WO2023195090A1

WO2023195090A1 - 不正アクセスをブロックするためのネットワーク管理

Info

Publication number: WO2023195090A1
Application number: PCT/JP2022/017145
Authority: WO
Inventors: 嘉岡田
Original assignee: 楽天モバイル株式会社
Priority date: 2022-04-06
Filing date: 2022-04-06
Publication date: 2023-10-12
Also published as: US20240179120A1

Abstract

通信制御装置（１０）は、受信処理と、カウント処理と、決定処理を行う。前記受信処理は、所定のサーバへ問合せするための要求パケットを受信する処理である。前記カウント処理は、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行う処理である。前記決定処理は、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する処理である。

Description

不正アクセスをブロックするためのネットワーク管理

　本開示は、不正アクセスをブロックするためのネットワーク管理に関する。

　近年、インターネット上のウェブサーバ、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）サーバ、メールサーバ等の各種サーバに対して大量の無効な要求を送り付けて、サーバの負荷を高めてサーバをダウンさせるＤｏＳ（Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ　ａｔｔａｃｋ）攻撃が問題となっている。このような問題に対処するために、例えば、送信元のアドレスに基づいて所定のネットワークマスク（プレフィックス長）でカウントを行い、所定の閾値を超えたカウント数に対応するアドレスを特定し、当該アドレスからパケットを受信しないよう制御する技術が提案されている（特許文献１）。

特開２００５－２１０６０１号公報

　特許文献１に開示される技術では、所定の閾値を超えたカウント数に対応するネットワークマスクのアドレスによるアクセスが制限できるが、当該ネットワークマスクの長さが短い場合は、より広いエリアに属するアドレスによるアクセスが制限されてしまう。これにより、不正アクセスに関係ない多数のユーザによるアクセスが制限され、結果として、ユーザの利便性が低下するという問題があった。
　また、ＩＰｖ４（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎ　４）によるアドレス使用時では、不正アクセスに対して、アドレス指定のフィルタリングが可能であったが、ＩＰｖ６によるアドレス使用時では、従来のようなフィルタリングは実質的に有効ではない。すなわち、ＩＰｖ６では、扱うアドレスの数が膨大であり、従来のようなアドレス指定のフィルタリングは実質的に不可能であるという問題があった。

　本開示では、このような課題に鑑みて、不正アクセスを行っているアドレスの領域を適切に決定するための技術を提供する。

　上記課題を解決するために、本開示の一態様による通信制御装置は、１以上のプロセッサを備え、前記１以上のプロセッサの少なくとも一つによって、受信処理と、カウント処理と、決定処理が実行される。前記受信処理は、所定のサーバへ問合せするための要求パケットを受信する処理である。前記カウント処理は、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行う処理である。前記決定処理は、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する処理である。

　上記課題を解決するために、本開示の一態様による通信制御方法は、所定のサーバへ問合せするための要求パケットを受信し、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウント処理を行い、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する、ことを含む。

　上記課題を解決するために、本開示の一態様による記憶媒体は、プログラムを記憶するコンピュータ可読記憶媒体であって、前記プログラムは、通信制御装置の１つ以上のプロセッサによって実行されたときに、前記通信制御装置に、受信処理と、カウント処理と、決定処理を実行させる命令を含む。前記受信処理は、所定のサーバへ問合せするための要求パケットを受信する処理である。前記カウント処理は、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行う処理である。前記決定処理は、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する処理である。

　本開示の技術によれば、不正アクセスを行っているアドレスの領域を適切に決定することが可能となる。

図１は、本開示の実施形態による通信システムの構成例を示す。図２は、本開示の実施形態による通信制御装置の機能構成例を示す。図３は、本開示の実施形態による通信制御装置のハードウェア構成例を示す図である。図４は、本開示の実施形態による通信制御装置により実行される処理のフローチャートを示す。図５は、要求パケットのカウント処理を説明するための概念図である。図６は、不正な要求パケットか否かの判定および送信／ブロックの処理の流れを示すフローチャートである。

　以下、添付図面を参照して、本開示の実施形態について詳細に説明する。以下に開示される構成要素のうち、同一機能を有するものには同一の符号を付し、その説明を省略する。なお、以下に開示される実施形態は、本開示の一形態であり、装置の構成や各種条件によって適宜修正または変更されるべきものであり、以下の実施形態のみに限定されるものではない。また、本実施形態で説明されている特徴の組み合わせの全てが上記課題の解決手段に必須のものとは限らない。

　（通信システムの構成）
　図１に、本実施形態による通信システムの構成例を示す。本通信システムは、その一例として、図１に示すように、ユーザ装置１ａ～１ｃ、通信制御装置１０、および通信サーバ装置２０を含んで構成される。ユーザ装置１ａ～１ｃと通信制御装置１０間、および通信制御装置１０と通信サーバ装置２０間は、有線、無線を問わず、通信媒体を介して、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）に従うパケット伝送を含むデータ伝送を行うことが可能な通信網で接続されているものとする。

　図１では３台のユーザ装置１ａ～１ｃが示されているが、ユーザ装置の数は特定の数に限定されない。また、以下の説明において、特に説明がない限り、ユーザ装置１ａ～１ｃをユーザ装置１と総称する。また、以下の説明において、ユーザ装置という語と当該ユーザ装置を使用するユーザという語は、同義に使用されうる。

　通信サーバ装置２０は、例えば、インターネット上のウェブサーバ、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）サーバ、メールサーバである。通信サーバ装置２０は、ユーザ装置１から通信制御装置１０を介して、所定の問合せするための要求パケットを受信したことに応じて、当該要求に対応する応答を返すように構成されている。

　本実施形態では、通信サーバ装置２０は、ＤＮＳサーバであるものとし、ドメイン名（インターネット上の住所）とＩＰアドレスとを対応付けて管理している。ユーザ装置１は、当該ユーザ装置１がアクセスするドメイン名に対応するＩＰアドレスを、通信サーバ装置２０に問合せするために、当該ドメイン名の情報を含む要求パケット（以下、単に要求パケットと称す）を送信する。通信制御装置１０は、受信した当該要求パケットを通信サーバ装置２０へ送信する。通信サーバ装置２０は、ユーザ装置１から通信制御装置１０を介して当該要求パケットを受信し、当該ドメイン名に対応するＩＰアドレスを応答パケットに含めて、当該ユーザ装置１に返すことができる。

　端末装置１は、ユーザ装置（Ｕｓｅｒ　Ｅｑｕｉｐｍｅｎｔ（ＵＥ））、移動局（Ｍｏｂｉｌｅ　Ｓｔａｔｉｏｎ（ＭＳ））、移動局装置、移動端末、加入者ユニット、加入者局、ワイヤレス端末、移動体デバイスなどの移動型又は固定型のユーザ端機器を総称するものとする。また、端末装置１は、セルラ電話機、スマートフォン、パーソナルデジタルアシスタント（ＰＤＡ）、タブレット、ラップトップ、ハンドヘルド通信デバイス、ハンドヘルドコンピューティングデバイス、衛星ラジオ、ワイヤレスモデムカード、ＣＰＥ（Ｃｕｓｔｏｍｅｒ　Ｐｒｅｍｉｓｅｓ　Ｅｑｕｉｐｍｅｎｔ）といったデバイスであってもよい。

　（通信制御装置の機能構成）
　本実施形態による通信制御装置１０は、ユーザ装置１から当該ユーザ装置がアクセスするドメイン名の情報を含む要求パケットを受信し、当該要求パケットを通信サーバ装置２０へ送信することができる。ユーザ装置１ａ～１ｃはそれぞれ、任意のタイミングで当該要求パケットを送信することができる。本実施形態では、ユーザ装置１ａ～１ｃのユーザのうち、悪意のあるユーザが存在すると想定する。具体的には、当該悪意のあるユーザは、一定時間内に大量の要求パケットを通信サーバ装置２０へ送り付けて、通信サーバ装置２０の負荷を高めて、実質的にサービスを利用不可にするＤｏＳ（Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ　ａｔｔａｃｋ）攻撃を仕掛けうる。このような攻撃に対処するために、通信制御装置１０は、受信した要求パケットの内容および数を解析することにより、不正な要求であると判断した場合には、当該要求パケットをブロックする。すなわち、通信制御装置１０は、当該要求パケットを通信サーバ装置２０へ送信しないように制御する。

　図２に、本実施形態による通信制御装置１０の機能構成例を示す。
　図２に示す通信制御装置１０は、受信部２１、カウント部２２、判定部２３、送信部２４、およびブロック部２５を有する。

　受信部２１は、ユーザ装置１から、当該ユーザ装置１がアクセスするドメイン名の情報を含む要求パケットを受信する。当該要求パケットには、ドメイン名の情報のほか、送信元アドレス、宛先アドレス等が含まれている。

　カウント部２２は、受信部２１により受信された要求パケットについて、送信元アドレスに基づいて、当該パケットの数をカウントする。具体的には、カウント部２２は、複数のプレフィックス長を任意に指定（設定）する。そして、カウント部２２は、当該任意に指定した複数のプレフィックス長に基づき、送信元アドレスを含む要求パケットの数をカウントする。プレフィックス長とは、送信元アドレスであるＩＰアドレスの先頭から何ビット目までがネットワークアドレスを表すかを示す長さ（数値）、すなわち、ネットワークアドレス部分を示し、／ｘｘ（ｘｘは長さ）で表される。長さが短いほど（数値が小さいほど）、より広域なネットワークを表す。カウント部２２の処理については後述する。

　判定部２３は、カウント部２２によりカウントされたパケット数を所定の閾値と比較することにより、受信された要求パケットが不正な要求パケットか否かを判定する。本実施形態では、判定部は、任意の時点から一定時間の間の受信回数（パケット数）に基づいて、当該判定を行う。よって、閾値は、一定時間におけるパケット数で規定される。当該閾値は、経験やポリシーに従って、通信システムにおいて予め設定されていてもよいし、操作者によって入力部（図３の入力部３５）を介して設定されてもよい。また、判定部２３は、設定された閾値を、ネットワーク環境の変化に応じて、変更してもよい。当該判定部２３の判定処理については後述する。

　送信部２４は、受信部２１により受信された要求パケットを、通信サーバ装置２０へ送信する。ただし、判定部２３により、当該要求パケットが不正な要求パケットであると判定された場合には、当該パケットを通信サーバ装置２０へ送信しない。

　ブロック部２５は、判定部２３により、当該要求パケットが不正な要求パケットであると判定された場合には、当該パケットの送信元からの通信サーバ装置２０へのアクセスをブロックする（受信しない）処理を行う。例えば、ブロック部２５は、当該パケットを破棄することができる。また、ブロック部２５は、当該不正な要求パケットの送信元の情報を、不正要求の送信元として、外部の装置へ通知するように構成されてもよい。

　（通信制御装置のハードウェア構成）
　図３に、本実施形態による通信制御装置１０のハードウェア構成例を示す。
　本実施形態による通信制御装置１０は、単一または複数の、あらゆるコンピュータ、または他のいかなる処理プラットフォーム上にも実装することができる。通信制御装置１０は、クラウドを構成する汎用サーバ装置に実装されてもよく、専用のサーバ装置に実装されてもよい。
　図３を参照して、通信制御装置１０は、単一のコンピュータに実装される例が示されているが、本実施形態による通信制御装置１０は、複数のコンピュータを含むコンピュータシステムに実装されてよい。複数のコンピュータは、有線または無線のネットワークにより相互通信可能に接続されてよい。

　図３に示すように、通信制御装置１０は、ＣＰＵ３１と、ＲＯＭ３２と、ＲＡＭ３３と、ＨＤＤ３４と、入力部３５と、表示部３６と、通信Ｉ／Ｆ３７と、システムバス３８とを備えてよい。通信制御装置１０はまた、外部メモリを備えてよい。
　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）３１は、１つ以上のプロセッサにより構成され、通信制御装置１０における動作を統括的に制御するものである。ＣＰＵ３１は、データ伝送路であるシステムバス３８を介して、各構成部（３２～３７）を制御する。

　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）３２は、ＣＰＵ３１が処理を実行するために必要な制御プログラム等を記憶する不揮発性メモリである。なお、当該プログラムは、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）３４、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の不揮発性メモリや着脱可能な記憶媒体（不図示）等の外部メモリに記憶されていてもよい。
　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）３３は、揮発性メモリであり、ＣＰＵ３１の主メモリ、ワークエリア等として機能する。すなわち、ＣＰＵ３１は、処理の実行に際してＲＯＭ３２から必要なプログラム等をＲＡＭ３３にロードし、当該プログラム等を実行することで各種の機能動作を実現する。

　ＨＤＤ３４は、例えば、ＣＰＵ３１がプログラムを用いた処理を行う際に必要な各種データや各種情報等を記憶している。また、ＨＤＤ３４には、例えば、ＣＰＵ３１がプログラム等を用いた処理を行うことにより得られた各種データや各種情報等が記憶される。
　入力部３５は、キーボードやマウス等のポインティングデバイスにより構成される。
　表示部３６は、液晶ディスプレイ（ＬＣＤ）等のモニターにより構成される。表示部３６は、各種パラメータや、他の装置との通信で使用される通信パラメータ等を通信装置へ指示入力するためのＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）を提供してよい。
　通信Ｉ／Ｆ３７は、通信制御装置１０と外部装置との通信を制御するインタフェースである。

　図２に示す通信制御装置１０の機能構成の各要素のうち少なくとも一部の機能は、ＣＰＵ３１を構成する１つ以上のプロセッサの少なくとも一つがプログラムを実行することで実現することができる。ただし、通信制御装置１０の機能構成の各要素のうち少なくとも一部が専用のハードウェアとして動作するようにしてもよい。この場合、専用のハードウェアは、ＣＰＵ３１の制御に基づいて動作する。

　（処理の流れ）
　次に、図４を参照して、本実施形態における処理の流れについて説明する。図４は、本実施形態による通信制御装置１０により実行される処理のフローチャートを示す。以下、図４の処理について、図１に示す通信システムの構成例を参照して説明する。
　なお、図４に示すフローチャートは、通信制御装置１０のＣＰＵ３１がＲＯＭ３２やＲＡＭ３３に記憶されている制御プログラムを実行し、情報の演算および加工並びに各ハードウェアの制御を実行することにより実現されうる。

　Ｓ４１において、受信部２１は、ユーザ装置１ａ～１ｃの少なくともいずれかから要求パケットを受信すると（Ｓ４１でＹｅｓ）、処理はＳ４２へ進む。要求パケットは、上記のように、当該ユーザ装置がアクセスするドメイン名の情報、当該パケットの送信元情報としての当該ユーザ装置のＩＰアドレス、宛先アドレスが少なくとも含まれる。

　Ｓ４２において、カウント部２２は、受信部２１により受信された要求パケットについて、任意に指定した複数のプレフィックス長に基づき、複数の段階でカウントを行う。カウント処理について、図５を参照して説明する。図５は、本実施形態による要求パケットのカウント処理を説明するための概念図である。

　図５は、図１に示す通信システムにおけるユーザ装置１ａが要求パケットを通信制御装置１０に送信する例を示している。ユーザ装置１ａが要求パケットを送信するために用いる送信元アドレスとしてのＩＰアドレスを管理する最も小さいネットワークを、第１ネットワーク５１（プレフィックス長＝６４）とする。また、第１ネットワーク５１を包含するネットワークを、第２ネットワーク５２（プレフィックス長＝４４）とする。また、第２ネットワーク５２を包含するネットワークを、第３ネットワーク５３（プレフィックス長＝３２）とする。第１ネットワーク５１、第２ネットワーク５２、第３ネットワーク５３の順に、ネットワーク範囲が大きくなる。なお、図５に示す各ネットワークに対するプレフィックス長は一例であり、カウント部２２により任意に指定可能である。

　このような構成の場合、カウント部２２は、送信元のＩＰアドレスおよび異なるプレフィックス長（図５の例では６４、４４、および３２）に応じた複数の段階で、受信された要求パケットをカウントする。図５の例では、カウント部２２は、送信元のＩＰアドレスからの要求パケットのカウント（不図示）、第１ネットワーク５１（プレフィックス長が６４のアドレス領域）からの要求パケットのカウントＣ１、第２ネットワーク５２（プレフィックス長が４４のアドレス領域）からの要求パケットのカウントＣ２、第３ネットワーク５３（プレフィックス長が３２のアドレス領域）からの要求パケットのカウントＣ３を行う。カウント部２２による要求パケットのカウント後、処理はＳ４３へ進む。

　Ｓ４３では、判定部２３は、一定時間の間でカウント部２２によりカウントされたパケット数（カウント値）に基づき、受信された要求パケットが不正な要求パケットか否かを判定する。そして、当該判定に従って、送信部２４が、当該要求パケットを通信サーバ装置２０へ送信する、または、ブロック部２５が、当該要求パケットの送信元からのアクセスをブロックするための制御を行う。

　Ｓ４３の処理の流れを、図６を参照して説明する。図６は、不正な要求パケットか否かの判定および送信／ブロックの処理の流れを示すフローチャートである。当該判定のために、第１～第４閾値が使用される。前述のように、当該閾値は、通信システムにおいて予め設定されていてもよいし、操作者によって入力部３５を介して設定されてもよい。また、判定部２３は、設定された閾値を、ネットワーク環境の変化に応じて、変更してもよい。

　図６では、一例として、第１～第４閾値は、１秒間に許容される受信要求パケット数とし、第１閾値＝１００、第２閾値＝１００，０００、第３閾値＝３，０００，０００、第４閾値＝１，０００，０００，０００に設定されているものとする。このように、第１～第４閾値は、この順に大きい値となるように設定することができる。

　Ｓ６１では、判定部２３は、送信元のＩＰアドレスからの要求パケットの数が、第１閾値より大きいか否かを判定する。送信元のＩＰアドレスからの要求パケットの数が第１閾値より大きい場合（Ｓ６１でＹｅｓ）、判定部２３は、当該要求パケットは不正な要求パケットであると判定する。すなわち、判定部２３は、送信元のＩＰアドレスは不正アクセスを行っているアドレスであると決定する。これに応じて、Ｓ６２において、ブロック部２５は、当該要求パケットの送信元のＩＰアドレスからのアクセスをブロックするための制御を行う。送信元のＩＰアドレスからの要求パケットの数が第１閾値以下の場合（Ｓ６１でＮｏ）、処理はＳ６３へ進む。

　Ｓ６３では、判定部２３は、送信元のＩＰアドレスを含むプレフィックス長が６４のアドレスからの要求パケットの数が、第２閾値より大きいか否かを判定する。当該プレフィックス長が６４のＩＰアドレスからの要求パケットの数が第２閾値より大きい場合（Ｓ６３でＹｅｓ）、判定部２３は、当該要求パケットは不正な要求パケットであると判定する。すなわち、判定部２３は、当該プレフィックス長が６４のＩＰアドレスは不正アクセスを行っているアドレス領域であると決定する。これに応じて、Ｓ６４において、ブロック部２５は、当該プレフィックス長が６４のアドレス（当該決定されたアドレス領域に属するアドレス）からのアクセスをブロックするための制御を行う。送信元のＩＰアドレスからの要求パケットの数が第２閾値以下の場合（Ｓ６３でＮｏ）、処理はＳ６５へ進む。

　Ｓ６５では、判定部２３は、送信元のＩＰアドレスを含むプレフィックス長が４４のアドレスからの要求パケットの数が、第３閾値より大きいか否かを判定する。当該プレフィックス長が４４のＩＰアドレスからの要求パケットの数が第３閾値より大きい場合（Ｓ６５でＹｅｓ）、判定部２３は、当該要求パケットは不正な要求パケットであると判定する。すなわち、判定部２３は、当該プレフィックス長が４４のＩＰアドレスは不正アクセスを行っているアドレス領域であると決定する。これに応じて、Ｓ６６において、ブロック部２５は、当該プレフィックス長が４４のアドレス（当該決定されたアドレス領域に属するアドレス）からのアクセスをブロックするための制御を行う。送信元のＩＰアドレスからの要求パケットの数が第３閾値以下の場合（Ｓ６５でＮｏ）、処理はＳ６７へ進む。

　Ｓ６７では、判定部２３は、送信元のＩＰアドレスを含むプレフィックス長が３２のアドレスからの要求パケットの数が、第４閾値より大きいか否かを判定する。当該プレフィックス長が３２のＩＰアドレスからの要求パケットの数が第４閾値より大きい場合（Ｓ６７でＹｅｓ）、判定部２３は、当該要求パケットは不正な要求パケットであると判定する。すなわち、判定部２３は、当該プレフィックス長が３２のＩＰアドレスは不正アクセスを行っているアドレス領域であると決定する。これに応じて、Ｓ６８において、ブロック部２５は、当該プレフィックス長が３２のアドレス（当該決定されたアドレス領域に属するアドレス）からのアクセスをブロックするための制御を行う。送信元のＩＰアドレスからの要求パケットの数が第４閾値以下の場合（Ｓ６７でＮｏ）、処理はＳ６８へ進む。

　処理がＳ６８へ進んだ場合、判定部２３は、当該要求パケットは、不正な要求パケットでないと判定することができる。この場合、送信部２４は、当該要求パケットを通信サーバ装置２０へ送信することができる。図６の処理がエンドに進むと、図４の処理も終了する。

　このように、本実施形態による通信制御装置１０は、受信した要求パケットが不正な要求パケットか否か、すなわち、受信したパケットが不正アクセスによるものか否かを、送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントする。当該複数の段階は、通信制御装置１０が任意に指定することができる。そして、通信制御装置１０は、当該カウント値が所定の閾値を超えたか否か判定する。具体的には、通信制御装置１０は、カウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域と決定する。これにより、不正アクセスを行っているアドレスの領域を適切に決定でき、不必要に広い範囲からのアクセスをブロックすることを回避することができる。

　また、通信制御装置１０は、当該複数の段階を任意に指定することが可能なように構成されることにより、特定のルートを対象としたフィルタリング（ルートフィルタリング）とは異なり、フィルタリングするアドレス範囲を柔軟に決定することが可能となる。これにより、セキュアなネットワークをより柔軟に構築することが可能となる。

　また、アドレスの数が膨大であるＩＰｖ６によるアドレスを用いる場合であっても、有効に不正アクセスのアドレス（アドレス領域）に対するフィルタリングを行うことが可能となる。

　なお、ブロック部２５は、図６におけるＳ６２、Ｓ６４、Ｓ６６、Ｓ６８の処理に応じて所定または所定範囲のアドレスからのアクセスをブロックした場合、一定時間（例えば、１０分）はその状態を保持し、その後、一時的にブロックを解除してもよい。あるいは、操作者が入力部３５を介してブロック部２５によるブロック状態を解除してもよい。

　なお、上記実施形態では、ユーザ装置１と通信制御装置１０が直接的に接続される例を示したが、ユーザ装置１と通信制御装置１０との間に、ＩＰソースガード（不図示）を配置するように通信システムを構成してもよい。ＩＰソースガードは、ＩＰアドレスのなりすましを防止できる機能を備えた装置である。具体的には、ＩＰソースガードは、所定のテーブルを用いて、送信元アドレスをフィルタリングし、不正な送信元アドレスからのアクセスを排除する機能を有する。ＩＰソースガードを配置することにより、通信制御装置１０へ到達する要求パケットの送信元ＩＰアドレスが絞られ、カウント部２２のカウント処理および判定処理の負荷が軽減されうる。

　上記説明では、主に、単独の攻撃元からの攻撃（ＤｏＳ攻撃）に対処することが可能な実施形態について説明したが、本実施形態は、不正アクセスか否かの判定に用いる各閾値の設定により、複数の攻撃元からの攻撃（ＤＤｏｓ攻撃）にも対処可能である。

　本開示の態様は、プログラムを記憶するコンピュータ可読記憶媒体を含むことができ、ここでは、当該プログラムが、通信制御装置１０のＣＰＵ３１（１つ以上のプロセッサの少なくとも一つ）によって実行されたときに、通信制御装置１０に前述の方法のうちの少なくともいずれかを実行させる命令を含む。

　なお、上記において特定の実施形態が説明されているが、当該実施形態は単なる例示であり、本開示の範囲を限定する意図はない。本明細書に記載された装置及び方法は上記した以外の形態において具現化することができる。また、本開示の範囲から離れることなく、上記した実施形態に対して適宜、省略、置換及び変更をなすこともできる。かかる省略、置換及び変更をなした形態は、請求の範囲に記載されたもの及びこれらの均等物の範疇に含まれ、本開示の技術的範囲に属する。

　（本開示の実施形態）
　本開示は以下の実施形態を含む。
［１］１以上のプロセッサを備え、前記１以上のプロセッサの少なくとも一つによって、所定のサーバへ問合せするための要求パケットを受信する受信処理と、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行うカウント処理と、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する決定処理と、が実行される通信制御装置。

　［２］前記カウント処理は、前記複数の段階を指定する処理を含む［１］に記載の通信制御装置。

　［３］要求パケットは、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）に従うパケットで構成され、前記カウント処理は、前記複数の段階として、異なるプレフィックス長に対してカウントを行う［１］または［２］に記載の通信制御装置。

　［４］前記所定の閾値は、一定時間の間の所定の回数として設定される［１］から［３］のいずれかに記載の通信制御装置。

　［５］前記所定の閾値は、前記複数の段階のそれぞれで異なるように設定される［１］から［４］のいずれかに記載の通信制御装置。

　［６］前記所定のサーバは、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）サーバである［１］から［５］のいずれかに記載の通信制御装置。

　［７］前記１以上のプロセッサの少なくとも一つによって、前記決定処理により決定されたアドレス領域に属するアドレスから送信された前記要求パケットを受信しないように制御する制御処理、がさらに実行される［１］から［６］のいずれかに記載の通信制御装置。

　［８］所定のサーバへ問合せするための要求パケットを受信し、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウント処理を行い、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する、ことを含む通信制御方法。

　［９］プログラムを記憶するコンピュータ可読記憶媒体であって、前記プログラムは、通信制御装置の１つ以上のプロセッサによって実行されたときに、前記通信制御装置に、所定のサーバへ問合せするための要求パケットを受信する受信処理と、前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行うカウント処理と、前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する決定処理と、を実行させる命令を含む記憶媒体。

１ａ～１ｃ：ユーザ装置、１０：通信制御装置、２０：サーバ装置、２１：受信部、２２：カウント部、２３：判定部、２４：送信部、２５：ブロック部

Claims

　１以上のプロセッサを備え、
　前記１以上のプロセッサの少なくとも一つによって、
　　所定のサーバへ問合せするための要求パケットを受信する受信処理と、
　　前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行うカウント処理と、
　　前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する決定処理と、
が実行される、
　ことを特徴とする通信制御装置。
　前記カウント処理は、前記複数の段階を指定する処理を含むことを特徴とする請求項１に記載の通信制御装置。
　前記要求パケットは、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）に従うパケットで構成され、
　前記カウント処理は、前記複数の段階として、異なるプレフィックス長に対してカウントを行うことを特徴とする請求項１に記載の通信制御装置。
　前記所定の閾値は、一定時間の間の所定の回数として設定されることを特徴とする請求項１に記載の通信制御装置。
　前記所定の閾値は、前記複数の段階のそれぞれで異なるように設定されることを特徴とする請求項１に記載の通信制御装置。
　前記所定のサーバは、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）サーバであることを特徴とする請求項１に記載の通信制御装置。
　前記１以上のプロセッサの少なくとも一つによって、
　　前記決定処理により決定されたアドレス領域に属するアドレスから送信された前記要求パケットを受信しないように制御する制御処理、がさらに実行されることを特徴とする請求項１に記載の通信制御装置。
　所定のサーバへ問合せするための要求パケットを受信し、
　前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウント処理を行い、
　前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する、
ことを含むことを特徴とする通信制御方法。
　プログラムを記憶するコンピュータ可読記憶媒体であって、前記プログラムは、通信制御装置の１つ以上のプロセッサによって実行されたときに、前記通信制御装置に、
　所定のサーバへ問合せするための要求パケットを受信する受信処理と、
　前記要求パケットの送信元のアドレスに基づいて、前記送信元のアドレスを含む異なる範囲のアドレス領域に対応する複数の段階でカウントを行うカウント処理と、
　前記複数の段階のうち、前記カウント処理によるカウント値が所定の閾値を超えた段階に対応するアドレス領域を、不正アクセスを行っているアドレス領域として決定する決定処理と、
を実行させる命令を含むことを特徴とする記憶媒体。