[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4278593B2 - Protection method against application denial of service attack and edge router - Google Patents

Protection method against application denial of service attack and edge router Download PDF

Info

Publication number
JP4278593B2
JP4278593B2 JP2004280857A JP2004280857A JP4278593B2 JP 4278593 B2 JP4278593 B2 JP 4278593B2 JP 2004280857 A JP2004280857 A JP 2004280857A JP 2004280857 A JP2004280857 A JP 2004280857A JP 4278593 B2 JP4278593 B2 JP 4278593B2
Authority
JP
Japan
Prior art keywords
attack
packet
address
packets
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004280857A
Other languages
Japanese (ja)
Other versions
JP2006100874A (en
Inventor
太一 長田
斉 金子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004280857A priority Critical patent/JP4278593B2/en
Publication of JP2006100874A publication Critical patent/JP2006100874A/en
Application granted granted Critical
Publication of JP4278593B2 publication Critical patent/JP4278593B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IP(Internet Protocol)ネットワークにおけるDoS(Denial of Service)攻撃あるいはDDoS(Distributed Denial of Service)攻撃に対する防御に利用する。特に、インターネット・セキュリティを向上させる技術に関する。   The present invention is used for defense against a DoS (Denial of Service) attack or a DDoS (Distributed Denial of Service) attack in an IP (Internet Protocol) network. In particular, it relates to technology for improving Internet security.

SIP(Session initiation Protocol)サーバなどの各種エンドノードのレイヤ5以上の処理に対し行われるDoS/DDoS攻撃から当該サーバを保護する対策としては、従来、(1)当該サーバ自身が当該攻撃を検知し、検知したトラヒックを排除する、(2)当該保護対象のサーバの手前にファイヤウォールまたはIDS(Intrusion Detection System)、IDP(Intrusion Detection Prevention)を設置し、レイヤ5以上の情報を分析することにより、当該攻撃を検知し、検知したトラヒックを排除する方策が採られている。   Conventionally, as a countermeasure for protecting the server from a DoS / DDoS attack performed on layer 5 or higher processing of various end nodes such as a SIP (Session initiation Protocol) server, conventionally, (1) the server itself detects the attack. (2) By installing a firewall, IDS (Intrusion Detection System), IDP (Intrusion Detection Prevention) in front of the server to be protected, and analyzing layer 5 or higher information, Measures are taken to detect the attack and eliminate the detected traffic.

このような従来の技術には、以下の問題がある。(1)当該サーバマシン自身で攻撃を防御する場合には、その防御処理自身に負荷がかかるだけでなく、当該サーバに繋がるシステムおよび回線においても攻撃トラヒックの負荷がかかり、正当なユーザのサービスの妨げになる。   Such conventional techniques have the following problems. (1) When an attack is defended by the server machine itself, not only is the load imposed on the defense process itself, but the load of attack traffic is also imposed on the system and line connected to the server. Hinder.

また、(2)当該サーバの手前に設置するファイヤウォールやIDS、IDPについては、コストがかかるばかりでなく、装置自体のスループットに影響される可能性がある。さらに、(3)加入者収容ルータにおいて攻撃を防御する際には、帯域制限(通信速度の制限)に基づいた制御方式であり、ネットワークサーバの防御に有効となる単位時間あたりのIPパケット数による制御方式ではない。   In addition, (2) a firewall, IDS, and IDP installed in front of the server is not only costly, but may be affected by the throughput of the apparatus itself. Furthermore, (3) when defending an attack in a subscriber accommodation router, it is a control method based on bandwidth limitation (communication speed limitation), and depends on the number of IP packets per unit time that is effective for defense of a network server. It is not a control method.

このような従来の問題を解決するため、例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されている。   In order to solve such a conventional problem, for example, in Patent Document 1, when a server is attacked, a dedicated device is installed at each site in the network in order to discard the attack packet at a router close to the attacker. However, it has been proposed that attack information is propagated sequentially between dedicated devices to eliminate attack traffic upstream.

また、特許文献2では、攻撃をネットワークで検知し、専用の攻撃遮断機器にて防御を行い、攻撃からネットワークを防御する旨提案している。ただし、特許文献2の提案はレイヤ4以下の攻撃を対象としており、また攻撃の検知後、ネットワーク管理者の指示により、防御を実施する形態となっている。   Further, Patent Document 2 proposes that an attack is detected on the network and protected by a dedicated attack blocking device to protect the network from the attack. However, the proposal in Patent Document 2 targets an attack of layer 4 or lower, and after the attack is detected, a defense is implemented according to an instruction from the network administrator.

さらに、特許文献3では、ネットワークの特定箇所、具体的にはゲートウェイ装置で受信IPパケット数をカウントし、所定の受信数を越えた場合には、通信を終了させる方法を提案しているが、ゲートウェイ装置に限定した方法となっており、不正パケット送信者の直近での防御方法ではない。   Furthermore, Patent Document 3 proposes a method of counting the number of received IP packets at a specific part of the network, specifically a gateway device, and terminating the communication when a predetermined reception number is exceeded. The method is limited to the gateway device, and is not the closest defense method for the sender of the illegal packet.

特開2003−283571号公報JP 2003-283571 A 特開2002−158660号公報JP 2002-158660 A 特開2002−247114号公報JP 2002-247114 A

特許文献1および2の提案では、いずれも専用装置あるいは専用の攻撃遮断機器の設置が必要になり、これらの専用装置間の通信あるいは専用の遮断機器に指示を与えるための通信が必要になる。したがって、新たな専用装置あるいは専用の攻撃遮断機器の追加設置が必要になり、現行のネットワーク構成を変更する必要がある。   In both proposals of Patent Documents 1 and 2, it is necessary to install a dedicated device or a dedicated attack blocking device, and communication between these dedicated devices or communication for giving an instruction to the dedicated blocking device is required. Therefore, it is necessary to additionally install a new dedicated device or a dedicated attack blocking device, and it is necessary to change the current network configuration.

また、特許文献3の提案は、ゲートウェイ装置に攻撃の検出および防御機能を持たせ、攻撃を防御する提案であるが、ゲートウェイ装置に繋がる回線やシステムの攻撃の影響を受ける可能性がある。   In addition, the proposal of Patent Document 3 is a proposal for providing an attack detection and defense function to the gateway device to prevent the attack, but it may be affected by a line or system attack connected to the gateway device.

本発明は、このような背景に行われたものであって、本発明は、サーバ自身に負荷がかからず、現行のネットワーク構成を変更せずに、攻撃者となりうる加入者を収容するルータへの機能追加により、DoS/DDoS攻撃に対する防御を実現するものであり、攻撃者の直近で攻撃を防御し、ネットワークのリソースを不正利用させないことを目的とする。また、本発明は、防御の対象となるネットワークサーバにとって有効な、単位時間あたりのIPパケット数による制限をエッジルータで行うことを提案するものである。   The present invention has been made against this background, and the present invention is a router that accommodates a subscriber who can be an attacker without burdening the server itself and changing the current network configuration. By adding a function to the network, a defense against DoS / DDoS attacks is realized, and the purpose is to prevent attacks in the immediate vicinity of an attacker and prevent unauthorized use of network resources. Further, the present invention proposes that the edge router performs the restriction based on the number of IP packets per unit time, which is effective for the network server to be protected.

前提として、DoS/DDoS攻撃は、サーバなどの各種エンドノードが処理を行うレイヤ5以上のTCPあるいはUDP上のウェルノウンポート番号を持つプロトコル処理に対する攻撃であるとする。   As a premise, it is assumed that the DoS / DDoS attack is an attack on a protocol process having a well-known port number on the TCP or UDP of layer 5 or higher that is processed by various end nodes such as servers.

このレイヤ5以上の所謂アプリケーションレイヤへのフラッド型の攻撃は、このアプリケーションレイヤの情報を運ぶサーバのウェルノウンポート宛てのTCPあるいはUDPパケットのトラヒック量を監視することによりアプリケーションレイヤに対するDoS/DDoS攻撃を検出することが可能である。   This type of flood attack on the so-called application layer above layer 5 detects DoS / DDoS attacks against the application layer by monitoring the traffic volume of TCP or UDP packets destined for the well-known port of the server carrying the application layer information. Is possible.

具体的には、ユーザ端末を収容するエッジルータにおいてエンドノードがユーザ端末からの要求に対して、アプリケーションを実行するにあたり、通常の動作で十分なユーザ端末からの単位時間あたりのIPパケット送信数をサーバのIP
Addressと、protocol番号と、ウェルノウンポート番号毎に事前設定する。これをユーザ端末からエッジルータが受信可能な閾値とする。 Specifically, in the edge router accommodating the user terminal, when the end node executes an application in response to a request from the user terminal, the number of IP packet transmissions per unit time from the user terminal sufficient for normal operation is set. Server IP
A preset is made for each address, protocol number, and well-known port number. This is a threshold that can be received by the edge router from the user terminal.

次にユーザ端末を収容するエッジルータが、例えば「IP headerのDestination AddressがこのサーバのIP
Address、Protocol番号がTCPあるいはUDPを示す6あるいは17、TCPあるいはUDP
headerのDestination Port番号が、このサーバが司るレイヤ5以上のプロトコルに割当てられたウェルノウンポート番号」であるパケットを発IPアドレス毎に検査する。 Next, the edge router accommodating the user terminal, for example, “IP header Destination Address is the IP address of this server.
Address, Protocol number 6 or 17 indicating TCP or UDP, TCP or UDP
A packet whose header's Destination Port number is a well-known port number assigned to a protocol of layer 5 or higher managed by this server is inspected for each source IP address.

ユーザ端末から受信するIPパケットを検査しこのサーバ宛のIPパケットであることを判定し、事前に設定した閾値未満に単位時間あたりの受信IPパケット数を制限することにより、通常のユーザ端末が使用するレベルまで、このサーバ向けのトラヒックを抑えることができ、ユーザ端末からこのサーバ向けの攻撃パケットを前記レベルにまで、抑えることが可能である。   Used by normal user terminals by examining IP packets received from user terminals, determining that they are IP packets addressed to this server, and limiting the number of received IP packets per unit time below a preset threshold Therefore, the traffic for the server can be suppressed to a level at which the attack is performed, and attack packets for the server from the user terminal can be suppressed to the level.

例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されているが、本発明のアプリケーション型サービス不能攻撃防御方法はノード間で攻撃情報を伝播することはせず、攻撃トラヒックを発するユーザ端末収容ノードにて、事前の機能追加および静的設定により、攻撃を防御することを特徴とする。   For example, in Patent Document 1, when a server is attacked, an attack packet is discarded by a router close to the attacker, so a dedicated device is installed at each site in the network, and attack information is propagated sequentially between dedicated devices. However, the application-type denial-of-service attack prevention method of the present invention does not propagate attack information between nodes, and it is proposed in the user terminal accommodating node that generates attack traffic. It is characterized by defending attacks by adding functions and setting static in advance.

また、特許文献2では、攻撃をネットワークにて検出し、専用の攻撃遮断機器にて防御を行い、攻撃からネットワークを防御する旨を提案しているが、本発明のアプリケーション型サービス不能攻撃防御方法は、ユーザ端末収容ルータでの攻撃検知および防御の方法である点が異なる。   Further, Patent Document 2 proposes that an attack is detected on the network and protected by a dedicated attack blocking device to protect the network from the attack. Is different from the attack detection and defense method in the user terminal accommodating router.

さらに、特許文献3では、ゲートウェイ装置に検出機能を配備し、攻撃を排除する旨を提案しているが、本発明は、攻撃元を収容するユーザ端末収容ルータでの攻撃検知および防御の方法であり、攻撃者の直近で攻撃を防御するという点が異なる。   Further, Patent Document 3 proposes that a detection function is provided in the gateway device to eliminate the attack, but the present invention is an attack detection and defense method in the user terminal accommodating router accommodating the attack source. There is a difference in defending the attack in the immediate vicinity of the attacker.

加えて、本発明のアプリケーション型サービス不能攻撃防御の方法は、新たに専用装置をネットワーク構成を変更し付加することはせず、ネットワークに備えられているエッジルータに機能を追加配備し、利用することができる。   In addition, the application-type denial-of-service attack prevention method of the present invention does not newly add a dedicated device by changing the network configuration, and additionally deploys and uses functions on edge routers provided in the network. be able to.

すなわち、本発明の第一の観点は、コアネットワークと、ユーザ端末を収容するエッジルータと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法である。   That is, the first aspect of the present invention is an application-type service inability applicable to a network system including a core network, an edge router that accommodates user terminals, and a server that processes signals transmitted from the user terminals. It is a defense method against attacks.

ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、前記ユーザ端末を収容する前記エッジルータが実行するステップとして、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップとを実行するところにある。 Here, the feature of the present invention is that, for each user terminal and each server serving as a destination, for each combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number. As a step executed by the edge router accommodating the user terminal, a threshold condition for the number of IP packet transmissions per unit time sufficient to permit transmission of a reliable IP packet is set as a step performed by the user terminal to the server. With respect to the IP packet to be transmitted, the IP packet is transmitted to the originating IP address based on the step of identifying the originating IP address, the destination IP address, the Port number, and the Protocol number, and the identification result of the identifying step. The destination IP address for which the threshold of the number of IP packet transmissions is set for each, Po a step of determining whether or not the IP packet matches a combination of t number and Protocol number, and a destination IP address, a Protocol number, and a Port for which a threshold is set for each IP address of the IP packet by this determination step When it is determined that the IP packet matches the combination of numbers, the time when the edge router receives the IP packet is recorded, and the number of the IP packets is counted. The number of IP packets is compared with the threshold condition set for each originating IP address, and when the number of received IP packets per unit time exceeds the threshold, the received IP packets exceeding the threshold are discarded. Ru near the place to perform the steps of.

さらに、前記エッジルータが実行するステップとして、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップとを実行することができる。 Further, as the steps executed by the edge router, for the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, and the Protocol number that are information of the IP packet And a step of recording the reception time of the IP packet, and for the IP packet discarded based on the threshold setting condition, the source IP address, the destination IP address, the Port number, the Protocol number, and the IP Ru can be performed and recording the discarding time of the packet.

さらに、前記エッジルータが実行するステップとして、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップとを実行することができる。 Further, referring to the recording by the step of recording the discard time as the step executed by the edge router, based on the information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet, The step of confirming the attack target, the step of confirming the attack packet reception status of the attack target confirmed by the confirmation step, and the attack is ongoing based on the attack packet reception status confirmed by the confirmation step And determining whether or not all packets addressed to the attack target from the attack source are attack packets, and the attack is ongoing based on the determination result of the determining step and the attack source from the attack source Applicable if all packets addressed to the attack target are attack packets Performing the steps of: resetting said threshold value so as to suppress all the attack for a packet from the side IP address Ru can.

前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含むことができる。 Ascertaining the attack packets received status refers to the recording by step of recording the reception time, Ru can include the step of estimating an attack packet reception status of the attack target.

これによれば、攻撃対象に攻撃パケット受信状況の報告を要求することなく、エッジルータ独自で攻撃対象の攻撃パケット受信状況を推定することができるため、ネットワークリソースを有効利用することができる。   According to this, since it is possible to estimate the attack packet reception status of the attack target by the edge router without requesting the attack target to report the attack packet reception status, it is possible to effectively use the network resources.

すなわち、エッジルータが攻撃を実際に抑止した場合には、IPパケット受信の記録およびIPパケットの廃棄の記録を当該エッジルータが収集し、SIPサーバ側の攻撃パケット受信状況と比較確認し、SIPサーバで受信した当該ユーザからのパケットが全て攻撃パケットと判断される場合には、このユーザからSIPサーバ向けのパケットを全て廃棄するように閾値を再設定し攻撃パケットを全て廃棄することができるため、防御パターンを能動的に最適化することができる。   That is, when the edge router actually suppresses the attack, the edge router collects the record of the IP packet reception and the record of the discard of the IP packet, and compares and confirms the attack packet reception status on the SIP server side. If it is determined that all packets from the user received in step 1 are attack packets, the threshold can be reset so that all packets for the SIP server are discarded from this user and all attack packets can be discarded. The protection pattern can be actively optimized.

また、前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行うステップを実行することができる。 Further, when the attack is ongoing based on the determination result of the determining step and all packets addressed to the attack target from the attack source are attack packets, a warning notification is given to the attack source. step Ru can be run.

これにより、エッジルータから踏み台となったユーザに対し、当該ユーザが攻撃を実行していた事実を提示でき、ユーザへのウィルス感染等の警告を発することができる。本警告により、ユーザは自端末のウィルス感染や踏み台になった事実を確認し、対処することで、被害の拡散を防止することが可能となる。   As a result, the fact that the user is performing an attack can be presented to the user who has become a stepping stone from the edge router, and a warning such as virus infection can be issued to the user. This warning enables the user to prevent the spread of damage by confirming and dealing with the virus infection of his / her terminal and the fact that it has become a stepping stone.

さらに、前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップとを実行することができる。 Further, the step of counting the number of IP packets discarded based on the new threshold set by the step of resetting the threshold, and the count result of the step of counting is less than the threshold before the new threshold that was reset when it becomes, the Ru can perform the step of replacing the new threshold to the new threshold previous threshold.

すなわち、攻撃を回避した後に、攻撃回避用として設定された非通常の閾値がそのまま残っていると、以降に送信される正当なIPパケットまでも廃棄されてしまう可能性があるので、攻撃が終了したことが推定された後には、閾値を通常の値に置き換えることが望ましい。   In other words, after the attack is avoided, if the unusual threshold set for attack avoidance remains, the legitimate IP packet transmitted after that may be discarded, so the attack ends. It is desirable to replace the threshold with a normal value after it has been estimated.

本発明の第二の観点は、コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータである。   A second aspect of the present invention is an edge router that is provided in a network system including a core network and a server that processes a signal transmitted from a user terminal and accommodates the user terminal.

ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する手段と、この識別する手段による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する手段と、この判定する手段により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する手段と、この計数する手段により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する手段とを備えたところにある。 Here, the feature of the present invention is that, for each user terminal and each server serving as a destination, for each combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number. A threshold value of the number of IP packet transmissions per unit time sufficient to permit transmission of secure IP packets is set in advance, and an IP packet transmitted from the user terminal to the server, a source IP address and a destination IP address And a destination IP address in which a threshold value of the number of IP packet transmissions is set for each IP address of the originating IP packet based on the identification result by the identifying means and the Port number and the Protocol number , Determines whether the IP packet matches the combination of Port number and Protocol number And the determining means determines that the IP packet is an IP packet that matches a combination of a destination IP address, a protocol number, and a port number for which a threshold is set for each originating IP address. The means for recording the time when the edge router received the IP packet and counting the number of the IP packet, and comparing the number of IP packets counted by the means for counting with the threshold condition set for each originating IP address and, where applicable received IP packets per unit time exceeds a threshold value, Ru near the place and means for discarding the received IP packet amount that exceeds the threshold value.

さらに、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する手段と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する手段とを備えることができる。 Further, for the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, the Protocol number, and the reception time of the IP packet that are information of the IP packet are recorded. And means for recording a source IP address, a destination IP address, a Port number, a Protocol number, and a discard time of the IP packet, which are information of the IP packet for the IP packet discarded based on the threshold setting condition Ru can be provided with.

さらに、前記廃棄時刻を記録する手段による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する手段とを備えることができる。 Furthermore, referring to the record by the means for recording the discard time, means for confirming the attack source and attack target based on the information of the source IP address, destination IP address, Port number, Protocol number of the discarded IP packet; Means for confirming the attack packet reception status of the attack target confirmed by the means for confirming, and the attack is ongoing based on the attack packet reception status confirmed by the confirmation means, and the attack from the attack source A means for determining whether or not all packets addressed to the attack target are attack packets, and the attack is ongoing based on the determination result of the means for determining, and all packets addressed to the attack target from the attack source are attack packets. If so, the attack target packets from the corresponding originating IP address are all suppressed Ru can be provided with means for resetting the value.

前記攻撃パケット受信状況を確認する手段は、前記受信時刻を記録する手段による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含むことができる。   The means for confirming the attack packet reception status may include means for estimating the attack packet reception status of the attack target with reference to a record by the means for recording the reception time.

さらに、前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う手段を備えることができる。 Further, when the attack is ongoing based on the determination result of the determining means and all the packets addressed to the attack target from the attack source are attack packets, a warning notification is given to the attack source. Ru can be provided with a means.

さらに、前記閾値を再設定する手段により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段と、この計数する手段の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段とを備えることができる。 Furthermore, the means for counting the number of IP packets discarded based on the new threshold set by the means for resetting the threshold, and the count result of the means for counting is less than the threshold before the new threshold that was reset when it becomes, the Ru can be provided with a means for replacing the new threshold to the new threshold previous threshold.

本発明の第三の観点は、情報処理装置にインストールすることにより、その情報処理装置に、コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータに相応する機能を実現させるプログラムである。   According to a third aspect of the present invention, when installed in an information processing apparatus, the information processing apparatus is provided with a network system including a core network and a server that processes a signal transmitted from a user terminal. This is a program for realizing a function corresponding to an edge router that accommodates a user terminal.

ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する機能と、この識別する機能による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する機能と、この判定する機能により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する機能と、この計数する機能により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する機能とを備えたところにある。 Here, the feature of the present invention is that, for each user terminal and each server serving as a destination, for each combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number. A threshold value of the number of IP packet transmissions per unit time sufficient to permit transmission of secure IP packets is set in advance, and an IP packet transmitted from the user terminal to the server, a source IP address and a destination IP address And a function for identifying the Port number and the Protocol number, and a destination IP address in which a threshold value of the number of IP packet transmissions is set for each IP address of the IP packet based on the identification result by the identifying function , Determines whether the IP packet matches the combination of Port number and Protocol number When the function and this determination function determine that the IP packet is an IP packet that matches a combination of a destination IP address, a protocol number, and a port number for which a threshold is set for each originating IP address, A function that records the time when the edge router receives the IP packet and counts the number of the IP packets, and compares the number of IP packets counted by the counting function with a threshold condition set for each originating IP address. and, where applicable received IP packets per unit time exceeds a threshold value, Ru near was a function discards the received IP packet amount that exceeds the threshold value.

さらに、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する機能と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する機能とを実現させることができる。 Further, for the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, the Protocol number, and the reception time of the IP packet that are information of the IP packet are recorded. And a function for recording the IP packet information that has been discarded based on the threshold setting condition, the source IP address, the destination IP address, the Port number, the Protocol number, and the discard time of the IP packet. Ru can be realized.

さらに、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する機能と、この確認する機能により確認された前記攻撃対象の攻撃パケット受信状況を確認する機能と、この確認する機能により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する機能と、この判断する機能に判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する機能とを実現させることができる。 Further, referring to the recording by the step of recording the discard time, the function of confirming the attack source and the attack target based on the information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet, A function of confirming the attack packet reception status of the attack target confirmed by the function of confirming, and the attack is ongoing based on the attack packet reception status confirmed by the function of confirming and the attack source from the attack source A function for determining whether or not all packets addressed to the attack target are attack packets, and the attack is ongoing based on the determination result based on the determination function, and all packets addressed to the attack target from the attack source are attack packets. If so, all the packets targeted for attack from the corresponding originating IP address are suppressed. Ru can be realized and a function of resetting the serial threshold.

前記攻撃パケット受信状況を確認する機能として、前記受信時刻を記録する機能による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する機能を実現させることができる。 Examples ability to verify the attack packets received status, with reference to recording with function of recording the received time, Ru can be realized a function of estimating an attack packet reception status of the attack target.

さらに、前記判断する機能の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う機能を実現させることができる。 Further, when the attack is ongoing based on the determination result of the determining function and all the packets addressed to the attack target from the attack source are attack packets, a warning notification is given to the attack source. Ru can be made to realize the function.

さらに、前記閾値を再設定する機能により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する機能と、この計数する機能の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える機能とを実現させることができる。 Further, the function of counting the number of IP packets discarded based on the new threshold set by the function of resetting the threshold, and the count result of the function of counting is less than the threshold before the new threshold reset when it becomes, the Ru can be realized and a function to replace the new threshold to the new threshold previous threshold.

本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。 The fourth aspect of the present invention, Ru said information processing apparatus readable media der which the program is recorded of the present invention. By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.

これにより、汎用の情報処理装置を用いて、サーバ自身に負荷がかからず、攻撃者の直近で攻撃を防御し、ネットワークのリソースを不正利用させず、また、防御の対象となるネットワークサーバにとって有効な、単位時間あたりのIPパケット数による制限を実現することができるエッジルータを実現することができる。   As a result, using a general-purpose information processing device, the server itself is not burdened, the attack is protected immediately by the attacker, the network resources are not illegally used, and the network server to be protected is protected. It is possible to realize an edge router that can realize an effective restriction by the number of IP packets per unit time.

本発明によれば、サーバにて、攻撃の検出および攻撃トラヒックの検出および排除を行う場合と比べて、サーバには負荷がかからず、また、検出から排除までのタイムラグも無いため、サーバが高負荷となるリスクが軽減される。   According to the present invention, since the server is not loaded and there is no time lag from detection to exclusion, compared to the case where the attack is detected and the attack traffic is detected and eliminated at the server, The risk of high loads is reduced.

さらに、現行のネットワーク構成を変えることなく、新たな装置を設置することなく、ユーザ収容エッジノードに機能追加することにより、本発明のアプリケーション型サービス不能攻撃防御方法を実現することができる。   Furthermore, the application type denial-of-service attack defense method of the present invention can be realized by adding functions to the user-accommodating edge node without changing the current network configuration or installing a new device.

また、通常、エッジルータでは帯域制限(通信速度の制限)により攻撃の防御を行うが本発明の制限方法は、単位時間当りのIPパケット数の制限であり、攻撃パケットのパケットサイズに依存せず、防御が可能である。   In general, edge routers protect against attacks by band limiting (communication speed limitation). However, the limiting method of the present invention limits the number of IP packets per unit time, and does not depend on the packet size of the attack packet. , Defense is possible.

さらに、本発明の攻撃防御位置は、攻撃者になりうるユーザ端末収容ノードであるため、他の正当ユーザおよび攻撃によるネットワークの負荷に対しての影響を効率良く軽減することが可能となる。   Furthermore, since the attack defense position of the present invention is a user terminal accommodating node that can be an attacker, it is possible to efficiently reduce the influence of other legitimate users and attacks on the network load.

本発明実施例のアプリケーション型サービス不能攻撃防御方法を図1を参照して説明する。図1は本実施例のアプリケーション型サービス不能攻撃に対する防御方法を説明するためのネットワーク構成図である。符号1は、各ISP(Internet Service Provider)のコアネットワークの端の部分に位置するユーザ端末を収容するエッジルータである。符号4は各ISPのコアネットワークである。符号6はISP内でSIPプロトコルを制御するSIPサーバである。ここでは、SIPサーバを例としているが、SMTP(Simple Mail Transfer Protocol)サーバ等他の制御サーバにおいても本発明は有効である。符号2、3はSIPサーバに収容されているユーザ端末であり、それぞれ、攻撃を行う端末と正当な通信を行う端末である。   An application-type denial-of-service attack defense method according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 is a network configuration diagram for explaining a defense method against an application-type denial-of-service attack according to this embodiment. Reference numeral 1 denotes an edge router that accommodates user terminals located at the end of the core network of each ISP (Internet Service Provider). Reference numeral 4 denotes a core network of each ISP. Reference numeral 6 denotes a SIP server that controls the SIP protocol within the ISP. Here, the SIP server is taken as an example, but the present invention is also effective in other control servers such as an SMTP (Simple Mail Transfer Protocol) server. Reference numerals 2 and 3 denote user terminals accommodated in the SIP server, which are terminals that perform legitimate communication with the attacking terminal.

本実施例のアプリケーション型サービス不能攻撃防御方法は、図1に示すように、ISPコアネットワーク4と、ユーザ端末2、3を収容するエッジルータ1と、ユーザ端末2、3から送信される信号を処理するSIPサーバ6とから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法である。   As shown in FIG. 1, the application type denial-of-service attack defense method of the present embodiment uses signals transmitted from the ISP core network 4, the edge router 1 that accommodates the user terminals 2 and 3, and the user terminals 2 and 3. This is a defense method against an application-type denial-of-service attack applied to a network system composed of a SIP server 6 to be processed.

ここで、本実施例の特徴とするところは、ユーザ端末2、3毎および宛先となるSIPサーバ6毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、ユーザ端末2、3を収容するエッジルータ1が実行するステップとして、ユーザ端末2、3からSIPサーバ6に対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータ1が当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップとを実行するところにある。 Here, the feature of this embodiment is that each of the user terminals 2 and 3 and the destination SIP server 6 is a combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number. As a step executed by the edge router 1 that accommodates the user terminals 2 and 3 in advance, a threshold condition for the number of IP packet transmissions per unit time sufficient to permit transmission of a legitimate IP packet is set in advance. 3, with respect to the IP packet transmitted from the SIP server 6 to the SIP server 6, the step of identifying the originating IP address, the destination IP address, the Port number, and the Protocol number, and the identification result of this identifying step Destination IP for which the IP packet transmission threshold is set for each IP address of the IP packet A step of determining whether or not the IP packet matches a combination of a dress, a Port number, and a Protocol number, and a destination IP address and a Protocol number for which a threshold is set for each source IP address by the determination step When it is determined that the IP packet matches the port number combination, the time when the edge router 1 receives the IP packet is recorded and the number of the IP packets is counted, and the counting step is performed. The counted number of IP packets is compared with the threshold condition set for each source IP address, and when the number of received IP packets per unit time exceeds the threshold, the received IP corresponding to the threshold is exceeded. Ru near the place to perform the steps of discarding the packet.

さらに、エッジルータ1が実行するステップとして、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップとを実行する。 Further, as the steps executed by the edge router 1, for the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, and the Protocol number that are information of the IP packet And a step of recording the reception time of the IP packet, and for the IP packet discarded based on the threshold setting condition, the source IP address, the destination IP address, the Port number, the Protocol number, and the IP to run and recording the discarding time of the packet.

さらに、エッジルータ1が実行するステップとして、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップとを実行する。 Further, as a step executed by the edge router 1, referring to the recording by the step of recording the discard time, the attack source and the destination number based on the information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet The step of confirming the attack target, the step of confirming the attack packet reception status of the attack target confirmed by the confirmation step, and the attack is ongoing based on the attack packet reception status confirmed by the confirmation step And determining whether or not all packets addressed to the attack target from the attack source are attack packets, and the attack is ongoing based on the determination result of the determining step and the attack source from the attack source If all packets addressed to the attack target are attack packets, That perform the steps of: resetting said threshold value so as to suppress all the attack for a packet from IP address.

前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含む。 Wherein the step of confirming an attack packet reception state refers to the recording by step of recording the reception time, steps including estimating an attack packet reception status of the attack target.

さらに、前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元であるユーザ端末2に対して警告通知を行うステップを実行する。 Further, when the attack is ongoing based on the determination result of the determining step and all the packets addressed to the attack target from the attack source are attack packets, the user terminal 2 that is the attack source is It runs the step of performing a warning notification Te.

さらに、前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップとを実行する。 Further, the step of counting the number of IP packets discarded based on the new threshold set by the step of resetting the threshold, and the count result of the step of counting is less than the threshold before the new threshold that was reset and when it becomes the that perform the step of replacing the new threshold to the new threshold previous threshold.

次に、本実施例のエッジルータを図1および図3を参照して説明する。図3は本実施例のエッジルータにおける防御機能を提供する機能ブロック図である。   Next, the edge router of the present embodiment will be described with reference to FIGS. FIG. 3 is a functional block diagram for providing a defense function in the edge router of this embodiment.

本実施例のエッジルータは、図1に示すように、ISPコアネットワーク4と、ユーザ端末2、3から送信される信号を処理するSIPサーバ6とから構成されるネットワークシステムに備えられユーザ端末2、3を収容するエッジルータ1である。   As shown in FIG. 1, the edge router of this embodiment is provided in a network system including an ISP core network 4 and a SIP server 6 that processes signals transmitted from user terminals 2 and 3. 3 is an edge router 1 that accommodates 3.

ここで、本実施例の特徴とするところは、ユーザ端末2、3毎および宛先となるSIPサーバ6毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、図3に示すように、ユーザ端末2、3からSIPサーバ6に対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するIPパケット受信部10と、このIPパケット受信部10による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するヘッダ検査部11と、このヘッダ検査部11により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータ1が当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するIPパケット計数部14と、このIPパケット計数部14により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する制御部17およびIPパケット廃棄部12とを備えたところにある。 Here, the feature of this embodiment is that each of the user terminals 2 and 3 and the destination SIP server 6 is a combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number. Each time, a threshold of the number of IP packet transmissions per unit time sufficient to permit transmission of a legitimate IP packet is set in advance, and is transmitted from the user terminals 2 and 3 to the SIP server 6 as shown in FIG. IP packet receiving unit 10 for identifying the originating IP address, the destination IP address, the Port number, and the Protocol number, and based on the identification result by the IP packet receiving unit 10, Destination IP address, Port number, and Prot for which a threshold for the number of IP packet transmissions is set for each originating IP address a header inspection unit 11 that determines whether or not the IP packet matches a combination of col numbers; a destination IP address for which a threshold is set for each source IP address by the header inspection unit 11, a protocol number, When it is determined that the IP packet matches the port number combination, the IP packet counting unit 14 that records the time when the edge router 1 receives the IP packet and counts the number of the IP packets, and the IP packet The number of IP packets counted by the packet counting unit 14 is compared with the threshold condition set for each originating IP address, and the threshold is exceeded when the number of received IP packets per unit time exceeds the threshold. Provided with a control unit 17 and an IP packet discard unit 12 for discarding the received IP packets of That.

さらに、前記閾値条件が設定されているユーザ端末2、3から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する計数情報記録部15と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するIPパケット廃棄情報記録部18とを備える。 Further, for the IP packet received from the user terminals 2 and 3 for which the threshold condition is set, the source IP address, the destination IP address, the Port number, the Protocol number, and the reception time of the IP packet, which are information of the IP packet And a count information recording unit 15 for recording the IP packet that has been discarded based on the threshold setting condition, the source IP address, the destination IP address, the Port number, the Protocol number, and the discard of the IP packet as the information of the IP packet time Ru and a IP packet discard information recording unit 18 for recording.

さらに、IPパケット廃棄情報記録部18による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように閾値設定部16の閾値を再設定する手段とを閾値再設定部19に備える。 Furthermore, referring to the record by the IP packet discard information recording unit 18, the means for confirming the attack source and the attack target based on the information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet, Means for confirming the attack packet reception status of the attack target confirmed by the means for confirming, and the attack is ongoing based on the attack packet reception status confirmed by the confirmation means, and the attack from the attack source A means for determining whether or not all packets addressed to the attack target are attack packets, and the attack is ongoing based on the determination result of the means for determining, and all packets addressed to the attack target from the attack source are attack packets. If so, all the packets targeted for attack from the corresponding originating IP address are suppressed. Ru and means for resetting the threshold value setting unit 16 to the threshold resetting unit 19.

前記攻撃パケット受信状況を確認する手段は、計数情報記録部15による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含む。 It said means for confirming an attack packet reception state refers to the recording by counting information recording unit 15, including means for estimating an attack packet reception status of the attack target.

さらに、前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元であるユーザ端末2に対して警告通知を行う警告通知部20を備える。 Further, when the attack is ongoing based on the determination result of the determining means and all the packets addressed to the attack target from the attack source are attack packets, the user terminal 2 that is the attack source is Ru with a warning notification unit 20 to perform the warning notification Te.

さらに、IPパケット廃棄情報記録部18は、閾値再設定部19により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段を備え、閾値再設定部19は、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、閾値設定部16に設定されている前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段を備える。 Further, the IP packet discard information recording unit 18 includes means for counting the number of IP packets discarded based on the new threshold set by the threshold resetting unit 19, and the threshold resetting unit 19 includes the IP packet discard information recording when the counting result of the unit (18) is less than the re-set the new threshold previous threshold, Ru comprises means for replacing said new threshold set in the threshold setting unit 16 to the new threshold previous threshold .

本実施例は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本実施例のエッジルータ1に相応する機能を実現させるプログラムとして実現することができる。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、IPパケット受信部10、ヘッダ検査部11、IPパケット廃棄部12、IPパケット送信部13、IPパケット計数部14、計数情報記録部15、閾値設定部16、制御部17、IPパケット廃棄情報記録部18、閾値再設定部19、警告通知部20にそれぞれ相応する機能を実現させることができる。 This embodiment can be implemented as a program that, when installed in a general-purpose information processing apparatus, causes the information processing apparatus to realize a function corresponding to the edge router 1 of the present embodiment. This program is recorded in a recording medium and installed in the information processing apparatus, or installed in the information processing apparatus via a communication line, so that the information processing apparatus has an IP packet receiving unit 10, header inspection unit 11, IP Packet discard unit 12, IP packet transmission unit 13, IP packet counting unit 14, count information recording unit 15, threshold setting unit 16, control unit 17, IP packet discard information recording unit 18, threshold resetting unit 19, warning notification unit 20 each Ru can be realized corresponding functions.

以下では、本実施例をさらに詳細に説明する。   Hereinafter, this embodiment will be described in more detail.

本実施例のアプリケーション型サービス不能攻撃防御方法の制御手順をSIPサーバ6を例にとり、図2のフローチャートを参照して説明する。図2はエッジルータにおける防御手順を示すフローチャートである。   The control procedure of the application-type denial-of-service attack defense method of the present embodiment will be described with reference to the flowchart of FIG. 2, taking the SIP server 6 as an example. FIG. 2 is a flowchart showing a defense procedure in the edge router.

図2に示すように、閾値設定部16には、IPアドレス毎に単位時間当りのIPパケット送信許可数があらかじめ設定されており(S0)、エッジルータ1のIPパケット受信部10にIPパケットが到着すると(S1)、ヘッダ検査部11は、そのIPパケットの発側IPアドレスを検査し、規制の対象であるか否かを判断し、制御対象であれば、さらに、その宛先IPアドレスがSIPサーバのIPアドレスか否か、Protocol番号が6あるいは17か、宛先ポートは5060か否かを判断し(S2)、そうであれば、IPパケット計数部14は、発ユーザ端末毎に単位時間当りの送信IPパケット数を測定し(S3)、この計数情報は計数情報記録部15に記録される(S4)。   As shown in FIG. 2, the threshold setting unit 16 is preset with the IP packet transmission permission number per unit time for each IP address (S0), and the IP packet is received by the IP packet receiving unit 10 of the edge router 1. When arriving (S1), the header inspection unit 11 inspects the originating IP address of the IP packet to determine whether or not it is subject to regulation. It is determined whether the IP address of the server, whether the Protocol number is 6 or 17, and whether the destination port is 5060 (S2). If so, the IP packet counter 14 per unit time for each calling user terminal The number of transmitted IP packets is measured (S3), and the count information is recorded in the count information recording unit 15 (S4).

制御部17は、IPパケット計数部14により計数されたIPパケット数と、閾値設定部16にあらかじめ設定されているIPパケット数の閾値とを比較し、単位時間当りのIPパケット送信数が通常の量(閾値未満)か否か判定する(S5)。その結果、単位時間当りのIPパケット送信数が通常の量(閾値未満)であれば、通常の処理を行うが(S6)、単位時間当りのIPパケット送信数が通常の量以上(閾値以上)であれば(S6)、IPパケット廃棄部12により閾値以上のパケットを廃棄する(S7)。廃棄したIPパケットの情報をIPパケット廃棄情報記録部18に記録する(S8)。   The control unit 17 compares the number of IP packets counted by the IP packet counting unit 14 with the threshold value of the number of IP packets set in advance in the threshold setting unit 16, and the number of IP packet transmissions per unit time is normal. It is determined whether the amount is less than the threshold (S5). As a result, if the number of IP packet transmissions per unit time is a normal amount (less than the threshold), normal processing is performed (S6), but the number of IP packet transmissions per unit time is equal to or greater than the normal amount (above the threshold). If so (S6), the IP packet discarding unit 12 discards packets that are equal to or greater than the threshold (S7). Information of the discarded IP packet is recorded in the IP packet discard information recording unit 18 (S8).

このように、あらかじめ定められた単位時間当りのIPパケット送信数の制限を行うことによりDoS/DDoS攻撃を行うユーザ端末が存在する場合でも、その攻撃パケット数は通常の処理に用いられる数まで抑制される。 In this way, even if there is a user terminal that performs a DoS / DDoS attack by limiting the number of IP packet transmissions per unit time determined in advance, the number of attack packets is suppressed to the number used for normal processing. Ru is.

以下では、SIPプロトコルにおける本実施例のアプリケーション型サービス不能攻撃防御方法を説明する。図4は本実施例のアプリケーション型サービス不能攻撃に対する防御方法を施さないネットワーク構成図である。なお、以下の用語解説として、IPヘッダおよびTCPヘッダ、UDPヘッダのフィールド構成図をそれぞれ、図5、図6に示す。図5はIPヘッダおよびTCPヘッダのフィールド構成を示す図である。図6はIPヘッダおよびUDPヘッダのフィールド構成を示す図である。図4ではDoS/DDoS攻撃パケットを発するユーザ端末を2、正当ユーザを3とする。   Below, the application type | mold denial-of-service attack defense method of a present Example in a SIP protocol is demonstrated. FIG. 4 is a network configuration diagram in which the defense method against the application-type denial-of-service attack of this embodiment is not applied. As a glossary of terms below, FIG. 5 and FIG. 6 show field configuration diagrams of an IP header, a TCP header, and a UDP header, respectively. FIG. 5 is a diagram showing the field structure of the IP header and TCP header. FIG. 6 is a diagram showing the field structure of the IP header and the UDP header. In FIG. 4, it is assumed that 2 is a user terminal that issues a DoS / DDoS attack packet and 3 is a valid user.

ユーザ端末2はSIPサーバ6に向けて、レイヤ5以上の処理を行うIPパケットを多数送信し、SIPサーバ6およびそこまでのネットワークを過負荷状態にし、正当なユーザ端末3がサービスを受けるのを妨害する。   The user terminal 2 sends a large number of IP packets for processing at layer 5 or higher to the SIP server 6, overloads the SIP server 6 and the network up to that point, and allows the legitimate user terminal 3 to receive service. to disturb.

図7はSIPプロトコルにおけるユーザ端末とSIPサーバとの正常シーケンス例を表している。前提として、SIPサーバ6は、TCPあるいはUDP上のSIPプロトコル(RFC3261)のサーバとして動作するものとする。図7に示すように、ユーザ端末(発)は、SIPサーバ6を経由してユーザ端末(着)にセッションの生成要求を行う(INVITE)。   FIG. 7 shows a normal sequence example between the user terminal and the SIP server in the SIP protocol. It is assumed that the SIP server 6 operates as a server for the SIP protocol (RFC3261) on TCP or UDP. As shown in FIG. 7, the user terminal (source) issues a session generation request to the user terminal (incoming) via the SIP server 6 (INVITE).

SIPサーバからセッションの要求を受け取ったユーザ端末(着)はSIPサーバ6を経由して、ユーザ端末(発)にセッション生成を了解した旨を通知する(180Ringing、200OK)。ユーザ端末(発)とユーザ端末(着)の間にセッションが生成される(ACK)。   Upon receiving the session request from the SIP server, the user terminal (incoming) notifies the user terminal (outgoing) that the session generation is accepted via the SIP server 6 (180 Ringing, 200 OK). A session is generated between the user terminal (outgoing) and the user terminal (incoming) (ACK).

これにより、ユーザ端末(発)とユーザ端末(着)との間で通信が行われる。ユーザ端末(発)がSIPサーバ6を経由して、ユーザ端末(着)にセッション切断要求を行うことにより(BYE)、ユーザ端末(発)とユーザ端末(着)との間のセッションは削除される。   Thereby, communication is performed between the user terminal (calling) and the user terminal (arriving). When the user terminal (calling) sends a session disconnect request to the user terminal (calling) via the SIP server 6 (BYE), the session between the user terminal (calling) and the user terminal (calling) is deleted. The

以上が正常のSIPプロトコルにおけるユーザ端末(発)、SIPサーバ、ユーザ端末(着)間のやりとりである。   The above is the exchange between the user terminal (source), the SIP server, and the user terminal (destination) in the normal SIP protocol.

次に、攻撃シーケンス例を図8を参照して説明する。図8は攻撃シーケンス例を示す図である。攻撃の形態は以下のように想定される。SIPサーバに接続要求のINVITEあるいは登録要求のREGISTERのリクエストを、攻撃端末より、多数発信することにより、SIPサーバの処理能力を著しく低下させ、また、SIPサーバに繋がるシステムおよび回線において輻輳を起こさせ、正当ユーザからの正規通信を妨げる。   Next, an example attack sequence will be described with reference to FIG. FIG. 8 is a diagram showing an example of an attack sequence. The form of attack is assumed as follows. By sending a large number of connection request INVITE or registration request REGISTER requests from the attacking terminal to the SIP server, the processing capacity of the SIP server is significantly reduced, and congestion is caused in the system and line connected to the SIP server. Hinder regular communication from legitimate users.

通常、前記攻撃に対して、ユーザ端末収容ルータでは、帯域制限(通信速度の制限)を行い、防御策を講じるが、SIPサーバはユーザからのリクエストにより、そのリクエストに対する処理を起動させるため、単位時間当りのリクエスト数による制限を行うことが最も有効である。そこで、本発明においては、図2に示したように、単位時間当りのIPパケット数により制限を行い、攻撃を抑止する。   In general, the user terminal accommodating router performs bandwidth limitation (communication speed limitation) and takes a countermeasure against the attack, but the SIP server starts processing for the request in response to a request from the user. It is most effective to limit the number of requests per hour. Therefore, in the present invention, as shown in FIG. 2, the attack is suppressed by limiting the number of IP packets per unit time.

次に、IPパケット廃棄情報記録部18に記録された廃棄したIPパケットの情報および計数情報記録部15に記録された計数情報を利用した防御パターンの最適化方法を図9を参照して説明する。図9はIPパケット廃棄情報記録部18に記録された廃棄したIPパケットの情報および計数情報記録部15に記録された計数情報を利用した防御パターンの最適化方法を示すフローチャートである。 Next, a defense pattern optimization method using the discarded IP packet information recorded in the IP packet discard information recording unit 18 and the count information recorded in the count information recording unit 15 will be described with reference to FIG. . Figure 9 is Ru flowchart der illustrating a method for optimizing protection pattern using the count information recorded in the IP packet discard information recording unit 18 information and counting information recording section 15 of the recorded discarded IP packet to.

エッジルータの閾値再設定部19は、攻撃を実際に抑止した場合には、IPパケット廃棄情報記録部18に記録された廃棄したIPパケットの発側IPアドレス(SA)、宛先IPアドレス(DA)、宛先Port番号(DP)、Protocol番号に基づき攻撃元および攻撃対象を確認する(S9)。   The threshold resetting unit 19 of the edge router, when the attack is actually suppressed, the source IP address (SA) and destination IP address (DA) of the discarded IP packet recorded in the IP packet discarding information recording unit 18 The attack source and the attack target are confirmed based on the destination port number (DP) and the protocol number (S9).

また、攻撃対象となったSIPサーバ6側の攻撃パケット受信状況を確認する(S10)。この確認方法は、計数情報記録部15に記録されている攻撃対象となったSIPサーバ6宛のIPパケット数を検索することによって推定する。この他に、例えば、攻撃対象となったSIPサーバ6側に攻撃パケット受信状況の報告を要求し、当該SIPサーバ6側から直接報告を受け取るなどの方法によって確認してもよい。   Also, the attack packet reception status on the SIP server 6 side targeted for attack is confirmed (S10). This confirmation method is estimated by searching the number of IP packets addressed to the attacked SIP server 6 recorded in the counting information recording unit 15. In addition to this, for example, it may be confirmed by a method of requesting the attack packet reception status report to the SIP server 6 side targeted for attack and receiving the report directly from the SIP server 6 side.

これにより、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットであるか否かを判定し(S11)、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからのSIPサーバ6向けパケットを全て抑止するように閾値設定部16の閾値を再設定する(S13)。これにより、防御パターンを能動的に最適化することができる。   Thus, it is determined whether the attack is ongoing and all packets addressed to the SIP server 6 from the attack source are attack packets (S11). The attack is ongoing and the SIP server 6 from the attack source is determined. If all the packets addressed are attack packets, the threshold setting unit 16 resets the threshold value so as to suppress all packets destined for the SIP server 6 from the corresponding originating IP address (S13). Thereby, a defense pattern can be actively optimized.

さらに、警告通知部20は、計数情報記録部15に記録されたIPパケットの計数情報を添付してユーザ端末2に警告を通知する(S12)。これにより、踏み台となったユーザに対し、当該ユーザが攻撃を実行していた事実を提示でき、ユーザへのウィルス感染等の警告を発することができる。本警告により、ユーザは自端末のウィルス感染や踏み台になった事実を確認し、対処することで、被害の拡散を防止することが可能となる(S15)。   Further, the warning notification unit 20 notifies the user terminal 2 of the warning by attaching the count information of the IP packet recorded in the count information recording unit 15 (S12). As a result, the fact that the user has executed the attack can be presented to the user who has become a stepping stone, and a warning such as virus infection can be issued to the user. This warning enables the user to prevent the spread of damage by confirming and dealing with the virus infection of his / her own terminal and the fact that it has become a springboard (S15).

また、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットで無い場合は、監視を継続する(S14)。   If the attack is ongoing and all packets addressed to the SIP server 6 from the attack source are not attack packets, the monitoring is continued (S14).

さらに、ステップS13により閾値再設定部19が閾値設定部16に再設定した新たな閾値に基づき廃棄されたIPパケット数をIPパケット廃棄情報記録部18により計数し(S16)、閾値再設定部19は、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには(S17)、閾値設定部16に設定されている前記新たな閾値を前記新たな閾値以前の閾値に置き換える(S18)。また、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値以上のときには(S17)、閾値設定部16に設定されている閾値は前記新たな閾値のままなので、IPパケット廃棄部12によるIPパケットの全抑止は継続される(S19)。   Further, the IP packet discard information recording unit 18 counts the number of IP packets discarded based on the new threshold value reset by the threshold resetting unit 19 in the threshold setting unit 16 in step S13 (S16), and the threshold resetting unit 19 When the count result of the IP packet discard information recording unit 18 becomes less than the threshold value before the new threshold value that has been reset (S17), the new threshold value set in the threshold value setting unit 16 is changed to the new threshold value. Replace with a threshold value before the threshold value (S18). In addition, when the count result of the IP packet discard information recording unit 18 is equal to or greater than the threshold before the new threshold (S17), the threshold set in the threshold setting unit 16 remains the new threshold. All suppression of IP packets by the IP packet discard unit 12 is continued (S19).

すなわち、攻撃を回避した後に、攻撃回避用として設定された非通常の閾値がそのまま残っていると、以降に送信される正当なIPパケットまでも廃棄されてしまう可能性があるので、攻撃が終了したことが推定された後には、閾値を通常の値に置き換える。   In other words, after the attack is avoided, if the unusual threshold set for attack avoidance remains, the legitimate IP packet transmitted after that may be discarded, so the attack ends. After it has been estimated, the threshold value is replaced with a normal value.

本発明によれば、IPネットワークにおけるDoS/DDoS攻撃に対するインターネット・セキュリティの向上を図ることが可能となるため、ISP等、ネットワークおよびサービス提供者のユーザ獲得に寄与することができる。また、ネットワーク事業者におけるインターネット・セキュリティの向上のためのネットワーク変更に要する時間および費用の節約に寄与することができる。   According to the present invention, since it is possible to improve Internet security against DoS / DDoS attacks in an IP network, it is possible to contribute to acquisition of users of networks and service providers such as ISPs. In addition, it is possible to contribute to saving time and cost required for the network change for improving the Internet security in the network operator.

さらに、具体的な攻撃情報を元にウィルス感染等により攻撃者となってしまったユーザに対して、警告を発することにより、ネットワーク提供者の信頼が向上し、さらに、攻撃者となったユーザからの被害の拡大を抑えることができ、ユーザ自身も賠償等による不利益を被ることを防止できる。このユーザへの警告通知自体を、IPネットワーク事業者が付加サービスとしてユーザへ提供することも可能である。   Furthermore, by issuing warnings to users who have become attackers due to virus infection, etc. based on specific attack information, the trust of the network provider is improved, and further, from the users who have become attackers The spread of damage can be suppressed, and the user himself / herself can be prevented from suffering disadvantages due to compensation. It is also possible for the IP network operator to provide this user with a warning notification itself as an additional service.

本実施例のアプリケーション型サービス不能攻撃に対する防御方法を説明するためのネットワーク構成図。The network block diagram for demonstrating the defense method with respect to the application type | mold denial of service attack of a present Example. 本実施例のアプリケーション型サービス不能攻撃に対するエッジルータにおける防御手順を示すフローチャート。The flowchart which shows the defense procedure in the edge router with respect to the application type | mold denial of service attack of a present Example. 本実施例のアプリケーション型サービス不能攻撃に対するエッジルータにおける防御機能を提供する機能ブロック図。The functional block diagram which provides the defense function in the edge router with respect to the application type | mold denial of service attack of a present Example. 本実施例のアプリケーション型サービス不能攻撃に対する防御方法を施さないネットワーク構成図。The network block diagram which does not give the defense method with respect to the application type | mold denial of service attack of a present Example. IPヘッダおよびTCPヘッダのフィールド構成を示す図。The figure which shows the field structure of an IP header and a TCP header. IPヘッダおよびUDPヘッダのフィールド構成を示す図。The figure which shows the field structure of an IP header and a UDP header. 正常なSIPプロトコルシーケンス例を示す図。The figure which shows a normal SIP protocol sequence example. SIPプロトコルにおける攻撃のシーケンス例を示す図。The figure which shows the example of an attack sequence in a SIP protocol. IPパケット廃棄情報記録部に記録された廃棄したIPパケットの情報および計数情報記録部に記録された計数情報を利用した防御パターンの最適化方法を示すフローチャート。The flowchart which shows the optimization method of the defense pattern using the information of the discarded IP packet recorded on the IP packet discard information recording part, and the count information recorded on the count information recording part.

符号の説明Explanation of symbols

1 ユーザ端末を収容するエッジルータ
2 攻撃を行うユーザ端末
3 正当なユーザ端末
4 ISPコアネットワーク
5 SIPサーバを収容するエッジルータ
6 SIPサーバ
10 IPパケット受信部
11 ヘッダ検査部
12 IPパケット廃棄部
13 IPパケット送信部
14 IPパケット計数部
15 計数情報記録部
16 閾値設定部
17 制御部
18 IPパケット廃棄情報記録部
19 閾値再設定部
20 警告通知部 DESCRIPTION OF SYMBOLS 1 Edge router which accommodates user terminal 2 User terminal which attacks 3 Legitimate user terminal 4 ISP core network 5 Edge router which accommodates SIP server 6 SIP server 10 IP packet receiving part 11 Header inspection part 12 IP packet discarding part 13 IP Packet transmission unit 14 IP packet counting unit 15 Count information recording unit 16 Threshold setting unit 17 Control unit 18 IP packet discard information recording unit 19 Threshold resetting unit 20 Warning notification unit

Claims (13)

コアネットワークと、ユーザ端末を収容するエッジルータと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法において、
前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IP(Internet Protocol)アドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、
前記ユーザ端末を収容する前記エッジルータが実行するステップとして、
前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、
この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、
この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、
この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップと
を実行し、
前記エッジルータが実行するステップとして、
前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、
前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップと、
前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、
この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、
この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、
この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップと
を実行する
ことを特徴とするアプリケーション型サービス不能攻撃に対する防御方法。 In a defense method against an application-type denial-of-service attack applied to a network system composed of a core network, an edge router that accommodates a user terminal, and a server that processes a signal transmitted from the user terminal,
Permit transmission of a legitimate IP packet for each combination of a source IP (Internet Protocol) address, a destination IP address, a destination Port number, and a Protocol number for each user terminal and each destination server. A threshold condition for the number of IP packet transmissions per unit time sufficient for
As the step executed by the edge router accommodating the user terminal,
Identifying an originating IP address, a destination IP address, a port number, and a protocol number for an IP packet transmitted from the user terminal to the server;
Based on the identification result in the identifying step, whether or not the IP packet matches the combination of the destination IP address, the Port number, and the Protocol number for which the threshold of the number of IP packet transmissions is set for each originating IP address Determining whether or not
When it is determined in this determination step that the IP packet is an IP packet that matches a combination of a destination IP address, a protocol number, and a port number for which a threshold is set for each originating IP address, the edge router Recording the time at which the IP packet was received and counting the number of the IP packet;
The number of IP packets counted in the counting step is compared with the threshold condition set for each source IP address, and when the number of received IP packets per unit time exceeds the threshold, the threshold is exceeded. minute of the received IP packet to perform the steps of discarding,
As the steps executed by the edge router,
A step of recording an IP packet received from the user terminal for which the threshold condition is set, information of the IP packet, that is, a source IP address, a destination IP address, a Port number, a Protocol number, and a reception time of the IP packet When,
Recording a source IP address, a destination IP address, a Port number, a Protocol number, and a discard time of the IP packet, which are information of the IP packet, for the IP packet discarded based on the threshold setting condition;
Referring to the recording by the step of recording the discard time, and confirming the attack source and the attack target based on the information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet;
Confirming the attack packet reception status of the attack target confirmed by the confirming step;
Determining whether or not the attack is ongoing based on the attack packet reception status confirmed by the confirming step and all packets addressed to the attack target from the attack source are attack packets;
Based on the determination result of the determining step, when the attack is ongoing and all the packets addressed to the attack target from the attack source are attack packets, the attack target address from the corresponding originating IP address Re-setting the threshold to suppress all packets;
A defense method against an application-type denial-of-service attack characterized by executing 前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含む請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。   2. The defense against an application-type denial-of-service attack according to claim 1, wherein the step of confirming the attack packet reception status includes a step of estimating the attack packet reception status of the attack target with reference to a record by the step of recording the reception time. Method. 前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行うステップを実行する請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。   When the attack is ongoing based on the determination result of the determining step and all the packets addressed to the attack target from the attack source are attack packets, a step of notifying the attack source of a warning The defense method against an application type | mold denial-of-service attack of Claim 1 to perform. 前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、
この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップと
を実行する請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。 Counting the number of discarded IP packets based on the new threshold set by the step of resetting the threshold;
2. The application according to claim 1, wherein when the counting result of the counting step becomes less than a threshold value before the new threshold value, the step of replacing the new threshold value with a threshold value before the new threshold value is executed. Protection against type-of-service denial of service attacks. コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータにおいて、
前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、
前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する手段と、
この識別する手段による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する手段と、
この判定する手段により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する手段と、
この計数する手段により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する手段と
を備え
前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する手段と、
前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する手段と、
前記廃棄時刻を記録する手段による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、
この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、
この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、
この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する手段と
を備えたことを特徴とするエッジルータ。 In an edge router that accommodates the user terminal that is provided in a network system that includes a core network and a server that processes a signal transmitted from the user terminal,
A unit time sufficient to permit transmission of a legitimate IP packet for each combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number for each user terminal and each destination server The threshold of the number of IP packets transmitted per unit is preset,
Means for identifying an originating IP address, a destination IP address, a Port number, and a Protocol number for an IP packet transmitted from the user terminal to the server;
Based on the identification result by the identifying means, whether or not the IP packet matches the combination of the destination IP address, the Port number, and the Protocol number for which the threshold of the number of IP packet transmissions is set for each originating IP address Means for determining whether or not
When it is determined by the determining means that the IP packet is an IP packet that matches a combination of a destination IP address, a protocol number, and a port number for which a threshold is set for each originating IP address, the edge router Means for recording the time when the IP packet was received and counting the number of the IP packet;
The number of IP packets counted by the counting means is compared with the threshold condition set for each originating IP address. When the number of received IP packets per unit time exceeds the threshold, the threshold is exceeded. And a means for discarding the received IP packets of minutes ,
Means for recording the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, the Protocol number, and the reception time of the IP packet, which are information of the IP packet When,
Means for recording an IP packet information that has been discarded based on the threshold setting condition, a source IP address, a destination IP address, a Port number, a Protocol number, and a discard time of the IP packet, which are information of the IP packet;
Means for referring to the record by the means for recording the discard time and confirming the attack source and the attack target based on information of the source IP address, destination IP address, Port number, Protocol number of the discarded IP packet;
Means for confirming the attack packet reception status of the attack target confirmed by the confirmation means;
Means for determining whether the attack is ongoing based on the attack packet reception status confirmed by the means for confirming and all packets addressed to the attack target from the attack source are attack packets;
Based on the determination result of the determining means, if the attack is ongoing and all the packets addressed to the attack target from the attack source are attack packets, the attack target address from the corresponding originating IP address Means for resetting the threshold so as to suppress all packets;
Edge router, comprising the. 前記攻撃パケット受信状況を確認する手段は、前記受信時刻を記録する手段による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含む請求項5記載のエッジルータ。   6. The edge router according to claim 5, wherein the means for confirming the attack packet reception status includes means for estimating the attack packet reception status of the attack target with reference to a record by the means for recording the reception time. 前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う手段を備えた請求項5記載のエッジルータ。   Based on the determination result of the determining means, when the attack is ongoing and all packets addressed to the attack target from the attack source are attack packets, means for notifying the attack source of warning The edge router according to claim 5 provided. 前記閾値を再設定する手段により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段と、
この計数する手段の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段と
を備えた請求項5記載のエッジルータ。 Means for counting the number of discarded IP packets based on the new threshold set by the means for resetting the threshold;
The edge according to claim 5, further comprising: means for replacing the new threshold value with a threshold value before the new threshold value when the counting result of the means for counting becomes less than the reset threshold value before the new threshold value. Router. 情報処理装置にインストールすることにより、その情報処理装置に、
コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータに相応する機能を実現させるプログラムにおいて、
前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、
前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する機能と、
この識別する機能による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する機能と、
この判定する機能により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する機能と、
この計数する機能により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する機能と
前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する機能と、
前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する機能と、
前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する機能と、
この確認する機能により確認された前記攻撃対象の攻撃パケット受信状況を確認する機能と、
この確認する機能により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する機能と、
この判断する機能に判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する機能と
を備えたエッジルータに相応する機能を実現させることを特徴とするプログラム。 By installing on an information processing device,
In a program for realizing a function corresponding to an edge router that accommodates the user terminal and is provided in a network system including a core network and a server that processes a signal transmitted from the user terminal,
A unit time sufficient to permit transmission of a legitimate IP packet for each combination of a source IP address, a destination IP address, a destination Port number, and a Protocol number for each user terminal and each destination server The threshold of the number of IP packets transmitted per unit is preset,
A function for identifying a source IP address, a destination IP address, a port number, and a protocol number for an IP packet transmitted from the user terminal to the server;
Based on the identification result by the identification function, whether or not the IP packet matches the combination of the destination IP address, the Port number, and the Protocol number for which the threshold of the number of IP packet transmissions is set for each originating IP address A function to determine whether
When it is determined by the determination function that the IP packet is an IP packet that matches a combination of a destination IP address, a protocol number, and a port number for which a threshold is set for each originating IP address, the edge router A function of recording the time when the IP packet is received and counting the number of the IP packet;
The number of IP packets counted by this counting function is compared with the threshold condition set for each originating IP address. When the number of received IP packets per unit time exceeds the threshold, the threshold is exceeded. A function of discarding received IP packets of minutes ,
A function for recording the IP packet received from the user terminal for which the threshold condition is set, the source IP address, the destination IP address, the Port number, the Protocol number, and the reception time of the IP packet, which are information of the IP packet When,
A function of recording an IP packet information that has been discarded based on the threshold setting condition, a source IP address, a destination IP address, a Port number, a Protocol number, and a discard time of the IP packet,
A function of referring to the recording by the step of recording the discard time and confirming the attack source and the attack target based on information of the source IP address, the destination IP address, the Port number, and the Protocol number of the discarded IP packet;
A function of confirming the attack packet reception status of the attack target confirmed by the function of confirming;
A function for determining whether the attack is ongoing based on the attack packet reception status confirmed by the function to confirm and whether all the packets addressed to the attack target from the attack source are attack packets;
If the attack is ongoing based on the determination result and the packets addressed to the attack target from the attack source are all attack packets, the attack target address from the corresponding originating IP address A program for realizing a function corresponding to an edge router having a function of resetting the threshold value so as to suppress all packets . 前記攻撃パケット受信状況を確認する機能として、前記受信時刻を記録する機能による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する機能を実現させる請求項9記載のプログラム。   10. The program according to claim 9, wherein, as a function of confirming the attack packet reception status, the function of estimating the attack packet reception status of the attack target is realized by referring to a record by the function of recording the reception time. 前記判断する機能の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う機能を実現させる請求項9記載のプログラム。   A function of notifying the attack source of a warning when the attack is ongoing based on the determination result of the function to be determined and all the packets addressed to the attack target from the attack source are attack packets; The program according to claim 9 to be realized. 前記閾値を再設定する機能により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する機能と、
この計数する機能の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える機能と
を実現させる請求項9記載のプログラム。 A function of counting the number of discarded IP packets based on a new threshold set by the function of resetting the threshold;
10. The program according to claim 9, wherein when the counting result of the counting function becomes less than a threshold value before the new threshold value, the function of replacing the new threshold value with a threshold value before the new threshold value is realized. . 請求項9ないし12のいずれか1項に記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。 The information processing apparatus readable recording medium having a program recorded thereon according to any one of claims 9 to 12.
JP2004280857A 2004-09-28 2004-09-28 Protection method against application denial of service attack and edge router Expired - Fee Related JP4278593B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004280857A JP4278593B2 (en) 2004-09-28 2004-09-28 Protection method against application denial of service attack and edge router

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004280857A JP4278593B2 (en) 2004-09-28 2004-09-28 Protection method against application denial of service attack and edge router

Publications (2)

Publication Number Publication Date
JP2006100874A JP2006100874A (en) 2006-04-13
JP4278593B2 true JP4278593B2 (en) 2009-06-17

Family

ID=36240318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004280857A Expired - Fee Related JP4278593B2 (en) 2004-09-28 2004-09-28 Protection method against application denial of service attack and edge router

Country Status (1)

Country Link
JP (1) JP4278593B2 (en)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4887081B2 (en) * 2006-06-12 2012-02-29 株式会社Kddi研究所 Communication monitoring device, communication monitoring method and program
CN1968147B (en) * 2006-11-27 2010-04-14 华为技术有限公司 Service processing method, network device, and service processing system
KR101221045B1 (en) * 2008-12-22 2013-01-10 한국전자통신연구원 Packet Processing Method and TOE Hardware Using The Same
JP5300642B2 (en) * 2009-07-27 2013-09-25 日本電信電話株式会社 Method and apparatus for detecting frequent flow in communication network and program
JP5405414B2 (en) * 2010-08-13 2014-02-05 日本電信電話株式会社 Security device and flow identification method
JP5668839B2 (en) * 2011-03-17 2015-02-12 日本電気株式会社 Communication system, base station, cyber attack countermeasure method
JP5596626B2 (en) * 2011-06-09 2014-09-24 日本電信電話株式会社 DoS attack detection method and DoS attack detection device
JP5898633B2 (en) * 2013-02-13 2016-04-06 日本電信電話株式会社 Communication device
JP2016163180A (en) * 2015-03-02 2016-09-05 日本電気株式会社 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM
JP6310874B2 (en) 2015-03-12 2018-04-11 株式会社日立製作所 Incident detection system
CN106302318A (en) 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 A kind of website attack defense method and device
JP7277168B2 (en) * 2019-02-20 2023-05-18 キヤノン株式会社 Resource service system and control method

Also Published As

Publication number Publication date
JP2006100874A (en) 2006-04-13

Similar Documents

Publication Publication Date Title
US7478429B2 (en) Network overload detection and mitigation system and method
US8295188B2 (en) VoIP security
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US7331060B1 (en) Dynamic DoS flooding protection
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
KR101107742B1 (en) SIP intrusion detection and response system for the protection of SPI-based services
US8006303B1 (en) System, method and program product for intrusion protection of a network
WO2008148106A1 (en) Proactive test-based differentiation method and system to mitigate low rate dos attacks
JP4278593B2 (en) Protection method against application denial of service attack and edge router
CN1968272A (en) Application layer ingress filtering
CN109005175A (en) Network protection method, apparatus, server and storage medium
JP3928866B2 (en) DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof
US20130139246A1 (en) Transparent bridge device
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
JP4284248B2 (en) Application service rejection attack prevention method, system, and program
EP1461704B1 (en) Protecting against malicious traffic
JP3966231B2 (en) Network system, unauthorized access control method and program
JP3643087B2 (en) Communication network, router and distributed denial-of-service attack detection protection method
JP4322179B2 (en) Denial of service attack prevention method and system
JP4878630B2 (en) Communication server and DoS attack prevention method
KR20120107232A (en) Distributed denial of service attack auto protection system and method
JP4602158B2 (en) Server equipment protection system
US11824831B2 (en) Hole punching abuse
JP3828523B2 (en) Unauthorized access protection device and program
EP2109279B1 (en) Method and system for mitigation of distributed denial of service attacks using geographical source and time information

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090310

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090310

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4278593

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees