[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5596626B2 - DoS攻撃検出方法及びDoS攻撃検出装置 - Google Patents

DoS攻撃検出方法及びDoS攻撃検出装置 Download PDF

Info

Publication number
JP5596626B2
JP5596626B2 JP2011129288A JP2011129288A JP5596626B2 JP 5596626 B2 JP5596626 B2 JP 5596626B2 JP 2011129288 A JP2011129288 A JP 2011129288A JP 2011129288 A JP2011129288 A JP 2011129288A JP 5596626 B2 JP5596626 B2 JP 5596626B2
Authority
JP
Japan
Prior art keywords
sip
dos attack
attack detection
user
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011129288A
Other languages
English (en)
Other versions
JP2012257102A (ja
Inventor
光俊 前村
昌幸 日野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011129288A priority Critical patent/JP5596626B2/ja
Publication of JP2012257102A publication Critical patent/JP2012257102A/ja
Application granted granted Critical
Publication of JP5596626B2 publication Critical patent/JP5596626B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、SIPサーバに送信されたSIP信号がDoS攻撃であるかを検出する技術に関する。
従来より、インターネット上のウェブサーバ等が提供するサービスを妨害する方法として、DoS攻撃(Denial of Service attack)がある。近年では、SIP(Session Initiation Protocol)を用いたIP(Internet Protocol)電話サービスの普及に伴い、SIPサーバへのDoS攻撃の発生が懸念され、このDoS攻撃の検出および防御機能が必要となっている。
従来のDoS攻撃の検出機能としては、SIPサーバの稼働状況を収集し、その稼働状況が閾値を超えた場合にDoS攻撃が発生したことを検出し、一定の比率で新規のSIPメッセージを受付け、その他の新規のSIPメッセージを破棄するものがある。この時、セッション継続のための再送SIPメッセージや、受付済みSIPメッセージの後続信号は受付ける。
これにより、SIPメッセージを大量に送りつけることによってSIPサーバのシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させることなく、SIPによるサービスを提供できる(特許文献1参照)。
しかしながら、DoS攻撃として検出された場合に一定比率で新規のSIPメッセージを破棄すると、悪意のないユーザがサービスを受けられなくなる可能性がある。そのため、原因となるSIPメッセージの送信元アドレスを元に破棄することが必要である。この場合でも、従来、DoS攻撃の検出閾値はシステム内で1つであり、ユーザ毎に閾値を保持していない。そのため、IP電話サービスの加入者の接続形態によって、一般ユーザと大規模ユーザでは利用可能なセッション数(最大SIPセッション数)が異なり、この違いにより同一の閾値ではDoS攻撃の誤検出になる可能性がある。
また、他のDoS攻撃の検出機能としては、SIPトランザクションで処理されるSIPパケットを監視し、SIPトランザクション処理の状態と監視されるSIPパケットから異常パケットを検出し、DoS攻撃として検出するものがある。SIPトランザクション処理の状態は、SIPパケットのヘッダから取得し、当該の処理状態では意図しないSIPパケットを受信した場合に、SIPパケットを異常パケットとして検出する。また、同一のトランザクション処理の状態でSIPパケットの再送回数が所定の閾値を超えた場合に、SIPパケットを異常パケットとして検出する。検出した異常パケットの数が予め設定した閾値を超えた場合に、DoS攻撃として検出する。
これにより、何らかの原因で突発的に発生した異常パケットを直ちにDoS攻撃と判断しない等、より正確にDoS攻撃を検出できる(特許文献2参照)。
しかしながら、DoS攻撃の中には、正常なSIPパケットとの違いが見られないケースがあり、この場合に対処することができない。このため、SIPパケットの通信量により判定する必要がある。この場合、従来、DoS攻撃の検出閾値はシステム内で1つであり、ユーザ毎に閾値を保持していない。そのため、IP電話サービスの加入者の接続形態によって、一般ユーザと大規模ユーザでは利用可能なセッション数(最大SIPセッション数)が異なり、この違いにより同一の閾値ではDoS攻撃の誤検出になる可能性がある。
特開2004−343580号公報 特開2007−267151号公報
以上説明したように、従来のSIP信号によるDoS攻撃対策では、SIPサーバの稼働状況によりその閾値を超えた場合にDoS攻撃として検出し、一定の比率で新規のSIPメッセージを規制する方法があるが、悪意のないユーザがサービスを受けられなくなる可能性がある。
また、SIPトランザクション処理の状態により異常パケットを判定し、DoS攻撃として検出する方法があるが、DoS攻撃の中には、正常なSIPパケットとの違いが見られないケースがあり、この場合に対処できない。
更に、規定秒間のSIP信号数(IPパケット数)によるDoS攻撃検出を実施している方法があるが、大規模ユーザを収容している場合等では、一般のユーザに比べて利用可能セッション数が多いため、通常使用の範囲内であっても誤ってDoS攻撃として検出し、規制機能が動作してしまう場合がある。
すなわち、加入者系SIPサーバにおけるSIP信号のDoS攻撃の検出に際して、上記に述べた従来の技術では、ユーザ分類について、大規模ユーザを識別する仕組み、大規模ユーザの検出閾値の設定の仕組みが備わっていないため、一般ユーザと同じ一律の閾値でDoS攻撃検出が動作し、一般ユーザに比べ利用可能なSIPセッション数が多い大規模ユーザでは、通常使用の範囲内であっても誤ってDoS攻撃として検出し、規制機能が動作してしまう課題があった。
本発明は、上記課題を鑑みてなされたものであり、その課題とするところは、大規模ユーザからの発呼を誤ってDoS攻撃として検出しないことにある。
請求項1記載のDoS攻撃検出方法は、SIPサーバに送信されたSIP信号がDoS攻撃であるかを判定し検出するDoS攻撃検出装置で行うDoS攻撃検出方法において、大規模ユーザ用のDoS攻撃検出閾値を小規模ユーザ用と区別して記憶手段に設定するステップと、前記SIP信号の送信元識別子が規制管理テーブルに含まれているか否かを判定し、前記規制管理テーブルに含まれている場合に、前記SIP信号を破棄するステップと、前記SIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、前記SIP信号の送信元が大規模ユーザであると判定するステップと、大規模ユーザであると判定された場合に、前記SIP信号の受信数と、前記大規模ユーザ用のDoS攻撃検出閾値とを比較し、当該受信数が当該閾値を超えない場合には、前記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出するステップと、前記SIP信号の受信数が前記大規模ユーザ用のDoS攻撃検出閾値を超える場合に、前記SIP信号の送信元識別子を前記規制管理テーブルに登録し、当該SIP信号を破棄するステップと、前記規制管理テーブルに登録してから規定時間を経過したSIP信号の送信元識別子を当該規制管理テーブルから削除するステップと、を有することを特徴とする。
本発明によれば、SIPサーバに送信されたSIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、そのSIP信号の送信元が大規模ユーザであると判定し、大規模ユーザであると判定された場合に、そのSIP信号の受信数と、小規模ユーザ用と区別して設定された大規模ユーザ用のDoS攻撃検出閾値とを比較して、SIP信号の受信数がDoS攻撃検出閾値を超えない場合に、上記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出するため、大規模ユーザからの発呼を誤ってDoS攻撃として検出しないことができる。
請求項3記載のDoS攻撃検出装置は、SIPサーバに送信されたSIP信号がDoS攻撃であるかを判定し検出するDoS攻撃検出装置において、大規模ユーザ用のDoS攻撃検出閾値を小規模ユーザ用と区別して記憶手段に設定する手段と、前記SIP信号の送信元識別子が規制管理テーブルに含まれているか否かを判定し、前記規制管理テーブルに含まれている場合に、前記SIP信号を破棄する手段と、前記SIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、前記SIP信号の送信元が大規模ユーザであると判定する手段と、大規模ユーザであると判定された場合に、前記SIP信号の受信数と、前記大規模ユーザ用のDoS攻撃検出閾値とを比較し、当該受信数が当該閾値を超えない場合には、前記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出する手段と、前記SIP信号の受信数が前記大規模ユーザ用のDoS攻撃検出閾値を超える場合に、前記SIP信号の送信元識別子を前記規制管理テーブルに登録し、当該SIP信号を破棄する手段と、前記規制管理テーブルに登録してから規定時間を経過したSIP信号の送信元識別子を当該規制管理テーブルから削除する手段と、を有することを特徴とする。
本発明によれば、SIPサーバに送信されたSIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、そのSIP信号の送信元が大規模ユーザであると判定し、大規模ユーザであると判定された場合に、そのSIP信号の受信数と、小規模ユーザ用と区別して設定された大規模ユーザ用のDoS攻撃検出閾値とを比較して、SIP信号の受信数がDoS攻撃検出閾値を超えない場合に、上記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出するため、大規模ユーザからの発呼を誤ってDoS攻撃として検出しないことができる。
本発明によれば、大規模ユーザからの発呼を誤ってDoS攻撃として検出しないことができる。
本発明を適用するシステムの全体接続構成を示す図である。 一実施例に係るシステムの接続構成を示す図である。 DoS攻撃検出装置の機能ブロック構成を示す図である。 DoS攻撃検出装置の動作処理の流れを示すフローチャートである。
本発明は、ユーザ分類毎にDoS攻撃検出閾値を設けて検出を行うことを特徴としている。特に、大規模ユーザの適用を想定した大規模ユーザ用のDoS攻撃検出閾値を一般ユーザ(小規模ユーザ用のDoS攻撃検出閾値)と区別して設定することを可能とし、そのDoS攻撃検出閾値に基づいてDoS攻撃検出および規制を行う。但し、大規模ユーザ用のDoS攻撃検出閾値は、加入者の最大SIPセッション数を元に決定する。
以下、本発明について図面を用いて説明する。但し、本発明は多くの異なる様態で実施することが可能であり、本実施の形態の記載内容に限定して解釈すべきではない。
図1は、本発明を適用するシステムの全体接続構成を示す図である。本システムは、中継系SIPサーバ1と、加入者系SIPサーバ2a,2bと、アプリケーションサーバ収容ルータ3aと、加入者収容ルータ3b,3cと、アプリケーションサーバ4aa〜4acと、一般ユーザ端末装置4ba,4bb,4ca,4cbと、大規模ユーザ端末装置4bc,4ccとで主に構成される。
加入者系SIPサーバ2aおよび加入者系SIPサーバ2bは、中継ルータ(不図示)を介して相互に接続され、かつ中継系SIPサーバ1に接続されている。アプリケーションサーバ収容ルータ3aおよび加入者収容ルータ3bは、加入者系SIPサーバ2aに接続され、加入者収容ルータ3cは、加入者系SIPサーバ2bに接続されている。
また、アプリケーションサーバ4aa〜4acはアプリケーションサーバ収容ルータ3aに接続され、一般ユーザ端末装置4ba,4bbおよび大規模ユーザ端末装置4bcは、加入者収容ルータ3bに接続され、一般ユーザ端末装置4ca,4cbおよび大規模ユーザ端末装置4ccは、加入者収容ルータ3cに接続されている。以下、それら各サーバ等の機能について説明する。
中継系SIPサーバ1は、SIPによる中継系のセッション制御機能や、他の通信ネットワークとの接続制御機能を有するサーバである。
加入者系SIPサーバ2a,2bは、本発明が適用される装置であり、SIPによる加入者系のセッション制御機能や、DoS攻撃の検出および規制を実施する機能を有するサーバである。
アプリケーションサーバ収容ルータ3aは、アプリケーションサーバ4aa〜4acを収容するルータである。加入者収容ルータ3bは、一般ユーザ端末装置4ba,4bbおよび大規模ユーザ端末装置4bcを収容するルータである。加入者収容ルータ3cは、一般ユーザ端末装置4ca,4cbおよび大規模ユーザ端末装置4ccを収容するルータである。
アプリケーションサーバ4aa〜4acは、高度なアプリケーションサービス(付加サービス)を提供する機能を有するサーバである。一般ユーザ端末装置4ba,4bb,4ca,4cb、大規模ユーザ端末装置4bc,4ccは、ユーザが操作する端末装置である。
このような全体構成を有するシステムにおいて、本発明では、加入者系SIPサーバ2aおよび加入者系SIPサーバ2bに、ユーザ分類毎に区別したDoS攻撃検出閾値を設けて検出機能を適用する。以下、それを実現する一例について説明する。
最初に、本実施例のシステム概要について説明する。図2は、本実施例に係るシステムの接続構成例を示す図である。同図は、図1の一部分を示しており、本発明に関係する部分のみを概念的に示している。
同図は、本システムが、加入者系SIPサーバ2aと、アプリケーションサーバ収容ルータ3aと、加入者収容ルータ3bと、アプリケーションサーバ4aaと、一般ユーザ端末装置4baと、大規模ユーザ端末装置4bcとを有して構成されることを示している。
加入者系SIPサーバ2aは、アプリケーションサーバ収容ルータ3aおよび加入者収容ルータ3bに接続され、アプリケーションサーバ4aaは、アプリケーションサーバ収容ルータ3aに接続され、一般ユーザ端末装置4baおよび大規模ユーザ端末装置4bcは、ホームゲートウェイ(不図示)を介して加入者収容ルータ3bに接続されている。
加入者系SIPサーバ2aは、SIPによる加入者系のセッション制御機能を有するサーバである。ユーザの分類に応じたDoS攻撃検出閾値を保持し、各分類のユーザからのSIPパケットP1〜P3を識別して、DoS攻撃の検出および規制を行う機能を有している。
アプリケーションサーバ収容ルータ3aは、アプリケーションサーバ4aaを収容するルータである。また、加入者収容ルータ3bは、一般ユーザ端末装置4baおよび大規模ユーザ端末装置4bcを収容するルータである。
アプリケーションサーバ4aaは、高度なアプリケーションサービス(付加サービス)を提供する機能を有するサーバである。また、一般ユーザ端末装置4baおよび大規模ユーザ端末装置4bcは、ユーザが操作する端末装置である。
次に、システムの機能について説明する。前述したように、本発明に係るDoS攻撃検出装置は、加入者系SIPサーバ2aで動作し、その加入者系SIPサーバ2aに送信されたSIP信号がDoS攻撃であるかを判定し検出する装置である。
図3は、図2に示したDoS攻撃検出装置の機能ブロック構成を示す図である。なお、同図は、本発明に関係する部分のみを概念的に示している。
DoS攻撃検出装置2aは、SIPメッセージ送受信部21aと、規制処理部22aと、セッション制御部23aと、データ蓄積部24aと、データ設定部25aとで主に構成される。以下、それら各部の機能について詳述する。
SIPメッセージ送受信部21aは、一般ユーザ端末装置4baや大規模ユーザ端末装置4bc(以下、単に端末装置という場合もある)、アプリケーションサーバ4aaから送信されるSIPメッセージ(SIP信号)を受信して、後段の規制処理部22aに渡す機能を有している。また、セッション制御部23aからの情報に基づいて、端末装置やアプリケーションサーバにSIPメッセージを送信する機能を有している。
規制処理部22aは、SIPメッセージ送受信部21aから受け取ったSIPメッセージの送信元アドレス(例えば、IPアドレス等)を使用して、規制中の送信元アドレスを管理している規制管理テーブル(不図示)を検索し、検索でヒットすることにより当該の送信元アドレスが規制中である場合には、当該のSIPメッセージを破棄する機能を有している。
一方、検索でヒットしないことにより規制中でない場合には、内部に具備されたDoS攻撃検出部221aにSIPメッセージ情報を渡し、そのDoS攻撃検出部221aにより、DoS攻撃検出を実行させる機能を有している。
また、規制処理部22aは、DoS攻撃検出部221aによって、送信されたSIPメッセージがDoS攻撃として検出された場合に、当該のSIPメッセージを破棄し、DoS攻撃として検出されなかったSIPメッセージについては、セッション制御部23aに通知する機能を有している。
更に、規制処理部22aは、規制対象中の加入者について規制時間を測定し、設定された規制時間を過ぎた場合には、上記規制管理テーブルから当該の送信元アドレスを削除することにより規制を解除し、該当の送信元アドレスのSIPメッセージの破棄を停止する機能を有している。
規制処理部22a内で動作するDoS攻撃検出部221aは、SIPメッセージ送受信部21aから受け取ったSIPメッセージの送信元アドレスを使用して、単位時間当たりのSIPメッセージの受信回数をカウントし、カウント中の送信元アドレステーブル(不図示)を更新する機能を有している。この送信元アドレステーブルには、SIPメッセージの送信元アドレスと、単位時間当たりのSIPメッセージの受信回数とが対応付けて保持されている。
また、DoS攻撃検出部221aは、当該の送信元アドレスに対応する加入者データ毎最大SIPセッション数241aをデータ蓄積部24aから取得し、大規模ユーザ分類対象SIPセッション数242aを更に取得して、加入者データ毎最大SIPセッション数241aが大規模ユーザ分類対象SIPセッション数242aを越えるか否かに基づいて、SIPメッセージの送信元が大規模ユーザであるか否かを判定する機能を有している。
更に、DoS攻撃検出部221aは、SIPメッセージの送信元が大規模ユーザであると判定された場合に、大規模ユーザ用として設定されたユーザ分類別DoS攻撃検出閾値243aをデータ蓄積部24aから取得し、単位時間当たりのSIPメッセージの受信回数が当該ユーザ分類別DoS攻撃検出閾値243aを超えているか否かに基づいて、送信されたSIPメッセージがDoS攻撃であるか否かを判定して、DoS攻撃/非DoS攻撃であると検出する機能を有している。
また、DoS攻撃検出部221aは、DoS攻撃と判定された場合に、そのSIPメッセージの送信元アドレスを上記規制管理テーブルに追加し、当該の送信元アドレスからのSIPメッセージを以降破棄するように規制処理部22aに通知する機能を有している。
セッション制御部23aは、規制されていない加入者からのSIPメッセージを受け取り、セッション制御の処理を実施し、送信する応答メッセージをSIPメッセージ送受信部21aに通知する機能を有している。
データ蓄積部24aは、送信元毎に区別して設定された加入者データ毎最大SIPセッション数241aと、大規模ユーザに分類するか否かを識別する大規模ユーザ分類対象SIPセッション数242a(基準SIPセッション数)と、大規模ユーザ用と一般ユーザ用とで区別して設定されたユーザ分類別DoS攻撃検出閾値243aとの各データを蓄積する機能を有し、DoS攻撃検出部221aから参照される。
データ設定部25aは、保守運用装置(不図示)から送信された最大SIPセッション数,SIPセッション数,DoS攻撃検出閾値の各値を用いて、データ蓄積部24aの各データの値を設定および変更する機能を有している。すなわち、加入者データ毎最大SIPセッション数241aに応じた大規模ユーザ分類対象SIPセッション数242aの設定や、加入者データ毎最大SIPセッション数241aに応じたユーザ分類別DoS攻撃検出閾値243aを設定等する。
なお、SIPメッセージ送受信部21aと、規制処理部22aと、DoS攻撃検出部221aと、セッション制御部23aと、データ設定部25aとは、CPU等の制御手段により実現でき、データ蓄積部24aは、メモリ等の記憶手段により実現できる。また、それら各部で行う各処理は、コンピュータプログラムにより実現可能に実行される。
次に、上述した機能を有するDoS攻撃機能装置の動作処理の流れについて説明する。図4は、DoS攻撃機能装置の動作処理の流れを示すフローチャートである。なお、同図は、本発明に関係する部分のみを概念的に示している。
まず、SIPメッセージ送受信部21aにより、端末装置及び/又はアプリケーションサーバから送信されたSIPメッセージが受信され(S1)、そのSIPメッセージの送信元アドレスが規制管理テーブルに含まれているか否かに基づいて、その送信元アドレスからのSIPメッセージが規制中であるか否かが判定される(S2)。
次に、S2の判定で規制中と判定された場合には、そのSIPメッセージは破棄され(S8)、規制中でないと判定された場合には、DoS攻撃検出部221aにより、送信元アドレス毎に単位時間当たりのメッセージ受信数がカウントアップされて、送信元アドレステーブルが更新される(S3)。
引き続き、DoS攻撃検出部221aにより、受信したSIPメッセージの送信元アドレスに対応する加入者データ毎最大SIPセッション数241aがデータ蓄積部24aから取得され、大規模ユーザ分類対象SIPセッション数242aを用いて、そのSIPメッセージの送信元が大規模ユーザであるか否かが判定される(S4)。
すなわち、当該の送信元アドレスに対応する加入者データ毎最大SIPセッション数241aが、大規模ユーザ分類対象SIPセッション数242aを超える場合には、大規模ユーザであると判定され、一方、超えない場合には、大規模ユーザ以外(一般ユーザ)であると判定される。
その後、S4で大規模ユーザと判定された場合には、大規模ユーザ用のユーザ分類別DoS攻撃検出閾値243aが取得され(S5)、S3でカウントした単位時間当たりのメッセージ受信数が大規模ユーザ用の当該閾値を超えているか否かに基づいて、送信されたSIPメッセージがDoS攻撃であるか否かが判定され、DoS攻撃/非DoS攻撃が検出される(S7)。
すなわち、単位時間当たりのメッセージ受信数が大規模ユーザ用のユーザ分類別DoS攻撃検出閾値243aを超えている場合には、DoS攻撃であると判定され、DoS攻撃として検出され、一方、超えない場合には、DoS攻撃でないと判定され、非DoS攻撃として検出される。
一方、S4で大規模ユーザ以外であると判定された場合には、インタフェースによる閾値が取得され(S6)、S3でカウントした単位時間当たりのメッセージ受信数がインタフェースによる当該閾値を超えているか否かに基づいて、送信されたSIPメッセージがDoS攻撃であるか否かが判定され、DoS攻撃/非DoS攻撃が検出される(S7)。
S7でDoS攻撃として検出された場合には、規制処理部22aにより、規制管理テーブルに当該送信元のIPアドレスが登録され、SIPメッセージを破棄する規制中に移行する(S8)。
一方、非DoS攻撃として検出された場合には、セッション制御部23aにより、セッション処理が実行され(S9)、応答すべきSIPメッセージの送信が行われる(S10)。
本実施例によれば、加入者系SIPサーバ2aに送信されたSIP信号の送信元に対して設定された加入者データ毎最大SIPセッション数241aが、大規模ユーザ分類対象SIPセッション数242aを越える場合に、そのSIP信号の送信元が大規模ユーザであると判定し、大規模ユーザであると判定された場合に、そのSIP信号の受信数と、小規模ユーザ用と区別して設定された大規模ユーザ用のユーザ分類別DoS攻撃検出閾値243aとを比較して、SIP信号の受信数が当該ユーザ分類別DoS攻撃検出閾値243aを超えない場合に、上記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出するので、大規模ユーザからの発呼を誤ってDoS攻撃として検出しないことができる。
これにより、大規模ユーザにとっては、誤ってDoS攻撃として検出され、加入者系SIPサーバの提供サービスを受けられなくなることが防止されることから、加入者系SIPサーバでのサービス性や信頼性が向上する。
また、通信事業者にとっては、ユーザの規模に対応した細かなDoS攻撃対策を実施でき、システム運用性が向上する。
1…中継系サーバ
2a,2b…加入者系SIPサーバ(DoS攻撃検出装置)
3a…アプリケーションサーバ収容ルータ
3b,3c…加入者収容ルータ
4aa〜4ac…アプリケーションサーバ
4ba,4bb,4ca,4cb…一般ユーザ端末装置
4bc,4cc…大規模ユーザ端末装置
21a…SIPメッセージ送受信部
22a…規制処理部
221a…DoS攻撃検出部
23a…セッション制御部
24a…データ蓄積部
241a…加入者データ毎最大SIPセッション数
242a…大規模ユーザ分類対象SIPセッション数
243a…ユーザ分類別DoS攻撃検出閾値
25a…データ設定部
S1〜S10…処理ステップ

Claims (2)

  1. SIPサーバに送信されたSIP信号がDoS攻撃であるかを判定し検出するDoS攻撃検出装置で行うDoS攻撃検出方法において、
    大規模ユーザ用のDoS攻撃検出閾値を小規模ユーザ用と区別して記憶手段に設定するステップと、
    前記SIP信号の送信元識別子が規制管理テーブルに含まれているか否かを判定し、前記規制管理テーブルに含まれている場合に、前記SIP信号を破棄するステップと、
    前記SIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、前記SIP信号の送信元が大規模ユーザであると判定するステップと、
    大規模ユーザであると判定された場合に、前記SIP信号の受信数と、前記大規模ユーザ用のDoS攻撃検出閾値とを比較し、当該受信数が当該閾値を超えない場合には、前記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出するステップと、
    前記SIP信号の受信数が前記大規模ユーザ用のDoS攻撃検出閾値を超える場合に、前記SIP信号の送信元識別子を前記規制管理テーブルに登録し、当該SIP信号を破棄するステップと、
    前記規制管理テーブルに登録してから規定時間を経過したSIP信号の送信元識別子を当該規制管理テーブルから削除するステップと、
    を有することを特徴とするDoS攻撃検出方法。
  2. SIPサーバに送信されたSIP信号がDoS攻撃であるかを判定し検出するDoS攻撃検出装置において、
    大規模ユーザ用のDoS攻撃検出閾値を小規模ユーザ用と区別して記憶手段に設定する手段と、
    前記SIP信号の送信元識別子が規制管理テーブルに含まれているか否かを判定し、前記規制管理テーブルに含まれている場合に、前記SIP信号を破棄する手段と、
    前記SIP信号の送信元に対して設定された最大SIPセッション数が、所定の基準SIPセッション数を越える場合に、前記SIP信号の送信元が大規模ユーザであると判定する手段と、
    大規模ユーザであると判定された場合に、前記SIP信号の受信数と、前記大規模ユーザ用のDoS攻撃検出閾値とを比較し、当該受信数が当該閾値を超えない場合には、前記SIP信号はDoS攻撃でないと判定して、非DoS攻撃であると検出する手段と、
    前記SIP信号の受信数が前記大規模ユーザ用のDoS攻撃検出閾値を超える場合に、前記SIP信号の送信元識別子を前記規制管理テーブルに登録し、当該SIP信号を破棄する手段と、
    前記規制管理テーブルに登録してから規定時間を経過したSIP信号の送信元識別子を当該規制管理テーブルから削除する手段と、
    を有することを特徴とするDoS攻撃検出装置。
JP2011129288A 2011-06-09 2011-06-09 DoS攻撃検出方法及びDoS攻撃検出装置 Expired - Fee Related JP5596626B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011129288A JP5596626B2 (ja) 2011-06-09 2011-06-09 DoS攻撃検出方法及びDoS攻撃検出装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011129288A JP5596626B2 (ja) 2011-06-09 2011-06-09 DoS攻撃検出方法及びDoS攻撃検出装置

Publications (2)

Publication Number Publication Date
JP2012257102A JP2012257102A (ja) 2012-12-27
JP5596626B2 true JP5596626B2 (ja) 2014-09-24

Family

ID=47528231

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011129288A Expired - Fee Related JP5596626B2 (ja) 2011-06-09 2011-06-09 DoS攻撃検出方法及びDoS攻撃検出装置

Country Status (1)

Country Link
JP (1) JP5596626B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6310822B2 (ja) * 2014-09-01 2018-04-11 日本電信電話株式会社 仮想マシンのリソース管理システム、方法及びプログラム
JP2016158157A (ja) * 2015-02-25 2016-09-01 富士通株式会社 呼制御装置、呼制御方法、及び、呼制御システム
CN106302318A (zh) 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4278593B2 (ja) * 2004-09-28 2009-06-17 日本電信電話株式会社 アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2008199138A (ja) * 2007-02-09 2008-08-28 Hitachi Industrial Equipment Systems Co Ltd 情報処理装置及び情報処理システム

Also Published As

Publication number Publication date
JP2012257102A (ja) 2012-12-27

Similar Documents

Publication Publication Date Title
US9100423B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US20100095351A1 (en) Method, device for identifying service flows and method, system for protecting against deny of service attack
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
WO2003032571A1 (en) Method and apparatus for providing node security in a router of a packet network
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
CN108270722A (zh) 一种攻击行为检测方法和装置
CN101227287B (zh) 一种数据报文处理方法及数据报文处理装置
JP2007288246A (ja) 攻撃検出装置
JP5596626B2 (ja) DoS攻撃検出方法及びDoS攻撃検出装置
US12069077B2 (en) Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
JP2007267151A (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
WO2019096104A1 (zh) 攻击防范
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
JP2006164038A (ja) DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
JP2003289337A (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
CN107689967B (zh) 一种DDoS攻击检测方法和装置
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法
CN114050917A (zh) 音频数据的处理方法、装置、终端、服务器及存储介质
JP4800272B2 (ja) ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム
CN107888624B (zh) 一种防护网络安全的方法和装置
EP2493136A1 (en) Method, apparatus and system for media data replay statistics
CN112134845A (zh) 一种抗拒绝服务系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140805

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140807

R150 Certificate of patent or registration of utility model

Ref document number: 5596626

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees