16:00 CETの火曜日 19.11.2019のメンテナンス理由で数時間使用できません
国際・国内特許データベース検索
このアプリケーションの一部のコンテンツは現時点では利用できません。
このような状況が続く場合は、にお問い合わせくださいフィードバック & お問い合わせ
1. (WO2006040892) サービス不能攻撃防御方法、サービス不能攻撃防御システム、サービス不能攻撃防御装置、中継装置、サービス不能攻撃防御プログラムおよび中継装置用プログラム
注意: このテキストは、OCR 処理によってテキスト化されたものです。法的な用途には PDF 版をご利用ください。

請求の範囲

[1] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在するゲート装置若しくは前記中継装置で前記通信機器に対するサービス 不能攻撃を防御するサービス不能攻撃防御方法であって、

前記ネットワーク上に所在する正当な装置が非攻撃パケットの送信元を示す正規ァ ドレス情報を発行し、前記ゲート装置が前記正当な装置が発行した正規アドレス情報 に基づいて前記通信機器へ攻撃をおこなうパケットの通過を制限する

ことを特徴とするサービス不能攻撃防御方法。

[2] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在するゲート装置若しくは前記中継装置で前記通信機器に対するサービス 不能攻撃を防御するサービス不能攻撃防御方法であって、

前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を前記ゲート装置が取得する正規アドレス情報取得工程 と、

前記正規アドレス情報取得工程により取得された正規アドレス情報に基づいて前 記ゲート装置が非攻撃パケットの条件を示す正規条件情報を生成する正規条件情 報生成工程と、

前記ゲート装置が前記ネットワークから受信したパケットのうち前記正規条件情報 生成工程により生成された正規条件情報に示された条件に適合するパケットの通過 を許容しつつ、前記通信機器へ攻撃をおこなうパケットの通過を制限するパケット制 限工程と

を含んだことを特徴とする請求項 1に記載のサービス不能攻撃防御方法。

[3] 前記正規アドレス情報取得工程は、前記ゲート装置が前記中継装置に対して自装 置のアドレス情報を通知するアドレス情報通知工程と、前記中継装置が前記正当な 装置からの正規アドレス情報を受信した場合に、前記アドレス情報通知工程により通 知された前記アドレス情報に基づいて当該正規アドレス情報を前記ゲート装置に対 して中継する正規アドレス情報中継工程と、前記ゲート装置が前記正規アドレス情報 を受信する受信工程とを含んだことを特徴とする請求項 2に記載のサービス不能攻 撃防御方法。

[4] 前記アドレス情報通知工程は、前記ゲート装置のアドレス情報を通知された中継装 置が隣接する他の中継装置に前記ゲート装置のアドレス情報を中継し、前記正規ァ ドレス情報中継工程は、前記他の中継装置が前記正当な装置からの正規アドレス情 報を受信した場合に、前記ゲート装置のアドレス情報に基づいて隣接する中継装置 若しくは前記ゲート装置に前記正規アドレス情報を中継することを特徴とする請求項 3に記載のサービス不能攻撃防御方法。

[5] 前記正規アドレス情報取得工程は、正規アドレス情報を一括管理する正規アドレス 情報提供装置が前記正規アドレス情報を各正当な装置から受信して格納する正規 アドレス情報格納工程と、前記正規アドレス情報提供装置が前記ゲート装置から前 記正規アドレス情報の送信要求を受け付けた場合に、送信要求された正規アドレス 情報を前記ゲート装置に対して通知する正規アドレス情報通知工程と、前記ゲート装 置が前記正規アドレス情報を受信する受信工程とを含んだことを特徴とする請求項 2 に記載のサービス不能攻撃防御方法。

[6] 前記正規アドレス情報取得工程は、アドレスを発行するアドレス発行装置若しくは 正当な認証を受けた通信機器により送信された前記正規アドレス情報を前記ゲート 装置が取得することを特徴とする請求項 2〜5のいずれか一つに記載のサービス不 能攻撃防御方法。

[7] 前記ゲート装置が前記ネットワークから受信されたパケットによる攻撃を検知する攻 撃検知工程と、前記攻撃検知工程により攻撃が検知されたパケットの特徴を表す容 疑シグネチヤを生成する容疑シグネチヤ生成工程と、前記正規条件情報生成工程に より生成された正規条件情報を正規条件情報記憶部に格納する正規条件情報格納 工程と、前記容疑シグネチヤ生成工程により生成された容疑シグネチヤに該当する パケットのうち、前記正規条件情報に示された条件に適合するパケットの特徴を表す 正規シグネチヤを生成する正規シグネチヤ生成工程とをさらに含み、前記パケット制 限工程は、前記容疑シグネチヤ生成工程により生成された容疑シグネチヤおよび前 記正規シグネチヤ生成工程により生成された正規シグネチヤに基づいて前記ネットヮ 一タカ受信したパケットの通過を制限することを特徴とする請求項 2に記載のサー ビス不能攻撃防御方法。

[8] 前記容疑シグネチヤ生成工程により生成された容疑シグネチヤおよび前記正規シ グネチヤ生成工程により生成された正規シグネチヤを前記ゲート装置が前記中継装 置に通知するシグネチヤ通知工程と、前記中継装置が前記シグネチヤ通知工程によ り通知された容疑シグネチヤおよび正規シグネチヤに基づいてパケットの通過を制限 制御するパケット制限制御工程とをさらに含んだことを特徴とする請求項 7に記載の サービス不能攻撃防御方法。

[9] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在するゲート装置若しくは前記中継装置で前記通信機器に対するサービス 不能攻撃を防御するサービス不能攻撃防御方法であって、

前記ネットワークから受信されたパケットによる攻撃を前記ゲート装置が検知する攻 撃検知工程と、

前記攻撃検知工程により前記通信機器への攻撃が検知された場合に、前記ネット ワーク上に所在する正当な装置力受信した非攻撃パケットの送信元を示す正規ァ ドレス情報を前記ゲート装置が前記中継装置から取得する正規アドレス情報取得ェ 程と、

前記中継装置から受け取った正規アドレス情報から生成された非攻撃パケットの条 件を示す正規条件情報に基づいてパケットの通過制御を前記ゲート装置がおこなう 通過制御工程とを含んだことを特徴とする請求項 1に記載のサービス不能攻撃防御 方法。

[10] 前記攻撃検知工程により攻撃が検知されたパケットの特徴を表す容疑シグネチヤを 前記ゲート装置が生成する容疑シグネチヤ生成工程をさらに含み、

前記正規アドレス情報取得工程は、

前記容疑シグネチヤ生成工程により生成された容疑シグネチヤを前記中継装置に 送信し、その結果返信された正規アドレス情報を取得することを特徴とする請求項 9 に記載のサービス不能攻撃防御方法。

[11] 前記通過制御工程は、前記正規アドレス情報取得工程により取得された正規アド レス情報に基づいて非攻撃パケットの条件を示す正規条件情報を生成する正規条 件情報生成工程と、前記ネットワークから受信したパケットのうち前記正規条件情報 生成工程により生成された正規条件情報に示された条件に適合するパケットの通過 を許容しつつ、前記通信機器へ攻撃をおこなうパケットの通過を制限するパケット制 限工程とを含んだことを特徴とする請求項 10に記載のサービス不能攻撃防御方法。

[12] 前記容疑シグネチヤ生成工程により生成された容疑シグネチヤに該当するパケット のうち、前記正規条件情報生成工程により生成された正規条件情報に示される条件 に適合するパケットの特徴を表す正規シグネチヤを生成する正規シグネチヤ生成ェ 程をさらに含み、

前記パケット制限工程は、前記容疑シグネチヤ生成工程により生成された容疑シグ ネチヤおよび前記正規シグネチヤ生成工程により生成された正規シグネチヤに基づ いて前記ネットワーク力も受信したパケットの通過を制限することを特徴とする請求項 11に記載のサービス不能攻撃防御方法。

[13] 前記正規シグネチヤ生成工程により生成された正規シグネチヤを前記ゲート装置が 前記中継装置に転送するシグネチヤ転送工程をさらに含んだことを特徴とする請求 項 12に記載のサービス不能攻撃防御方法。

[14] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在するゲート装置若しくは前記中継装置で前記通信機器に対するサービス 不能攻撃を防御するサービス不能攻撃防御システムであって、

前記ゲート装置は、

前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を取得する正規アドレス情報取得手段と、

前記正規アドレス情報取得手段により取得された正規アドレス情報に基づいて非 攻撃パケットの条件を示す正規条件情報を生成する正規条件情報生成手段と、 前記ネットワークから受信したパケットのうち前記正規条件情報生成手段により生成 された正規条件情報に示された条件に適合するパケットの通過を許容しつつ、前記 通信機器へ攻撃をおこなうパケットの通過を制限するパケット制限手段と

を備えたことを特徴とするサービス不能攻撃防御システム。

[15] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在するゲート装置若しくは前記中継装置で前記通信機器に対するサービス 不能攻撃を防御するサービス不能攻撃防御システムであって、

前記ゲート装置は、

前記ネットワークから受信されたパケットによる攻撃を検知する攻撃検知手段と、 前記攻撃検知手段により前記通信機器への攻撃が検知された場合に、前記ネット ワーク上に所在する正当な装置力受信した非攻撃パケットの送信元を示す正規ァ ドレス情報を前記中継装置から取得する正規アドレス情報取得手段と、

前記中継装置から受け取った正規アドレス情報から生成された非攻撃パケットの条 件を示す正規条件情報に基づいてパケットの通過制御をおこなう通過制御手段とを 備えたことを特徴とするサービス不能攻撃防御システム。

[16] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在し、前記通信機器に対するサービス不能攻撃を防御するゲート装置であ つて、

前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を取得する正規アドレス情報取得手段と、

前記正規アドレス情報取得手段により取得された正規アドレス情報に基づいて非 攻撃パケットの条件を示す正規条件情報を生成する正規条件情報生成手段と、 前記ネットワークから受信したパケットのうち前記正規条件情報生成手段により生成 された正規条件情報に示された条件に適合するパケットの通過を許容しつつ、前記 通信機器へ攻撃をおこなうパケットの通過を制限するパケット制限手段と

を備えたことを特徴とするゲート装置。

[17] 前記正規アドレス情報取得手段は、前記中継装置に対して自装置のアドレス情報 を通知するアドレス情報通知手段と、前記アドレス情報通知手段により通知した自装 置のアドレス情報に応答して前記中継装置が返送した前記正当な装置からの正規ァ ドレス情報を受信する受信手段とを備えたことを特徴とする請求項 16に記載のゲート 装置。

[18] 前記正規アドレス情報取得手段は、正規アドレス情報を一括管理する正規アドレス 情報提供装置に対して前記正規アドレス情報の送信要求をおこなう正規アドレス情 報送信要求手段と、前記正規アドレス情報の送信要求に応答して返送された正規ァ ドレス情報を受信する受信手段とを備えたことを特徴とする請求項 17に記載のゲート 装置。

[19] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在し、前記通信機器に対するサービス不能攻撃を防御するゲート装置であ つて、

前記ネットワークから受信されたパケットによる攻撃を検知する攻撃検知手段と、 前記攻撃検知手段により前記通信機器への攻撃が検知された場合に、前記ネット ワーク上に所在する正当な装置力受信した非攻撃パケットの送信元を示す正規ァ ドレス情報を前記中継装置から取得する正規アドレス情報取得手段と、

前記中継装置から受け取った正規アドレス情報から生成された非攻撃パケットの条 件を示す正規条件情報に基づいてパケットの通過制御をおこなう通過制御手段とを 備えたことを特徴とするゲート装置。

[20] 前記攻撃検知手段により攻撃が検知されたパケットの特徴を表す容疑シグネチヤを 生成する容疑シグネチヤ生成手段をさらに備え、

前記正規アドレス情報取得手段は、

前記容疑シグネチヤ生成手段により生成された容疑シグネチヤを前記中継装置に 送信し、その結果返信された正規アドレス情報を取得することを特徴とする請求項 19 に記載のゲート装置。

[21] 前記通過制御手段は、前記正規アドレス情報取得手段により取得された正規アド レス情報に基づいて非攻撃パケットの条件を示す正規条件情報を生成する正規条 件情報生成手段と、前記ネットワークから受信したパケットのうち前記正規条件情報 生成手段により生成された正規条件情報に示された条件に適合するパケットの通過 を許容しつつ、前記通信機器へ攻撃をおこなうパケットの通過を制限するパケット制 限手段と備えたことを特徴とする請求項 20に記載のゲート装置。

[22] サービス不能攻撃対象となる通信機器に対するサービス不能攻撃を防御するゲー ト装置および Zまたはネットワークを形成する一または複数の中継装置と接続された 中継装置であって、

前記ゲート装置のアドレス情報を取得するアドレス情報取得手段と、 前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を受信した際に、前記アドレス情報取得手段により取得さ れたアドレス情報に基づいて、前記ゲート装置または隣接する他の中継装置に前記 正規アドレス情報を中継する正規アドレス情報中継手段と

を備えたことを特徴とする中継装置。

[23] サービス不能攻撃対象となる通信機器に対するサービス不能攻撃を防御するゲー ト装置および Zまたはネットワークを形成する一または複数の中継装置と接続された 中継装置であって、

前記ネットワークに所在する正当な装置力受信した非攻撃パケットの送信元を示 す正規アドレス情報を記憶する正規アドレス情報記憶手段と、

前記ゲート装置により前記通信機器への攻撃が検知された場合に、前記正規アド レス情報記憶手段に記憶した正規アドレス情報を当該ゲート装置に転送する転送手 段と

を備えたことを特徴とする中継装置。

[24] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在し、前記通信機器に対するサービス不能攻撃を防御するゲート装置に用 いるゲート装置用プログラムであって、

前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を取得する正規アドレス情報取得手順と、

前記正規アドレス情報取得手順により取得された正規アドレス情報に基づいて非 攻撃パケットの条件を示す正規条件情報を生成する正規条件情報生成手順と、 前記ネットワークから受信したパケットのうち前記正規条件情報生成手順により生成 された正規条件情報に示された条件に適合するパケットの通過を許容しつつ、前記 通信機器へ攻撃をおこなうパケットの通過を制限するパケット制限手順と

をコンピュータに実行させることを特徴とするゲート装置用プログラム。

[25] 前記正規アドレス情報取得手順は、前記中継装置に対して自装置のアドレス情報 を通知するアドレス情報通知手順と、前記アドレス情報通知手順により通知した自装 置のアドレス情報に応答して前記中継装置が返送した前記正当な装置からの正規ァ ドレス情報を受信する受信手順とを含んだことを特徴とする請求項 24に記載のゲート 装置用プログラム。

[26] 前記正規アドレス情報取得手順は、正規アドレス情報を一括管理する正規アドレス 情報提供装置に対して前記正規アドレス情報の送信要求をおこなう正規アドレス情 報送信要求手順と、前記正規アドレス情報の送信要求に応答して返送された正規ァ ドレス情報を受信する受信手順とを含んだことを特徴とする請求項 24に記載のゲート 装置用プログラム。

[27] ネットワークの一部を形成する中継装置とサービス不能攻撃対象となる通信機器と の間に介在し、前記通信機器に対するサービス不能攻撃を防御するゲート装置に用 いるゲート装置用プログラムであって、

前記ネットワークから受信されたパケットによる攻撃を検知する攻撃検知手順と、 前記攻撃検知手順により前記通信機器への攻撃が検知された場合に、前記ネット ワーク上に所在する正当な装置力受信した非攻撃パケットの送信元を示す正規ァ ドレス情報を前記中継装置力取得する正規アドレス情報取得手順と、

前記中継装置から受け取った正規アドレス情報から生成された非攻撃パケットの条 件を示す正規条件情報に基づいてパケットの通過制御をおこなう通過制御手順と をコンピュータに実行させることを特徴とするゲート装置用プログラム。

[28] 前記攻撃検知手順により攻撃が検知されたパケットの特徴を表す容疑シグネチヤを 生成する容疑シグネチヤ生成手順をさらに含み、

前記正規アドレス情報取得手順は、

前記容疑シグネチヤ生成手順により生成された容疑シグネチヤを前記中継装置に 送信し、その結果返信された正規アドレス情報を取得することを特徴とする請求項 27 に記載のゲート装置用プログラム。

[29] 前記通過制御手順は、前記正規アドレス情報取得手順により取得された正規アド レス情報に基づいて非攻撃パケットの条件を示す正規条件情報を生成する正規条 件情報生成手順と、前記ネットワークから受信したパケットのうち前記正規条件情報 生成手順により生成された正規条件情報に示された条件に適合するパケットの通過 を許容しつつ、前記通信機器へ攻撃をおこなうパケットの通過を制限するパケット制 限手順とを含んだことを特徴とする請求項 28に記載のゲート装置用プログラム。

[30] サービス不能攻撃対象となる通信機器に対するサービス不能攻撃を防御するゲー ト装置および Zまたはネットワークを形成する一または複数の中継装置と接続された 中継装置に用いる中継装置用プログラムであって、

前記ゲート装置のアドレス情報を取得するアドレス情報取得手順と、

前記ネットワーク上に所在する正当な装置により送信された非攻撃パケットの送信 元を示す正規アドレス情報を受信した際に、前記アドレス情報取得手順により取得さ れたアドレス情報に基づいて、前記ゲート装置または隣接する他の中継装置に前記 正規アドレス情報を中継する正規アドレス情報中継手順と

をコンピュータに実行させることを特徴とする中継装置用プログラム。

[31] サービス不能攻撃対象となる通信機器に対するサービス不能攻撃を防御するゲー ト装置および Zまたはネットワークを形成する一または複数の中継装置と接続された 中継装置に用いる中継装置用プログラムであって、

前記ネットワークに所在する正当な装置力受信した非攻撃パケットの送信元を示 す正規アドレス情報を記憶する正規アドレス情報記憶手順と、

前記ゲート装置により前記通信機器への攻撃が検知された場合に、前記正規アド レス情報記憶手順に記憶した正規アドレス情報を当該ゲート装置に転送する転送手 順と

をコンピュータに実行させることを特徴とする中継装置用プログラム。