WO2005109797A1

WO2005109797A1 - ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム

Info

Publication number: WO2005109797A1
Application number: PCT/JP2005/008679
Authority: WO
Inventors: Yuji Soejima; Masaki Onishi; Hitoshi Fuji
Original assignee: Nippon Telegraph And Telephone Corporation
Priority date: 2004-05-12
Filing date: 2005-05-12
Publication date: 2005-11-17
Also published as: CN1788475A; KR100679170B1; EP1746791A1; US20070118896A1; JPWO2005109797A1; KR20060030037A

Abstract

　攻撃が停止したときに、攻撃の対策を停止し、さらに、このとき、自ネットワーク攻撃対策装置よりも攻撃者側に位置して、連携して攻撃の対策を行っているネットワーク攻撃対策装置あるいは攻撃の再開に備えているネットワーク攻撃対策装置が存在するのか否かを判定することで、攻撃の再開に備える必要があるのか否かを判定する。この判定により、攻撃の再開に備える必要がないことを判定する場合に、その攻撃についての情報を削除して通常状態に復帰し、一方、攻撃の再開に備える必要があることを判定する場合に、その攻撃についての情報を削除しないことで攻撃の再開に備える。

Description

明細書

ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム

技術分野

[0001] 本発明は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を防御するネットワーク攻撃対策方法及びその装置と、そのネットワーク攻撃対策方法の実現に用いられるネットワーク攻撃対策プログラムとに関する。

[0002] さらに詳しく説明するならば、本発明は、ネットワークに接続されている一つ以上の端末が、別の一つ以上の端末やサーバなどに不必要なパケットを送信することにより、パケットの送信先の端末がネットワークに接続して行っているサービスなどを妨害するネットワーク攻撃に対して、その対策を複数の装置で行っている場合に、それらの各装置が自律的に攻撃対策を停止し、かつ、対策範囲を収束させる技術に関するものである。

背景技術

[0003] 不必要なパケットを大量に送りつけてくるネットワーク攻撃（DDoS攻撃）は、ネットヮークの複数地点力攻撃パケットが送られてくるため、ネットワークの複数地点で攻撃の対策を行うことで効果的にネットワークを守ることができる。

[0004] この観点に立ったネットワーク攻撃の対策システムとして、 Arbor networks社の

PeakFlowや日本電信電話株式会社の

MovingFirewall ¾ある。

[0005] Arbor networks社の PeakFlow (例えば、非特許文献 1参照）は、複数地点でトラヒックを観測することでネットワーク攻撃を検知して、ネットワーク内に存在するルータや対策装置等で対策を行う。

[0006] ただし、このシステムでは、攻撃が収まったら、システムの管理者が対策を停止する必要がある。

[0007] 一方、日本電信電話株式会社の MovingFirewallは、防御対象の近くで攻撃を検知し複数の攻撃端末に向力つてファイアウォール機能を動力していくことで防御するネットワークを広げていく。

[0008] このシステムでは、ネットワーク内の各装置が自律的に攻撃の停止を判断して対策を止める。このとき、攻撃の情報は保持し続けて攻撃が再開したときのために備える。最終的に全ての装置で攻撃が停止したと判断された場合、各装置の情報を知ること力 Sできる管理装置によって、各装置は初期化され攻撃の情報も削除される。

[0009] このように、このシステムでは、攻撃が収まったら、システムの管理者によらずに、各装置が初期化されることになる。なお、システム管理者が各装置の初期化の命令を出すこともできるようになって!/、る。

非特許文献 1： PEAKFLOW SPゝインターネットく URL：

http :/ / www.aroornetwor s . com

発明の開示

発明が解決しょうとする課題

[0010] 日本電信電話株式会社の MovingFirewallは DDoS攻撃に対して極めて有効な対策システムを構築するものの、管理装置が必要になる。

[0011] 一方、ネットワーク攻撃対策装置には、システムが攻撃停止の判断を行い自動で通常時の状態に戻るものもある。

[0012] このようなシステムにおいて各装置が独立に攻撃対策の停止を行う場合、各装置で攻撃が停止したと判断すると同時に攻撃の情報を即座に消去するという方法がある。

[0013] し力し、この方法を用いると、他の装置にお!、て攻撃の対策を続けて、るのであれば攻撃再開の可能性があるため、攻撃が再開した際に攻撃の情報を保持していない装置は即座に対応できず、そこが穴となり、防げるはずであった攻撃トラヒックが防御して！/、たネットワークに流入してしまうと!、う問題がある（問題 1)。

[0014] そこで、攻撃再開時に即座に対応するために、過去の情報を保持し続けるという方法もある。

[0015] しかし、攻撃の情報を保持し続けると、過去の攻撃情報が飽和してしま、検知処理や対策処理を圧迫してしまう。そのため、ある時点においてこれらの情報を削除する必要があるが、独立にこの削除処理が行われて!/、ると適切な削除の契機が判断できな!、と!/、う問題がある（問題 2)。

[0016] また、上述したように、管理システムを設置することで全ての装置で対策が停止したことを判断し、対策の最終停止を行うという方法がある。

[0017] しかし、この方法では管理装置が必要になるという問題がある（問題 3)。また、各装置の対策停止後に攻撃が再開した場合に即座に対応するための情報も、全ての装置が対策を停止するまで削除されないため、（問題 2)の解決策としては不十分である。

[0018] 本発明は力かる事情に鑑みてなされたものであって、本発明を適用した複数のネットワーク攻撃対策装置において、各装置が自律的に判断して攻撃対策を停止する際に、これらの問題を解決しながら攻撃対策の停止処理を行うことを可能にする新たなネットワーク攻撃対策技術の提供を目的とする。

課題を解決するための手段

[0019] 上述した課題を解決し、目的を達成するため、請求項 1に係る発明は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置で実行されるネットワーク攻撃対策方法であって、前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っている力、攻撃の再開に備えている力、あるいは攻撃の対策を停止して通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定する判定工程と、前記判定工程によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰工程と、前記判定工程によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え工程と、を含んだことを特徴とする。

[0020] また、請求項 2に係る発明は、上記の発明において、前記判定工程は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて攻撃の再開に備える必要がある力否かを判定することを特徴とする。

[0021] また、請求項 3に係る発明は、上記の発明において、前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知工程をさらに含み、前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする。

[0022] また、請求項 4に係る発明は、上記の発明において、前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする。

[0023] また、請求項 5に係る発明は、上記の発明において、前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知工程をさらに含み、前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がなヽと判定することを特徴とする。

[0024] また、請求項 6に係る発明は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置であって、前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っている力、攻撃の再開に備えている力、あるいは攻撃の対策を停止して通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手段と、前記判定手段によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰手段と、前記判定手段によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手段と、を備えたことを特徴とする。

[0025] また、請求項 7に係る発明は、上記の発明において、前記判定手段は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特徴とする。

[0026] また、請求項 8に係る発明は、上記の発明において、前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知手段をさらに備え、前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする

[0027] また、請求項 9に係る発明は、上記の発明において、前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする。

[0028] また、請求項 10に係る発明は、上記の発明において、前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手段をさらに備え、前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がなヽと判定することを特徴とする。

[0029] また、請求項 11に係る発明は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置で実行されるネットワーク攻撃対策プログラムであって、前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行つているか、攻撃の再開に備えている力、あるいは攻撃の対策を停止して通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手順と、前記判定手順によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰手順と、前記判定手順によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手順と、をコンビュータに実行させることを特徴とする。

[0030] また、請求項 12に係る発明は、上記の発明において、前記判定手順は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特徴とする。

[0031] また、請求項 13に係る発明は、上記の発明において、前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知手順をさらにコンピュータに実行させ、前記判定手順は、前記攻撃にっ、ての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要があるか否かを判定することを特徴とする。

[0032] また、請求項 14に係る発明は、上記の発明において、前記判定手順は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする。

[0033] また、請求項 15に係る発明は、上記の発明において、前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手順をさらにコンピュータに実行させ、前記判定手順は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする。

発明の効果

[0034] 請求項 1、 6または 11の発明によれば、攻撃の停止に応じて攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っている力攻撃の再開に備えているか、あるいは攻撃の対策を停止して通常状態に復帰しているかに応じて、攻撃の再開に備える必要がある力否かを判定し、攻撃の再開に備える必要がないと判定された場合に、攻撃についての情報を削除して通常状態に復帰し、攻撃の再開に備える必要があると判定された場合に、攻撃についての情報を削除することなく攻撃の再開に備えるよう構成したので、複数のネットワーク攻撃対策装置を使ってネットワークを保護するシステムにおいて、管理装置を用いないで各装置が自律的に攻撃停止と対策停止の判定を行う場合でも、攻撃の再開に備えつつ効率的に対策範囲を収束することができるという効果を奏する。

[0035] また、請求項 2、 7または 12の発明によれば、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて攻撃の再開に備える必要がある力否かを判定するよう構成したので、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在しない場合であっても、攻撃の再開に備えつつ効率的に対策範囲を収束することができると、う効果を奏する。

[0036] また、請求項 3、 8または 13の発明によれば、攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して攻撃についての情報を通知することとし、攻撃につ!、ての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、攻撃の再開に備える必要がある力否かを判定するよう構成したので、自装置が攻撃通知を行った他のネットワーク攻撃対策装置が通常状態に戻った力否かに基づいて自装置で行われている攻撃対策を «続するべきか否かを判定することによって、攻撃対策を «続すべきか否かを効率的に判定することができる。したがって、攻撃の再開に備えつつ効率的に対策範囲を収束することができるという効果を奏する。

[0037] また、請求項 4、 9または 14の発明によれば、攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰して、る場合に、攻撃の再開に備える必要がないと判定するよう構成したので、自装置が攻撃通知を行った他のネットワーク攻撃対策装置が全て通常状態に戻った場合、すなわち、自装置が攻撃者側に最も近い最前線ノードであることを検出した場合に、攻撃対策を停止することができる。したがって、効率的に対策範囲を収束することができるという効果を奏する。

[0038] また、請求項 5、 10または 15の発明によれば、攻撃についての情報を削除して通常状態に復帰する場合に、攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知することとし、攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、攻撃の再開に備える必要がないと判定するよう構成したので、復帰通知を用いることによって、自装置が攻撃通知を行った他のネットワーク攻撃対策装置が全て通常状態に戻ったことを確実に把握することが可能となる。したがつて、効率的に対策範囲を収束することができるという効果を奏する。

図面の簡単な説明

[0039] [図 1]図 1は、 DDoS防御装置の連携による攻撃対象の防御の一例を示す図である。

[図 2]図 2は、本発明を具備する DDoS防御装置の装置構成の一例を示す図である

[図 3]図 3は、攻撃パケット情報 DBのデータ構造の一例を示す図である。

[図 4]図 4は、装置連携情報 DBのデータ構造の一例を示す図である。

[図 5]図 5は、パケット振分部の実行する処理フローの一例を示す図である。

[図 6]図 6は、攻撃検出部の実行する処理フローの一例を示す図である。

[図 7]図 7は、攻撃パケット対処部の実行する処理フローの一例を示す図である。

[図 8]図 8は、停止 ·再起動判定部の実行する処理フローの一例を示す図である。

[図 9]図 9は、装置連携部の実行する処理フローの一例を示す図である。

[図 10]図 10は、装置連携部の実行する処理フローの一例を示す図である。

符号の説明

[0040] 101 ネットワークインタフェース部

102 パケット振分部

103 攻撃検出部

104 攻撃パケット情報 DB

105 攻撃パケット対処部

106 停止 ·再起動判定部

107 装置連携部

108 装置連携情報 DB

発明を実施するための最良の形態

[0041] まず、本発明をネットワーク攻撃対策装置に適用した場合の処理について説明する。なお、以下の説明では、特定の攻撃への対策を停止した場合に、ネットワーク攻撃対策装置の対策状態が、攻撃の対策を停止して通常状態に復帰している状態である「通常状態」にあるか否かに応じて攻撃の再開に備える必要がある力否かを判定する場合について説明する。しかしながら、これに限らず、かかる対策状態が、攻撃対策を実行している「対策中状態」であるか否か、あるいは、攻撃対策は停止しているものの攻撃にっ、ての情報を保持して、る「再開備え状態」であるか否かに応じ、攻撃の再開に備える必要がある力否かを判定することとしてもよ、。

[0042] 本発明のネットワーク攻撃対策装置は、他の装置 (ネットワーク攻撃対策装置）と連携しつつネットワーク攻撃を防御するものであり、他の装置力攻撃情報を通知されたら、その装置の情報を記憶する。もし、自装置で攻撃を検知したのであるならば、検知したのが自装置であることを記憶する。そして、攻撃情報を他の装置に通知する際には、どの装置に通知したのかを記憶する。

[0043] 次に、本発明のネットワーク攻撃対策装置において、攻撃対策中に、監視しているネットワーク内の攻撃トラヒックが収まったと判断したら、攻撃対策を停止する。

[0044] この際に、収まったと判断した攻撃情報を他の装置に通知していた場合には、この攻撃情報を削除せずに保持し続けて攻撃の再開に備える。

[0045] 一方、収まったと判断した攻撃情報を他の装置に通知していなかった場合には、この攻撃情報を削除して、通常時の状態に戻る。

[0046] このとき、この削除する攻撃情報が他の装置力も通知された情報であった場合には、その装置に対して、攻撃が収まり攻撃情報を削除したことを通知 (通常状態への復帰通知)し、また、この削除する攻撃情報の攻撃が自装置で検知したものであった場合には、攻撃情報を削除したことを通知する必要はないので、そのまま通常時の状態に戻る。

[0047] 次に、本発明のネットワーク攻撃対策装置は、他の装置から攻撃情報の削除の通知を受けたら、通知をしてきた装置を記憶する。このとき、自装置において攻撃対策を停止して!/、るのかと!/、うことと、自装置が攻撃情報を通知した全ての装置から攻撃情報削除の通知がきて、るのかと、うことを調べる。

[0048] この調査により、自装置において攻撃対策を停止していないなら対策を続行し、一方、自装置において攻撃対策を停止しているものの、 1つでも攻撃情報削除の通知を送ってきて、な、装置があったら、そのまま攻撃の再開に備える。

[0049] そして、自装置にぉ、て攻撃対策を停止して、て、かつ、自装置が攻撃情報を通知した全ての装置力攻撃情報削除の通知がきていたら、自装置においても攻撃情報を削除して、通常時の状態に戻る。

[0050] このとき、この削除する攻撃情報が他の装置力も通知された情報であった場合には、その装置に対して、攻撃が収まり攻撃情報を削除したことを通知し、また、この削除する攻撃情報の攻撃が自装置で検知したものであった場合には、攻撃情報を削除したことを通知する必要はないので、そのまま通常時の状態に戻る。

[0051] この規則に従って、本発明のネットワーク攻撃対策装置のそれぞれの装置が攻撃対策の停止処理を行うことにより、各装置が自律的に判断して攻撃対策を停止する場合でも、防御しているネットワークに対して穴を作ることなぐ攻撃対策を行っている装置および攻撃の再開に備えている装置の存在する範囲を収束していくことが可能である。そして、攻撃が再開した場合にも、収束途中の装置において即座に対処可能であり、その装置力攻撃情報を再通知することにより防御範囲を拡大することができる。

[0052] このようにして、本発明によれば、攻撃にあわせて、攻撃対策を行って、る装置および攻撃の再開に備えて、る装置の存在する範囲を柔軟に変化させることができるので、各装置は攻撃情報の飽和により処理が圧迫される可能性は従来よりも低くなる。そして、各装置が自律的に判断を行って攻撃対策を停止したり、通常時の状態に戻つたりできるため、これらの処理を実現するための管理装置を用意する必要がない。

[0053] 次に、実施の形態に従って本発明を詳細に説明する。

実施例

[0054] 図 1に、本発明の一実施形態例として、 DDoS攻撃発生時における複数の DDoS 防御装置の連携による攻撃対象の防御を示した接続例を図示する。

[0055] 図 1において、 DDoS攻撃端末 31〜35が攻撃対象 11および攻撃対象 12へ攻撃パケットを送信しており、また、各 DDoS攻撃端末 31〜35と攻撃対象 11, 12との間には複数の DDoS防御装置 21〜27が接続されており、これらの DDoS防御装置 21 〜27が連携して DDoS攻撃力も攻撃対象 11, 12を防御している。

[0056] これらの DDoS防御装置 21〜27は、攻撃対象 11, 12に対する DDoS攻撃が発生すると、具体的には、攻撃対象 11, 12に近い DDoS防御装置 21, 22から攻撃に対する防御に入り、

DDoS防御装置 21, 22→DDoS防御装置 23

→DDoS防御装置 24→DDoS防御装置 25〜26

→DDoS防御装置 27

というように、 DDoS攻撃端末 31〜35の側へと防御ラインを広げていって、 DDoS攻撃が終了すると、攻撃対象 11, 12から遠い DDoS防御装置 25〜27から攻撃に対する防御の停止を行って、

DDoS防御装置 25〜26→DDoS防御装置 24→DDoS防御装置 23

DDoS防御装置 27 →DDoS防御装置 23

→DDoS防御装置 21, 22

t 、うように、防御ラインを収束させて、くことになる。

[0057] 図 2に、本発明を具備する DDoS防御装置 21〜27の装置構成の一例を図示する

[0058] この図に示すように、本実施形態例の DDoS防御装置 21〜27は、ネットワークインタフース部 101と、パケット振分部 102と、攻撃検出部 103と、攻撃パケット情報 DB 104と、攻撃パケット対処部 105と、停止 ·再起動判定部 106と、装置連携部 107と、装置連携情報 DB108とを備える。

[0059] DDoS防御装置 21〜27は、 DDoS攻撃が発生していない状態では、パケットをネットワークインタフェース部 101で受信すると、パケット振分部 102を経由させてネットワークインタフェース部 101へ転送する。

[0060] 一方、 DDoS防御装置 21〜27は、 DDoS攻撃の状態では、攻撃パケットをネットヮ一クインタフエース部 101で受信すると、その攻撃パケットを停止.再起動判定部 106 や攻撃検出部 103を経由させて、攻撃パケット対処部 105で攻撃対策処理を施して力もネットワークインタフェース部 101へと転送することによって、 DDoS攻撃から攻撃対象 11, 12を保護することを実現する。 [0061] 図 3に、攻撃パケット情報 DB104のデータ構造の一例を図示し、図 4に、装置連携情報 DB108のデータ構造の一例を図示する。

[0062] 攻撃パケット情報 DB104は、攻撃パケット情報を管理するものであって、図 3に示すように、攻撃パケットの識別情報に対応付けて、その攻撃パケットへの対処方法と、その対処方法の実施停止の条件と、その対処方法の再起動の条件と、その対処方法を起動中であるの力停止中 (停止は終了と同義)であるのかを示す状態情報とを管理する。

[0063] また、装置連携情報 DB108は、連携して攻撃に対しての対策を実施する装置の連携情報を管理するものであって、図 4に示すように、攻撃パケット情報に対応付けて、その攻撃パケット情報を送信してきた装置の情報 (送信元の装置の情報)と、その攻撃パケット情報を送信した装置の情報 (送信先の装置の情報)と、その送信先の装置の状態情報とを管理する。ここで、送信先の装置の中に自装置を含めるようになっており、その送信先の装置の状態情報で、自装置の状態情報を管理するようにしている。

[0064] 例えば、図 4に示す装置連携情報 DB108は、装置" 3"の備える装置連携情報 DB 108の一例を示すものであり、装置〃 1〃の DDoS防御装置から、 IPアドレスが〃 1.1.1.1 "で、プロトコル力 'UDP"で、ポート番号が" 1434"で、対処方法力遮断"で、停止条件が" 10Mbps

のトラヒックが 3秒間持続したら対処方法を停止せよ〃で、再起動条件が" 20Mbpsのトラヒックが 1秒間持続したら対処方法を再起動せよ〃、という攻撃パケット情報が自装置に送信されてきて、その攻撃パケット情報を、装置〃 4〃の DDoS防御装置 (現在の状態は"起動中"）に送信したということを管理し、さらに、自装置力終了 (停止) "という状態にあることを管理して、る。

[0065] 図 5に、パケット振分部 102の実行する処理フローの一例を図示し、図 6に、攻撃検出部 103の実行する処理フローの一例を図示し、図 7に、攻撃パケット対処部 105の実行する処理フローの一例を図示し、図 8に、停止'再起動判定部 106の実行する処理フローの一例を図示し、図 9及び図 10に、装置連携部 107の実行する処理フロ一の一例を図示する。 [0066] 次に、これらの処理フローに従って、このように構成される DDoS防御装置 21〜27 の実行する処理について詳細に説明する。

[0067] 先ず最初に、図 5の処理フローに従って、パケット振分部 102の実行する処理について説明する。

[0068] パケット振分部 102は、図 5の処理フローに示すように、ステップ 10で、ネットワークインタフェース部 101からパケットを受信すると、ステップ 11に進んで、受信パケットをコピーし、そのコピーしたパケットを攻撃検出部 103へ転送する。

[0069] 続いて、ステップ 12で、受信パケットの情報が攻撃パケット情報 DB104に登録されているのかを判断する。

[0070] この判断処理に従って、受信パケットが攻撃パケット情報 DB104に登録されていることを判断する場合には、ステップ 13に進んで、受信パケットをコピーし、そのコピーしたパケットを停止 '再起動判定部 106へ転送する。

[0071] 続いて、ステップ 14で、攻撃パケット情報 DB104に登録されているエントリ情報（受信パケットに適合するエントリ情報）に記録される状態情報が起動中かどうかを判断する。

[0072] この判断処理に従って、受信パケットに適合するエントリ情報に記録される状態情報が起動中であることを判断する場合には、ステップ 15に進んで、受信パケットを攻撃パケット対処部 105へ転送してから、ステップ 10に戻る。

[0073] 一方、ステップ 12で、受信パケットの情報が攻撃パケット情報 DB104に登録されていないことを判断する場合には、ステップ 16に進んで、受信パケットをネットワークィンタフェース部 101へ転送してから、ステップ 10に戻る。

[0074] そして、ステップ 14で、受信パケットに適合するエントリ情報に記録される状態情報が起動中でないことを判断する場合、すなわち、停止中であることを判断する場合には、ステップ 16に進んで、受信パケットをネットワークインタフェース部 101へ転送してから、ステップ 10に戻る。

[0075] このようにして、パケット振分部 102は、ネットワークインタフェース部 101からバケツトを受信すると、その受信パケットのコピーを攻撃検出部 103へ転送するとともに、その受信パケットが攻撃パケット情報 DB104に登録されている攻撃パケットであるのか否かと!/、うことや、攻撃に対して対処を施して!/、る最中であるのか否かと!/、うこととに基づいて、その受信パケットのコピーを停止'再起動判定部 106へ転送したり、その受信パケットを攻撃パケット対処部 105へ転送したり、その受信パケットをネットワークインタフェース部 101へ転送するように処理するのである。

[0076] 次に、図 6の処理フローに従って、攻撃検出部 103の実行する処理について説明する。

[0077] 攻撃検出部 103は、図 6の処理フローに示すように、ステップ 20で、パケット振分部 102からパケットを受信すると、ステップ 21に進んで、受信パケットが攻撃パケット情報 DB104に登録されているのかを判断する。

[0078] この判断処理に従って、受信パケットが攻撃パケット情報 DB104に登録されていることを判断する場合には、ステップ 22に進んで、登録されている情報を他装置に送る力どうかを判断し (まだ送って、な、場合には〃送る"と判断し、既に送ったことがある場合には"送らない"と判断することになる）、他装置へ送ると判断した場合には、ステップ 23に進んで、登録情報を含んだ連携メッセージを装置連携部 107へ通知してから、ステップ 20に戻る。

[0079] 一方、ステップ 22で、登録されている情報を他装置に送らないと判断した場合には

、ステップ 23の処理を行わずに、直ちにステップ 20に戻る。

[0080] そして、ステップ 21で、受信パケットが攻撃パケット情報 DB104に登録されていないことを判断する場合には、ステップ 24に進んで、受信パケットから攻撃かどうかを判断する。

[0081] この判断処理に従って、受信パケットが攻撃パケットであることを判断する場合には、ステップ 25に進んで、攻撃パケット情報を生成して、その生成した攻撃パケット情報を攻撃パケット情報 DB104に登録し、続くステップ 26で、攻撃パケット情報を含めた登録メッセージを装置連携部 107へ通知してから、ステップ 20に戻る。

[0082] 一方、ステップ 24で、受信パケットが攻撃パケットでな、ことを判断する場合には、ステップ 25, 26の処理を行わずに、直ちにステップ 20に戻る。

[0083] このようにして、攻撃検出部 103は、パケット振分部 102からパケットを受信すると、その受信パケットが攻撃パケット情報 DB104に登録されている場合にあって、攻撃パケット情報を他の装置に送る必要がある場合には、連携メッセージを装置連携部 1 07へ通知し、その受信パケットが攻撃パケット情報 DB104に登録されていない場合にあって、その受信パケットが攻撃パケットである場合には、攻撃パケット情報を生成してそれを攻撃パケット情報 DB104に登録してから、登録メッセージを装置連携部 1 07へ通知するように処理するのである。

[0084] 次に、図 7の処理フローに従って、攻撃パケット対処部 105の実行する処理について説明する。

[0085] 攻撃パケット対処部 105は、図 7の処理フローに示すように、ステップ 30で、パケット振分部 102からパケットを受信すると、ステップ 31に進んで、攻撃パケット情報 DB10 4に格納される受信パケットに適合するエントリ情報を特定する。

[0086] 続、て、ステップ 32で、その特定したエントリ情報に記録されて、る対処方法を受信パケットに実施した後、続くステップ 33で、パケットを転送する必要があるの力否かを判断して、パケットを転送する必要がある場合には、ステップ 34に進んで、その対処方法を実施した受信パケットをネットワークインタフェース部 101へ転送する。

[0087] このようにして、攻撃パケット対処部 105は、パケット振分部 102からパケットを受信すると、その受信パケットに対して攻撃対策の対処方法を施してから、ネットワークィンタフェース部 101へ転送するように処理するのである。

[0088] 次に、図 8の処理フローに従って、停止'再起動判定部 106の実行する処理について説明する。

[0089] 停止 ·再起動判定部 106は、図 8の処理フローに示すように、ステップ 40で、バケツト振分部 102からパケット（このパケットは攻撃パケット情報 DB104に登録されている攻撃パケット）を受信すると、ステップ 41に進んで、攻撃パケット情報 DB104に格納される受信パケットに適合するエントリ情報を特定し、続くステップ 42で、その特定したエントリ情報に記録される状態情報が起動中であるの力否かを判断する。

[0090] この判断処理に従って、受信パケットに適合するエントリ情報に記録される状態情報が起動中であることを判断する場合には、ステップ 43に進んで、そのエントリ情報に記録される停止条件を満たすのか否かを判断して、停止条件を満たす場合には、ステップ 44に進んで、停止メッセージを装置連携部 107へ通知する。 [0091] 続いて、ステップ 45で、その特定したエントリ情報に記録される状態情報を起動中力も停止中へ変更することで攻撃パケット情報 DB104を更新して、処理を終了する

[0092] 一方、ステップ 43で、受信パケットに適合するエントリ情報に記録される停止条件を満たさないことを判断する場合には、ステップ 44, 45の処理を行わずに、直ちに処理を終了する。

[0093] そして、ステップ 42で、受信パケットに適合するエントリ情報に記録される状態情報が起動中でないことを判断する場合、すなわち、停止中であることを判断する場合には、ステップ 46に進んで、そのエントリ情報に記録される再起動条件を満たすの力否かを判断して、再起動条件を満たす場合には、ステップ 47に進んで、再起動メッセージを装置連携部 107へ通知する。

[0094] 続、て、ステップ 48で、その特定したエントリ情報に記録される状態情報を停止中力も起動中へ変更することで攻撃パケット情報 DB104を更新して、処理を終了する

[0095] 一方、ステップ 46で、受信パケットに適合するエントリ情報に記録される再起動条件を満たさないことを判断する場合には、ステップ 47, 48の処理を行わずに、直ちに処理を終了する。

[0096] このようにして、停止 ·再起動判定部 106は、パケット振分部 102から攻撃パケット情報 DB104に登録されている攻撃パケットを受信すると、対処方法を起動中（実施中）である場合には、停止条件を満たすの力否かを判断して、停止条件を満たす場合には、停止メッセージを装置連携部 107へ通知し、一方、対処方法を停止中である場合には、再起動条件を満たすのカゝ否かを判断して、再起動条件を満たす場合には、再起動メッセージを装置連携部 107へ通知するように処理するのである。

[0097] 次に、図 9及び図 10の処理フローに従って、装置連携部 107の実行する処理について説明する。

[0098] 装置連携部 107は、図 9及び図 10の処理フローに示すように、ステップ 50で、他装置から終了メッセージ (他装置の備える装置連携部 107が後述するステップ 54の処理を実行することにより送られてくる）が送られてくることを判断する場合には、ステツプ 51で、その受信した終了メッセージに含まれている攻撃パケット情報を検索キーとして装置連携情報 DB108を検索することで、装置連携情報 DB108に格納される該当するエントリ情報を特定して、その特定したエントリ情報に記録される送信先 (終了メッセージを送信してきた装置)の状態を起動中力終了 (停止と同義)へ変更する。

[0099] 続、て、ステップ 52で、その特定したエントリ情報に記録される送信先の状態（自装置の状態も含む）がすべて終了になったのか否かを判断して、すべて終了になったことを判断する場合には、ステップ 53に進んで、その特定したエントリ情報に送信元情報が登録されて、るの力否かを判断する。

[0100] このステップ 52, 53の判断処理に従って、特定したエントリ情報に記録される送信先の状態（自装置の状態も含む）がすべて終了になり、かつ、そのエントリ情報に送信元情報が登録されている場合には、ステップ 54に進んで、そのエントリ情報に記録される攻撃パケット情報を含めた終了メッセージを新規に生成して、その生成した終了メッセージを送信元情報に登録されている装置へ送信する。

[0101] そして、この終了メッセージの送信を終えると、続くステップ 55で、そのエントリ情報を装置連携情報 DB108から削除する。

[0102] このようにして、装置連携部 107は、他装置から終了メッセージが送られてくるときに、ステップ 50〜ステップ 55の処理を実行することで、自装置が攻撃パケット情報を送信したすべての装置（自装置よりも防御ラインの最前線側に位置する装置)力終了メッセージが送られてきて、かつ、自装置も対策を終了している場合には、その攻撃パケット情報を自装置に送信してきた装置 (送信元装置）に対して終了メッセージを送信するとともに、その攻撃パケット情報についてのエントリ情報を装置連携情報 D B108から削除するように処理するのである。

[0103] 一方、装置連携部 107は、ステップ 56で、停止 ·再起動判定部 106から停止メッセージが送られてくることを判断する場合には、ステップ 57で、その受信した停止メッセージに含まれている攻撃パケット情報を検索キーとして攻撃パケット情報 DB104を検索することで、該当するエントリ情報を特定して、その特定したエントリ情報を攻撃パケット情報 DB104から削除する。この削除処理によって対策の停止（終了）が行われること〖こなる。 [0104] 続、て、ステップ 58で、その受信した停止メッセージに含まれて、る攻撃パケット情報を検索キーとして装置連携情報 DB108を検索することで、装置連携情報 DB108 に格納される該当するエントリ情報を特定して、その特定したエントリ情報に記録される対応する送信先 (このルートを通る場合には自装置である）の状態を起動中から終了へ変更する。

[0105] 続いて、ステップ 52で、その特定したエントリ情報に記録される送信先の状態（自装置の状態も含む）がすべて終了になったのか否かを判断して、すべて終了になったことを判断する場合には、ステップ 53に進んで、その特定したエントリ情報に送信元情報が登録されて、るの力否かを判断する。

[0106] このステップ 52, 53の判断処理に従って、特定したエントリ情報に記録される送信先の状態（自装置の状態も含む）がすべて終了になり、かつ、そのエントリ情報に送信元情報が登録されている場合には、ステップ 54に進んで、そのエントリ情報に記録される攻撃パケット情報を含めた終了メッセージを新規に生成して、その生成した終了メッセージを送信元情報に登録されている装置へ送信する。

[0107] そして、この終了メッセージの送信を終えると、続くステップ 55で、そのエントリ情報を装置連携情報 DB108から削除する。

[0108] このようにして、装置連携部 107は、自装置の停止 ·再起動判定部 106から停止メッセージが送られてくるときに、ステップ 56〜ステップ 58Zステップ 52〜ステップ 55 の処理を実行することで、自装置が攻撃パケット情報を送信したすべての装置（自装置よりも防御ラインの最前線側に位置する装置)から終了メッセージが送られてきて、かつ、自装置も対策を終了している場合には、その攻撃パケット情報を自装置に送信してきた装置 (送信元装置）に対して終了メッセージを送信するとともに、その攻撃パケット情報についてのエントリ情報を装置連携情報 DB108から削除するように処理するのである。

[0109] 一方、装置連携部 107は、ステップ 59で、他装置から連携メッセージ (他装置の備える装置連携部 107が後述するステップ 65の処理を実行することにより送られてくる）が送られてくることを判断する場合には、ステップ 60で、その受信した連携メッセージに含まれて、る攻撃パケット情報と、その受信した連携メッセージの送信元を送信元情報として設定したものとを装置連携情報 DB108に登録する。

[0110] 続いて、ステップ 61で、その攻撃パケット情報を攻撃パケット情報 DB104に登録する。

[0111] このようにして、装置連携部 107は、ステップ 59〜ステップ 61の処理を実行することで、他装置力も送られてくる連携メッセージに基づいて、装置連携情報 DB108に新たな装置連携情報を登録するとともに、攻撃パケット情報 DB104に新たな攻撃パケット情報を登録するように処理するのである。

[0112] 一方、装置連携部 107は、ステップ 62で、攻撃検出部 103から登録メッセージが送られてくることを判断する場合には、ステップ 63で、その受信した登録メッセージに含まれている攻撃パケット情報を装置連携情報 DB108に登録する。

[0113] このようにして、装置連携部 107は、ステップ 62〜ステップ 63の処理を実行することで、攻撃検出部 103から送られてくる登録メッセージに基づいて、装置連携情報 DB 108に新たな攻撃パケット情報を登録するように処理するのである。

[0114] 一方、装置連携部 107は、ステップ 64で、攻撃検出部 103から連携メッセージが送られてくることを判断する場合には、ステップ 65で、その受信した連携メッセージを他装置へ送信する。

[0115] 続いて、ステップ 66で、その受信した連携メッセージに含まれている攻撃パケット情報を検索キーとして装置連携情報 DB108を検索することで、該当するエントリ情報を特定して、その特定したエントリ情報に記録される送信先情報に、連携メッセージを送信した他装置の情報を書き加えることで装置連携情報 DB108を更新する。

[0116] このようにして、装置連携部 107は、ステップ 64〜ステップ 66の処理を実行することで、攻撃検出部 103から送られてくる連携メッセージを他装置に送信して、それに基づいて、装置連携情報 DB108に格納される装置連携情報を更新するように処理するのである。

[0117] 一方、装置連携部 107は、ステップ 67で、停止 '再起動判定部 106から再起動メッセージが送られてくることを判断する場合には、ステップ 68で、その受信した再起動メッセージに含まれている攻撃パケット情報を検索キーとして装置連携情報 DB108 を検索することで、該当するエントリ情報を特定して、その特定したエントリ情報に記録される送信先情報にある自装置の状態を終了から起動中へ変更する。

[0118] 続いて、ステップ 69で、その受信した再起動メッセージに含まれている攻撃パケット情報を攻撃パケット情報 DB104に登録する。

[0119] このようにして、装置連携部 107は、ステップ 67〜ステップ 69の処理を実行することで、攻撃に対しての対策の再実施を実行するように処理するのである。

[0120] このようにして、本発明によれば、各ネットワーク攻撃対策装置が攻撃対策の停止処理を行うことにより、各装置が自律的に判断して攻撃対策を停止する場合でも、防御しているネットワークに対して穴を作ることなぐ攻撃対策を行っている装置および攻撃の再開に備えてヽる装置の存在する範囲を収束してヽくことができるようになる。そして、攻撃が再開した場合にも、収束途中の装置において即座に対処可能であり

、その装置力攻撃情報を再通知することにより防御範囲を拡大することができるようになる。

[0121] 以上の各処理手段が動作することで実現される本発明のネットワーク攻撃対策方法はコンピュータプログラムでも実現できるものであり、このコンピュータプログラムは、適当な記録媒体に記録して提供されたり、ネットワークを介して提供され、本発明を実施する際にインストールされて CPUなどの制御手段上で動作することにより本発明を実現することになる。

Claims

請求の範囲

[1] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置で実行されるネットワーク攻撃対策方法であって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の再開に備えて、る力ある、は攻撃の対策を停止して通常状態に復帰して、るかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判定工程と、前記判定工程によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰工程と、

前記判定工程によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え工程と、を含んだことを特徴とするネットワーク攻撃対策方法。

[2] 前記判定工程は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 1に記載のネットワーク攻撃対策方法。

[3] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知工程をさらに含み、前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 1または 2に記載のネットワーク攻撃対策方法。

[4] 前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要力いと判定することを特徴とする請求項 3に記載のネットワーク攻撃対策方法。

[5] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知工程をさらに含み、前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする請求項 3または 4に記載のネットワーク攻撃対策方法。

[6] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置であって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の再開に備えて、る力ある、は攻撃の対策を停止して通常状態に復帰して、るかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手段と、前記判定手段によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰手段と、

前記判定手段によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手段と、を備えたことを特徴とするネットワーク攻撃対策装置。

[7] 前記判定手段は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 6に記載のネットワーク攻撃対策装置。

[8] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知手段をさらに備え、前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 6または 7に記載のネットワーク攻撃対策装置。

[9] 前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要力いと判定することを特徴とする請求項 8に記載のネットワーク攻撃対策装置。

[10] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手段をさらに備え、

前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする請求項 8または 9に記載のネットワーク攻撃対策装置。

[11] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装置で実行されるネットワーク攻撃対策プログラムであって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の再開に備えて、る力ある、は攻撃の対策を停止して通常状態に復帰して、るかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手順と、前記判定手順によって攻撃の再開に備える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に復帰する復帰手順と、

前記判定手順によって攻撃の再開に備える必要があると判定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手順と、をコンピュータに実行させることを特徴とするネットワーク攻撃対策プログラム。

[12] 前記判定手順は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 11に記載のネットワーク攻撃対策プログラム。

[13] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃についての情報を通知する攻撃通知手順をさらにコンビユータに実行させ、

前記判定手順は、前記攻撃につ!、ての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする請求項 11または 12に記載のネットワーク攻撃対策プログラム。

[14] 前記判定手順は、前記攻撃についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする請求項 13に記載のネットワーク攻撃対策プロダラム。

[15] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手順をさらにコンピュータに実行させ、

前記判定手順は、前記攻撃につ!、ての情報の通知先である他のネットワーク攻撃対策装置の全て力通常状態に復帰した旨の通知を受け取った場合に、前記攻撃の再開に備える必要がないと判定することを特徴とする請求項 13または 14に記載のネットワーク攻撃対策プログラム。