本发明涉及网络攻击缓解方法和网络攻击缓解设备，该网络攻击缓解设备抵抗使用不利于网络上或关于网络上的设备的非必需包的攻击，并且网络攻击缓解程序被用以识别网络攻击缓解方法。
更明确地，本发明涉及一种技术，通过该技术，当缓解措施抵抗由一个或多个连接到网络的终端通过发送非必需包至一个或多个其他终端或服务器做出的网络攻击时，可用于阻断由连接网络的包的发送者的终端提供的服务，并且针对攻击的缓解措施可由多个设备执行，各个设备自行终止缓解措施并会聚缓解范围。

在包括大量发送非必需包的网络攻击(DDoS攻击)的情况下，由于恶意包从多个网络上的点发出，网络可通过在网络上的多个点采取针对攻击的缓解措施来被有效地保护。
诸如Arvor Networks的PeakFlow以及NTT公司的MovingFirewall的网络攻击缓解系统使用以上的技术。
通过使用Arbor Networks的PeakFlow(例如，参见非专利文献1)，在多个点上的通信被监控以检测网络攻击。缓解措施通过网络内提供的路由器、防御设备或类似设备来抵抗攻击。
然而，在PeakFlow中，当攻击被解决时，系统的管理器需要终止缓解措施。
另一方面，通过使用NTT公司的MovingFirewall，攻击在防御目标附近被检测以把防火墙功能转移到多个攻击主机，从而扩大防御的网络。
在MovingFirewall中，网络内各个设备各自确定攻击的终止以终止缓解措施。通过这样的做法，攻击信息被保留以对攻击的恢复做准备。当所有的设备最终确定攻击被终止时，能获取所有设备信息的管理器设备初始化各个设备并且攻击信息被删除。
如此，通过MovingFirewall，当攻击平定下来时，各个设备被初始化而不取决于系统管理器。系统管理器也可以发出初始化所有设备的命令。非专利文献1：PEAKFLOW SP，网址http：//www.arbometworks.com发明描述本发明要解决的问题NTT公司的MovingFirewall构建了抵抗DDoS攻击的有效的缓解系统；然而，它需要管理设备。
另一方面，在某些网络攻击缓解设备中，系统确定攻击的终止，并自动地返回正常状态。
在这样的系统中，存在一种方法，通过该方法，当各个设备分别终止针对攻击的缓解措施时，各个设备一经确定的攻击终止后，攻击信息被立即删除。
然而，当使用该方法时，存在以下的问题。也就是说，如果其他设备继续采取缓解措施抵抗攻击，由于存在攻击恢复的可能，那么不具有攻击信息的设备在攻击恢复的时候不能立即抵抗攻击。因此，这变成了系统的一个弱点，并且应该被阻止的攻击通信流进保护的网络(之后称为“问题1”)。
为了在攻击恢复的时候立即抵抗攻击，因此存在一种继续保留以往信息的方法。
然而，如果关于攻击的信息被保留，那么以往攻击信息将饱和从而压制检测处理和缓解处理。因此，在某点及时删除这些信息是必要的。然而，如果删除过程被单独地执行，那么存在一个问题，即不能确定删除的适当机会(以下称为“问题2”)。
此外，存在一种方法，该方法为管理系统被安装以确定缓解措施已经在所有设备内终止，从而执行缓解措施的最后终止。
然而，通过这种方法，存在需要管理设备的问题(以下称为“问题3”)。此外，当攻击在缓解措施通过各个设备已经被终止后恢复时，用于立即抵抗攻击的信息被删除直到所有设备终止缓解措施。因此，这不足以成为问题2的解决方案。
本发明已经实现解决以上的问题。本发明的目的是要提供新的网络攻击缓解技术，该技术能实现针对攻击的缓解措施的终止处理，当解决这些问题的同时，当本发明被应用到多个网络攻击缓解设备时通过由每个设备的自主确定来终止针对攻击的缓解措施。
用于解决问题的方法为了解决以上的问题以及实现以上的目标，根据本发明的权利要求1，一种连接多个网络攻击缓解设备合作而进行防御来自攻击者设备的对于网络攻击缓解设备的攻击的网络攻击缓解方法，其中，该攻击者设备使用发送非必需包对网络上的设备或网络进行攻击，包括基于比所述网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备是否正在执行针对攻击的缓解措施、或正在对攻击的恢复做准备的、或已经终止针对攻击的缓解措施并返回正常状态来确定是否当针对攻击的缓解措施响应于攻击的终止而被终止时，对攻击的恢复做准备是否是必要的；当在确定处确定对攻击的恢复做准备是不必要时，删除与攻击有关的信息并导致网络攻击缓解设备返回正常状态；以及当在确定处确定对攻击的恢复做准备是必要时，在不删除与攻击有关的信息的情况下对攻击的恢复做准备。
根据本发明的权利要求2，确定包括根据是否存在位于比网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求3，方法进一步包括通知与攻击有关的信息至比网络攻击缓解设备更靠近攻击者设备的其他网络攻击缓解设备作为针对攻击的缓解措施。此外，确定包括基于如攻击信息的目的的其他网络攻击缓解设备是否已经返回正常状态来确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求4，确定包括确定当所有其他如攻击信息目的的网络攻击缓解设备已经返回正常状态时，对攻击的恢复做准备是不必要的。
根据本发明的权利要求5，方法进一步包括当网络攻击缓解设备删除攻击信息并返回正常状态时，通知返回正常状态至其他如与攻击有关的信息的目的的网络攻击缓解设备。此外，在从所有其他如攻击信息的目的的网络攻击缓解设备中接收表明网络攻击缓解设备已经返回正常状态的通知后，确定包括确定对攻击的恢复做准备是不必要的。
根据本发明的权利要求6，一种连接多个网络攻击缓解设备合作而进行防御来自攻击者设备的对于网络攻击缓解设备的攻击的网络攻击缓解设备，其中，所述攻击者设备使用发送非必需包对网络上的设备或网络进行攻击，包括确定单元，该确定单元基于比所述网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备是否正在执行针对攻击的缓解措施、或正在对攻击的恢复做准备的、或已经终止针对攻击的缓解措施并返回正常状态来确定是否当针对攻击的缓解措施响应于攻击的终止而被终止时，对攻击的恢复做准备是否是必要的；返回单元，该返回单元当确定单元确定对攻击的恢复做准备是不必要时，删除与攻击有关的信息并导致网络攻击缓解设备返回正常状态；以及恢复准备单元，该恢复准备单元当确定单元确定对攻击的恢复做准备是必要时，在不删除与攻击有关的信息的情况下对攻击的恢复做准备。
根据本发明的权利要求7，在网络攻击缓解设备内，确定单元根据是否存在位于比网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求8，网络攻击缓解设备包括攻击通知单元，该攻击通知单元通知与攻击有关的信息至比网络攻击缓解设备更靠近攻击者设备的其他网络攻击缓解设备作为针对攻击的缓解措施。此外，确定单元基于如攻击信息的目的的其他网络攻击缓解设备是否已经返回正常状态来确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求9，在网络攻击缓解设备中，确定单元确定当所有其他如攻击信息目的的网络攻击缓解设备已经返回正常状态时，对攻击的恢复做准备是不必要的。
根据本发明的权利要求10，网络攻击缓解设备包括返回通知单元，该返回通知单元当网络攻击缓解设备删除攻击信息并返回正常状态时，通知返回正常状态至其他如与攻击有关的信息的目的的网络攻击缓解设备。此外，在从所有其他如攻击信息的目的的网络攻击缓解设备中接收表明网络攻击缓解设备已经返回正常状态的通知后，确定单元确定对攻击的恢复做准备是不必要的。
根据本发明的权利要求11，一网络攻击缓解程序，该网络攻击缓解程序执行一种连接多个网络攻击缓解设备合作而进行防御来自攻击者设备的对于网络攻击缓解设备的攻击的网络攻击缓解方法，其中，所述攻击者设备使用发送非必需包对网络上的设备或网络进行攻击，包括基于比所述网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备是否正在执行针对攻击的缓解措施、或正在对攻击的恢复做准备的、或已经终止针对攻击的缓解措施并返回正常状态来确定是否当针对攻击的缓解措施响应于攻击的终止而被终止时，对攻击的恢复做准备是否是必要的；当在确定处确定对攻击的恢复做准备是不必要时，删除与攻击有关的信息并导致网络攻击缓解设备返回正常状态；以及当在确定处确定对攻击的恢复做准备是必要时，在不删除与攻击有关的信息的情况下对攻击的恢复做准备。
根据本发明的权利要求12，在网络攻击缓解程序内，确定包括根据是否存在位于比网络攻击缓解设备更靠近攻击者设备的第一网络攻击缓解设备确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求13，网络攻击缓解程序进一步导致网络攻击缓解设备执行通知与攻击有关的信息至比网络攻击缓解设备更靠近攻击者设备的其他网络攻击缓解设备作为针对攻击的缓解措施。此外，确定包括基于如攻击信息的目的的其他网络攻击缓解设备是否已经返回正常状态来确定对攻击的恢复做准备是否是必要的。
根据本发明的权利要求14，在网络攻击缓解程序内，确定包括确定当所有其他如攻击信息目的的网络攻击缓解设备已经返回正常状态时，对攻击的恢复做准备是不必要的。
根据本发明的权利要求15，网络攻击缓解程序进一步导致当网络攻击缓解设备删除攻击信息并返回正常状态时，网络攻击缓解设备执行通知返回正常状态至其他如与攻击有关的信息的目的的网络攻击缓解设备。此外，在从所有其他如攻击信息的目的的网络攻击缓解设备中接收表明网络攻击缓解设备已经返回正常状态的通知后，确定包括确定对攻击的恢复做准备是不必要的。
发明效果根据权利要求1、6、或11的发明，当针对攻击的缓解措施被响应于攻击的终止而终止时，根据网络攻击缓解设备是否比现在正在执行针对攻击的缓解措施、或正在对攻击的恢复做准备的、或已经终止针对攻击的缓解措施并返回正常状态的自己的设备更靠近攻击者设备的情况，确定对攻击的恢复做准备是否是必要的。当确定对攻击的恢复做准备是不必要时，与攻击有关的信息被删除并且恢复正常状态。相应地，在通过使用多个网络攻击缓解设备用于保护网络的系统中，即使各个设备在没有使用管理设备的情况下分别确定攻击的终止并缓解措施的终止，当对攻击的恢复做准备时，缓解范围可被有效地会聚。
根据权利要求2、7、或12的发明，根据比自己的设备更靠近攻击者设备的网络攻击缓解设备的存在来确定对攻击的恢复做准备是否是必要的。相应地，即使当没有比自己的设备更靠近攻击者设备的网络攻击缓解设备存在时，当对攻击的恢复做准备时，缓解范围可被有效地会聚。
根据权利要求3、8、或13的发明，攻击消息被通知到另一个比自己的设备更靠近攻击者设备的网络攻击缓解设备作为针对攻击的缓解措施，并且根据如攻击信息的目的的其他网络攻击缓解设备是否返回正常状态来确定对攻击的恢复做准备是否是必要的。因此，基于其他攻击的通知从自己的设备被发送至的网络攻击缓解设备是否已经返回正常状态，通过确定是否由自己的设备继续针对攻击的缓解措施，可有效地确定是否继续针对攻击的缓解措施。相应地，当对攻击的恢复做准备时，缓解范围可被有效地会聚。
根据权利要求4、9、或14的发明，当所有其他如攻击信息的目的的网络攻击缓解设备返回正常状态时，确定对攻击的恢复做准备是不必要的。因此，当所有其他已经被已由自己的设备通知攻击的网络攻击缓解设备已经返回正常状态时，也就是说，当被检测到自己的设备是最靠近攻击者设备的最前节点时，终止针对攻击的缓解措施。相应地，缓解范围可被有效地会聚。
根据权利要求5、10、或15的发明，当攻击信息被删除并且正常状态被恢复时，该事件被通知到其他网络攻击缓解设备，这是攻击信息的通知器。当从所有其他如攻击信息的目的的网络攻击缓解设备被通知设备已经返回正常状态时，确定对攻击的恢复做准备是不必要的。因此，通过使用返回通知，可可靠地确认所有其他已由自己的设备通知攻击的网络攻击缓解设备已经返回正常状态。相应地，缓解范围可被有效地会聚。
附图简要图1是结合DDoS防御设备的受害的防御的例子；图2是根据本发明的DDoS防御设备的配置的例子；图3是恶意包信息数据库的数据结构的例子；图4是结合控制数据库的设备的数据结构的例子；图5是由包调度器执行的处理流程的例子；图6是由攻击检测模块执行的处理流程的例子；图7是由攻击缓解模块执行的处理流程的例子；图8是由终止/恢复控制执行的处理流程的例子；图9是由设备合作控制执行的处理流程的例子；图10是由设备合作控制执行的处理流程的另一个例子。
字母或数字的解释101  网络接口102  包调度器103  攻击检测模块
104  恶意包信息数据库105  攻击缓解模块106  终止/恢复控制107  设备合作控制108  结合控制数据库的设备实现本发明的最佳模式将解释当本发明被应用到网络攻击缓解设备时的处理。给出了以下条件的解释，抵抗具体攻击的缓解措施被终止，根据网络攻击缓解设备的状态是否是“正常状态”来确定是否对攻击的恢复做准备是必要的，在“正常状态”中网络攻击缓解设备已经终止针对攻击的缓解措施并已经返回到正常状态。然而，本发明不是要限制于此，可根据缓解状态是否是“在缓解的中间状态”或“恢复准备状态”来确定是否对攻击的恢复做准备是必要的，在“在缓解的中间状态”中攻击缓解正在被执行，在“恢复准备状态”中虽然攻击缓解被终止，但是与攻击有关的信息被保留。
本发明的网络攻击缓解设备与其他设备(网络攻击缓解设备)合作以使网络抵抗来自网络的攻击。如果攻击信息从另一设备被通知，那么网络攻击缓解设备存储设备的信息。当检测到来自自己的设备的攻击时，网络攻击缓解设备存储自己的设备已经检测到攻击。在通知攻击信息到另一设备的时候，网络攻击缓解设备存储通知被发送至哪一设备。
当确定在采取攻击缓解措施期间的监控的网络内的攻击通信已经稳定时，本发明的网络攻击缓解设备终止攻击缓解。
此时，当表明攻击通信已经稳定的攻击信息被通知到另一设备时，网络攻击缓解设备保持攻击信息而不删除它以对攻击的恢复做准备。
另一方面，如果表明攻击通信已经稳定的攻击信息没有被通知到另一设备，那么网络攻击缓解设备删除攻击信息并返回到正常状态。
此时，当被删除的攻击信息是从另一设备通知的信息，那么网络攻击缓解设备通知其他设备攻击已经稳定并且攻击信息已经被删除(返回通知到正常状态)。当被删除的攻击信息已经由自己的设备检测到时，网络攻击缓解设备不需要通知攻击信息的删除，并返回到正常状态。
在接收到来自另一设备的攻击信息的删除通知后，本发明的网络攻击缓解设备存储已经通知删除的设备信息。此时，网络攻击缓解设备检测攻击缓解措施是否在自己的设备内已经被终止，以及攻击信息删除通知是否已经从所有其他自己的设备已经通知攻击信息至其的设备中所接收。
作为检测的结果，如果确定攻击缓解措施没有在自己的设备中被终止，那么缓解措施继续。另一方面，虽然攻击缓解措施已经在自己的设备内终止，如果有任一还没有发送攻击信息删除通知的设备存在，那么网络攻击缓解设备对攻击的恢复做准备。
如果攻击缓解措施已经在自己的设备内被终止，并且攻击信息删除通知已经从所有其他攻击信息已经从自己的设备被发送至其的设备中被接收，那么网络攻击缓解设备也删除攻击信息，并返回到正常状态。
此时，当被删除的攻击信息是来自另一设备的通知的信息时，网络攻击缓解设备通知设备攻击已经稳定并且攻击信息已经被删除。当被删除的攻击信息由自己的设备所检测到时，通知攻击信息已经被删除是不必要的，此后网络攻击缓解设备返回到正常状态。
根据该规则，即使本发明的各个网络攻击缓解设备分别执行确定以通过执行攻击缓解措施的终止处理来终止攻击缓解措施，在不形成在被保护的网络内的弱点的情况下，在其中设备执行攻击缓解措施和设备对攻击的恢复做准备的出现的范围可被会聚。当攻击恢复时，在会聚期间的设备可立即执行针对攻击的缓解措施，并且设备再次通知攻击信息到其他设备，从而扩大防御范围。
因此，根据本发明，由于在其内设备执行攻击缓解以及设备为当前攻击的恢复做准备的范围可响应于攻击被灵活地更改，各个设备的处理由攻击信息的饱和压制的可能性比在传统技术内的低。由于各个设备可执行各自确定以终止攻击缓解措施并返回到正常状态，为实现处理而提供管理设备是不必要的。
实施例图1是用于在发生DDoS攻击的时候与多个DDoS防御设备合作防御受害者的连接的例子，作为本发明的实施例。
在图1中，DDoS攻击主机31至35发送恶意包到受害者11和12。多个DDoS防御设备21到27在各个DDoS攻击主机31到35和受害者11和12之间连接，并且这些DDoS防御设备21到27相互之间合作以防御受害者11和12不受来自DDoS攻击。
当抵抗受害者11和12的DDoS攻击发生时，尤其，这些DDoS防御设备21到27组织抵抗攻击的防御，从接近受害者11和12的DDoS防御设备21和22开始通过以下的方式把防御线向DDoS攻击主机31到35延伸：DDoS防御设备21和22->DDoS防御设备23->DDoS防御设备24->DDoS防御设备25和26->DDoS防御设备27。
当DDoS攻击结束时，抵抗攻击的防御从远离受害者11和12的DDoS防御设备25到27中被终止，并且防御线以以下的方式所会聚：DDoS防御设备25和26->DDoS防御设备24->DDoS防御设备23DDoS防御设备27->DDoS防御设备23->DDoS防御设备21和22。
图2中显示了结合本发明的DDoS防御设备21到27的配置的例子。
实施例中的DDoS防御设备21到27包括网络接口101、包调度器102、攻击检测模块103、恶意包信息数据库104、攻击缓解模块105、终止/恢复控制106、设备合作控制107、以及设备合作控制数据库108。
当不发生DDoS攻击时，在由网络接口101接收包后，DDoS防御设备21到27通过包调度器102传送包至网络接口101。
另一方面，在DDoS攻击的状态，由网络接口101接收恶意包之后，DDoS防御设备21到27通过终止/恢复控制106和攻击检测模块103传送包与通过攻击缓解模块105从属于攻击缓解处理的包至网络接口101。相应地，受害者11和12可被保护以免受来自DDoS的攻击。
图3显示了恶意包信息数据库104的数据结构的例子，并且图4显示了设备合作控制数据库108的数据结构的例子。
恶意包信息数据库104用于控制恶意包信息。如图3所示的，抵抗恶意包的缓解方法、用于终止缓解方法的条件、用于缓解方法的恢复的条件、以及表明缓解方式是活动还是暂停(暂停等同于终止)的状态信息被与恶意包的流信息关联所控制。
设备合作控制数据库108控制相互合作执行针对攻击的缓解措施的设备的合作信息。如图4所示的，发送恶意包信息(发送者设备的信息)的设备信息、接收到恶意包信息(目的设备的信息)的设备信息、以及目的设备的状态信息被控制。目的设备包括自己的设备，并且自己的设备的状态信息根据目的设备的状态信息所被控制。
例如，显示在图4的设备合作控制数据库108时包括在设备“3”内的设备合作控制数据库108的一个例子，其中控制了恶意包信息从DDoS防御设备，设备“1”发送到自己的设备、恶意包信息被发送到DDoS防御设备，设备“4”(当前状态是“活动”)、以及自己的设备在“终止的(被暂停)”状态。恶意包信息表明IP地址是“1.1.1.1”，协议是“UDP”，端口号是“1434”，缓解方法是“阻塞”，终止条件是“当每秒10兆位(Mbps)通信保持3秒时终止缓解措施”，恢复条件是“当20Mbps通信持续1秒时恢复缓解方法”。
图5显示了通过包调度器102执行的处理流程的例子，图6显示了通过攻击检测模块103执行的处理流程的例子，图7显示了通过攻击缓解模块105执行的处理流程的例子，图9和10显示了由终止/恢复控制106执行的处理流程的例子以及通过设备合作控制107执行的处理流程的例子。
由具有这样配置的DDoS防御设备21到27执行的处理将根据这些处理流程所解释。
首先根据图5的处理流程解释由包调度器执行的处理。
如在图5的处理流程中显示的，在步骤10从网络接口101接收包之后，包调度器102继续到步骤11以备份接收到的包以及把备份的包传送到攻击检测模块103。
继续到步骤12，包调度器102确定接收到的包的信息是否已经在恶意包信息数据库104内登记。
当根据确定处理确定接收到的包已经在恶意包信息数据库104中被登记时，包调度器102继续到步骤13以备份接收到的包并把备份的包传送到终止/恢复控制106。
继续到步骤14，包调度器102确定存储在被在恶意包信息数据库104内登记的登录信息(适合于接收到的包的登录信息)内的状态信息是否表明“活动”。
当确定在适用于接收到的包的登录信息内的登记的状态信息表明“活动”时，包调度器102继续到步骤15以传送接收到的包至攻击缓解模块105，然后返回到步骤10。
另一方面，当确定接收到的包的信息没有在步骤12被登记在恶意包信息数据库104内时，包调度器102继续到步骤16以传送接收到的包至网络接口101，然后返回步骤10。
当在步骤14确定在适合于接收到的包的登录信息内登记的状态信息不表明“活动”时，也就是说，状态信息表明“暂停”时，包调度器102继续到步骤16以传送接收到的包至网络接口101，然后返回步骤10。
因此，在从网络接口101接收包之后，基于接收到的包是否是存储在恶意包信息数据库104内的恶意包或攻击缓解措施是否正在被执行，包调度器102传送接收到的包的备份至攻击检测模块103，并且传送接收到的包的备份至终止/恢复控制106，传送接收到的包至攻击缓解模块105，或传送接收到的包至网络接口101。
根据图6的处理流程，解释由攻击检测模块103执行的处理。
如图6的处理流程所示的，在从包调度器102接收包之后，攻击检测模块103继续到步骤21以确定接收到的包是否在恶意包信息数据库104内被登记。
当根据确定处理确定接收到的包已经在恶意包信息数据库104内登记时，攻击检测模块103继续到步骤22以确定是否传送登记的信息到另一设备。当登记的信息没有被传送时，攻击检测模块103确定“传送”，并且当登记的信息已经被传送时，攻击检测模块103确定“不传送”。当已经确定把信息传送到另一设备时，攻击检测模块103继续到步骤23以通知包括登记的信息的合作消息至设备合作控制107，然后返回步骤20。
另一方面，当已经确定登记的信息没有被发送到另一设备时，攻击检测模块103立即返回到步骤20而不执行在步骤23的处理。
当在步骤21确定接收到的包没有在恶意包信息数据库104内登记时，攻击检测模块103继续到步骤24以确定接收到的包是否是恶意包。
当根据确定处理确定接收到的包是恶意包时，攻击检测模块103继续到步骤25，在此攻击检测模块103生成恶意包信息，并把生成的恶意包信息登记到恶意包信息数据库104内。继续到步骤26，攻击检测模块103通知设备合作控制107包括恶意包信息的登记消息，然后返回步骤20。
另一方面，当在步骤24确定接收到的包不是恶意包时，攻击检测模块103返回步骤20而不执行步骤25和26的处理。
在从包调度器102接收包之后，如果接收到的包被登记在恶意包信息数据库104内并且传送恶意包信息到另一设备是必要的，那么攻击检测模块108通知设备合作控制107合作消息。如果接收到的包没有在恶意包信息数据库104内登记并且接收到的包是恶意包，那么攻击检测模块103生成恶意包信息并且把它登记到恶意包信息数据库104中，然后通知设备合作控制107登记消息。
根据图7的处理流程解释由攻击缓解模块执行的处理。
如图7显示的处理流程，在步骤30从包调度器102接收包之后，攻击缓解模块105继续到步骤31以指定被存储在恶意包信息数据库104中的适合于接收到的包的登录信息。
接着，在步骤32把记录在指定的登录信息内的缓解方法应用到接收到的包之后，在步骤33攻击缓解模块105确定传送包是否是必要的。当传送包是必要时，攻击缓解模块105继续到步骤34以传送从属缓解方法的接收到的包至网络接口101。
因此，当从包调度器102接收到包时，攻击缓解模块105把攻击缓解方法应用到接收到的包并把包传送到网络接口101。
根据图8解释由终止/恢复控制106执行的处理。
如图8所示的处理流程，在从包调度器102接收包(登记在恶意包信息数据库104内的恶意包)之后，终止/恢复控制106继续到步骤41以指定存储在恶意包信息数据库104内的适合于接收到的包的登录信息。继续到步骤42，终止/恢复控制106确定记录在指定的登录信息内的状态信息是否是活动。
根据确定处理，当确定记录在适合于接收到的包的指定的登录信息的状态信息是活动时，终止/恢复控制106继续到步骤43以确定存储在登录信息内的终止条件是否被满足。如果终止条件被满足，那么终止/恢复控制106继续到步骤44以通知终止消息至设备合作控制107。
继续到步骤45，终止/恢复控制106把记录在指定的登录信息内的状态信息从“活动”更转为“终止的”以更新恶意包信息数据库104并结束处理。
另一方面，当在步骤43确定存储在适合于接收到的包的登录信息内的终止条件没有被满足时，终止/恢复控制106立即结束处理而不执行步骤44和45的处理。
在步骤42，当确定记录在适合于接收到的包的指定的登录信息内的状态信息不是活动时，也就是说，被终止时，终止/恢复控制106继续到步骤46以确定存储在登录信息内的恢复条件是否被满足。当恢复条件被满足时，终止/恢复控制106继续到步骤47以通知恢复消息至设备合作控制107。
继续到步骤48。终止/恢复控制106把记录在指定的登录信息内的状态信息从“终止的”更转为“活动”以更新恶意包信息数据库104，然后接触处理。
另一方面，当在步骤41确定存储在适合于接收到的包的登录信息内的恢复条件不被满足时，终止/恢复控制106立即结束处理而不执行步骤47和48的处理。
因此，在从包调度器102接收在恶意包信息数据库104内登记的恶意包之后，当缓解方法是活动的(正在被执行)时候，终止/恢复控制106确定终止条件是否被满足。当终止条件被满足时，终止/恢复106通知终止信息到设备合作控制107。另一方面，当缓解方法被终止时，终止/恢复控制106确定恢复条件是否被满足。当恢复条件被满足时，终止/恢复控制106通知恢复消息至设备合作控制107。
根据图9和图10的处理流程解释由设备合作控制107执行的处理。
如图9和图10显示的处理流程，当在步骤50确定终止消息被从另一设备发送(通过由包括在其他设备内的设备合作控制107执行在步骤54的处理)时，在步骤51设备合作控制107通过使用包括在接收到的终止消息内的恶意包信息作为搜索关键字搜索设备合作控制数据库108以指定存储在设备合作控制数据库108内的相关登录信息，并把记录在指定的登录信息内的目的(具有发送的终止消息的设备)状态从“活动”更转为“结束”(等同于终止)。
继续到步骤52，设备合作控制107确定记录在指定的登录信息内的目的状态(包括自己的设备状态)是否全部转变为“结束”。当确定所有状态都是“结束”时，设备合作控制107继续到步骤53以确定目的信息是否已经在指定的登录信息内所登记。
根据在步骤52和53的确定处理，当记录在指定的登录信息内的目的状态(包括自己设备的状态)都被转为“结束”并且发送者信息被存储在登录信息内时，设备合作控制107继续到步骤54以重新创建包括存储在登录信息内的恶意包信息的结束消息，并把创建的结束消息传送到登记在发送者信息的设备。
当完成结束消息的传送时，在步骤55，设备合作控制107从设备合作控制数据库108中删除登录信息。
因此，当从另一设备接收结束消息时，设备合作控制107执行从步骤50到55的处理。因此，当结束消息从所有设备中接收时，自己的设备发送恶意包信息至设备(位于比自己的设备更靠近防御边最前方的设备)，以及自己的设备结束缓解措施，设备合作控制107发送结束消息到发送恶意包信息至自己的设备的设备(发送者设备)，以及从设备合作控制数据库108中删除关于恶意包信息的登录信息。
另一方面，当在步骤56确定是否从终止/恢复控制106中发送终止消息时，设备合作控制107使用包括在接收到的终止消息内的恶意包信息作为在步骤57的搜索关键字搜索恶意包信息数据库104以指定相关登录信息，并从恶意包信息数据库104中删除指定的登录信息。通过该删除处理，缓解措施被终止(结束)。
继续到步骤58，设备合作控制107通过使用被包括在接收到的终止消息内的恶意包信息作为搜索关键字搜索设备合作控制数据库108以指定存储在设备合作控制数据库108内的相关登录信息，并把记录在指定的登录信息内的相应目的(当该程序被使用时为自己的设备)的状态从“活动”更转为“结束”。
继续到步骤52，设备合作控制107确定记录在指定的登录信息内的目的状态(包括自己设备的状态)是否全部变为“结束”。当确定目的的状态全部变为“结束”时，设备合作控制107继续到步骤53以确定发送者信息已经在指定的登录信息内登记。
根据在步骤52和53的确定处理，当记录在指定的登录信息内的目的状态(包括自己的设备的状态)被全部转为“结束”，并且发送者信息已经在指定的登录信息内被登记时，设备合作控制107继续到步骤54，在此设备合作控制107重新生成包括存储在登录信息内的恶意包信息的结束消息，并且发送生成的结束消息至在发送者信息内登记的设备。
当已经发送结束消息时，在步骤55设备合作控制107从设备合作控制数据库108中删除登录信息。
因此，设备合作控制107执行在步骤56到58的处理并且当从自己的设备的终止/恢复控制106中接收终止消息时执行步骤52到55的处理。相应地，当已经从所有设备中接收结束消息时，自己的设备发送恶意包信息至设备(位于比自己的设备更靠近防御边最前方的设备)，以及自己的设备结束缓解措施，设备合作控制107发送结束消息到发送恶意包信息至自己的设备的设备(发送者设备)，以及从设备合作控制数据库108中删除关于恶意包信息的登录信息。
另一方面，当在步骤59确定合作消息是否从另一设备被发送(通过由包括在另一设备内的设备合作控制107在步骤65执行的处理)时，在步骤60设备合作控制107把包括在接收到的合作消息内的恶意包信息以及在其内把接收到的合作消息的发送者设置为发送者信息的信息登记到设备合作控制数据库108中。
继续到步骤61，设备合作控制107把恶意包信息登记到恶意包信息数据库104中。
因此，设备合作控制107执行从步骤59到61的处理，从而基于从其他设备发送的合作消息把新的设备合作信息登记到设备合作控制数据库108中，以及把新的恶意包信息登记到恶意包信息数据库104中。
另一方面，在步骤62，当确定登记消息从攻击检测模块103中发送时，在步骤63，设备合作控制107把包括在接收到的登记消息内的恶意包信息登记到设备合作控制数据库108中。
因此，设备合作控制107执行在步骤62到63的处理，从而基于从攻击检测模块103发送的登记消息把新的恶意包信息登记到设备合作控制数据库108中。
另一方面，在步骤64，当确定从攻击检测模块103发送合作消息时，设备合作控制107把接收到的合作消息传送给另一设备。
继续到步骤66，设备合作控制107通过使用包括在接收到的合作消息内的恶意包信息作为搜索关键字搜索设备合作控制数据库108以指定相关的登录信息，并通过写在被记录在指定的登录信息内的发送者信息中的其他额外发送合作消息的设备的信息来更新设备合作控制数据库108。
因此，设备合作控制107执行步骤64到66的处理，从而把从攻击检测模块103发送的合作消息发送到另一设备，以及基于合作消息更新存储在设备合作控制数据库108内的设备合作信息。
另一方面，当在步骤67确定恢复消息从终止/恢复控制106发送时，设备合作控制107通过使用包括在接收到的恢复消息内的恶意包信息作为搜索关键字搜索设备合作控制数据库108以指定相关登录信息，以及把在登记在指定的登录信息内的发送者信息内的自己的设备状态从“结束”更转为“活动”。
继续到步骤69，设备合作控制107把包括在接收到的恢复消息内的恶意包信息登记到恶意包信息数据库104中。
因此，设备合作控制107执行步骤67到69的处理，从而执行针对攻击的缓解措施的重新执行。
因此，根据本发明，即使本发明的各个网络攻击缓解设备分别执行确定以通过执行攻击缓解措施的终止处理来终止攻击缓解措施，在不形成在被保护的网络内的弱点的情况下，在其中设备执行攻击缓解措施和设备对攻击的恢复做准备的出现的范围可被会聚。当攻击恢复时，在会聚期间的设备可立即执行针对攻击的缓解措施，并且设备再次通知攻击信息到其他设备，从而扩大防御范围。
通过各个处理器的操作而实现的本发明的网络攻击缓解方法也可由计算机程序来实现。计算机程序由在适当的记录介质上记录或通过网络所提供，并在执行本发明的时候在诸如CPU的控制器上安装运行，从而实现本发明。