拒绝服务攻击检测系统及拒绝服务攻击检测方法

摘要

具有：监视发送给作为拒绝服务攻击对象的通信设备的分组的监视装置；测量所述通信设备的性能的性能测量装置；以及与所述监视装置及所述性能测量装置进行通信的攻击判断装置，监视装置检测表示由发给通信设备的分组造成的业务异常性的业务异常性信息，性能测量装置检测表示通信设备的性能的异常性的性能异常性信息，攻击判断装置根据业务异常性信息和性能异常性信息，判断是否是拒绝服务攻击。

说明书

技术领域

本发明涉及通过对发送给作为拒绝服务攻击对象的通信设备的分组进行监视的监视装置、测量该通信设备的性能的性能测量装置、以及与监视装置和性能测量装置进行通信的攻击判断装置、来检测对于该通信设备的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法，特别涉及可通过提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法。

背景技术

以往，作为通过网络进行的攻击，公知有通过发送大量的分组来麻痹网络和服务器设备(以下称为“通信设备”)的拒绝服务攻击(包括分布型拒绝服务攻击)。难以通过使用了分组的特征量的方法来检测这种拒绝服务攻击，所以基于利用了业务(量)的异常性的方法的拒绝服务攻击检测系统得到了广泛应用。

该拒绝服务攻击检测系统预先以手动或自动方式计算通过在预定期间内测量发给作为攻击对象的通信设备的业务而求出的定常业务。然后，当正在监视的业务与该定常业务乖离时视为攻击，从而检测拒绝服务攻击(例如，参照专利文献1)。

专利文献1：日本特开2003-283555号公报

发明内容

但是，在这种拒绝服务攻击中，根据攻击规模、网络及通信设备的处理能力之间的关系，存在很多即使业务表现出了异常性，对通信设备所提供的服务也没有实际危害的情况。在这种情况下，即使上述的拒绝服务攻击检测系统检测为攻击，也不需要进行具体处理，所以与误检没有任何差别。

拒绝服务攻击检测系统的主要用途是保护通信设备不受造成拒绝服务的攻击，基于这种考虑，与提高鉴别业务异常性是否是攻击的精度相比，重要的是尽早发现引起性能恶化的业务的异常性。但是，在现有的拒绝服务攻击检测系统中，要在没有考虑通信设备的处理能力等的情况下，只根据业务的异常性来检测攻击，存在与性能恶化无关的业务异常性的检测、换言之不需要处理的状况的检测(广义上的误检)较多的课题。

本发明就是为了解决上述的现有技术所产生的问题而提出的，其目的在于，提供可以通过提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法。

为了解决上述的课题、达到目的，本发明的拒绝服务攻击检测系统，通过监视发送给作为拒绝服务攻击对象的通信设备的分组的监视装置、测量所述通信设备的性能的性能测量装置、以及与所述监视装置及所述性能测量装置进行通信的攻击判断装置，检测对于所述通信设备的拒绝服务攻击，其特征在于，所述监视装置具有业务异常性检测单元，其检测表示由所述分组对于所述通信设备造成的业务异常性的业务异常性信息，所述性能测量装置具有性能异常性检测单元，其检测表示所述通信设备的处理能力的异常性的性能异常性信息，所述攻击判断装置具有影响判断单元，其根据所述业务异常性信息和所述性能异常性信息，判断是否是拒绝服务攻击。

根据本发明，由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息，由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息，由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击，所以不只使用业务异常性信息、还使用性能异常性信息，根据这些异常性信息之间的关联，判断是否是拒绝服务攻击，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，所述监视装置还具有向所述攻击判断装置发送所述业务异常性信息的业务异常性信息发送单元。

根据本发明，由监视装置向攻击判断装置发送业务异常性信息，所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，所述性能测量装置还具有向所述攻击判断装置发送所述性能异常性信息的性能异常性信息发送单元。

根据本发明，由性能测量装置向攻击判断装置发送性能异常性信息，所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，所述业务异常性检测单元根据预先设定的预定的攻击检测条件，检测所述业务异常性信息。

根据本发明，根据预先设定的预定的攻击检测条件检测业务异常性信息，所以监视装置能够高效地检测业务异常性信息，并且通过变更攻击检测条件，可以容易地处理攻击模式不同的新的攻击。

并且，本发明的特征在于，在上述发明中，所述业务异常性检测单元根据所述攻击检测条件，生成表示进行对于所述通信设备的攻击的分组的特征的签名，生成包含所述签名的所述业务异常性信息。

根据本发明，根据攻击检测条件生成表示进行对于通信设备的攻击的分组的特征的签名，生成包含该签名的业务异常性信息，所以通过生成反映了进行攻击的分组的特征的业务异常性信息，可以提高业务异常性信息的可靠性。

并且，本发明的特征在于，在上述发明中，所述业务异常性检测单元根据表示发给所述通信设备的所述分组的平均业务的定常业务，检测所述业务异常性信息。

根据本发明，根据表示发给通信设备的分组的平均业务的定常业务来检测业务异常性信息，所以可根据所检测出的业务和定常业务之间的乖离状况，简单地生成业务异常性信息。

并且，本发明的特征在于，在上述发明中，所述性能异常性检测单元根据预先设定的预定的性能异常性检测条件，检测所述性能异常性信息。

根据本发明，根据预先设定的预定的性能异常性检测条件检测性能异常性信息，所以性能测量装置能够高效地检测性能异常性信息，并且通过变更性能异常性检测条件，可以容易地处理作为检测对象的通信设备的性能的差异和性能的变化。

并且，本发明的特征在于，在上述发明中，所述性能异常性检测条件包括：从向所述通信设备发送响应请求消息到接收到与所述响应请求消息对应的响应消息为止的响应时间、以及所述响应时间超过预定的阈值的次数。

根据本发明，包括：从向通信设备发送响应请求消息到接收到与响应请求消息对应的响应消息为止的响应时间、以及响应时间超过预定的阈值的次数，所以可根据通信设备的响应时间，简单地生成性能异常性信息。

并且，本发明的特征在于，在上述发明中，所述性能异常性检测单元根据表示所述通信设备的平均性能特性的定常性能，检测所述性能异常性信息。

根据本发明，根据表示通信设备的平均性能特性的定常性能来检测性能异常性信息，所以可根据所检测出的性能和定常性能特性之间的乖离状况，简单地生成性能异常性信息。

并且，本发明的特征在于，在上述发明中，在根据所述业务异常性信息和所述性能异常性信息中所包含的异常发生时刻而判断为因该业务异常性信息或该性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时，所述攻击判断单元判断为拒绝服务攻击。

根据本发明，在根据业务异常性信息和性能异常性信息中所包含的异常发生时刻、判断为因业务异常性信息或性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时，判断为拒绝服务攻击，所以不只使用业务异常性信息、还使用性能异常性信息，根据这些异常性信息之间的关联，判断是否是拒绝服务攻击，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，在由所述影响判断单元判断为拒绝服务攻击时，由所述攻击判断装置向操作者通知用装置发送该判断所使用的所述业务异常性信息和所述性能异常性信息。

根据本发明，在判断为拒绝服务攻击时，由攻击判断装置向操作者通知用装置发送判断所使用的业务异常性信息和性能异常性信息，所以操作者能够根据这些性能异常性信息进行合适的处理。

并且，本发明的特征在于，在上述发明中，所述影响判断单元进行基于所述业务异常性信息和所述性能异常性信息中所包含的证书的验证后，判断是否是拒绝服务攻击。

根据本发明，进行基于业务异常性信息和性能异常性信息中所包含的证书的验证后，判断是否是拒绝服务攻击，所以能够高效地防止使用了非正规装置的欺骗(spoofing)。

并且，本发明的拒绝服务攻击检测方法，通过监视发送给作为拒绝服务攻击对象的通信设备的分组的监视装置、测量所述通信设备的性能的性能测量装置、以及与所述监视装置及所述性能测量装置进行通信的攻击判断装置，检测对于所述通信设备的拒绝服务攻击，其特征在于，包括：业务异常性检测步骤，由所述监视装置检测表示由所述分组对于所述通信设备造成的业务异常性的业务异常性信息；性能异常性检测步骤，由所述性能测量装置检测表示所述通信设备的处理能力的异常性的性能异常性信息；以及影响判断步骤，由所述攻击判断装置根据所述业务异常性信息和所述性能异常性信息，判断是否是拒绝服务攻击。

根据本发明，由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息，由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息，由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击，所以不只使用业务异常性信息、还使用性能异常性信息，根据这些异常性信息之间的关联，判断是否是拒绝服务攻击，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，还包括业务异常性信息发送步骤，由所述监视装置向所述攻击判断装置发送所述业务异常性信息。

根据本发明，由监视装置向攻击判断装置发送业务异常性信息，所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，本发明的特征在于，在上述发明中，还包括性能异常性信息发送步骤，由所述性能测量装置向所述攻击判断装置发送所述性能异常性信息。

根据本发明，由性能测量装置向攻击判断装置发送性能异常性信息，所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

根据本发明，由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息，由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息，由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击，所以不只使用业务异常性信息、还使用性能异常性信息，根据这些异常性信息之间的关联，判断是否是拒绝服务攻击，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，根据本发明，由监视装置向攻击判断装置发送业务异常性信息，所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，根据本发明，由性能测量装置向攻击判断装置发送性能异常性信息，所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，根据本发明，根据预先设定的预定的攻击检测条件检测业务异常性信息，所以监视装置能够高效地检测业务异常性信息，并且通过变更攻击检测条件，可以容易地处理攻击模式不同的新的攻击。

并且，根据本发明，根据攻击检测条件生成表示进行对于通信设备的攻击的分组的特征的签名，生成包含该签名的业务异常性信息，所以通过生成反映了进行攻击的分组的特征的业务异常性信息，可以提高业务异常性信息的可靠性。

并且，根据本发明，根据表示发给通信设备的分组的平均业务的定常业务来检测业务异常性信息，所以可根据所检测出的业务和定常业务之间的乖离状况，简单地生成业务异常性信息。

并且，根据本发明，根据预先设定的预定的性能异常性检测条件来检测性能异常性信息，所以性能测量装置能够高效地检测性能异常性信息，并且通过变更性能异常性检测条件，可以容易地处理作为检测对象的通信设备的性能的差异和性能的变化。

并且，根据本发明，包括：从向通信设备发送响应请求消息到接收到与响应请求消息对应的响应消息为止的响应时间、以及响应时间超过预定的阈值的次数，所以可根据通信设备的响应时间，简单地生成性能异常性信息。

并且，根据本发明，根据表示通信设备的平均性能特性的定常性能来检测性能异常性信息，所以可根据所检测出的性能和定常性能之间的乖离状况，简单地生成性能异常性信息。

并且，根据本发明，在根据业务异常性信息和性能异常性信息中所包含的异常发生时刻、判断为因业务异常性信息或性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时，判断为拒绝服务攻击，所以不只使用业务异常性信息、还使用性能异常性信息，根据这些异常性信息之间的关联，判断是否是拒绝服务攻击，由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。

并且，根据本发明，在判断为拒绝服务攻击时，由攻击判断装置向操作者通知用装置发送判断所使用的业务异常性信息和性能异常性信息，所以操作者能够根据这些性能异常性信息进行合适的处理。

并且，根据本发明，进行基于业务异常性信息和性能异常性信息中所包含的证书的验证后，判断是否是拒绝服务攻击，所以能够高效地防止使用了非正规装置的欺骗。

附图说明

图1是表示本实施例的拒绝服务攻击检测系统的结构的方框图。

图2是表示图1所示的监视装置的结构的方框图。

图3是表示攻击检测条件的一例的图。

图4是表示图1所示的性能测量装置的结构的方框图。

图5是表示性能异常性检测条件的一例的图。

图6是表示图1所示的攻击判断装置的结构的方框图。

图7是表示图2所示的监视装置的动作的流程图。

图8是表示图4所示的性能测量装置的动作的流程图。

图9是表示图6所示的攻击判断装置的动作的流程图。

符号说明

1拒绝服务攻击检测系统；2LAN；3通信设备；4WAN；5监视装置；6、9通信线路；7性能测量装置；8攻击判断装置；10业务异常性检测部；11业务异常性信息发送部；12签名生成部；13、14、18、19、22通信接口；15交换机；16性能异常性检测部；17性能异常性信息发送部；20影响判断部；21警报发送部

具体实施方式

以下，参照附图详细说明本发明的拒绝服务攻击检测系统及拒绝服务攻击检测方法的优选的实施方式。

实施例

图1是表示本实施例的拒绝服务攻击检测系统1的结构的方框图。该图所示的拒绝服务攻击检测系统1是使用监视装置5、性能测量装置7以及攻击判断装置8，检测对通信设备3的拒绝服务攻击的系统。具体讲，如果LAN(Local Area Network，局域网)2上的监视装置5检测到由发给通信设备3的分组所造成的业务异常(图1的步骤1)，则向攻击判断装置8发送表示该业务异常的内容的业务异常性信息(图1的步骤2)。

并且，如果WAN(Wide Area Network，广域网)4上的性能测量装置7检测到通信设备3的性能异常(图1的步骤3)，则向攻击判断装置8发送表示该性能异常的内容的性能异常性信息(图1的步骤4)。然后，LAN 2上的攻击判断装置8接收到业务异常性信息和性能异常性信息后，根据这些异常性信息，判断是否是对于通信设备3的拒绝服务攻击(图1的步骤5)。

以往，在检测以通信设备3作为攻击对象的拒绝服务攻击时，通过在预定的期间内测量发给作为攻击对象的通信设备3的业务，预先计算出定常业务，当正在监视的业务与该定常业务乖离时视为攻击，检测出拒绝服务攻击。但是，根据拒绝服务攻击的攻击规模、网络及通信设备的处理能力之间的关系，存在很多即使业务表现出了异常性，对通信设备3所提供的服务也没有实际危害的情况。因此，在检测为拒绝服务攻击的情况下，实际上也经常不需要任何处理，产生了实质上与误检没有任何差别的状况。

在本实施例中，由监视装置5进行业务异常性的检测，由性能测量装置7进行通信装置3的性能异常性的检测，进而由攻击判断装置8进行基于业务异常性和性能异常性的攻击判断。因此，根据本实施例，能够进行不只基于业务异常性、还基于通信设备3的性能异常性的攻击判断，所以可通过拒绝服务攻击的检测精度提高来高效地只检测需要处理的拒绝服务攻击。

另外，在图1中，图示出监视装置5和攻击判断装置8与通信设备3连接在同一个LAN 2上，性能测量装置7连接在WAN 4上的情况，但不限定连接各个装置(监视装置5、性能测量装置7以及攻击判断装置8)的线路。

下面，说明该拒绝服务攻击检测系统1的系统结构。如图1所示，该拒绝服务攻击检测系统1具有：监视装置5，其设在中小企业内的LAN2上，监视通过主干网等的WAN 4发送给连接在LAN 2上的至少一个通信设备3的分组；性能测量装置7，其设在WAN 4上，通过WAN 4测量通信设备3的性能；以及攻击判断装置8，其设在LAN 2上，通过通信线路9与监视装置5和性能测量装置7连接。另外，图1所示出的拒绝服务攻击检测系统1的结构仅示出了一例，本发明的拒绝服务攻击检测系统也可以构成为具有多个性能测量装置7，还可以构成为使这些性能测量装置6的一部分或全部使用由他人提供的Web(World Wide Web，万维网)站点性能测量服务。

监视装置5通过构成LAN 2的路由器构成。另外，监视装置5也可以通过设在LAN 2上的防火墙等构成。

图2是表示图1所示的监视装置5的结构的方框图。监视装置5具有：业务异常性检测部10，其检测由发送给通信设备3的分组造成的业务的异常性；业务异常性信息发送部11，其向攻击判断装置8发送所检测出的业务异常性信息；签名生成部12，其生成表示进行对于通信设备3的攻击的分组的特征的签名；通信接口13、14，其用于分别与设在WAN4和LAN 2上的、包括攻击判断装置8在内的各个装置进行通信；以及用于对分组进行路由选择的交换机15。

业务异常性检测部10是根据预先设定的攻击检测条件检测攻击的处理部。图3是表示攻击检测条件的一例的图。在图3中，攻击检测条件通过由检测属性、检测阈值以及检测时间的组构成的两组记录构成。检测属性表示作为检测对象的分组的属性，检测阈值表示作为检测对象的分组的传输速率的阈值，检测时间表示作为检测对象的分组的传输速率超过检测阈值的时间的阈值。

例如，第1个检测条件以发送目标的地址信息是192.168.1.1(Dst＝192.168.1.1/32)、传输层的协议是TCP(Transmission Control Protocol，传输控制协议)(Protocol＝TCP)、TCP端口号是80(Port＝80)的分组作为检测对象，在该检测对象分组的传输速率超过300kbps的状态持续达10秒以上时，检测为检测对象分组所造成的业务异常性。

同样，第2个检测条件以发送目标的地址信息是192.168.1.2(Dst＝192.168.1.2/32)的分组作为检测对象，在该检测对象分组的传输速率超过100kbps的状态持续达10秒以上时，检测为检测对象分组所造成的业务异常性。

这样，由业务异常性检测部10检测到检测对象分组所进行的攻击时，签名生成部12生成表示检测对象分组的特征的签名。例如，在检测到与图3中的攻击检测条件的第1个检测条件相符的攻击时，签名生成部12生成表示发送目标地址信息是192.168.1.1、传输层协议是TCP、TCP端口号是80的分组的签名。

上述的方法是预先设定出用于判断为攻击的条件的方法，但也可以使用测量平均业务而作为定常业务进行存储、根据与该定常业务之间的乖离来判断为攻击的方法。

业务异常性信息发送部11是向攻击判断装置8发送业务异常性信息的处理部，该业务异常性信息包含由签名生成部12生成的签名，表示检测到业务的异常性。并且，该业务异常性信息发送部11将表示本装置是正规的监视装置5的证书包含在上述的业务异常性信息中进行发送。这样，通过在业务异常性信息中包含证书，可以防止非正规装置进行的欺骗。

另外，业务异常性信息发送部11也可以通过与收发分组的传输路径6不同的路径发送业务异常性信息。并且，在本实施例中，向攻击判断装置8发送业务异常性信息，但也可以使攻击判断装置8参照监视装置5的业务异常性信息。

图1所示的性能测量装置7由执行测量互联网站的响应时间的程序的计算机构成。

图4是表示图1所示的性能测量装置7的结构的方框图。该性能测量装置7具有：性能异常性检测部16，其根据预先设定的性能异常性检测条件检测性能的异常性；性能异常性信息发送部17，其向攻击判断装置8发送所检测出的性能异常性信息；以及用于分别与攻击判断装置8和进行测量性能用的通信的通信接口18、19。

图5是表示性能异常性检测条件的一例的图。在图5中，性能异常性检测条件通过由性能属性、检测阈值以及检测次数的组构成的两组记录构成。性能属性表示测量性能的步骤，检测阈值表示来自通信装置3的响应时间的阈值，检测次数表示测量次数和测量次数中的超过响应时间阈值的次数。

例如，第1个性能异常性检测条件是测量按照HTTP访问www.abc.com、到返回来字符串“hello”为止的响应时间的条件。并且，在3次测量中有两次或以上的响应时间是大于等于5秒时，检测为通信装置3的性能异常。

同样，第2个性能异常性检测条件在按照HTTP、利用参数“search？hl＝ja&ie＝UTF-8&q＝x+Y&lr＝”访问www.def.com，到返回来字符串“検索結果”(检索结果)为止的响应时间只要有一次是大于等于5秒时，即检测为通信装置3的性能异常。

这样，性能异常性检测部16检测通信装置3的性能异常时，性能异常性信息发送部17向攻击判断装置8发送表示检测到性能的异常性的性能异常性信息。并且，该性能异常性信息发送部17将表示本装置是正规的性能测量装置7的证书包含在上述的性能异常性信息中进行发送。这样，通过在性能异常性信息中包含证书，可以防止非正规装置进行的欺骗。另外，在本实施例中，向攻击判断装置8发送性能异常性信息，但也可以使攻击判断装置8参照性能测量装置7的性能异常性信息。

上述的方法是预先设定出用于检测性能异常性的条件的方法，但也可以使用测量平均性能特性而作为定常性能进行存储、根据与该定常性能之间的乖离来检测性能异常性的方法。

图6是表示图1所示的攻击判断装置8的结构的方框图。该攻击判断装置8具有：影响判断部20，其根据从监视装置5发送来的业务异常性信息、以及从性能测量装置7发送来的性能异常性信息，判断是否是由所检测出的业务异常引起了所检测出的性能异常；将判断结果通知给操作者等的警报发送部21；以及用于分别与监视装置5、性能测量装置7及操作者通知用装置进行通信的通信接口22。

例如，假设www.abc.com的主机地址是192.168.1.1。并且，假设在某个时间t，接收到表示发给192.168.1.1的TCP端口号为80的业务为异常的业务异常性信息，然后在时刻t+α的时间点，接收到表示产生了www.abc.com的通信装置3的响应时间异常的性能异常性信息。在这种状况中，在与各个异常性信息相关的异常的发生时间接近的情况下(例如，α在1分钟以内)，判断为由业务的异常性引起www.abc.com的响应恶化的可能性较大，通过警报发送部21将该情况传达给操作者，催促其进行处理。

这样，由影响判断部20判断为拒绝服务攻击时，警报发送部21向操作者通知用装置发送该判断所使用的业务异常性信息和性能异常性信息。另外，在本实施例中，向操作者通知用装置发送这种业务异常性信息和性能异常性信息，但也可以通过使攻击判断装置8具有显示装置等，将这些异常性信息通知给操作者。

并且，该影响判断部20也可以根据从监视装置5发送来的业务异常性信息、以及从性能测量装置7发送来的性能异常性信息中所包含的证书进行验证后，判断是否是拒绝服务攻击。这样，可以排除由伪造的业务异常性信息或性能异常性信息造成的影响。

使用图7～图9说明如上所述构成的拒绝服务攻击检测系统1的动作。图7是表示图2所示的监视装置5的动作的流程图。

首先，业务异常性检测部10根据攻击检测条件、检测到由发送给通信设备3的分组进行的攻击时(步骤S1)，通过签名生成部12生成表示检测到攻击的分组的特征的签名(步骤S2)，通过异常性信息发送部11将包含所生成的签名的业务异常性信息发送给攻击判断装置8(步骤S3)。

图8是表示图4所示的性能测量装置7的动作的流程图。首先，性能异常性检测部16根据性能异常检测条件检测到通信设备3的响应时间的异常性时(步骤S11)，生成包含所检测出的信息的性能异常性信息(步骤S12)，通过性能异常性信息发送部17将所生成的性能异常性信息发送给攻击判断装置8(步骤S13)。

图9是表示图6所示的攻击判断装置8的动作的流程图。从监视装置5发送来业务异常性信息时(步骤S21)，从此前接收到的性能异常性信息中，检索认为是由该业务异常性引起的性能异常性信息(步骤S22)，找到时，向操作者通知用装置发送该业务异常性信息和性能异常性信息(步骤S23)。

并且，从性能测量装置7发送来性能异常性信息时(步骤S24)，从此前接收到的业务异常性信息中，检索认为是该性能异常性的原因的业务异常性信息(步骤S25)，找到时，向操作者通知用装置发送该业务异常性信息和性能异常性信息(步骤S23)。

如上所述，根据拒绝服务攻击检测系统1，检测业务异常性和性能异常性，判断这些异常性之间的关联，由此可以只检测引起性能异常的业务异常，所以可通过提高拒绝服务攻击的检测精度而只检测需要运用者的处理的拒绝服务攻击。

另外，上述实施例所示的监视装置、性能测量装置以及攻击判断装置通过在计算机上加载程序并执行来发挥作用。具体讲，在监视装置的计算机的ROM(Read Only Memory，只读存储器)等中存储包括检测发给通信设备的分组的业务异常性的例程的程序，并且在性能测量装置的计算机的ROM等中存储包括检测通信设备的性能异常性的例程的程序，并且在攻击判断装置的计算机的ROM等中存储包括判断业务异常性信息和性能异常性信息之间的关联的例程的程序，各个装置把这些程序加载到CPU上而执行，由此可以形成本发明的监视装置、性能测量装置以及攻击判断装置。

工业上的可利用性

如上所述，本发明的拒绝服务攻击检测系统和拒绝服务攻击检测方法适合于检测对通信设备的拒绝服务攻击的情况。