KR20060060671A - 중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격방어 시스템 - Google Patents

중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격방어 시스템 Download PDF

Info

Publication number
KR20060060671A
KR20060060671A KR1020067002305A KR20067002305A KR20060060671A KR 20060060671 A KR20060060671 A KR 20060060671A KR 1020067002305 A KR1020067002305 A KR 1020067002305A KR 20067002305 A KR20067002305 A KR 20067002305A KR 20060060671 A KR20060060671 A KR 20060060671A
Authority
KR
South Korea
Prior art keywords
signature
priority
packet
storage means
regular
Prior art date
Application number
KR1020067002305A
Other languages
English (en)
Inventor
카쓰히로 세바야시
히로시 쿠라카미
유지 소에지마
에릭 첸
히토시 후지
Original Assignee
니폰덴신뎅와 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 니폰덴신뎅와 가부시키가이샤 filed Critical 니폰덴신뎅와 가부시키가이샤
Publication of KR20060060671A publication Critical patent/KR20060060671A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software

Abstract

중계 장치(10)는, 시그니처 리스트에 시그니처(용의 시그니처, 정규 시그니처, 부정 시그니처)를 등록할 때, 자동생성 시그니처보다도 설정 시그니처 쪽이 우선도가 높아지는 관점으로부터, 등록되는 시그니처의 우선순위를 결정한다. 그리고, 중계 장치(10)는, 패킷의 통과를 제어할 때, 시그니처 리스트에 등록된 시그니처 중에서 우선순위(우선도)가 높은 순으로 시그니처를 선택하고, 이 선택한 시그니처에 해당하는 지 여부를 판별하여, 해당하는 시그니처에 의거하여 패킷을 제어한다.
중계 장치, 시그니처, 패킷, 네트워크 인터페이스, 패킷 검출부

Description

중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격 방어 시스템{REPEATER DEVICE, RELAYING METHOD, RELAYING PROGRAM, AND NETWORK ATTACK PROTECTION SYSTEM}
본 발명은, 패킷의 통과를 제어하기 위한 시그니처에 의거하여 네트워크상의 패킷의 통과를 제어하는 중계 장치, 중계 방법 및 중계 프로그램 및 네트워크 공격 방어 시스템에 관한 것이다.
종래부터, 방어 대상인 컴퓨터가 접속된 네트워크 상에 복수의 중계 장치를 가지고, DoS(Denial of Service)공격 또는 DDoS(Distributed Denial of Service)공격을 받는 컴퓨터를 방어하는 네트워크 공격 방어 시스템이 알려져 있다. 예를 들면 특허문헌 1(일본국 공개특허공보 특개2003-283554호 공보)에 개시된 네트워크 공격 방어 시스템에서는, 중계 장치에 있어서, 미리 정해진 공격 용의 패킷의 검출 조건에 통신 트래픽이 합치하는 지 여부를 체크한다. 그리고, 합치한 트래픽을 검출했을 경우에, 중계 장치는, 검출된 공격 용의 패킷을 식별하기 위한 용의 시그니처를 생성해서 상류의 중계 장치로 송신하는 동시에, 이후, 용의 시그니처에 의해 식별되는 공격 용의 패킷의 전송 대역을 제한하는 처리를 행한다.
여기에서, 상류 또는 하류의 중계 장치라 함은, 인접 관계를 가지는 중계 장치(이하, 인접 중계 장치라고 한다.)로서, 또한 공격 용의 패킷이 유입하는 방향에 대한 중계 장치가다. 그리고, 상기에서 용의 시그니처를 수신한 중계 장치는, 하류의 중계 장치로부터 수신한 용의 시그니처를 상류의 중계 장치에 송신하는 동시에, 용의 시그니처에 의해 식별되는 공격 용의 패킷의 전송 대역을 제한하는 처리를 행한다.
또한 이 종래기술에 있어서의 중계 장치는, 정규이용자가 이용하는 통신 단말로부터 송신된 통신 패킷을 특정하기 위한 정규조건(즉, 공격이라고는 간주되지 않는 정규 패킷의 조건)을 상류의 중계 장치로 송신하는 동시에, 정규조건 및 용의 시그니처에 의거하여 정규 패킷을 식별하기 위한 정규 시그니처를 생성하고, 이후, 정규 시그니처에 의해 식별되는 정규 패킷의 전송 대역제한을 해제하는 처리를 행한다. 또한, 상기에서 정규조건을 수신한 중계 장치는, 수신한 정규조건을 상류의 중계 장치에 송신하는 동시에, 정규조건 및 용의 시그니처에 의거하여 정규 시그니처를 생성하고, 이후, 정규 시그니처에 의해 식별되는 정규 패킷의 전송 대역제한을 해제하는 처리를 행한다.
상기한 바와 같이, 종래기술에 있어서의 중계 장치는, 공격 용의 패킷의 전송 대역을 제한하는 처리를 행하는 동시에, 정규 패킷의 전송 대역제한을 해제하는 처리를 행하지만, 이러한 처리를 행하는 것이 필터부이다. 즉, 중계 장치의 필터부에서는, 정규 시그니처에 의한 조건판정 처리에서 합치한 패킷을 소정의 큐(cue)에 넣은 후, 정규 시그니처에 합치하지 않는 패킷에 대하여 용의 시그니처에 의한 조건판정 처리를 행한다.
[특허문헌 1] 일본국 공개특허공보 특개 2003-283554호 공보
그러나, 상기한 종래의 기술은, 중계 장치에 있어서, 정규 시그니처에 의한 조건판정 처리 및 용의 시그니처에 의한 조건판정 처리를 미리 정해진 고정적인 순서로 처리하므로, 네트워크 공격 방어 시스템에 있어서 바람직한 형태가 되는 원하는 처리 순서로 패킷을 처리할 수 없다는 문제가 있었다.
그래서, 본 발명은, 전술한 종래기술의 과제를 해결하기 위한 것으로, 복수의 시그니처가 있을 경우에 있어서 원하는 순서로 패킷을 처리하는 것이 가능한 중계 장치, 중계 방법 및 중계 프로그램 및 네트워크 공격 방어 시스템을 제공하는 것을 목적으로 한다.
[과제를 해결하기 위한 수단]
전술한 과제를 해결하고, 목적을 달성하기 위하여, 청구항 1에 관한 발명은, 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크상의 중계 장치가며, 상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 수단과, 상기 우선순위결정 수단에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 수단을 구비한 것을 특징으로 한다.
또한 청구항 2에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 설정된 설정 시그니처를 기억하는 것으로, 상기 우선순위결정 수단은, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
또한 청구항 3에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것으로, 상기 우선순위결정 수단은, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
또한 청구항 4에 관한 발명은, 상기한 발명에 있어서, 소정의 공격 용의 검출 조건에 의거하여 공격 용의 패킷을 검출하고, 이 공격 용의 패킷을 제한하기 위한 용의 시그니처를 생성하는 용의 시그니처 생성 수단을 구비하고, 상기 우선순위결정 수단은, 상기 용의 시그니처 생성 수단에 의해 용의 시그니처가 생성되었을 경우에, 이 용의 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 5에 관한 발명은, 상기한 발명에 있어서, 소정의 정규조건에 근거해서 정당한 패킷을 허가하기 위한 정규 시그니처를 생성하는 정규 시그니처 생성 수단을 구비하고, 상기 우선순위결정 수단은, 상기 정규 시그니처 생성 수단에 의해 정규 시그니처가 생성되었을 경우에, 이 정규 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 6에 관한 발명은, 상기한 발명에 있어서, 소정의 부정 트래픽 검출 조건에 의거하여 부정 패킷을 검출하고, 이 부정 패킷을 제한하기 위한 부정 시그니처를 생성하는 부정 시그니처 생성 수단을 구비하고, 상기 우선순위결정 수단은, 상기 부정 시그니처 생성 수단에 의해 부정 시그니처가 생성되었을 경우에, 이 부정 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 7에 관한 발명은, 상기한 발명에 있어서, 공격 용의 패킷을 제한하기 위한 용의 시그니처를 다른 중계 장치로부터 수신하는 시그니처 수신 수단을 구비하고, 상기 우선순위결정 수단은, 상기 시그니처 생성 수단에 의해 용의 시그니처가 수신되었을 경우에, 이 용의 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 8에 관한 발명은, 상기한 발명에 있어서, 상기 다른 중계 장치로부터 수신한 소정의 정규조건에 근거하여 정당한 패킷을 허가하기 위한 정규 시그니처를 생성하는 정규 시그니처 생성 수단을 구비하고, 상기 우선순위결정 수단은, 상기 정규 시그니처 생성 수단에 의해 정규 시그니처가 생성되었을 경우에, 이 정규 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 9에 관한 발명은, 상기한 발명에 있어서, 네트워크 관리자로부터 시그니처를 접수하여 입력하는 시그니처 입력 수단을 구비하고, 상기 우선순위결정 수단은, 상기 시그니처 입력 수단에 의해 시그니처가 입력되었을 경우에, 이 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 한다.
또한 청구항 10에 관한 발명은, 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크 공격 방어 시스템이며, 상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 수단과, 상기 우선순위결정 수단에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 수단을 구비한 것을 특징으로 한다.
또한 청구항 11에 관한 발명은, 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크상의 장치에 있어서의 중계 방법이며, 상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 공정과, 상기 우선순위결정 공정에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 공정을 포함하는 것을 특징으로 한다.
또한 청구항 12에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 결정된 설정 시그니처를 기억하는 것이며, 상기 우선순위결정 공정은, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
또한 청구항 13에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것이며, 상기 우선순위결정 공정은, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
또한 청구항 14에 관한 발명은, 패킷의 통과를 제어하기 위한 시그니처를 시그니처 기억 수단에 기억하고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 방법을 컴퓨터에 실행시키는 중계 프로그램이며, 상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 순서와, 상기 우선순위결정 순서에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어순서를 구비한 것을 특징으로 한다.
또한 청구항 15에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 설정된 설정 시그니처를 기억하는 것이며, 상기 우선순위결정 순서는, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
또한 청구항 16에 관한 발명은, 상기한 발명에 있어서, 상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것이며, 상기 우선순위결정 순서는, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 한다.
[발명의 효과]
청구항 1, 10, 11 또는 14의 발명에 의하면, 시그니처 기억부에 기억되는 시그니처에 대해서 우선순위를 결정해 두고, 우선순위가 높은 순으로 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 패킷의 통과를 제어하므로, 복수의 시그니처가 있을 경우에 있어서 원하는 순서로 패킷을 처리하는 것이 가능하게 된다.
또한 청구항 2, 12 또는 15의 발명에 의하면, 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하므로, 네트워크 관리자가 설정한 설정 시그니처가 우선적으로 패킷의 제어에 이용되는 것으로, 네트워크 관리자가 의도하는 제어를 우선적으로 행하는 것이 가능하게 된다.
또한 청구항 3, 13 또는 16의 발명에 의하면, 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처에 대해서는, 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하므로, 시그니처에 포함되는 제한 정보의 대역이 엄격한 시그니처 만큼 우선적으로 패킷의 제어에 이용되는 것으로, 패킷의 제어에 모순을 일으키지 않아, 확실하게 패킷을 처리하는 것이 가능하게 된다.
또한 청구항 4의 발명에 의하면, 공격 용의 패킷의 검출시에, 용의 시그니처를 생성하는 동시에 이 용의 시그니처의 우선순위를 결정하므로, 공격 용의 패킷 검출시에 생성되는 용의 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
또한 청구항 5의 발명에 의하면, 공격 용의 패킷의 검출시에, 정규 시그니처를 생성하는 동시에 이 정규 시그니처의 우선순위를 결정하므로, 공격 용의 패킷 검출시에 생성되는 정규 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
또한 청구항 6의 발명에 의하면, 부정 트래픽의 검출시에, 부정 시그니처를 생성하는 동시에 이 부정 시그니처의 우선순위를 결정하므로, 부정 트래픽 검출시에 생성되는 부정 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
또한 청구항 7의 발명에 의하면, 다른 중계 장치로부터 용의 시그니처를 수신했을 때에, 이 용의 시그니처의 우선순위를 결정하므로, 다른 중계 장치로부터 수신한 용의 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
또한 청구항 8의 발명에 의하면, 다른 중계 장치로부터 정규조건을 수신했을 때에, 정규 시그니처를 생성하는 동시에 이 정규 시그니처의 우선순위를 결정하므로, 정규조건 수신시에 생성되는 정규 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
또한 청구항 9의 발명에 의하면, 네트워크 관리자로부터 시그니처를 접수했을 때, 이 시그니처의 우선순위를 결정하므로, 네트워크 관리자에 의해 설정된 시그니처에 지체 없이 우선순위를 부여하는 것이 가능하게 된다.
도 1은, 네트워크 공격 방어 시스템의 구성을 나타내는 시스템 구성도,
도 2는, 중계 장치의 구성을 나타내는 블럭도,
도 3은, 공격 용의 검출 조건 테이블에 기억되는 정보의 예를 나타내는 도면,
도 4는, 부정 트래픽 검출 조건 테이블에 기억되는 정보의 예를 나타내는 도면,
도 5는, 정규조건 테이블에 기억되는 정보의 예를 나타내는 도면,
도 6은, 시그니처 리스트에 기억되는 정보의 예를 나타내는 도면,
도 7은, 공격 용의 패킷 검출시의 처리 순서를 나타내는 흐름도,
도 8은, 시그니처 수신시의 처리 순서를 나타내는 흐름도,
도 9는, 부정 패킷 검출시의 처리 순서를 나타내는 흐름도이다.
[도면의 주요부분에 대한 부호의 설명]
10 : 중계 장치 11 : 네트워크 인터페이스
12 : 패킷 검출부 13 : 공격 검출부
14 : 시그니처 통신부 15 : 우선순위 결정부
16 : 필터부 17 : 입력부
20 : 서버 30 : 통신 단말
100 : 네트워크 공격 방어 시스템
이하에 첨부된 도면을 참조하여, 본 발명에 관한 중계 장치, 중계 방법 및 중계 프로그램 및 네트워크 공격 방어 시스템의 실시예를 상세하게 설명한다. 또, 이하에서는, 본 실시예에서 사용하는 주요한 용어, 네트워크 공격 방어 시스템의 개요 및 특징, 중계 장치의 구성 및 처리, 본 실시예의 효과를 순서대로 설명하고, 마지막에 본 실시예에 대한 여러가지의 변형예를 설명한다.
실시예
[용어의 설명]
우선 최초에, 본 실시예에서 사용하는 주요한 용어를 설명한다. 본 실시예에서 사용하는 「용의 시그니처 」라는 것은, 공격 용의가 있는 패킷(공격 용의 패킷)을 제한하기 위한 시그니처이며, 구체적으로는, 통과가 제한되는 공격 용의 패킷의 특징을 나타내는 속성(예를 들면 보낼곳 IP 어드레스, 프로토콜, 보낼곳 포토 번호 등)이나 제한 내용(예를 들면 특정 패킷이 유입될 때의 대역을 제한하기 위한 제한 정보 등)을 규정하여 구성된다.
또한 본 실시예에서 사용하는 「정규 시그니처 」라는 것은, 용의 시그니처에 해당하는 패킷 중에서 공격으로는 간주되지 않는 정규 패킷(정규 유저의 통신 패킷인 정규 패킷)의 통과를 허가하기 위한 시그니처이며, 구체적으로는, 통과가 허가되는 정규 패킷의 특징을 나타내는 속성(예를 들면 송신원 IP 어드레스, 서비스 타입, 보낼곳 IP 어드레스, 프로토콜, 보낼곳 포토 번호 등)을 규정하여 구성된다.
또한 본 실시예에서 사용하는 「부정 시그니처 」라는 것은, 부정 트래픽에 포함되는 부정 패킷(부정 트래픽 조건을 만족시키는 패킷)을 제한하기 위한 시그니처이며, 구체적으로는, 부정 패킷의 송신원 IP 어드레스 등을 규정하여 구성된다.
[시스템의 개요 및 특징]
다음에 도 1을 이용하여, 본 실시예에 관한 네트워크 공격 방어 시스템의 개요 및 특징을 설명한다. 도 1은, 본 실시예에 관한 네트워크 공격 방어 시스템의 구성을 나타내는 시스템 구성도이다.
동 도면에 나타나 있는 바와 같이 이 네트워크 공격 방어 시스템(100)은, 네트워크 상에 복수의 중계 장치(10)를 구비하여 구성된다. 또한 이 네트워크 상에는, DoS공격이나 DDoS공격의 대상이 되는 컴퓨터로서의 서버(20)나, 이러한 DoS공격이나 DDoS공격을 행할 수 있는 컴퓨터로서의 통신 단말(30)이 접속되어 있다. 또, 이하에서는, 도시한 중계 장치(10)의 각각을 구별할 경우에는, 각각 중계 장치10-1∼중계 장치10-7로 설명하고, 서버(20)의 각각을 구별할 경우에는, 서버20-1 또는 서버20-2로 설명하고, 통신 단말(30)의 각각을 구별할 경우에는, 통신 단말30-1∼통신 단말30-5로 설명한다.
이러한 네트워크 공격 방어 시스템(100)에 있어서, 중계 장치(10)는, 통신 단말(30) 중 적어도 1개 이상의 통신 단말(30)이 네트워크상의 서버(20)에 대하여 DoS공격 또는 DDoS공격을 행하고 있음을 검출했을 경우에, 패킷의 통과를 제어하기 위한 시그니처(용의 시그니처나 부정 시그니처)를 생성하는 동시에, 패킷의 통과를 허가하기 위한 정규 시그니처를 생성한다. 그리고, 중계 장치(10)는, 스스로 생성한 시그니처(용의 시그니처, 부정 시그니처 및 정규 시그니처)를 시그니처 리스트에 등록한다.
또한 중계 장치(10)는, 생성한 용의 시그니처 (또는, 정규 시그니처의 생성에 사용한 정규조건)를 인접 중계 장치에 송신한다. 한편, 중계 장치(10)는, 인접 중계 장치로부터 용의 시그니처 등을 수신했을 경우에는, 정규조건에 의거하여 정규 시그니처를 생성하는 동시에, 수신한 용의 시그니처 및 생성한 정규 시그니처를 시그니처 리스트에 등록한다. 또, 인접 중계 장치에 대해서 예를 들면, 도 1에 있어서, 중계 장치10-3에서의 인접 중계 장치는, 중계 장치10-1, 중계 장치10-2, 중계 장치10-4 및 중계 장치10-7이며, 중계 장치10-5및 중계 장치10-6과는, 인접 관계를 갖지 않는다. 또한 이 인접 관계는, 물리적인 인접을 의미하는 것은 아니다.
또한, 중계 장치(10)는, 네트워크 관리자로부터 시그니처(용의 시그니처, 부정 시그니처 및 정규 시그니처)의 설정 지시를 접수하고, 설정 지시에 관한 시그니처를 시그니처 리스트에 등록하는 동시에, 이미 시그니처 리스트에 등록되어 있는 시그니처에 대해서 네트워크 관리자로부터 수정 지시를 접수하고, 수정 후의 시그니처를 시그니처 리스트에 등록한다. 또, 본 실시예에서는, 네트워크 관리자의 설정 지시나 수정 지시에 의해 시그니처 리스트에 등록된 시그니처를 「설정 시그니처 」라고 정의하고, 중계 장치(10)가 스스로 생성하여 시그니처 리스트에 등록된 시그니처나, 인접 중계 장치로부터 수신하여 시그니처 리스트에 등록된 시그니처를 「자동생성 시그니처 」라고 정의하여 설명한다.
이와 같이 하여, 중계 장치(10)는, 용의 시그니처, 부정 시그니처 및 정규 시그니처를 시그니처 리스트에 등록한다. 그리고, 중계 장치(10)는, 이러한 시그니처 리스트에 의거하여 패킷의 통과를 제어한다. 즉, 부정 시그니처나 용의 시그니처에 해당하는 패킷에 대해서는, 전송 대역을 제한하여 통과시키거나 혹은 폐기하고, 정규 시그니처에 해당하는 패킷이나 어느 시그니처에도 해당하지 않는 패킷에 대해서는, 전송 대역을 제한하지 않고 통과를 허가한다.
그리고, 본 실시예에 있어서의 중계 장치(10)는, 시그니처 리스트에 등록되는 시그니처에 우선순위를 부여하고 있는 점에 주된 특징이 있다. 구체적으로는, 중계 장치(10)는, 패킷의 통과를 제어할 때에, 그 패킷이 시그니처 리스트에 등록된 시그니처의 어디에 해당할지를 판별하는 처리를 행하지만, 본 실시예에서는, 시그니처 리스트에 등록된 시그니처 중에서 우선순위(우선도)가 높은 순으로 시그니처를 선택하고, 이 선택한 시그니처에 해당하는 지 여부를 판별하여, 해당하는 시그니처에 의거하여 패킷을 제어하도록 하고 있다. 이 때문에, 복수의 시그니처가 있어도 원하는 순서로 패킷을 처리하는 것이 가능하게 된다.
또, 중계 장치(10)는, 공격을 방어하면서 패킷을 중계하기 위한 장치이며, 예를 들면 라우터로서의 기능이나, 또는, 브리지로서의 기능을 가지고 있어도 된다. 또한 중계 장치(10)는, 중계 장치(10) 등을 관리하기 위한 관리용 네트워크에 접속되어도 되고, 시그니처는, 관리용 네트워크를 통해 송수(送受)되어도 된다.
[중계 장치의 구성]
다음에 도 2를 이용하여, 도 1에 나타낸 중계 장치(10)의 구성을 설명한다.도 2는, 중계 장치(10)의 구성을 나타내는 블럭도이다. 동 도면에 나타나 있는 바와 같이 이 중계 장치(10)는, 네트워크 인터페이스부(11)와, 패킷 취득부(12)와, 공격 검출부(13)(및 공격 용의 검출 조건 테이블(13a), 부정 트래픽 검출 조건 테이블(13b) 및 정규조건 테이블(13c))과, 시그니처 통신부(14)와, 우선순위 결정부(15)와, 필터부(16)(및 시그니처 리스트(16a))와, 입력부(17)를 구비하여 구성된다.
또한 중계 장치(10)는, CPU(Central Processing Unit)나 메모리, 하드디스크 등을 가지고 있어, 패킷 취득부(12), 공격 검출부(13), 시그니처 통신부(14), 우선순위 결정부(15) 및 필터부(16)는, CPU에 의해 처리되는 프로그램의 모듈이어도 좋다. 또한 이 프로그램의 모듈은, 하나의 CPU로 처리되어도 되고, 복수의 CPU로 분산되어 처리되어도 좋다. 또한, 중계 장치(10)에는, Linux등의 범용OS를 인스톨해 두고, 범용OS에 구비되는 패킷 필터를 필터부(16)로서 기능하도록 해도 된다.
또, 공격 검출부(13)는 특허청구범위에 기재한 「용의 시그니처 생성 수단」, 「정규 시그니처 생성 수단」, 「부정 시그니처 생성 수단」에 대응하고, 시그니처 통신부(14)는 마찬가지로 「시그니처 수신 수단」에 대응하고, 우선순위 결정부(15)는 마찬가지로 「우선순위결정 수단」에 대응하고, 필터부(16)는 마찬가지로 「패킷 제어 수단」에 대응하고, 시그니처 리스트(16a)는 마찬가지로 「시그니처 기억 수단」에 대응하고, 입력부(17)는 마찬가지로「시그니처 입력 수단」에 대응 한다.
도 2에 있어서, 네트워크 인터페이스부(11)는, 네트워크와 접속되어 있는 통신 기기와의 사이에서 패킷을 송수하는 수단이며, 구체적으로는, LAN(Local Area Network) 또는 WAN(Wide Area Network)등의 네트워크와 접속하기 위한 네트워크 접속 카드 등으로 구성된다.
입력부(17)는, 네트워크 관리자로부터 각종의 정보나 지시의 입력을 접수하는 입력 수단이며, 키보드나 마우스, 마이크 등에 의해 구성되고, 예를 들면 후술하는 시그니처 리스트(16a)에 새롭게 등록되는 시그니처의 설정 지시, 이미 등록되어 있는 시그니처의 수정 지시나 삭제 지시 등을 접수하여 입력한다. 또, 도 2에는 도시하지 않지만, 예를 들면 모니터(혹은 디스플레이, 터치패널)이나 스피커 등, 각종의 정보를 출력하는 출력 수단을 구비하여 중계 장치(10)를 구성하도록 해도 된다.
패킷 취득부(12)는, 네트워크 인터페이스부(11)가 수신한 패킷을 취득하고, 취득한 패킷의 통계에 관한 통계정보를 공격 검출부(13)에 제공하는 처리부이다.
공격 검출부(13)는, 패킷 취득부(12)에 의해 제공된 통계정보에 의거하여 공격의 검출 및 공격의 분석을 하는 처리부이며, 도 2에 도시하는 바와 같이, 공격 용의 검출 조건 테이블(13a), 부정 트래픽 검출 조건 테이블(13b) 및 정규조건 테이블(13c)에 각각 접속된다. 여기에서, 각 테이블(13a∼13c)에 기억되는 정보를 구체적으로 설명한 후에, 공격 검출부(13)에 의한 처리 내용을 설명한다.
도 3은, 공격 용의 검출 조건 테이블(13a)에 기억되는 정보, 더 상세하게는, 수신 패킷이 공격 패킷일 가능성이 있는 공격 용의 패킷을 검출하기 위해 사용되는 「공격 용의 검출 조건」의 일례를 도시한 도면이다.동 도면에 나타나 있는 바와 같이 공격 용의 검출 조건은, 검출 속성, 검출 임계값 및 검출 간격의 조합으로 이루어지는 복수쌍(여기에서는 3쌍)의 레코드로 구성되고, 이러한 공격 용의 검출 조건의 각 레코드 중 어느 레코드 조건에 트래픽이 일치했을 경우에, 이 트래픽의 통신 패킷은 공격 용의 패킷이라고 인식된다. 또, 번호는 레코드를 특정하기 위해서 편의상 사용되는 것이다.
공격 용의 검출 조건의 「검출 속성」에는, 예를 들면 IP패킷에 포함되는 IP헤더부의 속성이나, IP패킷의 페이로드부에 포함되는 TCP헤더부 또는 UDP헤더부의 속성이 지정된다. 구체적으로는, 도 3에 있어서, 번호 1의 레코드의 검출 속성은, 「Destination IP Address(보낼곳 IP 어드레스)」가「192.168.1.1/32」이고 (dst=192.168.1.1/32), IP의 상위층(TCP 또는 UDP)의 프로토콜 종별을 나타내는 「Protocol(프로토콜)」이 「TCP」이며 (Protocol=TCP), 또한, IP의 상위층 프로토콜이 어느 어플리케이션의 정보인지를 나타내는 「Destination Port(보낼곳 포토 번호)」가 「80」이라는(Port=80) 속성값의 쌍으로 지정된다.
또한 번호 2의 레코드 검출 속성은, 「Destination IP Address(보낼곳 IP 어드레스)」가 「192.168.1.2/32」이고 (dst=192.168.1.2/32), 또한, 「Protocol(프로토콜)」이 「UDP(User Datagram protocol)」이라는 (Protocol=UDP) 속성값의 쌍으로 지정된다. 마찬가지로, 번호 3의 레코드 검출 속성은, 「Destination IP Address(보낼곳 IP 어드레스)」가 「192.168.1.0/24」라는 속성으로 지정된다.
공격 용의 검출 조건의 「검출 임계값」은, 같은 레코드로 지정되는 검출 속성을 가지는 수신 패킷의 트래픽을 공격 용의 트래픽으로서 검출하기 위한 최저의 전송 대역을 지정한 것이며, 공격 용의 검출 조건의 「검출 간격」은, 마찬가지로 최저의 연속 시간을 지정한 것이다. 또, 도 3에는 도시하지 않지만, 검출 속성에 있어서는, 「Destination IP Address(보낼곳 IP 어드레스)」의 값을 무조건(any)으로 하고 또한, IP의 상위층의 프로토콜 종별을 나타내는 「Protocol(프로토콜)」이 「ICMP(Internet Control Message Protocol)」이 되는 속성값의 쌍을 지정하도록 해도 된다.
도 4는, 부정 트래픽 검출 조건 테이블(13b)에 기억되는 정보, 더 상세하게는, 공격 용의 패킷의 트래픽으로부터 부정 트래픽을 검출하기 위해 이용되는 「부정 트래픽 조건」의 일례를 도시한 도면이다. 동 도면에 나타나 있는 바와 같이 부정 트래픽 조건은, 기존에 알려진 DDoS공격의 복수의 트래픽 패턴으로 구성되고, 공격 용의 패킷의 트래픽이 어느 트래픽 패턴에 합치한 경우에, 부정 트래픽이라고 인식된다. 또, 번호는 레코드(패턴)을 특정하기 위해 편의상 사용되는 것이다.
구체적으로는, 번호 1의 부정 트래픽 조건은, 「전송 대역 T1Kbps이상, 패킷이 S1초이상 연속 송신되고 있다」라는 트래픽 패턴을 나타내고 있다. 또한 번호 2의 부정 트래픽 조건은, 「전송 대역 T2Kbps이상, ICMP(Internet Control Message Protocol)상의 에코 응답(Echo Reply) 메시지의 패킷이 S2초 이상 연속 송신되고 있다」라는 트래픽 패턴을 나타내고 있다. 또한, 번호 3의 부정 트래픽 조건은, 「전송 대역 T3Kbps이상, 데이터가 너무 길기 때문에 패킷에 포함되는 데이터는 복 수 IP패킷으로 분할해서 송신하고 있음을 나타내는 프래그먼트 패킷이 S3초 이상 연속 송신되고 있다」라는 트래픽 패턴을 나타내고 있다.
도 5는, 정규조건 테이블(13c)에 기억되는 정보, 더 상세하게는, 정당한 이용자가 이용하고 있는 통신 단말(30)로부터 송신되는 패킷을 나타내는 「정규조건」의 일례를 도시한 도면이다. 동 도면에 나타나 있는 바와 같이 정규조건은, IP패킷에 있어서의 속성과 그것들 속성값의 쌍으로 이루어지는 복수의 레코드로 구성된다. 또, 번호는 레코드(패턴)를 특정하기 위해 편의상 사용되는 것이다.
구체적으로는, 번호 1의 레코드의 검출 속성은, IP의 「Source IP 어드레스(송신원 IP 어드레스)」가 「172.16.10.0/24」임을 지정하고 (src=172.16.10.0/24), 번호 2의 레코드의 검출 속성은 IP상의 서비스 품질을 나타내는 「Type of Service(서비스 타입)」이 「(16진에서) 01」임을 지정하고 있다(TOS=0x01). 이러한 정규조건에는, 예를 들면 서버 소유자의 회사의 지점이나, 관련회사 등, 방어 대상의 서버(20) 등의 송신원 IP 어드레스가 설정되고, 서버(20)가 수용되어 있는 LAN의 소유자가 정규 유저임을 인식하고 있는 네트워크의 송신원 IP 어드레스 등이 설정된다.
도 2의 설명에 돌아가면, 공격 검출부(13)는, 패킷 취득부(12)에 의해 제공된 통계정보에 의거하여 공격의 검출을 검출했을 경우에, 공격 용의 트래픽의 통신 패킷(공격 용의 패킷)을 제한하기 위한 용의 시그니처를 생성한다. 구체적으로는, 공격 검출부(13)는, 도 3에 나타낸 공격 용의 검출 조건에 따라, 검출 간격으로 지정되어 있는 보다 긴 시간 연속하고, 검출 임계값으로 지정되어 있는 이상의 전송 대역을 사용하고 있는, 검출 속성에 합치하는 트래픽을 체크하여, 각 레코드 내의 어느 레코드에 합치한 경우에는, 이 트래픽을 공격 용의 트래픽으로서 검출하고, 이때 검출된 공격 용의 트래픽을 만족시키고 있는 공격 용의 검출 조건의 레코드의 검출 속성을 용의 시그니처로서 생성한다.
또한 공격 검출부(13)는, 공격을 검출했을 경우에, 용의 시그니처와 함께 정규 시그니처를 생성한다. 구체적으로는, 도 5에 나타낸 정규조건을 참조하여, 정규조건의 모든 레코드마다, 용의 시그니처와의 AND조건을 취하고, 이를 정규 시그니처로서 생성한다. 이 정규 시그니처는, 용의 시그니처로부터 정규 유저의 통신 패킷인 정규 패킷을 허가하기 위해 이용되는 시그니처이지만, 예를 들면 도 3 및 도 5의 예를 이용하여 설명하면 도 3에 있어서의 번호 1의 레코드 조건에서 검출되는 패킷의 용의 시그니처는, [dst=192.168.1.1/32,Protocol=TCP,Port=80]이 되고, 도 5에 있어서, 정규 시그니처는,[src=172.16.10.24,dst=192.168.1.1/32,Protocol=TCP,Port=80]및[TOS=0x01,dst=192.168.1.1/32,Protocol=TCP,Port=80]이 된다.
또한, 공격 검출부(13)는, 도 4에 나타낸 부정 트래픽 조건의 어느 패턴에 합치하는 트래픽을 검출했을 경우에, 부정 트래픽을 제한하기 위한 부정 시그니처를 생성한다. 구체적으로는, 검출된 부정 트래픽 조건을 만족시키는 패킷의 송신원 IP 어드레스를 부정 어드레스 범위로서 특정하여, 이 부정 어드레스 범위이고, 용의 시그니처에 합치한다는 조건을 부정 시그니처로서 생성한다.
상기한 공격 검출부(13)에 의해 생성된 용의 시그니처, 정규 시그니처 및 부 정 시그니처는, 후술하는 우선순위 결정부(15)의 처리에 의해 시그니처 리스트(16a)에 등록된다. 또, 시그니처 리스트(16a)에 등록되는 시그니처(용의 시그니처, 정규 시그니처 및 부정 시그니처)로서는, 이러한 공격 검출부(13)에 의해 생성된 시그니처 이외에, 후술하는 시그니처 통신부(14)를 통해 인접 중계 장치로부터 수신한 시그니처나, 입력부(17)를 통해 네트워크 관리자로부터 입력된 시그니처(새롭게 설정되는 시그니처나 수정된 시그니처)도 있다.
도 2에 있어서, 시그니처 통신부(14)는, 공격 검출부(13)가 생성한 시그니처 등을 인접 중계 장치에 송신하는 동시에, 인접 중계 장치로부터 송신된 시그니처를 수신하는 처리부이다.
우선순위 결정부(15)는, 후술하는 시그니처 리스트(16a)에 등록하는 시그니처(시그니처 통신부(14)가 수신한 시그니처, 공격 검출부(13)가 생성한 시그니처, 입력부(17)를 통해 네트워크 관리자가 설정한 시그니처)에 대해서 우선순위를 결정하는 처리부이다. 즉, 우선순위를 결정한 결과를 나타내는 시그니처 리스트(16a)를 작성하여, 작성한 시그니처 리스트(16a)를 필터부(16)에 등록한다. 또, 시그니처에는, 특정한 패킷이 유입할 때의 대역을 제한하기 위한 제한 정보가 포함된다.
여기에서, 도 6을 이용하여, 시그니처 리스트(16a)를 설명한다. 도 6은, 시그니처 리스트(16a)에 기억되는 정보의 예를 나타내는 도면이다. 동 도면에 나타나 있는 바와 같이 시그니처의 종별에는, 네트워크 관리자가 설정한 설정 시그니처와, 중계 장치(10)에서 자동적으로 생성된 자동생성 시그니처(시그니처 통신부(14)가 수신한 시그니처, 공격 검출부(13)가 생성한 시그니처)로 나눌 수 있고, 또한 각각의 시그니처에 관해서도, 부정한 패킷을 제한시키기 위한 부정 시그니처와, 정당한 패킷을 허가하기 위한 정규 시그니처와, 공격 용의 패킷을 제한하기 위한 용의 시그니처로 나눌 수 있다.
그리고, 동 도면에 나타나 있는 바와 같이 본 실시예에 있어서, 우선순위 결정부(15)는, 자동적으로 생성된 「자동생성 시그니처」보다도 「설정 시그니처」쪽이 우선도가 높아지도록, 시그니처 리스트(16a)에 등록하는 시그니처의 우선순위를 결정한다. 또한, 우선순위 결정부(15)는, 동 도면에 나타나 있는 바와 같이 「정규 시그니처」나 「용의 시그니처」보다도 「부정 시그니처」쪽이 우선도가 높아지도록, 또한 「용의 시그니처」보다도 「정규 시그니처」쪽이 우선도가 높아지도록, 시그니처 리스트(16a)에 등록하는 시그니처의 우선순위를 결정한다. 구체적으로는, 도 6의 예에서는, 시그니처에 대응되는 우선순위가 작은 만큼 우선도가 높음을 의미하며, 설정 시그니처(시그니처 A 및 시그니처 B), 부정 시그니처(시그니처 C), 정규 시그니처(시그니처 D), 용의 시그니처(시그니처 E 및 시그니처 F)의 순으로 우선도가 낮아진다.
또한 우선순위 결정부(15)는, 예를 들면 도 6에 나타낸 시그니처 E 및 시그니처 F와 같이 , 동일한 종별 내에 복수의 시그니처가 있을 경우에는, 각각의 시그니처에 포함되는 제한 정보의 내용에 따라 우선순위를 결정한다. 구체적으로 예를 들면, 시그니처의 제한 대역(이 제한 대역에 포함되는 패킷이면 통과를 허가한다는 제한 대역)이 작은 만큼, 시그니처의 우선도를 높게 한다.
또한 우선순위 결정부(15)는, 동일한 종별 내에 있는 복수의 시그니처(예를 들면 제한 정보를 포함하지 않는 정규 시그니처)에 대해서, 시그니처 리스트(16a)에 입력된 순으로 우선도를 높게 하도록 해도 좋다. 또한, 동일한 종별 내에 있는 복수의 시그니처에 대해서 제한 대역이 동일한 경우에도, 시그니처 리스트(16a)에 입력된 순으로 우선도를 높게 하도록 해도 좋다.
이와 같이, 우선순위 결정부(15)는, 시그니처의 종별이나 제한 대역 등에 의거하여 시그니처 통신부(14)가 수신한 시그니처, 공격 검출부(13)가 생성한 시그니처 및 입력부(17)를 통해 네트워크 관리자가 설정한 시그니처에 대해서, 우선순위를 결정한다. 그리고, 우선순위 결정부(15)는, 이러한 우선순위가 부여된 시그니처를 시그니처 리스트(16a)에 등록한다.
도 2에 있어서, 필터부(16)는, 네트워크 인터페이스부(11)가 수신한 패킷을 받아 들여, 시그니처 리스트(16a)에 의거하여 패킷의 통과(네트워크 인터페이스부(11)로부터의 패킷의 출력)를 제어하는 처리부이다. 구체적으로는, 필터부(16)는, 입력된 패킷에 대해서, 시그니처 리스트(16a)에 등록된 「부정 시그니처」, 「정규 시그니처」, 「용의 시그니처」중 어느 하나에 해당하는 지(혹은 어디에도 해당하지 않는가)를 판별하는 처리를 행하지만, 더 상세하게는, 시그니처 리스트(16a)에 등록된 시그니처 중에서 우선순위(우선도)가 높은 순으로 시그니처를 선택하여, 선택한 시그니처에 해당하는 지 여부를 판별한다. 즉, 도 6에 나타낸 예로 말하면, 시그니처 A로부터 시그니처 F 순으로 시그니처를 선택한다.
그리고, 필터부(16)는, 입력된 패킷이, 우선도에 따라서 순서대로 선택한 어느 시그니처의 조건을 만족시키고 있는 경우에는, 패킷을 후술하는 소정의 큐에 입 력하는,또는 폐기하는 등, 선택한 시그니처의 내용에 의거하여 패킷의 통과를 제어하지만, 이러한 제어 후에는, 이 제어에 사용한 시그니처보다도 우선순위가 낮은 시그니처에 대한 처리를 행하지 않는다. 즉, 예를 들면, 입력된 패킷이 시그니처 A 및 시그니처 B의 조건을 만족시키지 않고, 시그니처 C의 조건을 만족시키고 있는 경우에는, 필터부(16)는, 시그니처 C에 의거하여 패킷을 소정의 큐에 입력하는, 또는 폐기하는 등, 부정 시그니처에 대응하는 처리를 행하며, 이와 같이 제어한 패킷에 있어서, 시그니처 C보다도 우선순위가 낮은 시그니처가 되는 시그니처 D로부터 시그니처 F를 이용하여 처리하지 않는다.
여기에서, 큐에 대해서 설명하면 필터부(16)는, 부정 시그니처에 해당하는 패킷은, 부정한 패킷을 처리하기 위한 부정 큐에 입력하고, 용의 시그니처에 해당하는 패킷은, 용의 유저용의 용의 큐에 입력하며, 정규 시그니처에 해당하는 패킷 또는 어느 시그니처에도 해당하지 않는 패킷은, 정규 유저용의 정규 큐에 입력한다. 그 후, 필터부(16)는, 정규 큐에 입력된 패킷에 대해서는, 전송 대역을 제한하지 않고 네트워크 인터페이스부(11)로부터 출력하고, 용의 큐 및 부정 큐에 입력된 패킷에 대해서는, 각각의 시그니처(조건을 만족한다고 하여 선택된 시그니처)가 나타내는 전송 대역 제한값에 따라 제한하여 출력한다.
또, 필터부(16)는, 시그니처 리스트(16a)에 등록된 시그니처의 검출 속성 등이 소정의 해제 판단 기준을 만족시켰을 경우에는, 이 소정의 해제 판단 기준을 만족시킨 시그니처를 해제하고, 해제한 시그니처에 의거하여 패킷의 통과를 제어하는 처리를 정지한다.
[공격 용의 패킷 검출시의 처리]
계속해서, 도 7을 참조하여, 상기한 중계 장치(10)에 의한 공격 용의 패킷 검출시의 동작 처리를 설명한다. 도 7은, 공격 용의 패킷 검출시의 처리 순서를 나타내는 흐름도이다.
동 도면에 나타나 있는 바와 같이 중계 장치(10)의 공격 검출부(13)는, 도 3에 나타낸 공격 용의 검출 조건 테이블(13a)에 의거하여 공격 용의 트래픽을 검출하면(스텝 S1), 용의 시그니처 및 정규 시그니처를 생성한다(스텝 S2). 그리고, 우선순위 결정부(15)는, 공격 검출부(13)에 의해 생성된 용의 시그니처 및 정규 시그니처를 받아 들여, 시그니처의 우선순위를 결정한다(스텝 S3).
구체적으로는, 우선순위 결정부(15)는, 용의 시그니처보다도 정규 시그니처 쪽을 우선순위를 높게 결정하는 동시에, 용의 시그니처의 종별에 대응하는 시그니처가 복수 있을 경우에는, 각각의 시그니처에 포함되는 제한 정보의 대역이 작은 만큼, 시그니처의 우선순위를 높게 결정한다. 또한, 이미 시그니처 리스트(16a)에 등록되어 있는 설정 시그니처 쪽이 우선순위가 높아지도록, 공격 검출부(13)에 의해 생성된 용의 시그니처 및 정규 시그니처의 우선순위를 결정한다.
그 후에 우선순위 결정부(15)는, 우선순위를 결정한 결과를 나타내는 시그니처 리스트(16a)를 작성하고, 작성한 시그니처 리스트(16a)를 필터부(16)에 등록한다(스텝 S4). 또한, 시그니처 통신부(14)는, 공격 검출부(13)가 생성한 시그니처 등(본 실시예에서는, 용의 시그니처 및 정규조건)을 인접 중계 장치에 송신한다(스텝 S5). 또, 우선순위 결정부(15)는, 공격 용의 트래픽을 검출했을 경우 뿐만 아 니라, 후술하는 바와 같이, 시그니처 통신부(14)가 다른 중계 장치(10)로부터 시그니처를 수신했을 경우나 네트워크 관리자가 시그니처를 입력했을 경우에도, 마찬가지로 우선순위를 결정한다.
[시그니처 수신시의 처리]
계속해서, 도 8을 참조하여, 상기한 중계 장치(10)에 의한 시그니처 수신시의 동작 처리를 설명한다. 도 8은, 시그니처 수신시의 처리 순서를 나타내는 흐름도이다.
동 도면에 나타나 있는 바와 같이 중계 장치(10)의 시그니처 통신부(14)가, 인접 중계 장치로부터 송신된 시그니처 등(본 실시예에서는, 용의 시그니처 및 정규조건)을 수신하면(스텝 S11), 공격 검출부(13)는, 시그니처 통신부(14)가 수신한 정규조건에 의거하여 정규 시그니처를 생성한다(스텝 S12).
또한, 우선순위 결정부(15)는, 시그니처 통신부(14)가 수신한 용의 시그니처 및 공격 검출부(13)가 생성한 정규 시그니처를 받아들여서, 시그니처의 우선순위를 결정한다(스텝 S13). 여기에서, 우선순위의 결정 방법은, 상기한 공격 용의 패킷 검출시에 채용하는 것과 동일하다. 즉, 용의 시그니처보다도 정규 시그니처 쪽을 우선순위를 높게 결정하는 동시에, 용의 시그니처의 종별에 대응하는 시그니처가 복수 있을 경우에는, 각각의 시그니처에 포함되는 제한 정보의 대역이 작은 만큼, 시그니처의 우선순위를 높게 결정한다. 또한, 이미 시그니처 리스트(16a)에 등록되어 있는 설정 시그니처 쪽이 우선순위가 높아지도록, 인접 중계 장치로부터 수신한 용의 시그니처 및 공격 검출부(13)에 의해 생성된 정규 시그니처의 우선순위를 결정한다.
그 후에 우선순위 결정부(15)는, 우선순위를 결정한 결과를 나타내는 시그니처 리스트(16a)를 작성하고, 작성한 시그니처 리스트(16a)를 필터부(16)에 등록한다(스텝 S14). 또한, 시그니처 통신부(14)는, 인접 중계 장치로부터 수신한 시그니처 등(본 실시예에서는, 수신한 용의 시그니처 및 정규조건)을 인접 중계 장치에 송신한다(스텝 S15).
[부정 패킷 검출시의 처리]
계속해서, 도 9를 참조하여, 상기한 중계 장치(10)에 의한 부정 패킷 검출시의 동작 처리를 설명한다. 도 9는, 부정 패킷 검출시의 처리 순서를 나타내는 흐름도이다.
동 도면에 나타나 있는 바와 같이 중계 장치(10)의 공격 검출부(13)는, 도 4에 나타낸 부정 트래픽 조건검출 테이블(13b) 등에 의거하여 부정 트래픽을 검출하면(스텝 S21), 부정 시그니처를 생성한다(스텝 S22). 그리고, 우선순위 결정부(15)는, 공격 검출부(13)에 의해 생성된 부정 시그니처를 받아 들여, 시그니처의 우선순위를 결정한다 (스텝 S23).
구체적으로는, 우선순위 결정부(15)는, 이미 시그니처 리스트(16a)에 등록되어 있는 설정 시그니처 쪽이 우선순위가 높아지도록, 또한 이미 시그니처 리스트(16a)에 등록되어 있는 용의 시그니처나 정규 시그니처보다도 우선순위가 높아지도록, 공격 검출부(13)에 의해 생성된 부정 시그니처의 우선순위를 결정한다. 또한, 부정 시그니처의 종별에 대응하는 시그니처가 복수 있을 경우에는, 각각의 시그니 처에 포함되는 제한 정보의 대역이 작은 만큼, 시그니처의 우선순위를 높게 결정한다.
그 후에 우선순위 결정부(15)는, 우선순위를 결정한 결과를 나타내는 시그니처 리스트(16a)를 작성하고, 작성한 시그니처 리스트(16a)를 필터부(16)에 등록한다(스텝 S24). 또, 우선순위 결정부(15)는, 공격 용의 트래픽을 검출했을 경우나, 다른 중계 장치(10)로부터 시그니처를 수신했을 경우, 부정 패킷을 검출했을 경우 외에, 네트워크 관리자로부터 입력부(17)를 통해 시그니처를 입력했을 경우에도, 상기한 우선순위의 결정 방법에 따라, 네트워크 관리자가 설정한 시그니처의 우선순위를 결정한다.
[실시예의 효과]
상기한 바와 같이, 상기한 실시예에 의하면, 시그니처 리스트(16a)에 등록되는 시그니처에 대해서 우선순위를 결정해 두고, 우선순위가 높은 순으로 시그니처를 선택하며, 이 선택된 시그니처에 의거하여 패킷의 통과를 제어하므로, 복수의 시그니처가 있을 경우에 있어서 원하는 순서로 패킷을 처리하는 것이 가능하게 된다.
또한 상기한 실시예에 의하면, 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하므로, 네트워크 관리자가 설정한 설정 시그니처가 우선적으로 패킷의 제어에 이용되는 것으로, 네트워크 관리자가 의도하는 제어를 우선적으로 행하는 것이 가능하게 된다.
또한 상기한 실시예에 의하면, 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처에 대해서는, 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하므로, 시그니처에 포함되는 제한 정보의 대역이 엄격한 시그니처 만큼 우선적으로 패킷의 제어에 이용되므로, 패킷의 제어에 모순을 일으키지 않고, 확실하게 패킷을 처리하는 것이 가능하게 된다.
[다른 실시예]
지금까지 본 발명의 실시예에 관하여 설명했지만, 본 발명은 전술한 실시예이외에도, 여러가지 다른 형태로 실시되어도 된다.
예를 들면 상기의 실시예에서는, 「용의 시그니처」보다도 「정규 시그니처」쪽이 우선도가 높아지도록 우선순위를 결정할 경우를 설명했지만, 본 발명은 이에 한정되는 것은 아니고, 「정규 시그니처」보다도 「용의 시그니처」쪽이 우선도가 높아지도록 우선순위를 결정하도록 해도 좋다. 즉, 상기한 실시예에서 설명한 우선순위의 결정 방법은, 어디까지나 일례이며, 본 발명은 이에 한정되는 것은 아니고, 다른 우선순위 결정방법을 채용하는 경우에도 본 발명을 마찬가지로 적용할 수 있다.
또한 상기한 실시예에서는, 공격 검출시에 「용의 시그니처」를 반드시 생성하고, 이 「용의 시그니처」의 생성시, 혹은, 다른 중계 장치로부터의 「용의 시그니처」의 수신시에 「정규 시그니처」를 생성할 경우를 설명했지만, 본 발명은 이에 한정되는 것은 아니고, 「용의 시그니처」를 생성하지 않고 「정규 시그니처」를 생성하거나, 「용의 시그니처」를 수신 하지 않고 「정규 시그니처」를 생성하거나 해도 좋다.
또한 상기한 실시예에서 도시한 각 장치(예를 들면 도 1에 예시한 중계 장치(10))의 각 구성요소는 기능 개념적인 것이며, 반드시 물리적으로 도시한 바와 같이 구성되어 있는 것을 필요로 하지 않는다. 즉, 중계 장치(10)의 분산·통합의 구체적 형태는 도시한 것에 한정되지 않고, 중계 장치(10)의 전부 또는 일부를 각종의 부하나 사용상황 등에 따라, 임의 단위로 기능적 또는 물리적으로 분산·통합하여 구성할 수 있다. 또한, 중계 장치(10)에서 행해지는 각 처리 기능은, 그 전부 또는 임의의 일부가, CPU 및 이 CPU에서 해석 실행되는 프로그램에서 실현되고, 혹은, 연결 논리에 의한 하드웨어로서 실현될 수 있다.
또한 상기한 실시예에서 설명한 각 처리 중, 자동적으로 행해지는 것으로서 설명한 처리의 전부 또는 일부를 수동적으로 행할 수도 있고, 혹은, 수동적으로 행해지는 것으로서 설명한 처리의 전부 또는 일부를 공지의 방법으로 자동적으로 행할 수도 있다. 이 밖에, 상기 문서나 도면으로 나타낸 처리 순서, 제어순서, 구체적 명칭, 각종 데이터나 파라미터를 포함하는 정보(예를 들면 공격 용의 검출 조건 테이블, 부정 트래픽 검출 조건 테이블, 정규조건 테이블의 내용 등)에 대해서는, 특기(特記)할 경우를 제외하고 임의로 변경할 수 있다.
또, 상기한 실시예에서는, 본 발명을 실현하는 각 장치(예를 들면 중계 장치(10))를 기능면에서 설명했지만, 각 장치의 각 기능은 PC나 워크스테이션 등의 컴퓨터에 프로그램을 실행시키는 것에 의해 실현할 수도 있다. 즉, 본 실시예 1에서 설명한 각종의 처리 순서는, 미리 준비된 프로그램을 컴퓨터상에서 실행함으로써 실현할 수 있다. 그리고, 이들 프로그램은, 인터넷 등의 네트워크를 통해 배포할 수 있다. 또한, 이들의 프로그램은, 하드디스크, 플랙시블 디스크(FD), CD-ROM, MO, DVD 등의 컴퓨터로 판독가능한 기록 매체에 기록되고, 컴퓨터에 의해 기록 매체로부터 판독됨으로써 실행할 수도 있다. 즉, 예를 들면, 실시예에 나타낸 바와 같은 중계 장치용 프로그램을 격납한 CD-ROM을 배포하고, 이 CD-ROM에 격납된 프로그램을 각 컴퓨터가 판독하여 실행해도 된다.
[산업상의 이용 가능성]
이상과 같이, 본 발명에 관한 중계 장치, 중계 방법 및 중계 프로그램 및 네트워크 공격 방어 시스템은, 패킷의 통과를 제어하기 위한 시그니처에 의거하여 네트워크상의 패킷의 통과를 제어할 경우에 유용하며, 특히, 복수의 시그니처가 있어도 원하는 순서로 패킷을 처리하는 데 적합하다.

Claims (16)

  1. 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크상의 중계 장치로서,
    상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 수단과,
    상기 우선순위결정 수단에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 수단을 구비한 것을 특징으로 하는 중계 장치.
  2. 제 1항에 있어서,
    상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 설정된 설정 시그니처를 기억하는 것으로서,
    상기 우선순위결정 수단은, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계 장치.
  3. 제 1항 또는 제 2항에 있어서,
    상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것으로,
    상기 우선순위결정 수단은, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계 장치.
  4. 제 1항에 있어서,
    소정의 공격 용의 검출 조건에 의거하여 공격 용의 패킷을 검출하고, 이 공격 용의 패킷을 제한하기 위한 용의 시그니처를 생성하는 용의 시그니처 생성 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 용의 시그니처 생성 수단에 의해 용의 시그니처가 생성되었을 경우에, 이 용의 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  5. 제 1항에 있어서,
    소정의 정규조건에 근거하여 정당한 패킷을 허가하기 위한 정규 시그니처를 생성하는 정규 시그니처 생성 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 정규 시그니처 생성 수단에 의해 정규 시그니처가 생성되었을 경우에, 이 정규 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  6. 제 1항에 있어서,
    소정의 부정 트래픽 검출 조건에 의거하여 부정 패킷을 검출하고, 이 부정 패킷을 제한하기 위한 부정 시그니처를 생성하는 부정 시그니처 생성 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 부정 시그니처 생성 수단에 의해 부정 시그니처가 생성되었을 경우에, 이 부정 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  7. 제 1항에 있어서,
    공격 용의 패킷을 제한하기 위한 용의 시그니처를 다른 중계 장치로부터 수신하는 시그니처 수신 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 시그니처 생성 수단에 의해 용의 시그니처 가 수신되었을 경우에, 이 용의 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  8. 제 1항에 있어서,
    상기 다른 중계 장치로부터 수신한 소정의 정규조건에 근거하여 정당한 패킷을 허가하기 위한 정규 시그니처를 생성하는 정규 시그니처 생성 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 정규 시그니처 생성 수단에 의해 정규 시그니처가 생성되었을 경우에, 이 정규 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  9. 제 1항에 있어서,
    네트워크 관리자로부터 시그니처를 접수하여 입력하는 시그니처 입력 수단을 구비하고,
    상기 우선순위결정 수단은, 상기 시그니처 입력 수단에 의해 시그니처가 입력되었을 경우에, 이 시그니처에 우선순위를 부여하여 상기 시그니처 기억 수단에 격납하는 것을 특징으로 하는 중계 장치.
  10. 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크 공격 방어 시스템으로서,
    상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 수단과,
    상기 우선순위결정 수단에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 수단을 구비한 것을 특징으로 하는 네트워크 공격 방어 시스템.
  11. 패킷의 통과를 제어하기 위한 시그니처를 기억하는 시그니처 기억 수단을 가지고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 네트워크상의 장치에 있어서의 중계 방법으로서,
    상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 공정과,
    상기 우선순위결정 공정에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어 공정을 포함하는 것을 특징으로 하는 중계방법.
  12. 제 11항에 있어서,
    상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 결정된 설정 시그니처를 기억하는 것으로서,
    상기 우선순위결정 공정은, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계방법.
  13. 제 11항 또는 제 12항에 있어서,
    상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것으로서,
    상기 우선순위결정 공정은, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계방법.
  14. 패킷의 통과를 제어하기 위한 시그니처를 시그니처 기억 수단에 기억하고, 이 시그니처 기억 수단에 기억된 시그니처에 의거하여 패킷의 통과를 제어하는 방법을 컴퓨터에 실행시키는 중계 프로그램으로서,
    상기 시그니처 기억 수단에 기억되는 시그니처에 대해서 우선순위를 결정하는 우선순위결정 부여 순서와,
    상기 우선순위결정 순서에 의해 결정된 우선순위가 높은 순으로, 상기 시그니처 기억 수단으로부터 시그니처를 선택하고, 이 선택된 시그니처에 의거하여 상기 패킷의 통과를 제어하는 패킷 제어순서를 구비한 것을 특징으로 하는 중계 프로그램.
  15. 제 14항에 있어서,
    상기 시그니처 기억 수단은, 소정의 조건판정에 의해 자동적으로 생성된 자동생성 시그니처 및 상기 네트워크의 관리자에 의해 설정된 설정 시그니처를 기억하는 것으로서,
    상기 우선순위결정 순서는, 상기 시그니처 기억 수단에 기억되는 자동생성 시그니처 및 설정 시그니처에 대해서, 이 자동생성 시그니처보다도 설정 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계 프로그램.
  16. 제 14항 또는 제 15항에 있어서,
    상기 시그니처 기억 수단은, 상기 패킷의 통과를 소정의 범위로 제한하기 위한 복수의 시그니처를 기억하는 것으로서,
    상기 우선순위결정 순서는, 상기 시그니처 기억 수단에 기억되는 복수의 시그니처에 대해서, 상기 제한 범위가 엄격한 시그니처 쪽에 높은 우선순위를 부여하는 것을 특징으로 하는 중계프로그램.
KR1020067002305A 2004-10-12 2005-09-09 중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격방어 시스템 KR20060060671A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004298246 2004-10-12
JPJP-P-2004-00298246 2004-10-12

Publications (1)

Publication Number Publication Date
KR20060060671A true KR20060060671A (ko) 2006-06-05

Family

ID=36148197

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067002305A KR20060060671A (ko) 2004-10-12 2005-09-09 중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격방어 시스템

Country Status (5)

Country Link
EP (1) EP1802057A1 (ko)
JP (1) JPWO2006040895A1 (ko)
KR (1) KR20060060671A (ko)
CN (1) CN1879372A (ko)
WO (1) WO2006040895A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100937217B1 (ko) * 2007-12-07 2010-01-20 한국전자통신연구원 시그니처 최적화 시스템 및 방법
KR101444908B1 (ko) * 2013-01-08 2014-09-26 주식회사 시큐아이 시그니처를 저장하는 보안 장치 및 그것의 동작 방법
KR101580417B1 (ko) * 2014-12-30 2016-01-04 고려대학교 산학협력단 시그니쳐 리스트 정렬 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3699941B2 (ja) * 2002-03-22 2005-09-28 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100937217B1 (ko) * 2007-12-07 2010-01-20 한국전자통신연구원 시그니처 최적화 시스템 및 방법
KR101444908B1 (ko) * 2013-01-08 2014-09-26 주식회사 시큐아이 시그니처를 저장하는 보안 장치 및 그것의 동작 방법
KR101580417B1 (ko) * 2014-12-30 2016-01-04 고려대학교 산학협력단 시그니쳐 리스트 정렬 방법

Also Published As

Publication number Publication date
JPWO2006040895A1 (ja) 2008-05-15
WO2006040895A1 (ja) 2006-04-20
CN1879372A (zh) 2006-12-13
EP1802057A1 (en) 2007-06-27

Similar Documents

Publication Publication Date Title
US10084825B1 (en) Reducing redundant operations performed by members of a cooperative security fabric
US8590054B2 (en) Methods, devices and computer program products for regulating network activity using a subscriber scoring system
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
EP2289221B1 (en) Network intrusion protection
Mirkovic D-WARD: source-end defense against distributed denial-of-service attacks
EP1335559B1 (en) System and method of providing virus protection at a gateway
US7650634B2 (en) Intelligent integrated network security device
US20090077663A1 (en) Score-based intrusion prevention system
US10135785B2 (en) Network security system to intercept inline domain name system requests
US20060026679A1 (en) System and method of characterizing and managing electronic traffic
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
US20090007266A1 (en) Adaptive Defense System Against Network Attacks
US10560362B2 (en) Application control
US20070289014A1 (en) Network security device and method for processing packet data using the same
CN105991637A (zh) 网络攻击的防护方法和装置
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
KR20060060671A (ko) 중계 장치, 중계 방법 및 중계 프로그램과, 네트워크 공격방어 시스템
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
Sedaghat The Forensics of DDoS Attacks in the Fifth Generation Mobile Networks Based on Software-Defined Networks.
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
El Mir et al. Towards a stochastic model for integrated detection and filtering of DoS attacks in cloud environments
Wright Analysis of Denial of Service Attacks in Emerging Software Defined Network Infrastructures
Watson Network protocol design with Machiavellian robustness

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee