防御设备、防御方法、防御程序以及网络攻击防御系统的制作方法

专利名称：防御设备、防御方法、防御程序以及网络攻击防御系统的制作方法
技术领域：
本发明涉及防御设备、防御方法、防御程序、以及网络攻击防御系统，用于将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器，以控制所述恶意分组的通过。
背景技术：
传统上，已知如下网络攻击防御系统，其包括对网络上的遭受拒绝服务(DoS)攻击或者分布式拒绝服务(DDoS)攻击的服务器进行防护的防御设备，以及多个对发送到服务器的分组进行中继的路由器。例如，在专利文献1(美国专利申请公开第2002/0083175号的说明书)中公开的网络攻击防御系统中，当检测到对服务器的攻击时，防御设备将用于使分组经由自身装置进行路由的路由信息通知给预定路由器，由此对经由该自身装置而路由的分组进行过滤，并且将经过滤的分组转发到服务器。
具体地参照图13说明该处理。图13是根据传统技术的网络攻击防御系统的说明图。如图13所示，例如，如果通信终端(攻击者)94正在攻击服务器92(受害者)，那么，当攻击检测器95检测到经由路由器83接收分组的服务器92正在被攻击时，攻击检测器95通知防御设备90已经检测到攻击(参见图13的(1)和(2))。当接收到该通知，防御设备90将用于使分组经由自身装置进行路由的路由信息通知给预定路由器93(参见图13中的(3))。另一方面，路由器93基于所接收的路由信息对路由表进行更新，并且根据更新后的路由表对分组进行中继(参见图13中的(4))。即，路由器93将寻址到服务器92的恶意分组转发到防御设备90。从而，防御设备90对从路由器93转发来的恶意分组进行过滤，并且将经过滤的分组经由路由器83转发到服务器92。
专利文献1美国专利申请公开第2002/0083175号的说明书(第10到12页)发明内容本发明要解决的问题然而，在上述传统技术中，例如，如在图13所示的示例中，预先确定仅当检测到对经由路由器83接收分组的服务器92的攻击时，防御设备90才将路由信息通知给路由器93。因此，如果服务器92变成攻击者，则无法防止恶意分组。换言之，在根据传统技术的网络攻击防御系统中，如果恶意分组的流入方向不固定，则无法防止攻击。
在根据传统技术的网络攻击防御系统中，当经防御设备90过滤的分组被转发到路由器93时，在防御设备90与路由器93之间产生分组环路(loop)。此外，在传统技术中，当网络攻击防御系统包括多个防御设备90时，因为预先确定将路由信息通知给路由器93，所以通过最接近恶意分组发送方的防御设备使恶意分组绕过，无法控制恶意分组的通过。此外，仅通过最接近恶意分组发送方的防御设备无法使恶意分组绕过。
本发明是为解决上述问题而实现的。本发明的目的是提供一种防御设备、防御方法、防御程序、以及网络攻击防御系统，其能够在不受恶意分组的流入方向的影响的情况下，防止恶意分组。
解决问题的手段根据权利要求1所述的防御设备基于关于对服务器或者域的攻击的信息，通过将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制。所述防御设备包括中继器选择单元，其基于所述攻击信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；路由信息通知单元，其将用于使恶意分组经由防御设备进行路由的路由信息通知给通过所述中继器选择单元选定的中继器；以及分组控制单元，其对从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
在根据权利要求2所述的防御设备中，中继器选择单元从与防御设备相邻的多个中继器中，除去成为对于受该恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
根据权利要求3所述的防御设备进一步包括攻击信息发送器，其将攻击信息发送给与所述防御设备相邻的另一防御设备。所述中继器选择单元在从另一防御设备接收到关于攻击的信息时，也基于该关于攻击的信息选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
根据权利要求4所述的防御设备进一步包括攻击终止判定单元，其监控从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组，并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止。当攻击终止判定单元判定恶意分组的发送已经终止时，路由信息通知单元将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
根据权利要求5所述的网络攻击防御系统包括多个中继器，其对发送到网络上的服务器或者域的分组进行中继；和防御设备，其基于关于对服务器或者域的攻击的信息，通过将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制。所述防御设备包括中继器选择单元，其基于关于攻击的信息，从与防御设备相邻的多个中继器中选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；路由信息通知单元，其将用于使恶意分组经由防御设备进行路由的路由信息通知给通过中继器选择单元选择的中继器；以及分组控制单元，其对从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
根据权利要求6所述的防御方法，使用了防御设备，所述防御设备基于关于对服务器或者域的攻击的信息，通过将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制。所述防御方法包括基于关于攻击的信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；将用于使恶意分组经由防御设备进行路由的路由信息通知给选择步骤中选择的中继器；以及对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
在根据权利要求7所述的防御方法中，选择步骤包括从与防御设备相邻的中继器中，除去成为关于受恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
根据权利要求8所述的防御方法进一步包括将关于攻击的信息发送给与防御设备相邻的另一防御设备。选择步骤包括当从另一防御设备接收到关于攻击的信息时，也基于关于攻击的信息，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
根据权利要求9所述的防御方法进一步包括对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组进行监控；并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止。当判定恶意分组的发送已经终止时，通知步骤包括将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
根据权利要求10所述的防御程序用于实现使用防御设备的防御方法，所述防御设备基于关于对服务器或者域的攻击的信息，通过将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制。所述防御程序使计算机作为防御设备执行以下步骤基于关于攻击的信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为使恶意分组经由防御设备进行路由的路由信息的通知目的地；将用于使恶意分组经由防御设备进行路由的路由信息通知给选择步骤中选择的中继器；以及对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
在根据权利要求11所述的防御程序中，选择步骤包括从与防御设备相邻的中继器中，除去成为关于受恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
根据权利要求12所述的防御程序进一步使得计算机执行将关于攻击的信息发送给与防御设备相邻的另一防御设备。选择步骤包括当从另一防御设备接收到关于攻击的信息时，也基于关于攻击的信息选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
根据权利要求13所述的防御程序进一步使得计算机执行对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组进行监控；并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止。当判定恶意分组的发送已经终止时，通知步骤包括将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
发明效果根据权利要求1、5、6或者10所述的本发明，通过考虑恶意分组的流入方向，选择一中继器，该中继器成为用于使恶意分组经由自身装置进行路由的路由信息通知目的地，以对从选定中继器路由到所述自身装置的恶意分组的通过进行控制。因此，在不受恶意分组的流入方向影响的情况下，可实现对恶意分组的防御。
根据权利要求2、7或者11所述的本发明，将路由信息通知给除了作为相对于受攻击服务器或者域的下一中继目的地的中继器之外的另一中继器，并且将从所述另一中继器路由的分组中继到作为相对于受攻击服务器或者域的下一中继目的地的所述中继器。从而，可以防止生成分组环路。
根据权利要求3、8或者12所述的本发明，所述防御设备将攻击信息发送到与自身装置相邻的另一防御设备。此外，即使当从所述另一防御设备接收到攻击信息时，所述防御设备也基于该攻击信息选择一中继器，该中继器成为用于使恶意分组经由自身装置进行路由的路由信息的通知目的地，来对从选定中继器路由到所述自身装置的恶意分组的通过进行控制。从而，通过接近攻击源的防御设备可以实现对攻击的防御。
根据权利要求4、9或者13所述的本发明，当完成了从所述中继器路由到所述自身装置的恶意分组的发送时，将用于使恶意分组不经由所述自身装置进行路由的路由信息再次通知给所述中继器。从而，可以有效地交替经由防御设备的恶意分组的绕过。


图1是根据第一实施例的网络攻击防御系统的配置图；图2是根据第一实施例的防御设备的配置框图；图3是可疑签名(signature)的示例；图4是正常条件信息的示例；图5是非法业务量检测条件的示例；图6是接收攻击信息时的处理过程的流程图；图7是检测非法分组时的处理过程的流程图；图8是控制分组时的处理过程的流程图；图9是根据第二实施例的网络攻击防御系统的配置图；图10是根据第二实施例的防御设备的配置框图；图11是接收攻击信息时的处理过程的流程图；图12是判定攻击终止的处理过程的流程图；以及图13是根据传统技术的网络攻击防御系统的说明图。
标号说明10、60防御设备11网络接口12分组控制器13、63攻击信息处理器14中继器选择器15路由信息通知单元
16分组获得单元17、67攻击检测模块20服务器30中继器40通信终端50检测器83路由器95攻击检测器100、200网络攻击防御系统具体实施方式
下面参照附图详细说明根据本发明的防御设备、防御方法、防御程序、以及网络攻击防御系统的实施例。作为第一实施例，说明通过一个防御设备防止攻击的网络攻击防御系统；随后作为第二实施例，说明通过多个防御设备防止攻击的网络攻击防御系统。最后，作为第三实施例，说明第一实施例和第二实施例的各种变形例。
第一实施例根据第一实施例，首先说明通过一个防御设备防止攻击的网络攻击防御系统的概况和特性，随后说明所述防御设备的配置和处理，以及第一实施例的效果。
参照图1说明根据第一实施例的网络攻击防御系统的概况和特性。图1是根据第一实施例的网络攻击防御系统的配置图。
如图1中所示，网络攻击防御系统100在网络上包括防御设备10，当检测到对网络上的服务器20的DoS攻击或者DDoS攻击时，其防护服务器20免受攻击；和多个中继器30，其对发送到服务器20的分组进行中继。服务器20和通信终端40连接到网络，并且在网络上提供有对服务器20遭到攻击进行检测的检测器50。
中继器30可用作例如路由器或者网桥。将图1中示出的各中继器30彼此区分为中继器30-1和中继器30-2，并且将各服务器20彼此区分为服务器20-1和服务器20-2。
在网络攻击防御系统100中，将列出分组地址的路由表登记在防御设备10和中继器30中。作为登记路由表的方法，例如可以依照诸如开放最短路径优先(OSPF)、路由信息协议(RIP)、或者边界网关协议(BGP)等已知路由协议来登记。
当通信终端40将分组正常发送到服务器20-1时，所发送的分组根据中继器30-1和30-2的各路由表，经由中继器30-2和30-1中继到服务器20-1，而不通过防御设备10进行中继。
当通信终端40是攻击者，并且用于攻击的恶意分组被发送到服务器20-1时，检测器50检测到对服务器20-1的攻击且将表示检测到攻击的攻击信息发送到防御设备10(参见图1的(1)和(2))。受攻击的服务器20-1的地址等包括在攻击信息里。检测器50和防御设备10可以连接到用于控制检测器50、防御设备10等的控制网络，并且攻击信息可经由该控制网络转发。
另一方面，接收到从检测器50发送来的攻击信息的防御设备10基于所接收的攻击信息，选择作为用于使恶意分组经由自身装置进行路由的路由信息的通知目的地的中继器30(参见图1的(3))。根据第一实施例的网络攻击防御系统100的主要特征在于通过考虑恶意分组的流入方向来选择中继器，这样使得能够在不受恶意分组的流入方向影响的情况下防御恶意分组。
换言之，防御设备10根据攻击信息指定受攻击服务器20；根据路由表确定如下中继器30，该中继器30成为对于包括受攻击服务器20的地址在内的分组的下一中继目的地；并且从与防御设备10相邻的多个中继器30中选择除了作为下一中继目的地的中继器30之外的中继器30作为通知目的地。例如，在图1所示的示例中，当根据攻击信息指定受攻击的服务器20-1时，防御设备10根据路由表确定中继器30-1是对于所指定的服务器20-1的下一中继目的地，并且从与防御设备10相邻的中继器30-1和30-2中排除中继器30-1，选择中继器30-2作为通知目的地。
在选择中继器30之后，防御设备10将用于使恶意分组经由自身装置进行路由的路由信息通知给选定中继器30-2(参见图1中的(4))，并且中继器30-2基于所通知的路由信息更改路由表(参见图1的(5))。从而，中继器30-2将寻址到服务器20-1的恶意分组中继到防御设备10。即，将恶意分组经由中继器30-2、防御设备10以及中继器30-1中继到服务器20-1。
防御设备10基于攻击信息控制从中继器30-2中继的恶意分组的通过，并且对寻址到服务器20-1的分组进行中继。如果受害者/对象不是服务器20，而是特定域，则将寻址到该域的恶意分组中继到防御设备10。当通过监控恶意分组，判定了来自通信终端40的攻击已经结束时，防御设备10将用于使寻址到服务器20-1的分组不经由自身装置进行路由的路由信息通知给中继器30-2，并且已经接收到路由信息的中继器30-2基于被通知的路由信息更改路由表。
接着说明图1所示的防御设备10的配置。图2是根据第一实施例的防御设备10的配置框图。如图2所示，防御设备10包括网络接口11、分组控制器12、攻击信息处理器13、中继器选择器14、路由信息通知单元15、分组获得单元16以及攻击检测模块17。
防御设备10包括中央处理单元(CPU)、存储器、硬盘等，并且分组控制器12、攻击信息处理器13、中继器选择器14、路由信息通知单元15、分组获得单元16、以及攻击检测模块17可以是通过CPU处理的程序模块。该程序模块可以通过一个CPU处理，或者可以分配给多个CPU进行处理。
分组控制器12对应于权利要求中所述的“分组控制单元”；中继器选择器14对应于“中继器选择单元”；并且路由信息通知单元15对应于“路由信息通知单元”。
在图2中，网络接口11在连接到网络的各种通信设备之间转发分组、攻击信息等。具体地，网络接口11由用于连接到诸如局域网(LAN)或者广域网(WAN)等网络的网络连接卡等形成。
分组控制器12中记录有关于分组的地址的路由表，并且根据所述路由表对接收的分组进行中继。分组控制器12还有具有执行分组过滤的过滤单元(未示出)，并且控制通过网络接口11接收的分组的通过，并将允许通过的分组输出到网络接口11。稍后将参照图8详细说明分组过滤。
当检测器50检测到DoS攻击或者DDoS攻击时，攻击信息处理器13接收到表示检测到攻击的攻击信息。除了受攻击服务器20的地址之外，用于控制分组通过的签名等也可包括在攻击信息中。即，攻击信息处理器13可以接收用于限制关于攻击的可疑分组的可疑签名或者正常条件信息。
参照图3说明可疑签名。图3是可疑签名的示例。如图3所示，可疑签名由表示可疑分组的检测条件的信息形成。具体地，例如，图3所示的可疑签名No.1是由如下检测属性的组合形成的，即“目的地IP地址”是“192.168.1.1/32”(dst＝192.168.1.1/32)，表示IP上层(TCP或者UDP)中的协议类型的“协议”是“TCP”(协议＝TCP)，以及表示与IP上层中的协议所属的应用有关的信息的“目的地端口(目的地端口号)”是“80”(端口＝80)。
图3所示的可疑签名No.2是由如下检测属性的组合形成的，即“目的地IP地址”是“192.168.1.2/32”(dst＝192.168.1.2/32)，和“协议”是“用户数据报协议(UDP)”(协议＝UDP)。同样地，可疑签名No.3是由如下检测属性的组合形成的，即“目的地IP地址”是“192.168.1.0/24”。由攻击信息处理器13接收的可疑签名记录在分组控制器12中的过滤单元中，并且用于对分组的通过进行控制。
参照图4说明由攻击信息处理器13接收的正常条件信息，即，表示从合法用户使用的终端发送来的分组的正常条件信息。图4是正常条件信息的示例。如图4所示，正常条件信息是由多个包括成对的IP分组中的属性和属性值在内的记录形成的。使用编号来便于指定记录(模式)。
具体地，记录No.1的检测属性指定IP的“源IP地址”是“172.16.10.0/24”(src＝172.16.10.0/24)，并且记录No.2的检测属性指定“服务类型”(表示IP上的服务质量)是“01(十六进制)”(TOS＝0x01)。对于正常条件，例如，设置作为防御对象的服务器20等的源IP地址(诸如操作该服务器的公司的分公司或者附属公司)，以及识别容纳有服务器20的LAN的拥有者是正常用户的网络的源IP地址。攻击检测模块17参照正常条件，针对正常条件的全部记录中的每一个，与可疑签名进行“与”计算，并且将结果指定为正常签名。
在图2中，中继器选择器14基于通过攻击信息处理器13接收的攻击信息，从网络上的中继器30中选择至少一个中继器30，该中继器30成为用于使恶意分组经由自身装置进行路由的路由信息的通知目的地。具体地，中继器选择器14根据攻击信息指定受攻击的服务器20，根据路由表确定中继器30，该中继器30成为对于包括受攻击的服务器20的地址在内的分组的下一中继目的地；并且从与防御设备10相邻的中继器中选择除了作为下一中继目的地的中继器30以外的中继器30作为通知目的地。
例如，在图1所示的示例中，当根据攻击信息指定受攻击的服务器20-1时，中继器选择器14根据路由表确定中继器30-1作为对于寻址到所指定的服务器20-1的分组的下一中继目的地，并且从与防御设备10相邻的中继器30-1和30-2中选择除了中继器30-1的中继器30-2作为通知目的地。另一方面，在图1中，当指定了受服务器20-2攻击的通信终端40时，中继器选择器14根据路由表确定中继器30-2作为相对于寻址到所指定的通信终端40的分组的下一中继目的地，并且从与防御设备10相邻的中继器30-1和30-2中选择除了中继器30-2的中继器30-1作为通知目的地。
路由信息通知单元15将用于使待发送到受害者/对象的分组经由防御设备10进行路由的路由信息通知给由中继器选择器14选择的中继器30。具体地，在上述示例中，当根据攻击信息指定受攻击的服务器20-1时，路由信息通知单元15将用于使待发送到服务器20-1的分组经由防御设备10进行路由的路由信息发送给中继器30-2。路由信息包括受害者/对象的IP地址、网络地址等。例如，路由信息通知单元15可以按照BGP将路由信息通知给选定中继器30。
分组获得单元16获得通过网络接口11接收的分组，并且将涉及所获分组的统计的统计信息提供给攻击检测模块17等。
攻击检测模块17基于由分组获得单元16提供的统计信息和通过攻击信息处理器13接收的攻击信息对攻击进行检测或者分析，并且生成正常签名或者非法签名。
在此说明正常签名的生成。当攻击信息处理器13接收到攻击信息时(包括可疑签名和正常条件信息)时，攻击检测模块17参照图4所示的正常条件，针对正常条件的全部记录中的每一个，与可疑签名进行“与”计算，并且将结果指定为正常签名。正常签名用于根据可疑签名对作为正常用户的通信分组的正常分组进行授权。例如，参照图3和4中的示例，通过图3中的记录No.1的条件所检测的分组的可疑签名是[dst＝192.168.1.1/32，协议＝TCP，端口＝80]，并且图4的正常签名是[src＝172.16.10.24，dst＝192.168.1.1/32，协议＝TCP，端口＝80]以及[TOS＝0x01，dst＝192.168.1.1/32，协议＝TCP，端口＝80]。
攻击检测模块17能够检测非法通信，在这种情况下，攻击检测模块17保留非法业务量检测条件来检测非法业务量。参照图5说明非法业务量检测条件。图5是非法业务量检测条件的一个示例。如图5所示，非法业务量条件由已知DDos攻击的多个业务量模式形成。当可疑恶意分组的业务量与所述通信模式之一匹配时，认为该业务量是非法业务量。使用号码来便于指定记录(模式)。
具体地，No.1的非法业务量条件指示“将具有每秒T1千字节或者更大的传输带宽的分组连续发送S1秒或者更长时间”的业务量模式。No.2的非法业务量条件指示“将具有每秒T2千字节或者更大的传输带宽的基于因特网控制消息协议(ICMP)的回显应答(Echo Reply)消息分组连续发送S2秒或者更长时间”的业务量模式。此外，No.3的非法业务量条件指示“将具有每秒T3千字节或者更大的传输带宽的分片分组(表示由于包括在分组中的数据过长，而将数据分割成多个IP分组并且发送)连续发送S3秒或者更长时间”的业务量模式。
当攻击检测模块17已经检测到与图4所示的非法业务量条件中的任何一个模式相匹配的业务量时，生成用于限制该非法业务量的非法签名。具体地，攻击检测模块17指定满足所检测到的非法通信条件的分组的源IP地址作为非法地址范围，并且生成在非法地址范围内的且与可疑签名相匹配的条件作为非法签名。
由攻击检测模块17生成的正常签名和非法签名，与由攻击信息处理器13接收的可疑签名相同，登记在分组控制器12的过滤单元中，并且用于对分组的通过进行控制。
参照图6说明通过防御设备10接收攻击信息时的操作。图6是在接收到攻击信息时的处理过程的流程图。
如图6所示，当在防御设备10中的攻击信息处理器13接收到从检测器50发送的攻击信息时(步骤S1)，中继器选择器14基于所接收的攻击信息，选择至少一个中继器30作为用于使恶意分组路由通过自身装置的路由信息的通知目的地(步骤S2)。
具体地，在图1所示的示例中，中继器选择器14基于攻击信息指定受到攻击的服务器20-1，根据路由表确定中继器30-1作为关于寻址到所指定的服务器20-1的分组的下一中继目的地，并且从与防御设备10相邻的中继器30-1和30-2中选择除了中继器30-1之外的中继器30-2作为通知目的地。
此后，防御设备10中的路由信息通知单元15将用于使待发送到受害者/对象的分组经由防御设备10进行路由的路由信息通知给在步骤S2中通过中继器选择器14选择的中继器30(步骤S3)。具体地，在此示例中，路由信息通知单元15将用于使待发送到服务器20-1的分组经由防御设备10进行路由的路由信息发送给中继器30-2。
随后，攻击检测模块17基于包括在攻击信息中的可疑签名和正常条件信息生成正常签名(步骤S4)，并且将包括在攻击信息中的可疑签名和在步骤S4中生成的正常签名登记在分组控制器12中(过滤单元)(步骤S5)。
根据步骤S3的处理已经接收到路由信息的中继器30-2基于所通知的路由信息更改路由表，由此将寻址到服务器20-1的恶意分组中继到防御设备10。防御设备10对寻址到服务器20-1的分组进行中继，同时基于攻击信息对从中继器30-2中继来的恶意分组的通过进行控制。
参照图7说明通过防御设备10检测到非法分组时的操作。图7是检测到非法分组时的处理过程的流程图。
如图7所示，防御设备10中的攻击检测模块17在基于图5所示的非法业务量条件检测到非法业务量时(步骤S11)，生成非法签名(步骤S12)。攻击检测模块17将所生成的非法签名登记在分组控制器12中(过滤单元)(步骤S13)。
参照图8说明通过防御设备10控制分组时的操作。图8是在控制分组时的处理过程的流程图。
如图8所示，当将分组从网络接口11输入时(步骤S21，是)，分组控制器12(过滤单元)判定分组是否与所登记的非法签名相匹配(步骤S22)。当分组与非法签名相匹配时(步骤S22，是)，分组控制器12将分组输入用于对非法分组进行处理的非法队列中(步骤S23)。
相反，当分组与非法签名不匹配时(步骤S22，否)，分组控制器12判定输入的分组是否与所登记的正常签名相匹配(步骤S24)。当分组与正常签名相匹配时(步骤S24，是)，分组控制器12将该分组输入正常用户的正常队列(步骤S25)。
如果分组与正常签名也不匹配(步骤S24，否)，则分组控制器12判定所输入的分组是否与所登记的可疑签名相匹配(步骤S26)。当该分组与可疑签名相匹配时(步骤S26，是)，分组控制器12将该分组输入可疑用户的可疑队列(步骤S27)。相反，如果分组与可疑签名不匹配(步骤S26，否)，则分组控制器12将该分组输入正常队列(步骤S28)。
分组控制器12在不限制传输带宽的情况下从网络接口11输出正常队列中的分组，如果为可疑队列或者非法队列中的分组，则根据各个签名表示的传输带宽限定值限制传输带宽输出。可将多个非法签名、正常签名以及可疑签名中的各个签名以多个号码登记在分组控制器12(过滤单元)中。当所登记的签名的检测属性等满足预定判断标准时，分组控制器12释放满足预定判断标准的签名，终止根据所释放的签名进行分组控制的处理。
根据第一实施例，考虑恶意分组的流入方向选择中继器30，该中继器30成为用于使恶意分组经由自身装置进行路由的路由信息的通知目的地，以控制从选定中继器30路由到自身装置的恶意分组的通过。因此，可以在不受恶意分组的流入方向影响的情况下，实现对恶意分组的防御。
根据第一实施例，将路由信息通知给除了作为关于受攻击服务器20-1(或者域)的下一中继目的地的中继器30-1之外的另一中继器30-2，并且将从中继器30-2路由到自身装置的分组中继到中继器30-2。从而可以防止生成分组环路。
第二实施例在第二实施例中，说明通过多个防御设备防止攻击的网络攻击防御系统的概况和特性，随后说明防御设备的配置、处理，以及第二实施例的效果。
参照图9说明根据第二实施例的网络攻击防御系统的概况和特性。图9是根据第二实施例的网络攻击防御系统的配置图。
如图9所示，网络攻击防御系统200在网络上包括防御设备60，当检测到对服务器20的DoS攻击或者DDoS攻击时，所述防御设备60防御网络上的服务器20免受攻击；和中继器30，其对待发送到服务器20的分组进行中继。服务器20和通信终端40连接到网络，并且在网络上提供有检测服务器20处于攻击下的检测器50。
在组成根据第二实施例的网络攻击防御系统200的元件中，相同的参考标号表示与根据第一实施例的网络攻击防御系统100的部件相同的部件，并且省略其说明。在下文的说明中，将各个中继器30彼此区分为中继器30-1和中继器30-2，并且将各个服务器20彼此区分为服务器20-1和服务器20-2。将各个防御设备60彼此区分为防御设备60-1和防御设备60-2，并且将各个通信终端40彼此区分为通信终端40-1和通信终端40-2。
在网络攻击防御系统200中，指定分组地址的路由表登记在防御设备60和中继器30中。作为用于登记路由表的方法，例如可按照诸如OSPF、RIP或者BGP的已知路由协议进行登记。
当通信终端40-1将分组正常发送到服务器20-1时，所发送的分组根据中继器30-1、30-2和30-3的各路由表，不通过防御设备60中继而经由中继器30-3、30-2以及30-1中继到服务器20-1。
当通信终端40-1是攻击者，并且将用于攻击的恶意分组发送到服务器20-1时，检测器50检测到对服务器20-1的攻击并且将表示检测到攻击的攻击信息发送到防御设备60-1(参见图9中的(1)和(2))。防御设备60可以连接到用于控制防御设备60等的控制网络，并且攻击信息可以经由该控制网络转发。
另一方面，已经接收到从检测器50发送来的攻击信息的防御设备60-1基于所接收的攻击信息，选择中继器30，该中继器30成为用于将恶意分组经由自身装置进行路由的路由信息的通知目的地(参见图9中的(3))。具体地，与第一实施例相同，在已经根据攻击信息指定受攻击服务器20-1后，防御设备60-1根据路由表确定中继器30-1，该中继器30-1成为关于寻址到指定服务器20-1的分组的下一中继目的地；并且从与防御设备60-1相邻的中继器30-1和30-2中选择除中继器30-1之外的中继器30-2作为通知目的地。
选择了中继器30之后，防御设备60-1将用于使恶意分组经由自身装置进行路由的路由信息通知给选定中继器30-2(参见图9的(4))，并且中继器30-2基于所通知的路由信息更改路由表(参见图9的(5))。从而，中继器30-2将寻址到服务器20-1的恶意分组中继到防御设备60-1。即，将恶意分组经由中继器30-3、中继器30-2、防御设备60-1以及中继器30-1中继到服务器20-1。防御设备60-1对寻址到服务器20-1的分组进行中继，同时基于攻击信息对从中继器30-2中继来的恶意分组的通过进行控制。
通过这种方式更改中继器30-2的路由表，并且将恶意分组从中继器30-2中继到防御设备60-1并且进行处理。根据第二实施例的网络攻击防御系统200中的防御设备60的主要特征在于通过基于攻击信息选择预定中继器30来更改路由表，并且也将攻击信息发送到另一相邻防御设备60。
即，防御设备60-1将路由信息通知给中继器30-2，并且随后将攻击信息发送到与防御设备60-1相邻的防御设备60-2(参见图9中的(6))。从而，已经接收到攻击信息的防御设备60-2，与防御设备60-1同样，基于攻击信息选择中继器30，该中继器30成为用于使恶意分组经由自身装置进行路由的路由信息的通知目的地(参见图9中的(7))。具体地，防御设备60-2根据接收的攻击信息指定受攻击的服务器20-1，根据路由表确定中继器30-2作为关于寻址到所指定的服务器20-1的分组的下一中继目的地，并且从与防御设备60-2相邻的中继器30-2和30-3中选择除中继器30-2之外的中继器30-3。
在选择了中继器30之后，防御设备60-2将用于使恶意分组经由自身装置进行路由的路由信息通知给选定中继器30-3(参见图9中的(8))，并且中继器30-3基于被通知的路由信息更改路由表(参见图9中的(9))。从而，中继器30-3将寻址到服务器20-1的恶意分组中继到防御设备60-2。即，将恶意分组经由中继器30-3、防御设备60-2、中继器30-2、防御设备60-1以及中继器30-1中继到服务器20-1。防御设备60-2在对寻址到服务器20-1的分组进行中继的同时，基于攻击信息对所中继的恶意分组的通过进行控制。
如此，更改比中继器30-1更为接近攻击者的中继器30-3的路由表，并且将恶意分组从中继器30-3中继到防御设备60-2并进行处理。根据第二实施例的网络攻击防御系统200中的防御设备60的主要特征在于将攻击信息发送到另一相邻防御设备60，并且还取消了通过中继器30(已经更改路由表)将分组中继到自身装置。
即，防御设备60-2将攻击信息发送到另一相邻防御设备60，并且判定是否已经完成了将恶意分组发送到自身装置(参见图9中的(10))。具体地，在上述示例中，当由于通过防御设备60-2对恶意分组通过的控制，恶意分组在预定时间段内未通过防御设备60-1时，防御设备60-1判定来自通信终端40-1的攻击已经结束。
随后，防御设备60-1将用于不将寻址到服务器20-1的分组经由自身装置进行路由的路由信息通知给已经更改路由表的中继器30-2(参见图9中的(11))，并且中继器30-2基于所通知的路由信息更改路由表(参见图9中的(12))。从而，中继器30-2不将寻址到服务器20-1的恶意分组中继到防御设备60-1，而是将其中继到中继器30-1。即，将恶意分组经由中继器30-3、防御设备60-2、中继器30-2以及中继器30-1中继到服务器20-1。
接下来参照图10说明图9所示的防御设备60的配置。图10是根据第二实施例的防御设备60的配置框图。如图10所示，防御设备60包括网络接口11、分组控制器12、攻击信息处理器63、中继器选择器14、路由信息通知单元15、分组获得单元16以及攻击检测模块67。
分组控制器12对应于权利要求中的“分组控制单元”，攻击信息处理器63对应于“攻击信息发送器”，中继器选择器14对应于“中继器选择单元”，路由信息通知单元15对应于“路由信息通知单元”，并且攻击检测模块67对应于“攻击终止判定单元”。在这些组成根据第二实施例的防御设备60的组件中，相同的参考标记表示与根据第一实施例的防御设备10的部件相同的部件，并且省略其说明。
在图10中，当检测器50检测到DoS攻击或者DDoS攻击时，攻击信息处理器63接收表示检测到攻击的攻击信息，并且将所接收到的攻击信息发送到与自身防御设备60相邻的防御设备。然而，攻击信息处理器63不将攻击信息发送到已经将攻击信息发送到自身防御设备60的相邻中继装置。例如，在图9中所示的网络攻击防御系统200中，如果防御设备60-1已经将攻击信息发送到防御设备60-2，则防御设备60-2中的攻击信息处理器63不将攻击信息再次发送到防御设备60-1，即，已经发送攻击信息的相邻中继装置。
攻击检测模块67除了基于分组获得单元16提供的统计信息和攻击信息处理器18提供的攻击信息，执行对攻击的检测和分析并且生成正常签名和非法签名之外，还判定攻击是否已经结束。具体地，在已经将攻击信息发送到另一相邻防御设备60之后，攻击检测模块67判定是否已经结束了恶意分组到自身装置的发送。在图9所示的示例中，当由于防御设备60-2对恶意分组的通过的控制，恶意分组在预定时间段内未通过防御设备60-1时，防御设备60-1的攻击检测模块67判定已经结束了来自通信终端40-1的攻击。
路由信息通知单元15将用于使待发送到受害者/对象的分组经由自身防御设备进行路由的路由信息通知给通过中继器选择器14选择的中继器30。此外，当攻击检测模块67判定攻击已经结束时，路由信息通知单元15将用于使待发送到受害者/对象的分组不经由自身防御设备进行路由的路由信息通知给通过中继器选择器14选择的中继器30。
参照图11说明通过防御设备60接收到攻击信息时的操作。图11是接收到攻击信息时处理过程的流程图。
如图11所示，当在防御设备60中的攻击信息处理器63接收到从检测器50发送来的攻击信息或者从另一相邻防御设备60发送来的攻击信息时(步骤S31)，中继器选择器14基于所接收的攻击信息，选择至少一个中继器30作为用于将恶意分组经由自身装置进行路由的路由信息的通知目的地(步骤S32)。
具体地，在图9所示的示例中，当防御设备60-1接收到来自检测器50的攻击信息时，中继器选择器14基于攻击信息指定受攻击的服务器20-1，根据路由表确定中继器30-1作为关于寻址到所指定的服务器20-1的分组的下一中继目的地，并且从与防御设备60-1相邻的中继器30-1和中继器30-2中选择除中继器30-1之外的中继器30-2作为通知目的地。
另一方面，当防御设备60-2从防御设备60-1接收到攻击信息时，中继器选择器14基于该攻击信息指定受攻击的服务器20-1，根据路由表确定中继器30-2作为关于寻址到所指定的服务器20-1的分组的下一中继目的地，并且从与防御设备60-2相邻的中继器30-2和中继器30-3中选择除中继器30-2之外的中继器30-3作为通知目的地。
此后，防御设备60中的路由信息通知单元15将用于使待发送到受害者/对象的分组经由防御设备进行路由的路由信息通知给在步骤S32中通过中继器选择器14选择的中继器30(步骤S33)。具体地，在此示例中，防御设备60-1将用于使待发送到服务器20-1的分组经由防御设备60-1进行路由的路由信息发送到中继器30-2，并且防御设备60-2将用于使待发送到服务器20-1的分组经由防御设备60-2进行路由的路由信息发送到中继器30-3。
防御设备60中的攻击检测模块67基于包括在攻击信息中的可疑签名和正常条件信息生成正常签名(步骤S34)，并且将包括在攻击信息中的可疑签名和在步骤S34中生成的正常签名记录在分组控制器12中(过滤单元)(步骤S35)。
防御设备60中的攻击信息处理器63判定与自身装置相邻的防御设备60是否存在(步骤S36)。当存在相邻防御设备60时(步骤S36，是)，攻击信息处理器63将在步骤S31中接收的攻击信息发送到该相邻防御设备(步骤S37)。具体地，在上述示例中，因为存在相邻防御设备60-2，所以防御设备60-1将攻击信息发送到该防御设备60-2。然而，防御设备60-2由于没有相邻防御设备60，所以不发送攻击信息。
已经根据步骤S33中的处理接收到路由信息的中继器30-2和中继器30-3基于所通知的路由信息更改路由表。从而，中继器30-2将寻址到服务器20-1的恶意分组中继到防御设备60-1，并且中继器30-3将寻址到服务器20-1的恶意分组中继到防御设备60-2。防御设备60-1和60-2在控制从中继器30-2和30-3中继来的恶意分组的通过的同时，基于攻击信息对寻址到服务器20-1的分组进行中继。
参照图12说明通过防御设备60执行的攻击终止的判定操作。图12是判定攻击终止的处理过程的流程图。
如图12所示，防御设备60中的攻击检测模块67判定是否已经结束了恶意分组到自身装置的发送(步骤S41)。具体地，在图9所示的示例中，当由于防御设备60-2对恶意分组通过的控制，导致恶意分组在预定时间段内未通过防御设备60-1时，防御设备60-1中的攻击检测模块67判定来自通信终端40-1的攻击已经结束。
防御设备60中的路由信息通知单元15将用于使发送到受害者/对象的分组经由自身装置进行路由的路由信息通知给图11中的步骤S32中选择的中继器30(步骤S42)。具体地，在图9所示的示例中，防御设备60-1将用于使寻址到服务器20-1的分组不经由自身装置进行路由的路由信息通知给之前已经更改了路由表的中继器30-2。
分组控制器12(过滤单元)释放所登记的可疑签名、正常签名等，终止基于所释放签名进行分组通过控制的处理(步骤S43)。即，分组控制器12删除所登记的用于控制寻址到服务器20-1的恶意分组的可疑签名、正常签名等。
根据步骤S42处的处理已经接收到路由信息的中继器30-2基于被通知的路由信息更改路由表。从而，中继器30-2不将寻址到服务器20-1的恶意分组中继到防御设备60-1，而是中继到中继器30-1。因此，将从通信终端40-1发送的恶意分组经由中继器30-3、防御设备60-2、中继器30-2以及中继器30-1中继到服务器20-1。
期望在图12所示的步骤S41中的操作开始于将用于使恶意分组经由防御设备60进行路由的路由信息通知给中继器30之后(例如在图11所示的步骤S33之后)的任选时刻。
根据第二实施例，防御设备60将攻击信息发送到与自身装置(防御设备60)相邻的另一防御设备60。此外，即使从另一防御设备60接收到攻击信息时，防御设备60也基于该攻击信息选择中继器30，使其成为用于将恶意分组经由自身装置进行路由的路由信息的通知目的地，来对从选定中继器30路由到自身装置的恶意分组的通过进行控制。因此，可以通过接近攻击源的防御设备来防止攻击。
根据第二实施例，当已经结束了从中继器30路由到自身装置的恶意分组的发送时，再次将用于使恶意分组不经由自身装置进行路由的路由信息通知给中继器30。从而，可有效地切换通过防御设备60的恶意分组的绕行。
第三实施例虽然已经说明了本发明的实施例，但本发明可以在除了上述实施例之外的各种不同实施例中执行。说明各种不同实施例作为根据第三实施例的网络攻击防御系统。
例如，在上述实施例中，虽然已经说明了其中从与防御设备10(或者60)相邻的多个中继器30中选择一个中继器30的示例，但本发明不限于此。例如，当多个中继器30连接到成为关于受攻击的服务器20的下一中继目的地的中继器30时，可选择所述多个中继器30作为路由信息的通知目的地。
在实施例中图示的设备的各组成部分(例如，图2和10所示的防御设备10和60)是功能概念，并且不必在物理上构成相同结构。换言之，防御设备10和60的分离和集成的特定模式不限于例示的一种，根据各种负载和使用状况，防御设备10和60的全部或者部分可以在功能上或者物理上以任意单位进行分离或者集成。防御设备10和60执行的各种处理功能的全部或者任选部分可以通过CPU或者通过CPU解析和执行的程序来实现，或者可通过布线逻辑实现为硬件。
在实施例中说明的各处理中，被说明为自动执行处理的全部或者部分可手动执行，或者被说明为手动执行处理的全部或者部分可以利用已知方法自动执行。除非另外指定，否则可任意改变上述说明以及图示中的包括处理过程、控制过程、专用名以及各种数据和参数在内的信息(例如，图3中示出的可疑签名、图4中示出的正常条件信息、图5中示出的非法通信条件)。
在上述实施例中，虽然已经说明了通过利用被分为三类(即非法签名、正常签名以及可疑签名)的签名使分组绕行的示例，但本发明不限于此。例如，通过使用单个签名或者使用被分类为上述三类之外的其它类型的签名也可使分组绕行。此外，可不使用签名本身，例如通过使用指示绕行的指令信息使分组绕行。
在上述实施例中，虽然在功能方面说明了实现本发明的各个设备(例如防御设备10和60)，但也可通过诸如个人计算机和工作站的计算机执行程序，来实现各个设备的各个功能。即，可通过执行事先在计算机上准备的程序来实现第一和第二实施例中说明的各处理过程。这些程序可通过诸如因特网的网络发布。这些程序可记录在诸如硬盘、软盘(FD)、CD-ROM、MO以及DVD等的计算机可读记录介质上，并且通过计算机从记录介质读取程序来执行。作为示例，可发布存储诸如根据第一实施例的防御设备的防御设备用程序的CD-ROM，使得各个计算机读取存储在CD-ROM中的程序来执行。
工业应用性当将路由信息发送到对寻址到网络上的服务器或者域的恶意分组进行中继的中继器以控制恶意分组的通过时，根据本发明的防御设备、防御方法、防御程序和网络攻击防御系统是有用的，并且特别适于在不受恶意分组的流入方向影响的情况下防止恶意分组等。
权利要求
1.一种防御设备，其基于关于对网络上服务器或者域的攻击的信息，通过将路由信息发送到对寻址到该服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制，所述防御设备包括中继器选择单元，其基于关于攻击的信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；路由信息通知单元，其将用于使恶意分组经由防御设备进行路由的路由信息通知给通过中继器选择单元选定的中继器；以及分组控制单元，其对从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
2.根据权利要求1所述的防御设备，其中中继器选择单元从与防御设备相邻的多个中继器中，除去成为关于受该恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
3.根据权利要求1或2所述的防御设备，进一步包括攻击信息发送器，其将关于攻击的信息发送给与防御设备相邻的另一防御设备，其中所述中继器选择单元在从另一防御设备接收到关于攻击的信息时，也基于该关于攻击的信息选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
4.根据权利要求1所述的防御设备，进一步包括攻击终止判定单元，其监控从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组，并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止，其中当攻击终止判定单元判定恶意分组的发送已经终止时，路由信息通知单元将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
5.一种网络攻击防御系统，包括多个中继器，其对发送到网络上的服务器或者域的分组进行中继；和防御设备，其基于关于对网络上的服务器或者域的攻击的信息，通过将路由信息发送到对寻址到服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制，其中所述防御设备包括中继器选择单元，其基于关于攻击的信息，从与防御设备相邻的多个中继器中选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；路由信息通知单元，其将用于使恶意分组经由防御设备进行路由的路由信息通知给通过中继器选择单元选择的中继器；以及分组控制单元，其对从通过路由信息通知单元被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
6.一种使用防御设备的防御方法，所述防御设备基于关于对网络上的服务器或者域的攻击的信息，通过将路由信息发送到对寻址到服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制，所述防御方法包括基于关于攻击的信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；将用于使恶意分组经由防御设备进行路由的路由信息通知给选择步骤中选择的中继器；以及对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
7.根据权利要求6所述的防御方法，其中选择步骤包括从与防御设备相邻的中继器中，除去成为关于受恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
8.根据权利要求6或7所述的防御方法，进一步包括将关于攻击的信息发送给与防御设备相邻的另一防御设备，其中选择步骤包括当从另一防御设备接收到关于攻击的信息时，也基于关于攻击的信息，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
9.根据权利要求6所述的防御方法，进一步包括对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组进行监控；并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止，其由当判定恶意分组的发送已经终止时，通知步骤包括将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
10.一种防御程序，用于实现使用防御设备的防御方法，所述防御设备基于关于对网络上的服务器或者域的攻击的信息，通过将路由信息发送到对寻址到服务器或者域的恶意分组进行中继的中继器，对该恶意分组的通过进行控制，所述防御程序使计算机作为防御设备执行以下步骤基于关于攻击的信息，从与防御设备相邻的多个中继器中，选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地；将用于使恶意分组经由防御设备进行路由的路由信息通知给选择步骤中选择的中继器；以及对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组的通过进行控制。
11.根据权利要求10所述的防御程序，其中选择步骤包括从与防御设备相邻的中继器中，除去成为关于受恶意分组攻击的服务器或者域的下一中继目的地的中继器之外，选择中继器作为路由信息的通知目的地。
12.根据权利要求10或11所述的防御程序，进一步使得计算机执行将关于攻击的信息发送给与防御设备相邻的另一防御设备，其中选择步骤包括当从另一防御设备接收到关于攻击的信息时，也基于关于攻击的信息选择至少一个中继器，该中继器成为用于使恶意分组经由防御设备进行路由的路由信息的通知目的地。
13.根据权利要求10所述的防御程序，进一步使得计算机执行对从在通知步骤中被通知了路由信息的中继器路由到防御设备的恶意分组进行监控；并且判定从中继器路由到防御设备的恶意分组的发送是否已经终止，其中当判定恶意分组的发送已经终止时，通知步骤包括将用于使恶意分组不经由防御设备进行路由的路由信息通知给中继器。
全文摘要
在从检测器50接收到攻击信息的情况下，当根据攻击信息指定受攻击的服务器20－1时，防御设备10根据路由表确定中继器30－1作为关于所指定的服务器20－1的下一中继目的地，并且从与防御设备10相邻的中继器30－1和30－2中除去中继器30－1，选择中继器30－2作为通知目的地。防御设备10随后将用于使恶意分组经由自身装置进行路由的路由信息通知给选定中继器30－2，以便对从基于所通知的路由信息更改了路由表的中继器30－2路由到自身装置的恶意分组的通过进行控制。
文档编号G06F13/00GK1898922SQ20058000126
公开日2007年1月17日 申请日期2005年9月8日 优先权日2004年10月21日
发明者仓上弘, 濑林克启, 佐竹康宏 申请人:日本电信电话株式会社