コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体
【課題】コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供すること。
【解決手段】本発明のDoS攻撃遮断方法は、パケットレベル遮断システムにより、パケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、パケットを遮断するパケットレベル遮断段階と、コンテンツフィルタリングシステムにより、パケット内部のコンテンツを分析し、分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、パケットが特定条件を満たすかを確認する第2の判断段階と、第1の判断段階で攻撃基準を満たす場合、パケットを遮断するコンテンツベース遮断段階と、を含み、第2の判断段階は第1の判断段階で攻撃基準を満たす場合に行われ、第2の判断段階で特定条件を満たす場合、IPテーブルにパケットの発信先IPアドレスに関する情報を追加する。
【解決手段】本発明のDoS攻撃遮断方法は、パケットレベル遮断システムにより、パケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、パケットを遮断するパケットレベル遮断段階と、コンテンツフィルタリングシステムにより、パケット内部のコンテンツを分析し、分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、パケットが特定条件を満たすかを確認する第2の判断段階と、第1の判断段階で攻撃基準を満たす場合、パケットを遮断するコンテンツベース遮断段階と、を含み、第2の判断段階は第1の判断段階で攻撃基準を満たす場合に行われ、第2の判断段階で特定条件を満たす場合、IPテーブルにパケットの発信先IPアドレスに関する情報を追加する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用してDoS攻撃を遮断する方法、システム及びコンピュータ読み取り可能な記録媒体に関し、より詳細には、DoS攻撃を認識した時、コンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動により、リソースの消費を少なくしながらも優れた性能でDoS攻撃を遮断するための方法、システム及びコンピュータ読み取り可能な記録媒体に関する。
【背景技術】
【0002】
インターネットの使用が一般化し、その技術が発達するにつれて生活がより便利になる一方、インターネットを利用したウィルスやハッキングも益々多様化し、発展する傾向を示している。特に最近は、DoS(Denial of Service;サービス拒否)方式、または複数の分散したコンピュータを一斉に動作させてDoS方式を利用するDDoS(Distributed Denial Of Service;分散サービス拒否)などを利用した特定サイトの攻撃が多く発生している。DoS方式とは、所定コンピュータの動作によって特定サイトを攻撃する方式であり、ハッカーがサービス攻撃のための道具を予めコンピュータに設け、標的サイトのコンピュータシステムの処理能力を超える大量のパケットを送りつけ、ネットワークの性能を低下させたり、システム資源を枯渇させて麻痺させたりするハッキング方式を意味する。
【0003】
従って、ユーザは特定サイトに正常にアクセスできなくなり、数多くのコンピュータシステムが運営者も知らないうちにハッキングの宿主に利用される可能性がある。DoS攻撃は、一般的に悪質なコードや電子メールなどを利用して一般ユーザのコンピュータを感染させるいわゆるゾンビPCにした後、C&C(Command and Control)サーバの制御によって特定時間に行われる。
【0004】
このようなDoS攻撃を遮断するために、コンテンツフィルタリングシステムを備え、DoS攻撃でみられる特定パターンを把握して、このような特定パターンを有するパケットを全て遮断する方式が利用されている。しかし、特定パターンを把握するためには、パケット内部を全て確認しなければならないため、大量のパケットが一時的に伝達される際にはコンテンツフィルタリングシステムに過負荷が発生してシステムが麻痺する可能性がある。そのため、DoS攻撃を遮断するという目的を果たすには物足りない面があった。
【0005】
また、パケットの伝送IP(Internet Protocol)アドレスのみを把握してパケットの伝達を遮断するパケットレベル遮断システムをDoS攻撃の遮断のために利用する場合、システム資源のリソース消費は減少するが、該当IPアドレスから伝達されたパケットが正常なパケットであるか否かに関わらず遮断するため、遮断性能が非常に劣り、DoS攻撃が終了した後にも特定のIPアドレスからのパケットは無条件的に防ぎ続けるという問題が発生する。
【0006】
従って、DoS攻撃が発生する場合、コンテンツフィルタリングシステム及びパケットレベル遮断システムの両方を有機的に連動して、リソース消費を減少させながらも、優れた性能で攻撃を遮断するための方法及びシステムが必要となる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】韓国特許公開2003−0009887号
【特許文献2】韓国特許公開2007−0072368号
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、上述の従来技術の問題を解決することにある。
【0009】
本発明の一つの目的は、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することにある。
【0010】
また、本発明の他の目的は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することにある。
【課題を解決するための手段】
【0011】
上記のような本発明の目的を果たし、後述する本発明の特有の効果を果たすための本発明の特徴的な構成は下記のとおりである。
【0012】
本発明の一態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法は、前記パケットレベル遮断システムにより、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケットレベル遮断段階と、前記コンテンツフィルタリングシステムにより、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、前記コンテンツフィルタリングシステムにより、前記攻撃基準を満たす場合、前記パケットを遮断するコンテンツベース遮断段階と、を含み、前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレスに関する情報を追加する。
【0013】
本発明の他の態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムは、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケット遮断部と、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを遮断し、前記パケットが特定条件を満たすかを確認し、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレスを追加するコンテンツ遮断部と、を備える。
【発明の効果】
【0014】
上述のような本発明によると、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することができる。
【0015】
また、本発明によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態によるDoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
【図2】本発明の一実施形態によるDoS攻撃遮断システムの詳細構成図である。
【図3】本発明の一実施形態によるDoS攻撃遮断システムの内部のコンテンツフィルタリングシステムの詳細構成図である。
【図4】本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
【発明を実施するための形態】
【0017】
後述する本発明についての詳細な説明は、本発明が実施できる特定の実施形態を例示として示す添付の図面を参照する。これらの実施形態は、当業者が本発明を十分に実施することができるように詳細に説明される。本発明の多様な実施形態は、互いに異なるが、相互排他的な必要はないことを理解すべきである。例えば、ここに記載されている特定の形状、構造及び特徴は、一実施形態に関連して本発明の思想及び範囲を外れずに他の実施形態に実現することができる。また、それぞれの開示された実施形態内の個別構成要素の位置または配置は、本発明の思想及び範囲を外れずに変更することができることを理解するべきである。従って、後述する詳細な説明は限定的な意味で扱うものでなく、本発明の範囲は、適切に説明されるならば、その請求範囲が主張するものと均等な全ての範囲と共に、添付した請求範囲によってのみ限定される。図面において、類似の参照符号は、様々な側面にわたって同一または類似の機能を示す。
【0018】
以下、本発明が属する技術分野において通常の知識を有する者が本発明を容易に実施できるように、本発明の好ましい実施形態について添付の図面を参照して詳細に説明する。
【0019】
[本発明の好ましい実施形態]
本発明の実施形態において、用語「DoS」は、特定のシステムを悪意的に攻撃して該当システムの資源を足りなくして、元々意図された用途に使用できなくする全ての攻撃方式を含む広義の意味に解釈されなければならない。従って、DoSはその類型に応じて、一つのコンピュータの動作による方式であることもでき、または多数のコンピュータを分散して配置し、同時に攻撃するDDoS方式であることもできるが、必ずしも上記の例に限定されるものではない。
【0020】
全体システムの構成
図1は本発明の一実施形態により、DoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
【0021】
図1に図示されているように、本発明の一実施形態による全体システムは、悪質なコードなどにより感染された多数のゾンビPC(Personal Computer)100と、ゾンビPC100からのDoS攻撃を遮断するDoS攻撃遮断システム300と、ユーザにサービスを提供するサービスシステム400と、が通信網200を介して接続している。
【0022】
まず、本発明の一実施形態によると、ゾンビPC100は、悪質なコードなどに感染したコンピュータを意味する。通信網で接続している如何なるコンピュータも、悪質なコードにより感染するとゾンビPC100として動作することもあり、一般的に、電子メールの添付ファイルを開く過程、出所の不明なActive Xをダウンロードして設ける過程、または感染したUSBメモリなどの外部記憶デバイスを接続する過程などで悪質なコードに感染し、後でC&Cサーバの制御によって、または感染された悪質なコードの内部に記載された内容によって、指定された目標のために特定の時点にDoS攻撃を行う。
【0023】
また、本発明の一実施形態によると、通信網200は、有線及び無線などのようなその通信形態を問わず構成することができ、パーソナルエリアネットワーク(PAN;Personal Area Network)、ローカルエリアネットワーク(LAN;Local Area Network)、メトロポリタンエリアネットワーク(MAN;Metropolitan Area Network)、広域ネットワーク(WAN;Wide Area Network)など、多様な通信網で構成することができる。
【0024】
一方、本発明の一実施形態によると、DoS攻撃遮断システム300は、通信網200を介してサービスシステム400に与えられる多数のゾンビPC100からの攻撃を、中間でコンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動によって遮断するシステムを意味する。DoS攻撃遮断システム300の詳細な構成要素及び動作方式については後述する。
【0025】
最後に、本発明の一実施形態によると、サービスシステム400は、ユーザに多様なサービスを提供するシステムを意味する。サービスの一例としては、ウェブサービス、メールサービスなどが挙げられ、この場合サービスシステム400はそれぞれウェブサーバ、メールサーバを含んでもよい。その他にも、通信網200を介して多数のユーザに提供できるサービスを提供するものであれば、サービスシステム400の範囲内に含まれる。
【0026】
DoS攻撃遮断システムの詳細構成
図2は本発明の一実施形態によるDoS攻撃遮断システム300の詳細構成図である。
【0027】
図2を参照すると、本発明の一実施形態によるDoS攻撃遮断システム300は、パケットレベル遮断システム310及びコンテンツフィルタリングシステム320を含んでもよい。図2は本発明の一実施形態を説明するための構成要素のみを簡単且つ抽象的に図示した図面であるため、DoS攻撃遮断システム300はこの他にも、ゾンビPC100からのDoS攻撃を遮断するために必要な機能を実行する他の構成要素も含むことができるということが理解されるべきである。
【0028】
パケットレベル遮断システム310は、通信網200を介して伝達されるパケットが、遮断が必要な特定のIPアドレスから伝達されることを確認した場合、サービスシステム400に伝達せずにそのまま遮断する機能を実行する。即ち、パケットレベル遮断システム310は、伝達されるパケットのうちIPヘッダ部分に記載された発信先IPアドレス(Destination IP Address)を分析し、発信先IPアドレスが、遮断が必要な特定のIPアドレスであるかを確認して遮断の要否を決定することができるため、OSIの7階層モデル(7 layer model for OSI)を参照して、インターネット層(Internet layer)でパケットを遮断することができる機能を有するものであれば、パケットレベル遮断システム310(例えばルータ)として用いることができる。パケットレベル遮断システム310でパケットを遮断する場合、それ以上のパケット分析が必要でないため、全体的な、またその後の段階に存在するコンテンツフィルタリングシステム320のリソースの消費は減少するが、特定のIPアドレスから伝達されるパケットの場合、攻撃を目的とするものであるか或いは正常な要求であるかに関わらず無条件的に遮断するため、遮断の正確性は低下する欠点がある。パケットレベル遮断システム310のうちIPテーブル312は遮断が必要なIPアドレスを含む表であり、IPテーブル312には、基本的に遮断すべきIPアドレスの他にも、遮断が持続されなければならない有効時間に関する情報などをさらに含んでもよい。従って、パケット遮断部311は、特定のパケットが伝達された場合、パケットのヘッダに記載された目的地アドレスとIPテーブル312に記載されたIPアドレスとを比較し、一致するIPアドレスが存在する場合はそのパケットを遮断する。ここで、比較するIPテーブル312上のIPアドレスは、その有効時間に関する情報を参照し、有効時間が経過していない、即ち、有効であって遮断が必要なIPアドレスのみをその対象としてもよい。本発明の他の実施形態によると、IPテーブル312に記載の遮断すべきIPアドレスに対する有効時間に関する情報を管理し、有効時間が経過した時は該当するIPアドレスをIPテーブル312から削除または非活性化(例えば、特定のフラグ(flag)値を変更する方式など)して、パケットレベル遮断システム310で遮断されないようにする別の構成要素が存在してもよい。IPテーブル312上に遮断が必要なIPアドレスを追加する機能は、コンテンツフィルタリングシステム320により実行してもよい。
【0029】
次に、図3を参照して本発明の一実施形態により図示されたコンテンツフィルタリングシステム320の詳細な構成をより詳細に説明すると、コンテンツフィルタリングシステム320は、コンテンツ分析部321と、コンテンツ遮断部322と、リソースモニタリング部323と、を含んでもよい。
【0030】
コンテンツ分析部321は、パケットレベル遮断システム310を経て伝達されたパケットのコンテンツを分析する機能を実行する。一例として、パケットがTCP(Transmission Control Protocol)を使用する場合、コンテンツ分析部321はTCPセッションを確立させるために、基本的にSYNパケットを受信し、SYN_Receivedパケットを伝送した後にさらにACKパケットを受信する、少なくとも三つのパケットを送受信してそのセッションが確立され、その後に伝送されるパケットを利用してその内部のコンテンツ分析を行う。コンテンツ分析部321は、分析により内部コンテンツが指定された特定の文字列または特定のパターンを含むか否かを確認する。
【0031】
特定の文字列または特定のパターンは、DoS攻撃が有する共通する特徴に該当するものであり、例示的に、ゾンビPC100がウェブサービスを提供するサービスシステム400を対象としてDoS攻撃を行う際、その攻撃の特徴は以下の表1のようなものであってもよい。
【0032】
【表1】
【0033】
即ち、DoS攻撃の特徴の一つとして、ゾンビPC100が送りつけるパケットは、OSIの7階層モデルのうちアプリケーション層(application layer)であるHTTP(HyperText Transfer Protocol)ヘッダのうちクライアントソフトウェアの名前とバージョンなどの情報を有するUser−Agentが表1の五種類のうち一つに該当する可能性があるため、コンテンツ分析部321は、伝送される内部パケットを分析し、HTTPヘッダのUser−Agentが表1の文字列のうち何れか一つを含むか否かを判断して、DoS攻撃の有無及びパケット遮断の要否を決定することができる。但し、表1は例示的なものに過ぎず、特定の文字列または特定のパターンはDoS攻撃の種類によって変わってもよく、パケット遮断の要否を決定する場合において利用される特定の文字列または特定のパターンのリストは、周期的にアップデートして別のデータベース(図示せず)に保存してもよい。
【0034】
コンテンツ遮断部322は、コンテンツ分析部321によってDoS攻撃であると判断したパケットを遮断する。また、コンテンツ分析部321によってDoS攻撃であると判断したパケットの発信先IPアドレスを獲得して特定条件が成立するか否かを判断し、成立する場合は発信先IPアドレスをパケットレベル遮断システム310のIPテーブル312にアップデート(追加)する。この際、有効時間に関する情報(例えばIPテーブルに追加してから5分間など)をさらに設定してもよい。特定条件の一例として、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが所定数以上であると確認された場合、またはリソースモニタリング部323から受信したリソース占有率が一定値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。
【0035】
リソースモニタリング部323は、コンテンツフィルタリングシステム320全体のリソース占有率を継続的に確認し、リソース占有率が一定値以上に上がると、そのことをコンテンツ遮断部322に通知して過負荷によるシステムの麻痺を防ぐ。
【0036】
図2及び図3でのパケットレベル遮断システム310、コンテンツフィルタリングシステム320内のコンテンツ分析部321、コンテンツ遮断部322及びリソースモニタリング部323は、物理的に一つのコンピュータ内で実現されてもよく、一部またはそのそれぞれが物理的に異なるコンピュータで実現されてもよく、同様の機能をする物理的に複数のコンピュータが並列に存在してもよい。このように、本発明は、各構成部が設けられたコンピュータの物理的な数及び位置に限定されず、多様な方式に設計変更することができるということは、本発明が属する技術分野において通常の知識を有する者に自明である。
【0037】
DoS攻撃遮断システムの動作
図4は本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
【0038】
図4に例示された一実施形態によると、パケットレベル遮断システム310は、通信網200を介してサービスシステム400を目的地とするパケットを受信する(S100)。
【0039】
その後、パケットレベル遮断システム310のパケット遮断部311は、IPテーブル312を参照して、受信したパケットが、遮断が必要なパケットであるか否かを判断する(S110)。具体的には、受信したパケットの発信先IPアドレスがIPテーブル312上のIPアドレスと一致するか否かを確認して遮断の要否を判断する。ここで、有効に掲載されたIPアドレスは、追加情報である有効時間に関する情報によって遮断が必要なIPアドレスを含む。
【0040】
もし、パケット遮断部311によって遮断が必要であると判断されると、該当パケットを遮断(S120)した後、次のパケットを受信する。
【0041】
もし、パケット遮断部311によって遮断が必要でないと判断されると、コンテンツフィルタリングシステム320のコンテンツ分析部321が、受信したパケット内部のコンテンツを分析する(S130)。ここで、コンテンツ分析とは、上述したように、パケット内部のデータを分析して、DoS攻撃が有する特徴的な特定の文字列または特定のパターンを含むか否かを確認することを含む。
【0042】
コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであるかを判断し(S140)、正常なパケットであると判断される場合には、該当パケットを正常にサービスシステム400に伝送する(S170)。
【0043】
もし、コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすか否かをさらに判断する(S150)。ここで、特定条件の例としては、上述したように、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが予め定められた所定数以上と確認された場合、またはリソースモニタリング部323から受信したリソース占有率が予め定められた一定数値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。判断の結果、特定条件を満たさない場合には受信したパケットのみを遮断して終了するが、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するようにIPテーブル312を変更することにより(S160)、今後同一のIPアドレスから攻撃するパケットは有効時間の間に段階S110及びS120によって遮断されるようにする。これにより、コンテンツフィルタリングシステム320のリソース占有率を低めることができるだけでなく、有効時間の経過時、パケットのコンテンツを分析して遮断の要否を決定するため、正確性が高く、優れたDoS攻撃遮断機能を提供することができる。
【0044】
本発明の他の実施形態によると、コンテンツ分析により、受信されたパケットがDoS攻撃のためのパケットであるかを判断(S140)し、もし受信されたパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすかを判断する段階S150の前に、該当パケットを遮断(S120)した後、遮断されたパケットが特定条件を満たすか否かを再度判断(S150)するように、その順序を変更してもよい。段階S150の判断の結果、特定条件を満たさない場合には既に受信したパケットは遮断したためそのまま終了し、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するように、IPテーブル312を変更して(S160)終了してもよい。
【0045】
本発明による実施形態は、 多様なコンピュータ手段によって実行可能なプログラム命令の形態で実現可能であり、コンピュータ読み取り可能な媒体に記録することができる。前記コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などを単独に、または組み合わせて含んでもよい。媒体に記録されるプログラム命令は、本発明のために特別に設計及び構成されたものであってもよく、コンピュータソフトウェア分野の当業者に公知されて使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープなどの磁気媒体(Magnetic Media)、CD−ROM、DVDなどの光記録媒体(Optical Media)、フロプティカルディスク(Floptical Disk)などの磁気−光媒体(Magneto−Optical Media)、及びROM、RAM、フラッシュメモリなどの、プログラム命令を保存及び実行するように特に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラーによって作われるもののような機械語コードだけでなく、インタープリターなどを用いてコンピュータによって実行されることができる高級言語コードを含む。前記ハードウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成されることができ、その逆も同様である。
【0046】
以上のように本発明では、具体的な構成要素などのような特定事項と限定された実施形態及び図面によって説明したが、これは本発明の全般的な理解をより容易にするために提供されたものに過ぎず、本発明は上記の実施形態に限定されるものではなく、本発明が属する分野において通常の知識を有する者であれば、このような記載から多様な修正及び変形が可能である。
【0047】
従って、本発明の思想は、説明された実施形態に限って決まってはならず、添付する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的変形がある全てのものなどは本発明の思想の範囲に属するといえる。
【技術分野】
【0001】
本発明は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用してDoS攻撃を遮断する方法、システム及びコンピュータ読み取り可能な記録媒体に関し、より詳細には、DoS攻撃を認識した時、コンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動により、リソースの消費を少なくしながらも優れた性能でDoS攻撃を遮断するための方法、システム及びコンピュータ読み取り可能な記録媒体に関する。
【背景技術】
【0002】
インターネットの使用が一般化し、その技術が発達するにつれて生活がより便利になる一方、インターネットを利用したウィルスやハッキングも益々多様化し、発展する傾向を示している。特に最近は、DoS(Denial of Service;サービス拒否)方式、または複数の分散したコンピュータを一斉に動作させてDoS方式を利用するDDoS(Distributed Denial Of Service;分散サービス拒否)などを利用した特定サイトの攻撃が多く発生している。DoS方式とは、所定コンピュータの動作によって特定サイトを攻撃する方式であり、ハッカーがサービス攻撃のための道具を予めコンピュータに設け、標的サイトのコンピュータシステムの処理能力を超える大量のパケットを送りつけ、ネットワークの性能を低下させたり、システム資源を枯渇させて麻痺させたりするハッキング方式を意味する。
【0003】
従って、ユーザは特定サイトに正常にアクセスできなくなり、数多くのコンピュータシステムが運営者も知らないうちにハッキングの宿主に利用される可能性がある。DoS攻撃は、一般的に悪質なコードや電子メールなどを利用して一般ユーザのコンピュータを感染させるいわゆるゾンビPCにした後、C&C(Command and Control)サーバの制御によって特定時間に行われる。
【0004】
このようなDoS攻撃を遮断するために、コンテンツフィルタリングシステムを備え、DoS攻撃でみられる特定パターンを把握して、このような特定パターンを有するパケットを全て遮断する方式が利用されている。しかし、特定パターンを把握するためには、パケット内部を全て確認しなければならないため、大量のパケットが一時的に伝達される際にはコンテンツフィルタリングシステムに過負荷が発生してシステムが麻痺する可能性がある。そのため、DoS攻撃を遮断するという目的を果たすには物足りない面があった。
【0005】
また、パケットの伝送IP(Internet Protocol)アドレスのみを把握してパケットの伝達を遮断するパケットレベル遮断システムをDoS攻撃の遮断のために利用する場合、システム資源のリソース消費は減少するが、該当IPアドレスから伝達されたパケットが正常なパケットであるか否かに関わらず遮断するため、遮断性能が非常に劣り、DoS攻撃が終了した後にも特定のIPアドレスからのパケットは無条件的に防ぎ続けるという問題が発生する。
【0006】
従って、DoS攻撃が発生する場合、コンテンツフィルタリングシステム及びパケットレベル遮断システムの両方を有機的に連動して、リソース消費を減少させながらも、優れた性能で攻撃を遮断するための方法及びシステムが必要となる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】韓国特許公開2003−0009887号
【特許文献2】韓国特許公開2007−0072368号
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、上述の従来技術の問題を解決することにある。
【0009】
本発明の一つの目的は、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することにある。
【0010】
また、本発明の他の目的は、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することにある。
【課題を解決するための手段】
【0011】
上記のような本発明の目的を果たし、後述する本発明の特有の効果を果たすための本発明の特徴的な構成は下記のとおりである。
【0012】
本発明の一態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法は、前記パケットレベル遮断システムにより、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケットレベル遮断段階と、前記コンテンツフィルタリングシステムにより、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、前記コンテンツフィルタリングシステムにより、前記攻撃基準を満たす場合、前記パケットを遮断するコンテンツベース遮断段階と、を含み、前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレスに関する情報を追加する。
【0013】
本発明の他の態様によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムは、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケット遮断部と、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを遮断し、前記パケットが特定条件を満たすかを確認し、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレスを追加するコンテンツ遮断部と、を備える。
【発明の効果】
【0014】
上述のような本発明によると、コンテンツフィルタリングシステムのリソース消費を減少させながらも、優れたDoS攻撃遮断性能を提供することができる。
【0015】
また、本発明によると、コンテンツフィルタリングシステム及びパケットレベル遮断システムを有機的に連動して、より正確性の高いDoS攻撃遮断機能を提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態によるDoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
【図2】本発明の一実施形態によるDoS攻撃遮断システムの詳細構成図である。
【図3】本発明の一実施形態によるDoS攻撃遮断システムの内部のコンテンツフィルタリングシステムの詳細構成図である。
【図4】本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
【発明を実施するための形態】
【0017】
後述する本発明についての詳細な説明は、本発明が実施できる特定の実施形態を例示として示す添付の図面を参照する。これらの実施形態は、当業者が本発明を十分に実施することができるように詳細に説明される。本発明の多様な実施形態は、互いに異なるが、相互排他的な必要はないことを理解すべきである。例えば、ここに記載されている特定の形状、構造及び特徴は、一実施形態に関連して本発明の思想及び範囲を外れずに他の実施形態に実現することができる。また、それぞれの開示された実施形態内の個別構成要素の位置または配置は、本発明の思想及び範囲を外れずに変更することができることを理解するべきである。従って、後述する詳細な説明は限定的な意味で扱うものでなく、本発明の範囲は、適切に説明されるならば、その請求範囲が主張するものと均等な全ての範囲と共に、添付した請求範囲によってのみ限定される。図面において、類似の参照符号は、様々な側面にわたって同一または類似の機能を示す。
【0018】
以下、本発明が属する技術分野において通常の知識を有する者が本発明を容易に実施できるように、本発明の好ましい実施形態について添付の図面を参照して詳細に説明する。
【0019】
[本発明の好ましい実施形態]
本発明の実施形態において、用語「DoS」は、特定のシステムを悪意的に攻撃して該当システムの資源を足りなくして、元々意図された用途に使用できなくする全ての攻撃方式を含む広義の意味に解釈されなければならない。従って、DoSはその類型に応じて、一つのコンピュータの動作による方式であることもでき、または多数のコンピュータを分散して配置し、同時に攻撃するDDoS方式であることもできるが、必ずしも上記の例に限定されるものではない。
【0020】
全体システムの構成
図1は本発明の一実施形態により、DoS攻撃遮断システムを含む全体システムの全体構成を概略的に示す図面である。
【0021】
図1に図示されているように、本発明の一実施形態による全体システムは、悪質なコードなどにより感染された多数のゾンビPC(Personal Computer)100と、ゾンビPC100からのDoS攻撃を遮断するDoS攻撃遮断システム300と、ユーザにサービスを提供するサービスシステム400と、が通信網200を介して接続している。
【0022】
まず、本発明の一実施形態によると、ゾンビPC100は、悪質なコードなどに感染したコンピュータを意味する。通信網で接続している如何なるコンピュータも、悪質なコードにより感染するとゾンビPC100として動作することもあり、一般的に、電子メールの添付ファイルを開く過程、出所の不明なActive Xをダウンロードして設ける過程、または感染したUSBメモリなどの外部記憶デバイスを接続する過程などで悪質なコードに感染し、後でC&Cサーバの制御によって、または感染された悪質なコードの内部に記載された内容によって、指定された目標のために特定の時点にDoS攻撃を行う。
【0023】
また、本発明の一実施形態によると、通信網200は、有線及び無線などのようなその通信形態を問わず構成することができ、パーソナルエリアネットワーク(PAN;Personal Area Network)、ローカルエリアネットワーク(LAN;Local Area Network)、メトロポリタンエリアネットワーク(MAN;Metropolitan Area Network)、広域ネットワーク(WAN;Wide Area Network)など、多様な通信網で構成することができる。
【0024】
一方、本発明の一実施形態によると、DoS攻撃遮断システム300は、通信網200を介してサービスシステム400に与えられる多数のゾンビPC100からの攻撃を、中間でコンテンツフィルタリングシステム及びパケットレベル遮断システムの有機的な連動によって遮断するシステムを意味する。DoS攻撃遮断システム300の詳細な構成要素及び動作方式については後述する。
【0025】
最後に、本発明の一実施形態によると、サービスシステム400は、ユーザに多様なサービスを提供するシステムを意味する。サービスの一例としては、ウェブサービス、メールサービスなどが挙げられ、この場合サービスシステム400はそれぞれウェブサーバ、メールサーバを含んでもよい。その他にも、通信網200を介して多数のユーザに提供できるサービスを提供するものであれば、サービスシステム400の範囲内に含まれる。
【0026】
DoS攻撃遮断システムの詳細構成
図2は本発明の一実施形態によるDoS攻撃遮断システム300の詳細構成図である。
【0027】
図2を参照すると、本発明の一実施形態によるDoS攻撃遮断システム300は、パケットレベル遮断システム310及びコンテンツフィルタリングシステム320を含んでもよい。図2は本発明の一実施形態を説明するための構成要素のみを簡単且つ抽象的に図示した図面であるため、DoS攻撃遮断システム300はこの他にも、ゾンビPC100からのDoS攻撃を遮断するために必要な機能を実行する他の構成要素も含むことができるということが理解されるべきである。
【0028】
パケットレベル遮断システム310は、通信網200を介して伝達されるパケットが、遮断が必要な特定のIPアドレスから伝達されることを確認した場合、サービスシステム400に伝達せずにそのまま遮断する機能を実行する。即ち、パケットレベル遮断システム310は、伝達されるパケットのうちIPヘッダ部分に記載された発信先IPアドレス(Destination IP Address)を分析し、発信先IPアドレスが、遮断が必要な特定のIPアドレスであるかを確認して遮断の要否を決定することができるため、OSIの7階層モデル(7 layer model for OSI)を参照して、インターネット層(Internet layer)でパケットを遮断することができる機能を有するものであれば、パケットレベル遮断システム310(例えばルータ)として用いることができる。パケットレベル遮断システム310でパケットを遮断する場合、それ以上のパケット分析が必要でないため、全体的な、またその後の段階に存在するコンテンツフィルタリングシステム320のリソースの消費は減少するが、特定のIPアドレスから伝達されるパケットの場合、攻撃を目的とするものであるか或いは正常な要求であるかに関わらず無条件的に遮断するため、遮断の正確性は低下する欠点がある。パケットレベル遮断システム310のうちIPテーブル312は遮断が必要なIPアドレスを含む表であり、IPテーブル312には、基本的に遮断すべきIPアドレスの他にも、遮断が持続されなければならない有効時間に関する情報などをさらに含んでもよい。従って、パケット遮断部311は、特定のパケットが伝達された場合、パケットのヘッダに記載された目的地アドレスとIPテーブル312に記載されたIPアドレスとを比較し、一致するIPアドレスが存在する場合はそのパケットを遮断する。ここで、比較するIPテーブル312上のIPアドレスは、その有効時間に関する情報を参照し、有効時間が経過していない、即ち、有効であって遮断が必要なIPアドレスのみをその対象としてもよい。本発明の他の実施形態によると、IPテーブル312に記載の遮断すべきIPアドレスに対する有効時間に関する情報を管理し、有効時間が経過した時は該当するIPアドレスをIPテーブル312から削除または非活性化(例えば、特定のフラグ(flag)値を変更する方式など)して、パケットレベル遮断システム310で遮断されないようにする別の構成要素が存在してもよい。IPテーブル312上に遮断が必要なIPアドレスを追加する機能は、コンテンツフィルタリングシステム320により実行してもよい。
【0029】
次に、図3を参照して本発明の一実施形態により図示されたコンテンツフィルタリングシステム320の詳細な構成をより詳細に説明すると、コンテンツフィルタリングシステム320は、コンテンツ分析部321と、コンテンツ遮断部322と、リソースモニタリング部323と、を含んでもよい。
【0030】
コンテンツ分析部321は、パケットレベル遮断システム310を経て伝達されたパケットのコンテンツを分析する機能を実行する。一例として、パケットがTCP(Transmission Control Protocol)を使用する場合、コンテンツ分析部321はTCPセッションを確立させるために、基本的にSYNパケットを受信し、SYN_Receivedパケットを伝送した後にさらにACKパケットを受信する、少なくとも三つのパケットを送受信してそのセッションが確立され、その後に伝送されるパケットを利用してその内部のコンテンツ分析を行う。コンテンツ分析部321は、分析により内部コンテンツが指定された特定の文字列または特定のパターンを含むか否かを確認する。
【0031】
特定の文字列または特定のパターンは、DoS攻撃が有する共通する特徴に該当するものであり、例示的に、ゾンビPC100がウェブサービスを提供するサービスシステム400を対象としてDoS攻撃を行う際、その攻撃の特徴は以下の表1のようなものであってもよい。
【0032】
【表1】
【0033】
即ち、DoS攻撃の特徴の一つとして、ゾンビPC100が送りつけるパケットは、OSIの7階層モデルのうちアプリケーション層(application layer)であるHTTP(HyperText Transfer Protocol)ヘッダのうちクライアントソフトウェアの名前とバージョンなどの情報を有するUser−Agentが表1の五種類のうち一つに該当する可能性があるため、コンテンツ分析部321は、伝送される内部パケットを分析し、HTTPヘッダのUser−Agentが表1の文字列のうち何れか一つを含むか否かを判断して、DoS攻撃の有無及びパケット遮断の要否を決定することができる。但し、表1は例示的なものに過ぎず、特定の文字列または特定のパターンはDoS攻撃の種類によって変わってもよく、パケット遮断の要否を決定する場合において利用される特定の文字列または特定のパターンのリストは、周期的にアップデートして別のデータベース(図示せず)に保存してもよい。
【0034】
コンテンツ遮断部322は、コンテンツ分析部321によってDoS攻撃であると判断したパケットを遮断する。また、コンテンツ分析部321によってDoS攻撃であると判断したパケットの発信先IPアドレスを獲得して特定条件が成立するか否かを判断し、成立する場合は発信先IPアドレスをパケットレベル遮断システム310のIPテーブル312にアップデート(追加)する。この際、有効時間に関する情報(例えばIPテーブルに追加してから5分間など)をさらに設定してもよい。特定条件の一例として、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが所定数以上であると確認された場合、またはリソースモニタリング部323から受信したリソース占有率が一定値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。
【0035】
リソースモニタリング部323は、コンテンツフィルタリングシステム320全体のリソース占有率を継続的に確認し、リソース占有率が一定値以上に上がると、そのことをコンテンツ遮断部322に通知して過負荷によるシステムの麻痺を防ぐ。
【0036】
図2及び図3でのパケットレベル遮断システム310、コンテンツフィルタリングシステム320内のコンテンツ分析部321、コンテンツ遮断部322及びリソースモニタリング部323は、物理的に一つのコンピュータ内で実現されてもよく、一部またはそのそれぞれが物理的に異なるコンピュータで実現されてもよく、同様の機能をする物理的に複数のコンピュータが並列に存在してもよい。このように、本発明は、各構成部が設けられたコンピュータの物理的な数及び位置に限定されず、多様な方式に設計変更することができるということは、本発明が属する技術分野において通常の知識を有する者に自明である。
【0037】
DoS攻撃遮断システムの動作
図4は本発明の一実施形態によるDoS攻撃遮断システムの動作を示すフローチャートである。
【0038】
図4に例示された一実施形態によると、パケットレベル遮断システム310は、通信網200を介してサービスシステム400を目的地とするパケットを受信する(S100)。
【0039】
その後、パケットレベル遮断システム310のパケット遮断部311は、IPテーブル312を参照して、受信したパケットが、遮断が必要なパケットであるか否かを判断する(S110)。具体的には、受信したパケットの発信先IPアドレスがIPテーブル312上のIPアドレスと一致するか否かを確認して遮断の要否を判断する。ここで、有効に掲載されたIPアドレスは、追加情報である有効時間に関する情報によって遮断が必要なIPアドレスを含む。
【0040】
もし、パケット遮断部311によって遮断が必要であると判断されると、該当パケットを遮断(S120)した後、次のパケットを受信する。
【0041】
もし、パケット遮断部311によって遮断が必要でないと判断されると、コンテンツフィルタリングシステム320のコンテンツ分析部321が、受信したパケット内部のコンテンツを分析する(S130)。ここで、コンテンツ分析とは、上述したように、パケット内部のデータを分析して、DoS攻撃が有する特徴的な特定の文字列または特定のパターンを含むか否かを確認することを含む。
【0042】
コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであるかを判断し(S140)、正常なパケットであると判断される場合には、該当パケットを正常にサービスシステム400に伝送する(S170)。
【0043】
もし、コンテンツ分析により、受信したパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすか否かをさらに判断する(S150)。ここで、特定条件の例としては、上述したように、同一の発信先IPアドレスを有し、DoS攻撃であると判断されたパケットが予め定められた所定数以上と確認された場合、またはリソースモニタリング部323から受信したリソース占有率が予め定められた一定数値以上である場合などが挙げられるが、必ずしもこれに限定されるものではない。判断の結果、特定条件を満たさない場合には受信したパケットのみを遮断して終了するが、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するようにIPテーブル312を変更することにより(S160)、今後同一のIPアドレスから攻撃するパケットは有効時間の間に段階S110及びS120によって遮断されるようにする。これにより、コンテンツフィルタリングシステム320のリソース占有率を低めることができるだけでなく、有効時間の経過時、パケットのコンテンツを分析して遮断の要否を決定するため、正確性が高く、優れたDoS攻撃遮断機能を提供することができる。
【0044】
本発明の他の実施形態によると、コンテンツ分析により、受信されたパケットがDoS攻撃のためのパケットであるかを判断(S140)し、もし受信されたパケットがDoS攻撃のためのパケットであると判断される場合には、特定条件を満たすかを判断する段階S150の前に、該当パケットを遮断(S120)した後、遮断されたパケットが特定条件を満たすか否かを再度判断(S150)するように、その順序を変更してもよい。段階S150の判断の結果、特定条件を満たさない場合には既に受信したパケットは遮断したためそのまま終了し、特定条件を満たす場合には、コンテンツ遮断部322は、受信したパケットに含まれた発信先IPアドレス情報を有効時間に関する情報とともにIPテーブル312に追加するように、IPテーブル312を変更して(S160)終了してもよい。
【0045】
本発明による実施形態は、 多様なコンピュータ手段によって実行可能なプログラム命令の形態で実現可能であり、コンピュータ読み取り可能な媒体に記録することができる。前記コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などを単独に、または組み合わせて含んでもよい。媒体に記録されるプログラム命令は、本発明のために特別に設計及び構成されたものであってもよく、コンピュータソフトウェア分野の当業者に公知されて使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープなどの磁気媒体(Magnetic Media)、CD−ROM、DVDなどの光記録媒体(Optical Media)、フロプティカルディスク(Floptical Disk)などの磁気−光媒体(Magneto−Optical Media)、及びROM、RAM、フラッシュメモリなどの、プログラム命令を保存及び実行するように特に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラーによって作われるもののような機械語コードだけでなく、インタープリターなどを用いてコンピュータによって実行されることができる高級言語コードを含む。前記ハードウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成されることができ、その逆も同様である。
【0046】
以上のように本発明では、具体的な構成要素などのような特定事項と限定された実施形態及び図面によって説明したが、これは本発明の全般的な理解をより容易にするために提供されたものに過ぎず、本発明は上記の実施形態に限定されるものではなく、本発明が属する分野において通常の知識を有する者であれば、このような記載から多様な修正及び変形が可能である。
【0047】
従って、本発明の思想は、説明された実施形態に限って決まってはならず、添付する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的変形がある全てのものなどは本発明の思想の範囲に属するといえる。
【特許請求の範囲】
【請求項1】
コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法であって、
前記パケットレベル遮断システムにより、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケットレベル遮断段階と、
前記コンテンツフィルタリングシステムにより、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、
前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、
前記コンテンツフィルタリングシステムにより、前記第1の判断段階で前記攻撃基準を満たす場合、前記パケットを遮断するコンテンツベース遮断段階と、を含み、
前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレスに関する情報を追加することを特徴とするDoS攻撃遮断方法。
【請求項2】
前記IPテーブルは、IPアドレス及び前記IPアドレスが有効な有効時間に関する情報を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項3】
前記第1の判断段階は、
データベースからDoS攻撃の特徴である特定の文字列または特定のパターンを呼び出す段階と、
前記呼び出された特定の文字列または特定のパターンが前記分析されたコンテンツ内部に存在するかを確認する段階と、を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項4】
前記第2の判断段階の特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たすパケットの数が所定数以上と確認された場合、または前記コンテンツフィルタリングシステムのリソース占有率が一定値以上と確認された場合のうち何れか一つ以上を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項5】
前記パケットレベル遮断システムにより、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化する段階をさらに含むことを特徴とする請求項2に記載のDoS攻撃遮断方法。
【請求項6】
コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムであって、
受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケット遮断部と、
前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、
前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを遮断し、前記パケットが特定条件を満たすかを確認して、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレスを追加するコンテンツ遮断部と、を含むことを特徴とするDoS攻撃遮断システム。
【請求項7】
前記IPテーブルは、IPアドレス及び前記IPアドレスが有効な有効時間に関する情報を含むことを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項8】
前記コンテンツ分析部は、
データベースからDoS攻撃特徴である特定の文字列または特定のパターンを呼び出す機能と、
前記呼び出された特定の文字列または特定のパターンが前記分析されたコンテンツ内部に存在するかを確認する機能と、を実行することを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項9】
前記特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たすパケットの数が所定数以上と確認された場合、またはリソース占有率が一定数以上と確認された場合のうち何れか一つ以上を含むことを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項10】
前記コンテンツ遮断部は、前記IPテーブルに前記パケットの発信先IPアドレスを追加する際、前記IPアドレスの有効時間に関する情報も追加することを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項11】
前記パケット遮断部は、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化することを特徴とする請求項7に記載のDoS攻撃遮断システム。
【請求項12】
請求項1から5の何れか一つに記載の方法の各段階をコンピュータ上で行うためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項1】
コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法であって、
前記パケットレベル遮断システムにより、受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケットレベル遮断段階と、
前記コンテンツフィルタリングシステムにより、前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断する第1の判断段階と、
前記コンテンツフィルタリングシステムにより、前記パケットが特定条件を満たすかを確認する第2の判断段階と、
前記コンテンツフィルタリングシステムにより、前記第1の判断段階で前記攻撃基準を満たす場合、前記パケットを遮断するコンテンツベース遮断段階と、を含み、
前記第2の判断段階は前記第1の判断段階で前記攻撃基準を満たす場合に行われ、前記第2の判断段階で前記特定条件を満たす場合、前記IPテーブルに前記パケットの発信先IPアドレスに関する情報を追加することを特徴とするDoS攻撃遮断方法。
【請求項2】
前記IPテーブルは、IPアドレス及び前記IPアドレスが有効な有効時間に関する情報を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項3】
前記第1の判断段階は、
データベースからDoS攻撃の特徴である特定の文字列または特定のパターンを呼び出す段階と、
前記呼び出された特定の文字列または特定のパターンが前記分析されたコンテンツ内部に存在するかを確認する段階と、を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項4】
前記第2の判断段階の特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たすパケットの数が所定数以上と確認された場合、または前記コンテンツフィルタリングシステムのリソース占有率が一定値以上と確認された場合のうち何れか一つ以上を含むことを特徴とする請求項1に記載のDoS攻撃遮断方法。
【請求項5】
前記パケットレベル遮断システムにより、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化する段階をさらに含むことを特徴とする請求項2に記載のDoS攻撃遮断方法。
【請求項6】
コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断システムであって、
受信したパケットの発信先IPアドレスがIPテーブル内のIPアドレスのうち何れか一つと一致する場合、前記パケットを遮断するパケット遮断部と、
前記パケット内部のコンテンツを分析し、前記分析されたコンテンツがDoS攻撃基準を満たすかを判断するコンテンツ分析部と、
前記コンテンツ分析部の判断結果、前記攻撃基準を満たす場合は前記パケットを遮断し、前記パケットが特定条件を満たすかを確認して、前記特定条件を満たす場合は前記IPテーブルに前記パケットの発信先IPアドレスを追加するコンテンツ遮断部と、を含むことを特徴とするDoS攻撃遮断システム。
【請求項7】
前記IPテーブルは、IPアドレス及び前記IPアドレスが有効な有効時間に関する情報を含むことを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項8】
前記コンテンツ分析部は、
データベースからDoS攻撃特徴である特定の文字列または特定のパターンを呼び出す機能と、
前記呼び出された特定の文字列または特定のパターンが前記分析されたコンテンツ内部に存在するかを確認する機能と、を実行することを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項9】
前記特定条件は、前記パケットと同一の発信先IPアドレスを有し、DoS攻撃基準を満たすパケットの数が所定数以上と確認された場合、またはリソース占有率が一定数以上と確認された場合のうち何れか一つ以上を含むことを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項10】
前記コンテンツ遮断部は、前記IPテーブルに前記パケットの発信先IPアドレスを追加する際、前記IPアドレスの有効時間に関する情報も追加することを特徴とする請求項6に記載のDoS攻撃遮断システム。
【請求項11】
前記パケット遮断部は、前記IPテーブル内の有効時間が経過したIPアドレスを前記IPテーブルから削除または非活性化することを特徴とする請求項7に記載のDoS攻撃遮断システム。
【請求項12】
請求項1から5の何れか一つに記載の方法の各段階をコンピュータ上で行うためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−114917(P2012−114917A)
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願番号】特願2011−256060(P2011−256060)
【出願日】平成23年11月24日(2011.11.24)
【出願人】(509288208)エヌエイチエヌ ビジネス プラットフォーム コーポレーション (93)
【Fターム(参考)】
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願日】平成23年11月24日(2011.11.24)
【出願人】(509288208)エヌエイチエヌ ビジネス プラットフォーム コーポレーション (93)
【Fターム(参考)】
[ Back to top ]