▶ ホアウェイ・テクノロジーズ・カンパニー・リミテッドの特許一覧
特許7388613パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-20
(45)【発行日】2023-11-29
(54)【発明の名称】パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
(51)【国際特許分類】
H04L 12/66 20060101AFI20231121BHJP
H04L 12/22 20060101ALI20231121BHJP
【FI】
H04L12/66
H04L12/22
【請求項の数】
18
(21)【出願番号】P 2022523404
(86)(22)【出願日】2020-09-25
(65)【公表番号】
(43)【公表日】2022-12-28
(86)【国際出願番号】 CN2020117875
(87)【国際公開番号】W WO2021082834
(87)【国際公開日】2021-05-06
【審査請求日】2022-05-23
(31)【優先権主張番号】201911057490.8
(32)【優先日】2019-10-31
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】504161984
【氏名又は名称】ホアウェイ・テクノロジーズ・カンパニー・リミテッド
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】リ、シグアン
【審査官】安藤 一道
(56)【参考文献】
【文献】特開2010-050939(JP,A)
【文献】特開2019-036830(JP,A)
【文献】特表2018-534526(JP,A)
【文献】特開2019-022066(JP,A)
【文献】米国特許第07496662(US,B1)
【文献】韓国登録特許第10-1859562(KR,B1)
【文献】PF.CONF(5),OpenBSD manual page server,2019年09月18日,https://web.archive.org/web/20190918145030/https://man.openbsd.org/pf.conf
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
H04L 12/22
(57)【特許請求の範囲】
【請求項1】
パケット処理方法であって、
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバである、受信する段階と、
前記保護デバイスが、前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別する段階であって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可する段階、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックする段階と
を備え、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階と
を有し、
第1のアクセス要求パケットを前記受信する段階の前に、前記パケット処理方法は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、パケット処理方法。
【請求項2】
パケット処理方法であって、
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバである、受信する段階と、
前記保護デバイスが、前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別する段階であって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可する段階、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックする段階と
を備え、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階
を有し、
第1のアクセス要求パケットを前記受信する段階の前に、前記パケット処理方法は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、パケット処理方法。
【請求項3】
第1のアクセス要求パケットを前記受信する段階の前に、前記パケット処理方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、請求項1又は2に記載のパケット処理方法。
【請求項4】
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定する段階であって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と
を有する、請求項1から3のいずれか一項に記載のパケット処理方法。
【請求項5】
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報又はウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、請求項1から4のいずれか一項に記載のパケット処理方法。
【請求項6】
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び
IPヘッダ識別情報
のうちの1又は複数を含む、請求項1から4のいずれか一項に記載のパケット処理方法。
【請求項7】
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を前記抽出する段階は、前記サーバがDDoS攻撃にさらされていることが検知されるときにのみトリガーされ実行される、請求項1から6のいずれか一項に記載のパケット処理方法。
【請求項8】
プロセッサ及びネットワークインタフェースを備える保護デバイスであって、前記ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバであり、
前記プロセッサは、格納されているコンピュータプログラムを呼び出し、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別することであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可すること、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成され、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定することと
を含み、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさらに構成される、保護デバイス。
【請求項9】
プロセッサ及びネットワークインタフェースを備える保護デバイスであって、
前記ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバであり、
前記プロセッサは、格納されているコンピュータプログラムを呼び出し、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別することであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可すること、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成され、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定することと
を含み、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさら構成される、保護デバイス。
【請求項10】
前記保護デバイスは、入力デバイスをさらに備え、前記入力デバイスは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される、請求項8又は9に記載の保護デバイス。
【請求項11】
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、前記プロセッサが、前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定することであって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を含む、請求項8から10のいずれか一項に記載の保護デバイス。
【請求項12】
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報、
ウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、請求項8から11のいずれか一項に記載の保護デバイス。
【請求項13】
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び、
IPヘッダ識別情報
のうちの1又は複数を含む、請求項8から11のいずれか一項に記載の保護デバイス。
【請求項14】
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を前記抽出することは、前記サーバがDDoS攻撃にさらされていることが検知されるときにのみトリガーされ実行される、請求項8から13のいずれか一項に記載の保護デバイス。
【請求項15】
パケット処理装置であって、第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を備え、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記処理ユニットは、前記第1のアクセス要求パケットが通過することを許可する、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記処理ユニットは、前記第1のアクセス要求パケットをブロックし、
前記処理ユニットは、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定し、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する
ように構成され、
前記パケット処理装置は、
前記パケット受信ユニットが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される第1の特徴解析ユニット
をさらに備える、パケット処理装置。
【請求項16】
パケット処理装置であって、
第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を備え、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記処理ユニットは、前記第1のアクセス要求パケットが通過することを許可する、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記処理ユニットは、前記第1のアクセス要求パケットをブロックし、
前記処理ユニットは、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定し、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する
ように構成され、
前記パケット処理装置は、
前記パケット受信ユニットが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される第2の特徴解析ユニット
をさらに備える、パケット処理装置。
【請求項17】
前記フィンガープリント特徴抽出ユニットは、前記サーバがDDoS攻撃にさらされていることが検知されるときにのみ、前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を前記抽出することをトリガーし実行する、請求項15又は16に記載のパケット処理装置。
【請求項18】
プロセッサに、請求項1から7のいずれか一項に記載のパケット処理方法を実行させる、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ通信技術の分野に関連し、特に、パケット処理方法、パケット処理装置、保護デバイス、及びコンピュータ可読ストレージ媒体に関連する。
【背景技術】
【0002】
サービス拒否攻撃は、フラッド(Flood)攻撃とも称される。サービス拒否攻撃は、ターゲットコンピュータのネットワーク又はシステムリソースを使い果たしてサービスを一時的に遮断又は停止することを目的としたサイバー攻撃手段である。その結果として、サービスは、正規のユーザによってアクセスできない。ハッカーが、「ゾンビ(zombie)」としてネットワーク上の2又はそれより多くの感染コンピュータを使用することによって具体的なターゲットに対して「サービス拒否」攻撃を開始するとき、当該攻撃は、分散型のサービス拒否攻撃(Distributed Denial-of-Service attack、略してDDoS攻撃)と称される。
【0003】
ハッカーは、通常、ボットネットのゾンビホスト(ボット)として従来のユーザのPCホストを制御して、DDoS攻撃を開始する。しかしながら、最近では、ますます多くのモノのインターネット(Internet of Things,IoT)ネットワークデバイス、例えば、カメラ及びルータ、がインターネットに接続されている。ハッカーは、そのようなIoTデバイスに侵入することによって、より頻繁にDDoS攻撃を開始する。
【0004】
DDoS攻撃の対象となるサービスは、主に、ハイパーテキストトランスファープロトコル(HyperText Transfer Protocol,HTTP)ベースのワールドワイドウェブ(Web)サービスである。従来技術では、DDoS検知及びクリーニングベンダーは、例えば、パケットがユーザによって起動された正規の要求(例えば、ブラウザ)であるか否かをチェックすることによって、DDoSに対する保護中に、HTTP要求パケットのフォーマットを検知する。概して、HTTP要求におけるユーザエージェント(User-Agent)領域に関する情報がチェックされる。ここでは、当該領域は、ブラウザバージョンを示す。要求が正規のユーザ(ブラウザ)の要求でないことが検知された場合、現在の通信がブロックされ、それによって、DDoS攻撃を軽減する。しかしながら、HTTP攻撃パケットは、偽造される傾向にある。例えば、正規のユーザ要求パケットが発見され、その後、攻撃パケットに完全にコピーされる。このように、ハッカーは、比較的容易に攻撃検知を回避し得る。
【0005】
DDoS攻撃をより適切に回避すべく、DDoS攻撃をより適切に識別し、非正規のアクセスをより適切にブロック又はフィルタリングする方法は、長く研究されている技術的課題である。
【発明の概要】
【0006】
本願の実施形態は、ハッカーが比較的容易に攻撃検知を回避でき、ターゲットサービスがDDoS攻撃の影響を受けやすくなる、という従来技術における技術的課題を解決すべく、パケット処理方法、パケット処理装置、及び保護デバイスを開示する。
【0007】
第1の態様によれば、本願の実施形態は、パケット処理方法を提供する。方法は、
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバである、受信する段階と、
保護デバイスが、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含み得る。
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバである、受信する段階と、
保護デバイスが、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含み得る。
【0008】
前述の技術的手段を使用することによって、トランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内の情報が、オペレーティングシステムに依存して実装又は生成される。言い換えれば、トランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内のフィンガープリントの特徴(TCPヘッダ及びオプションの特徴、又はIPヘッダの特徴等)は、オペレーティングシステムタイプに強く関連し、共通プログラムによって修正できない。ハッカーが、RAWソケット(RAW Socket)を確立する、又は、オペレーティングシステム(Operating System,OS)を修正すること、ここでは、OSを修正することは、OSのプロトコルスタックを修正することを意味する、によって、偽造を実施したい場合、ハッカーは、OSを再コンパイルする必要がある。しかしながら、OSのオリジナルコードは、基本的にプロプライエタリであり、且つ、OSプロバイダの秘密情報である(特に、現在のIoTシステムでは、ますます多くのデバイスが、デバイスの個別のベンダーによって開発されたOSを実行する)。したがって、再コンパイルは、極めて困難であり、コストもかかる。したがって、ハッカーがトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内のフィンガープリントの特徴を修正することによってパケットを偽造することは困難であり、それによって、ハッカーが比較的容易に攻撃検知を回避でき、ターゲットサービスがDDoS攻撃の影響を受けやすくなる、という従来技術における技術的課題を解決する。保護デバイス、例えば、アンチDDoS(Anti Distributed Denial of Service,Anti-DDoS)デバイスは、攻撃パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内のフィンガープリントの特徴を識別することによって、アクセス要求が有効な正規のユーザアクセスであるか否かを正確に識別し得、非正規のユーザアクセス要求を適切にブロックし得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃をより適切に回避する。
【0009】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含む。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含む。
【0010】
本願の本実施形態において、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かが直接決定される。これにより、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを迅速で効率的に決定できる。
【0011】
可能な実装において、第1のアクセス要求パケットを受信する段階の前に、方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階
をさら含む。
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階
をさら含む。
【0012】
本願の本実施形態における保護デバイスは、自己学習によって、正規のサービスモデルにおけるアクセス要求パケットのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を自動的に学習又は解析し得、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得る。代替的に、開発者又は研究開発エンジニア等のユーザは、アクセス要求パケットのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を正規のサービスモデルに設定し得る。この場合、保護デバイスは、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴を受信し得、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得、その結果、DDoS攻撃が、フィンガープリント特徴データベース内のフィンガープリントの特徴に基づいて、後に識別される。
【0013】
可能な実装において、異なるトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴は、異なるOSタイプ、例えば、Windows(登録商標)7/8、Windows(登録商標)10、Linux(登録商標)2.4、及びLinux(登録商標)4.1、に対応し得る。次に、開発者又は研究開発エンジニア等のユーザは、代替的に、クライアントOSタイプリストを直接構成し得る、又は、クライアントOSタイプリストが、自己学習によって、正規のサービスモデルに対応するOSタイプを自動的に学習することによって、構成される。クライアントOSタイプリストにおけるOSタイプは、アクセスが許可されているOSタイプであり得る。このように、OSブロッキングポリシーが、より柔軟に、且つ、より迅速で効率的に構成され、高速応答のユーザ要求が、常に変化しているDDoS攻撃にもかかわらず満たされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0014】
サーバにアクセスすることが許可されているパケットに対応するフィンガープリントの特徴は、フィンガープリント特徴データベースに事前に設定され、その結果、第1のアクセス要求パケットが通過することを許可するか、第1のアクセス要求パケットをブロックするかは、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かに基づいて決定される。このように、アクセス要求が有効な正規のユーザアクセスであるか否かが正確に識別され得、非正規のユーザアクセス要求が適切にブロックされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0015】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含む。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含む。
【0016】
本願の本実施形態において、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かが直接決定される。これにより、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを迅速で効率的に決定できる。
【0017】
可能な実装において、第1のアクセス要求パケットを受信する段階の前に、方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階
をさらに含む。
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する段階
をさらに含む。
【0018】
本願の本実施形態における保護デバイスは、自己学習によって、攻撃サービスモデルにおけるアクセス要求パケットのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を自動的に学習又は解析し得、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得る。代替的に、開発者又は研究開発エンジニア等のユーザは、攻撃サービスモデルにおけるアクセス要求パケットのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を設定し得る。この場合、保護デバイスは、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴を受信し得、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得、その結果、DDoS攻撃が、フィンガープリント特徴データベース内のフィンガープリントの特徴に基づいて、後に識別される。
【0019】
可能な実装において、異なるトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴は、異なるOSタイプ、例えば、Windows(登録商標)7/8、Windows(登録商標)10、Linux(登録商標)2.4、及びLinux(登録商標)4.1、に対応し得る。次に、開発者又は研究開発エンジニア等のユーザは、代替的に、クライアントOSタイプリストを直接設定し得る、又は、クライアントOSタイプリストが、自己学習によって、攻撃サービスモデルに対応するOSタイプを自動的に学習することによって、構成される。クライアントOSタイプリストにおけるOSタイプは、アクセスが禁止されているOSタイプであり得る。このように、OSブロッキングポリシーが、より柔軟に、且つ、より迅速で効率的に構成され、高速応答のユーザ要求が、常に変化しているDDoS攻撃にもかかわらず満たされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0020】
アクセスが禁止されているクライアントに対応するフィンガープリントの特徴は、フィンガープリント特徴データベースに事前に設定され、その結果、第1のアクセス要求パケットが通過することを許可するか、第1のアクセス要求パケットをブロックするかは、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かに基づいて決定される。このように、アクセス要求が有効な正規のユーザアクセスであるか否かが正確に識別され得、非正規のユーザアクセス要求が適切にブロックされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0021】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
を含む。
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
を含む。
【0022】
本願の本実施形態において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み得る。さらに、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む。異なるトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴は、異なるOSタイプ、例えば、Windows(登録商標)7/8、Windows(登録商標)10、Linux(登録商標)2.4、及びLinux(登録商標)4.1、に対応し得る。次に、開発者又は研究開発エンジニア等のユーザは、代替的に、クライアントOSタイプリストを直接構成し得る、又は、クライアントOSタイプリストが、自己学習によって、攻撃サービスモデルに対応するOSタイプを自動的に学習することによって、構成される。第1のOSタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのOSタイプを含み得、第2のOSタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのOSタイプを含み得る。次に、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプがフィンガープリント特徴データベースに基づいて識別された後、第1のアクセス要求パケットがサーバにアクセスすることが許可されているか否かが、第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて決定され得る。このように、OSブロッキングポリシーが、より柔軟に、且つ、より迅速で効率的に構成され、高速応答のユーザ要求が、常に変化しているDDoS攻撃にもかかわらず満たされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0023】
可能な実装において、本願の本実施形態におけるパケット処理方法では、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階は、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、さらにトリガー及び実行され得る。
【0024】
フィンガープリントの特徴が受信したアクセス要求パケットごとに抽出及び識別される場合、アクセス要求パケットの伝送遅延が増加し、正規のユーザのアクセスエクリペリエンスに影響を与える。前述の技術的手段を使用することによって、フィンガープリントの特徴を抽出及び識別することが、サーバがDDoS攻撃にさらされていることが検知されるときにのみトリガーされる。これにより、正規のアクセスの効率及びDDoS攻撃の軽減の適切なバランスをとることができる。
【0025】
可能な実装において、本願の本実施形態における第1のアクセス要求パケットは、SYNパケットを含む。
【0026】
SYNパケットは、TCP接続が確立されるときにクライアントによってサーバに送信される第1の要求パケットである。したがって、アクセス要求がDDoS攻撃であるか否かが、SYNパケットに対してフィンガープリントの特徴抽出及び識別を直接実行することによって、最高速度で識別され得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃をより適切に回避する。
【0027】
第2の態様によれば、本願の実施形態は、
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、アクセス要求パケットの宛先は、保護デバイスによって保護されているサーバである、受信する段階と、
保護デバイスが、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む、パケット処理方法を提供する。
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、アクセス要求パケットの宛先は、保護デバイスによって保護されているサーバである、受信する段階と、
保護デバイスが、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む、パケット処理方法を提供する。
【0028】
本願の本実施形態において、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む。異なるトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴は、異なるOSタイプ、例えば、Windows(登録商標)7/8、Windows(登録商標)10、Linux(登録商標)2.4、及びLinux(登録商標)4.1、に対応し得る。次に、開発者又は研究開発エンジニア等のユーザは、代替的に、クライアントOSタイプリストを直接構成し得る、又は、クライアントOSタイプリストが、自己学習によって、攻撃サービスモデルに対応するOSタイプを自動的に学習することによって、構成される。第1のOSタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのOSタイプを含み得、第2のOSタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのOSタイプを含み得る。次に、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプがフィンガープリント特徴データベースに基づいて識別された後、第1のアクセス要求パケットがサーバにアクセスすることが許可されているか否かが、第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて決定され得る。このように、OSブロッキングポリシーが、より柔軟に、且つ、より迅速で効率的に構成され、高速応答のユーザ要求が、常に変化しているDDoS攻撃にもかかわらず満たされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0029】
第3の態様によれば、本願の実施形態は、プロセッサ及びネットワークデバイスを含む保護デバイスであって、
ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバであり、
プロセッサは、格納されているコンピュータプログラムを呼び出し、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイスを提供する。
ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバであり、
プロセッサは、格納されているコンピュータプログラムを呼び出し、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイスを提供する。
【0030】
可能な実装において、
フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること
を含む。
フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること
を含む。
【0031】
可能な実装において、保護デバイスは、入力デバイスをさらに含み、入力デバイスは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される、又は、
プロセッサは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
プロセッサは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
【0032】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定することと
を含む。
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定することと
を含む。
【0033】
可能な実装において、保護デバイスは、入力デバイスをさら含み、入力デバイスは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される、又は、
プロセッサは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
プロセッサは、ネットワークインタフェースが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
【0034】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、
プロセッサが、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を含む。
プロセッサが、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を含む。
【0035】
可能な実装において、プロセッサは、代替的に、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0036】
可能な実装において、本願の本実施形態における第1のアクセス要求パケットは、SYNパケットを含む。
【0037】
第4の態様によれば、本願の実施形態は、プロセッサ及びネットワークインタフェースを含む保護デバイスであって、
ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバであり、
プロセッサは、格納されているコンピュータプログラムを呼び出し、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイスを提供する。
ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバであり、
プロセッサは、格納されているコンピュータプログラムを呼び出し、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイスを提供する。
【0038】
第5の態様によれば、本願の実施形態は、
第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を含み、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、処理ユニットは、第1のアクセス要求パケットが通過することを許可する、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、処理ユニットは、第1のアクセス要求パケットをブロックする、
パケット処理装置を提供する。
第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を含み、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、処理ユニットは、第1のアクセス要求パケットが通過することを許可する、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、処理ユニットは、第1のアクセス要求パケットをブロックする、
パケット処理装置を提供する。
【0039】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、処理ユニットは、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する
ように構成される。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する
ように構成される。
【0040】
可能な実装において、装置は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴受信ユニット、又は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴解析ユニット
をさらに含む。
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴受信ユニット、又は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴解析ユニット
をさらに含む。
【0041】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、処理ユニットは、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する
ように構成される。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する
ように構成される。
【0042】
可能な実装において、装置は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴受信ユニット、又は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴解析ユニット
をさらに含む。
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴受信ユニット、又は、
パケット受信ユニットが第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴解析ユニット
をさらに含む。
【0043】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、処理ユニットは、具体的には、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を行うように構成される。
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を行うように構成される。
【0044】
可能な実装において、フィンガープリント特徴抽出ユニットは、代替的に、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0045】
可能な実装において、本願の本実施形態における第1のアクセス要求パケットは、SYNパケットを含む。
【0046】
第6の態様によれば、本願の実施形態は、コンピュータ可読ストレージ媒体を提供する。コンピュータ可読ストレージ媒体は、プログラムを格納し、プログラムは、第1の態様に係るいずれかの方法の幾つか又は全ての段階を実行するために使用される命令を含む。
【0047】
第7の態様によれば、本願の実施形態は、少なくとも1つのプロセッサ及びインタフェース回路を含むチップを提供する。プロセッサは、第1のアクセス要求パケットがインタフェース回路によって入力された後、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応し、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、チップによって保護されているサーバである、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む段階を実行すべく、メモリに格納されているコンピュータプログラムを実行するように構成される。
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応し、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、チップによって保護されているサーバである、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む段階を実行すべく、メモリに格納されているコンピュータプログラムを実行するように構成される。
【0048】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含む。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含む。
【0049】
可能な実装において、第1のアクセス要求パケットがインタフェース回路によって入力される前に、プロセッサは、
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ようにさら構成される。
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ようにさら構成される。
【0050】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサが、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含む。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含む。
【0051】
可能な実装において、第1のアクセス要求パケットがインタフェース回路によって入力される前に、プロセッサは、
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ようにさら構成される。
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ようにさら構成される。
【0052】
可能な実装において、プロセッサは、代替的に、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0053】
可能な実装において、本願の本実施形態における第1のアクセス要求パケットは、SYNパケットを含む。
【0054】
第8の態様によれば、本願の実施形態は、コンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行すると、コンピュータが、第1の態様に係るいずれかの方法の幾つか又は全ての段階を実行することが可能になる。
【0055】
前述の第1の態様から第8の態様の技術的解決策では、以下のことを含む。
【0056】
可能な実装において、第1のフィンガープリントの特徴及びフィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、
トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報、
ウィンドウサイズ情報、
ウィンドウスケール情報、及び
DFフラグビット情報
のうちの1又は複数を含む。
トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報、
ウィンドウサイズ情報、
ウィンドウスケール情報、及び
DFフラグビット情報
のうちの1又は複数を含む。
【0057】
前述の第1の態様から第8の態様の技術的解決策では、以下のことを含む。
【0058】
可能な実装において、第1のフィンガープリントの特徴及びフィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、
ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び
IPヘッダ識別情報
のうちの1又は複数を含む。
ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び
IPヘッダ識別情報
のうちの1又は複数を含む。
【0059】
前述のトランスポート層のフィンガープリントの特徴又はネットワーク層のフィンガープリントの特徴は、それぞれのオペレーティングシステムがTCP/IPプロトコルに準拠して又はTCP/IPプロトコルを使用して有し、オペレーティングシステム、例えば、Windows(登録商標)、Linux(登録商標)、又はその他のIoTデバイス、と共に変化する、固有のシステムのフィンガープリントの特徴である。ハッカーがそのようなデバイスを制御するとき、攻撃トラフィックは、通常、ユーザの正規のアクセス機能を模倣する。例えば、周知のブラウザのバージョンが、プロトコルスタックを修正することなく、HTTPプロトコル内のユーザエージェント領域に追加される。したがって、明らかな攻撃トラフィックをブロックすべく、トラフィックのプロトコルスタックが、前述のトランスポート層のフィンガープリントの特徴又はネットワーク層のフィンガープリントの特徴を識別することによって、DDoS保護デバイス上で識別され、それによって、DDoS攻撃を防止及び軽減する。
【0060】
本願の第2の態様から第8の態様における技術的解決策は、第1の態様における技術的解決策と一致していることが理解されるべきである。様々な態様及び対応する実現可能な実装において実現される有益な効果は類似しており、詳細は再び説明されない。
【図面の簡単な説明】
【0061】
本願の実施形態又は背景における技術的解決策をより明確に説明すべく、以下では、本願の実施形態又は背景を説明するための添付図面を説明する。
【0062】
【図1】本願の実施形態に係るパケット処理方法の適用シナリオの概略図である。
【0063】
【図2】本願の実施形態に係るパケット処理方法の概略フローチャートである。
【0064】
【図3】本願の他の実施形態に係るパケット処理方法の概略フローチャートである。
【0065】
【図4】本願の実施形態に係るパケット処理方法の概略概念図である。
【0066】
【図5】本願の他の実施形態に係るパケット処理方法の概略概念図である。
【0067】
【図6】本願に係る実施形態のパケット処理手順の概略図である。
【0068】
【図7】本願に係る他の実施形態のパケット処理手順の概略図である。
【0069】
【図8】本願の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図である。
【0070】
【図9】本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図である。
【0071】
【図10】本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図である。
【0072】
【図11】本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図である。
【0073】
【図12】本願の実施形態に係る保護デバイスの構造の概略図である。
【0074】
【図13】本願の実施形態に係るパケット処理装置の構造の概略図である。
【0075】
【図14】本願の実施形態に係るチップの構造の概略図である。
【発明を実施するための形態】
【0076】
以下では、本願の実施形態の添付図面を参照して本願の実施形態を説明する。
【0077】
図1は、本願の実施形態に係るパケット処理方法の適用シナリオの概略図である。本願の本実施形態のパケット処理方法が適用されるネットワークは、少なくとも1つのハッカーを含む。図1では、説明のための一例として、1つのハッカーが使用される。ハッカーは、DDoS攻撃又はDoS攻撃を開始する攻撃者又は攻撃デバイスである。ハッカーは、1つのゾンビホスト(ボット)を制御してサーバに対してDoS攻撃を開始してもよく、複数のボットを制御してサーバに対してDDoS攻撃を開始してもよい。アンチ分散型のサービス拒否(アンチDDoS)デバイス又はアンチサービス拒否デバイスは、サーバの前に配置され、サーバに対するDDoSトラフィッククリーニングを実装する。具体的には、DDoS攻撃が発生したとき、受信した攻撃トラフィックが識別及びブロックされ、DDoS攻撃又はDoS攻撃を軽減し、それによって、正規のユーザからサーバへの正規のアクセスを保護する。アンチDDoSデバイス又はアンチサービス拒否デバイスは、本願の実施形態における保護デバイスである。図1では、説明のための一例として、アンチDDoSデバイスが使用される。
【0078】
本願の本実施形態におけるボットは、従来のユーザのパーソナルコンピュータ(Personal Computer,PC)ホストであってもよく、インターネットに接続され得るIoTネットワークデバイス、例えば、カメラ又はルータ、であってもよい。
【0079】
本願の本実施形態におけるサーバは、ビジネスに正規のサービスを提供するコンピュータである。ユーザ端末は、インターネットを介してサーバへの接続を確立し得、サーバによって提供されるビジネスにアクセスする。例えば、サーバは、ゲームサーバである。ユーザは、ゲームサーバ上のゲームのデータにアクセスして、ゲームを実行する。
【0080】
例えば、アンチDDoSデバイスは、DDoS保護を実装する。図2に示される、本願の実施形態において提供されるパケット処理方法の概略フローチャートと組み合わせて、以下では、どのようにアンチDDoSデバイスがDDoS保護を実装するかを説明する。図2に示されるように、本願の本実施形態において提供されるパケット処理方法は、以下の段階を含む。
【0081】
段階S200:ゾンビホスト又は正規のユーザ端末は、第1のアクセス要求パケットをサーバに送信する。
【0082】
具体的には、本願の本実施形態における第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されるパケットを含み、第1のアクセス要求パケットは、サーバへのTCP/IP接続を確立するためのパケットである。ハッカーによって制御されるボットは、第1のアクセス要求パケットをサーバに送信し、サーバによって提供されるサービスへのアクセスを要求する。正規のユーザ端末はまた、第1のアクセス要求パケットをサーバに送信し、サーバによって提供されるサービスへのアクセスを要求し得る。
【0083】
段階S202:アンチDDoSデバイスは、第1のアクセス要求パケットを受信する。
【0084】
具体的には、アンチDDoSデバイスは、サーバの前に配置されているデバイスである。任意に、本願の本実施形態において、アンチDDoSデバイスが、サーバがDDoS攻撃にさらされていることが検知されるときにのみトリガーされて段階S204を実行する。サーバがDDoS攻撃にさらされていないとき、アンチDDoSデバイスは、受信した第1のアクセス要求パケットをサーバに直接通過させ得る。
【0085】
段階S204:アンチDDoSデバイスは、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する。
【0086】
具体的には、本願の本実施形態におけるトランスポート層のフィンガープリントの特徴は、TCPヘッダ又はオプションのオプションソート情報、最大セグメントサイズ(Maximum Segment Size,MSS)情報、ウィンドウサイズ(Window size value)情報、ウィンドウスケール(Window scale)情報、及び同類のもののうちの1又は複数を含み得る。
【0087】
本願の本実施形態におけるネットワーク層のフィンガープリントの特徴は、IPパケットの生存時間(Time to live)情報、データセグメントのペイロード長情報、DF(Don't Fragment)フラグビット等のIPヘッダ識別情報、及び同類のもののうちの1又は複数を含み得る。
【0088】
アンチDDoSデバイスが、受信した第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダからフィンガープリントの特徴を抽出した後、第1のアクセス要求パケットのトランスポート層の第1のフィンガープリントの特徴、及び/又は、ネットワーク層の第1のフィンガープリントの特徴が抽出され得る。
【0089】
本願の本実施形態におけるトランスポート層のフィンガープリントの特徴又はネットワーク層のフィンガープリントの特徴は、それぞれのオペレーティングシステムがTCP/IPプロトコルに準拠して又はTCP/IPプロトコルを使用して有し、オペレーティングシステムと共に変化する、固有のシステムのフィンガープリントの特徴である。したがって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する。
【0090】
段階S206:アンチDDoSデバイスは、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する。ここでは、フィンガープリント特徴データベースは、抽出された第1のフィンガープリントの特徴を識別して、第1のアクセス要求パケットのアクセス要求を許可するか否かを決定するために使用される。
【0091】
具体的には、段階S206の前に、アンチDDoSデバイスは、フィンガープリント特徴データベースを事前に生成し得る。例えば、アンチDDoSデバイスは、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、自己学習によって、正規のサービスモデルにおけるアクセス要求パケットを自動的に学習又は解析してもよく、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信してもよく、その後、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納してよい。この場合、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む。代替的に、アンチDDoSデバイスは、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、自己学習によって、攻撃サービスモデルにおけるアクセス要求パケットを自動的に学習又は解析してもよく、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信してもよく、その後、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納してよい。この場合、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む。
【0092】
例えば、フィンガープリント特徴データベースがサーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含むとき、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていることを示し、段階S208が実行され、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まないことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていないことを示し、段階S210が実行される。
【0093】
段階S208:アンチDDoSデバイスは、第1のアクセス要求パケットをサーバに通過させる。
【0094】
段階S210:アンチDDoSデバイスは、第1のアクセス要求パケットをブロックする。
【0095】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み得る。フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係をさらに含む。次に、段階S206は、具体的には、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階、及び、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階
であり得る。
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階、及び、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する段階であって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階
であり得る。
【0096】
具体的には、本願の本実施形態におけるトランスポート層のフィンガープリントの特徴又はネットワーク層のフィンガープリントの特徴は、それぞれのオペレーティングシステムがTCP/IPプロトコルに準拠して又はTCP/IPプロトコルを使用して有し、オペレーティングシステムと共に変化する固有のシステムのフィンガープリントの特徴である。次に、アンチDDoSデバイスは、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別し得る。
【0097】
さらに、アンチDDoSデバイスは、代替的に、第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストを事前に作成し得る。第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む。第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストは、要求に応じてユーザによって構成及び入力されるオペレーティングシステムタイプであり得る。代替的に、第1のオペレーティングシステムタイプリストは、以下の方式で取得され得る。トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおけるアクセス要求パケットが自己学習によって自動的に学習又は解析され、その後、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴に対応するオペレーティングシステムタイプが取得される。第2のオペレーティングシステムタイプリストは、代替的に、以下の方式で取得され得る。トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおけるアクセス要求パケットが自己学習によって自動的に学習又は解析され、その後、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴に対応するオペレーティングシステムタイプが取得される。
【0098】
次に、アンチDDoSデバイスは、第1のオペレーティングシステムタイプリストに基づいて決定する段階を実行し得る。第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第1のオペレーティングシステムタイプリストにあることが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていることを示し、段階S208が実行され、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第1のオペレーティングシステムタイプリストにないことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていないことを示し、段階S210が実行される。代替的に、アンチDDoSデバイスは、第2のオペレーティングシステムタイプリストに基づいて決定する段階を実行し得る。第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第2のオペレーティングシステムタイプリストにないことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていることを示し、段階S208が実行され、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第2のオペレーティングシステムタイプリストにあることが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていないことを示し、段階S210が実行される。
【0099】
図3は、本願の他の実施形態に係るパケット処理方法の概略フローチャートであり、どのようにアンチDDoSデバイスがDDoS保護を実装するかを示す。図3に示されるように、本願の本実施形態において提供されるパケット処理方法は、以下の段階を含む。
【0100】
段階S300:ゾンビホスト又は正規のユーザ端末は、第1のアクセス要求パケットをサーバに送信する。
【0101】
段階S302:アンチDDoSデバイスは、第1のアクセス要求パケットを受信する。
【0102】
段階S304:アンチDDoSデバイスは、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する。
【0103】
段階S300からS304に関する詳細については、図2の実施形態における段階S200からS204の前述の説明を参照する。詳細は、本明細書では再び説明されない。
【0104】
段階S306:アンチDDoSデバイスは、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する。
【0105】
具体的には、段階S306の前に、アンチDDoSデバイスは、フィンガープリント特徴データベースを事前に生成し得る。例えば、アンチDDoSデバイスは、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、自己学習によって、正規のサービスモデルにおけるアクセス要求パケットを自動的に学習又は解析してもよく、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信してもよく、その後、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納してよい。この場合、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む。代替的に、アンチDDoSデバイスは、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、自己学習によって、攻撃サービスモデルにおけるアクセス要求パケットを自動的に学習又は解析してもよく、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信してもよく、その後、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納してよい。この場合、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む。
【0106】
本願の本実施形態におけるトランスポート層のフィンガープリントの特徴又はネットワーク層のフィンガープリントの特徴は、それぞれのオペレーティングシステムがTCP/IPプロトコルに準拠して又はTCP/IPプロトコルを使用して有し、オペレーティングシステムと共に変化する、固有のシステムのフィンガープリントの特徴である。
【0107】
本願の本実施形態におけるフィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係をさらに含む。このように、アンチDDoSデバイスは、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別し得る。
【0108】
段階S308:アンチDDoSデバイスは、第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定する。
【0109】
具体的には、アンチDDoSデバイスは、第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストを事前にさらに作成し得る。第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む。第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストは、要求に応じてユーザによって構成及び入力されるオペレーティングシステムタイプであり得る。代替的に、第1のオペレーティングシステムタイプリストは、以下の方式で取得され得る。トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおけるアクセス要求パケットが自己学習によって自動的に学習又は解析され、その後、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴に対応するオペレーティングシステムタイプが取得される。第2のオペレーティングシステムタイプリストは、代替的に、以下の方式で取得され得る。トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおけるアクセス要求パケットが自己学習によって自動的に学習又は解析され、その後、複数のフィンガープリントの特徴/1つのフィンガープリントの特徴に対応するオペレーティングシステムタイプが取得される。
【0110】
次に、アンチDDoSデバイスは、第1のオペレーティングシステムタイプリストに基づいて決定する段階を実行し得る。第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第1のオペレーティングシステムタイプリストにあることが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていることを示し、段階S310が実行され、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第1のオペレーティングシステムタイプリストにないことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていないことを示し、段階S312が実行される。代替的に、アンチDDoSデバイスは、第2のオペレーティングシステムタイプリストに基づいて、決定する段階を実行し得る。第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第2のオペレーティングシステムタイプリストにないことが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていることを示し、段階S310が実行され、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプが第2のオペレーティングシステムタイプリストにあることが決定される場合、それは、第1のアクセス要求パケットがサーバにアクセスすることが許可されていないことを示し、段階S312が実行される。
【0111】
段階S310:アンチDDoSデバイスは、第1のアクセス要求パケットをサーバに通過させる。
【0112】
段階S312:アンチDDoSデバイスは、第1のアクセス要求パケットをブロックする。
【0113】
図4は、本願の実施形態に係るパケット処理方法の概略概念図であり、保護デバイスの内部モジュールの観点から受信したアクセス要求パケットを処理する方法を説明する。早期段階の設定管理、並びに、後期段階のパケット識別及びフィルタリングが含まれ得る。
【0114】
設定管理処理において、設定管理モジュールは、ユーザがフィンガープリントの特徴を手動で入力する形態で、フィンガープリント特徴データベースを作成し得る。代替的に、フィンガープリント特徴データベースを作成すべく、アクセス要求パケットのフィンガープリントの特徴が、自己学習モジュールを使用することによって、自己学習により取得され得る。代替的に、フィンガープリント特徴データベースを作成すべく、2つの方式が組み合わされて得る。
【0115】
さらに、アップグレードモジュールが、フィンガープリント特徴データベースに格納されているフィンガープリントの特徴をアップグレード又は更新するために使用され得る。例えば、フィンガープリントの特徴が、自己学習によって定期的に更新され得る、又は、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴についての定義規則が更新されて、フィンガープリント特徴データベースが、更新された定義規則に基づいて再作成される。トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴についての定義規則は、具体的には、どのトランスポート層のフィンガープリントの特徴の項目及びネットワーク層のフィンガープリントの特徴の項目が識別基準として選択されるかということであり得る。フィンガープリント特徴データベースを構築すべく、フィンガープリントの特徴が選択されたフィンガープリントの特徴に基づいて構成又は自己学習されて、パケットを通過させるかブロックするかを決定すべく、第1のアクセス要求パケットのフィンガープリントの特徴が選択されたフィンガープリントの特徴項目に基づいて抽出される。
【0116】
可能な実装において、ユーザは、代替的には、要求に応じて設定管理モジュールを使用することによって、OSブロッキングポリシーを構成し得る。例えば、異なるトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴は、異なるOSタイプ、例えば、Windows(登録商標)7/8、Windows(登録商標)10、Linux(登録商標)2.4、及びLinux(登録商標)4.1、に対応し得る。次に、開発者又は研究開発エンジニア等のユーザは、代替的に、クライアントOSタイプリストを直接構成し得る、又は、クライアントOSタイプリストが、自己学習によって、正規のサービスモデル又は攻撃サービスモデルに対応するOSタイプを自動的に学習することによって、構成され得る。クライアントOSタイプリストにおけるOSタイプは、アクセスが許可されているOSタイプ、又は、アクセスが禁止されているOSタイプであり得る。このように、OSブロッキングポリシーがより柔軟に、且つ、より迅速で効率的に構成され、高速応答のユーザ要求が、常に変化しているDDoS攻撃にもかかわらず満たされ得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0117】
後期段階のパケット識別及びフィルタリング処理において、パケット受信モジュールは、アクセス要求パケットを受信し、その後、ソースOS識別モジュールは、フィンガープリント特徴データベース内のフィンガープリントの特徴に基づいて受信したアクセス要求パケットを識別してフィンガープリントの特徴を抽出し、自己学習モジュールは、アクセス要求パケットを送信した端末デバイスに対応するOSタイプをさらに識別し得る。その後、OSブロッキングモジュールは、構成されたOSブロッキングポリシーに基づいて、アクセス要求パケットをブロックするか否かを解析する。アクセス要求が許可されている場合、動作処理モジュールは、アクセス要求パケットをセッション管理モジュールに転送し得、セッション管理モジュールは、パケット送信モジュールをトリガーしてアクセス要求パケットをサーバに通過させる。アクセス要求が許可されていない場合、動作処理モジュールは、アクセス要求パケットを直接ブロックし得る。
【0118】
本願の本実施形態において、トランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内の情報が、オペレーティングシステムに依存して実装又は生成される。言い換えれば、トランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダ内のフィンガープリントの特徴(TCPヘッダ及びオプションの特徴、又はIPヘッダの特徴等)は、オペレーティングシステムタイプに強く関連し、共通プログラムによって修正できない。ハッカーは、通常、RAWソケットを確立すること、又は、OSを修正することによって、偽造を実施する必要がある。OSを修正することはOSのプロトコルスタックを修正することを意味し、OSが再コンパイルされる必要がある。しかしながら、OSのオリジナルコードは、基本的にベンダーによって保持される(特に、現在のIoTシステムでは、ますます多くのデバイスが、デバイスの個別のベンダーによって開発されたOSを使用する)。したがって、再コンパイルは、極めて困難であり、コストがかかる。これは、ハッカーが比較的容易に攻撃検知を回避でき、ターゲットサービスがDDoS攻撃の影響を受けやすくなる、という従来技術における技術的課題を解決する。アンチDDoSデバイスは、攻撃パケットのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を識別することによって、アクセス要求が有効な正規のユーザアクセスであるか否かを正確に識別し得、非正規のユーザアクセス要求を適切にブロックし得、それによって、DDoS攻撃をより適切に防止及び軽減し、DDoS攻撃からサーバをより適切に保護する。
【0119】
本願の実施形態において提供されるパケット処理方法の原理をより良好に理解することを容易にすべく、本願の他の実施形態に係るパケット処理方法の、図5に示される概略概念図を参照して、具体的な説明が、OS特徴データベースの生成及びどのアンチDDoSデバイスのエンジンがパケットを処理するか、という2つの態様から提供される。
【0120】
OS特徴データベースを生成する処理において、一般向けのOSによって送信されたTCP SYNパケットのヘッダ及びオプションが、最初に解析され得、その後、鍵となるフィンガープリントの特徴が抽出される又は署名が生成され、例えば、SYNパケットのTCPオプションのオプションソート情報、IPパケットのTTL情報、MSS情報、ウィンドウサイズ値情報、ウィンドウスケール情報、及び、他のオプションである。抽出されたフィンガープリントの特徴が固定の特徴に形成され、フィンガープリント特徴データベースに配置又は更新される。フィンガープリントの特徴が、アンチDDoSデバイスのエンジンによる使用のためにアンチDDoSデバイスに公開及び更新され得る。
【0121】
アンチDDoSデバイスのエンジンがパケットを処理する処理が、(添付図面におけるフローチャートを用いて)以下の2つの実施形態を使用することによって示され得る。
[実施形態1]
[実施形態1]
【0122】
図6は、本願に係るパケット処理手順の実施形態の概略図である。パケット処理手順は、以下の段階を含み得る。
【0123】
段階S600:アンチDDoSデバイスは、最初に、アクセスが許可されている有効なOSタイプを作成し得る。
【0124】
例えば、アクセスが許可されているOSタイプは、OSタイプリストであり得る。OSタイプリストは、ユーザによって構成され得る。例えば、ユーザは、許可されているクライアントOSタイプリスト、Windows(登録商標)7/8及びWindows(登録商標)10、を手動で構成する。代替的に、アンチDDoSデバイスは、正規のサービスモデルにおいて自己学習を実行し得、(アクセスが許可されている)有効なクライアントOSタイプリスト、例えば、Windows(登録商標)7/8及びWindows(登録商標)10、を自動的に学習し得る。
【0125】
段階S602:セッション、すなわち、SYNパケットを作成するための第1のハンドシェイク要求パケットを受信した後、アンチDDoSデバイスは、パケットヘッダ解析を実行する、例えば、オプション情報を抽出する。
【0126】
段階S604:アンチDDoSデバイスは、フィンガープリントの特徴を抽出する、例えば、TCPオプションを解析する。具体的には、アンチDDoSデバイスは、事前に定義された規則に従ってフィンガープリントの特徴抽出を完了する。例えば、事前に定義された規則は、TCPオプションのオプションソート情報、パケットIPヘッダのTTL(Time to live)情報、及び、ウィンドウサイズ値を抽出することである。その後、アンチDDoSデバイスは、これらの3つの項目のフィンガープリントの特徴を抽出する。
【0127】
段階S606:アンチDDoSデバイスは、抽出されたフィンガープリントの特徴を既存のフィンガープリント特徴データベースと比較し、(SYNパケットを送信する)クライアントの具体的なOSタイプ、例えば、Windows(登録商標)7/8又はLinux(登録商標)2.4、を識別する。
【0128】
例えば、アクセスが許可されている作成された有効なOSタイプは、Windows(登録商標)7を含む。Windows(登録商標)7用に構成されたフィンガープリントの特徴は、以下の3つの項目を含むことが想定される。TCPオプションソートシーケンスがMSS(Maximum segment size)、NOP(No-Operation)、ウィンドウスケール、NOP、NOP、及びSACK Permittedである、パケットIPヘッダのTTL(Time to live)が128である、及び、ウィンドウサイズ値が8192である。次に、SYNパケット内の前述の3つの項目のフィンガープリントの特徴が抽出される。前述の3つの項目の全てのフィンガープリントの特徴がフィンガープリント特徴データベース内のものと同一である場合、クライアントの具体的なOSタイプがWindows(登録商標)7であることが識別され、パケットのアクセスが許可され、SYNパケットは、通過することが許可される。前述の3つの項目の全てのフィンガープリントの特徴がフィンガープリント特徴データベース内のものと同一でない場合、クライアントの具体的なOSタイプがWindows(登録商標)7でないことが識別される。クライアントの具体的なOSタイプが、アクセスが許可されているOSタイプでないことが識別された後、SYNパケットがブロックされる。
【0129】
段階S608:アンチDDoSデバイスは、OSブロッキングポリシーに基づいて、クライアントの識別されたOSタイプが許可されているクライアントOSタイプリストにあるか否かを検知する。
【0130】
段階S610:クライアントの識別されたOSタイプが許可されているクライアントOSタイプリストにあることが検知された場合、SYNパケットが通過することを許可し、クライアントの識別されたOSタイプが許可されているクライアントOSタイプリストにないことが検知された場合、SYNパケットをブロック又は破棄する。
[実施形態2]
[実施形態2]
【0131】
図7は、本願に係るパケット処理手順の他の実施形態の概略図である。パケット処理手順は、以下の段階を含み得る。
【0132】
段階S700:アンチDDoSデバイスは、最初に、アクセスが禁止されている無効なOSタイプを作成し得る。
【0133】
例えば、アクセスが禁止されている無効なOSタイプは、OSタイプリストであり得る。OSタイプリストは、ユーザによって構成され得る。例えば、ユーザは、禁止されているクライアントOSタイプリスト、Windows(登録商標)7/8及びWindows(登録商標)10を手動で構成する。代替的に、システムは、攻撃サービスモデルにおいて自己学習を実行し得、(アクセスが禁止されている)無効なクライアントOSタイプリスト、例えば、Windows(登録商標)7/8及びWindows(登録商標)10、を自動的に学習し得る。
【0134】
段階S702:セッション、すなわち、SYNパケットを作成するための第1のハンドシェイク要求パケットを受信した後、アンチDDoSデバイスは、パケットヘッダ解析を実行する、例えば、オプション情報を抽出する。
【0135】
段階S704:アンチDDoSデバイスは、フィンガープリントの特徴を抽出する、例えば、TCPオプションを解析する。具体的には、アンチDDoSデバイスは、事前に定義された規則に基づいて、フィンガープリントの特徴抽出を完了する。例えば、定義された規則は、TCPオプションのオプションソート情報及びそれぞれのオプションの値を抽出することである。その後、アンチDDoSデバイスは、これらの2つの項目のフィンガープリントの特徴を抽出する。
【0136】
段階S706:アンチDDoSデバイスは、抽出されたフィンガープリントの特徴を既存のフィンガープリント特徴データベースを比較し、(SYNパケットを送信する)クライアントの具体的なOSタイプ、例えば、Windows(登録商標)7/8又はLinux(登録商標)2.4、を識別する。
【0137】
段階S708:アンチDDoSデバイスは、OSブロッキングポリシーに基づいて、クライアントの識別されたOSタイプが禁止されているクライアントOSタイプリストにあるか否かを検知する。
【0138】
段階S710:クライアントの識別されたOSタイプが禁止されているクライアントOSタイプリストにないことが検知された場合、SYNパケットが通過することを許可し、クライアントの識別されたOSタイプが禁止されているクライアントOSタイプリストにあることが検知された場合、SYNパケットをブロック又は破棄する。
【0139】
言い換えれば、以下のテーブルにおける8つのケースは、アンチDDoSデバイスのエンジンがパケットを処理するプロセスにおいて存在し得る。
【表1】
【0140】
以下では、2つのビジネスの実施形態と組み合わせて説明を提供する。
[ビジネスの実施形態1]
[ビジネスの実施形態1]
【0141】
例えば、アンチDDoSデバイスは、Windows(登録商標)で実行するゲームのサーバを保護する。ゲームは、Windows(登録商標)のみで実行し得る。クライアントタイプに基づいて設定された、許可されているクライアントOSタイプリストは、Windows(登録商標)7/8及びWindows(登録商標)10である。
【0142】
サーバがDDoS攻撃にさらされていることが検知されるとき、アンチDDoSデバイスがトリガーされて、ゲームのサーバに接続されている全てのクライアントのOSタイプに対してフィンガープリントの特徴識別を実行する(詳細については、前述の実施形態の説明を参照されたい)。フィンガープリントの識別によって、クライアントのOSタイプがWindows(登録商標)7/8システム又はWindows10(登録商標)システムでないことが識別される場合、例えば、OSタイプがLinux(登録商標)2.4システムであることが識別される場合、SYNパケットが直接ブロックされて、クライアントからのアクセスをブロックし、それによって、DDoS攻撃を軽減する。
【0143】
そうでなければ、クライアントのOSタイプがWindows(登録商標)10システムであることが識別される場合、SYNパケットは、通過することが許可される。
[ビジネスの実施形態2]
[ビジネスの実施形態2]
【0144】
例えば、アンチDDoSデバイスは、アプリのアプリケーションサーバを保護する。アプリは、Apple(登録商標)社のiPhone(登録商標)デバイス上でのみ実行し得る。クライアントタイプに基づいて設定された、許可されているクライアントOSタイプリストは、iOS(登録商標)である。
【0145】
アプリケーションサーバがDDoS攻撃にさらされていることが検知されるとき、アンチDDoSデバイスがトリガーされて、アプリケーションサーバに接続されている全てのクライアントのOSタイプに対してフィンガープリントの特徴識別を実行する(詳細については、前述の実施形態の説明を参照されたい)。フィンガープリントの識別によって、クライアントのOSタイプが、iOS(登録商標)システムでなく、例えば、Windows(登録商標)7システムであることが識別される場合、SYNパケットが直接ブロックされて、クライアントからのアクセスをブロックし、それによって、DDoS攻撃を軽減する。
【0146】
そうでなければ、クライアントのOSタイプがiOS(登録商標)(iPhone(登録商標))デバイスであることが識別される場合、SYNパケットは、通過することが許可される。
【0147】
フィンガープリントの特徴が受信したアクセス要求パケットごとに抽出及び識別される場合、正規のユーザのアクセス効率が影響を受ける。前述の技術的手段を使用することによって、フィンガープリントの特徴を抽出及び識別することが、サーバがDDoS攻撃にさらされていることが検知されるときにのみトリガーされる。これにより、正規のアクセスの効率及びDDoS攻撃の軽減の適切なバランスをとることができる。
【0148】
本願の実施形態におけるトランスポート層のフィンガープリントの特徴及びネットワーク層のフィンガープリントの特徴は、オペレーティングシステムの固有のシステムのフィンガープリントである。異なるオペレーティングシステムは、概して、異なるフィンガープリントの特徴を有する。具体的には、オペレーティングシステムは、IPヘッダ、及び、オプション/TCPヘッダ、及びオプションのフィンガープリントの特徴の観点で変化する。
【0149】
【0150】
図8に示される、本願の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図は、一例として、Windows(登録商標)7オペレーティングシステムを使用する。TCP/IPプロトコルに基づいて又はTCP/IPプロトコルに準拠してWindows(登録商標)7から送信されたアクセス要求パケットの抽出されたフィンガープリントの特徴が、TCPオプションソートシーケンスが、MSS(Maximum segment size)NOP(No-Operation)、ウィンドウスケール、NOP、NOP、及びSACK Permittedであること、パケットIPヘッダのTTL(Time to live)が128であること、ウィンドウサイズ値が8192であること、ウィンドウスケール値が2であること、並びに、DF(Don't Fragment)領域が1に設定され、IPヘッダ内のID(Identification)領域が0でないことのうちの1又は複数を含むことが、図8から分かり得る。
【0151】
図9に示される、本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図は、一例として、Linux(登録商標)バージョン3.1(CentOS7.1)オペレーティングシステムを使用する。TCP/IPプロトコルに基づいて又はTCP/IPプロトコルに準拠してLinux(登録商標)バージョン3.1(CentOS7.1)から送信されたアクセス要求パケットの抽出されたフィンガープリントの特徴が、TCPオプションソートシーケンスがMSS、SACK Permitted、タイムスタンプ、NOP、及び、ウィンドウスケールであること、パケットIPヘッダのTTL(Time to live)が64であること、ウィンドウサイズ値が14600(MSS x 10)であること、ウィンドウスケール値が7であること、並びに、DF(Don't Fragment)領域が1に設定され、ID領域が0でないことのうちの1又は複数を含むことが、図9から分かり得る。
【0152】
図10に示される、本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図は、一例として、Linux(登録商標)4.1(Kali)オペレーティングシステムを使用する。TCP/IPプロトコルに基づいて又はTCP/IPプロトコルに準拠してLinux(登録商標)4.1(Kali)から送信されたアクセス要求パケットの抽出されたフィンガープリントの特徴が、TCPオプションソートシーケンスが、MSS、SACK Permitted、タイムスタンプ、NOP及びウィンドウスケールであること、パケットIPヘッダのTTLが64であること、ウィンドウサイズ値が29200 (MSS x 20)であること、ウィンドウスケール値が7であること、並びに、DF(Don't Fragment)領域が1に設定され、ID領域が0でないことのうちの1又は複数を含むことが、図10から分かり得る。
【0153】
図11に示される、本願の他の実施形態に係るオペレーティングシステムに対応するフィンガープリントの特徴の概略図は、一例として、ファーウェイUSG6670ゲートウェイデバイスのオペレーティングシステムを使用する。既存のIoTシステムについて、ますます多くのデバイスが、デバイスの個別のベンダーによって開発されたOSを使用する。TCP/IPプロトコルに基づいて又はTCP/IPプロトコルに準拠してファーウェイUSG6670ゲートウェイデバイスから送信されたアクセス要求パケットの抽出されたフィンガープリントの特徴が、TCPオプションソートシーケンスがMSSであること、パケットIPヘッダのTTLが255であること、ウィンドウサイズ値が32768であること、ウィンドウ領域が存在しないこと、及び、DF領域が設定されてないことのうちの1又は複数を含むことが、図11から分かり得る。
【0154】
次に、図12を参照されたい。図12は、本願の実施形態に係る保護デバイスの構造の概略図である。保護デバイス120は、プロセッサ1210、ネットワークインタフェース1220、メモリ1230、通信バス1240、入力デバイス1250、及びディスプレイ1260を含み得る。プロセッサ1210、ネットワークインタフェース1220、メモリ1230、入力デバイス1250、及びディスプレイ1260は、通信バス1240を使用することによって、互いと通信する。入力デバイス1250は、ユーザ操作を取得し得るデバイス又はコンポーネントであり得、例えば、タッチスクリーン、マウス、又はキーボードである。ディスプレイ1260は、幾つかのプロンプト情報を表示し得、その結果、ユーザは、プロンプト情報に基づいて、保護デバイス120とインタラクトする。例えば、ブロックされるアクセス要求パケットに関する情報は、ユーザが見るべく、表示され得る。メモリ1230は、ランダムアクセスメモリ(RAM)及びリードオンリメモリ(ROM)を含むが、これらに限定されない。メモリ1230は、オペレーティングシステム(プログラム)1232及びアプリケーションプログラム1234を格納し得る。ネットワークインタフェース1220は、他のデバイスと通信するように構成され、例えば、端末デバイスによって送信されたアクセス要求パケットを受信し、アクセス要求パケットをサーバに送信する。プロセッサ1210は、1又は複数の中央処理装置(Central Processing Unit,略してCPU)であり得る。プロセッサ1210が1つのCPUであるとき、CPUは、シングルコアCPUであってもよく、マルチコアCPUであってもよい。プロセッサ1210は、オペレーティングシステム1232を実行し、ソフトウェア実行環境を提供する。ソフトウェア実行環境において、プロセッサ1210は、アプリケーションプログラム1234を呼び出して、パケット処理に関連したオペレーションを実行し得る。詳細は以下のとおりである。
【0155】
ネットワークインタフェース1220は、第1のアクセス要求パケットを受信するように構成される。ここで、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、保護デバイスによって保護されているサーバである。
【0156】
プロセッサ1210は、格納されているコンピュータプログラム(例えば、アプリケーションプログラム1234)を呼び出し、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される。
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することであって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可すること、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される。
【0157】
図12の実施形態において、説明のための一例として、保護デバイス120がメモリ1230を含むことが留意されるべきである。しかしながら、本願の本実施形態における保護デバイス120は、代替的に、メモリ1230を含まなくてもよい。格納対象のコンピュータプログラムが、クラウドストレージの形態でクラウドサーバ側に格納され得、パケット処理に関連するオペレーションが、格納対象のコンピュータプログラムをダウンロード及び実行することによって遂行され得る。
【0158】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサ1210が、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定することと
を含み得る。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定することと
を含み得る。
【0159】
可能な実装において、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、入力デバイス1250は、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し得、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得る、又は、
プロセッサ1210は、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
プロセッサ1210は、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
【0160】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサ1210が、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、具体的には、
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定することと
を含み得る。
プロセッサが、フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定することと、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定すること、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定することと
を含み得る。
【0161】
可能な実装において、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、入力デバイス1250は、ユーザによって入力されたトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し得、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納し得る、又は、
プロセッサ1210は、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
プロセッサ1210は、ネットワークインタフェース1220が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するようにさら構成される。
【0162】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサ1210が、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別することは、具体的には、
プロセッサ1210が、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を含み得る。
プロセッサ1210が、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を含み得る。
【0163】
可能な実装において、プロセッサ1210は、代替的には、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0164】
【0165】
次に、それに対応して、図13を参照されたい。図13は、本願の実施形態に係るパケット処理装置の構造の概略図である。パケット処理装置13は、パケット受信ユニット130、フィンガープリント特徴抽出ユニット132、及び処理ユニット134を含み得る。
【0166】
パケット受信ユニット130は、第1のアクセス要求パケットを受信するように構成される。ここで、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、パケット処理装置によって保護されているサーバである。
【0167】
フィンガープリント特徴抽出ユニット132は、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成される。ここで、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する。
【0168】
処理ユニット134は、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別するように構成される。ここで、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む。ここで、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、処理ユニットは、第1のアクセス要求パケットが通過することを許可する、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、処理ユニットは、第1のアクセス要求パケットをブロックする。
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、処理ユニットは、第1のアクセス要求パケットが通過することを許可する、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、処理ユニットは、第1のアクセス要求パケットをブロックする。
【0169】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み得、処理ユニット134は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する
ように構成され得る。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する
ように構成され得る。
【0170】
可能な実装において、パケット処理装置13は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴受信ユニット、又は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴解析ユニット
をさらに含み得る。
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴受信ユニット、又は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第1の特徴解析ユニット
をさらに含み得る。
【0171】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、処理ユニット134は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する
ように構成され得る。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定し、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する
ように構成され得る。
【0172】
可能な実装において、パケット処理装置13は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴受信ユニット、又は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ように構成される第2の特徴解析ユニットをさらに含み得る。
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納するように構成される第2の特徴受信ユニット、又は、
パケット受信ユニット130が第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
ように構成される第2の特徴解析ユニットをさらに含み得る。
【0173】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み得、処理ユニット134は、具体的には、
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を行うように構成され得る。
フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定することであって、第1のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、第2のオペレーティングシステムタイプリストは、サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を行うように構成され得る。
【0174】
可能な実装において、フィンガープリント特徴抽出ユニット132は、代替的に、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0175】
【0176】
【0177】
プロセッサ140は、第1のアクセス要求パケットがインタフェース回路142によって入力された後、
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応し、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、チップによって保護されているサーバである、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む段階を実行すべく、メモリに格納されているコンピュータプログラムを実行するように構成され得る。
第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、第1のフィンガープリントの特徴は、第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応し、第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、第1のアクセス要求パケットの宛先は、チップによって保護されているサーバである、抽出する段階と、
第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階であって、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、又は、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されている場合、第1のアクセス要求パケットが通過することを許可する段階、又は、
第1のアクセス要求パケットが、サーバにアクセスすることが許可されていない場合、第1のアクセス要求パケットをブロックする段階と
を含む段階を実行すべく、メモリに格納されているコンピュータプログラムを実行するように構成され得る。
【0178】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサ140が、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含み得る。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階と
を含み得る。
【0179】
可能な実装において、第1のアクセス要求パケットがインタフェース回路142によって入力される前に、プロセッサ140は、
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
オペレーションをさらに実行し得る。
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
オペレーションをさらに実行し得る。
【0180】
可能な実装において、フィンガープリント特徴データベースは、サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、プロセッサ140が、第1のアクセス要求パケットがサーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、第1のフィンガープリントの特徴を識別する段階は、具体的には、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含み得る。
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含むか否かを決定する段階と、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含む場合、第1のアクセス要求パケットがサーバにアクセスすることを許可しないと決定する段階、又は、
フィンガープリント特徴データベースが第1のフィンガープリントの特徴を含まない場合、第1のアクセス要求パケットがサーバにアクセスすることを許可すると決定する段階と
を含み得る。
【0181】
可能な実装において、第1のアクセス要求パケットがインタフェース回路142によって入力される前に、プロセッサ140は、
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
オペレーションをさらに実行し得る。
受信した入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴をフィンガープリント特徴データベースに格納する、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数のフィンガープリントの特徴/1つのフィンガープリントの特徴をフィンガープリント特徴データベースに格納する
オペレーションをさらに実行し得る。
【0182】
可能な実装において、プロセッサ140は、代替的に、サーバがDDoS攻撃にさらされていることが検知されるときにのみ、第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階をトリガー及び実行し得る。
【0183】
可能な実装において、本願の本実施形態における第1のアクセス要求パケットは、SYNパケットを含む。
【0184】
【0185】
当業者であれば、本明細書で開示及び説明された様々な例示的な論理ブロック、モジュール、及びアルゴリズム段階と組み合わせて説明された機能が、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組み合わせによって実装され得ることを理解できるだろう。ソフトウェアによって実装される場合、様々な例示的な論理ブロック、モジュール、及び段階によって説明された機能が、コンピュータ可読媒体上に格納され得、又は、1又は複数の命令又はコードとしてコンピュータ可読媒体上に伝送され得、ハードウェアベースの処理ユニットによって実行され得る。コンピュータ可読媒体は、データストレージ媒体等の有形の媒体に対応するコンピュータ可読ストレージ媒体、又は(例えば、通信プロトコルに基づいて)1つの場所から他の場所へのコンピュータプログラムの伝送を容易にする任意の通信媒体を含み得る。このように、コンピュータ可読媒体は、概して、(1)非一時的な有形のコンピュータ可読ストレージ媒体、又は(2)信号又はキャリア等の通信媒体に対応していてよい。データストレージ媒体は、1若しくは複数のコンピュータ、又は、1若しくは複数のプロセッサにアクセスされて、本願で説明された技術を実装するために、命令、コード、及び/又は、データ構造を取得し得る、任意の利用可能な媒体であり得る。コンピュータプログラム製品は、コンピュータ可読媒体を含み得る。
【0186】
限定するものではなく例示的なものとして、そのようなコンピュータ可読ストレージ媒体は、RAM、ROM、EEPROM、CD-ROM、若しくは、他の光学ディスクストレージ装置、磁気ディスクストレージ装置若しくは他の磁気ストレージ装置、フラッシュメモリ、又は、命令若しくはデータ構造の形態で要求されたプログラムコードを格納し得、コンピュータによってアクセスされ得る任意の他の媒体を含み得る。さらに、任意の接続が、適宜、コンピュータ可読媒体と称される。例えば、命令が、同軸ケーブル、光ケーブル、ツイストペア、デジタル加入者回線(DSL)、又は、赤外線、電波、及びマイクロ波等の無線技術を使用することによって、ウェブサイト、サーバ、又は、他のリモートソースから送信される場合、同軸ケーブル、光ケーブル、ツイストペア、DSL、又は、赤外線、電波、及びマイクロ波等の無線技術が、媒体の定義に含まれる。しかしながら、コンピュータ可読ストレージ媒体及びデータストレージ媒体は、接続、キャリア、信号、又は他の一時的媒体を含まない場合があるが、実際には、非一時的な有形のストレージ媒体を意味することが理解されるべきである。本明細書において使用されるディスク及び光ディスクは、コンパクトディスク(CD)、レーザディスク、光ディスク、デジタル多用途ディスク(DVD)、及びブルーレイディスクを含む。ここで、ディスクは、概して、データを磁気的に再現し、光ディスクは、レーザを使用することによってデータを光学的に再現する。前述のオブジェクトの組み合わせは、コンピュータ可読媒体の範囲にさらに含まれるものとする。
【0187】
命令は、1又は複数のデジタル信号プロセッサ(DSP)、汎用マイクロプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、又は、同等の統合された若しくはディスクリートな論理回路等の1又は複数のプロセッサによって実行され得る。したがって、本明細書において使用される用語「プロセッサ」は、前述の構造、又は、本明細書で説明された技術を実装するために適用され得る任意の他の構造を指し得る。さらに、幾つかの態様において、本明細書で説明された様々な例示的な論理ブロック、モジュール、及び段階で説明された機能が、エンコード及びデコードを実行するように構成された専用ハードウェア及び/又はソフトウェアモジュール内で提供されてもよく、複合コーデックに組み合に組み込まれてもよい。さらに、これらの技術は、1若しくは複数の回路、又は論理要素内で完全に実装され得る。
【0188】
本願の技術は、無線のハンドヘルド電話、集積回路(IC)、若しくはICのグループ(例えば、チップセット)を含む、様々な装置又はデバイス内で実装され得る。様々なコンポーネント、モジュール、又はユニットが、開示された技術を実行するための装置の機能的態様を強調すべく本願で説明されてきたが、必ずしも異なるハードウェアユニットによって実装されない。実際には、上記のように、様々なユニットが、適切なソフトウェア及び/又はファームウェアと結合してコーデックハードウェアユニットに組み合わされてもよく、(上記の1又は複数のプロセッサを含む)相互運用ハードウェアユニットによって提供されてもよい。
【0189】
前述の説明は、単に、本願の具体的な実装の例であり、本願の保護範囲を限定することを意図していない。本願で開示された技術的範囲内で当業者によって容易に考え出される任意の変形又は置換が、本願の保護範囲に含まれるものとする。したがって、本願の保護範囲は、特許請求の範囲の保護範囲の対象であるものとする。
[その他の可能な項目]
[項目1]
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバである、受信する段階と、
前記保護デバイスが、前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別する段階であって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可する段階、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックする段階と
を備える、パケット処理方法。
[項目2]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階と
を有する、項目1に記載の方法。
[項目3]
第1のアクセス要求パケットを前記受信する段階の前に、前記方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、項目2に記載の方法。
[項目4]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階と
を有する、項目1に記載の方法。
[項目5]
第1のアクセス要求パケットを前記受信する段階の前に、前記方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、項目4に記載の方法。
[項目6]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定する段階であって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
を有する、項目1に記載の方法。
[項目7]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、
前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報又はウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、項目1から6のいずれか一項に記載の方法。
[項目8]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、
前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び、
IPヘッダ識別情報
のうちの1又は複数を含む、項目1から6のいずれか一項に記載の方法。
[項目9]
プロセッサ及びネットワークインタフェースを備える、保護デバイスであって、
前記ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバであり、
前記プロセッサは、格納されているコンピュータプログラムを呼び出し、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別することであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可すること、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイス。
[項目10]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定すること
を有する、項目9に記載のデバイス。
[項目11]
前記保護デバイスは、入力デバイスをさらに備え、前記入力デバイスは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される、又は、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさら構成される、
項目10に記載のデバイス。
[項目12]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定することと
を含む、項目9に記載のデバイス。
[項目13]
前記保護デバイスは、入力デバイスをさらに備え、前記入力デバイスは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される、又は、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさら構成される、
項目12に記載のデバイス。
[項目14]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、
前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定することであって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を有する、項目9に記載のデバイス。
[項目15]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、
前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報、
ウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、項目9から14のいずれか一項に記載のデバイス。
[項目16]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、
前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び、
IPヘッダ識別情報
のうちの1又は複数を含む、項目9から14のいずれか一項に記載のデバイス。
[項目17]
第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を備え、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記処理ユニットは、前記第1のアクセス要求パケットが通過することを許可する、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記処理ユニットは、前記第1のアクセス要求パケットをブロックする、
パケット処理装置。
[項目18]
コンピュータ可読ストレージ媒体であって、前記コンピュータ可読ストレージ媒体は、プログラムを格納し、前記プログラムがプロセッサによって実行されると、前記プロセッサは、項目1から8のいずれか一項に記載の方法を実行することが可能になる、コンピュータ可読ストレージ媒体。
[その他の可能な項目]
[項目1]
保護デバイスが、第1のアクセス要求パケットを受信する段階であって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバである、受信する段階と、
前記保護デバイスが、前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出する段階であって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出する段階と、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別する段階であって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別する段階と、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可する段階、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックする段階と
を備える、パケット処理方法。
[項目2]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階と
を有する、項目1に記載の方法。
[項目3]
第1のアクセス要求パケットを前記受信する段階の前に、前記方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、項目2に記載の方法。
[項目4]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定する段階と、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定する段階、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定する段階と
を有する、項目1に記載の方法。
[項目5]
第1のアクセス要求パケットを前記受信する段階の前に、前記方法は、
入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階、又は、
トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納する段階
をさらに備える、項目4に記載の方法。
[項目6]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別する段階は、
前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別する段階であって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別する段階と、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定する段階であって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定する段階と、
を有する、項目1に記載の方法。
[項目7]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、
前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報又はウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、項目1から6のいずれか一項に記載の方法。
[項目8]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、
前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び、
IPヘッダ識別情報
のうちの1又は複数を含む、項目1から6のいずれか一項に記載の方法。
[項目9]
プロセッサ及びネットワークインタフェースを備える、保護デバイスであって、
前記ネットワークインタフェースは、第1のアクセス要求パケットを受信するように構成され、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記保護デバイスによって保護されているサーバであり、
前記プロセッサは、格納されているコンピュータプログラムを呼び出し、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出することであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、抽出することと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別することであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、識別することと、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記第1のアクセス要求パケットが通過することを許可すること、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記第1のアクセス要求パケットをブロックすることと
を含むオペレーションを実行するように構成される、
保護デバイス。
[項目10]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定すること
を有する、項目9に記載のデバイス。
[項目11]
前記保護デバイスは、入力デバイスをさらに備え、前記入力デバイスは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される、又は、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、正規のサービスモデルにおける第2のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさら構成される、
項目10に記載のデバイス。
[項目12]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含むか否かを決定することと、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含む場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可しないと決定すること、又は、
前記フィンガープリント特徴データベースが前記第1のフィンガープリントの特徴を含まない場合、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可すると決定することと
を含む、項目9に記載のデバイス。
[項目13]
前記保護デバイスは、入力デバイスをさらに備え、前記入力デバイスは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、入力済みのトランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を受信し、入力済みの複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するように構成される、又は、
前記プロセッサは、前記ネットワークインタフェースが前記第1のアクセス要求パケットを受信する前に、トランスポート層のフィンガープリントの特徴、及び/又は、ネットワーク層のフィンガープリントの特徴を取得すべく、攻撃サービスモデルにおける第3のアクセス要求パケットを解析し、解析によって取得された複数の前記フィンガープリントの特徴/1つの前記フィンガープリントの特徴を前記フィンガープリント特徴データベースに格納するようにさら構成される、
項目12に記載のデバイス。
[項目14]
前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び、前記サーバにアクセスすることが許可されてない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含み、
前記プロセッサが、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を前記識別することは、
前記プロセッサが、前記フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴に対応するオペレーティングシステムタイプを識別することであって、前記フィンガープリント特徴データベースは、オペレーティングシステムタイプと、フィンガープリントの特徴との間の対応関係を含む、識別することと、
第1のオペレーティングシステムタイプリスト又は第2のオペレーティングシステムタイプリストに基づいて、前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定することであって、前記第1のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されている少なくとも1つのオペレーティングシステムタイプを含み、前記第2のオペレーティングシステムタイプリストは、前記サーバにアクセスすることが許可されていない少なくとも1つのオペレーティングシステムタイプを含む、決定することと
を有する、項目9に記載のデバイス。
[項目15]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、トランスポート層のフィンガープリントの特徴であり、
前記トランスポート層のフィンガープリントの特徴は、
TCPオプションのオプションソート情報、
最大セグメントサイズ情報、
ウィンドウサイズ情報、
ウィンドウスケール情報、及び、
DFフラグビット情報
のうちの1又は複数を含む、項目9から14のいずれか一項に記載のデバイス。
[項目16]
前記第1のフィンガープリントの特徴及び前記フィンガープリント特徴データベース内のフィンガープリントの特徴は、ネットワーク層のフィンガープリントの特徴であり、
前記ネットワーク層のフィンガープリントの特徴は、
IPパケットの生存時間情報、及び、
IPヘッダ識別情報
のうちの1又は複数を含む、項目9から14のいずれか一項に記載のデバイス。
[項目17]
第1のアクセス要求パケットを受信するように構成されるパケット受信ユニットであって、前記第1のアクセス要求パケットは、TCP/IPプロトコルに基づいて送信されたパケットを含み、前記第1のアクセス要求パケットの宛先は、前記パケット処理装置によって保護されているサーバである、パケット受信ユニットと、
前記第1のアクセス要求パケットのトランスポート層のパケットヘッダ、及び/又は、ネットワーク層のパケットヘッダから第1のフィンガープリントの特徴を抽出するように構成されるフィンガープリント特徴抽出ユニットであって、前記第1のフィンガープリントの特徴は、前記第1のアクセス要求パケットを送信する端末デバイスのオペレーティングシステムタイプに対応する、フィンガープリント特徴抽出ユニットと、
前記第1のアクセス要求パケットが前記サーバにアクセスすることを許可するか否かを決定すべく、フィンガープリント特徴データベースに基づいて、前記第1のフィンガープリントの特徴を識別するように構成される処理ユニットであって、前記フィンガープリント特徴データベースは、前記サーバにアクセスすることが許可されている端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴、及び/又は、前記サーバにアクセスすることが許可されていない端末デバイスのオペレーティングシステムタイプに対応するフィンガープリントの特徴を含む、処理ユニットと
を備え、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されている場合、前記処理ユニットは、前記第1のアクセス要求パケットが通過することを許可する、又は、
前記第1のアクセス要求パケットが、前記サーバにアクセスすることが許可されていない場合、前記処理ユニットは、前記第1のアクセス要求パケットをブロックする、
パケット処理装置。
[項目18]
コンピュータ可読ストレージ媒体であって、前記コンピュータ可読ストレージ媒体は、プログラムを格納し、前記プログラムがプロセッサによって実行されると、前記プロセッサは、項目1から8のいずれか一項に記載の方法を実行することが可能になる、コンピュータ可読ストレージ媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
