通信サーバおよびDoS攻撃防御方法
【課題】通信サーバにてDoS攻撃の検出処理を行うことでコストを抑えるとともに、負荷率が高い場合には検出処理による通信サーバへの負荷を低減させる。
【解決手段】端末との間で信号の送受信を行う通信サーバ4において、通信サーバ4の負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部41と、通信サーバ4の負荷率を算出する負荷率算出部42と、端末から受信した信号を監視するとともに、負荷率算出部42にて算出された負荷率に蓄積部41にて対応付けられた検知条件と監視の結果とに基づいて端末がDoS攻撃を行っているか否かを判断する検知部44と、負荷率算出部42にて算出された負荷率に蓄積部41にて対応付けられた規制内容に基づいて、検知部44にてDoS攻撃を行っていると判断された端末との間で送受信する信号に対して規制をかける規制部45とを有する。
【解決手段】端末との間で信号の送受信を行う通信サーバ4において、通信サーバ4の負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部41と、通信サーバ4の負荷率を算出する負荷率算出部42と、端末から受信した信号を監視するとともに、負荷率算出部42にて算出された負荷率に蓄積部41にて対応付けられた検知条件と監視の結果とに基づいて端末がDoS攻撃を行っているか否かを判断する検知部44と、負荷率算出部42にて算出された負荷率に蓄積部41にて対応付けられた規制内容に基づいて、検知部44にてDoS攻撃を行っていると判断された端末との間で送受信する信号に対して規制をかける規制部45とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信サーバおよびDoS(Denial of Service attack)攻撃防御方法に関する。
【背景技術】
【0002】
近年、インターネットを介して通信を行い、呼制御等のサービスを提供する通信システムが普及する一方で、このようなシステムの妨害を意図した不正なアクセスによる攻撃が増加している。
【0003】
特に、システム内の通信サーバに対して大量の不正なアクセスを発生させ、通信サーバの負荷を上昇させてサービスの提供に不具合を生じさせたり、最悪の場合、通信サーバをダウンさせたりするDoS攻撃やDDoS(Distributed Denial of Service attack)攻撃は、正当なアクセスとの区別がつきにくく有効な対策をとることが困難であり、システム管理者を悩ませている。なお、以降、DoS攻撃とした場合、DDoS攻撃も含まれるものとする。
【0004】
この様なDoS攻撃からシステムを防御する技術として、特許文献1には、DoS攻撃からの保護対象となるSIPサーバあるいはSIPクライアントとインターネットとの間に、異常なトラヒックを検知する異常トラヒック検知装置を設置し、DoS攻撃を検知する技術が記載されている。この、異常トラヒック検知装置は、SIPトランザクション処理の処理状態に関する情報をSIPパケットのヘッダーから取得するとともに、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視したSIPパケットと取得したSIPトランザクション処理の処理状態に関する情報とに基づいて、不正アクセスによる異常なパケットのトラヒックを検知する。
【0005】
また、DoS攻撃からシステムを防御する他の技術として、特許文献2には、ユーザ端末を収容するエッジ・ルータにおいて、単位時間あたりに各ユーザ端末から受信したパケット数をカウントし、単位時間当たりのパケット数が事前に設定されている閾値を超える場合、DoS攻撃と判断し、そのユーザ端末からのパケット送信を規制する技術が記載されている。
【0006】
これら特許文献1や特許文献2に記載されている技術では、通信サーバ等とインターネットとの間に、異常トラヒック検知装置やDoS攻撃を検知する機能を有するエッジ・ルータ等を設置することで、通信サーバ等に負担をかけることなくDoS攻撃を防御することができる。
【0007】
また、DoS攻撃からシステムを防御するさらに他の技術として、特許文献3には、複数の端末を有するシステム内の通信サーバにおいて、各端末から第1の監視期間内に受信した信号数をカウントし、カウントした信号数が第1の閾値を越えた場合、その端末から第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントし、カウントした所定の処理内容の信号数が第2の閾値を越えた場合にDoS攻撃と判断する技術が記載されている。この技術では、特定の処理内容の信号数をカウントするため、サービスの仕様に応じて、より高い精度でDoS攻撃を検知することができる。また、この技術では、特許文献1や特許文献2の技術のように異常トラヒック検知装置やエッジ・ルータ等の装置を準備する必要が無いため、DoS攻撃からシステムを防御するために掛かるコストを抑えることができる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−267151号公報
【特許文献2】特開2006−100874号公報
【特許文献3】特開2006−237892号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述した特許文献1〜3に記載の技術には、以下に示すような課題がある。
【0010】
特許文献1に記載の技術では、保護対象となるSIPサーバやSIPクライアント毎に異常トラヒック検知装置を準備する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
【0011】
また、特許文献2に記載の技術では、事前に誰がDoS攻撃者となるかを特定することができないため、各ユーザ端末からのパケット数をカウントし、その結果に基づいてDoS攻撃か否かを判断する機能を全てのエッジ・ルータに追加する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
【0012】
また、特許文献3に記載の技術では、上述したように通信サーバにDoS攻撃か否かを判断する機能を具備させるためコストを抑えることができる。しかし、この技術では、通信サーバにてDoS攻撃か否かの判断を行うため、その処理自体が通信サーバの負荷となり、通信サーバの負荷率が高い場合には、通信サーバ全体の処理に影響を及ぼす可能性がある。なお、負荷率とは、通信サーバの最大処理量に対する通信サーバが実際に行っている処理量の割合を示す値である。
【0013】
本発明の目的は、通信サーバにてDoS攻撃の検出処理を行うことでコストを抑えるとともに、通信サーバの負荷率が高い場合には検出処理による負荷を低減させることができる通信サーバおよびDoS攻撃防御方法を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するために本発明の通信サーバは、
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする。
【0015】
上記目的を達成するために本発明のDoS攻撃防御方法は、
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有する。
【発明の効果】
【0016】
上述したように本発明においては、通信サーバは、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。
【0017】
この様に、通信サーバにてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、通信サーバの負荷率に応じてDoS攻撃の検出条件や規制内容を変更することで、負荷率が高い場合には通信サーバに負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。
【図面の簡単な説明】
【0018】
【図1】本発明の一実施形態の通信システムの構成を示すブロック図である。
【図2】図1に示した呼制御装置の構成の一例を示すブロック図である。
【図3−1】図2に示した検知条件テーブルの構成の一例を示す図である。
【図3−2】図2に示した規制条件テーブルの構成の一例を示す図である。
【図3−3】図2に示した負荷率対応テーブルの構成の一例を示す図である。
【図4−1】図2に示した呼制御装置の負荷率が低い場合の、検知部および規制部の動作の一例を説明する概念図。
【図4−2】図2に示した呼制御装置の負荷率が高い場合の、検知部および規制部の動作の一例を説明する概念図。
【図5】図2に示した呼制御装置の負荷率が低い場合の動作の一例を説明するフローチャートである。
【図6】図2に示した呼制御装置の負荷率が高い場合の動作の一例を説明するフローチャートである。
【図7】図1に示した通信システムの動作の一例を説明するシーケンスチャートである。
【発明を実施するための形態】
【0019】
以下に、本発明を実施するための最良の形態について図面を参照して説明する。
【0020】
図1は、本発明の一実施形態の通信システムの構成を示すブロック図である。
【0021】
図1に示すように、本実施形態の通信システムは、NGN(次世代ネットワーク:Next Generation Network)1と、NGN1に接続された端末装置5a,5bとを有している。
【0022】
NGN1は、パケット転送層2とサービス制御層3とを有するネットワークである。
【0023】
パケット転送層2は、パケットを転送する機能の集合体である。
【0024】
サービス制御層3は、構成装置として呼制御装置4を含み、端末装置5a,5bに提供する各種のサービスを制御する機能の集合体である。
【0025】
呼制御装置4は、端末装置5a,5b間の呼制御を行う通信サーバであり、予め設定されている検知条件に基づいてDoS攻撃を検知し、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制する。また、呼制御装置4は、定期的に自身の負荷率を算出し、負荷率の算出結果に応じて、DoS攻撃の検知条件やDoS攻撃に対する規制内容を変更する。なお、呼制御装置4が行う呼制御には、自身が収容する端末装置5a,5bについて、発信元の端末装置5a,5bから発せられた呼を受け付け、また着信先の端末装置5a,5bに着信を伝える加入者系の呼制御と、不図示の他の呼制御装置4で受け付けられた呼を、不図示のさらに他の呼制御装置4に転送する中継系の呼制御とが存在する。また、図1中では呼制御装置4は1台しか存在しないが、複数台存在してもよい。
【0026】
端末装置5a,5bは、本実施形態の通信システムが提供する通信サービスの利用者が操作する端末装置である。図1中では端末装置は端末装置5a,5bのみしか存在しないが、1台でも良いし、2台よりも多い台数存在してもよい。
【0027】
以下に、本発明の特徴となる呼制御装置4の構成について詳細に説明する。
(呼制御装置4の構成)
図2は、図1に示した呼制御装置4の構成の一例を示すブロック図である。なお、図2においては、呼制御装置4の機能のうち、本発明の特徴であるDoS攻撃を検知し、規制する機能に関係する構成要素のみを示している。上述した呼制御については、SIPベースの呼制御など公知の技術を用いて実現することができるため、ここでは説明を割愛する。
【0028】
図2に示すように、図1に示した呼制御装置4は、蓄積部41と、負荷率算出部42と、選択部43と、検知部44と、規制部45とを有している。
【0029】
また、蓄積部41は、検知条件テーブル411と、規制条件テーブル412と、負荷率対応テーブル413とを有している。
【0030】
検知条件テーブル411は、本実施形態の通信システムの保守者により入力された、DoS攻撃を検知するための検知条件を識別子となる検知種別ごとに記録したテーブルである。
【0031】
規制条件テーブル412は、保守者により入力された、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制するための規制内容を識別子となる規制種別ごとに記録したテーブルである。
【0032】
負荷率対応テーブル413は、検知条件テーブル411に記録されている検知種別と規制条件テーブル412に記録されている規制種別とを、呼制御装置4の負荷率に対応付けて記録したテーブルである。
【0033】
負荷率算出部42は、保守者により設定された所定の期間におけるCPU(Central Processing Unit)使用率の変動に基づいて呼制御装置4の負荷率を算出し、選択部43に通知する。ここでは、例えば、保守者により所定の期間が30秒に設定された場合、負荷率算出部42は、CPU使用率が70%以上の状態が30秒間以上継続した場合に負荷率70%と算出するものとする。なお、呼制御装置4の負荷率の算出方法については、上述したCPU使用率に基づいた算出方法に限定されるものではなく、例えばメモリ使用率等の呼制御装置4の他のハードウェア資源の使用状況に応じて算出する方法を用いても良い。
【0034】
選択部43は、蓄積部41にアクセスし、負荷率算出部42から通知された負荷率に基づいて、その負荷率に対応した検知種別および規制種別を負荷率対応テーブル413から取得する。また、選択部43は、取得した検知種別の検知条件および規制種別の規制内容をそれぞれ検知条件テーブル411および規制条件テーブル412から取得し、検知部44および規制部45に通知する。
【0035】
検知部44は、端末装置5a,5bからの発信および端末装置5a,5bへの着信を監視し、その監視結果と選択部43から通知された検知条件とに基づいて端末装置5a,5bがDoS攻撃を行っている否かを判断する。例えば、呼制御にSIPを用いる場合であれば、検知部44は、通知された検知条件に基づいて、呼制御装置4と端末装置5a,5bとの間で送受信されるSIPメッセージ信号の信号数をカウントし、カウントした信号数が検知条件を満たす場合、端末装置5a,5bがDoS攻撃を行っていると判定する。また、検知部44は、例えば、端末装置5aがDoS攻撃を行っていると判断した場合、端末装置5aからのDoS攻撃を検知した旨を規制部45に通知する。また、検知部44は、DoS攻撃検知後も、その攻撃が継続状態にあることを検知した場合、その旨を規制部45に通知する。なお、呼制御にSIPを用いる場合に、検知部44が、SIPメッセージ信号のうちSIPセッションを確立するために使用されるINVITEメッセージ信号のみをカウントするようにしても良い。
【0036】
規制部45は、検知部44からの通知を受け、選択部43から通知された規制内容に基づいて、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に規制をかける。また、規制部45は、規制をかけていることを通知するアラームを保守者に対して送信する。なお、ここで端末装置5a,5bからの発信に規制をかけるとは、あて先がどこであるかに限らず端末装置5a,5bから受信した信号を破棄することを指す。また、端末装置5a,5bへの着信に規制をかけるとは、送信元がどこであるかに限らずあて先が端末装置5a,5bの信号を破棄することを指す。
【0037】
以下に、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413の構成について説明する。
(検知条件テーブル411の構成)
図3−1は、図2に示した検知条件テーブル411の構成の一例を示す図である。
【0038】
図3−1に示すように、図2に示した検知条件テーブル411には、検知種別ごとに、呼制御装置4にて同一IPアドレス、同一ポート番号から受信した信号数をカウントする期間を示す時間幅と、その時間幅の間にカウントした信号数に基づいてDoS攻撃か否かを判断する際に使用する閾値となる個数とがDoS攻撃の検知条件として記録されている。
【0039】
例えば、図3−1に示した例では、検知部44は、検知種別Aの場合、時間幅Ndの間に、同一IPアドレス、同一ポート番号からMd個以上の信号を受信することを条件として、そのIPアドレスを有する端末装置5a,5bからDoS攻撃を受けていると判断する。同様に、検知部44は、検知種別Bの場合、時間幅Neの間に、同一IPアドレス、同一ポート番号からMe個以上の信号を受信することを条件にDoS攻撃と判断し、検知種別Cの場合、時間幅Nfの間に、同一IPアドレス、同一ポート番号からMf個以上の信号を受信することを条件にDoS攻撃と判断する。
【0040】
なお、時間幅はNd>Ne>Nfの関係にあり、閾値となる個数はMd<Me<Mfの関係にあるものとする。そのため、図3−1に示した例においては、検知種別A<検知種別B<検知種別Cの順で検知条件が厳しくなり、また、この順で検知条件に合致した端末装置5a,5bからDoS攻撃を受けている可能性が高くなる。
(規制条件テーブル412の構成)
図3−2は、図2に示した規制条件テーブル412の構成の一例を示す図である。
【0041】
図3−2に示すように、図2に示した規制条件テーブル412には、規制種別ごとに、DoS攻撃を行っている端末装置5a,5bからの発信に対する規制内容と、その端末装置5a,5bへの着信に対する規制内容とが記録されている。なお、ここで、一部規制とは、保守者により設定された一定の割合、例えば3回に1回の割合で信号を破棄することを意味し、また、全面規制とは、全ての信号を破棄することを意味する。
【0042】
例えば、図3−2に示した例では、規制部45は、規制種別1の場合、DoS攻撃を行っている端末装置5a,5bからの発信を一部規制し、その端末装置5a,5bへの着信については規制しない。同様に、規制部45は、規制種別2の場合、DoS攻撃を行っている端末装置5a,5bからの発信を全面規制し、その端末装置5a,5bへの着信については規制せず、規制種別3の場合、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信ともに全面規制する。
(負荷率対応テーブル413の構成)
図3−3は、図2に示した負荷率対応テーブル413の構成の一例を示す図である。
【0043】
図3−3に示すように、図2に示した負荷率対応テーブル413には、呼制御装置4の負荷率と、検知条件および規制種別とが対応付けられて記録されている。ここでは、呼制御装置4の負荷率を、負荷率が高い状態と低い状態の2つに分け、それぞれに検知条件および規制種別を対応付けて記録している。なお、ここでは、負荷率が70%以上の場合を負荷率が高い状態として定義し、負荷率が70%よりも小さな場合を負荷率が低い状態として定義している。
【0044】
保守者は、呼制御装置4の負荷率と、検知条件および規制種別とを関連付けて負荷率対応テーブル413に記録することができ、図3−3に示した例では、負荷率が低い状態に対して、検知種別A〜Cをそれぞれ規制種別1〜3に対応付けて記録し、負荷率が高い状態に対しては、検知種別Aまたは検知種別Cを規制種別3と対応付けて記録している。
【0045】
以下に、図2に示した検知部44がDoS攻撃を検知する検知処理および規制部45が端末装置5a,5bからの発信及び端末装置5a,5bへの着信を規制する規制処理の動作について説明する。
(呼制御装置4の負荷率が低い場合の検知処理および規制処理)
図4−1は、図2に示した呼制御装置4の負荷率が低い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
【0046】
図4−1に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%よりも小さな場合、つまり負荷率が低い場合は、まず、検知部44は、検知条件が一番ゆるい検知種別Aの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通視する。これを受け、規制部45は、検知種別1に対応する規制種別1の規制をかけ、その旨を示すアラームを保守者に送信する。
【0047】
次に、検知部44は、検知種別Bの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Bに対応する規制種別2の規制をかけ、規制種別2の規制をかけた旨を示すアラーム2を保守者に送信する。
【0048】
次に、検知部44は、検知条件が一番厳しい検知種別Cの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Cに対応する規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。
【0049】
なお、検知部44は、DoS攻撃検知後、検知種別Aの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。また、検知部44は、検知種別Bの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Bから検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Aに対応する規制種別1の規制に戻すか、あるいは規制を解除し通常の状態に戻す処理を行う。同様に、検知部44は、検知種別Cの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Cから検知条件Bあるいは検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知種別Bに対応する規制種別2の規制、もしくは検知種別Aに対応する規制種別1の規制に戻すか、あるいは沈静化されたと判断し、規制を解除し通常の状態に戻す処理を行う。
(呼制御装置4の負荷率が高い場合の検知処理および規制処理)
図4−2は、図2に示した呼制御装置4の負荷率が高い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
【0050】
図4−2に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%以上の場合、つまり負荷率が高い場合は、まず、検知部44は、検知種別Aまたは検知種別Cのいずれかの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受けて、規制部45は、規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。なお、検知部44は、検知種別Aと検知種別Cの条件のうち、保守者により選択された方の条件を使用するものとする。
【0051】
また、検知部44は、DoS攻撃検知後、検知種別Aもしくは検知種別Cの条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。
【0052】
上述したように、本実施形態の通信システムにおいては、呼制御装置4の負荷率が高い場合の処理は、負荷率が低い場合の処理と比較してステップ数が少なくなっている。この様に、呼制御装置4の負荷率に応じて、実施する検知処理や規制処理の処理内容を変更することで、負荷率が高い場合に検知処理および規制処理により呼制御装置4にかかる負荷を少なくすることができる。
【0053】
以下に、図2に示した呼制御装置4の動作について詳細に説明する。
(負荷率が低い場合の呼制御装置4の動作)
最初に、図2に示した呼制御装置4の負荷率が低い場合の動作について説明する。
【0054】
図5は、図2に示した呼制御装置4の負荷率が低い場合の動作の一例を説明するフローチャートである。
【0055】
図5に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップA1)。
【0056】
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップA2)、選択部43に通知する。
【0057】
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が低いため、検知種別A〜Cと、それらに対応する規制種別1〜3が取得される。
【0058】
次に、選択部43は、検知条件テーブル411から検知種別A〜Cの検知条件を取得するとともに、規制条件テーブル412から規制種別1〜3の規制内容を取得し(ステップA3)、それらを検知部44および規制部45に通知する。
【0059】
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップA5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別1の規制をかけ(ステップA6)、アラーム1を保守者に送信する(ステップA7)。
【0060】
また、検知部44は、検知種別Aの検知条件にてDoS攻撃を検知した場合、検知種別Bの検知条件に基づいて、時間幅Neの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA8)、端末装置5a,5bからMe個以上の信号を受信した場合(ステップA9)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別2の規制をかけ(ステップA10)、アラーム2を保守者に送信する(ステップA11)。
【0061】
さらに、検知部44は、検知種別Bの検知条件にてDoS攻撃が検知された場合、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA12)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA13)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップA14)、アラーム3を保守者に送信する(ステップA15)。
【0062】
アラーム3の送信後も、検知部44は、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップA16)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA17)、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃が継続していると判断し、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
【0063】
なお、検知部44は、ステップA5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップA4に戻り、カウントを繰り返す。
【0064】
また、検知部44は、ステップA9において、時間幅Neの間にカウントした信号数がMeよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップA18)。なお、検知部44は、カウント数がMd以上でMeよりも小さな場合、ステップA8に戻り、カウントを繰り返す。
【0065】
また、検知部44は、ステップA13において、時間幅Nfの間にカウントした信号数がMf以上の場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
【0066】
また、検知部44は、ステップA13において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別2から規制種別1に変更する(ステップA19)。なお、検知部44は、カウント数がMe以上でMfよりも小さな場合、ステップA12に戻り、カウントを繰り返す。
【0067】
また、検知部44は、ステップA17において、時間幅Nfの間にカウントした信号数がMfよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
【0068】
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、ステップ19に戻り、その通知に基づいて規制種別を規制種別3から規制種別1に変更する。
【0069】
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMe以上でMfよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA12に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別3から規制種別2に変更する(ステップA20)。
(負荷率が高い場合の呼制御装置4の動作)
続いて、呼制御装置4の負荷率が高い場合の動作について説明する。
【0070】
図6は、図2に示した呼制御装置4の負荷率が高い場合の動作の一例を説明するフローチャートである。なお、予め保守者により負荷率が高い場合に検知部44が使用する検知種別として検知種別Aが選択されているものとする。
【0071】
図6に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との関連付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップB1)。
【0072】
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップB2)、選択部43に通知する。
【0073】
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が高いため、検知種別Aと規制種別3とが取得される。
【0074】
次に、選択部43は、それらに基づいて、検知条件テーブル411から検知種別Aの検知条件を取得するとともに、規制条件テーブル412から規制種別3の規制内容を取得し(ステップB3)、それらを検知部44および規制部45に通知する。
【0075】
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップB4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップB6)、アラーム3を保守者に送信する(ステップB7)。
【0076】
アラーム3の送信後も、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップB8)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB9)、DoS攻撃が継続していると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
【0077】
なお、検知部44は、ステップB5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップB4に戻り、カウントを繰り返す。
【0078】
また、検知部44は、ステップB9において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップB4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップB10)。
【0079】
以下に、本実施形態の通信システムの動作について説明する。
(通信システムの動作)
図7は、図1に示した通信システムの動作の一例を説明するシーケンスチャートである。なお、図7は、端末装置5aおよび呼制御装置4の間のシーケンスを示している。
【0080】
ここでは、図1に示した呼制御装置4の負荷率が低い場合の通信システムの動作について説明する。
【0081】
図7に示すように、まず、図1に示した呼制御装置4において、図2に示した蓄積部41は、保守者により入力された検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けとを、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップC1)。
【0082】
次に、呼制御装置4において、負荷率算出部42は、呼制御装置4の負荷率を算出し、算出結果を選択部44に通知する(ステップC2)。これを受けて、選択部44は、その算出結果に基づいて、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413から、負荷率が低い場合のDoS攻撃の検知条件である検知種別A〜Cと、それらに対応する規制種別1〜3を取得し(ステップC3)、それらを検知部44および規制部45に通知する。
【0083】
ここで、図7に示すように、図1に示した端末装置5aが、呼制御装置4に対して、DoS攻撃として例えばセッション確立要求の繰り返し送信を開始するものとする(ステップC4)。
【0084】
次に、呼制御装置4において、検知部44は、検知種別1の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC5)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別1の規制をかける(ステップC6)。また、検知部44は、検知種別2の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC7)、合致した場合、規制部45は、端末装置5aに対して規制種別2の規制をかける(ステップC8)。更に、検知部44は、検知種別3の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC9)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別3の規制をかける(ステップC10)。
【0085】
その後、呼制御装置4において、検知部44は、規制部45にて規制種別3による規制をかけた後も端末装置5aから受信した信号数のカウントを継続し(ステップC11)、端末装置5aによるDoS攻撃が沈静化したことを検知した場合、その旨を規制部45に通知する。これを受け、規制部45は、端末装置5aに対する規制を解除する(ステップC12)。
【0086】
上述したように、本実施形態においては、呼制御装置4は、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。
【0087】
この様に、呼制御装置4にてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、呼制御装置4の負荷率に応じて検出条件や規制内容を変更することで、負荷率が高い場合には呼制御装置4に負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。
【0088】
また、DoS攻撃の検出および規制を行うことができるため、端末装置5a,5bの利用者であるエンドユーザにとっては、ネットワークの安全性が高まることからいつでも安心してネットワークを使えるようになり、通信事業者にとっては、安全なネットワークを提供することで、エンドユーザおよびサービス提供者の満足度を高められ、エンドユーザおよびサービス提供者の囲い込みができるようになる。
【符号の説明】
【0089】
1 NGN(Next Generation Network)
2 パケット転送層
3 サービス制御層
4 呼制御装置
5a,5b 端末装置
41 蓄積部
42 負荷率算出部
43 選択部
44 検知部
45 規制部
411 検知条件テーブル
412 規制条件テーブル
413 負荷率対応テーブル
【技術分野】
【0001】
本発明は、通信サーバおよびDoS(Denial of Service attack)攻撃防御方法に関する。
【背景技術】
【0002】
近年、インターネットを介して通信を行い、呼制御等のサービスを提供する通信システムが普及する一方で、このようなシステムの妨害を意図した不正なアクセスによる攻撃が増加している。
【0003】
特に、システム内の通信サーバに対して大量の不正なアクセスを発生させ、通信サーバの負荷を上昇させてサービスの提供に不具合を生じさせたり、最悪の場合、通信サーバをダウンさせたりするDoS攻撃やDDoS(Distributed Denial of Service attack)攻撃は、正当なアクセスとの区別がつきにくく有効な対策をとることが困難であり、システム管理者を悩ませている。なお、以降、DoS攻撃とした場合、DDoS攻撃も含まれるものとする。
【0004】
この様なDoS攻撃からシステムを防御する技術として、特許文献1には、DoS攻撃からの保護対象となるSIPサーバあるいはSIPクライアントとインターネットとの間に、異常なトラヒックを検知する異常トラヒック検知装置を設置し、DoS攻撃を検知する技術が記載されている。この、異常トラヒック検知装置は、SIPトランザクション処理の処理状態に関する情報をSIPパケットのヘッダーから取得するとともに、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視したSIPパケットと取得したSIPトランザクション処理の処理状態に関する情報とに基づいて、不正アクセスによる異常なパケットのトラヒックを検知する。
【0005】
また、DoS攻撃からシステムを防御する他の技術として、特許文献2には、ユーザ端末を収容するエッジ・ルータにおいて、単位時間あたりに各ユーザ端末から受信したパケット数をカウントし、単位時間当たりのパケット数が事前に設定されている閾値を超える場合、DoS攻撃と判断し、そのユーザ端末からのパケット送信を規制する技術が記載されている。
【0006】
これら特許文献1や特許文献2に記載されている技術では、通信サーバ等とインターネットとの間に、異常トラヒック検知装置やDoS攻撃を検知する機能を有するエッジ・ルータ等を設置することで、通信サーバ等に負担をかけることなくDoS攻撃を防御することができる。
【0007】
また、DoS攻撃からシステムを防御するさらに他の技術として、特許文献3には、複数の端末を有するシステム内の通信サーバにおいて、各端末から第1の監視期間内に受信した信号数をカウントし、カウントした信号数が第1の閾値を越えた場合、その端末から第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントし、カウントした所定の処理内容の信号数が第2の閾値を越えた場合にDoS攻撃と判断する技術が記載されている。この技術では、特定の処理内容の信号数をカウントするため、サービスの仕様に応じて、より高い精度でDoS攻撃を検知することができる。また、この技術では、特許文献1や特許文献2の技術のように異常トラヒック検知装置やエッジ・ルータ等の装置を準備する必要が無いため、DoS攻撃からシステムを防御するために掛かるコストを抑えることができる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−267151号公報
【特許文献2】特開2006−100874号公報
【特許文献3】特開2006−237892号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述した特許文献1〜3に記載の技術には、以下に示すような課題がある。
【0010】
特許文献1に記載の技術では、保護対象となるSIPサーバやSIPクライアント毎に異常トラヒック検知装置を準備する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
【0011】
また、特許文献2に記載の技術では、事前に誰がDoS攻撃者となるかを特定することができないため、各ユーザ端末からのパケット数をカウントし、その結果に基づいてDoS攻撃か否かを判断する機能を全てのエッジ・ルータに追加する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
【0012】
また、特許文献3に記載の技術では、上述したように通信サーバにDoS攻撃か否かを判断する機能を具備させるためコストを抑えることができる。しかし、この技術では、通信サーバにてDoS攻撃か否かの判断を行うため、その処理自体が通信サーバの負荷となり、通信サーバの負荷率が高い場合には、通信サーバ全体の処理に影響を及ぼす可能性がある。なお、負荷率とは、通信サーバの最大処理量に対する通信サーバが実際に行っている処理量の割合を示す値である。
【0013】
本発明の目的は、通信サーバにてDoS攻撃の検出処理を行うことでコストを抑えるとともに、通信サーバの負荷率が高い場合には検出処理による負荷を低減させることができる通信サーバおよびDoS攻撃防御方法を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するために本発明の通信サーバは、
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする。
【0015】
上記目的を達成するために本発明のDoS攻撃防御方法は、
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有する。
【発明の効果】
【0016】
上述したように本発明においては、通信サーバは、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。
【0017】
この様に、通信サーバにてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、通信サーバの負荷率に応じてDoS攻撃の検出条件や規制内容を変更することで、負荷率が高い場合には通信サーバに負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。
【図面の簡単な説明】
【0018】
【図1】本発明の一実施形態の通信システムの構成を示すブロック図である。
【図2】図1に示した呼制御装置の構成の一例を示すブロック図である。
【図3−1】図2に示した検知条件テーブルの構成の一例を示す図である。
【図3−2】図2に示した規制条件テーブルの構成の一例を示す図である。
【図3−3】図2に示した負荷率対応テーブルの構成の一例を示す図である。
【図4−1】図2に示した呼制御装置の負荷率が低い場合の、検知部および規制部の動作の一例を説明する概念図。
【図4−2】図2に示した呼制御装置の負荷率が高い場合の、検知部および規制部の動作の一例を説明する概念図。
【図5】図2に示した呼制御装置の負荷率が低い場合の動作の一例を説明するフローチャートである。
【図6】図2に示した呼制御装置の負荷率が高い場合の動作の一例を説明するフローチャートである。
【図7】図1に示した通信システムの動作の一例を説明するシーケンスチャートである。
【発明を実施するための形態】
【0019】
以下に、本発明を実施するための最良の形態について図面を参照して説明する。
【0020】
図1は、本発明の一実施形態の通信システムの構成を示すブロック図である。
【0021】
図1に示すように、本実施形態の通信システムは、NGN(次世代ネットワーク:Next Generation Network)1と、NGN1に接続された端末装置5a,5bとを有している。
【0022】
NGN1は、パケット転送層2とサービス制御層3とを有するネットワークである。
【0023】
パケット転送層2は、パケットを転送する機能の集合体である。
【0024】
サービス制御層3は、構成装置として呼制御装置4を含み、端末装置5a,5bに提供する各種のサービスを制御する機能の集合体である。
【0025】
呼制御装置4は、端末装置5a,5b間の呼制御を行う通信サーバであり、予め設定されている検知条件に基づいてDoS攻撃を検知し、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制する。また、呼制御装置4は、定期的に自身の負荷率を算出し、負荷率の算出結果に応じて、DoS攻撃の検知条件やDoS攻撃に対する規制内容を変更する。なお、呼制御装置4が行う呼制御には、自身が収容する端末装置5a,5bについて、発信元の端末装置5a,5bから発せられた呼を受け付け、また着信先の端末装置5a,5bに着信を伝える加入者系の呼制御と、不図示の他の呼制御装置4で受け付けられた呼を、不図示のさらに他の呼制御装置4に転送する中継系の呼制御とが存在する。また、図1中では呼制御装置4は1台しか存在しないが、複数台存在してもよい。
【0026】
端末装置5a,5bは、本実施形態の通信システムが提供する通信サービスの利用者が操作する端末装置である。図1中では端末装置は端末装置5a,5bのみしか存在しないが、1台でも良いし、2台よりも多い台数存在してもよい。
【0027】
以下に、本発明の特徴となる呼制御装置4の構成について詳細に説明する。
(呼制御装置4の構成)
図2は、図1に示した呼制御装置4の構成の一例を示すブロック図である。なお、図2においては、呼制御装置4の機能のうち、本発明の特徴であるDoS攻撃を検知し、規制する機能に関係する構成要素のみを示している。上述した呼制御については、SIPベースの呼制御など公知の技術を用いて実現することができるため、ここでは説明を割愛する。
【0028】
図2に示すように、図1に示した呼制御装置4は、蓄積部41と、負荷率算出部42と、選択部43と、検知部44と、規制部45とを有している。
【0029】
また、蓄積部41は、検知条件テーブル411と、規制条件テーブル412と、負荷率対応テーブル413とを有している。
【0030】
検知条件テーブル411は、本実施形態の通信システムの保守者により入力された、DoS攻撃を検知するための検知条件を識別子となる検知種別ごとに記録したテーブルである。
【0031】
規制条件テーブル412は、保守者により入力された、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制するための規制内容を識別子となる規制種別ごとに記録したテーブルである。
【0032】
負荷率対応テーブル413は、検知条件テーブル411に記録されている検知種別と規制条件テーブル412に記録されている規制種別とを、呼制御装置4の負荷率に対応付けて記録したテーブルである。
【0033】
負荷率算出部42は、保守者により設定された所定の期間におけるCPU(Central Processing Unit)使用率の変動に基づいて呼制御装置4の負荷率を算出し、選択部43に通知する。ここでは、例えば、保守者により所定の期間が30秒に設定された場合、負荷率算出部42は、CPU使用率が70%以上の状態が30秒間以上継続した場合に負荷率70%と算出するものとする。なお、呼制御装置4の負荷率の算出方法については、上述したCPU使用率に基づいた算出方法に限定されるものではなく、例えばメモリ使用率等の呼制御装置4の他のハードウェア資源の使用状況に応じて算出する方法を用いても良い。
【0034】
選択部43は、蓄積部41にアクセスし、負荷率算出部42から通知された負荷率に基づいて、その負荷率に対応した検知種別および規制種別を負荷率対応テーブル413から取得する。また、選択部43は、取得した検知種別の検知条件および規制種別の規制内容をそれぞれ検知条件テーブル411および規制条件テーブル412から取得し、検知部44および規制部45に通知する。
【0035】
検知部44は、端末装置5a,5bからの発信および端末装置5a,5bへの着信を監視し、その監視結果と選択部43から通知された検知条件とに基づいて端末装置5a,5bがDoS攻撃を行っている否かを判断する。例えば、呼制御にSIPを用いる場合であれば、検知部44は、通知された検知条件に基づいて、呼制御装置4と端末装置5a,5bとの間で送受信されるSIPメッセージ信号の信号数をカウントし、カウントした信号数が検知条件を満たす場合、端末装置5a,5bがDoS攻撃を行っていると判定する。また、検知部44は、例えば、端末装置5aがDoS攻撃を行っていると判断した場合、端末装置5aからのDoS攻撃を検知した旨を規制部45に通知する。また、検知部44は、DoS攻撃検知後も、その攻撃が継続状態にあることを検知した場合、その旨を規制部45に通知する。なお、呼制御にSIPを用いる場合に、検知部44が、SIPメッセージ信号のうちSIPセッションを確立するために使用されるINVITEメッセージ信号のみをカウントするようにしても良い。
【0036】
規制部45は、検知部44からの通知を受け、選択部43から通知された規制内容に基づいて、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に規制をかける。また、規制部45は、規制をかけていることを通知するアラームを保守者に対して送信する。なお、ここで端末装置5a,5bからの発信に規制をかけるとは、あて先がどこであるかに限らず端末装置5a,5bから受信した信号を破棄することを指す。また、端末装置5a,5bへの着信に規制をかけるとは、送信元がどこであるかに限らずあて先が端末装置5a,5bの信号を破棄することを指す。
【0037】
以下に、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413の構成について説明する。
(検知条件テーブル411の構成)
図3−1は、図2に示した検知条件テーブル411の構成の一例を示す図である。
【0038】
図3−1に示すように、図2に示した検知条件テーブル411には、検知種別ごとに、呼制御装置4にて同一IPアドレス、同一ポート番号から受信した信号数をカウントする期間を示す時間幅と、その時間幅の間にカウントした信号数に基づいてDoS攻撃か否かを判断する際に使用する閾値となる個数とがDoS攻撃の検知条件として記録されている。
【0039】
例えば、図3−1に示した例では、検知部44は、検知種別Aの場合、時間幅Ndの間に、同一IPアドレス、同一ポート番号からMd個以上の信号を受信することを条件として、そのIPアドレスを有する端末装置5a,5bからDoS攻撃を受けていると判断する。同様に、検知部44は、検知種別Bの場合、時間幅Neの間に、同一IPアドレス、同一ポート番号からMe個以上の信号を受信することを条件にDoS攻撃と判断し、検知種別Cの場合、時間幅Nfの間に、同一IPアドレス、同一ポート番号からMf個以上の信号を受信することを条件にDoS攻撃と判断する。
【0040】
なお、時間幅はNd>Ne>Nfの関係にあり、閾値となる個数はMd<Me<Mfの関係にあるものとする。そのため、図3−1に示した例においては、検知種別A<検知種別B<検知種別Cの順で検知条件が厳しくなり、また、この順で検知条件に合致した端末装置5a,5bからDoS攻撃を受けている可能性が高くなる。
(規制条件テーブル412の構成)
図3−2は、図2に示した規制条件テーブル412の構成の一例を示す図である。
【0041】
図3−2に示すように、図2に示した規制条件テーブル412には、規制種別ごとに、DoS攻撃を行っている端末装置5a,5bからの発信に対する規制内容と、その端末装置5a,5bへの着信に対する規制内容とが記録されている。なお、ここで、一部規制とは、保守者により設定された一定の割合、例えば3回に1回の割合で信号を破棄することを意味し、また、全面規制とは、全ての信号を破棄することを意味する。
【0042】
例えば、図3−2に示した例では、規制部45は、規制種別1の場合、DoS攻撃を行っている端末装置5a,5bからの発信を一部規制し、その端末装置5a,5bへの着信については規制しない。同様に、規制部45は、規制種別2の場合、DoS攻撃を行っている端末装置5a,5bからの発信を全面規制し、その端末装置5a,5bへの着信については規制せず、規制種別3の場合、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信ともに全面規制する。
(負荷率対応テーブル413の構成)
図3−3は、図2に示した負荷率対応テーブル413の構成の一例を示す図である。
【0043】
図3−3に示すように、図2に示した負荷率対応テーブル413には、呼制御装置4の負荷率と、検知条件および規制種別とが対応付けられて記録されている。ここでは、呼制御装置4の負荷率を、負荷率が高い状態と低い状態の2つに分け、それぞれに検知条件および規制種別を対応付けて記録している。なお、ここでは、負荷率が70%以上の場合を負荷率が高い状態として定義し、負荷率が70%よりも小さな場合を負荷率が低い状態として定義している。
【0044】
保守者は、呼制御装置4の負荷率と、検知条件および規制種別とを関連付けて負荷率対応テーブル413に記録することができ、図3−3に示した例では、負荷率が低い状態に対して、検知種別A〜Cをそれぞれ規制種別1〜3に対応付けて記録し、負荷率が高い状態に対しては、検知種別Aまたは検知種別Cを規制種別3と対応付けて記録している。
【0045】
以下に、図2に示した検知部44がDoS攻撃を検知する検知処理および規制部45が端末装置5a,5bからの発信及び端末装置5a,5bへの着信を規制する規制処理の動作について説明する。
(呼制御装置4の負荷率が低い場合の検知処理および規制処理)
図4−1は、図2に示した呼制御装置4の負荷率が低い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
【0046】
図4−1に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%よりも小さな場合、つまり負荷率が低い場合は、まず、検知部44は、検知条件が一番ゆるい検知種別Aの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通視する。これを受け、規制部45は、検知種別1に対応する規制種別1の規制をかけ、その旨を示すアラームを保守者に送信する。
【0047】
次に、検知部44は、検知種別Bの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Bに対応する規制種別2の規制をかけ、規制種別2の規制をかけた旨を示すアラーム2を保守者に送信する。
【0048】
次に、検知部44は、検知条件が一番厳しい検知種別Cの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Cに対応する規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。
【0049】
なお、検知部44は、DoS攻撃検知後、検知種別Aの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。また、検知部44は、検知種別Bの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Bから検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Aに対応する規制種別1の規制に戻すか、あるいは規制を解除し通常の状態に戻す処理を行う。同様に、検知部44は、検知種別Cの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Cから検知条件Bあるいは検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知種別Bに対応する規制種別2の規制、もしくは検知種別Aに対応する規制種別1の規制に戻すか、あるいは沈静化されたと判断し、規制を解除し通常の状態に戻す処理を行う。
(呼制御装置4の負荷率が高い場合の検知処理および規制処理)
図4−2は、図2に示した呼制御装置4の負荷率が高い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
【0050】
図4−2に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%以上の場合、つまり負荷率が高い場合は、まず、検知部44は、検知種別Aまたは検知種別Cのいずれかの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受けて、規制部45は、規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。なお、検知部44は、検知種別Aと検知種別Cの条件のうち、保守者により選択された方の条件を使用するものとする。
【0051】
また、検知部44は、DoS攻撃検知後、検知種別Aもしくは検知種別Cの条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。
【0052】
上述したように、本実施形態の通信システムにおいては、呼制御装置4の負荷率が高い場合の処理は、負荷率が低い場合の処理と比較してステップ数が少なくなっている。この様に、呼制御装置4の負荷率に応じて、実施する検知処理や規制処理の処理内容を変更することで、負荷率が高い場合に検知処理および規制処理により呼制御装置4にかかる負荷を少なくすることができる。
【0053】
以下に、図2に示した呼制御装置4の動作について詳細に説明する。
(負荷率が低い場合の呼制御装置4の動作)
最初に、図2に示した呼制御装置4の負荷率が低い場合の動作について説明する。
【0054】
図5は、図2に示した呼制御装置4の負荷率が低い場合の動作の一例を説明するフローチャートである。
【0055】
図5に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップA1)。
【0056】
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップA2)、選択部43に通知する。
【0057】
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が低いため、検知種別A〜Cと、それらに対応する規制種別1〜3が取得される。
【0058】
次に、選択部43は、検知条件テーブル411から検知種別A〜Cの検知条件を取得するとともに、規制条件テーブル412から規制種別1〜3の規制内容を取得し(ステップA3)、それらを検知部44および規制部45に通知する。
【0059】
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップA5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別1の規制をかけ(ステップA6)、アラーム1を保守者に送信する(ステップA7)。
【0060】
また、検知部44は、検知種別Aの検知条件にてDoS攻撃を検知した場合、検知種別Bの検知条件に基づいて、時間幅Neの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA8)、端末装置5a,5bからMe個以上の信号を受信した場合(ステップA9)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別2の規制をかけ(ステップA10)、アラーム2を保守者に送信する(ステップA11)。
【0061】
さらに、検知部44は、検知種別Bの検知条件にてDoS攻撃が検知された場合、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA12)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA13)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップA14)、アラーム3を保守者に送信する(ステップA15)。
【0062】
アラーム3の送信後も、検知部44は、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップA16)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA17)、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃が継続していると判断し、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
【0063】
なお、検知部44は、ステップA5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップA4に戻り、カウントを繰り返す。
【0064】
また、検知部44は、ステップA9において、時間幅Neの間にカウントした信号数がMeよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップA18)。なお、検知部44は、カウント数がMd以上でMeよりも小さな場合、ステップA8に戻り、カウントを繰り返す。
【0065】
また、検知部44は、ステップA13において、時間幅Nfの間にカウントした信号数がMf以上の場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
【0066】
また、検知部44は、ステップA13において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別2から規制種別1に変更する(ステップA19)。なお、検知部44は、カウント数がMe以上でMfよりも小さな場合、ステップA12に戻り、カウントを繰り返す。
【0067】
また、検知部44は、ステップA17において、時間幅Nfの間にカウントした信号数がMfよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
【0068】
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、ステップ19に戻り、その通知に基づいて規制種別を規制種別3から規制種別1に変更する。
【0069】
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMe以上でMfよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA12に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別3から規制種別2に変更する(ステップA20)。
(負荷率が高い場合の呼制御装置4の動作)
続いて、呼制御装置4の負荷率が高い場合の動作について説明する。
【0070】
図6は、図2に示した呼制御装置4の負荷率が高い場合の動作の一例を説明するフローチャートである。なお、予め保守者により負荷率が高い場合に検知部44が使用する検知種別として検知種別Aが選択されているものとする。
【0071】
図6に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との関連付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップB1)。
【0072】
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップB2)、選択部43に通知する。
【0073】
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が高いため、検知種別Aと規制種別3とが取得される。
【0074】
次に、選択部43は、それらに基づいて、検知条件テーブル411から検知種別Aの検知条件を取得するとともに、規制条件テーブル412から規制種別3の規制内容を取得し(ステップB3)、それらを検知部44および規制部45に通知する。
【0075】
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップB4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップB6)、アラーム3を保守者に送信する(ステップB7)。
【0076】
アラーム3の送信後も、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップB8)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB9)、DoS攻撃が継続していると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
【0077】
なお、検知部44は、ステップB5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップB4に戻り、カウントを繰り返す。
【0078】
また、検知部44は、ステップB9において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップB4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップB10)。
【0079】
以下に、本実施形態の通信システムの動作について説明する。
(通信システムの動作)
図7は、図1に示した通信システムの動作の一例を説明するシーケンスチャートである。なお、図7は、端末装置5aおよび呼制御装置4の間のシーケンスを示している。
【0080】
ここでは、図1に示した呼制御装置4の負荷率が低い場合の通信システムの動作について説明する。
【0081】
図7に示すように、まず、図1に示した呼制御装置4において、図2に示した蓄積部41は、保守者により入力された検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けとを、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップC1)。
【0082】
次に、呼制御装置4において、負荷率算出部42は、呼制御装置4の負荷率を算出し、算出結果を選択部44に通知する(ステップC2)。これを受けて、選択部44は、その算出結果に基づいて、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413から、負荷率が低い場合のDoS攻撃の検知条件である検知種別A〜Cと、それらに対応する規制種別1〜3を取得し(ステップC3)、それらを検知部44および規制部45に通知する。
【0083】
ここで、図7に示すように、図1に示した端末装置5aが、呼制御装置4に対して、DoS攻撃として例えばセッション確立要求の繰り返し送信を開始するものとする(ステップC4)。
【0084】
次に、呼制御装置4において、検知部44は、検知種別1の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC5)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別1の規制をかける(ステップC6)。また、検知部44は、検知種別2の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC7)、合致した場合、規制部45は、端末装置5aに対して規制種別2の規制をかける(ステップC8)。更に、検知部44は、検知種別3の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC9)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別3の規制をかける(ステップC10)。
【0085】
その後、呼制御装置4において、検知部44は、規制部45にて規制種別3による規制をかけた後も端末装置5aから受信した信号数のカウントを継続し(ステップC11)、端末装置5aによるDoS攻撃が沈静化したことを検知した場合、その旨を規制部45に通知する。これを受け、規制部45は、端末装置5aに対する規制を解除する(ステップC12)。
【0086】
上述したように、本実施形態においては、呼制御装置4は、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。
【0087】
この様に、呼制御装置4にてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、呼制御装置4の負荷率に応じて検出条件や規制内容を変更することで、負荷率が高い場合には呼制御装置4に負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。
【0088】
また、DoS攻撃の検出および規制を行うことができるため、端末装置5a,5bの利用者であるエンドユーザにとっては、ネットワークの安全性が高まることからいつでも安心してネットワークを使えるようになり、通信事業者にとっては、安全なネットワークを提供することで、エンドユーザおよびサービス提供者の満足度を高められ、エンドユーザおよびサービス提供者の囲い込みができるようになる。
【符号の説明】
【0089】
1 NGN(Next Generation Network)
2 パケット転送層
3 サービス制御層
4 呼制御装置
5a,5b 端末装置
41 蓄積部
42 負荷率算出部
43 選択部
44 検知部
45 規制部
411 検知条件テーブル
412 規制条件テーブル
413 負荷率対応テーブル
【特許請求の範囲】
【請求項1】
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする通信サーバ。
【請求項2】
請求項1に記載の通信サーバにおいて、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有し、
前記負荷率算出部にて算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択部をさらに有し、
前記検知部は、前記選択部にて取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制部は、前記選択部にて取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、通信サーバ。
【請求項3】
請求項2に記載の通信サーバにおいて、
前記検知部は、前記監視において前記選択部にて取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、通信サーバ。
【請求項4】
請求項3に記載の通信サーバにおいて、
前記検知部は、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制部は、前記検知部にてカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、通信サーバ。
【請求項5】
請求項3または請求項4に記載の通信サーバにおいて、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しており、
前記検知部は、前記選択部にて複数の検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制部は、前記検知部にて前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、通信サーバ。
【請求項6】
請求項3〜請求項5のいずれか1項に記載の通信サーバにおいて、
当該通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知部は、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、通信サーバ。
【請求項7】
請求項6に記載の通信サーバにおいて、
前記検知部は、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、通信サーバ。
【請求項8】
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有するDoS攻撃防御方法。
【請求項9】
請求項8に記載のDoS攻撃防御方法において、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有するものとし、
前記算出ステップで算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択ステップをさらに有し、
前記検知ステップでは、前記選択ステップで取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制ステップでは、前記選択ステップで取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、DoS攻撃防御方法。
【請求項10】
請求項9に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記選択ステップで取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、DoS攻撃防御方法。
【請求項11】
請求項10に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制ステップでは、前記検知ステップでカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、DoS攻撃防御方法。
【請求項12】
請求項10または請求項11に記載のDoS攻撃防御方法において、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しているものとし、
前記検知ステップでは、前記選択ステップで複数の前記検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制ステップでは、前記検知ステップで前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、DoS攻撃防御方法。
【請求項13】
請求項10〜請求項12のいずれか1項に記載のDoS攻撃防御方法において、
前記通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知ステップでは、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、DoS攻撃防御方法。
【請求項14】
請求項13に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、DoS攻撃防御方法。
【請求項1】
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする通信サーバ。
【請求項2】
請求項1に記載の通信サーバにおいて、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有し、
前記負荷率算出部にて算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択部をさらに有し、
前記検知部は、前記選択部にて取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制部は、前記選択部にて取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、通信サーバ。
【請求項3】
請求項2に記載の通信サーバにおいて、
前記検知部は、前記監視において前記選択部にて取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、通信サーバ。
【請求項4】
請求項3に記載の通信サーバにおいて、
前記検知部は、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制部は、前記検知部にてカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、通信サーバ。
【請求項5】
請求項3または請求項4に記載の通信サーバにおいて、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しており、
前記検知部は、前記選択部にて複数の検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制部は、前記検知部にて前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、通信サーバ。
【請求項6】
請求項3〜請求項5のいずれか1項に記載の通信サーバにおいて、
当該通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知部は、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、通信サーバ。
【請求項7】
請求項6に記載の通信サーバにおいて、
前記検知部は、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、通信サーバ。
【請求項8】
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有するDoS攻撃防御方法。
【請求項9】
請求項8に記載のDoS攻撃防御方法において、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有するものとし、
前記算出ステップで算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択ステップをさらに有し、
前記検知ステップでは、前記選択ステップで取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制ステップでは、前記選択ステップで取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、DoS攻撃防御方法。
【請求項10】
請求項9に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記選択ステップで取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、DoS攻撃防御方法。
【請求項11】
請求項10に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制ステップでは、前記検知ステップでカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、DoS攻撃防御方法。
【請求項12】
請求項10または請求項11に記載のDoS攻撃防御方法において、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しているものとし、
前記検知ステップでは、前記選択ステップで複数の前記検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制ステップでは、前記検知ステップで前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、DoS攻撃防御方法。
【請求項13】
請求項10〜請求項12のいずれか1項に記載のDoS攻撃防御方法において、
前記通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知ステップでは、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、DoS攻撃防御方法。
【請求項14】
請求項13に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、DoS攻撃防御方法。
【図1】
【図2】
【図3−1】
【図3−2】
【図3−3】
【図4−1】
【図4−2】
【図5】
【図6】
【図7】
【図2】
【図3−1】
【図3−2】
【図3−3】
【図4−1】
【図4−2】
【図5】
【図6】
【図7】
【公開番号】特開2010−226635(P2010−226635A)
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願番号】特願2009−74010(P2009−74010)
【出願日】平成21年3月25日(2009.3.25)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(000004237)日本電気株式会社 (19,353)
【出願人】(000232254)日本電気通信システム株式会社 (586)
【Fターム(参考)】
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願日】平成21年3月25日(2009.3.25)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(000004237)日本電気株式会社 (19,353)
【出願人】(000232254)日本電気通信システム株式会社 (586)
【Fターム(参考)】
[ Back to top ]