特許
J-GLOBAL ID:200903000862240184
DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
発明者:
出願人/特許権者:
代理人 (1件):
鈴木 誠
公報種別:公開公報
出願番号(国際出願番号):特願2003-114578
公開番号(公開出願番号):特開2004-320636
出願日: 2003年04月18日
公開日(公表日): 2004年11月11日
要約:
【課題】様々なタイプのDoS攻撃を検出する方法、及び、CAにDoS攻撃のパケットが侵入するのを防ぎ、且つ、CAでメモリ・リークを起こさない規制方法を提供する。【解決手段】CA10内に、単独攻撃元からのDoS攻撃を検出するDoSカウンタと複数攻撃元からのDoS攻撃を検出するDDoSカウンタ及びフォーマットやパラメータが異常な不正信号によるDoS攻撃を検出する不正信号カウンタの3つを設置し、様々なタイプのDoS攻撃に対応可能とする。また、DoS攻撃を検出したなら、CA10でロックアウト処理し、さらに攻撃元のIPアドレスの情報を攻撃元を収容する加入者ルータ31、32、33に通知し、加入者ルータでフィルタリング規制する。【選択図】 図4
請求項(抜粋):
IP網をコア網としたベアラ・制御分離型のネットワークにおいて、セッションを制御するセッション制御装置(以下、CA)に対し、ある攻撃元から機械的に連続送信してCAを高負荷にさせ、攻撃元以外の端末のセッション制御処理を不能にさせるDoS(Denial of Service)攻撃におけるDoS攻撃元検出方法であって、
前記CAに対するIPアドレス毎の所定監視期間の端末登録信号または/およびセッション確立要求信号数を第1カウンタによりカウントするステップと、
前記CAに対する端末登録信号または/およびセッション確立要求信号数を第2カウンタによりカウントし、所定監視期間中に予め定めた閾値を超えた場合に第3カウンタを起動するステップと、
前記CAに対するIPアドレス毎の、前記第1カウンタの監視期間よりも長い所定監視期間の端末登録信号または/およびセッション確立要求信号数を前記第3カウンタによりカウントするステップと、
前記第1カウンタおよび第3カウンタのいずれかで閾値以上(但し、第1カウンタの閾値>第3カウンタの閾値)になったIPアドレス元をDoS攻撃元と判断するステップと、
を有することを特徴とするDoS攻撃元検出方法。
IPC (2件):
FI (2件):
H04L12/56 100Z
, G06F13/00 351Z
5B089HA10
, 5B089HB02
, 5B089HB18
, 5B089JB10
, 5B089KA17
, 5B089KB06
, 5B089KB13
, 5B089KC54
, 5B089MC06
, 5K030GA13
, 5K030HA08
, 5K030HB01
, 5K030HB02
, 5K030HB21
, 5K030JA10
, 5K030LB02
, 5K030MB09
