WO2005109797A1 - ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム - Google Patents

Abstract

　攻撃が停止したときに、攻撃の対策を停止し、さらに、このとき、自ネットワーク攻撃対策装置よりも攻撃者側に位置して、連携して攻撃の対策を行っているネットワーク攻撃対策装置あるいは攻撃の再開に備えているネットワーク攻撃対策装置が存在するのか否かを判定することで、攻撃の再開に備える必要があるのか否かを判定する。この判定により、攻撃の再開に備える必要がないことを判定する場合に、その攻撃についての情報を削除して通常状態に復帰し、一方、攻撃の再開に備える必要があることを判定する場合に、その攻撃についての情報を削除しないことで攻撃の再開に備える。

Description

明 細 書

ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻 撃対策プログラム

技術分野

[0001] 本発明は、ネットワーク上に存在する装置あるいはネットワークに対して行われる不 必要なパケットを使った攻撃を防御するネットワーク攻撃対策方法及びその装置と、 そのネットワーク攻撃対策方法の実現に用いられるネットワーク攻撃対策プログラムと に関する。

[0002] さらに詳しく説明するならば、本発明は、ネットワークに接続されている一つ以上の 端末が、別の一つ以上の端末やサーバなどに不必要なパケットを送信することにより 、パケットの送信先の端末がネットワークに接続して行っているサービスなどを妨害す るネットワーク攻撃に対して、その対策を複数の装置で行っている場合に、それらの 各装置が自律的に攻撃対策を停止し、かつ、対策範囲を収束させる技術に関するも のである。

背景技術

[0003] 不必要なパケットを大量に送りつけてくるネットワーク攻撃（DDoS攻撃）は、ネットヮ ークの複数地点力 攻撃パケットが送られてくるため、ネットワークの複数地点で攻撃 の対策を行うことで効果的にネットワークを守ることができる。

[0004] この観点に立ったネットワーク攻撃の対策システムとして、 Arbor networks社の

PeakFlowや日本電信電話株式会社の

MovingFirewall ¾ある。

[0005] Arbor networks社の PeakFlow (例えば、非特許文献 1参照）は、複数地点でトラヒッ クを観測することでネットワーク攻撃を検知して、ネットワーク内に存在するルータや 対策装置等で対策を行う。

[0006] ただし、このシステムでは、攻撃が収まったら、システムの管理者が対策を停止する 必要がある。

[0007] 一方、日本電信電話株式会社の MovingFirewallは、防御対象の近くで攻撃を検 知し複数の攻撃端末に向力つてファイアウォール機能を動力していくことで防御する ネットワークを広げていく。

[0008] このシステムでは、ネットワーク内の各装置が自律的に攻撃の停止を判断して対策 を止める。このとき、攻撃の情報は保持し続けて攻撃が再開したときのために備える。 最終的に全ての装置で攻撃が停止したと判断された場合、各装置の情報を知ること 力 Sできる管理装置によって、各装置は初期化され攻撃の情報も削除される。

[0009] このように、このシステムでは、攻撃が収まったら、システムの管理者によらずに、各 装置が初期化されることになる。なお、システム管理者が各装置の初期化の命令を 出すこともできるようになって!/、る。

非特許文献 1： PEAKFLOW SPゝインターネットく URL：

http :/ / www.aroornetwor s . com

発明の開示

発明が解決しょうとする課題

[0010] 日本電信電話株式会社の MovingFirewallは DDoS攻撃に対して極めて有効な対 策システムを構築するものの、管理装置が必要になる。

[0011] 一方、ネットワーク攻撃対策装置には、システムが攻撃停止の判断を行い自動で通 常時の状態に戻るものもある。

[0012] このようなシステムにおいて各装置が独立に攻撃対策の停止を行う場合、各装置で 攻撃が停止したと判断すると同時に攻撃の情報を即座に消去するという方法がある。

[0013] し力し、この方法を用いると、他の装置にお!、て攻撃の対策を続けて 、るのであれ ば攻撃再開の可能性があるため、攻撃が再開した際に攻撃の情報を保持していな い装置は即座に対応できず、そこが穴となり、防げるはずであった攻撃トラヒックが防 御して！/、たネットワークに流入してしまうと!、う問題がある（問題 1)。

[0014] そこで、攻撃再開時に即座に対応するために、過去の情報を保持し続けるという方 法もある。

[0015] しかし、攻撃の情報を保持し続けると、過去の攻撃情報が飽和してしま 、検知処理 や対策処理を圧迫してしまう。そのため、ある時点においてこれらの情報を削除する 必要があるが、独立にこの削除処理が行われて!/、ると適切な削除の契機が判断でき な!、と!/、う問題がある（問題 2)。

[0016] また、上述したように、管理システムを設置することで全ての装置で対策が停止した ことを判断し、対策の最終停止を行うという方法がある。

[0017] しかし、この方法では管理装置が必要になるという問題がある（問題 3)。また、各装 置の対策停止後に攻撃が再開した場合に即座に対応するための情報も、全ての装 置が対策を停止するまで削除されないため、（問題 2)の解決策としては不十分であ る。

[0018] 本発明は力かる事情に鑑みてなされたものであって、本発明を適用した複数のネッ トワーク攻撃対策装置において、各装置が自律的に判断して攻撃対策を停止する際 に、これらの問題を解決しながら攻撃対策の停止処理を行うことを可能にする新たな ネットワーク攻撃対策技術の提供を目的とする。

課題を解決するための手段

[0019] 上述した課題を解決し、目的を達成するため、請求項 1に係る発明は、ネットワーク 上に存在する装置あるいはネットワークに対して行われる不必要なパケットを使った 攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク攻撃対策装 置で実行されるネットワーク攻撃対策方法であって、前記攻撃の停止に応じて当該 攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対 策装置が現に攻撃の対策を行っている力、攻撃の再開に備えている力、あるいは攻 撃の対策を停止して通常状態に復帰しているかに応じて、前記攻撃の再開に備える 必要がある力否かを判定する判定工程と、前記判定工程によって攻撃の再開に備え る必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態に 復帰する復帰工程と、前記判定工程によって攻撃の再開に備える必要があると判定 された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備え る再開備え工程と、を含んだことを特徴とする。

[0020] また、請求項 2に係る発明は、上記の発明において、前記判定工程は、自装置より も攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて攻撃の再開 に備える必要がある力否かを判定することを特徴とする。

[0021] また、請求項 3に係る発明は、上記の発明において、前記攻撃の対策として自装置 よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃につい ての情報を通知する攻撃通知工程をさらに含み、前記判定工程は、前記攻撃につ いての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰してい るかに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とす る。

[0022] また、請求項 4に係る発明は、上記の発明において、前記判定工程は、前記攻撃 についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に 復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とす る。

[0023] また、請求項 5に係る発明は、上記の発明において、前記攻撃についての情報を 削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他 のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知工程を さらに含み、前記判定工程は、前記攻撃についての情報の通知先である他のネット ワーク攻撃対策装置の全て力 通常状態に復帰した旨の通知を受け取った場合に、 前記攻撃の再開に備える必要がな ヽと判定することを特徴とする。

[0024] また、請求項 6に係る発明は、ネットワーク上に存在する装置あるいはネットワークに 対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置と 連携して防御するネットワーク攻撃対策装置であって、前記攻撃の停止に応じて当 該攻撃の対策を停止した場合に、自装置よりも攻撃者側に位置するネットワーク攻撃 対策装置が現に攻撃の対策を行っている力、攻撃の再開に備えている力、あるいは 攻撃の対策を停止して通常状態に復帰しているかに応じて、前記攻撃の再開に備え る必要があるか否かを判定する判定手段と、前記判定手段によって攻撃の再開に備 える必要がないと判定された場合に、当該攻撃についての情報を削除して通常状態 に復帰する復帰手段と、前記判定手段によって攻撃の再開に備える必要があると判 定された場合に、当該攻撃についての情報を削除することなく当該攻撃の再開に備 える再開備え手段と、を備えたことを特徴とする。

[0025] また、請求項 7に係る発明は、上記の発明において、前記判定手段は、自装置より も攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃の 再開に備える必要がある力否かを判定することを特徴とする。

[0026] また、請求項 8に係る発明は、上記の発明において、前記攻撃の対策として自装置 よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃につい ての情報を通知する攻撃通知手段をさらに備え、前記判定手段は、前記攻撃につい ての情報の通知先である他のネットワーク攻撃対策装置が通常状態に復帰している かに応じて、前記攻撃の再開に備える必要がある力否かを判定することを特徴とする

[0027] また、請求項 9に係る発明は、上記の発明において、前記判定手段は、前記攻撃 についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に 復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とす る。

[0028] また、請求項 10に係る発明は、上記の発明において、前記攻撃についての情報を 削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他 のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手段を さらに備え、前記判定手段は、前記攻撃についての情報の通知先である他のネット ワーク攻撃対策装置の全て力 通常状態に復帰した旨の通知を受け取った場合に、 前記攻撃の再開に備える必要がな ヽと判定することを特徴とする。

[0029] また、請求項 11に係る発明は、ネットワーク上に存在する装置あるいはネットワーク に対して行われる不必要なパケットを使った攻撃を複数のネットワーク攻撃対策装置 と連携して防御するネットワーク攻撃対策装置で実行されるネットワーク攻撃対策プ ログラムであって、前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自 装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行つ ているか、攻撃の再開に備えている力、あるいは攻撃の対策を停止して通常状態に 復帰しているかに応じて、前記攻撃の再開に備える必要があるか否かを判定する判 定手順と、前記判定手順によって攻撃の再開に備える必要がないと判定された場合 に、当該攻撃についての情報を削除して通常状態に復帰する復帰手順と、前記判 定手順によって攻撃の再開に備える必要があると判定された場合に、当該攻撃につ いての情報を削除することなく当該攻撃の再開に備える再開備え手順と、をコンビュ ータに実行させることを特徴とする。

[0030] また、請求項 12に係る発明は、上記の発明において、前記判定手順は、自装置よ りも攻撃者側に位置するネットワーク攻撃対策装置が存在するかに応じて前記攻撃 の再開に備える必要がある力否かを判定することを特徴とする。

[0031] また、請求項 13に係る発明は、上記の発明において、前記攻撃の対策として自装 置よりも攻撃者側に位置する他のネットワーク攻撃対策装置に対して前記攻撃につ いての情報を通知する攻撃通知手順をさらにコンピュータに実行させ、前記判定手 順は、前記攻撃にっ 、ての情報の通知先である他のネットワーク攻撃対策装置が通 常状態に復帰しているかに応じて、前記攻撃の再開に備える必要があるか否かを判 定することを特徴とする。

[0032] また、請求項 14に係る発明は、上記の発明において、前記判定手順は、前記攻撃 についての情報の通知先である他のネットワーク攻撃対策装置の全てが通常状態に 復帰している場合に、前記攻撃の再開に備える必要がないと判定することを特徴とす る。

[0033] また、請求項 15に係る発明は、上記の発明において、前記攻撃についての情報を 削除して通常状態に復帰する場合に、当該攻撃についての情報の通知元である他 のネットワーク攻撃対策装置に対して通常状態への復帰を通知する復帰通知手順を さらにコンピュータに実行させ、前記判定手順は、前記攻撃についての情報の通知 先である他のネットワーク攻撃対策装置の全て力 通常状態に復帰した旨の通知を 受け取った場合に、前記攻撃の再開に備える必要がないと判定することを特徴とす る。

発明の効果

[0034] 請求項 1、 6または 11の発明によれば、攻撃の停止に応じて攻撃の対策を停止した 場合に、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が現に攻撃の 対策を行っている力 攻撃の再開に備えているか、あるいは攻撃の対策を停止して 通常状態に復帰しているかに応じて、攻撃の再開に備える必要がある力否かを判定 し、攻撃の再開に備える必要がないと判定された場合に、攻撃についての情報を削 除して通常状態に復帰し、攻撃の再開に備える必要があると判定された場合に、攻 撃についての情報を削除することなく攻撃の再開に備えるよう構成したので、複数の ネットワーク攻撃対策装置を使ってネットワークを保護するシステムにおいて、管理装 置を用いないで各装置が自律的に攻撃停止と対策停止の判定を行う場合でも、攻 撃の再開に備えつつ効率的に対策範囲を収束することができるという効果を奏する。

[0035] また、請求項 2、 7または 12の発明によれば、自装置よりも攻撃者側に位置するネッ トワーク攻撃対策装置が存在するかに応じて攻撃の再開に備える必要がある力否か を判定するよう構成したので、自装置よりも攻撃者側に位置するネットワーク攻撃対 策装置が存在しない場合であっても、攻撃の再開に備えつつ効率的に対策範囲を 収束することができると 、う効果を奏する。

[0036] また、請求項 3、 8または 13の発明によれば、攻撃の対策として自装置よりも攻撃者 側に位置する他のネットワーク攻撃対策装置に対して攻撃についての情報を通知す ることとし、攻撃につ!、ての情報の通知先である他のネットワーク攻撃対策装置が通 常状態に復帰しているかに応じて、攻撃の再開に備える必要がある力否かを判定す るよう構成したので、自装置が攻撃通知を行った他のネットワーク攻撃対策装置が通 常状態に戻った力否かに基づいて自装置で行われている攻撃対策を «続するべき か否かを判定することによって、攻撃対策を «続すべきか否かを効率的に判定する ことができる。したがって、攻撃の再開に備えつつ効率的に対策範囲を収束すること ができるという効果を奏する。

[0037] また、請求項 4、 9または 14の発明によれば、攻撃についての情報の通知先である 他のネットワーク攻撃対策装置の全てが通常状態に復帰して 、る場合に、攻撃の再 開に備える必要がないと判定するよう構成したので、自装置が攻撃通知を行った他 のネットワーク攻撃対策装置が全て通常状態に戻った場合、すなわち、自装置が攻 撃者側に最も近い最前線ノードであることを検出した場合に、攻撃対策を停止するこ とができる。したがって、効率的に対策範囲を収束することができるという効果を奏す る。

[0038] また、請求項 5、 10または 15の発明によれば、攻撃についての情報を削除して通 常状態に復帰する場合に、攻撃についての情報の通知元である他のネットワーク攻 撃対策装置に対して通常状態への復帰を通知することとし、攻撃についての情報の 通知先である他のネットワーク攻撃対策装置の全て力 通常状態に復帰した旨の通 知を受け取った場合に、攻撃の再開に備える必要がないと判定するよう構成したの で、復帰通知を用いることによって、自装置が攻撃通知を行った他のネットワーク攻 撃対策装置が全て通常状態に戻ったことを確実に把握することが可能となる。したが つて、効率的に対策範囲を収束することができるという効果を奏する。

図面の簡単な説明

[0039] [図 1]図 1は、 DDoS防御装置の連携による攻撃対象の防御の一例を示す図である。

[図 2]図 2は、本発明を具備する DDoS防御装置の装置構成の一例を示す図である

[図 3]図 3は、攻撃パケット情報 DBのデータ構造の一例を示す図である。

[図 4]図 4は、装置連携情報 DBのデータ構造の一例を示す図である。

[図 5]図 5は、パケット振分部の実行する処理フローの一例を示す図である。

[図 6]図 6は、攻撃検出部の実行する処理フローの一例を示す図である。

[図 7]図 7は、攻撃パケット対処部の実行する処理フローの一例を示す図である。

[図 8]図 8は、停止 ·再起動判定部の実行する処理フローの一例を示す図である。

[図 9]図 9は、装置連携部の実行する処理フローの一例を示す図である。

[図 10]図 10は、装置連携部の実行する処理フローの一例を示す図である。

符号の説明

[0040] 101 ネットワークインタフェース部

102 パケット振分部

103 攻撃検出部

104 攻撃パケット情報 DB

105 攻撃パケット対処部

106 停止 ·再起動判定部

107 装置連携部

108 装置連携情報 DB

発明を実施するための最良の形態

[0041] まず、本発明をネットワーク攻撃対策装置に適用した場合の処理について説明す る。なお、以下の説明では、特定の攻撃への対策を停止した場合に、ネットワーク攻 撃対策装置の対策状態が、攻撃の対策を停止して通常状態に復帰している状態で ある「通常状態」にあるか否かに応じて攻撃の再開に備える必要がある力否かを判定 する場合について説明する。しかしながら、これに限らず、かかる対策状態が、攻撃 対策を実行している「対策中状態」であるか否か、あるいは、攻撃対策は停止してい るものの攻撃にっ 、ての情報を保持して 、る「再開備え状態」であるか否かに応じ、 攻撃の再開に備える必要がある力否かを判定することとしてもよ 、。

[0042] 本発明のネットワーク攻撃対策装置は、他の装置 (ネットワーク攻撃対策装置）と連 携しつつネットワーク攻撃を防御するものであり、他の装置力 攻撃情報を通知され たら、その装置の情報を記憶する。もし、自装置で攻撃を検知したのであるならば、 検知したのが自装置であることを記憶する。そして、攻撃情報を他の装置に通知する 際には、どの装置に通知したのかを記憶する。

[0043] 次に、本発明のネットワーク攻撃対策装置において、攻撃対策中に、監視している ネットワーク内の攻撃トラヒックが収まったと判断したら、攻撃対策を停止する。

[0044] この際に、収まったと判断した攻撃情報を他の装置に通知していた場合には、この 攻撃情報を削除せずに保持し続けて攻撃の再開に備える。

[0045] 一方、収まったと判断した攻撃情報を他の装置に通知していなかった場合には、こ の攻撃情報を削除して、通常時の状態に戻る。

[0046] このとき、この削除する攻撃情報が他の装置力も通知された情報であった場合には 、その装置に対して、攻撃が収まり攻撃情報を削除したことを通知 (通常状態への復 帰通知)し、また、この削除する攻撃情報の攻撃が自装置で検知したものであった場 合には、攻撃情報を削除したことを通知する必要はないので、そのまま通常時の状 態に戻る。

[0047] 次に、本発明のネットワーク攻撃対策装置は、他の装置から攻撃情報の削除の通 知を受けたら、通知をしてきた装置を記憶する。このとき、自装置において攻撃対策 を停止して!/、るのかと!/、うことと、自装置が攻撃情報を通知した全ての装置から攻撃 情報削除の通知がきて 、るのかと 、うことを調べる。

[0048] この調査により、自装置において攻撃対策を停止していないなら対策を続行し、一 方、自装置において攻撃対策を停止しているものの、 1つでも攻撃情報削除の通知 を送ってきて 、な 、装置があったら、そのまま攻撃の再開に備える。

[0049] そして、自装置にぉ 、て攻撃対策を停止して 、て、かつ、自装置が攻撃情報を通 知した全ての装置力 攻撃情報削除の通知がきていたら、自装置においても攻撃情 報を削除して、通常時の状態に戻る。

[0050] このとき、この削除する攻撃情報が他の装置力も通知された情報であった場合には 、その装置に対して、攻撃が収まり攻撃情報を削除したことを通知し、また、この削除 する攻撃情報の攻撃が自装置で検知したものであった場合には、攻撃情報を削除し たことを通知する必要はないので、そのまま通常時の状態に戻る。

[0051] この規則に従って、本発明のネットワーク攻撃対策装置のそれぞれの装置が攻撃 対策の停止処理を行うことにより、各装置が自律的に判断して攻撃対策を停止する 場合でも、防御しているネットワークに対して穴を作ることなぐ攻撃対策を行っている 装置および攻撃の再開に備えている装置の存在する範囲を収束していくことが可能 である。そして、攻撃が再開した場合にも、収束途中の装置において即座に対処可 能であり、その装置力 攻撃情報を再通知することにより防御範囲を拡大することが できる。

[0052] このようにして、本発明によれば、攻撃にあわせて、攻撃対策を行って 、る装置およ び攻撃の再開に備えて 、る装置の存在する範囲を柔軟に変化させることができるの で、各装置は攻撃情報の飽和により処理が圧迫される可能性は従来よりも低くなる。 そして、各装置が自律的に判断を行って攻撃対策を停止したり、通常時の状態に戻 つたりできるため、これらの処理を実現するための管理装置を用意する必要がない。

[0053] 次に、実施の形態に従って本発明を詳細に説明する。

実施例

[0054] 図 1に、本発明の一実施形態例として、 DDoS攻撃発生時における複数の DDoS 防御装置の連携による攻撃対象の防御を示した接続例を図示する。

[0055] 図 1において、 DDoS攻撃端末 31〜35が攻撃対象 11および攻撃対象 12へ攻撃 パケットを送信しており、また、各 DDoS攻撃端末 31〜35と攻撃対象 11, 12との間 には複数の DDoS防御装置 21〜27が接続されており、これらの DDoS防御装置 21 〜27が連携して DDoS攻撃力も攻撃対象 11, 12を防御している。

[0056] これらの DDoS防御装置 21〜27は、攻撃対象 11, 12に対する DDoS攻撃が発生 すると、具体的には、攻撃対象 11, 12に近い DDoS防御装置 21, 22から攻撃に対 する防御に入り、

DDoS防御装置 21, 22→DDoS防御装置 23

→DDoS防御装置 24→DDoS防御装置 25〜26

→DDoS防御装置 27

というように、 DDoS攻撃端末 31〜35の側へと防御ラインを広げていって、 DDoS攻 撃が終了すると、攻撃対象 11, 12から遠い DDoS防御装置 25〜27から攻撃に対す る防御の停止を行って、

DDoS防御装置 25〜26→DDoS防御装置 24→DDoS防御装置 23

DDoS防御装置 27 →DDoS防御装置 23

→DDoS防御装置 21, 22

t 、うように、防御ラインを収束させて 、くことになる。

[0057] 図 2に、本発明を具備する DDoS防御装置 21〜27の装置構成の一例を図示する

[0058] この図に示すように、本実施形態例の DDoS防御装置 21〜27は、ネットワークイン タフ ース部 101と、パケット振分部 102と、攻撃検出部 103と、攻撃パケット情報 DB 104と、攻撃パケット対処部 105と、停止 ·再起動判定部 106と、装置連携部 107と、 装置連携情報 DB108とを備える。

[0059] DDoS防御装置 21〜27は、 DDoS攻撃が発生していない状態では、パケットをネ ットワークインタフェース部 101で受信すると、パケット振分部 102を経由させてネット ワークインタフェース部 101へ転送する。

[0060] 一方、 DDoS防御装置 21〜27は、 DDoS攻撃の状態では、攻撃パケットをネットヮ 一クインタフエース部 101で受信すると、その攻撃パケットを停止.再起動判定部 106 や攻撃検出部 103を経由させて、攻撃パケット対処部 105で攻撃対策処理を施して 力もネットワークインタフェース部 101へと転送することによって、 DDoS攻撃から攻撃 対象 11, 12を保護することを実現する。 [0061] 図 3に、攻撃パケット情報 DB104のデータ構造の一例を図示し、図 4に、装置連携 情報 DB108のデータ構造の一例を図示する。

[0062] 攻撃パケット情報 DB104は、攻撃パケット情報を管理するものであって、図 3に示 すように、攻撃パケットの識別情報に対応付けて、その攻撃パケットへの対処方法と、 その対処方法の実施停止の条件と、その対処方法の再起動の条件と、その対処方 法を起動中であるの力停止中 (停止は終了と同義)であるのかを示す状態情報とを管 理する。

[0063] また、装置連携情報 DB108は、連携して攻撃に対しての対策を実施する装置の連 携情報を管理するものであって、図 4に示すように、攻撃パケット情報に対応付けて、 その攻撃パケット情報を送信してきた装置の情報 (送信元の装置の情報)と、その攻 撃パケット情報を送信した装置の情報 (送信先の装置の情報)と、その送信先の装置 の状態情報とを管理する。ここで、送信先の装置の中に自装置を含めるようになって おり、その送信先の装置の状態情報で、自装置の状態情報を管理するようにしてい る。

[0064] 例えば、図 4に示す装置連携情報 DB108は、装置" 3"の備える装置連携情報 DB 108の一例を示すものであり、装置〃 1〃の DDoS防御装置から、 IPアドレスが〃 1.1.1.1 "で、プロトコル力 'UDP"で、ポート番号が" 1434"で、対処方法力 遮断"で、停止条 件が" 10Mbps

のトラヒックが 3秒間持続したら対処方法を停止せよ〃で、再起動条件が" 20Mbpsの トラヒックが 1秒間持続したら対処方法を再起動せよ〃、という攻撃パケット情報が自装 置に送信されてきて、その攻撃パケット情報を、装置〃 4〃の DDoS防御装置 (現在の 状態は"起動中"）に送信したということを管理し、さらに、自装置力 終了 (停止) "とい う状態にあることを管理して 、る。

[0065] 図 5に、パケット振分部 102の実行する処理フローの一例を図示し、図 6に、攻撃検 出部 103の実行する処理フローの一例を図示し、図 7に、攻撃パケット対処部 105の 実行する処理フローの一例を図示し、図 8に、停止'再起動判定部 106の実行する 処理フローの一例を図示し、図 9及び図 10に、装置連携部 107の実行する処理フロ 一の一例を図示する。 [0066] 次に、これらの処理フローに従って、このように構成される DDoS防御装置 21〜27 の実行する処理について詳細に説明する。

[0067] 先ず最初に、図 5の処理フローに従って、パケット振分部 102の実行する処理につ いて説明する。

[0068] パケット振分部 102は、図 5の処理フローに示すように、ステップ 10で、ネットワーク インタフェース部 101からパケットを受信すると、ステップ 11に進んで、受信パケットを コピーし、そのコピーしたパケットを攻撃検出部 103へ転送する。

[0069] 続いて、ステップ 12で、受信パケットの情報が攻撃パケット情報 DB104に登録され ているのかを判断する。

[0070] この判断処理に従って、受信パケットが攻撃パケット情報 DB104に登録されている ことを判断する場合には、ステップ 13に進んで、受信パケットをコピーし、そのコピー したパケットを停止 '再起動判定部 106へ転送する。

[0071] 続いて、ステップ 14で、攻撃パケット情報 DB104に登録されているエントリ情報（受 信パケットに適合するエントリ情報）に記録される状態情報が起動中かどうかを判断 する。

[0072] この判断処理に従って、受信パケットに適合するエントリ情報に記録される状態情 報が起動中であることを判断する場合には、ステップ 15に進んで、受信パケットを攻 撃パケット対処部 105へ転送してから、ステップ 10に戻る。

[0073] 一方、ステップ 12で、受信パケットの情報が攻撃パケット情報 DB104に登録されて いないことを判断する場合には、ステップ 16に進んで、受信パケットをネットワークィ ンタフェース部 101へ転送してから、ステップ 10に戻る。

[0074] そして、ステップ 14で、受信パケットに適合するエントリ情報に記録される状態情報 が起動中でないことを判断する場合、すなわち、停止中であることを判断する場合に は、ステップ 16に進んで、受信パケットをネットワークインタフェース部 101へ転送し てから、ステップ 10に戻る。

[0075] このようにして、パケット振分部 102は、ネットワークインタフェース部 101からバケツ トを受信すると、その受信パケットのコピーを攻撃検出部 103へ転送するとともに、そ の受信パケットが攻撃パケット情報 DB104に登録されている攻撃パケットであるのか 否かと!/、うことや、攻撃に対して対処を施して!/、る最中であるのか否かと!/、うこととに 基づいて、その受信パケットのコピーを停止'再起動判定部 106へ転送したり、その 受信パケットを攻撃パケット対処部 105へ転送したり、その受信パケットをネットワーク インタフェース部 101へ転送するように処理するのである。

[0076] 次に、図 6の処理フローに従って、攻撃検出部 103の実行する処理について説明 する。

[0077] 攻撃検出部 103は、図 6の処理フローに示すように、ステップ 20で、パケット振分部 102からパケットを受信すると、ステップ 21に進んで、受信パケットが攻撃パケット情 報 DB104に登録されているのかを判断する。

[0078] この判断処理に従って、受信パケットが攻撃パケット情報 DB104に登録されている ことを判断する場合には、ステップ 22に進んで、登録されている情報を他装置に送る 力どうかを判断し (まだ送って 、な 、場合には〃送る"と判断し、既に送ったことがある 場合には"送らない"と判断することになる）、他装置へ送ると判断した場合には、ステ ップ 23に進んで、登録情報を含んだ連携メッセージを装置連携部 107へ通知してか ら、ステップ 20に戻る。

[0079] 一方、ステップ 22で、登録されている情報を他装置に送らないと判断した場合には

、ステップ 23の処理を行わずに、直ちにステップ 20に戻る。

[0080] そして、ステップ 21で、受信パケットが攻撃パケット情報 DB104に登録されていな いことを判断する場合には、ステップ 24に進んで、受信パケットから攻撃かどうかを判 断する。

[0081] この判断処理に従って、受信パケットが攻撃パケットであることを判断する場合には 、ステップ 25に進んで、攻撃パケット情報を生成して、その生成した攻撃パケット情報 を攻撃パケット情報 DB104に登録し、続くステップ 26で、攻撃パケット情報を含めた 登録メッセージを装置連携部 107へ通知してから、ステップ 20に戻る。

[0082] 一方、ステップ 24で、受信パケットが攻撃パケットでな 、ことを判断する場合には、 ステップ 25, 26の処理を行わずに、直ちにステップ 20に戻る。

[0083] このようにして、攻撃検出部 103は、パケット振分部 102からパケットを受信すると、 その受信パケットが攻撃パケット情報 DB104に登録されている場合にあって、攻撃 パケット情報を他の装置に送る必要がある場合には、連携メッセージを装置連携部 1 07へ通知し、その受信パケットが攻撃パケット情報 DB104に登録されていない場合 にあって、その受信パケットが攻撃パケットである場合には、攻撃パケット情報を生成 してそれを攻撃パケット情報 DB104に登録してから、登録メッセージを装置連携部 1 07へ通知するように処理するのである。

[0084] 次に、図 7の処理フローに従って、攻撃パケット対処部 105の実行する処理につい て説明する。

[0085] 攻撃パケット対処部 105は、図 7の処理フローに示すように、ステップ 30で、パケット 振分部 102からパケットを受信すると、ステップ 31に進んで、攻撃パケット情報 DB10 4に格納される受信パケットに適合するエントリ情報を特定する。

[0086] 続、て、ステップ 32で、その特定したエントリ情報に記録されて 、る対処方法を受 信パケットに実施した後、続くステップ 33で、パケットを転送する必要があるの力否か を判断して、パケットを転送する必要がある場合には、ステップ 34に進んで、その対 処方法を実施した受信パケットをネットワークインタフェース部 101へ転送する。

[0087] このようにして、攻撃パケット対処部 105は、パケット振分部 102からパケットを受信 すると、その受信パケットに対して攻撃対策の対処方法を施してから、ネットワークィ ンタフェース部 101へ転送するように処理するのである。

[0088] 次に、図 8の処理フローに従って、停止'再起動判定部 106の実行する処理につい て説明する。

[0089] 停止 ·再起動判定部 106は、図 8の処理フローに示すように、ステップ 40で、バケツ ト振分部 102からパケット（このパケットは攻撃パケット情報 DB104に登録されている 攻撃パケット）を受信すると、ステップ 41に進んで、攻撃パケット情報 DB104に格納 される受信パケットに適合するエントリ情報を特定し、続くステップ 42で、その特定し たエントリ情報に記録される状態情報が起動中であるの力否かを判断する。

[0090] この判断処理に従って、受信パケットに適合するエントリ情報に記録される状態情 報が起動中であることを判断する場合には、ステップ 43に進んで、そのエントリ情報 に記録される停止条件を満たすのか否かを判断して、停止条件を満たす場合には、 ステップ 44に進んで、停止メッセージを装置連携部 107へ通知する。 [0091] 続いて、ステップ 45で、その特定したエントリ情報に記録される状態情報を起動中 力も停止中へ変更することで攻撃パケット情報 DB104を更新して、処理を終了する

[0092] 一方、ステップ 43で、受信パケットに適合するエントリ情報に記録される停止条件を 満たさないことを判断する場合には、ステップ 44, 45の処理を行わずに、直ちに処 理を終了する。

[0093] そして、ステップ 42で、受信パケットに適合するエントリ情報に記録される状態情報 が起動中でないことを判断する場合、すなわち、停止中であることを判断する場合に は、ステップ 46に進んで、そのエントリ情報に記録される再起動条件を満たすの力否 かを判断して、再起動条件を満たす場合には、ステップ 47に進んで、再起動メッセ ージを装置連携部 107へ通知する。

[0094] 続、て、ステップ 48で、その特定したエントリ情報に記録される状態情報を停止中 力も起動中へ変更することで攻撃パケット情報 DB104を更新して、処理を終了する

[0095] 一方、ステップ 46で、受信パケットに適合するエントリ情報に記録される再起動条 件を満たさないことを判断する場合には、ステップ 47, 48の処理を行わずに、直ちに 処理を終了する。

[0096] このようにして、停止 ·再起動判定部 106は、パケット振分部 102から攻撃パケット 情報 DB104に登録されている攻撃パケットを受信すると、対処方法を起動中（実施 中）である場合には、停止条件を満たすの力否かを判断して、停止条件を満たす場 合には、停止メッセージを装置連携部 107へ通知し、一方、対処方法を停止中であ る場合には、再起動条件を満たすのカゝ否かを判断して、再起動条件を満たす場合に は、再起動メッセージを装置連携部 107へ通知するように処理するのである。

[0097] 次に、図 9及び図 10の処理フローに従って、装置連携部 107の実行する処理につ いて説明する。

[0098] 装置連携部 107は、図 9及び図 10の処理フローに示すように、ステップ 50で、他装 置から終了メッセージ (他装置の備える装置連携部 107が後述するステップ 54の処 理を実行することにより送られてくる）が送られてくることを判断する場合には、ステツ プ 51で、その受信した終了メッセージに含まれている攻撃パケット情報を検索キーと して装置連携情報 DB108を検索することで、装置連携情報 DB108に格納される該 当するエントリ情報を特定して、その特定したエントリ情報に記録される送信先 (終了 メッセージを送信してきた装置)の状態を起動中力 終了 (停止と同義)へ変更する。

[0099] 続、て、ステップ 52で、その特定したエントリ情報に記録される送信先の状態（自装 置の状態も含む）がすべて終了になったのか否かを判断して、すべて終了になった ことを判断する場合には、ステップ 53に進んで、その特定したエントリ情報に送信元 情報が登録されて 、るの力否かを判断する。

[0100] このステップ 52, 53の判断処理に従って、特定したエントリ情報に記録される送信 先の状態（自装置の状態も含む）がすべて終了になり、かつ、そのエントリ情報に送 信元情報が登録されている場合には、ステップ 54に進んで、そのエントリ情報に記録 される攻撃パケット情報を含めた終了メッセージを新規に生成して、その生成した終 了メッセージを送信元情報に登録されている装置へ送信する。

[0101] そして、この終了メッセージの送信を終えると、続くステップ 55で、そのエントリ情報 を装置連携情報 DB108から削除する。

[0102] このようにして、装置連携部 107は、他装置から終了メッセージが送られてくるとき に、ステップ 50〜ステップ 55の処理を実行することで、自装置が攻撃パケット情報を 送信したすべての装置（自装置よりも防御ラインの最前線側に位置する装置)力 終 了メッセージが送られてきて、かつ、自装置も対策を終了している場合には、その攻 撃パケット情報を自装置に送信してきた装置 (送信元装置）に対して終了メッセージ を送信するとともに、その攻撃パケット情報についてのエントリ情報を装置連携情報 D B108から削除するように処理するのである。

[0103] 一方、装置連携部 107は、ステップ 56で、停止 ·再起動判定部 106から停止メッセ ージが送られてくることを判断する場合には、ステップ 57で、その受信した停止メッセ ージに含まれている攻撃パケット情報を検索キーとして攻撃パケット情報 DB104を 検索することで、該当するエントリ情報を特定して、その特定したエントリ情報を攻撃 パケット情報 DB104から削除する。この削除処理によって対策の停止（終了）が行わ れること〖こなる。 [0104] 続、て、ステップ 58で、その受信した停止メッセージに含まれて 、る攻撃パケット情 報を検索キーとして装置連携情報 DB108を検索することで、装置連携情報 DB108 に格納される該当するエントリ情報を特定して、その特定したエントリ情報に記録され る対応する送信先 (このルートを通る場合には自装置である）の状態を起動中から終 了へ変更する。

[0105] 続いて、ステップ 52で、その特定したエントリ情報に記録される送信先の状態（自装 置の状態も含む）がすべて終了になったのか否かを判断して、すべて終了になった ことを判断する場合には、ステップ 53に進んで、その特定したエントリ情報に送信元 情報が登録されて 、るの力否かを判断する。

[0106] このステップ 52, 53の判断処理に従って、特定したエントリ情報に記録される送信 先の状態（自装置の状態も含む）がすべて終了になり、かつ、そのエントリ情報に送 信元情報が登録されている場合には、ステップ 54に進んで、そのエントリ情報に記録 される攻撃パケット情報を含めた終了メッセージを新規に生成して、その生成した終 了メッセージを送信元情報に登録されている装置へ送信する。

[0107] そして、この終了メッセージの送信を終えると、続くステップ 55で、そのエントリ情報 を装置連携情報 DB108から削除する。

[0108] このようにして、装置連携部 107は、自装置の停止 ·再起動判定部 106から停止メ ッセージが送られてくるときに、ステップ 56〜ステップ 58Zステップ 52〜ステップ 55 の処理を実行することで、自装置が攻撃パケット情報を送信したすべての装置（自装 置よりも防御ラインの最前線側に位置する装置)から終了メッセージが送られてきて、 かつ、自装置も対策を終了している場合には、その攻撃パケット情報を自装置に送 信してきた装置 (送信元装置）に対して終了メッセージを送信するとともに、その攻撃 パケット情報についてのエントリ情報を装置連携情報 DB108から削除するように処 理するのである。

[0109] 一方、装置連携部 107は、ステップ 59で、他装置から連携メッセージ (他装置の備 える装置連携部 107が後述するステップ 65の処理を実行することにより送られてくる） が送られてくることを判断する場合には、ステップ 60で、その受信した連携メッセージ に含まれて 、る攻撃パケット情報と、その受信した連携メッセージの送信元を送信元 情報として設定したものとを装置連携情報 DB108に登録する。

[0110] 続いて、ステップ 61で、その攻撃パケット情報を攻撃パケット情報 DB104に登録す る。

[0111] このようにして、装置連携部 107は、ステップ 59〜ステップ 61の処理を実行すること で、他装置力も送られてくる連携メッセージに基づいて、装置連携情報 DB108に新 たな装置連携情報を登録するとともに、攻撃パケット情報 DB104に新たな攻撃パケ ット情報を登録するように処理するのである。

[0112] 一方、装置連携部 107は、ステップ 62で、攻撃検出部 103から登録メッセージが送 られてくることを判断する場合には、ステップ 63で、その受信した登録メッセージに含 まれている攻撃パケット情報を装置連携情報 DB108に登録する。

[0113] このようにして、装置連携部 107は、ステップ 62〜ステップ 63の処理を実行すること で、攻撃検出部 103から送られてくる登録メッセージに基づいて、装置連携情報 DB 108に新たな攻撃パケット情報を登録するように処理するのである。

[0114] 一方、装置連携部 107は、ステップ 64で、攻撃検出部 103から連携メッセージが送 られてくることを判断する場合には、ステップ 65で、その受信した連携メッセージを他 装置へ送信する。

[0115] 続いて、ステップ 66で、その受信した連携メッセージに含まれている攻撃パケット情 報を検索キーとして装置連携情報 DB108を検索することで、該当するエントリ情報を 特定して、その特定したエントリ情報に記録される送信先情報に、連携メッセージを 送信した他装置の情報を書き加えることで装置連携情報 DB108を更新する。

[0116] このようにして、装置連携部 107は、ステップ 64〜ステップ 66の処理を実行すること で、攻撃検出部 103から送られてくる連携メッセージを他装置に送信して、それに基 づいて、装置連携情報 DB108に格納される装置連携情報を更新するように処理す るのである。

[0117] 一方、装置連携部 107は、ステップ 67で、停止 '再起動判定部 106から再起動メッ セージが送られてくることを判断する場合には、ステップ 68で、その受信した再起動 メッセージに含まれている攻撃パケット情報を検索キーとして装置連携情報 DB108 を検索することで、該当するエントリ情報を特定して、その特定したエントリ情報に記 録される送信先情報にある自装置の状態を終了から起動中へ変更する。

[0118] 続いて、ステップ 69で、その受信した再起動メッセージに含まれている攻撃パケット 情報を攻撃パケット情報 DB104に登録する。

[0119] このようにして、装置連携部 107は、ステップ 67〜ステップ 69の処理を実行すること で、攻撃に対しての対策の再実施を実行するように処理するのである。

[0120] このようにして、本発明によれば、各ネットワーク攻撃対策装置が攻撃対策の停止 処理を行うことにより、各装置が自律的に判断して攻撃対策を停止する場合でも、防 御しているネットワークに対して穴を作ることなぐ攻撃対策を行っている装置および 攻撃の再開に備えて ヽる装置の存在する範囲を収束して ヽくことができるようになる。 そして、攻撃が再開した場合にも、収束途中の装置において即座に対処可能であり

、その装置力 攻撃情報を再通知することにより防御範囲を拡大することができるよう になる。

[0121] 以上の各処理手段が動作することで実現される本発明のネットワーク攻撃対策方 法はコンピュータプログラムでも実現できるものであり、このコンピュータプログラムは 、適当な記録媒体に記録して提供されたり、ネットワークを介して提供され、本発明を 実施する際にインストールされて CPUなどの制御手段上で動作することにより本発 明を実現することになる。

Claims

請求の範囲

[1] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケ ットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク 攻撃対策装置で実行されるネットワーク攻撃対策方法であって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者 側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の 再開に備えて 、る力 ある 、は攻撃の対策を停止して通常状態に復帰して 、るかに 応じて、前記攻撃の再開に備える必要があるか否かを判定する判定工程と、 前記判定工程によって攻撃の再開に備える必要がないと判定された場合に、当該 攻撃についての情報を削除して通常状態に復帰する復帰工程と、

前記判定工程によって攻撃の再開に備える必要があると判定された場合に、当該 攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え工程と、 を含んだことを特徴とするネットワーク攻撃対策方法。

[2] 前記判定工程は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が 存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特 徴とする請求項 1に記載のネットワーク攻撃対策方法。

[3] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策 装置に対して前記攻撃についての情報を通知する攻撃通知工程をさらに含み、 前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要が ある力否かを判定することを特徴とする請求項 1または 2に記載のネットワーク攻撃対 策方法。

[4] 前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要 力 いと判定することを特徴とする請求項 3に記載のネットワーク攻撃対策方法。

[5] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃につ いての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復 帰を通知する復帰通知工程をさらに含み、 前記判定工程は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置の全て力 通常状態に復帰した旨の通知を受け取った場合に、前記攻撃 の再開に備える必要がないと判定することを特徴とする請求項 3または 4に記載のネ ットワーク攻撃対策方法。

[6] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケ ットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク 攻撃対策装置であって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者 側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の 再開に備えて 、る力 ある 、は攻撃の対策を停止して通常状態に復帰して 、るかに 応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手段と、 前記判定手段によって攻撃の再開に備える必要がないと判定された場合に、当該 攻撃についての情報を削除して通常状態に復帰する復帰手段と、

前記判定手段によって攻撃の再開に備える必要があると判定された場合に、当該 攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手段と、 を備えたことを特徴とするネットワーク攻撃対策装置。

[7] 前記判定手段は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が 存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特 徴とする請求項 6に記載のネットワーク攻撃対策装置。

[8] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策 装置に対して前記攻撃についての情報を通知する攻撃通知手段をさらに備え、 前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要が ある力否かを判定することを特徴とする請求項 6または 7に記載のネットワーク攻撃対 策装置。

[9] 前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要 力 いと判定することを特徴とする請求項 8に記載のネットワーク攻撃対策装置。

[10] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃につ いての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復 帰を通知する復帰通知手段をさらに備え、

前記判定手段は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置の全て力 通常状態に復帰した旨の通知を受け取った場合に、前記攻撃 の再開に備える必要がないと判定することを特徴とする請求項 8または 9に記載のネ ットワーク攻撃対策装置。

[11] ネットワーク上に存在する装置あるいはネットワークに対して行われる不必要なパケ ットを使った攻撃を複数のネットワーク攻撃対策装置と連携して防御するネットワーク 攻撃対策装置で実行されるネットワーク攻撃対策プログラムであって、

前記攻撃の停止に応じて当該攻撃の対策を停止した場合に、自装置よりも攻撃者 側に位置するネットワーク攻撃対策装置が現に攻撃の対策を行っているか、攻撃の 再開に備えて 、る力 ある 、は攻撃の対策を停止して通常状態に復帰して 、るかに 応じて、前記攻撃の再開に備える必要があるか否かを判定する判定手順と、 前記判定手順によって攻撃の再開に備える必要がないと判定された場合に、当該 攻撃についての情報を削除して通常状態に復帰する復帰手順と、

前記判定手順によって攻撃の再開に備える必要があると判定された場合に、当該 攻撃についての情報を削除することなく当該攻撃の再開に備える再開備え手順と、 をコンピュータに実行させることを特徴とするネットワーク攻撃対策プログラム。

[12] 前記判定手順は、自装置よりも攻撃者側に位置するネットワーク攻撃対策装置が 存在するかに応じて前記攻撃の再開に備える必要がある力否かを判定することを特 徴とする請求項 11に記載のネットワーク攻撃対策プログラム。

[13] 前記攻撃の対策として自装置よりも攻撃者側に位置する他のネットワーク攻撃対策 装置に対して前記攻撃についての情報を通知する攻撃通知手順をさらにコンビユー タに実行させ、

前記判定手順は、前記攻撃につ!、ての情報の通知先である他のネットワーク攻撃 対策装置が通常状態に復帰しているかに応じて、前記攻撃の再開に備える必要が ある力否かを判定することを特徴とする請求項 11または 12に記載のネットワーク攻撃 対策プログラム。

[14] 前記判定手順は、前記攻撃についての情報の通知先である他のネットワーク攻撃 対策装置の全てが通常状態に復帰している場合に、前記攻撃の再開に備える必要 がないと判定することを特徴とする請求項 13に記載のネットワーク攻撃対策プロダラ ム。

[15] 前記攻撃についての情報を削除して通常状態に復帰する場合に、当該攻撃につ いての情報の通知元である他のネットワーク攻撃対策装置に対して通常状態への復 帰を通知する復帰通知手順をさらにコンピュータに実行させ、

前記判定手順は、前記攻撃につ!、ての情報の通知先である他のネットワーク攻撃 対策装置の全て力 通常状態に復帰した旨の通知を受け取った場合に、前記攻撃 の再開に備える必要がないと判定することを特徴とする請求項 13または 14に記載の ネットワーク攻撃対策プログラム。