中继装置、中继方法、中继程序以及网络攻击防御系统的制作方法

专利名称：中继装置、中继方法、中继程序以及网络攻击防御系统的制作方法
技术领域：
本发明涉及从邻接中继装置接收用于控制数据包通过的签名、并把该所接收的签名发送到其他邻接中继装置的中继装置、中继方法和中继程序以及网络攻击防御系统。
背景技术：
以往，在连接有作为防御对象的计算机的网络上具有多个中继装置、并对受到DoS(Denial of Service拒绝服务)攻击或DDoS(DistributedDenial of Service分布式拒绝服务)攻击的计算机进行防御的网络攻击防御系统是公知的。例如，在专利文献1(日本特开2003-283554号公报)和专利文献2(日本特开2003-283572号公报)所公开的网络攻击防御系统中，在中继装置中，检查通信业务量是否与预先决定的攻击嫌疑数据包的检测条件一致。然后，在检测出一致的业务量的情况下，中继装置生成表示所检测出的攻击嫌疑数据包的传送频带限制值的签名，并发送给邻接中继装置(具有邻接关系的中继装置)，并且以后，进行限制由签名所识别的攻击嫌疑数据包的传送频带的处理。
另一方面，在接收到签名的中继装置(邻接中继装置)中，把通过的数据包的传送频带限制成由签名表示的传送频带限制值，并把签名进一步发送给上游的邻接中继装置。即，接收到签名的各中继装置重复发送签名，由此网络上的所有中继装置根据相同的签名来处理数据包，从而把通过各中继装置的数据包的传送频带限制成由签名表示的传送频带限制值。另外，上游或下游的中继装置是邻接中继装置，而且是在攻击嫌疑数据包流入的方向的中继装置。
而且，在经过一定时间后，检测出攻击的中继装置从各邻接中继装置接收攻击嫌疑数据包的平均输入传送频带值，根据各邻接中继装置中的平均输入传送频带的比率算出传送频带限制调整值，并把所算出的传送频带限制调整值发送给邻接中继装置。然后，接收到该传送频带限制调整值的中继装置在根据所接收的传送频带限制调整值调整传送频带限制的同时，把传送频带限制调整值进一步发送给上游的邻接中继装置。即，接收到传送频带限制调整值的各中继装置重复发送传送频带限制调整值，由此网络上的所有中继装置接收相同的传送频带限制调整值，并根据所接收的传送频带限制调整值来调整传送频带限制。
专利文献1日本特开2003-283554号公报专利文献2日本特开2003-283572号公报然而，上述现有技术在网络上的特定中继装置检测出涉嫌攻击的情况下，由于把签名发送给构成网络攻击防御系统的所有中继装置，因而把签名甚至也发送给不在攻击嫌疑数据包的通信路径上的中继装置，结果具有如下的问题，即检测出涉嫌攻击时等的对各中继装置施加的处理负荷增大。

发明内容
因此，本发明是为了解决上述现有技术的课题而作成的，其目的在于提供一种可减少在网络上的各中继装置的处理负荷、并可高效地进行与数据包的限制相关的处理的中继装置、中继方法、中继程序以及网络攻击防御系统。
为了解决上述课题，并达到目的，权利要求1的发明是一种中继装置，从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，根据从前述邻接中继装置所接收的签名判定是否应把该签名发送到其他邻接中继装置，并在判定为应发送到前述其他邻接中继装置的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求2的发明的特征在于，具有攻击有无判定单元，其对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送单元，其在由前述攻击有无判定单元判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求3的发明的特征在于，在上述发明中，前述攻击有无判定单元具有数据包数量判定单元，其判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送单元在由前述数据包数量判定单元判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求4的发明的特征在于，在上述发明中，前述攻击有无判定单元还具有连续超过次数判定单元，其在由前述数据包数量判定单元判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送单元在由前述连续超过次数判定单元判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求5的发明的特征在于，在上述发明中，前述签名发送单元把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
并且，权利要求6的发明的特征在于，在上述发明中，具有存储单元，其存储所接收的前述签名；签名登记判定单元，其判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信单元，其在由前述识别信息判定单元判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
并且，权利要求7的发明的特征在于，在上述发明中，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定单元判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
并且，权利要求8的发明的特征在于，在上述发明中，具有签名生成单元，其根据攻击嫌疑数据包的检测生成签名，并生成该签名的生成识别信息；该签名生成单元把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
并且，权利要求9的发明的特征在于，在上述发明中，前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息发送到其他邻接中继装置，并把用于指定作为就在该签名前的中继源的邻接中继装置的中继源信息、用于指定作为就在该签名后的中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及嫌疑签名相对应地登记在前述签名存储单元内；前述签名登记判定单元在从前述邻接中继装置所接收的签名的生成识别信息已登记在前述签名存储单元内的情况下，还判定与该生成识别信息相对应地登记的中继源信息是否与前述所接收的签名的中继源信息相同；前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息已登记在前述签名存储单元内，而前述中继源信息相同的情况下，把从前述邻接中继装置所接收的签名改写登记在前述签名存储单元内，并把该签名发送到由登记在前述签名存储单元内的中继目的地信息表示的其他邻接中继装置。
并且，权利要求10的发明的特征在于，在上述发明中，前述签名通信单元在由前述签名登记判定单元判定为前述中继源信息不相同的情况下，把表示该签名已登记的已登记通知返送到作为前述签名的中继源的邻接中继装置，而且在从其他邻接中继装置接收到该已登记通知的情况下，从存储在前述签名存储单元内的中继目的地信息中删除与该邻接中继装置对应的中继目的地信息。
并且，权利要求11的发明是一种网络攻击防御系统，包含多个中继装置，该多个中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，前述中继装置具有攻击有无判定单元，其对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送单元，其在由前述攻击有无判定单元判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求12的发明是一种网络攻击防御系统，包含多个中继装置，该多个中继装置从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置，其特征在于，前述中继装置具有签名登记判定单元，其判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信单元，其在由前述识别信息判定单元判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
并且，权利要求13的发明是一种中继装置中的中继方法，该中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，该中继方法包含攻击有无判定步骤，对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送步骤，在由前述攻击有无判定步骤判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求14的发明的特征在于，在上述发明中，前述攻击有无判定步骤包含数据包数量判定步骤，判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送步骤在由前述数据包数量判定步骤判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求15的发明的特征在于，在上述发明中，前述攻击有无判定步骤还包含连续超过次数判定步骤，在由前述数据包数量判定步骤判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送步骤在由前述连续超过次数判定步骤判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求16的发明的特征在于，在上述发明中，前述签名发送步骤把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
并且，权利要求17的发明是一种中继方法，从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置，其特征在于，该中继方法包含签名登记判定步骤，判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信步骤，在由前述识别信息判定步骤判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
并且，权利要求18的发明的特征在于，在上述发明中，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定步骤判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信步骤在由前述签名登记判定步骤判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
并且，权利要求19的发明的特征在于，在上述发明中，包含签名生成步骤，根据攻击嫌疑数据包的检测来生成签名，并生成该签名的生成识别信息；该签名生成步骤把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
并且，权利要求20的发明是一种中继程序，使作为中继装置的计算机执行，该中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，该中继程序使计算机执行攻击有无判定过程，对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送过程，在由前述攻击有无判定过程判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求21的发明的特征在于，在上述发明中，前述攻击有无判定过程使计算机执行数据包数量判定过程，判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送过程在由前述数据包数量判定过程判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求22的发明的特征在于，在上述发明中，前述攻击有无判定过程还使计算机执行连续超过次数判定过程，在由前述数据包数量判定过程判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送过程在由前述连续超过次数判定过程判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
并且，权利要求23的发明的特征在于，在上述发明中，前述签名发送过程把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
并且，权利要求24的发明是一种中继程序，使作为中继装置的计算机执行，该中继装置从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置，其特征在于，该中继程序使计算机执行签名登记判定过程，判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信过程，在由前述识别信息判定过程判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
并且，权利要求25的发明的特征在于，在上述发明中，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定过程判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信过程在由前述签名登记判定过程判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
并且，权利要求26的发明的特征在于，在上述发明中，使计算机执行签名生成过程，根据攻击嫌疑数据包的检测来生成签名，并生成该签名的生成识别信息；该签名生成过程把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
根据权利要求1的发明，由于根据从邻接中继装置所接收的签名判定是否应把所接收的签名发送到其他邻接中继装置，并在判定为应发送到其他邻接中继装置的情况下，把从邻接中继装置所接收的签名发送到其他邻接中继装置，因而不会发生签名由各中继装置重复发送、或者签名被发送到网络上的所有中继装置的情况，可减少网络上的各中继装置的处理负荷，并可高效地进行与数据包的限制相关的处理。
根据权利要求2、11、13或20的发明，由于对满足从邻接中继装置所接收的签名的条件的数据包进行监视来判定有无攻击，只有在判定为有攻击的情况下，才把签名发送到邻接中继装置，因而不会发生嫌疑签名被发送到网络上的所有中继装置的情况，可减少网络上的各中继装置的处理负荷，并可高效地进行与数据包的限制相关的处理。
并且，根据权利要求3、14或21的发明，由于在满足从邻接中继装置所接收的签名的条件的单位时间内的数据包数量超过了规定阈值的情况下判定为有攻击，因而能客观和可靠地判定有无攻击。
并且，根据权利要求4、15或22的发明，由于在满足签名的条件的单位时间内的数据包数量超过了规定阈值的情况下，不立即判定为有攻击，而只有在连续超过了规定阈值的次数超过了规定值的情况下，才判定为有攻击，因而能更可靠地判定有无攻击。
并且，根据权利要求5、16或23的发明，由于把签名发送到除了把签名向自己发送的邻接中继装置以外的其他邻接中继装置，因而防止把签名发送到已进行了数据包限制相关处理的中继装置，可减少网络上的各中继装置的处理负荷，并可效率良好地进行数据包限制相关处理。
并且，根据权利要求6、12、17或24的发明，由于判定从邻接中继装置所接收的签名是否已登记，仅把还未登记的签名登记在签名存储单元(签名列表)内，并发送到邻接中继装置，因而避免签名的重复登记或重复发送，可有效地进行基于签名的数据包控制。
并且，根据权利要求7、18或25的发明，由于使各签名与用于唯一识别签名生成的生成识别信息(由用于唯一识别作为生成源的中继装置的识别符和用于分别唯一识别在该中继装置所生成的多个嫌疑签名的识别符构成的生成识别信息)相对应地进行管理，因而无需参照签名的具体内容，仅根据生成识别信息就能判定签名是否已登记。并且，当签名内容相同而生成识别信息(生成源)不同时，判定为是还未登记的签名而登记在签名列表内，并发送到邻接中继装置，因而成为生成源的各中继装置的性能差异(例如，攻击检测或防御解除相关算法的差异等)受到重视，可进行安全性高的数据包控制。
并且，根据权利要求8、19或26的发明，由于当检测出攻击嫌疑数据包时，生成签名和生成识别信息，把这些签名和生成识别信息发送到邻接中继装置，并把用于指定作为中继目的地的邻接中继装置的中继目的地信息、生成识别信息以及签名相对应地登记在签名列表内，因而可把生成识别信息可靠地赋予给签名。并且，在因发送错误或内容更新等而有必要重新发送签名的情况下，通过参照登记在签名列表内的中继目的地信息、生成识别信息以及签名，可把赋予有同一生成识别信息的签名可靠地重新发送到同一中继目的地。
并且，根据权利要求9的发明，在从邻接中继装置所接收的签名的生成识别信息还未登记在签名列表内的情况下，把该生成识别信息发送到其他邻接中继装置，并使用于指定作为就在签名前的中继源的邻接中继装置的中继源信息、用于指定作为就在签名后的中继目的地的邻接中继装置的中继目的地信息、生成识别信息以及签名相对应地登记在签名列表内。然后，在从邻接中继装置所接收的签名的生成识别信息已登记在签名列表内的情况下，进一步判定中继源信息是否相同，在中继源信息相同的情况下，把签名改写登记在签名列表内，并把签名发送到由登记在签名列表内的中继目的地信息表示的其他邻接中继装置，因而在因发送错误或内容更新等而重新发送了签名的情况下，不会保留该签名，能可靠地重新发送到中继目的地。另一方面，在中继源信息不相同的情况下，判定为不是签名的重新发送，结果，能可靠地避免签名的重复登记或重复发送。
并且，根据权利要求10的发明，在从邻接中继装置所接收的签名的生成识别信息已登记在签名列表内、而且中继源信息不相同的情况下，把表示该签名已登记的已登记通知返送到作为签名的中继源的邻接中继装置。然后，在从其他邻接中继装置接收到该已登记通知的情况下，从存储在签名列表内的中继目的地信息中删除与该邻接中继装置对应的中继目的地信息。因此，在因发送错误或内容更新等而有必要重新发送签名的情况下，签名不被发送到从签名列表中所删除的中继目的地，即使当重新发送签名时，也能可靠地避免签名的重复登记或重复发送。


图1是示出实施例1的网络攻击防御系统的结构的系统结构图。
图2是示出实施例1的中继装置的结构的方框图。
图3是示出存储在攻击嫌疑检测条件表内的信息的示例的图。
图4是示出存储在非法业务量检测条件表内的信息的示例的图。
图5是示出存储在合法条件表内的信息的示例的图。
图6是示出攻击嫌疑数据包检测时的处理过程的流程图。
图7是示出签名接收时的处理过程的流程图。
图8是示出非法数据包检测时的处理过程的流程图。
图9是示出数据包控制时的处理过程的流程图。
图10是示出实施例2的网络攻击防御系统的结构的系统结构图。
图11是示出实施例2的中继装置的结构的方框图。
图12是示出存储在攻击嫌疑检测条件表内的信息的示例的图。
图13是示出存储在非法业务量检测条件表内的信息的示例的图。
图14是示出存储在合法条件表内的信息的示例的图。
图15是示出存储在签名列表内的信息的示例的图。
图16是示出赋予给签名的识别信息的示例的图。
图17是示出攻击嫌疑数据包检测时的处理过程的流程图。
图18是示出签名接收时的处理过程的流程图。
图19是示出非法数据包检测时的处理过程的流程图。
图20是示出数据包控制时的处理过程的流程图。
图21是示出实施例3的中继装置的结构的方框图。
图22是示出攻击嫌疑数据包检测时的处理过程的流程图。
图23是示出签名接收时的处理过程的流程图。
图24是用于对现有技术的网络攻击防御系统进行说明的图。
图25是用于对现有技术的网络攻击防御系统进行说明的图。
符号说明10中继装置；11网络接口；12数据包取得部；13攻击检测部；14签名通信部(签名发送部)；15a、215b数据包数量判定部；15b、215c连续超过次数判定部；16过滤部；20服务器；30通信终端100、100a网络攻击防御系统；110中继装置；111网络接口；112数据包取得部；113攻击检测部；114签名通信部；115、215a识别信息判定部；116过滤部；120服务器；130通信终端。
具体实施例方式
以下参照附图，对本发明的中继装置、中继方法、中继程序以及网络攻击防御系统的实施例进行详细说明。另外，在实施例1中，对使用规定阈值来限制签名的传送处理的情况进行说明，在实施例2中，对使用签名的生成识别信息来限制签名传送处理的情况进行说明。并且，在实施例3中，对使在实施例1和实施例2中进行的数据包限制处理组合起来的情况进行说明。
在各实施例的说明之前，对本发明的中继方式的概要进行说明。在本发明的中继方式中，具有以下主要特征，即从邻接中继装置所接收的签名不是照原样传送到其他中继装置，而是在判定是否应传送所接收的签名之后，只有在判定为应传送的情况下，才传送到其他邻接中继装置。
例如，假定只有在单位时间内的数据包数量超过了规定阈值的情况下，或者连续超过了规定阈值的次数超过了规定值的情况下，才把所接收的签名传送到其他中继装置。并且，使用于唯一识别签名生成的生成识别信息与各签名相对应地进行管理，只有在该生成识别信息满足了规定条件的情况下，才把所接收的签名传送到其他中继装置。
这样一来，不会发生签名由各中继装置重复发送、或者签名被发送到网络上的所有中继装置的情况，可减少网络上的各中继装置的处理负荷，可高效地进行与数据包的限制相关的处理。
实施例1在实施例1中，对使用规定阈值来限制签名传送处理的情况进行说明。另外，以下对在本实施例1中使用的主要用语、网络攻击防御系统的概要和特征、中继装置的结构和处理、以及本实施例1的效果依次进行说明，最后对本实施例1的各种变形例进行说明。
首先，对在本实施例1中使用的主要用语进行说明。在本实施例1中使用的“嫌疑签名”是用于限制有攻击嫌疑的数据包(攻击嫌疑数据包)的签名，具体地说，对表示限制通过的攻击嫌疑数据包的特征的属性(例如，目的地IP地址、协议、目的地端口编号等)和限制内容(例如，用于限制特定数据包流入时的频带的限制信息等)进行规定来构成。
并且，在本实施例1中使用的“合法签名”是用于许可与嫌疑签名对应的数据包中不被视为攻击的合法数据包(作为合法用户的通信数据包的合法数据包)的通过的签名，具体地说，对表示许可通过的合法数据包的特征的属性(例如，发送源IP地址、服务类型、目的地IP地址、协议、目的地端口编号等)进行规定来构成。
并且，在本实施例1中使用的“非法签名”是用于限制非法业务量内所包含的非法数据包(满足非法业务量条件的数据包)的签名，具体地说，对非法数据包的发送源IP地址等进行规定来构成。
下面，使用图1对本实施例1的网络攻击防御系统的概要和特征进行说明。图1是示出本实施例1的网络攻击防御系统的结构的系统结构图。
如该图所示，该网络攻击防御系统100在网络上具有多个中继装置10来构成。并且，在该网络上连接有作为成为DoS攻击和DDoS攻击对象的计算机的服务器20、和作为可进行该DoS攻击和DDoS攻击的计算机的通信终端30。另外，以下，在将所图示的中继装置10的各方进行区别的情况下，分别作为中继装置10-1～中继装置10-7进行说明，在将服务器20的各方进行区别的情况下，作为服务器20-1或服务器20-2进行说明，在将通信终端30的各方进行区别的情况下，作为通信终端30-1～通信终端30-5进行说明。
在该网络攻击防御系统100中，中继装置10在检测出通信终端30中的至少1个以上的通信终端30对网络上的服务器20进行DoS攻击或DDoS攻击的情况下，生成用于控制数据包通过的签名(嫌疑签名和非法签名)，并生成用于许可数据包通过的合法签名。然后，中继装置10把自己生成的签名(嫌疑签名、非法签名以及合法签名)登记在签名列表内。
并且，中继装置10把所生成的嫌疑签名(以及在合法签名的生成中使用的合法条件)发送到邻接中继装置。另一方面，中继装置10在从邻接中继装置接收到嫌疑签名等的情况下，根据合法条件生成合法签名，并把所接收的嫌疑签名和所生成的合法签名登记在签名列表内，然后把从邻接中继装置所接收的签名等发送到其他邻接中继装置。另外，如果对邻接中继装置进行举例，则可以举出在图1中，中继装置10-3中的邻接中继装置是中继装置10-1、中继装置10-2、中继装置10-4以及中继装置10-7，与中继装置10-5和中继装置10-6不具有邻接关系。并且，该邻接关系不意味着物理邻接。
并且，中继装置10如上所述，根据登记在签名列表内的签名来控制数据包通过。即，针对与非法签名或嫌疑签名对应的数据包，限制传送频带来使其通过或废弃，针对与合法签名对应的数据包或与任何签名都不对应的数据包，不限制传送频带而许可通过。
另外，中继装置10是用于在防御攻击的同时将数据包进行中继的装置，例如，可以发挥路由器的功能，或者可以发挥桥接器的功能。并且，中继装置10可以与用于管理中继装置10等的管理用网络连接，签名可以通过管理用网络来进行收发。
这样，中继装置10不仅自己生成用于控制数据包通过的签名等来控制数据包，而且把所生成的签名发送到邻接中继装置。而且，中继装置10在从邻接中继装置接收到签名的情况下，根据该签名控制数据包，并把签名也发送到其他邻接中继装置。然后，本实施例1中的中继装置10在把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理中具有主要的特征，该中继装置10对满足从邻接中继装置所接收的签名的条件的数据包进行监视来判定有无攻击，只有在判定为有攻击的情况下，才把签名发送到邻接中继装置。
使用图1对该主要特征进行简单说明。如图1所示，例如，通信终端30-4和通信终端30-5对服务器20-1进行DoS攻击，当中继装置10-1检测出涉嫌攻击时，中继装置10-1生成用于限制攻击嫌疑数据包的嫌疑签名，根据所生成的嫌疑签名处理数据包，并把嫌疑签名(以及合法条件)发送到成为邻接中继装置的中继装置10-3(参照图1的(1)和(2))。
另一方面，中继装置10-3接收从中继装置10-1所发送的嫌疑签名，根据所接收的嫌疑签名处理数据包，并判定所接收的满足嫌疑签名的条件的数据包数量在单位时间内是否超过了规定阈值(参照图1的(3))。即，判定与该嫌疑签名对应的攻击是否经由中继装置10-3进行，并且判定有无攻击。
然后，当在该判定中，满足嫌疑签名的条件的数据包数量在单位时间内超过了规定阈值的情况下，中继装置10-3把从中继装置10-1所接收的嫌疑签名发送到邻接中继装置(参照图1的(4))。这里，由中继装置10-3发送嫌疑签名的邻接中继装置是除了把嫌疑签名向自己发送(中继装置10-3)的邻接中继装置(中继装置10-1)以外的邻接中继装置，即，中继装置10-2、中继装置10-4以及中继装置10-7。并且，在图1所示的示例中，由于通信终端30-4和通信终端30-5对服务器20-1进行攻击，因而在中继装置10-3中判定为“有攻击”。
然后，中继装置10-4和中继装置10-2接收从中继装置10-3所发送的嫌疑签名，根据所接收的嫌疑签名处理数据包，并与上述一样，判定与该嫌疑签名对应的攻击是否经由各中继装置进行(参照图1的(5)和(6))。这里，在图1所示的示例中，由于通信终端30-4和通信终端30-5对服务器20-1进行攻击，因而在中继装置10-2和中继装置10-4中，不判定为满足所接收的嫌疑签名的条件的数据包数量在单位时间内超过了规定阈值(即判定为“无攻击”)，结果，不会把嫌疑签名发送到邻接中继装置。
另一方面，中继装置10-7与上述中继装置10-4和中继装置10-2一样，接收从中继装置10-3所发送的嫌疑签名，根据所接收的嫌疑签名处理数据包，并判定与该嫌疑签名对应的攻击是否经由各中继装置进行，然而由于不存在除了把嫌疑签名向自己发送的邻接中继装置以外的邻接中继装置，因而不会把嫌疑签名发送到邻接中继装置(参照图1的(7))。
如以上所述，在网络攻击防御系统100中，多个中继装置10中的中继装置10-1、中继装置10-3以及中继装置10-7将从通信终端30-4和通信终端30-5所发送的数据包根据嫌疑签名进行限制的同时进行中继。换句话说，嫌疑签名不被发送到网络攻击防御系统100的中继装置10中的中继装置10-5和中继装置10-6(嫌疑签名并不是被发送到所有的中继装置10)。因此，可减少检测出涉嫌攻击时等的对各中继装置10施加的处理负荷。
另外，中继装置10发送的签名不限于仅发送嫌疑签名，中继装置10也可以发送其他签名，并且也可以既发送嫌疑签名，又发送其他签名。
下面，使用图2对图1所示的中继装置10的结构进行说明。图2是示出中继装置10的结构的方框图。如该图所示，该中继装置10构成为具有网络接口部11；数据包取得部12；攻击检测部13(以及攻击嫌疑检测条件表13a、非法业务量检测条件表13b和合法条件表13c)；签名通信部14；数据包数量判定部15a；连续超过次数判定部15b；以及过滤部16(以及签名列表16a)。
并且，中继装置10具有CPU(Central Processing Unit中央处理单元)、存储器、硬盘等，数据包取得部12、攻击检测部13、签名通信部14、数据包数量判定部15a、连续超过次数判定部15b以及过滤部16可以是由CPU处理的程序模块。并且，该程序模块可以由一个CPU处理，也可以由多个CPU分散处理。而且，在中继装置10内安装了Linux等的通用OS，可以使配备在通用OS内的数据包过滤器发挥过滤部16的功能。
另外，签名通信部14与专利权利要求范围内所记载的“签名发送单元”对应，数据包数量判定部15a同样与“攻击有无判定单元”和“数据包数量判定单元”对应，连续超过次数判定部15b同样与“攻击有无判定单元”和“连续超过次数判定”对应。
在图2中，网络接口部11是在与网络连接的通信设备之间收发数据包的单元，具体地说，由用于与LAN(Local Area Network局域网)或WAN(Wide Area Network广域网)等的网络连接的网络连接卡等构成。另外，尽管在图2中未示出，然而可以具有键盘、鼠标、麦克风等从网络管理者接收各种信息和指示输入的输入单元、以及监视器(或显示器、触摸面板)和扬声器等输出各种信息的输出单元来构成中继装置10。
数据包取得部12是取得由网络接口部11所接收的数据包、并把所取得的数据包的统计相关的统计信息提供给攻击检测部13和数据包数量判定部15a的处理部。
攻击检测部13是根据由数据包取得部12所提供的统计信息进行攻击检测和攻击分析的处理部，如图2所示，与攻击嫌疑检测条件表13a、非法业务量检测条件表13b以及合法条件表13c分别连接。这里，在对存储于各表13a～13c内的信息作了具体说明之后，对攻击检测部13的处理内容进行说明。
图3是示出存储在攻击嫌疑检测条件表13a内的信息，更详细地说，为了对具有接收数据包是攻击数据包的可能性的攻击嫌疑数据包进行检测而使用的“攻击嫌疑检测条件”的一例的图。如该图所示，攻击嫌疑检测条件由包含检测属性、检测阈值和检测间隔的组合的多组(这里是3组)记录构成，在业务量与该攻击嫌疑检测条件的各记录内的任意记录的条件一致的情况下，该业务量的通信数据包被识别为是攻击嫌疑数据包。另外，为了方便起见，使用编号来指定记录。
在攻击嫌疑检测条件的“检测属性”中，例如，指定了IP数据包内所包含的IP头部的属性，以及IP数据包的有效载荷部内所包含的TCP头部或UDP头部的属性。具体地说，在图3中，编号1的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.1/32”(dst＝192.168.1.1/32)、表示IP的上层(TCP或UDP)协议类别的“Protocol(协议)”是“TCP”(Protocol＝TCP)、以及表示IP的上层协议是哪个应用的信息的“Destination Port(目的地端口编号)”是“80”(Port＝80)的属性值的组来指定。
并且，编号2的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.2/32”(dst＝192.168.1.2/32)、以及“Protocol(协议)”是“UDP(User Datagram Protocol用户数据报协议)”(Protocol＝UDP)的属性值的组来指定。同样，编号3的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.0/24”的属性来指定。
攻击嫌疑检测条件的“检测阈值”指定用于把具有由相同记录所指定的检测属性的接收数据包的业务量作为攻击嫌疑业务量来检测的最低传送频带，攻击嫌疑检测条件的“检测间隔”同样指定最低连续时间。另外，尽管在图3中未示出，然而在检测属性中，可以指定把“DestinationIP Address(目的地IP地址)的值设定为无条件(any)、以及表示IP的上层协议类别的“Protocol(协议)”是“ICMP(Internet Control MessageProtocol互联网控制消息协议)”的属性值的组。
图4是示出存储在非法业务量检测条件表13b内的信息，更详细地说，为了根据攻击嫌疑数据包的业务量检测非法业务量而使用的“非法业务量条件”的一例的图。如该图所示，非法业务量条件由已知的DDoS攻击的多个业务量模式构成，在攻击嫌疑数据包的业务量与任意业务量模式一致的情况下，识别为是非法业务量。另外，为了方便起见，使用编号来指定记录(模式)。
具体地说，编号1的非法业务量条件表示“传送频带大于等于T1Kbps、数据包被连续发送大于等于S1秒”的业务量模式。并且，编号2的非法业务量条件表示“传送频带大于等于T2Kbps、ICMP(InternetControl Message Protocol互联网控制消息协议)上的响应应答(EchoReply)消息的数据包被连续发送了大于等于S2秒”的业务量模式。而且，编号3的非法业务量条件表示“传送频带大于等于T3Kbps、表示由于数据过长而把数据包内所包含的数据分割成多个IP数据包来发送的分段数据包被连续发送了大于等于S3秒”的业务量模式。
图5是示出存储在合法条件表13c内的信息，更详细地说，表示从由合法利用者利用的通信终端30所发送的数据包的“合法条件”的一例的图。如该图所示，合法条件由包含IP数据包中的属性和这些属性值的组的多个记录构成。另外，为了方便起见，使用编号来指定记录(模式)。
具体地说，编号1的记录检测属性指定IP的“Source IP Address(发送源IP地址)”是“172.16.10.0/24”(src＝172.16.10.0/24)，编号2的记录检测属性指定表示IP上的服务质量的“Type of Service(服务类型)”是“(16进制)01”(TOS＝0×01)。在这种合法条件中设定有例如服务器所有者的公司的分公司、关联公司等、防御对象的服务器20等的发送源IP地址，并设定有由收容有服务器20的LAN的所有者识别为是合法用户的网络的发送源IP地址等。
回到图2的说明，攻击检测部13在根据由数据包取得部12所提供的统计信息检测出攻击的情况下，生成用于限制攻击嫌疑业务量的通信数据包(攻击嫌疑数据包)的嫌疑签名。具体地说，攻击检测部13根据图3所示的攻击嫌疑检测条件，检查连续比按照检测间隔所指定的时间更长的时间、使用大于等于根据检测阈值所指定的传送频带、与检测属性一致的业务量，在与各记录内的任意记录一致的情况下，把该业务量检测为攻击嫌疑业务量，并生成此时所检测的攻击嫌疑业务量满足的攻击嫌疑检测条件的记录检测属性作为嫌疑签名。
并且，攻击检测部13在检测出攻击的情况下，与嫌疑签名一起生成合法签名。具体地说，参照图5所示的合法条件，针对合法条件的所有记录的各方，取与嫌疑签名的“与”(AND)条件，并将其作为合法签名来生成。该合法签名是嫌疑签名中为了许可作为合法用户的通信数据包的合法数据包而使用的签名，例如使用图3和图5的示例进行说明，根据图3中的编号1的记录条件所检测的数据包的嫌疑签名为[dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]，在图5中，合法签名为[src＝172.16.10.24，dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]和[TOS＝0×01，dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]。
然后，攻击检测部13在检测出与图4所示的非法业务量条件的任意模式一致的业务量的情况下，生成用于限制非法业务量的非法签名。具体地说，把满足所检测的非法业务量条件的数据包的发送源IP地址指定为非法地址范围，并生成是该非法地址范围、且与嫌疑签名一致的条件作为非法签名。
上述由攻击检测部13所生成的嫌疑签名、合法签名以及非法签名被登记在签名列表16a内。另外，作为登记在签名列表16a内的签名(嫌疑签名、合法签名以及非法签名)，除了由该攻击检测部13所生成的签名以外，还有通过后述的签名通信部14从邻接中继装置所接收的签名。
在图2中，签名通信部14是把由攻击检测部13所生成的签名等发送到邻接中继装置并接收从邻接中继装置所发送的签名、然后把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理部。这里，把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理根据后述的数据包数量判定部15a和连续超过次数判定部15b的判定结果来执行。
数据包数量判定部15a是判定满足由签名通信部14所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值的处理部。具体地说，数据包数量判定部15a根据由数据包取得部12所提供的统计信息，按照各单位时间取得满足签名条件的数据包，并判定所取得的数据包的数量是否超过了规定阈值。
连续超过次数判定部15b是在数据包数量判定部15a判定为超过了规定阈值的情况下、判定连续超过了规定阈值的次数是否超过了规定值的处理部。然后，连续超过次数判定部15b在连续超过了规定阈值的次数超过了规定值的情况下，向签名发送部14输出指示，以便把从邻接中继装置所接收的签名发送到其他邻接中继装置。另外，接收到该指示的签名发送部14选择除了把签名向自己发送的邻接中继装置以外的邻接中继装置，并把签名发送到所选择的邻接中继装置。
在图2中，过滤部16是接收由网络接口部11所接收的数据包、并根据签名列表16a控制数据包通过(数据包从网络接口部11输出)的处理部。具体地说，针对所输入的数据包，判别与登记在签名列表16a内的“非法签名”、“合法签名”、“嫌疑签名”中的哪一方对应(或者与任何一方都不对应)之后，根据对应的签名控制数据包的通过。
更详细地说，过滤部16把与非法签名对应的数据包输入到用于处理非法数据包的非法队列，把与嫌疑签名对应的数据包输入到嫌疑用户用的嫌疑队列，以及把与合法签名对应的数据包或者与任何签名都不对应的数据包输入到合法用户用的合法队列。然后，过滤部16针对输入到合法队列的数据包，不限制传送频带而从网络接口部11输出，针对输入到嫌疑队列和非法队列的数据包，根据各个签名(作为满足条件所选择的签名)表示的传送频带限制值进行限制来输出。
另外，过滤部16在登记于签名列表16a内的签名的检测属性等满足了规定的解除判断基准的情况下，解除满足了该规定的解除判断基准的签名，并停止根据所解除的签名控制数据包通过的处理。
接下来，参照图6，对上述中继装置10的攻击嫌疑数据包检测时的动作处理进行说明。图6是示出攻击嫌疑数据包检测时的处理过程的流程图。
如该图所示，中继装置10的攻击检测部13在根据图3所示的攻击嫌疑检测条件表13a检测出攻击嫌疑业务量时(步骤S1)，生成嫌疑签名和合法签名(步骤S2)。
然后，攻击检测部13把所生成的嫌疑签名和合法签名登记在过滤部16的签名列表16a内(步骤S3)。然后，签名通信部14把由攻击检测部13所生成的签名等(在本实施例1中，嫌疑签名和合法条件)发送到邻接中继装置(步骤S4)。
接下来，参照图7对上述中继装置10的签名接收时的动作处理进行说明。图7是示出签名接收时的处理过程的流程图。
如该图所示，当中继装置10的签名通信部14接收到从邻接中继装置所发送的签名等(在本实施例1中，嫌疑签名和合法条件)时(步骤S11)，攻击检测部13根据由签名通信部14所接收的合法条件生成合法签名(步骤S12)。
然后，攻击检测部13把从邻接中继装置所接收的嫌疑签名和上述生成的合法签名登记在过滤部16的签名列表16a内(步骤S13)。之后，数据包数量判定部15a根据由数据包取得部12所提供的统计信息，按照各单位时间取得满足上述登记在签名列表16a内的嫌疑签名的条件的数据包，并判定所取得的数据包数量是否超过了规定阈值(步骤S14)。
这里，在超过了该规定阈值的情况下(步骤S14肯定)，连续超过次数判定部15b判定连续超过了规定阈值的次数是否超过了规定值(步骤S15)。结果，在连续超过了该规定阈值的次数超过了规定值的情况下(步骤S15肯定)，签名发送部14把上述所接收的嫌疑签名和合法条件发送到邻接中继装置(步骤S16)。即，选择除了把签名向自己发送的邻接中继装置以外的邻接中继装置，并把签名发送到所选择的邻接中继装置。
另外，在上述步骤S14中，在数据包数量未超过规定阈值的情况下(步骤S14否定)，或者在上述步骤S15中，在连续超过了规定阈值的次数未超过规定值的情况下(步骤S15否定)，不进行把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理(上述步骤S16的处理)。
接下来，参照图8对上述中继装置10的非法数据包检测时的动作处理进行说明。图8是示出非法数据包检测时的处理过程的流程图。
如该图所示，中继装置10的攻击检测部13在根据图4所示的非法业务量条件检测表13b等检测出非法业务量时(步骤S21)，生成非法签名(步骤S22)。然后，攻击检测部13把所生成的非法签名登记在过滤部16的签名列表16a内(步骤S23)。
接下来，参照图9对上述中继装置10的数据包控制时的动作处理进行说明。图9是示出数据包控制时的处理过程的流程图。
如该图所示，过滤部16在数据包从网络接口部11被输入时，判断是否与登记在签名列表16a内的非法签名一致(步骤S31)。然后，在与非法签名一致的情况下(步骤S31肯定)，过滤部16把数据包输入到用于处理非法数据包的非法队列(步骤S32)。
与此相反，在与非法签名不一致的情况下(步骤S31否定)，过滤部16判断所输入的数据包是否与登记在签名列表16a内的合法签名一致(步骤S33)。然后，在与合法签名一致的情况下(步骤S33肯定)，过滤部16把数据包输入到合法用户用的合法队列(步骤834)。
然后，在与该合法签名不一致的情况下(步骤S33否定)，过滤部16判断所输入的数据包是否与登记在签名列表16a内的嫌疑签名一致(步骤S35)。然后，在与嫌疑签名一致的情况下(步骤S35肯定)，过滤部16把数据包输入到嫌疑用户用的嫌疑队列(步骤S36)。与此相反，在与嫌疑签名不一致的情况下(步骤S35否定)，过滤部16把数据包输入到合法队列(步骤S37)。
然后，过滤部16针对在各个队列内的数据包，在是合法队列的情况下，不限制传送频带而从网络接口部11输出，在是嫌疑队列和非法队列的情况下，根据各个签名表示的传送频带限制值进行限制来输出。另外，非法签名、合法签名、嫌疑签名的各签名可以分别在签名列表16a内登记多个。并且，在所登记的签名的检测属性等满足了规定的判断基准的情况下，过滤部16解除满足了规定的判断基准的签名，并停止根据所解除的签名控制数据包通过的处理。
如上所述，根据上述实施例1，由于对满足从邻接中继装置所接收的签名的条件的数据包进行监视来判定有无攻击，并只有在判定为有攻击的情况下才把签名发送到邻接中继装置，因而不会发生嫌疑签名被发送到网络上的所有中继装置10的情况，可减少网络上的各中继装置10的处理负荷，可高效地进行与数据包的限制相关的处理。
并且，根据上述实施例1，由于在满足从邻接中继装置所接收的签名的条件的单位时间内的数据包数量超过了规定阈值的情况下，判定为有攻击，因而能客观和可靠地判定有无攻击。更详细地说，由于在满足签名条件的单位时间内的数据包数量超过了规定阈值的情况下不立即判定为有攻击，而是只有在连续超过了规定阈值的次数超过了规定值的情况下才判定为有攻击，因而能更可靠地判定有无攻击。
并且，根据上述实施例1，由于把签名发送到除了把签名向自己发送的邻接中继装置以外的其他邻接中继装置，因而可防止把签名发送到正进行与数据包的限制相关的处理的中继装置10，可减少网络上的各中继装置10的处理负荷，可高效地进行与数据包的限制相关的处理。
以上对本发明的实施例1作了说明，然而本发明除了上述实施例1以外，还可以以各种不同方式来实施。
例如，在上述实施例1中，对在满足签名条件的单位时间内的数据包数量超过了规定阈值、且连续超过了规定阈值的次数超过了规定值的情况下判定为有攻击的情况作了说明，然而本发明不限于此，可以在单位时间内的数据包数量超过了规定阈值的情况下立即判定为有攻击。即，在上述实施例1中所说明的攻击有无判定方法毕竟是一例，本发明不限于此，在采用其他攻击有无判定方法的情况下，也能同样应用本发明。
并且，在上述实施例1中作了图示的各装置(例如，图1例示的中继装置10)的各构成要素是功能概念要素，不一定需要在物理上如图所示那样构成。即，中继装置10的分散/集中的具体形态不限于图示，中继装置10的全部或一部分可根据各种负荷和使用状况等，以任意单位在功能上或物理上进行分散/集中来构成。而且，由中继装置10执行的各处理功能的全部或任意一部分可采用CPU和由该CPU分析执行的程序来实现，或者可采用使用布线逻辑的硬件来实现。
并且，在上述实施例1所说明的各处理中，作为自动进行来说明的处理的全部或一部分也能手动进行，或者，作为手动进行来说明的处理的全部或一部分也能采用公知方法自动进行。此外，针对在上述说明中和附图中所示的处理过程、控制过程、具体名称、包含各种数据和参数的信息(例如，攻击嫌疑检测条件表、非法业务量检测条件表、合法条件表的内容等)，除了特别记载的情况以外，可以任意变更。
另外，在上述实施例1中，从功能方面对实现本发明的各装置(例如，中继装置10)作了说明，然而各装置的各功能也能通过使个人计算机和工作站等的计算机执行程序来实现。即，在本实施例1中所说明的各种处理过程可通过在计算机上执行预先准备好的程序来实现。然后，这些程序可通过互联网等的网络来进行分布。而且，这些程序也能记录在硬盘、软盘(FD)、CD-ROM、MO、DVD等的计算机可读取的记录介质内，并由计算机从记录介质中读出来执行。即，举例如下可以将存储有实施例1所示的中继装置用程序的CD-ROM进行分布，由各计算机读出存储在该CD-ROM内的程序来执行。
实施例2在实施例2中，对使用签名的生成识别信息来限制签名传送处理的情况进行说明。另外，以下对在本实施例2中使用的主要用语、现有技术的问题、网络攻击防御系统的概要和特征、中继装置的结构和处理、以及本实施例2的效果依次进行说明，最后对本实施例2的各种变形例进行说明。
首先，对在本实施例2中使用的主要用语进行说明。在本实施例2中使用的“嫌疑签名”是用于限制有攻击嫌疑的数据包(攻击嫌疑数据包)的签名，具体地说，对表示限制通过的攻击嫌疑数据包的特征的属性(例如，目的地IP地址、协议、目的地端口编号等)和限制内容(例如，用于在特定数据包流入时限制频带的限制信息等)进行规定来构成。
另外，在本实施例2中使用的“合法签名”是用于许可与嫌疑签名对应的数据包中不被视为攻击的合法数据包(作为合法用户的通信数据包的合法数据包)的通过的签名，具体地说，对表示许可通过的合法数据包的特征的属性(例如，发送源IP地址、服务类型、目的地IP地址、协议、目的地端口编号等)进行规定来构成。
并且，在本实施例2中使用的“非法签名”是用于限制非法业务量内所包含的非法数据包(满足非法业务量条件的数据包)的签名，具体地说，对非法数据包的发送源IP地址等进行规定来构成。
并且，在本实施例2中使用的“识别信息(与专利权利要求范围所记载的“生成识别信息”对应)”是用于唯一识别上述签名的生成的信息，具体地说，由用于唯一识别作为签名的生成源的中继装置的识别符(例如，由引擎类型、引擎ID和节点ID构成的识别符)和用于分别唯一识别由该中继装置所生成的多个嫌疑签名的识别符(例如，依次赋予的生成编号)构成。
并且，在本实施例2中使用的“下游节点(与专利权利要求范围所记载的“中继源信息”对应)”是用于指定在从邻接中继装置接收上述签名并发送到其他邻接中继装置的中继装置中，作为就在该签名前的中继源的邻接中继装置(即，从哪个中继装置接收到签名)的信息，具体地说，对邻接中继装置的地址进行规定来构成。
并且，在本实施例2中使用的“上游节点(与专利权利要求范围所记载的“中继目的地信息”对应)”是用于指定在从邻接中继装置接收上述签名并发送到其他邻接中继装置的中继装置中，作为就在该签名后的中继目的地的邻接中继装置(即，把签名发送到哪个中继装置)的信息，具体地说，对邻接中继装置的地址进行规定来构成。另外，签名的中继源(下游节点)总是一个，而中继目的地(上游节点)可为多个。
另外，在现有技术中，由于把签名发送到邻接中继装置，因而根据网络攻击防御系统中的中继装置的相互邻接关系，有时存在从不同的邻接中继装置接收同一签名的中继装置。并且，在这种中继装置中，进行基于重复签名的处理，结果，具有的问题是，不能有效地进行基于签名的与数据包的限制相关的处理。以下，使用图24和图25对该问题进行具体说明。图24和图25是用于对现有技术的网络攻击防御系统进行说明的图。
如图24所示，中继装置109-1在检测出2个通信终端130对网络上的服务器120进行DDoS攻击时(参照该图的(1))，把签名发送到成为邻接中继装置的中继装置109-2和中继装置109-3(参照该图的(2))。并且，从成为邻接中继装置的中继装置109-1接收到签名的中继装置109-2根据所接收的签名处理数据包，并把签名发送到成为邻接中继装置的中继装置109-3。同样，从成为邻接中继装置的中继装置109-1接收到签名的中继装置109-3根据所接收的签名处理数据包，并把签名发送到成为邻接中继装置的中继装置109-2(参照该图的(3))。另外，在图24所示的示例中，从邻接中继装置接收到签名的中继装置109不把签名发送到已向自己发送过的邻接中继装置。
当进行了这种签名发送时，在图24所示的示例中，中继装置109-3从成为邻接中继装置的中继装置109-1和中继装置109-2接收同一签名。并且，与此相同，中继装置109-2也从成为邻接中继装置的中继装置109-1和中继装置109-3接收同一签名。结果，在中继装置109-2和中继装置109-3中，进行基于重复签名的数据包控制处理，不能有效地进行基于签名的与数据包的限制相关的处理。
并且，如图25所示，中继装置109-1在检测出2个通信终端130对网络上的服务器120进行DDoS攻击时(参照该图的(1))，把签名发送到成为邻接中继装置的中继装置109-2和中继装置109-3(参照该图的(2))。并且，从成为邻接中继装置的中继装置109-1接收到签名的中继装置109-2和中继装置109-3根据所接收的签名处理数据包，并把签名发送到成为各个邻接中继装置的中继装置109-4(参照该图的(3))。
当进行了这种签名发送时，在图25所示的示例中，中继装置109-4从成为邻接中继装置的中继装置109-2和中继装置109-3接收同一签名。结果，在中继装置109-2和中继装置109-3中，进行基于重复签名的数据包控制处理，不能有效地进行基于签名的与数据包的限制相关的处理。
因此，本实施例2是为了解决上述现有技术的课题而进行的，本实施例2的目的是提供能避免签名的重复登记或重复发送并能有效地进行基于签名的数据包控制的中继装置、中继方法、中继程序以及网络攻击防御系统。
下面，使用图10对本实施例2的网络攻击防御系统的概要和特征进行说明。图10是示出本实施例2的网络攻击防御系统的结构的系统结构图。
如该图所示，该网络攻击防御系统100a构成为在网络上具有多个中继装置110。并且，在该网络上连接有作为成为DoS攻击和DDoS攻击对象的计算机的服务器120、和作为可进行该DoS攻击和DDoS攻击的计算机的通信终端130。另外，以下在将所图示的中继装置110的各方进行区别的情况下，分别记载为中继装置110-1～中继装置110-7，在将服务器120的各方进行区别的情况下，记载为服务器120-1或服务器120-2，在将通信终端130的各方进行区别的情况下，记载为通信终端130-1～通信终端130-5。
这里，首先对中继装置110的原则功能进行说明，中继装置110在检测出通信终端130中的至少1个以上的通信终端130对网络上的服务器120进行DoS攻击或DDoS攻击的情况下，生成用于控制数据包通过的签名(嫌疑签名和非法签名)，并生成用于许可数据包通过的合法签名。然后，中继装置110把自己生成的签名(嫌疑签名、非法签名以及合法签名)登记在签名列表内。
并且，中继装置110把所生成的嫌疑签名(以及在合法签名的生成中使用的合法条件)发送到邻接中继装置。然后，中继装置110不仅就在嫌疑签名的生成后，而且在因发送错误或内容更新等而有必要重新发送嫌疑签名的情况下，重新将嫌疑签名等发送到邻接中继装置。
另一方面，中继装置110在从邻接中继装置接收到嫌疑签名等的情况下，原则上，根据合法条件生成合法签名，并把所接收的嫌疑签名和所生成的合法签名登记在签名列表内，然后把所接收的嫌疑签名和合法条件发送到其他邻接中继装置。另外，针对邻接中继装置举例如下在图10中，中继装置110-3中的邻接中继装置是中继装置110-1、中继装置110-2、中继装置110-4以及中继装置110-7，与中继装置110-5和中继装置110-6不具有邻接关系。并且，该邻接关系不意味着物理邻接。
这样，在图10所示的网络攻击防御系统100a中，接收到签名的各中继装置110重复签名发送，这样，网络上的所有中继装置110把相同的嫌疑签名和合法签名登记在签名列表内。并且，在各中继装置110中，根据登记在该签名列表内的签名控制数据包通过。即，针对与非法签名或嫌疑签名对应的数据包，限制传送频带来使其通过或废弃，针对与合法签名对应的数据包或与任何签名都不对应的数据包，不限制传送频带而许可通过。
另外，本实施例2中的中继装置110，除了上述原则功能以外，还具有以下主要特征判定从邻接中继装置所接收的签名是否已登记在签名列表内，只要在还未登记的情况下，就把签名登记在签名列表内，并发送到邻接中继装置。即，可避免从邻接中继装置所接收的签名的重复登记或重复发送，可有效地进行基于签名的数据包控制。
这里，对中继装置110为实现上述主要特征而具有的特征功能进行说明，在检测出涉嫌攻击的中继装置110中，生成用于限制攻击嫌疑数据包的嫌疑签名和用于唯一识别嫌疑签名的生成的识别信息。并且，使这些嫌疑签名和识别信息相对应地登记在签名列表内，并把所生成的嫌疑签名(以及合法条件)和识别信息发送到邻接中继装置。然后，根据该嫌疑签名和识别信息的中继，使用于指定作为中继目的地的邻接中继装置的上游节点与嫌疑签名和识别信息相对应地登记在签名列表内。然后，在有必要重新发送嫌疑签名的情况下，参照该签名列表，把赋予有同一识别信息的签名重新发送到作为同一中继目的地的邻接中继装置。
另一方面，在接收到嫌疑签名和识别信息的中继装置110中，判定所接收的嫌疑签名的识别信息是否已登记在自己的签名列表内，在还未登记的情况下，把所接收的嫌疑签名和识别信息登记在签名列表内，并把该嫌疑签名和识别信息发送到邻接中继装置。然后，根据该嫌疑签名和识别信息的中继，使用于指定作为中继源的邻接中继装置的下游节点和用于指定作为中继目的地的邻接中继装置的上游节点与嫌疑签名和识别信息相对应地登记在签名列表内。
并且，在接收到嫌疑签名等的中继装置110中，与上述相反，在所接收的嫌疑签名的识别信息已登记在签名列表内的情况下，进一步判定与识别信息相对应地登记的下游节点是否与目前所接收的签名的下游节点相同。然后，在下游节点相同的情况下，判定为是签名的重新发送，把所接收的嫌疑签名改写登记在签名列表内，并把签名重新发送到登记在签名列表内的上游节点表示的其他邻接中继装置。
另一方面，在接收到嫌疑签名等的中继装置110中，在上述判定中下游节点不相同的情况下，判定为不是签名的重新发送，既不把所接收的嫌疑签名登记(或改写登记)在签名列表内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的邻接中继装置。然后，在从邻接中继装置接收到该已登记通知的中继装置110中，从存储在签名列表内的上游节点删除与该邻接中继装置对应的信息(地址)。
以下，使用图10对实现上述主要特征的具体例进行说明。如该图所示，例如，通信终端130-4和通信终端130-5对服务器120-1进行DoS攻击，当中继装置110-1检测出涉嫌攻击时，中继装置110-1生成用于限制攻击嫌疑数据包的嫌疑签名和识别信息，使这些嫌疑签名和识别信息相对应地登记在签名列表内，并把所生成的嫌疑签名(以及合法条件)和识别信息发送到作为邻接中继装置的中继装置110-2和中继装置110-3。然后，根据该嫌疑签名和识别信息的中继，把中继装置110-2和中继装置110-3的地址作为上游节点来登记在签名列表内(参照图10的(1)和(2))。
另一方面，中继装置110-2和中继装置110-3在从中继装置110-1接收到嫌疑签名和识别信息时，判定所接收的嫌疑签名的识别信息是否已登记在自己的签名列表内，然而这里，由于识别信息还未登记，因而把所接收的嫌疑签名和识别信息登记在签名列表内，并把该嫌疑签名和识别信息发送到邻接中继装置。即，中继装置110-2把嫌疑签名和识别信息发送到中继装置110-4，并且，中继装置110-3把嫌疑签名和识别信息发送到中继装置110-4和中继装置110-7(参照该图的(3)和(4))。
然后，根据该嫌疑签名和识别信息的中继，中继装置110-2和中继装置110-3把下游节点和上游节点的信息登记在签名列表内。即，中继装置110-2把中继装置110-1的地址作为下游节点、并把中继装置110-4的地址作为上游节点登记在签名列表内，并且，中继装置110-3把中继装置110-1的地址作为下游节点、并把中继装置110-4和中继装置110-7的地址作为上游节点登记在签名列表内。
然后，中继装置110-7在从中继装置110-3接收到嫌疑签名和识别信息时，由于所接收的嫌疑签名的识别信息还未登记在自己的签名列表内，因而与上述中继装置110-2和中继装置110-3一样，把所接收的嫌疑签名和识别信息登记在签名列表内，然而由于没有邻接中继装置，因而不把该嫌疑签名和识别信息发送到邻接中继装置。然后，中继装置110-7尽管没有登记上游节点，然而把中继装置110-3的地址作为下游节点登记在签名列表内(参照该图的(5))。
另一方面，中继装置110-4例如在比中继装置110-3先从中继装置110-2接收到嫌疑签名和识别信息的情况下，由于所接收的嫌疑签名的识别信息还未登记在自己的签名列表内，因而与上述中继装置110-2和中继装置110-3一样，把所接收的嫌疑签名和识别信息登记在签名列表内，并把该嫌疑签名和识别信息发送到成为邻接中继装置的中继装置110-3、中继装置110-5以及中继装置110-6。然后，中继装置110-4把中继装置110-2的地址作为下游节点登记在签名列表内，并把中继装置110-3、中继装置110-5以及中继装置110-6的地址作为上游节点登记在签名列表内(参照该图的(6)和(7))。
然后，中继装置110-5和中继装置110-6在从中继装置110-4接收到嫌疑签名和识别信息时，由于所接收的嫌疑签名的识别信息还未登记在自己的签名列表内，因而与上述中继装置110-7一样，把所接收的嫌疑签名和识别信息登记在签名列表内，然而由于没有邻接中继装置，因而不会把该嫌疑签名和识别信息发送到邻接中继装置。然后，中继装置110-5和中继装置110-6尽管没有登记上游节点，然而把中继装置110-4的地址作为下游节点登记在签名列表内(参照该图的(8))。
另外，中继装置110-4根据上述示例，在从中继装置110-2接收到嫌疑签名和识别信息之后，从中继装置110-3也接收到同一嫌疑签名和识别信息的情况下，由于所接收的嫌疑签名的识别信息已登记在自己的签名列表内，而且与识别信息相对应地登记的下游节点(中继装置110-2)与目前所接收的签名的下游节点(中继装置110-3)不相同，因而既不把所接收的嫌疑签名登记(或改写登记)在签名列表内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的中继装置110-2。然后，在从中继装置110-4接收到该已登记通知的中继装置110-3中，从存储在签名列表内的该签名的上游节点删除中继装置110-4的地址。
并且，中继装置110-3根据上述示例，在也从中继装置110-4接收到同一嫌疑签名和识别信息的情况下，由于所接收的嫌疑签名的识别信息已登记在自己的签名列表内，而且与识别信息相对应地登记的下游节点(中继装置110-1)与目前所接收的签名的下游节点(中继装置110-4)不相同，因而既不把所接收的嫌疑签名登记(或改写登记)在签名列表内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的中继装置110-4。然后，在从中继装置110-3接收到该已登记通知的中继装置110-4中，从存储在签名列表内的该签名的上游节点(中继装置110-3、中继装置110-5以及中继装置110-6的地址)删除中继装置110-3的地址。
然后，中继装置110-4根据上述示例，在从中继装置110-2接收到嫌疑签名和识别信息之后，同样从中继装置110-2接收到由同一识别信息构成的嫌疑签名的情况下，由于所接收的嫌疑签名的识别信息已登记在自己的签名列表内，而与识别信息相对应地登记的下游节点(中继装置110-2)与目前所接收的签名的下游节点(中继装置110-2)相同，因而判定为是签名的重新发送，把所接收的嫌疑签名改写登记在签名列表内，并把嫌疑签名重新发送到登记在签名列表内的上游节点(中继装置110-5和中继装置110-6的地址)表示的中继装置110-5和中继装置110-6。
如以上所述，在图10所示的网络攻击防御系统中，判定从邻接中继装置所接收的签名是否已登记在签名列表内，只要在还未登记的情况下，就把签名登记在签名列表内，并发送到邻接中继装置，由此在上述示例中，在中继装置110-4和中继装置110-3中可避免签名的重复登记或重复发送，可有效地进行基于签名的数据包控制。
另外，中继装置110是用于在防御攻击的同时将数据包进行中继的装置，例如，可以发挥路由器的功能，或者可以发挥桥接器的功能。并且，中继装置110可以与用于管理中继装置110等的管理用网络连接，签名可以通过管理用网络来进行收发。而且，中继装置110发送的签名不仅限于嫌疑签名，中继装置110也可以发送其他签名，也可以既发送嫌疑签名，又发送其他签名。

下面，使用图11对图10所示的中继装置110的结构进行说明。图11是示出中继装置110的结构的方框图。如该图所示，该中继装置110构成为具有网络接口部111；数据包取得部112；攻击检测部113(以及攻击嫌疑检测条件表113a、非法业务量检测条件表113b以及合法条件表113c)；签名通信部114；识别信息判定部115；以及过滤部116(以及签名列表116a)。
并且，中继装置110具有CPU(Central Processing Unit中央处理单元)、存储器、硬盘等，数据包取得部112、攻击检测部113、签名通信部114、识别信息判定部115以及过滤部116可以是由CPU处理的程序模块。并且，该程序模块可以由一个CPU处理，也可以由多个CPU分散处理。而且，在中继装置110内安装了Linux等的通用OS，可以使配备在通用OS内的数据包过滤器发挥过滤部116的功能。
另外，攻击检测部113与专利权利要求范围内所记载的“签名生成单元”对应，签名通信部114同样与“签名通信单元”对应，识别信息判定部115同样与“签名登记判定单元”对应，签名列表116a同样与“签名存储单元”对应。
在图11中，网络接口部111是在与网络连接的通信设备之间收发数据包的单元，具体地说，由用于与LAN(Local Area Network局域网)或WAN(Wide Area Network广域网)等的网络连接的网络连接卡等构成。另外，尽管在图11中未示出，然而可以具有键盘、鼠标、麦克风等从网络管理者接收各种信息和指示输入的输入单元、以及监视器(或显示器、触摸面板)和扬声器等输出各种信息的输出单元来构成中继装置110。
数据包取得部112是取得由网络接口部111所接收的数据包、并把所取得的数据包的统计相关的统计信息提供给攻击检测部113和数据包数量判定部115a的处理部。
攻击检测部113是根据由数据包取得部112所提供的统计信息进行攻击检测和攻击分析的处理部，如图11所示，与攻击嫌疑检测条件表113a、非法业务量检测条件表113b以及合法条件表113c分别连接。这里，在对存储于各表113a～113c内的信息作了具体说明之后，对攻击检测部113的处理内容进行说明。
图12是示出存储在攻击嫌疑检测条件表113a内的信息，更详细地说，为了对具有接收数据包是攻击数据包的可能性的攻击嫌疑数据包进行检测而使用的“攻击嫌疑检测条件”的一例的图。如该图所示，攻击嫌疑检测条件由包含检测属性、检测阈值和检测间隔的组合的多组(这里是3组)记录构成，在业务量与该攻击嫌疑检测条件的各记录内的任意记录的条件一致的情况下，该业务量的通信数据包被识别为是攻击嫌疑数据包。另外，为了方便起见，使用编号来指定记录。
在攻击嫌疑检测条件的“检测属性”中，例如，指定了IP数据包内所包含的IP头部的属性，以及IP数据包的有效载荷部内所包含的TCP头部或UDP头部的属性。具体地说，在图12中，编号1的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.1/32”(dst＝192.168.1.1/32)、表示IP的上层(TCP或UDP)协议类别的“Protocol(协议)”是“TCP”(Protocol＝TCP)、以及表示IP的上层协议是哪个应用的信息的“Destination Port(目的地端口编号)”是“80”(Port＝80)的属性值的组来指定。
并且，编号2的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.2/32”(dst＝192.168.1.2/32)、以及“Protocol(协议)”是“UDP(User Datagram Protocol用户数据报协议)”(Protocol＝UDP)的属性值的组来指定。同样，编号3的记录检测属性使用“Destination IP Address(目的地IP地址)”是“192.168.1.0/24”的属性来指定。
攻击嫌疑检测条件的“检测阈值”指定用于把具有由相同记录所指定的检测属性的接收数据包的业务量作为攻击嫌疑业务量来检测的最低传送频带，攻击嫌疑检测条件的“检测间隔”同样指定最低连续时间。另外，尽管在图12中未示出，然而在检测属性中，可以指定把“DestinationIP Address(目的地IP地址)”的值设定为无条件(any)、而且表示IP的上层协议类别的“Protocol(协议)”是“ICMP(Internet Control MessageProtocol互联网控制消息协议)”的属性值的组。
图13是示出存储在非法业务量检测条件表113b内的信息，更详细地说，为了根据攻击嫌疑数据包的业务量检测非法业务量而使用的“非法业务量条件”的一例的图。如该图所示，非法业务量条件由已知的DDoS攻击的多个业务量模式构成，在攻击嫌疑数据包的业务量与任意业务量模式一致的情况下，识别为是非法业务量。另外，为了方便起见，使用编号来指定记录(模式)。
具体地说，编号1的非法业务量条件表示“传送频带大于等于T1Kbps、数据包被连续发送大于等于S1秒”的业务量模式。并且，编号2的非法业务量条件表示“传送频带大于等于T2Kbps、ICMP(InternetControl Message Protocol互联网控制消息协议)上的响应应答(EchoReply)消息的数据包被连续发送了大于等于S2秒”的业务量模式。而且，编号3的非法业务量条件表示“传送频带大于等于T3Kbps、表示由于数据过长而把数据包内所包含的数据分割成多个IP数据包来发送的分段数据包被连续发送了大于等于S3秒”的业务量模式。
图14是示出存储在合法条件表113c内的信息，更详细地说，表示从由合法利用者利用的通信终端130所发送的数据包的“合法条件”的一例的图。如该图所示，合法条件由包含IP数据包中的属性和这些属性值的组的多个记录构成。另外，为了方便起见，使用编号来指定记录(模式)。
具体地说，编号1的记录检测属性指定IP的“Source IP Address(发送源IP地址)”是“172.16.10.0/24”(src＝172.16.10.0/24)，编号2的记录检测属性指定表示IP上的服务质量的“Type of Service(服务类型)”是“(16进制)01”(TOS＝0×01)。在这种合法条件中设定有例如服务器所有者的公司的分公司、关联公司等、防御对象的服务器120等的发送源IP地址，并设定有由收容有服务器120的LAN的所有者识别为是合法用户的网络的发送源IP地址等。
回到图11的说明，攻击检测部113在根据由数据包取得部112所提供的统计信息检测出攻击的情况下，生成用于限制攻击嫌疑业务量的通信数据包(攻击嫌疑数据包)的嫌疑签名。具体地说，攻击检测部113根据图12所示的攻击嫌疑检测条件，检查连续比按照检测间隔所指定的时间更长的时间、使用大于等于根据检测阈值所指定的传送频带、与检测属性一致的业务量，在与各记录内的任意记录一致的情况下，把该业务量检测为攻击嫌疑业务量，并生成此时所检测的攻击嫌疑业务量满足的攻击嫌疑检测条件的记录检测属性作为嫌疑签名。
并且，攻击检测部113在检测出攻击的情况下，与嫌疑签名一起生成合法签名。具体地说，参照图14所示的合法条件，按照合法条件的所有记录的各方，取与嫌疑签名的“与”(AND)条件，并将其生成为合法签名。该合法签名是嫌疑签名中为了许可作为合法用户的通信数据包的合法数据包而使用的签名，例如，使用图12和图14的示例进行说明，根据图12中的编号1的记录条件所检测的数据包的嫌疑签名为[dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]，在图14中，合法签名为[src＝172.16.10.24，dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]和[TOS＝0×01，dst＝192.168.1.1/32，Protocol＝TCP，Port＝80]。
然后，攻击检测部113在检测出与图13所示的非法业务量条件的任意模式一致的业务量的情况下，生成用于限制非法业务量的非法签名。具体地说，把满足所检测的非法业务量条件的数据包的发送源IP地址指定为非法地址范围，并生成是该非法地址范围、且与嫌疑签名一致的条件作为非法签名。
上述由攻击检测部113所生成的嫌疑签名、合法签名以及非法签名被登记在签名列表116a(参照图15)内。然后，攻击检测部113生成用于唯一识别各签名的生成的识别信息，并把签名与该识别信息一起登记在签名列表116a内。
这里，参照图16，对赋予给签名的识别信息进行说明。图16是示出赋予给签名的识别信息的示例的图，如该图所示，攻击检测部113生成识别信息，该识别信息由用于唯一识别作为签名的生成源的中继装置110的识别符(例如，由引擎类型、引擎ID和节点ID构成的识别符)和用于分别唯一识别由该中继装置所生成的多个嫌疑签名的识别符(例如，依次赋予的生成编号)构成。
在图11中，签名通信部114是把由攻击检测部113所生成的签名等发送到邻接中继装置、并接收从邻接中继装置所发送的签名、并且把从邻接中继装置所接收的签名登记在签名列表116a内、然后把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理部。
具体地说，签名通信部114在由攻击检测部113把签名和识别信息登记在签名列表116a内时，把所登记的签名等与识别信息一起发送到邻接中继装置。然后，签名通信部114根据该签名和识别信息的中继，使用于指定作为中继目的地的邻接中继装置的上游节点与签名和识别信息相对应地登记在签名列表116a内(参照图15)。然后，签名通信部114在有必要重新发送嫌疑签名等的情况下，参照该签名列表116a，把赋予有同一识别信息的签名重新发送到作为同一中继目的地的邻接中继装置。
并且，签名通信部114进行把从邻接中继装置所接收的签名登记在签名列表116a内的处理以及发送到其他邻接中继装置的处理，然而该处理根据以下说明的识别信息判定部115的判定结果来执行。
识别信息判定部115在由签名通信部114从邻接中继装置接收到签名的情况下，判定所接收的签名的识别信息是否已登记在签名列表116a内。然后，在识别信息判定部115判定为还未登记的情况下，上述签名通信部114把所接收的签名和识别信息登记在签名列表116a内，并把该签名和识别信息发送到邻接中继装置。然后，签名通信部114使用于指定作为中继源的邻接中继装置的下游节点和用于指定作为中继目的地的邻接中继装置的上游节点与签名和识别信息相对应地登记在签名列表116a内(参照图15)。
与此相反，在所接收的签名的识别信息已登记在签名列表116a内的情况下，识别信息判定部115进一步判定与识别信息相对应地登记的下游节点是否与目前所接收的签名的下游节点相同。然后，在识别信息判定部115判定为下游节点相同的情况下，上述签名通信部114判定为是签名的重新发送，把所接收的签名改写登记在签名列表116a内，并把签名重新发送到登记在签名列表116a内的上游节点表示的其他邻接中继装置。
然后，在上述判定中由识别信息判定部115判定为下游节点不相同的情况下，上述签名通信部114判定为不是签名的重新发送，既不把所接收的嫌疑签名登记(或改写登记)在签名列表116a内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的邻接中继装置。另一方面，签名通信部114在从邻接中继装置接收到该已登记通知的情况下，从存储在签名列表116a内的上游节点删除与该邻接中继装置对应的信息(地址)。
在图11中，过滤部116是接收由网络接口部111所接收的数据包、并根据签名列表116a控制数据包通过(数据包从网络接口部111输出)的处理部。具体地说，针对所输入的数据包，判别与登记在签名列表116a内的“非法签名”、“合法签名”、“嫌疑签名”中的哪一方对应(或者与任何一方都不对应)之后，根据对应的签名控制数据包通过。
更详细地说，过滤部116把与非法签名对应的数据包输入到用于处理非法数据包的非法队列，把与嫌疑签名对应的数据包输入到嫌疑用户用的嫌疑队列，以及把与合法签名对应的数据包或者与任何签名都不对应的数据包输入到合法用户用的合法队列。然后，过滤部116针对输入到合法队列的数据包，不限制传送频带而从网络接口部111输出，针对输入到嫌疑队列和非法队列的数据包，根据各个签名(作为满足条件所选择的签名)表示的传送频带限制值进行限制来输出。
另外，过滤部116在登记于签名列表116a内的签名的检测属性等满足了规定的解除判断基准的情况下，解除满足了该规定的解除判断基准的签名，并停止根据所解除的签名控制数据包通过的处理。
接下来，参照图17对上述中继装置110的攻击嫌疑数据包检测时的动作处理进行说明。图17是示出攻击嫌疑数据包检测时的处理过程的流程图。
如该图所示，中继装置110的攻击检测部113在根据图12所示的攻击嫌疑检测条件表113a检测出攻击嫌疑业务量时(步骤S101)，生成嫌疑签名和合法签名(步骤S102)。
然后，攻击检测部113生成用于唯一识别各签名的生成的识别信息(步骤S103)，把嫌疑签名和合法签名与该识别信息一起登记在过滤部116的签名列表116a内(步骤S104)。然后，签名通信部114把由攻击检测部113所生成的签名等(在本实施例2中，为嫌疑签名和合法条件)与识别信息一起发送到邻接中继装置(步骤S105)。
另外，签名通信部114根据上述步骤S104的签名等的中继，把用于指定作为中继目的地的邻接中继装置的上游节点登记在签名列表116a内。然后，签名通信部114在有必要重新发送嫌疑签名等的情况下，参照该签名列表116a，把赋予有同一识别信息的签名重新发送到作为同一中继目的地的邻接中继装置。
接下来，参照图18对上述中继装置110的签名接收时的动作处理进行说明。图18是示出签名接收时的处理过程的流程图。
如图所示，当中继装置110的签名通信部114接收到从邻接中继装置所发送的签名等(在本实施例2中，为嫌疑签名和合法条件)时(步骤S111)，识别信息判定部115判定所接收的签名的识别信息是否已登记在过滤部116的签名列表116a内(步骤S112)，然后，在该识别信息已登记在签名列表116a内的情况下(步骤S112肯定)，判定与识别信息相对应地登记的下游节点是否与目前所接收的签名的下游节点相同(步骤S113)。
在该判定中由识别信息判定部115判定为识别信息已登记在签名列表116a内、而且下游节点不相同的情况下(步骤S112肯定且步骤8113否定)，签名通信部114既不把所接收的嫌疑签名登记(或改写登记)在签名列表116a内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的邻接中继装置(步骤S118)。另外，在从邻接中继装置接收到该已登记通知的中继装置110中，从存储在签名列表116a内的上游节点删除与该邻接中继装置对应的信息(地址)。
与此相反，在识别信息判定部115判定为所接收的签名的识别信息还未登记在签名列表116a内的情况下(步骤S112否定)，签名通信部114把所接收的签名和识别信息登记在过滤部116的签名列表116a内(步骤S114)，攻击检测部113根据由签名通信部114所接收的合法条件生成合法签名(步骤S115)，并把合法签名登记在签名列表116a内(步骤S116)。
然后，签名通信部114把登记在签名列表116a内的嫌疑签名和识别信息(以及在合法签名的生成中使用的合法条件)发送到邻接中继装置(步骤S117)。另外，签名通信部114根据该步骤S117的签名等的中继，使用于指定作为中继源的邻接中继装置的下游节点和用于指定作为中继目的地的邻接中继装置的上游节点与签名和识别信息相对应地登记在签名列表116a内。
另外，在上述步骤S113的判定中由识别信息判定部115判定为，所接收的签名的识别信息已登记在签名列表116a内，而与识别信息相对应地登记的下游节点与目前所接收的签名的下游节点相同的情况下(步骤S113肯定)，签名通信部114判定为是签名的重新发送，把所接收的签名改写登记在签名列表116a内(步骤S119)，并且攻击检测部113根据由签名通信部114所接收的合法条件重新生成合法签名(步骤S120)，并把合法签名改写登记在签名列表116a内(步骤S121)。然后，签名通信部114把嫌疑签名和识别信息(以及在合法签名的生成中使用的合法条件)重新发送到登记在签名列表116a内的上游节点表示的其他邻接中继装置(步骤S122)。
另外，在上述中，对在判定为是签名的重新发送的情况下(在所接收的签名的识别信息已登记在签名列表116a内，而与识别信息相对应地登记的下游节点与目前所接收的签名的下游节点相同的情况下)，进行嫌疑签名的改写登记、合法签名的重新生成以及改写登记(步骤S119～S121)的情况作了说明，然而本发明不一定受限于此，可以省去这些处理(步骤S119～S121)，而仅进行嫌疑签名、识别信息以及合法条件的重新发送(步骤S122)。
接下来，参照图19对上述中继装置19的非法数据包检测时的动作处理进行说明。图19是示出非法数据包检测时的处理过程的流程图。
如该图所示，中继装置110的攻击检测部117在根据图13所示的非法业务量条件检测出非法业务量时(步骤S131)，生成非法签名(步骤S132)。然后，攻击检测部117把所生成的非法签名登记在过滤部116的签名列表116a内(步骤S133)。
接下来，参照图20对上述中继装置110的数据包控制时的动作处理进行说明。图20是示出数据包控制时的处理过程的流程图。
如该图所示，过滤部116在数据包从网络接口部111被输入时(步骤S141肯定)，判断是否与登记在签名列表116a内的非法签名一致(步骤S142)。然后，在与非法签名一致的情况下(步骤S142肯定)，过滤部116把数据包输入到用于处理非法数据包的非法队列(步骤S143)。
与此相反，在与非法签名不一致的情况下(步骤S142否定)，过滤部116判断所输入的数据包是否与登记在签名列表116a内的合法签名一致(步骤S144)。然后，在与合法签名一致的情况下(步骤S144肯定)，过滤部116把数据包输入到合法用户用的合法队列(步骤S145)。
然后，在与该合法签名也不一致的情况下(步骤S144否定)，过滤部116判断所输入的数据包是否与登记在签名列表116a内的嫌疑签名一致(步骤S146)。然后，在与嫌疑签名一致的情况下(步骤S146肯定)，过滤部116把数据包输入到嫌疑用户用的嫌疑队列(步骤S147)。与此相反，在与嫌疑签名不一致的情况下(步骤S146否定)，过滤部116把数据包输入到合法队列(步骤S148)。
然后，过滤部116针对在各个队列内的数据包，在是合法队列的情况下，不限制传送频带而从网络接口部111输出，在是嫌疑队列和非法队列的情况下，根据各个签名表示的传送频带限制值进行限制来输出。另外，非法签名、合法签名、嫌疑签名的各签名可以分别在签名列表116a内登记多个。并且，在所登记的签名的检测属性等满足了规定的判断基准的情况下，过滤部116解除满足了规定的判断基准的签名，并停止根据所解除的签名控制数据包通过的处理。
如上所述，根据上述实施例2，由于判定从邻接中继装置所接收的签名是否已登记，仅把还未登记的签名登记在签名列表116a内，并发送到邻接中继装置，因而可避免签名的重复登记或重复发送，可高效地进行基于签名的数据包控制。
并且，根据上述实施例2，由于使用于唯一识别签名生成的识别信息与各签名相对应地进行管理，因而甚至无需参照签名的具体内容，只根据识别信息就能判定签名是否已登记。而且，当签名内容相同而识别信息(生成源)不同时，判定为是还未登记的签名而登记在签名列表116a内，并发送到邻接中继装置，因而成为生成源的各中继装置的性能差异(例如，攻击检测或防御解除相关算法的差异等)受到重视，可进行安全性高的数据包控制。
并且，根据上述实施例2，由于当检测出攻击嫌疑数据包时，生成嫌疑签名和识别信息，并把这些签名和识别信息发送到邻接中继装置，并且把用于指定作为中继目的地的邻接中继装置的上游节点、识别信息以及嫌疑签名相对应地登记在签名列表116a内，因而能把识别信息可靠地赋予给签名。而且，在因发送错误或内容更新等而有必要重新发送签名的情况下，通过参照登记在签名列表116a内的上游节点、识别信息以及签名，可把赋予有同一识别信息的签名可靠地重新发送到同一中继目的地。
并且，根据上述实施例2，在从邻接中继装置所接收的签名的识别信息还未登记在签名列表116a内的情况下，把该识别信息发送到其他邻接中继装置，并使用于指定作为就在签名前的中继源的邻接中继装置的下游节点、用于指定作为就在签名后的中继目的地的邻接中继装置的上游节点、识别信息以及签名相对应地登记在签名列表116a内(参照图15)。然后，在从邻接中继装置所接收的签名的识别信息已登记在签名列表116a内的情况下，进一步判定下游节点是否相同，在下游节点相同的情况下，把签名改写登记在签名列表116a内，并把签名发送到登记在签名列表116a内的上游节点表示的其他邻接中继装置，因而在因发送错误或内容更新等而重新发送了签名的情况下，不会保留该签名，能可靠地重新发送到中继目的地。另一方面，在下游节点不相同的情况下，判定为不是签名的重新发送，结果，能可靠地避免签名的重复登记或重复发送。
并且，根据上述实施例2，在从邻接中继装置所接收的签名的识别信息已登记在签名列表116a内、而且下游节点也不相同的情况下，把表示该签名已登记的已登记通知返送到作为签名的下游节点的邻接中继装置。然后，在从其他邻接中继装置接收到该已登记通知的情况下，从存储在签名列表116a内的上游节点删除与该邻接中继装置对应的信息(地址)。因此，在因发送错误或内容更新等而有必要重新发送签名的情况下，签名不被发送到从签名列表116a中所删除的中继目的地，即使当重新发送签名时，也能可靠地避免签名的重复登记或重复发送。
以上对本发明的实施例2作了说明，然而本发明除了上述实施例2以外，还可以以各种不同方式来实施。
例如，在上述实施例2中，对根据用于唯一识别签名生成的生成识别信息判定重复登记的情况作了说明，然而本发明不限于此，可以忽略成为生成源的各中继装置的性能，根据签名内容是否相同来判定重复登记。而且，可以考虑成为生成源的各中继装置的性能，根据签名内容是否相同、而且生成源的性能是否相同来判定重复登记。
并且，各中继装置110可以在把所接收的嫌疑签名和识别信息发送到邻接中继装置之前，判定满足嫌疑签名的条件的数据包数量在单位时间内是否超过了规定阈值。即，只有在判定为超过了规定阈值的情况下(只有在判定为有攻击的情况下)，才可以把所接收的嫌疑签名发送到邻接中继装置。例如，在图10所示的示例中，中继装置110-4由于不会由通信终端130-1～通信终端130-3进行攻击，因而即使从中继装置110-2或中继装置110-3接收到嫌疑签名和识别信息，也不会判定为超过了规定阈值，不会把嫌疑签名发送到成为邻接中继装置的中继装置110-5或中继装置110-6。
并且，在上述实施例2中作了图示的各装置(例如，图10例示的中继装置110)的各构成要素是功能概念要素，不一定需要在物理上如图所示那样构成。即，中继装置110的分散/集中的具体形态不限于图示，中继装置110的全部或一部分可根据各种负荷和使用状况等，以任意单位在功能上或物理上进行分散/集中来构成。而且，由中继装置110执行的各处理功能，其全部或任意一部分可采用CPU和由该CPU分析执行的程序来实现，或者可采用使用布线逻辑的硬件来实现。
并且，在上述实施例2中所说明的各处理中，作为自动进行来说明的处理的全部或一部分也能手动进行，或者，作为手动进行来说明的处理的全部或一部分也能采用公知方法自动进行。此外，针对在上述说明中和附图中所示的处理过程、控制过程、具体名称、包含各种数据和参数的信息(例如，攻击嫌疑检测条件表、非法业务量检测条件表、合法条件表的内容等)，除了特别记载的情况以外，可以任意变更。
另外，在上述实施例2中，从功能方面对实现本发明的各装置(例如，中继装置110)作了说明，然而各装置的各功能也能通过使个人计算机和工作站等的计算机执行程序来实现。即，在本实施例2中所说明的各种处理过程可通过在计算机上执行预先准备好的程序来实现。然后，这些程序可通过互联网等的网络来进行分布。而且，这些程序也能记录在硬盘、软盘(FD)、CD-ROM、MO、DVD等的计算机可读取的记录介质内，并由计算机从记录介质内读出来执行。即，举例如下可以将存储有实施例2所示的中继装置用程序的CD-ROM进行分布，由各计算机读出存储在该CD-ROM内的程序来执行。
实施例3在实施例3中，对使在上述实施例1和实施例2中进行的数据包限制处理组合起来的情况进行说明。图21是示出实施例3的中继装置210的结构的方框图。另外，以下，主要对实施例1和实施例2所示的中继装置(10和110)与本实施例3的中继装置210的不同点进行说明，省略对共同点的说明。
如图21所示，中继装置210具有以下部分作为进行数据包限制处理的处理部，即识别信息判定部215a(与实施例2的中继装置110的识别信息判定部115对应)，数据包数量判定部215b(与实施例1的中继装置10的数据包数量判定部15a对应)，以及连续超过次数判定部215c(同样与连续超过次数判定部15b对应)。
即，中继装置210使用用于唯一识别签名生成的识别信息来限制对其他中继装置的数据包中继，并根据满足签名条件的单位时间内的数据包数量是否超过了规定阈值、以及连续超过了该规定阈值的次数是否超过了规定阈值来限制数据包中继。这样，可灵活和可靠地执行数据包中继的限制处理。
接下来，参照图22对上述中继装置210的攻击嫌疑数据包检测时的动作处理进行说明。图22是示出攻击嫌疑数据包检测时的处理过程的流程图。
如该图所示，中继装置210的攻击检测部213在根据图12所示的攻击嫌疑检测条件表113a检测出攻击嫌疑业务量时(步骤S201)，生成嫌疑签名和合法签名(步骤S202)。
然后，攻击检测部213生成用于唯一识别各签名的生成的识别信息(步骤S203)，把嫌疑签名和合法签名与该识别信息一起登记在过滤部216的签名列表216a内(步骤S204)。然后，签名通信部214把由攻击检测部213所生成的签名等(在本实施例3中，为嫌疑签名和合法条件)与识别信息一起发送到邻接中继装置(步骤S205)。
另外，签名通信部214根据上述步骤S204的签名等的中继，把用于指定作为中继目的地的邻接中继装置的上游节点登记在签名列表216a内。然后，签名通信部214在有必要重新发送嫌疑签名等的情况下，参照该签名列表216a，把赋予有同一识别信息的签名重新发送到作为同一中继目的地的邻接中继装置。
接下来，参照图23对上述中继装置210的签名接收时的动作处理进行说明。图23是示出签名接收时的处理过程的流程图。
如该图所示，当中继装置210的签名通信部214接收到从邻接中继装置所发送的签名等(在本实施例3中，为嫌疑签名和合法条件)时(步骤S211)，识别信息判定部215a判定所接收的签名的识别信息是否已登记在过滤部216的签名列表216a内(步骤S212)，然后，在该识别信息已登记在签名列表216a内的情况下(步骤S212肯定)，判定与识别信息相对应地登记的下游节点是否与目前所接收的签名的下游节点相同(步骤S213)。
在该判定中由识别信息判定部215a判定为识别信息已登记在签名列表216a内、而且下游节点不相同的情况下(步骤S212肯定且步骤S213否定)，签名通信部214既不把所接收的嫌疑签名登记(或改写登记)在签名列表216a内，也不发送(或重新发送)到其他邻接中继装置，而是把表示该签名已登记的已登记通知返送到作为所接收的签名的下游节点的邻接中继装置(步骤S220)。另外，在从邻接中继装置接收到该已登记通知的中继装置210中，从存储在签名列表216a内的上游节点删除与该邻接中继装置对应的信息(地址)。
与此相反，在识别信息判定部215a判定为所接收的签名的识别信息还未登记在签名列表216a内的情况下(步骤S212否定)，签名通信部214把所接收的签名和识别信息登记在过滤部216的签名列表216a内(步骤S214)，攻击检测部213根据由签名通信部214所接收的合法条件生成合法签名(步骤S215)，并把合法签名登记在签名列表216a内(步骤S216)。
接下来，数据包数量判定部215b根据由数据包取得部212所提供的统计信息，按照各单位时间取得满足上述登记在签名列表216a内的嫌疑签名的条件的数据包，并判定所取得的数据包数量是否超过了规定阈值(步骤S217)。
这里，在超过了该规定阈值的情况下(步骤S217肯定)，连续超过次数判定部215c判定连续超过了规定阈值的次数是否超过了规定值(步骤S218)。结果，在连续超过了该规定阈值的次数超过了规定值的情况下(步骤S218)，签名通信部214把登记在签名列表216a内的嫌疑签名和识别信息(以及在合法签名的生成中使用的合法条件)发送到邻接中继装置(步骤S219)。另外，签名通信部214根据该步骤S219的签名等的中继，使用于指定作为中继源的邻接中继装置的下游节点和用于指定作为中继目的地的邻接中继装置的上游节点与签名和识别信息相对应地登记在签名列表216a内。
并且，在上述步骤S217中，数据包数量未超过规定阈值的情况下(步骤S217否定)，或者在上述步骤S218中，连续超过了规定阈值的次数未超过规定值的情况下(步骤S218否定)，不进行把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理(上述步骤S219的处理)。
另外，在上述步骤S213的判定中由识别信息判定部215判定为，所接收的签名的识别信息已登记在签名列表216a内，而与识别信息相对应地登记的下游节点与目前所接收的签名的下游节点相同的情况下(步骤S213肯定)，签名通信部214判定为是签名的重新发送，把所接收的签名改写登记在签名列表216a内(步骤S221)，并且攻击检测部213根据由签名通信部214所接收的合法条件重新生成合法签名(步骤S222)，并把合法签名改写登记在签名列表216a内(步骤S223)。
接下来，数据包数量判定部215b根据由数据包取得部212所提供的统计信息，按照各单位时间取得满足上述登记在签名列表216a内的嫌疑签名的条件的数据包，并判定所取得的数据包数量是否超过了规定阈值(步骤S224)。
这里，在超过了该规定阈值的情况下(步骤S224肯定)，连续超过次数判定部215c判定连续超过了规定阈值的次数是否超过了规定值(步骤S225)。结果，在连续超过了该规定阈值的次数超过了规定值的情况下(步骤S225肯定)，签名通信部214把嫌疑签名和识别信息(以及在合法签名的生成中使用的合法条件)重新发送到登记在签名列表216a内的上游节点表示的其他邻接中继装置(步骤S226)。
并且，在上述步骤S224中，在数据包数量未超过规定阈值的情况下(步骤S224否定)，或者在上述步骤S225中，在连续超过了规定阈值的次数未超过规定值的情况下(步骤S225否定)，不进行把从邻接中继装置所接收的签名发送到其他邻接中继装置的处理(上述步骤S226的处理)。
并且，在上述中，对在判定为是签名的重新发送的情况下(在所接收的签名的识别信息已登记在签名列表216a内，而与识别信息相对应地登记的下游节点与目前所接收的签名的下游节点相同的情况下)，进行嫌疑签名的改写登记、合法签名的重新生成以及改写登记(步骤S221～S223)的情况作了说明，然而本发明不一定受限于此，可以省去这些处理(步骤S221～S223)，仅进行上述步骤S224以后的处理。
而且，在上述中，对在进行了使用签名识别信息的处理的分配(例如，步骤S212)之后，进行使用规定阈值的判定处理(例如，步骤S217和步骤S218)的情况作了说明，然而本发明不一定受限于此，可以通过使用规定阈值的判定来对处理进行分配，然后进行使用签名识别信息的判定处理。
如上所述，根据上述实施例3，中继装置使用用于唯一识别签名生成的识别信息来限制对其他中继装置的数据包中继，并根据满足签名条件的单位时间内的数据包数量是否超过了规定阈值、以及连续超过了该规定阈值的次数是否超过了规定阈值来限制数据包中继。这样，可灵活和可靠地执行数据包中继的限制处理。
产业上的可利用性如以上所述，本发明的中继装置、中继方法、中继程序以及网络攻击防御系统在从邻接中继装置接收用于控制数据包通过的签名、并把该接收到的签名发送到其他邻接中继装置的情况下是有用的，特别是，适合于减少网络上的各中继装置的处理负荷、并高效地进行与数据包的限制相关的处理。
权利要求
1.一种中继装置，从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，根据从前述邻接中继装置所接收的签名来判定是否应把该签名发送到其他邻接中继装置，并在判定为应发送到前述其他邻接中继装置的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
2.根据权利要求1所述的中继装置，其特征在于，具有攻击有无判定单元，其对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送单元，其在由前述攻击有无判定单元判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
3.根据权利要求2所述的中继装置，其特征在于，前述攻击有无判定单元具有数据包数量判定单元，其判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送单元在由前述数据包数量判定单元判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
4.根据权利要求3所述的中继装置，其特征在于，前述攻击有无判定单元还具有连续超过次数判定单元，其在由前述数据包数量判定单元判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送单元在由前述连续超过次数判定单元判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
5.根据权利要求2、3或4所述的中继装置，其特征在于，前述签名发送单元把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
6.根据权利要求1所述的中继装置，其特征在于，具有签名存储单元，其存储所接收的前述签名；签名登记判定单元，其判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信单元，其在由前述识别信息判定单元判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
7.根据权利要求6所述的中继装置，其特征在于，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定单元判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
8.根据权利要求7所述的中继装置，其特征在于，具有签名生成单元，其根据攻击嫌疑数据包的检测生成签名，并生成该签名的生成识别信息；该签名生成单元把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
9.根据权利要求8所述的中继装置，其特征在于，前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息发送到其他邻接中继装置，并把用于指定作为就在该签名前的中继源的邻接中继装置的中继源信息、用于指定作为就在该签名后的中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及嫌疑签名相对应地登记在前述签名存储单元内；前述签名登记判定单元在从前述邻接中继装置所接收的签名的生成识别信息已登记在前述签名存储单元内的情况下，还判定与该生成识别信息相对应地登记的中继源信息是否与前述所接收的签名的中继源信息相同；前述签名通信单元在由前述签名登记判定单元判定为前述生成识别信息已登记在前述签名存储单元内，而前述中继源信息相同的情况下，把从前述邻接中继装置所接收的签名改写登记在前述签名存储单元内，并把该签名发送到由登记在前述签名存储单元内的中继目的地信息表示的其他邻接中继装置。
10.根据权利要求9所述的中继装置，其特征在于，前述签名通信单元在由前述签名登记判定单元判定为前述中继源信息不相同的情况下，把表示该签名已登记的已登记通知返送到作为前述签名的中继源的邻接中继装置，而且在从其他邻接中继装置接收到该已登记通知的情况下，从存储在前述签名存储单元内的中继目的地信息中删除与该邻接中继装置对应的中继目的地信息。
11.一种网络攻击防御系统，包含多个中继装置，该多个中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，前述中继装置具有攻击有无判定单元，其对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送单元，其在由前述攻击有无判定单元判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
12.一种网络攻击防御系统，包含多个中继装置，该多个中继装置从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置；其特征在于，前述中继装置具有签名登记判定单元，其判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信单元，其在由前述识别信息判定单元判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
13.一种中继方法，是中继装置中的中继方法，该中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，该中继方法包含攻击有无判定步骤，对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送步骤，在由前述攻击有无判定步骤判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
14.根据权利要求13所述的中继方法，其特征在于，前述攻击有无判定步骤包含数据包数量判定步骤，判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送步骤在由前述数据包数量判定步骤判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
15.根据权利要求14所述的中继方法，其特征在于，前述攻击有无判定步骤还包含连续超过次数判定步骤，在由前述数据包数量判定步骤判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送步骤在由前述连续超过次数判定步骤判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
16.根据权利要求13、14或15所述的中继方法，其特征在于，前述签名发送步骤把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
17.一种中继方法，从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置，其特征在于，该中继方法包含签名登记判定步骤，判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信步骤，在由前述识别信息判定步骤判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
18.根据权利要求17所述的中继方法，其特征在于，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定步骤判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信步骤在由前述签名登记判定步骤判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
19.根据权利要求18所述的中继方法，其特征在于，包含签名生成步骤，根据攻击嫌疑数据包的检测生成签名，并生成该签名的生成识别信息；该签名生成步骤把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
20.一种中继程序，使作为中继装置的计算机执行，该中继装置从邻接中继装置接收用于控制数据包通过的签名，并把该所接收的签名发送到其他邻接中继装置，其特征在于，该中继程序使计算机执行攻击有无判定过程，对满足从前述邻接中继装置所接收的签名的条件的数据包进行监视，判定该数据包有无攻击；以及签名发送过程，在由前述攻击有无判定过程判定为有攻击的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
21.根据权利要求20所述的中继程序，其特征在于，前述攻击有无判定过程使计算机执行数据包数量判定过程，判定满足从前述邻接中继装置所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值；前述签名发送过程在由前述数据包数量判定过程判定为前述单位时间内的数据包数量超过了规定阈值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
22.根据权利要求21所述的中继程序，其特征在于，前述攻击有无判定过程还使计算机执行连续超过次数判定过程，在由前述数据包数量判定过程判定为前述单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值；前述签名发送过程在由前述连续超过次数判定过程判定为超过了规定值的情况下，把从前述邻接中继装置所接收的签名发送到前述其他邻接中继装置。
23.根据权利要求20、21或22所述的中继程序，其特征在于，前述签名发送过程把前述签名发送到所有邻接中继装置中除了发送了前述签名的邻接中继装置以外的其他邻接中继装置。
24.一种中继程序，使作为中继装置的计算机执行，该中继装置从邻接中继装置接收用于控制数据包通过的签名，把该所接收的签名登记在签名存储单元内来控制数据包通过，并把该签名发送到其他邻接中继装置，其特征在于，该中继程序使计算机执行签名登记判定过程，判定从前述邻接中继装置所接收的签名是否已登记在前述签名存储单元内；以及签名通信过程，在由前述识别信息判定过程判定为还未登记的情况下，把从前述邻接中继装置所接收的签名登记在前述签名存储单元内，并把该签名发送到其他邻接中继装置。
25.根据权利要求24所述的中继程序，其特征在于，前述签名存储单元使各签名与用于唯一识别前述签名的生成的生成识别信息相对应地存储；前述签名登记判定过程判定从前述邻接中继装置所接收的签名的生成识别信息是否已登记在前述签名存储单元内；前述签名通信过程在由前述签名登记判定过程判定为前述生成识别信息还未登记在前述签名存储单元内的情况下，把从前述邻接中继装置所接收的签名和生成识别信息登记在前述签名存储单元内，并把该签名和生成识别信息发送到其他邻接中继装置。
26.根据权利要求25所述的中继程序，其特征在于，使计算机执行签名生成过程，根据攻击嫌疑数据包的检测生成签名，并生成该签名的生成识别信息；该签名生成过程把前述签名和生成识别信息发送到邻接中继装置，并把用于指定作为该中继目的地的邻接中继装置的中继目的地信息、前述生成识别信息以及签名相对应地登记在前述签名存储单元内。
全文摘要
中继装置(10)在从邻接中继装置接收到签名时，判定满足所接收的签名的条件的单位时间内的数据包数量是否超过了规定阈值。然后，中继装置(10)在判定为单位时间内的数据包数量超过了规定阈值的情况下，判定连续超过了该规定阈值的次数是否超过了规定值。在该判定结果是判定为连续超过了规定阈值的次数超过了规定值的情况下，中继装置(10)把从邻接中继装置所接收的签名发送到除了该邻接中继装置以外的其他邻接中继装置。
文档编号H04L12/66GK1910878SQ20058000312
公开日2007年2月7日 申请日期2005年9月20日 优先权日2004年10月12日
发明者濑林克启, 仓上弘, 副岛裕司, 陈逸华, 冨士仁 申请人:日本电信电话株式会社