專利名稱:拒絕服務(wù)攻擊檢測(cè)系統(tǒng)及拒絕服務(wù)攻擊檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通過對(duì)發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組進(jìn)行監(jiān)視的監(jiān)視裝置�、測(cè)量該通信設(shè)備的性能的性能測(cè)量裝置���、以及與監(jiān)視裝置和性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置����、來檢測(cè)對(duì)于該通信設(shè)備的拒絕服務(wù)攻擊的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)及拒絕服務(wù)攻擊檢測(cè)方法�,特別涉及可通過提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)及拒絕服務(wù)攻擊檢測(cè)方法��。
背景技術(shù):
以往����,作為通過網(wǎng)絡(luò)進(jìn)行的攻擊,公知有通過發(fā)送大量的分組來麻痹網(wǎng)絡(luò)和服務(wù)器設(shè)備(以下稱為“通信設(shè)備”)的拒絕服務(wù)攻擊(包括分布型拒絕服務(wù)攻擊)�����。難以通過使用了分組的特征量的方法來檢測(cè)這種拒絕服務(wù)攻擊,所以基于利用了業(yè)務(wù)(量)的異常性的方法的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)得到了廣泛應(yīng)用�����。
該拒絕服務(wù)攻擊檢測(cè)系統(tǒng)預(yù)先以手動(dòng)或自動(dòng)方式計(jì)算通過在預(yù)定期間內(nèi)測(cè)量發(fā)給作為攻擊對(duì)象的通信設(shè)備的業(yè)務(wù)而求出的定常業(yè)務(wù)�����。然后����,當(dāng)正在監(jiān)視的業(yè)務(wù)與該定常業(yè)務(wù)乖離時(shí)視為攻擊,從而檢測(cè)拒絕服務(wù)攻擊(例如��,參照專利文獻(xiàn)1)�����。
專利文獻(xiàn)1日本特開2003-283555號(hào)公報(bào)發(fā)明內(nèi)容但是���,在這種拒絕服務(wù)攻擊中�,根據(jù)攻擊規(guī)模���、網(wǎng)絡(luò)及通信設(shè)備的處理能力之間的關(guān)系�����,存在很多即使業(yè)務(wù)表現(xiàn)出了異常性����,對(duì)通信設(shè)備所提供的服務(wù)也沒有實(shí)際危害的情況。在這種情況下�,即使上述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)檢測(cè)為攻擊,也不需要進(jìn)行具體處理�����,所以與誤檢沒有任何差別��。
拒絕服務(wù)攻擊檢測(cè)系統(tǒng)的主要用途是保護(hù)通信設(shè)備不受造成拒絕服務(wù)的攻擊��,基于這種考慮��,與提高鑒別業(yè)務(wù)異常性是否是攻擊的精度相比����,重要的是盡早發(fā)現(xiàn)引起性能惡化的業(yè)務(wù)的異常性����。但是��,在現(xiàn)有的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)中�����,要在沒有考慮通信設(shè)備的處理能力等的情況下�����,只根據(jù)業(yè)務(wù)的異常性來檢測(cè)攻擊��,存在與性能惡化無關(guān)的業(yè)務(wù)異常性的檢測(cè)���、換言之不需要處理的狀況的檢測(cè)(廣義上的誤檢)較多的課題。
本發(fā)明就是為了解決上述的現(xiàn)有技術(shù)所產(chǎn)生的問題而提出的�����,其目的在于�����,提供可以通過提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)及拒絕服務(wù)攻擊檢測(cè)方法�����。
為了解決上述的課題、達(dá)到目的����,本發(fā)明的拒絕服務(wù)攻擊檢測(cè)系統(tǒng),通過監(jiān)視發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組的監(jiān)視裝置���、測(cè)量所述通信設(shè)備的性能的性能測(cè)量裝置��、以及與所述監(jiān)視裝置及所述性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置����,檢測(cè)對(duì)于所述通信設(shè)備的拒絕服務(wù)攻擊�����,其特征在于�,所述監(jiān)視裝置具有業(yè)務(wù)異常性檢測(cè)單元,其檢測(cè)表示由所述分組對(duì)于所述通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息����,所述性能測(cè)量裝置具有性能異常性檢測(cè)單元,其檢測(cè)表示所述通信設(shè)備的處理能力的異常性的性能異常性信息����,所述攻擊判斷裝置具有影響判斷單元,其根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息�,判斷是否是拒絕服務(wù)攻擊。
根據(jù)本發(fā)明�����,由監(jiān)視裝置檢測(cè)表示由分組對(duì)于通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息�����,由性能測(cè)量裝置檢測(cè)表示通信設(shè)備的處理能力的異常性的性能異常性信息���,由攻擊判斷裝置根據(jù)業(yè)務(wù)異常性信息和性能異常性信息判斷是否是拒絕服務(wù)攻擊��,所以不只使用業(yè)務(wù)異常性信息���、還使用性能異常性信息,根據(jù)這些異常性信息之間的關(guān)聯(lián)���,判斷是否是拒絕服務(wù)攻擊����,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且����,本發(fā)明的特征在于,在上述發(fā)明中�����,所述監(jiān)視裝置還具有向所述攻擊判斷裝置發(fā)送所述業(yè)務(wù)異常性信息的業(yè)務(wù)異常性信息發(fā)送單元����。
根據(jù)本發(fā)明,由監(jiān)視裝置向攻擊判斷裝置發(fā)送業(yè)務(wù)異常性信息��,所以攻擊判斷裝置不參照監(jiān)視裝置的業(yè)務(wù)異常性信息即可高效地獲取業(yè)務(wù)異常性信息����,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且�,本發(fā)明的特征在于,在上述發(fā)明中���,所述性能測(cè)量裝置還具有向所述攻擊判斷裝置發(fā)送所述性能異常性信息的性能異常性信息發(fā)送單元��。
根據(jù)本發(fā)明���,由性能測(cè)量裝置向攻擊判斷裝置發(fā)送性能異常性信息�����,所以攻擊判斷裝置不參照性能測(cè)量裝置的性能異常性信息即可高效地獲取性能異常性信息,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊�。
并且,本發(fā)明的特征在于�,在上述發(fā)明中,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)預(yù)先設(shè)定的預(yù)定的攻擊檢測(cè)條件�����,檢測(cè)所述業(yè)務(wù)異常性信息�。
根據(jù)本發(fā)明,根據(jù)預(yù)先設(shè)定的預(yù)定的攻擊檢測(cè)條件檢測(cè)業(yè)務(wù)異常性信息����,所以監(jiān)視裝置能夠高效地檢測(cè)業(yè)務(wù)異常性信息,并且通過變更攻擊檢測(cè)條件���,可以容易地處理攻擊模式不同的新的攻擊���。
并且�����,本發(fā)明的特征在于����,在上述發(fā)明中�,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)所述攻擊檢測(cè)條件,生成表示進(jìn)行對(duì)于所述通信設(shè)備的攻擊的分組的特征的簽名�,生成包含所述簽名的所述業(yè)務(wù)異常性信息。
根據(jù)本發(fā)明�����,根據(jù)攻擊檢測(cè)條件生成表示進(jìn)行對(duì)于通信設(shè)備的攻擊的分組的特征的簽名�����,生成包含該簽名的業(yè)務(wù)異常性信息�,所以通過生成反映了進(jìn)行攻擊的分組的特征的業(yè)務(wù)異常性信息,可以提高業(yè)務(wù)異常性信息的可靠性����。
并且,本發(fā)明的特征在于���,在上述發(fā)明中����,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)表示發(fā)給所述通信設(shè)備的所述分組的平均業(yè)務(wù)的定常業(yè)務(wù),檢測(cè)所述業(yè)務(wù)異常性信息����。
根據(jù)本發(fā)明,根據(jù)表示發(fā)給通信設(shè)備的分組的平均業(yè)務(wù)的定常業(yè)務(wù)來檢測(cè)業(yè)務(wù)異常性信息�,所以可根據(jù)所檢測(cè)出的業(yè)務(wù)和定常業(yè)務(wù)之間的乖離狀況�,簡單地生成業(yè)務(wù)異常性信息。
并且��,本發(fā)明的特征在于�����,在上述發(fā)明中��,所述性能異常性檢測(cè)單元根據(jù)預(yù)先設(shè)定的預(yù)定的性能異常性檢測(cè)條件�,檢測(cè)所述性能異常性信息。
根據(jù)本發(fā)明�,根據(jù)預(yù)先設(shè)定的預(yù)定的性能異常性檢測(cè)條件檢測(cè)性能異常性信息,所以性能測(cè)量裝置能夠高效地檢測(cè)性能異常性信息�����,并且通過變更性能異常性檢測(cè)條件,可以容易地處理作為檢測(cè)對(duì)象的通信設(shè)備的性能的差異和性能的變化�。
并且,本發(fā)明的特征在于��,在上述發(fā)明中���,所述性能異常性檢測(cè)條件包括從向所述通信設(shè)備發(fā)送響應(yīng)請(qǐng)求消息到接收到與所述響應(yīng)請(qǐng)求消息對(duì)應(yīng)的響應(yīng)消息為止的響應(yīng)時(shí)間�����、以及所述響應(yīng)時(shí)間超過預(yù)定的閾值的次數(shù)�����。
根據(jù)本發(fā)明���,包括從向通信設(shè)備發(fā)送響應(yīng)請(qǐng)求消息到接收到與響應(yīng)請(qǐng)求消息對(duì)應(yīng)的響應(yīng)消息為止的響應(yīng)時(shí)間、以及響應(yīng)時(shí)間超過預(yù)定的閾值的次數(shù)����,所以可根據(jù)通信設(shè)備的響應(yīng)時(shí)間,簡單地生成性能異常性信息。
并且��,本發(fā)明的特征在于���,在上述發(fā)明中�����,所述性能異常性檢測(cè)單元根據(jù)表示所述通信設(shè)備的平均性能特性的定常性能���,檢測(cè)所述性能異常性信息。
根據(jù)本發(fā)明�,根據(jù)表示通信設(shè)備的平均性能特性的定常性能來檢測(cè)性能異常性信息,所以可根據(jù)所檢測(cè)出的性能和定常性能特性之間的乖離狀況�,簡單地生成性能異常性信息���。
并且��,本發(fā)明的特征在于�,在上述發(fā)明中���,在根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息中所包含的異常發(fā)生時(shí)刻而判斷為因該業(yè)務(wù)異常性信息或該性能異常性信息中的任意一個(gè)異常性信息而產(chǎn)生了另一個(gè)異常性信息時(shí)�,所述攻擊判斷單元判斷為拒絕服務(wù)攻擊�。
根據(jù)本發(fā)明�����,在根據(jù)業(yè)務(wù)異常性信息和性能異常性信息中所包含的異常發(fā)生時(shí)刻�、判斷為因業(yè)務(wù)異常性信息或性能異常性信息中的任意一個(gè)異常性信息而產(chǎn)生了另一個(gè)異常性信息時(shí)����,判斷為拒絕服務(wù)攻擊,所以不只使用業(yè)務(wù)異常性信息����、還使用性能異常性信息,根據(jù)這些異常性信息之間的關(guān)聯(lián)�,判斷是否是拒絕服務(wù)攻擊,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊�。
并且,本發(fā)明的特征在于���,在上述發(fā)明中����,在由所述影響判斷單元判斷為拒絕服務(wù)攻擊時(shí)����,由所述攻擊判斷裝置向操作者通知用裝置發(fā)送該判斷所使用的所述業(yè)務(wù)異常性信息和所述性能異常性信息�����。
根據(jù)本發(fā)明���,在判斷為拒絕服務(wù)攻擊時(shí),由攻擊判斷裝置向操作者通知用裝置發(fā)送判斷所使用的業(yè)務(wù)異常性信息和性能異常性信息����,所以操作者能夠根據(jù)這些性能異常性信息進(jìn)行合適的處理。
并且��,本發(fā)明的特征在于�����,在上述發(fā)明中���,所述影響判斷單元進(jìn)行基于所述業(yè)務(wù)異常性信息和所述性能異常性信息中所包含的證書的驗(yàn)證后,判斷是否是拒絕服務(wù)攻擊�����。
根據(jù)本發(fā)明,進(jìn)行基于業(yè)務(wù)異常性信息和性能異常性信息中所包含的證書的驗(yàn)證后�����,判斷是否是拒絕服務(wù)攻擊��,所以能夠高效地防止使用了非正規(guī)裝置的欺騙(spoofing)��。
并且����,本發(fā)明的拒絕服務(wù)攻擊檢測(cè)方法,通過監(jiān)視發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組的監(jiān)視裝置��、測(cè)量所述通信設(shè)備的性能的性能測(cè)量裝置��、以及與所述監(jiān)視裝置及所述性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置����,檢測(cè)對(duì)于所述通信設(shè)備的拒絕服務(wù)攻擊,其特征在于�,包括業(yè)務(wù)異常性檢測(cè)步驟,由所述監(jiān)視裝置檢測(cè)表示由所述分組對(duì)于所述通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息��;性能異常性檢測(cè)步驟����,由所述性能測(cè)量裝置檢測(cè)表示所述通信設(shè)備的處理能力的異常性的性能異常性信息�����;以及影響判斷步驟����,由所述攻擊判斷裝置根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息����,判斷是否是拒絕服務(wù)攻擊。
根據(jù)本發(fā)明�,由監(jiān)視裝置檢測(cè)表示由分組對(duì)于通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息,由性能測(cè)量裝置檢測(cè)表示通信設(shè)備的處理能力的異常性的性能異常性信息���,由攻擊判斷裝置根據(jù)業(yè)務(wù)異常性信息和性能異常性信息判斷是否是拒絕服務(wù)攻擊���,所以不只使用業(yè)務(wù)異常性信息、還使用性能異常性信息����,根據(jù)這些異常性信息之間的關(guān)聯(lián)��,判斷是否是拒絕服務(wù)攻擊,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且,本發(fā)明的特征在于�����,在上述發(fā)明中,還包括業(yè)務(wù)異常性信息發(fā)送步驟���,由所述監(jiān)視裝置向所述攻擊判斷裝置發(fā)送所述業(yè)務(wù)異常性信息��。
根據(jù)本發(fā)明,由監(jiān)視裝置向攻擊判斷裝置發(fā)送業(yè)務(wù)異常性信息���,所以攻擊判斷裝置不參照監(jiān)視裝置的業(yè)務(wù)異常性信息即可高效地獲取業(yè)務(wù)異常性信息����,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊����。
并且,本發(fā)明的特征在于��,在上述發(fā)明中��,還包括性能異常性信息發(fā)送步驟���,由所述性能測(cè)量裝置向所述攻擊判斷裝置發(fā)送所述性能異常性信息�。
根據(jù)本發(fā)明����,由性能測(cè)量裝置向攻擊判斷裝置發(fā)送性能異常性信息,所以攻擊判斷裝置不參照性能測(cè)量裝置的性能異常性信息即可高效地獲取性能異常性信息,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊���。
根據(jù)本發(fā)明�����,由監(jiān)視裝置檢測(cè)表示由分組對(duì)于通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息,由性能測(cè)量裝置檢測(cè)表示通信設(shè)備的處理能力的異常性的性能異常性信息�����,由攻擊判斷裝置根據(jù)業(yè)務(wù)異常性信息和性能異常性信息判斷是否是拒絕服務(wù)攻擊��,所以不只使用業(yè)務(wù)異常性信息��、還使用性能異常性信息,根據(jù)這些異常性信息之間的關(guān)聯(lián)����,判斷是否是拒絕服務(wù)攻擊��,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊�。
并且,根據(jù)本發(fā)明�,由監(jiān)視裝置向攻擊判斷裝置發(fā)送業(yè)務(wù)異常性信息���,所以攻擊判斷裝置不參照監(jiān)視裝置的業(yè)務(wù)異常性信息即可高效地獲取業(yè)務(wù)異常性信息���,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且�����,根據(jù)本發(fā)明�,由性能測(cè)量裝置向攻擊判斷裝置發(fā)送性能異常性信息�,所以攻擊判斷裝置不參照性能測(cè)量裝置的性能異常性信息即可高效地獲取性能異常性信息�����,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且���,根據(jù)本發(fā)明,根據(jù)預(yù)先設(shè)定的預(yù)定的攻擊檢測(cè)條件檢測(cè)業(yè)務(wù)異常性信息��,所以監(jiān)視裝置能夠高效地檢測(cè)業(yè)務(wù)異常性信息�,并且通過變更攻擊檢測(cè)條件,可以容易地處理攻擊模式不同的新的攻擊���。
并且��,根據(jù)本發(fā)明��,根據(jù)攻擊檢測(cè)條件生成表示進(jìn)行對(duì)于通信設(shè)備的攻擊的分組的特征的簽名����,生成包含該簽名的業(yè)務(wù)異常性信息,所以通過生成反映了進(jìn)行攻擊的分組的特征的業(yè)務(wù)異常性信息���,可以提高業(yè)務(wù)異常性信息的可靠性。
并且��,根據(jù)本發(fā)明���,根據(jù)表示發(fā)給通信設(shè)備的分組的平均業(yè)務(wù)的定常業(yè)務(wù)來檢測(cè)業(yè)務(wù)異常性信息�����,所以可根據(jù)所檢測(cè)出的業(yè)務(wù)和定常業(yè)務(wù)之間的乖離狀況�����,簡單地生成業(yè)務(wù)異常性信息�����。
并且��,根據(jù)本發(fā)明���,根據(jù)預(yù)先設(shè)定的預(yù)定的性能異常性檢測(cè)條件來檢測(cè)性能異常性信息,所以性能測(cè)量裝置能夠高效地檢測(cè)性能異常性信息,并且通過變更性能異常性檢測(cè)條件�,可以容易地處理作為檢測(cè)對(duì)象的通信設(shè)備的性能的差異和性能的變化。
并且��,根據(jù)本發(fā)明�����,包括從向通信設(shè)備發(fā)送響應(yīng)請(qǐng)求消息到接收到與響應(yīng)請(qǐng)求消息對(duì)應(yīng)的響應(yīng)消息為止的響應(yīng)時(shí)間����、以及響應(yīng)時(shí)間超過預(yù)定的閾值的次數(shù),所以可根據(jù)通信設(shè)備的響應(yīng)時(shí)間�����,簡單地生成性能異常性信息���。
并且�����,根據(jù)本發(fā)明��,根據(jù)表示通信設(shè)備的平均性能特性的定常性能來檢測(cè)性能異常性信息��,所以可根據(jù)所檢測(cè)出的性能和定常性能之間的乖離狀況����,簡單地生成性能異常性信息。
并且����,根據(jù)本發(fā)明���,在根據(jù)業(yè)務(wù)異常性信息和性能異常性信息中所包含的異常發(fā)生時(shí)刻��、判斷為因業(yè)務(wù)異常性信息或性能異常性信息中的任意一個(gè)異常性信息而產(chǎn)生了另一個(gè)異常性信息時(shí)���,判斷為拒絕服務(wù)攻擊,所以不只使用業(yè)務(wù)異常性信息�、還使用性能異常性信息,根據(jù)這些異常性信息之間的關(guān)聯(lián)�����,判斷是否是拒絕服務(wù)攻擊�,由此可以提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要處理的拒絕服務(wù)攻擊。
并且���,根據(jù)本發(fā)明����,在判斷為拒絕服務(wù)攻擊時(shí),由攻擊判斷裝置向操作者通知用裝置發(fā)送判斷所使用的業(yè)務(wù)異常性信息和性能異常性信息���,所以操作者能夠根據(jù)這些性能異常性信息進(jìn)行合適的處理��。
并且�����,根據(jù)本發(fā)明��,進(jìn)行基于業(yè)務(wù)異常性信息和性能異常性信息中所包含的證書的驗(yàn)證后�����,判斷是否是拒絕服務(wù)攻擊����,所以能夠高效地防止使用了非正規(guī)裝置的欺騙�����。
圖1是表示本實(shí)施例的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)的結(jié)構(gòu)的方框圖。
圖2是表示圖1所示的監(jiān)視裝置的結(jié)構(gòu)的方框圖����。
圖3是表示攻擊檢測(cè)條件的一例的圖。
圖4是表示圖1所示的性能測(cè)量裝置的結(jié)構(gòu)的方框圖�。
圖5是表示性能異常性檢測(cè)條件的一例的圖。
圖6是表示圖1所示的攻擊判斷裝置的結(jié)構(gòu)的方框圖���。
圖7是表示圖2所示的監(jiān)視裝置的動(dòng)作的流程圖�。
圖8是表示圖4所示的性能測(cè)量裝置的動(dòng)作的流程圖��。
圖9是表示圖6所示的攻擊判斷裝置的動(dòng)作的流程圖�。
符號(hào)說明1拒絕服務(wù)攻擊檢測(cè)系統(tǒng)���;2LAN���;3通信設(shè)備;4WAN��;5監(jiān)視裝置��;6�、9通信線路���;7性能測(cè)量裝置;8攻擊判斷裝置�;10業(yè)務(wù)異常性檢測(cè)部;11業(yè)務(wù)異常性信息發(fā)送部����;12簽名生成部;13����、14、18���、19��、22通信接口�;15交換機(jī)��;16性能異常性檢測(cè)部���;17性能異常性信息發(fā)送部����;20影響判斷部;21警報(bào)發(fā)送部具體實(shí)施方式
以下��,參照附圖詳細(xì)說明本發(fā)明的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)及拒絕服務(wù)攻擊檢測(cè)方法的優(yōu)選的實(shí)施方式�����。
實(shí)施例圖1是表示本實(shí)施例的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1的結(jié)構(gòu)的方框圖��。該圖所示的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1是使用監(jiān)視裝置5����、性能測(cè)量裝置7以及攻擊判斷裝置8,檢測(cè)對(duì)通信設(shè)備3的拒絕服務(wù)攻擊的系統(tǒng)�。具體講,如果LAN(Local Area Network�,局域網(wǎng))2上的監(jiān)視裝置5檢測(cè)到由發(fā)給通信設(shè)備3的分組所造成的業(yè)務(wù)異常(圖1的步驟1)����,則向攻擊判斷裝置8發(fā)送表示該業(yè)務(wù)異常的內(nèi)容的業(yè)務(wù)異常性信息(圖1的步驟2)。
并且����,如果WAN(Wide Area Network,廣域網(wǎng))4上的性能測(cè)量裝置7檢測(cè)到通信設(shè)備3的性能異常(圖1的步驟3)��,則向攻擊判斷裝置8發(fā)送表示該性能異常的內(nèi)容的性能異常性信息(圖1的步驟4)。然后���,LAN 2上的攻擊判斷裝置8接收到業(yè)務(wù)異常性信息和性能異常性信息后�,根據(jù)這些異常性信息��,判斷是否是對(duì)于通信設(shè)備3的拒絕服務(wù)攻擊(圖1的步驟5)����。
以往,在檢測(cè)以通信設(shè)備3作為攻擊對(duì)象的拒絕服務(wù)攻擊時(shí)�����,通過在預(yù)定的期間內(nèi)測(cè)量發(fā)給作為攻擊對(duì)象的通信設(shè)備3的業(yè)務(wù)����,預(yù)先計(jì)算出定常業(yè)務(wù),當(dāng)正在監(jiān)視的業(yè)務(wù)與該定常業(yè)務(wù)乖離時(shí)視為攻擊����,檢測(cè)出拒絕服務(wù)攻擊。但是�����,根據(jù)拒絕服務(wù)攻擊的攻擊規(guī)模、網(wǎng)絡(luò)及通信設(shè)備的處理能力之間的關(guān)系���,存在很多即使業(yè)務(wù)表現(xiàn)出了異常性�,對(duì)通信設(shè)備3所提供的服務(wù)也沒有實(shí)際危害的情況�。因此,在檢測(cè)為拒絕服務(wù)攻擊的情況下��,實(shí)際上也經(jīng)常不需要任何處理��,產(chǎn)生了實(shí)質(zhì)上與誤檢沒有任何差別的狀況�。
在本實(shí)施例中,由監(jiān)視裝置5進(jìn)行業(yè)務(wù)異常性的檢測(cè)�����,由性能測(cè)量裝置7進(jìn)行通信裝置3的性能異常性的檢測(cè)����,進(jìn)而由攻擊判斷裝置8進(jìn)行基于業(yè)務(wù)異常性和性能異常性的攻擊判斷��。因此��,根據(jù)本實(shí)施例,能夠進(jìn)行不只基于業(yè)務(wù)異常性���、還基于通信設(shè)備3的性能異常性的攻擊判斷�����,所以可通過拒絕服務(wù)攻擊的檢測(cè)精度提高來高效地只檢測(cè)需要處理的拒絕服務(wù)攻擊�����。
另外�����,在圖1中���,圖示出監(jiān)視裝置5和攻擊判斷裝置8與通信設(shè)備3連接在同一個(gè)LAN 2上,性能測(cè)量裝置7連接在WAN 4上的情況��,但不限定連接各個(gè)裝置(監(jiān)視裝置5�、性能測(cè)量裝置7以及攻擊判斷裝置8)的線路。
下面����,說明該拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1的系統(tǒng)結(jié)構(gòu)�����。如圖1所示���,該拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1具有監(jiān)視裝置5,其設(shè)在中小企業(yè)內(nèi)的LAN2上���,監(jiān)視通過主干網(wǎng)等的WAN 4發(fā)送給連接在LAN 2上的至少一個(gè)通信設(shè)備3的分組����;性能測(cè)量裝置7���,其設(shè)在WAN 4上����,通過WAN 4測(cè)量通信設(shè)備3的性能���;以及攻擊判斷裝置8����,其設(shè)在LAN 2上���,通過通信線路9與監(jiān)視裝置5和性能測(cè)量裝置7連接�。另外���,圖1所示出的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1的結(jié)構(gòu)僅示出了一例�,本發(fā)明的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)也可以構(gòu)成為具有多個(gè)性能測(cè)量裝置7�,還可以構(gòu)成為使這些性能測(cè)量裝置6的一部分或全部使用由他人提供的Web(World Wide Web,萬維網(wǎng))站點(diǎn)性能測(cè)量服務(wù)���。
監(jiān)視裝置5通過構(gòu)成LAN 2的路由器構(gòu)成�。另外�,監(jiān)視裝置5也可以通過設(shè)在LAN 2上的防火墻等構(gòu)成。
圖2是表示圖1所示的監(jiān)視裝置5的結(jié)構(gòu)的方框圖��。監(jiān)視裝置5具有業(yè)務(wù)異常性檢測(cè)部10����,其檢測(cè)由發(fā)送給通信設(shè)備3的分組造成的業(yè)務(wù)的異常性;業(yè)務(wù)異常性信息發(fā)送部11����,其向攻擊判斷裝置8發(fā)送所檢測(cè)出的業(yè)務(wù)異常性信息;簽名生成部12����,其生成表示進(jìn)行對(duì)于通信設(shè)備3的攻擊的分組的特征的簽名�����;通信接口13����、14��,其用于分別與設(shè)在WAN4和LAN 2上的�、包括攻擊判斷裝置8在內(nèi)的各個(gè)裝置進(jìn)行通信;以及用于對(duì)分組進(jìn)行路由選擇的交換機(jī)15�����。
業(yè)務(wù)異常性檢測(cè)部10是根據(jù)預(yù)先設(shè)定的攻擊檢測(cè)條件檢測(cè)攻擊的處理部�。圖3是表示攻擊檢測(cè)條件的一例的圖。在圖3中�,攻擊檢測(cè)條件通過由檢測(cè)屬性、檢測(cè)閾值以及檢測(cè)時(shí)間的組構(gòu)成的兩組記錄構(gòu)成�����。檢測(cè)屬性表示作為檢測(cè)對(duì)象的分組的屬性�����,檢測(cè)閾值表示作為檢測(cè)對(duì)象的分組的傳輸速率的閾值,檢測(cè)時(shí)間表示作為檢測(cè)對(duì)象的分組的傳輸速率超過檢測(cè)閾值的時(shí)間的閾值���。
例如,第1個(gè)檢測(cè)條件以發(fā)送目標(biāo)的地址信息是192.168.1.1(Dst=192.168.1.1/32)����、傳輸層的協(xié)議是TCP(Transmission Control Protocol,傳輸控制協(xié)議)(Protocol=TCP)�、TCP端口號(hào)是80(Port=80)的分組作為檢測(cè)對(duì)象,在該檢測(cè)對(duì)象分組的傳輸速率超過300kbps的狀態(tài)持續(xù)達(dá)10秒以上時(shí)���,檢測(cè)為檢測(cè)對(duì)象分組所造成的業(yè)務(wù)異常性�����。
同樣��,第2個(gè)檢測(cè)條件以發(fā)送目標(biāo)的地址信息是192.168.1.2(Dst=192.168.1.2/32)的分組作為檢測(cè)對(duì)象�����,在該檢測(cè)對(duì)象分組的傳輸速率超過100kbps的狀態(tài)持續(xù)達(dá)10秒以上時(shí)�,檢測(cè)為檢測(cè)對(duì)象分組所造成的業(yè)務(wù)異常性。
這樣�,由業(yè)務(wù)異常性檢測(cè)部10檢測(cè)到檢測(cè)對(duì)象分組所進(jìn)行的攻擊時(shí),簽名生成部12生成表示檢測(cè)對(duì)象分組的特征的簽名��。例如��,在檢測(cè)到與圖3中的攻擊檢測(cè)條件的第1個(gè)檢測(cè)條件相符的攻擊時(shí)����,簽名生成部12生成表示發(fā)送目標(biāo)地址信息是192.168.1.1、傳輸層協(xié)議是TCP�����、TCP端口號(hào)是80的分組的簽名��。
上述的方法是預(yù)先設(shè)定出用于判斷為攻擊的條件的方法�,但也可以使用測(cè)量平均業(yè)務(wù)而作為定常業(yè)務(wù)進(jìn)行存儲(chǔ)、根據(jù)與該定常業(yè)務(wù)之間的乖離來判斷為攻擊的方法�。
業(yè)務(wù)異常性信息發(fā)送部11是向攻擊判斷裝置8發(fā)送業(yè)務(wù)異常性信息的處理部,該業(yè)務(wù)異常性信息包含由簽名生成部12生成的簽名��,表示檢測(cè)到業(yè)務(wù)的異常性����。并且�,該業(yè)務(wù)異常性信息發(fā)送部11將表示本裝置是正規(guī)的監(jiān)視裝置5的證書包含在上述的業(yè)務(wù)異常性信息中進(jìn)行發(fā)送����。這樣,通過在業(yè)務(wù)異常性信息中包含證書���,可以防止非正規(guī)裝置進(jìn)行的欺騙�。
另外�,業(yè)務(wù)異常性信息發(fā)送部11也可以通過與收發(fā)分組的傳輸路徑6不同的路徑發(fā)送業(yè)務(wù)異常性信息����。并且,在本實(shí)施例中����,向攻擊判斷裝置8發(fā)送業(yè)務(wù)異常性信息,但也可以使攻擊判斷裝置8參照監(jiān)視裝置5的業(yè)務(wù)異常性信息��。
圖1所示的性能測(cè)量裝置7由執(zhí)行測(cè)量互聯(lián)網(wǎng)站的響應(yīng)時(shí)間的程序的計(jì)算機(jī)構(gòu)成�����。
圖4是表示圖1所示的性能測(cè)量裝置7的結(jié)構(gòu)的方框圖����。該性能測(cè)量裝置7具有性能異常性檢測(cè)部16�,其根據(jù)預(yù)先設(shè)定的性能異常性檢測(cè)條件檢測(cè)性能的異常性���;性能異常性信息發(fā)送部17�����,其向攻擊判斷裝置8發(fā)送所檢測(cè)出的性能異常性信息����;以及用于分別與攻擊判斷裝置8和進(jìn)行測(cè)量性能用的通信的通信接口18�����、19��。
圖5是表示性能異常性檢測(cè)條件的一例的圖�。在圖5中,性能異常性檢測(cè)條件通過由性能屬性�����、檢測(cè)閾值以及檢測(cè)次數(shù)的組構(gòu)成的兩組記錄構(gòu)成。性能屬性表示測(cè)量性能的步驟�����,檢測(cè)閾值表示來自通信裝置3的響應(yīng)時(shí)間的閾值���,檢測(cè)次數(shù)表示測(cè)量次數(shù)和測(cè)量次數(shù)中的超過響應(yīng)時(shí)間閾值的次數(shù)�����。
例如�,第1個(gè)性能異常性檢測(cè)條件是測(cè)量按照HTTP訪問www.abc.com��、到返回來字符串“hello”為止的響應(yīng)時(shí)間的條件���。并且,在3次測(cè)量中有兩次或以上的響應(yīng)時(shí)間是大于等于5秒時(shí)��,檢測(cè)為通信裝置3的性能異常����。
同樣,第2個(gè)性能異常性檢測(cè)條件在按照HTTP�����、利用參數(shù)“search?hl=j(luò)a&ie=UTF-8&q=x+Y&lr=”訪問www.def.com����,到返回來字符串“検索結(jié)果”(檢索結(jié)果)為止的響應(yīng)時(shí)間只要有一次是大于等于5秒時(shí),即檢測(cè)為通信裝置3的性能異常�。
這樣,性能異常性檢測(cè)部16檢測(cè)通信裝置3的性能異常時(shí)�,性能異常性信息發(fā)送部17向攻擊判斷裝置8發(fā)送表示檢測(cè)到性能的異常性的性能異常性信息。并且��,該性能異常性信息發(fā)送部17將表示本裝置是正規(guī)的性能測(cè)量裝置7的證書包含在上述的性能異常性信息中進(jìn)行發(fā)送�����。這樣���,通過在性能異常性信息中包含證書���,可以防止非正規(guī)裝置進(jìn)行的欺騙。另外���,在本實(shí)施例中���,向攻擊判斷裝置8發(fā)送性能異常性信息�,但也可以使攻擊判斷裝置8參照性能測(cè)量裝置7的性能異常性信息�。
上述的方法是預(yù)先設(shè)定出用于檢測(cè)性能異常性的條件的方法,但也可以使用測(cè)量平均性能特性而作為定常性能進(jìn)行存儲(chǔ)�、根據(jù)與該定常性能之間的乖離來檢測(cè)性能異常性的方法。
圖6是表示圖1所示的攻擊判斷裝置8的結(jié)構(gòu)的方框圖�。該攻擊判斷裝置8具有影響判斷部20,其根據(jù)從監(jiān)視裝置5發(fā)送來的業(yè)務(wù)異常性信息���、以及從性能測(cè)量裝置7發(fā)送來的性能異常性信息�,判斷是否是由所檢測(cè)出的業(yè)務(wù)異常引起了所檢測(cè)出的性能異常���;將判斷結(jié)果通知給操作者等的警報(bào)發(fā)送部21�����;以及用于分別與監(jiān)視裝置5、性能測(cè)量裝置7及操作者通知用裝置進(jìn)行通信的通信接口22�����。
例如���,假設(shè)www.abc.com的主機(jī)地址是192.168.1.1��。并且�,假設(shè)在某個(gè)時(shí)間t,接收到表示發(fā)給192.168.1.1的TCP端口號(hào)為80的業(yè)務(wù)為異常的業(yè)務(wù)異常性信息�����,然后在時(shí)刻t+α的時(shí)間點(diǎn)���,接收到表示產(chǎn)生了www.abc.com的通信裝置3的響應(yīng)時(shí)間異常的性能異常性信息��。在這種狀況中��,在與各個(gè)異常性信息相關(guān)的異常的發(fā)生時(shí)間接近的情況下(例如����,α在1分鐘以內(nèi))�����,判斷為由業(yè)務(wù)的異常性引起www.abc.com的響應(yīng)惡化的可能性較大����,通過警報(bào)發(fā)送部21將該情況傳達(dá)給操作者���,催促其進(jìn)行處理。
這樣����,由影響判斷部20判斷為拒絕服務(wù)攻擊時(shí),警報(bào)發(fā)送部21向操作者通知用裝置發(fā)送該判斷所使用的業(yè)務(wù)異常性信息和性能異常性信息�����。另外����,在本實(shí)施例中,向操作者通知用裝置發(fā)送這種業(yè)務(wù)異常性信息和性能異常性信息����,但也可以通過使攻擊判斷裝置8具有顯示裝置等,將這些異常性信息通知給操作者�。
并且,該影響判斷部20也可以根據(jù)從監(jiān)視裝置5發(fā)送來的業(yè)務(wù)異常性信息����、以及從性能測(cè)量裝置7發(fā)送來的性能異常性信息中所包含的證書進(jìn)行驗(yàn)證后����,判斷是否是拒絕服務(wù)攻擊�。這樣�,可以排除由偽造的業(yè)務(wù)異常性信息或性能異常性信息造成的影響。
使用圖7~圖9說明如上所述構(gòu)成的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1的動(dòng)作����。圖7是表示圖2所示的監(jiān)視裝置5的動(dòng)作的流程圖。
首先�,業(yè)務(wù)異常性檢測(cè)部10根據(jù)攻擊檢測(cè)條件、檢測(cè)到由發(fā)送給通信設(shè)備3的分組進(jìn)行的攻擊時(shí)(步驟S1)�����,通過簽名生成部12生成表示檢測(cè)到攻擊的分組的特征的簽名(步驟S2)�����,通過異常性信息發(fā)送部11將包含所生成的簽名的業(yè)務(wù)異常性信息發(fā)送給攻擊判斷裝置8(步驟S3)���。
圖8是表示圖4所示的性能測(cè)量裝置7的動(dòng)作的流程圖�。首先���,性能異常性檢測(cè)部16根據(jù)性能異常檢測(cè)條件檢測(cè)到通信設(shè)備3的響應(yīng)時(shí)間的異常性時(shí)(步驟S11)����,生成包含所檢測(cè)出的信息的性能異常性信息(步驟S12),通過性能異常性信息發(fā)送部17將所生成的性能異常性信息發(fā)送給攻擊判斷裝置8(步驟S13)�。
圖9是表示圖6所示的攻擊判斷裝置8的動(dòng)作的流程圖。從監(jiān)視裝置5發(fā)送來業(yè)務(wù)異常性信息時(shí)(步驟S21)��,從此前接收到的性能異常性信息中�,檢索認(rèn)為是由該業(yè)務(wù)異常性引起的性能異常性信息(步驟S22),找到時(shí)�����,向操作者通知用裝置發(fā)送該業(yè)務(wù)異常性信息和性能異常性信息(步驟S23)����。
并且,從性能測(cè)量裝置7發(fā)送來性能異常性信息時(shí)(步驟S24)�����,從此前接收到的業(yè)務(wù)異常性信息中��,檢索認(rèn)為是該性能異常性的原因的業(yè)務(wù)異常性信息(步驟S25)����,找到時(shí)�����,向操作者通知用裝置發(fā)送該業(yè)務(wù)異常性信息和性能異常性信息(步驟S23)。
如上所述�,根據(jù)拒絕服務(wù)攻擊檢測(cè)系統(tǒng)1,檢測(cè)業(yè)務(wù)異常性和性能異常性����,判斷這些異常性之間的關(guān)聯(lián),由此可以只檢測(cè)引起性能異常的業(yè)務(wù)異常�����,所以可通過提高拒絕服務(wù)攻擊的檢測(cè)精度而只檢測(cè)需要運(yùn)用者的處理的拒絕服務(wù)攻擊���。
另外��,上述實(shí)施例所示的監(jiān)視裝置�����、性能測(cè)量裝置以及攻擊判斷裝置通過在計(jì)算機(jī)上加載程序并執(zhí)行來發(fā)揮作用���。具體講���,在監(jiān)視裝置的計(jì)算機(jī)的ROM(Read Only Memory,只讀存儲(chǔ)器)等中存儲(chǔ)包括檢測(cè)發(fā)給通信設(shè)備的分組的業(yè)務(wù)異常性的例程的程序�����,并且在性能測(cè)量裝置的計(jì)算機(jī)的ROM等中存儲(chǔ)包括檢測(cè)通信設(shè)備的性能異常性的例程的程序����,并且在攻擊判斷裝置的計(jì)算機(jī)的ROM等中存儲(chǔ)包括判斷業(yè)務(wù)異常性信息和性能異常性信息之間的關(guān)聯(lián)的例程的程序,各個(gè)裝置把這些程序加載到CPU上而執(zhí)行�����,由此可以形成本發(fā)明的監(jiān)視裝置���、性能測(cè)量裝置以及攻擊判斷裝置���。
工業(yè)上的可利用性如上所述,本發(fā)明的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)和拒絕服務(wù)攻擊檢測(cè)方法適合于檢測(cè)對(duì)通信設(shè)備的拒絕服務(wù)攻擊的情況����。
權(quán)利要求
1.一種拒絕服務(wù)攻擊檢測(cè)系統(tǒng),通過監(jiān)視發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組的監(jiān)視裝置、測(cè)量所述通信設(shè)備的性能的性能測(cè)量裝置、以及與所述監(jiān)視裝置及所述性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置,檢測(cè)對(duì)于所述通信設(shè)備的拒絕服務(wù)攻擊��,其特征在于,所述監(jiān)視裝置具有業(yè)務(wù)異常性檢測(cè)單元����,其檢測(cè)表示由所述分組對(duì)于所述通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息��,所述性能測(cè)量裝置具有性能異常性檢測(cè)單元����,其檢測(cè)表示所述通信設(shè)備的處理能力的異常性的性能異常性信息,所述攻擊判斷裝置具有影響判斷單元�,其根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息,判斷是否是拒絕服務(wù)攻擊�。
2.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng),其特征在于����,所述監(jiān)視裝置還具有向所述攻擊判斷裝置發(fā)送所述業(yè)務(wù)異常性信息的業(yè)務(wù)異常性信息發(fā)送單元。
3.根據(jù)權(quán)利要求1或2所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�,其特征在于,所述性能測(cè)量裝置還具有向所述攻擊判斷裝置發(fā)送所述性能異常性信息的性能異常性信息發(fā)送單元���。
4.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)��,其特征在于���,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)預(yù)先設(shè)定的預(yù)定的攻擊檢測(cè)條件�����,檢測(cè)所述業(yè)務(wù)異常性信息��。
5.根據(jù)權(quán)利要求4所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�,其特征在于���,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)所述攻擊檢測(cè)條件�����,生成表示進(jìn)行對(duì)于所述通信設(shè)備的攻擊的分組的特征的簽名��,生成包含所述簽名的所述業(yè)務(wù)異常性信息����。
6.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)����,其特征在于�����,所述業(yè)務(wù)異常性檢測(cè)單元根據(jù)表示發(fā)給所述通信設(shè)備的所述分組的平均業(yè)務(wù)的定常業(yè)務(wù)��,檢測(cè)所述業(yè)務(wù)異常性信息����。
7.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�,其特征在于�,所述性能異常性檢測(cè)單元根據(jù)預(yù)先設(shè)定的預(yù)定的性能異常性檢測(cè)條件,檢測(cè)所述性能異常性信息��。
8.根據(jù)權(quán)利要求7所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)����,其特征在于,所述性能異常性檢測(cè)條件包括從向所述通信設(shè)備發(fā)送響應(yīng)請(qǐng)求消息到接收到與所述響應(yīng)請(qǐng)求消息對(duì)應(yīng)的響應(yīng)消息為止的響應(yīng)時(shí)間�����、以及所述響應(yīng)時(shí)間超過預(yù)定的閾值的次數(shù)����。
9.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�,其特征在于���,所述性能異常性檢測(cè)單元根據(jù)表示所述通信設(shè)備的平均性能特性的定常性能���,檢測(cè)所述性能異常性信息。
10.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)���,其特征在于�����,在根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息中所包含的異常發(fā)生時(shí)刻���、判斷為因該業(yè)務(wù)異常性信息或該性能異常性信息中的任意一個(gè)異常性信息產(chǎn)生了另一個(gè)異常性信息時(shí),所述影響判斷單元判斷為拒絕服務(wù)攻擊��。
11.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�����,其特征在于�����,在由所述影響判斷單元判斷為拒絕服務(wù)攻擊時(shí),所述攻擊判斷裝置向操作者通知用裝置發(fā)送該判斷所使用的所述業(yè)務(wù)異常性信息和所述性能異常性信息���。
12.根據(jù)權(quán)利要求1所述的拒絕服務(wù)攻擊檢測(cè)系統(tǒng)�����,其特征在于�,所述影響判斷單元進(jìn)行基于所述業(yè)務(wù)異常性信息和所述性能異常性信息中所包含的證書的驗(yàn)證后�����,判斷是否是拒絕服務(wù)攻擊��。
13.一種拒絕服務(wù)攻擊檢測(cè)方法��,通過監(jiān)視發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組的監(jiān)視裝置�����、測(cè)量所述通信設(shè)備的性能的性能測(cè)量裝置����、以及與所述監(jiān)視裝置及所述性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置,檢測(cè)對(duì)于所述通信設(shè)備的拒絕服務(wù)攻擊����,其特征在于,包括業(yè)務(wù)異常性檢測(cè)步驟�����,由所述監(jiān)視裝置檢測(cè)表示由所述分組對(duì)于所述通信設(shè)備造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息��;性能異常性檢測(cè)步驟����,由所述性能測(cè)量裝置檢測(cè)表示所述通信設(shè)備的處理能力的異常性的性能異常性信息;以及影響判斷步驟��,由所述攻擊判斷裝置根據(jù)所述業(yè)務(wù)異常性信息和所述性能異常性信息����,判斷是否是拒絕服務(wù)攻擊。
14.根據(jù)權(quán)利要求13所述的拒絕服務(wù)攻擊檢測(cè)方法��,其特征在于�����,還包括業(yè)務(wù)異常性信息發(fā)送步驟,由所述監(jiān)視裝置向所述攻擊判斷裝置發(fā)送所述業(yè)務(wù)異常性信息���。
15.根據(jù)權(quán)利要求13或14所述的拒絕服務(wù)攻擊檢測(cè)方法��,其特征在于����,還包括性能異常性信息發(fā)送步驟��,由所述性能測(cè)量裝置向所述攻擊判斷裝置發(fā)送所述性能異常性信息�����。
全文摘要
具有監(jiān)視發(fā)送給作為拒絕服務(wù)攻擊對(duì)象的通信設(shè)備的分組的監(jiān)視裝置�����;測(cè)量所述通信設(shè)備的性能的性能測(cè)量裝置����;以及與所述監(jiān)視裝置及所述性能測(cè)量裝置進(jìn)行通信的攻擊判斷裝置�����,監(jiān)視裝置檢測(cè)表示由發(fā)給通信設(shè)備的分組造成的業(yè)務(wù)異常性的業(yè)務(wù)異常性信息,性能測(cè)量裝置檢測(cè)表示通信設(shè)備的性能的異常性的性能異常性信息����,攻擊判斷裝置根據(jù)業(yè)務(wù)異常性信息和性能異常性信息,判斷是否是拒絕服務(wù)攻擊���。
文檔編號(hào)H04L12/56GK1898923SQ200580001410
公開日2007年1月17日 申請(qǐng)日期2005年8月19日 優(yōu)先權(quán)日2004年10月28日
發(fā)明者濱田雅樹, 富士仁, 巖村誠 申請(qǐng)人:日本電信電話株式會(huì)社