JP4602158B2 - サーバ装置保護システム - Google Patents
サーバ装置保護システム Download PDFInfo
- Publication number
- JP4602158B2 JP4602158B2 JP2005152742A JP2005152742A JP4602158B2 JP 4602158 B2 JP4602158 B2 JP 4602158B2 JP 2005152742 A JP2005152742 A JP 2005152742A JP 2005152742 A JP2005152742 A JP 2005152742A JP 4602158 B2 JP4602158 B2 JP 4602158B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- malicious
- server device
- message
- protection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、サーバ装置保護システムに関するものであり、特に、悪意ユーザによる攻撃から他の通常ユーザの通信を効果的に保護することができるサーバ装置保護システムに関するものである。
全ての国民が情報通信技術を活用できるようにするEジャパン構想が立案され、また、ユビキタスという語彙が世間に浸透しつつある近時においては、ネット情報技術が身近なものとして普及しつつ随所で利用されている。その一方で、コンピュータネットワークにおける中枢装置であるサーバを、一度に処理できるその能力を超えた接続要求を続けることでそのサーバ機能の停止を目論む、例えばDoS(Denial of Service)攻撃と呼ばれる攻撃手法が問題視されている。
この種のDoS攻撃に対する防御技術を開示した文献の一つとして、例えば特許文献1が存在する。この特許文献1では、SIP(Session Initiation Protocol)メッセージの送信により、SIPアプリケーションレベルゲートウェイ(ファイアウォール)の稼動状況が、ある一定の量を超える状況にあるときには、一定の比率をもって一部の新規のSIPメッセージを受け付ける一方で、その他の新規のSIPメッセージを破棄するとともに、セッション継続のために再び送信されたSIPメッセージや既に受け付けられたSIPメッセージの後続信号を受け付けることで、SIPサーバのシステムダウンを回避するようにしている。
また、上記Dos攻撃を含む種々の攻撃に対する防御技術を開示した文献の一つとして、例えば特許文献2が存在する。この特許文献2では、ファイアウォール装置およびおとり装置が具備され、ファイアウォール装置は、受け取ったIPパケットが通常の正規のパケットである場合に内部ネットワークへ送付し、受け取ったIPパケットが不審パケットである場合にはおとり装置へ誘導するとともに、当該不審パケットが送付されたおとり装置は、サービスを提供するプロセスを監視しながら、攻撃の有無を判定するとともに、攻撃を検出した際には、攻撃元ホストのIPアドレスを含むアラートを生成してファイアウォール装置に伝達し、当該アラートを受けたファイアウォール装置は、以降、攻撃元ホストからのIPパケットの受入れを拒否することで、種々の攻撃に対処するようにしている。
しかしながら、上記特許文献1に開示されている従来技術によれば、送信元のクライアントから送信された種々のSIPメッセージの中で、不正意思のないユーザによって送信された新規のSIPメッセージを送信相手方のクライアントが必ず受信することができるとは限らないという問題があった。具体的には、送信相手方のクライアントは一定の比率(例えば5回中に1回)でしかSIPメッセージを受信することができず、送信相手方のクライアントが受信をすることができなかった場合は、そのエラーメッセージが送信元に通知されるだけであり、受信されなかった他の新規のSIPメッセージは廃棄されてしまうという問題があった。
また、特許文献1、2に開示されている従来技術によれば、悪意ユーザを判別した後におとりサーバへ転送したり、廃棄したりする方式であるため、不正意思のない正規ユーザの通信が遮断されたり、これらのユーザ間の通信時間が延伸化するといった問題点があった。
また上記従来技術では、悪意ユーザのパケットであるか否かを判別する判別手段をサーバあるいはその前段に位置するゲートウェイ装置に具備させる必要があるとともに、悪意ユーザを判別するまでは、通常のサーバまたはゲートウェイ装置が当該パケットを受け付ける必要があるため、通常のサーバまたはゲートウェイ装置の負荷が増大するといった問題点があった。
本発明は、上記に鑑みてなされたものであり、DoS攻撃などのサービス不能攻撃を受けたサーバ(通常サーバ)の負荷の増大を抑制することができるサーバ装置保護システムを実現することを目的とする。また、悪意のないユーザからのパケットを不必要に廃棄することなく送信相手方に転送することができるサーバ装置保護システムを実現することを目的とする。
上述した課題を解決し、目的を達成するため、本発明にかかるサーバ装置保護システムは、サービス不能攻撃からサーバ装置を保護するサーバ装置保護システムであって、前記サーバ装置にアクセスするユーザからのメッセージが所定の条件に従って転送される特定サーバ装置と、前記サーバ装置に向けられるメッセージを該サーバ装置に入力される前に該サーバ装置または前記特定サーバ装置のいずれかに振り分けるフィルタリング手段を具備するロードバランサと、を備え、前記ロードバランサは、前記所定の条件として、前記サーバ装置に対するアクセスが悪意を有さない通常ユーザからのアクセスであるか、悪意を有する悪意ユーザのからのアクセスであるかを判定できないような新規ユーザからのアクセスの場合に該新規ユーザからのアクセスに伴うメッセージを前記特定サーバ装置に振り分けることを特徴とする。
本発明によれば、サーバ装置に対するアクセスが悪意を有さない通常ユーザからのアクセスであるか、悪意を有する悪意ユーザのからのアクセスであるかを判定できないような新規ユーザからのアクセスの場合には、当該新規ユーザからのアクセスに伴うメッセージをサーバ装置とは異なる特定サーバ装置に振り分けるようにしているので、サーバ装置の負荷の増大を抑制することができるという効果を奏する。
以下に、本発明にかかるサーバ装置保護システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。
実施の形態1.
図1は、本発明の実施の形態1にかかるサーバ装置保護システムの接続構成を示す図である。同図に示すように、本発明の実施の形態1にかかるサーバ装置保護システムでは、例えばSIP端末であるSIP_UA(UA:User Agent)5およびSIPサーバ2,3が備えられ、これらのSIP_UA5と、SIPサーバ2,3のそれぞれがロードバランサ1を介して接続されている。また、SIPサーバ2,3の他に、SIPサーバ2,3とは異なる機能を有するサーバ装置である特定SIPサーバ4がロードバランサ1に接続されている。
図1は、本発明の実施の形態1にかかるサーバ装置保護システムの接続構成を示す図である。同図に示すように、本発明の実施の形態1にかかるサーバ装置保護システムでは、例えばSIP端末であるSIP_UA(UA:User Agent)5およびSIPサーバ2,3が備えられ、これらのSIP_UA5と、SIPサーバ2,3のそれぞれがロードバランサ1を介して接続されている。また、SIPサーバ2,3の他に、SIPサーバ2,3とは異なる機能を有するサーバ装置である特定SIPサーバ4がロードバランサ1に接続されている。
ロードバランサ1は、SIP_UA5から転送されたメッセージを、複数のSIPサーバ2,3のそれぞれに、ロードバランス(負荷分散)を図りながら転送する機能を有する負荷分散制御装置である。ロードバランサ1は、この機能に基づいて、各サーバへの負担を適切に配分することで、1または特定のサーバへのアクセス集中を軽減して各サーバ装置個々の応答速度を所定の基準に維持させることができる。
SIPサーバ2,3は、例えばロードバランサ1から伝送されたSIP_UA5からのメッセージを転送したり、SIP_UA5の位置情報、認証情報などを蓄積したりする機能を有するサーバ装置である。
SIP_UA5は、一般的には、リクエスト転送機能を有するユーザーエージェントクライアント(UAC)や、リクエスト応答機能を有するユーザーエージェントサーバー(UAS)として動作する。なお、SIPの規定では、UAC側がSIPメッセージを生成して他のSIP_UAに送信し、UAS側がそのメッセージに応答して所定のレスポンスを生成する。
特定SIPサーバ4は、例えばDoS攻撃等を試みる悪意を持ったユーザ(以下「悪意ユーザ」と呼称)によるSIPメッセージ(攻撃パケット)が、SIPサーバ2,3に転送されるのを防止するために設けられたサーバである。具体的には、本発明にかかる特定SIPサーバ4は、ロードバランサ1に記録されていないユーザ(悪意ユーザであるか非悪意ユーザであるかは、この段階では分からない)によって送信されたSIPメッセージをロードバランサ1を介して受信する。この処理により、通常のサーバにかかる負担を軽減することができるので、悪意を有さないユーザ(以下「通常ユーザ」と呼称)によるSIPメッセージの流れを円滑化することができる。なお、特定SIPサーバ4の機能の詳細については後述する。
なお、図1に示す構成では、2個のSIPサーバと、1個の特定SIPサーバと、1個のSIP端末を示しているが、これらの装置のそれぞれの数は、これらの数値に限定されるものではなく、任意数のSIPサーバ装置、とくや一定時間内に伝送されるSIPメッセージの量や、ネットワークに接続されるSIP端末数などによってサーバ装置および特定サーバ装置の数を決定することができる。
図2は、図1に示したロードバランサ1の構成を示すブロック図である。図2に示すロードバランサ1は、UAメッセージ送受信部11、フィルタリング部12、メッセージ送受信部14およびフィルタリング処理条件変更通知受信部15の各構成部と、フィルタリング部12およびフィルタリング処理条件変更通知受信部15のそれぞれがアクセスするフィルタリング判定データベース13を備えるように構成される。
UAメッセージ送受信部11は、SIP_UA5との間で所定のメッセージを送受する。なお、受信時の動作としては、SIP_UA5から受信したSIPメッセージのヘッダ部に含まれている送信元のIPアドレス、ポート番号などの情報が解析され、解析した結果が含まれるSIPメッセージがフィルタリング部12に転送される。
フィルタリング部12は、UAメッセージ送受信部11から伝達されたSIPメッセージをSIPサーバ2,3または特定SIPサーバ4のいずれに転送するかを判定する。この判定は、フィルタリング判定データベース13に記録されているフィルタリング情報(例えば、送信元IPアドレス、送信元ポート番号など)に基づいて行われる。なお、UAメッセージ送受信部11から伝達されたSIPメッセージは、メッセージ送受信部14を介してSIPサーバ2,3または特定SIPサーバ4のいずれかに転送される。
フィルタリング処理条件変更通知受信部15は、特定SIPサーバ4からの通知(例えば、通常ユーザであることの通知)に基づいて、フィルタリング判定データベース13に記録されているフィルタリング処理の条件変更を受け付ける。すなわち、フィルタリング処理条件変更通知受信部15は、特定SIPサーバ4に転送されたSIPメッセージが通常ユーザによって生成されたものである旨の通知に基づいて、フィルタリング判定データベース13の記録を変更する。具体的には、当該メッセージの送信者または転送者が、通常ユーザではないという記録が通常ユーザであるという記録に変更される。
つぎに、この実施の形態1にかかるサーバ装置保護システムの具体的な動作について、SIP_UA5からINVITEメッセージが送信される場合を例にとり説明する。なお、INVITEメッセージとは、SIP端末間で所定の通信を行う際に、呼び出し側のSIP端末(UAC)から呼び出される側のSIP端末(UAS)に対して、最初に送出されるメッセージである。
図2に示すロードバランサ1において、SIP_UA5からのINVITEメッセージがUAメッセージ送受信部11にて受信され、フィルタリング部12に伝達される。フィルタリング部12は、SIPメッセージのヘッダ部に含まれている宛先IPアドレスや送信元IPアドレス、あるいはINVITEメッセージに含まれる送信元情報であるタグ(tag)情報などを抽出する。また、フィルタリング部12は、SIPメッセージやINVITEメッセージが通常ユーザによって送信あるいは転送されたものか否かを判定する。なお、通常ユーザであれば、当該通常ユーザにかかる情報がフィルタリング判定データベース13に蓄積されている。
UAメッセージ送受信部11から伝達されたSIPメッセージやINVITEメッセージが通常ユーザによって送信あるいは転送されたものであると判定された場合には、通常のサーバであるSIPサーバ2または3に振り分けることを決定し、メッセージ送受信部14を介して通常のSIPサーバ2または3に当該INVITEメッセージを転送する。一方、UAメッセージ送受信部11から伝達されたSIPメッセージやINVITEメッセージが通常ユーザよって送信あるいは転送されたものではないと判定された場合には、特定SIPサーバ4に振り分けることを決定し、メッセージ送受信部14を介して特定SIPサーバ4に当該INVITEメッセージを転送する。
すなわち、この実施の形態のサーバ装置保護システムでは、通常ユーザと未だに判定されていないユーザ(例えば新規にアクセスするユーザ)をまず特定のサーバ装置であるSIPサーバ4に振り分けるようにしている。いま、新規にアクセスしてきたユーザが悪意ユーザであったと場合に、このユーザをSIPサーバ2または3に振り分ければ、当該サーバの負荷が上昇してしまう可能性がある。一方、このユーザを特定SIPサーバ4に振り分ければ、SIPサーバ2または3の負荷の上昇を抑止することができる。また、悪意ユーザがアクセスしてきたとしても、SIPサーバ2または3の負荷上昇を未然に防止することができるので、通常ユーザの通信を阻害させることがない。
なお、上述の処理機能の中で、SIPサーバ2,3に振り分けるか、特定SIPサーバ4に振り分けるかの振り分け機能については、フィルタリング部12またはメッセージ送受信部14のいずれに具備させてもよい。
以上説明したように、この実施の形態のサーバ装置保護システムによれば、サーバ装置の前段に位置するロードバランサが、サーバ装置に対するアクセスが悪意を有さない通常ユーザからのアクセスであるか、悪意を有する悪意ユーザのからのアクセスであるかを判定できないような新規ユーザからのアクセスの場合に、当該新規ユーザからのアクセスに伴うメッセージをサーバ装置とは異なる特定サーバ装置に振り分けるようにしているので、DoS攻撃などのサービス不能攻撃を受けたサーバ装置の負荷の増大を抑制することができる。
また、この実施の形態のサーバ装置保護システムによれば、ロードバランサには、フィルタリング処理条件を記録するフィルタリング判定データベースと、フィルタリング処理条件の変更を受け付けるフィルタリング処理条件変更通知受信部とが具備され、フィルタリング処理条件変更通知受信部は、特定サーバに転送されたメッセージが通常ユーザによって生成されたものである旨の通知に基づいて、フィルタリング処理条件を変更するようにしているので、フィルタリング部のフィルタリング機能を簡易なものとすることができるとともに、通常ユーザのパケットをサーバ装置に確実に振り分ける一方で、悪意ユーザのパケットをサーバ装置に混入させないように処理することができるので、DoS攻撃などのサービス不能攻撃を受けた場合の通常ユーザに対するサービス低下の影響を局限することができる。
なお、この実施の形態では、SIPサーバと、SIPサーバに接続されるSIP端末とがロードバランサを介して接続されるネットワークにおいて、SIP端末同士の間でSIPに基づくSIPメッセージが伝送される場合を一例として説明したが、SIPに限定される要素はない。例えば、SIP以外にも、VoIPプロトコルとしてITU−Tによって最初に規格化されたH.323や、SIPと同様にIETFによって大規模なVoIPネットワーク向けのプロトコルとして規格化されたMGCP(Media Gateway Control Protocol)、あるいはITU−TおよびIETFの両者によって統一規格化されたH.248/Megacoに基づく所定のメッセージが伝送される場合であっても、この実施の形態にて開示された技術を適用することができる。
実施の形態2.
図3は、本発明の実施の形態2にかかるサーバ装置保護システムにおける特定SIPサーバ4の構成を示すブロック図である。同図に示す特定SIPサーバ4は、メッセージ送受信部41と、遅延発生部42と、悪意ユーザ判定部43の各構成部と、メッセージ送受信部41および悪意ユーザ判定部43のそれぞれがアクセスするユーザ種別データベース44を備えるように構成される。なお、ロードバランサ1の細部構成については、実施の形態1と同様であり、ここでの説明は省略する。
図3は、本発明の実施の形態2にかかるサーバ装置保護システムにおける特定SIPサーバ4の構成を示すブロック図である。同図に示す特定SIPサーバ4は、メッセージ送受信部41と、遅延発生部42と、悪意ユーザ判定部43の各構成部と、メッセージ送受信部41および悪意ユーザ判定部43のそれぞれがアクセスするユーザ種別データベース44を備えるように構成される。なお、ロードバランサ1の細部構成については、実施の形態1と同様であり、ここでの説明は省略する。
つぎに、図3に示した特定SIPサーバ4の動作について説明する。なお、ユーザ種別データベース44には、特定SIPサーバ4が受信したSIPメッセージに含まれる送信元のIPアドレス、送信元のポート番号などの情報が記録されている。
図3において、メッセージ送受信部41は、ロードバランサ1から転送されたSIPメッセージを受信して、そのSIPメッセージの一部または全部を悪意ユーザ判定部43に伝達する。悪意ユーザ判定部43は、メッセージ送受信部41から伝達されたSIPメッセージに基づくユーザ情報とユーザ種別データベース44に記録されているユーザ情報とを比較して、当該メッセージの送信者あるいは転送者が、通常ユーザなのか悪意ユーザなのかを判定する。ただし、当該メッセージの送信者あるいは転送者が新規ユーザの場合は、通常ユーザなのか悪意ユーザなのかを判定することはできないので、この場合には、当該メッセージの送信者あるいは転送者を新規ユーザから悪意判定中ユーザとして定義し、ユーザ種別データベース44に登録する。
遅延発生部42は、悪意ユーザ判定部43から伝達された3つのユーザ種別(新規ユーザ、悪意ユーザ、および悪意判定中ユーザ)に応じてロードバランサ1に通知する応答メッセージに所定時間の遅延をかける。つまり、ロードバランサ1に通知される応答メッセージは、遅延発生部42にて設定された応答遅延時間だけ遅延させた応答メッセージがメッセージ送受信部41から送出される。
つぎに、メッセージ送受信部41からロードバランサ1に対して出力される応答遅延メッセージの処理の流れについて図4を用いて説明する。なお、図4は、3つのユーザ種別に応じて出力される応答遅延メッセージの処理フローを示すフローチャートである。
図4において、まず、悪意ユーザ判定部43では、ロードバランサ1から転送されたSIPメッセージに基づくユーザ情報とユーザ種別データベース44に記録されているユーザ情報とに基づいてユーザ種別が判定される(ステップS101)。このとき判定されたユーザ種別が“新規ユーザ”の場合(ステップS101:新規ユーザ)には、応答メッセージの遅延時間が“0”に設定されるとともに(ステップS102:遅延=0)、ユーザ種別が“悪意判定中ユーザ”に変更されてユーザ種別データベース44に登録され(ステップS103)、無遅延あるいは遅延最小の応答メッセージがメッセージ送受信部41からロードバランサ1に対して出力される(ステップS106)。
一方、ユーザ種別が“悪意ユーザ”の場合(ステップS101:悪意ユーザ)には、応答メッセージの遅延時間が“最大値”に設定され(ステップS105:遅延=最大値)、遅延最大の応答メッセージがメッセージ送受信部41からロードバランサ1に対して出力される(ステップS106)。
また、ユーザ種別が“悪意判定中ユーザ”の場合(ステップS101:悪意判定中ユーザ)には、悪意判定中ユーザに対する遅延応答処理(ステップS104)が実行される。
図5は、図4のフロー中に示した悪意判定中ユーザに対する遅延応答処理(ステップS104)の処理フローを示すフローチャートである。図5において、ユーザ種別が“悪意判定中ユーザ”として判定された場合には、予め設定されている遅延デクリメント周期ごとに応答遅延値がデクリメントされる(ステップS201)。なお、遅延デクリメント周期とは、後述するように、時間の経過とともに累積される応答遅延値を減じるための周期である。
つぎに、予め設定された悪意判定周期内で応答遅延値が最大値に達する回数がカウントされる(ステップS202)。なお、悪意判定周期とは、後述するように、応答遅延値の最大値到達回数が規定カウント値以上に達するか否かを判定する周期である。
さらに、応答遅延値の最大値到達回数が規定カウント値以上か否かが判定される(ステップS203)。ここで、応答遅延値の最大値到達回数が規定カウント値未満の場合(ステップS203,No)には、“悪意判定中ユーザ”が“通常ユーザ”と判定され(ステップS204)、ロードバランサ1に通常ユーザとするフィルタリング条件が通知される(ステップS205)。なお、この通知に併せて通常ユーザとするフィルタリング条件がフィルタリング判定データベース13に登録される。
一方、応答遅延値の最大値到達回数が規定カウント値以上の場合(ステップS203,Yes)には、“悪意判定中ユーザ”が“悪意ユーザ”と判定されるとともに(ステップS206)、メッセージ送受信部41から伝達されたSIPメッセージの送信者あるいは転送者が、悪意ユーザとしてユーザ種別データベース44に登録される(ステップS207)。
ここで、ステップS202の処理で行われるカウント処理では、例えば単位時間あたりの接続回数がカウントされ、単位時間あたりの接続回数ごとに応答遅延値も所定値だけインクリメントされる。ただし、遅延デクリメント周期ごとにこの応答遅延値は所定値だけデクリメントされる。また、悪意判定中ユーザの場合には、通常ユーザあるいは悪意ユーザのいずれかに判定されるまでは、次々に更新された応答遅延値に基づいて応答メッセージの遅延時間が設定される。
上記のインクリメント処理によって、応答遅延値が最大値に到達する場合には、応答遅延値が最大値に達する回数をカウントしておき、この応答遅延値の最大値到達回数が悪意判定周期内で規定カウント値以上に達するか否かが判定される。上述したように応答遅延値の最大値到達回数が悪意判定周期内で規定カウント値以上の場合には悪意ユーザと判定され、規定カウント値未満の場合には通常ユーザと判定される。
また、上述の、単位時間、遅延デクリメント周期、悪意判定周期の間には、単位時間<遅延デクリメント周期<悪意判定周期という関係がある。
なお、図4に示すフローチャートでは、新規ユーザ、悪意判定中ユーザおよび悪意ユーザに付与する遅延時間として、新規ユーザ(遅延=0)、悪意判定中ユーザ(遅延=図5の処理で設定される遅延値(ただし最大値以下))および悪意ユーザ(遅延=最大値)とする例を示したが、これらの設定値はごく一例を示したものであり、セキュリティポリシーや、ネットワークの負荷などに応じて任意の値に設定することができる。
以上説明したように、この実施の形態のサーバ装置保護システムによれば、サーバ装置にアクセスするユーザを、新規ユーザ、悪意ユーザおよび悪意判定中ユーザの3つのユーザ種別に分類し、応答メッセージを転送する際に、これらのユーザごとに適切な応答遅延を付与することで悪意ユーザまたは悪意ユーザの可能性があるユーザからの接続を時間的に制限するようにしているので、特定SIPサーバや、ロードバランサの負荷の増大を抑制することができる。また、ロードバランサの負荷の増大を抑制することができるので、DoS攻撃などのサービス不能攻撃を受けた場合の通常ユーザに対するサービス低下の影響を局限することができる。
なお、この実施の形態においても、実施の形態1と同様に、SIPに限定される要素はなく、H.323、MGCPあるいはH.248/Megacoの各プロトコルに基づく所定のメッセージが伝送されるネットワークに適用することができる。
以上のように、本発明にかかるサーバ装置保護システムは、サーバ装置の機能停止に対する保護対策として有用である。
1 ロードバランサ
2,3 SIPサーバ
4 特定SIPサーバ
5 SIP_UA
11 UAメッセージ送受信部
12 フィルタリング部
13 フィルタリング判定データベース
14 メッセージ送受信部
15 フィルタリング処理条件変更通知受信部
41 メッセージ送受信部
42 遅延発生部
43 悪意ユーザ判定部
44 ユーザ種別データベース
2,3 SIPサーバ
4 特定SIPサーバ
5 SIP_UA
11 UAメッセージ送受信部
12 フィルタリング部
13 フィルタリング判定データベース
14 メッセージ送受信部
15 フィルタリング処理条件変更通知受信部
41 メッセージ送受信部
42 遅延発生部
43 悪意ユーザ判定部
44 ユーザ種別データベース
Claims (7)
- サービス不能攻撃からサーバ装置を保護するサーバ装置保護システムであって、
前記サーバ装置にアクセスするユーザからのメッセージが所定の条件に従って転送され、該メッセージの送信者または転送者の情報を含むユーザ情報を記録したユーザ種別データベースを具備する特定サーバ装置と、
前記サーバ装置に向けられるメッセージを該サーバ装置に入力される前に該サーバ装置または前記特定サーバ装置のいずれかに振り分けると共に、前記所定の条件として、前記サーバ装置に対するアクセスが悪意を有さない通常ユーザからのアクセスであるか、悪意を有する悪意ユーザのからのアクセスであるかを判定できないような新規ユーザからのアクセスの場合に、該新規ユーザからのアクセスに伴うメッセージを前記特定サーバ装置に振り分けるフィルタリング手段を具備するロードバランサと、
を備え、
前記特定サーバ装置は、
前記ロードバランサから転送されたメッセージに基づくユーザ情報と前記ユーザ種別データベースに記録されているユーザ情報とに基づいて、前記新規ユーザ、前記悪意ユーザならびに、該新規ユーザおよび該悪意ユーザのいずれにも属さない悪意判定中ユーザの3つのユーザ種別に分類する悪意ユーザ判定部と、
前記ユーザ種別に応じて前記ロードバランサに通知する応答メッセージの遅延時間を可変する遅延発生手段と、
を備えたことを特徴とするサーバ装置保護システム。 - 前記悪意ユーザ判定部は、前記ユーザ種別が新規ユーザである場合に、該新規ユーザのユーザ種別を悪意判定中ユーザに変更することを特徴とする請求項1に記載のサーバ装置保護システム。
- 前記遅延発生手段は、前記ユーザ種別が新規ユーザの場合には前記ロードバランサに通知する応答メッセージを遅延させるための応答遅延時間を最小値に設定し、前記ユーザ種別が悪意ユーザの場合には前記ロードバランサに通知する応答メッセージの遅延時間を最大値に設定することを特徴とする請求項1または2に記載のサーバ装置保護システム。
- 前記悪意判定中ユーザが悪意ユーザであるか否かを判定するための悪意判定周期が設定され、
前記悪意ユーザ判定部は、前記悪意判定周期内で前記遅延発生手段によって、前記悪意判定周期よりも短い所定の単位時間ごとにインクリメントされ、且つ、該単位時間よりも長く且つ前記悪意判定周期よりも短い所定の周期ごとにデクリメントされる前記応答遅延時間が最大値に達する回数をカウントするとともに、該カウントされた該応答遅延時間の最大値到達回数が規定カウント値以上に達するか否かを判定することを特徴とする請求項3に記載のサーバ装置保護システム。 - 前記応答遅延時間の最大値到達回数が規定カウント値以上の場合には、ユーザ種別を悪意ユーザとして前記ユーザ種別データベースに登録し、該最大値到達回数が規定カウント値未満の場合には、ユーザ種別を通常ユーザとして前記ユーザ種別データベースに登録することを特徴とする請求項4に記載のサーバ装置保護システム。
- 前記ロードバランサは、
入力されたメッセージを前記サーバ装置または前記特定サーバ装置のいずれに転送するかを判定するためのフィルタリング処理条件を記録するフィルタリング判定データベースと、
前記特定サーバからの通知に基づいて、前記フィルタリング判定データベースに記録されているフィルタリング処理条件の変更を受け付けるフィルタリング処理条件変更通知受信手段と、
を備え、
前記フィルタリング処理条件変更通知受信手段は、前記特定サーバ装置に転送されたメッセージが通常ユーザによって生成されたものである旨の通知に基づいて、前記フィルタリング判定データベースに記録されているフィルタリング処理条件を変更することを特徴とする請求項1〜5の何れか1項に記載のサーバ装置保護システム。 - 前記フィルタリング手段は、前記サーバ装置に対するアクセスを前記通常ユーザからのアクセスであると判定した場合に、該通常ユーザからのアクセスに伴うメッセージを前記サーバ装置に転送することを特徴とする請求項6に記載のサーバ装置保護システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005152742A JP4602158B2 (ja) | 2005-05-25 | 2005-05-25 | サーバ装置保護システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005152742A JP4602158B2 (ja) | 2005-05-25 | 2005-05-25 | サーバ装置保護システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006331015A JP2006331015A (ja) | 2006-12-07 |
| JP4602158B2 true JP4602158B2 (ja) | 2010-12-22 |
Family
ID=37552651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005152742A Expired - Fee Related JP4602158B2 (ja) | 2005-05-25 | 2005-05-25 | サーバ装置保護システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4602158B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8463921B2 (en) | 2008-01-17 | 2013-06-11 | Scipioo Holding B.V. | Method and system for controlling a computer application program |
| CN101919224B (zh) * | 2008-01-17 | 2013-11-20 | 斯西彼奥控股有限责任公司 | 用于控制计算机应用程序的方法和*** |
| JP5043815B2 (ja) * | 2008-12-24 | 2012-10-10 | 日本電信電話株式会社 | 通信システム、サーバ、応答送出制御方法および応答送出制御プログラム |
| CN104580216B (zh) * | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的***和方法 |
| US10609068B2 (en) * | 2017-10-18 | 2020-03-31 | International Business Machines Corporation | Identification of attack flows in a multi-tier network topology |
| WO2022249399A1 (ja) * | 2021-05-27 | 2022-12-01 | 日本電信電話株式会社 | サービス妨害攻撃検出装置、方法およびプログラム |
| CN116760649B (zh) * | 2023-08-23 | 2023-10-24 | 智联信通科技股份有限公司 | 基于大数据的数据安全保护及预警方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
| JP2004302538A (ja) * | 2003-03-28 | 2004-10-28 | Meiji Univ | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 |
-
2005
- 2005-05-25 JP JP2005152742A patent/JP4602158B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
| JP2004302538A (ja) * | 2003-03-28 | 2004-10-28 | Meiji Univ | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006331015A (ja) | 2006-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
| Sisalem et al. | Denial of service attacks targeting a SIP VoIP infrastructure: attack scenarios and prevention mechanisms | |
| Reynolds et al. | Secure IP Telephony using Multi-layered Protection. | |
| US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US8819821B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| US20060075084A1 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
| US20060285493A1 (en) | Controlling access to a host processor in a session border controller | |
| Gurbani et al. | Session initiation protocol (SIP) overload control | |
| JP4602158B2 (ja) | サーバ装置保護システム | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| Ehlert et al. | Specification-based denial-of-service detection for sip voice-over-ip networks | |
| EP2597839A1 (en) | Transparen Bridge Device for protecting network services | |
| WO2019096104A1 (zh) | 攻击防范 | |
| KR100818302B1 (ko) | 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 | |
| EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
| WO2007095726A1 (en) | System and method for providing security for sip-based communications | |
| Hussain et al. | A lightweight countermeasure to cope with flooding attacks against session initiation protocol | |
| KR20130081141A (ko) | 에스아이피 기반 인터넷 전화 서비스의 보안 시스템 | |
| JP2010226635A (ja) | 通信サーバおよびDoS攻撃防御方法 | |
| KR101037575B1 (ko) | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 | |
| Martin et al. | Security Issues of VoIP | |
| Reid et al. | Denial of service issues in voice over ip networks | |
| JP2008252221A (ja) | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080421 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100528 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100715 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100928 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100929 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131008 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |