoS攻撃を行う。
また、本発明の一実施形態によると、通信網200は、有線及び無線などのようなその通信形態を問わず構成することができ、パーソナルエリアネットワーク(PAN;Personal Area Network)、ローカルエリアネットワーク(LAN;Local Area Network)、メトロポリタンエリアネットワーク(MAN;Metropolitan Area Network)、広域ネットワーク(WAN;Wide Area Network)など、多様な通信網で構成することができる。
一方、本発明の一実施形態によると、DoS攻撃遮断システム300は、通信網200を介してサービスシステム400に与えられる多数のゾンビPC100からの攻撃を、中間でコンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動によって遮断するシステムを意味する。DoS攻撃遮断システム300の詳細な構成要素及び動作方式については後述する。
最後に、本発明の一実施形態によると、サービスシステム400は、ユーザに多様なサービスを提供するシステムを意味する。サービスの一例としては、ウェブサービス、メールサービスなどが挙げられ、この場合サービスシステム400はそれぞれウェブサーバ、メールサーバを含んでもよい。その他にも、通信網200を介して多数のユーザに提供できるサービスを提供するものであれば、サービスシステム400の範囲内に含まれる。
DoS攻撃遮断システムの詳細構成
図2は本発明の一実施形態によるDoS攻撃遮断システム300の詳細構成図である。
図2は本発明の一実施形態によるDoS攻撃遮断システム300の詳細構成図である。
図2を参照すると、本発明の一実施形態によるDoS攻撃遮断システム300は、パケットレベル遮断システム310及びコンテンツフィルタリングシステム320を含んでもよい。図2は本発明の一実施形態を説明するための構成要素のみを簡単且つ抽象的に図示した図面であるため、DoS攻撃遮断システム300はこの他にも、ゾンビPC100からのDoS攻撃を遮断するために必要な機能を実行する他の構成要素も含むことができるということが理解されるべきである。
パケットレベル遮断システム310は、通信網200を介して伝達されるパケットが、遮断が必要な特定のIPアドレスから伝達されることを確認した場合、サービスシステム400に伝達せずにそのまま遮断する機能を実行する。即ち、パケットレベル遮断システム310は、伝達されるパケットのうちIPヘッダ部分に記載された発信先IPアドレス(Destination IP Address)を分析し、発信先IPアドレスが、遮断が必要な特定のIPアドレスであるかを確認して遮断の要否を決定することができるため、OSIの7階層モデル(7 layer model for OSI)を参照して、インターネット層(Internet layer)でパケットを遮断することができる機能を有するものであれば、パケットレベル遮断システム310(例えばルータ)として用いることができる。パケットレベル遮断システム310でパケットを遮断する場合、それ以上のパケット分析が必要でないため、全体的な、またその後の段階に存在するコンテンツフィルタリングシステム320のリソースの消費は減少するが、特定のIPアドレスから伝達されるパケットの場合、攻撃を目的とするものであるか或いは正常な要求であるかに関わらず無条件的に遮断するため、遮断の正確性は低下する欠点がある。パケットレベル遮断システム310のうちIPテーブル312は遮断が必要なIPアドレスを含む表であり、IPテーブル312には、基本的に遮断すべきIPアドレスの他にも、遮断が持続されなければならない有効時間に関する情報などをさらに含んでもよい。従って、パケット遮断部311は、特定のパケットが伝達された場合、パケットのヘッダに記載された目的地アドレスとIPテーブル312に記載されたIPアドレスとを比較し、一致するIPアドレスが存在する場合はそのパケットを遮断する。ここで、比較するIPテーブル312上のIPアドレスは、その有効時間に関する情報を参照し、有効時間が経過していない、即ち、有効であって遮断が必要なIPアドレスのみをその対象としてもよい。本発明の他の実施形態によると、IPテーブル312に記載の遮断すべきIPアドレスに対する有効時間に関する情報を管理し、有効時間が経過した時は該当するIPアドレスをIPテーブル312から削除または非活性化(例えば、特定のフラグ(flag)値を変更する方式など)して、パケットレベル遮断システム310で遮断されないようにする別の構成要素が存在してもよい。IPテーブル312上に遮断が必要なIPアドレスを追加する機能は、コンテンツフィルタリングシステム320により実行してもよい。
次に、図3を参照して本発明の一実施形態により図示されたコンテンツフィルタリングシステム320の詳細な構成をより詳細に説明すると、コンテンツフィルタリングシステム320は、コンテンツ分析部321と、コンテンツ遮断部322と、リソースモニタリング部323と、を含んでもよい。
コンテンツ分析部321は、パケットレベル遮断システム310を経て伝達されたパケットのコンテンツを分析する機能を実行する。一例として、パケットがTCP(Transmission Control Protocol)を使用する場合、コンテンツ分析部321はTCPセッションを確立させるために、基本的にSYNパケットを受信し、SYN_Receivedパケットを伝送した後にさらにACKパケットを受信する、少なくとも三つのパケットを送受信してそのセッションが確立され、その後に伝送されるパケットを利用してその内部のコンテンツ分析を行う。コンテンツ分析部321は、分析により内部コンテンツが指定された特定の文字列または特定のパターンを含むか否かを確認する。
特定の文字列または特定のパターンは、DoS攻撃が有する共通する特徴に該当するものであり、例示的に、ゾンビPC100がウェブサービスを提供するサービスシステム400を対象としてDoS攻撃を行う際、その攻撃の特徴は以下の表1のようなものであってもよい。
即ち、DoS攻撃の特徴の一つとして、ゾンビPC100が送りつけるパケットは、OSIの7階層モデルのうちアプリケーション層(application layer)であるHTTP(HyperText Transfer Protocol)ヘッダのうちクライアントソフトウェアの名前とバージョンなどの情報を有するUser−Agentが表1の五種類のうち一つに該当する可能性があるため、コンテンツ分析部321は、伝送される内部パケットを分析し、HTTPヘッダのUser−Agentが表1の文字列のうち何れか一つを含むか否かを判断して、DoS攻撃の有無及びパケット遮断の要否を決定することができる。但し、表1は例示的なものに過ぎず、特定の文字列または特定のパターンはDoS攻撃の種類によって変わってもよく、パケット遮断の要否を決定する場合において利用される特定の文字列または特定のパターンのリストは、周期的にアップデートして別のデータベース(図示せず)に保存してもよい。
コンテンツ遮断部322は、コンテンツ分析部321によってDoS攻撃であると判断したパケットを遮断する。また、コンテンツ分析部321によってDoS攻撃であると判断したパケットの発信先IPアドレスを獲得して特定条件が成立するか否かを判断し、成立する場合は発信先IPアドレスをパケットレベル遮断システム310のIPテーブル312にアップデート(追加)する。この際、有効時間に関する情報(例えばIPテーブルに追加してから5分間など)をさらに設定してもよい。特定条件の一例として、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが所定数以上であると確認された場合、またはリソースモニタリング部323から受信したリソース占有率が一定値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。
リソースモニタリング部323は、コンテンツフィルタリングシステム320全体のリソース占有率を継続的に確認し、リソース占有率が一定値以上に上がると、そのことをコンテンツ遮断部322に通知して過負荷によるシステムの麻痺を防ぐ。
図2及び図3でのパケットレベル遮断システム310、コンテンツフィルタリングシステム320内のコンテンツ分析部321、コンテンツ遮断部322及びリソースモニタリング部323は、物理的に一つのコンピュータ内で実現されてもよく、一部またはそのそれぞれが物理的に異なるコンピュータで実現されてもよく、同様の機能をする物理的に複数のコンピュータが並列に存在してもよい。このように、本発明は、各構成部が設けられたコンピュータの物理的な数及び位置に限定されず、多様な方式に設計変更することができるということは、本発明が属する技術分野において通常の知識を有する者に自明である。
DoS攻撃遮断システムの動作
図4は本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
図4は本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
図4に例示された一実施形態によると、パケットレベル遮断システム310は、通信網200を介してサービスシステム400を目的地とするパケットを受信する(S100)。
その後、パケットレベル遮断システム310のパケット遮断部311は、IPテーブル312を参照して、受信したパケットが、遮断が必要なパケットであるか否かを判断する(S110)。具体的には、受信したパケットの発信先IPアドレスがIPテーブル312上のIPアドレスと一致するか否かを確認して遮断の要否を判断する。ここで、有効に掲載されたIPアドレスは、追加情報である有効時間に関する情報によって遮断が必要なIPアドレスを含む。
もし、パケット遮断部311によって遮断が必要であると判断されると、該当パケットを遮断(S120)した後、次のパケットを受信する。
もし、パケット遮断部311によって遮断が必要でないと判断されると、コンテンツフィルタリングシステム320のコンテンツ分析部321が、受信したパケット内部のコンテンツを分析する(S130)。ここで、コンテンツ分析とは、上述したように、パケット内部のデータを分析して、DoS攻撃が有する特徴的な特定の文字列または特定のパターンを含むか否かを確認することを含む。
コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであるかを判断し(S140)、正常なパケットであると判断される場合には、該当パケットを正常にサービスシステム400に伝送する(S170)。
もし、コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすか否かをさらに判断する(S150)。ここで、特定条件の例としては、上述したように、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが予め定められた所定数以上と確認された場合、またはリソースモニタリング部323から受信したリソース占有率が予め定められた一定数値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。判断の結果、特定条件を満たさない場合には受信したパケットのみを遮断して終了するが、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するようにIPテーブル312を変更することにより(S160)、今後同一のIPアドレスから攻撃するパケットは有効時間の間に段階S110及びS120によって遮断されるようにする。これにより、コンテンツフィルタリングシステム320のリソース占有率を低めることができるだけでなく、有効時間の経過時、パケットのコンテンツを分析して遮断の要否を決定するため、正確性が高く、優れたDoS攻撃遮断機能を提供することができる。
本発明の他の実施形態によると、コンテンツ分析により、受信されたパケットがDoS攻撃のためのパケットであるかを判断(S140)し、もし受信されたパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすかを判断する段階S150の前に、該当パケットを遮断(S120)した後、遮断されたパケットが特定条件を満たすか否かを再度判断(S150)するように、その順序を変更してもよい。段階S150の判断の結果、特定条件を満たさない場合には既に受信したパケットは遮断したためそのまま終了し、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するように、IPテーブル312を変更して(S160)終了してもよい。
本発明による実施形態は、 多様なコンピュータ手段によって実行可能なプログラム命令の形態で実現可能であり、コンピュータ読み取り可能な媒体に記録することができる。前記コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などを単独に、または組み合わせて含んでもよい。媒体に記録されるプログラム命令は、本発明のために特別に設計及び構成されたものであってもよく、コンピュータソフトウェア分野の当業者に公知されて使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープなどの磁気媒体(Magnetic Media)、CD−ROM、DVDなどの光記録媒体(Optical Media)、フロプティカルディスク(Floptical Disk)などの磁気−光媒体(Magneto−Optical Media)、及びROM、RAM、フラッシュメモリなどの、プログラム命令を保存及び実行するように特に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラーによって作われるもののような機械語コードだけでなく、インタープリターなどを用いてコンピュータによって実行されることができる高級言語コードを含む。前記ハードウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成されることができ、その逆も同様である。
以上のように本発明では、具体的な構成要素などのような特定事項と限定された実施形態及び図面によって説明したが、これは本発明の全般的な理解をより容易にするために提供されたものに過ぎず、本発明は上記の実施形態に限定されるものではなく、本発明が属する分野において通常の知識を有する者であれば、このような記載から多様な修正及び変形が可能である。
従って、本発明の思想は、説明された実施形態に限って決まってはならず、添付する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的変形がある全てのものなどは本発明の思想の範囲に属するといえる。
Claims (6)
- パケットレベル遮断システムにより、前記パケットを分析する前に前記受信したパケットから発信先IPアドレスだけを確認し、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを直ちに遮断し、前記発信先IPアドレスがIPテーブル内のIPアドレスのうちいずれか一つと一致しない場合、前記パケットをコンテンツフィルタリングシステムに伝達するパケットレベル遮断段階と、
前記コンテンツフィルタリングシステムにより、TCPセッションを接続した後に、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、
前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、
前記コンテンツフィルタリングシステムにより、前記第1の判断段階で前記攻撃基準を満たす場合、前記パケットを一定時間遮断するコンテンツベース遮断段階と、を含み、
前記第1判断段階は、データベースからDoS攻撃の特徴である特定文字列または特定パターンを呼び出す段階と、前記呼び出された特定文字列または特定パターンが前記分析されたコンテンツ内部に存在するかを確認する段階と、を含み、
前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレス及び有効時間に関する情報を追加することを含み、
前記第2の判断段階の特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たすパケットの数が所定数以上と確認された場合、または前記コンテンツフィルタリングシステムのリソース占有率が一定値以上と確認された場合のうち何れか一つ以上を含むことを特徴とするDoS攻撃遮断方法。 - 前記パケットレベル遮断システムにより、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化する段階をさらに含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
- コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムであって、
受信したパケットを分析する前に前記受信したパケットから発信先IPアドレスだけを確認し、前記パケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを直ちに遮断し、前記発信先IPアドレスがIPテーブル内のIPアドレスのうちいずれか一つと一致しない場合、前記パケットを伝達するパケット遮断部を備えるパケットレベル遮断システムと、
前記パケットレベル遮断システムから伝達されたパケットがDoS攻撃を含むかを分析するコンテンツフィルタリングシステムを含み、
前記コンテンツフィルタリングシステムは、TCPセッションを接続した後に、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、
前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを一定時間遮断し、前記パケットが特定条件を満たすかを確認して、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレス及び有効時間についての情報を追加するコンテンツ遮断部と、を含み、
前記コンテンツ分析部は、データベースからDoS攻撃の特徴である特定文字列または特定パターンを呼び出す機能及び呼び出された前記特定文字列または前記特定パターンが分析された前記コンテンツ内部に存在するかを確認する機能をさらに含み、
前記特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たしたパケットの数が所定個数以上と確認された場合、またはリソース占有率が一定数値以上と確認された場合のうちいずれか一つ以上を含むことを特徴とするDoS攻撃遮断システム。 - 前記コンテンツ遮断部は、前記IPテーブルに前記パケットの発信先IPアドレスを追加する際、前記IPアドレスの有効時間に関する情報も追加することを特徴とする請求項3に記載のDoS攻撃遮断システム。
- 前記パケット遮断部は、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化することを特徴とする請求項4に記載のDoS攻撃遮断システム。
- 請求項1又は2に記載の方法の各段階をコンピュータ上で行うためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20100117887A KR101511030B1 (ko) | 2010-11-25 | 2010-11-25 | 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 |
| KR10-2010-0117887 | 2010-11-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012114917A JP2012114917A (ja) | 2012-06-14 |
| JP5957211B2 true JP5957211B2 (ja) | 2016-07-27 |
Family
ID=46498557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011256060A Active JP5957211B2 (ja) | 2010-11-25 | 2011-11-24 | コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5957211B2 (ja) |
| KR (1) | KR101511030B1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12107774B2 (en) * | 2022-08-08 | 2024-10-01 | Bank Of America Corporation | System and method for autonomous conversion of a resource format using machine learning |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003099339A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 侵入検知・防御装置及びプログラム |
| JP2005197823A (ja) * | 2003-12-26 | 2005-07-21 | Fujitsu Ltd | ファイアウォールとルータ間での不正アクセス制御装置 |
| KR100818302B1 (ko) | 2006-09-29 | 2008-04-01 | 한국전자통신연구원 | 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 |
| KR100983549B1 (ko) * | 2008-05-06 | 2010-09-27 | 소프트포럼 주식회사 | 클라이언트 ddos 방어 시스템 및 그 방법 |
| JP2009219128A (ja) * | 2009-04-15 | 2009-09-24 | Fujitsu Telecom Networks Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
| KR100973076B1 (ko) | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | 분산 서비스 거부 공격 대응 시스템 및 그 방법 |
-
2010
- 2010-11-25 KR KR20100117887A patent/KR101511030B1/ko active IP Right Grant
-
2011
- 2011-11-24 JP JP2011256060A patent/JP5957211B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120056383A (ko) | 2012-06-04 |
| JP2012114917A (ja) | 2012-06-14 |
| KR101511030B1 (ko) | 2015-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6542313B2 (ja) | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| US7296288B1 (en) | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users | |
| US7958549B2 (en) | Attack defending system and attack defending method | |
| RU2417429C2 (ru) | Защита от использования уязвимости программного обеспечения | |
| US7706378B2 (en) | Method and apparatus for processing network packets | |
| US20050229246A1 (en) | Programmable context aware firewall with integrated intrusion detection system | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| EP1873992A1 (en) | Packet classification in a network security device | |
| JP2013183458A (ja) | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 | |
| JP2004364306A (ja) | クライアント−サーバ接続要求を制御するシステム | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| JP2007521718A (ja) | セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法 | |
| US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| JP2005318578A (ja) | ネットワーク増幅攻撃の軽減 | |
| François et al. | Network security through software defined networking: a survey | |
| US20140304817A1 (en) | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| US20220418041A1 (en) | Method for providing an elastic content filtering security service in a mesh network | |
| JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
| US7437758B2 (en) | Propagation of viruses through an information technology network | |
| JP5957211B2 (ja) | コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 | |
| KR101090630B1 (ko) | 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치 | |
| US11223562B1 (en) | Selectively processing packets based on their classification by a counting bloom filter as a first packet or a subsequent packet of a transport protocol connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141014 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150915 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160620 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5957211 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |