CN101803305A - 网络监视装置、网络监视方法及网络监视程序 - Google Patents

网络监视装置、网络监视方法及网络监视程序 Download PDF

Info

Publication number
CN101803305A
CN101803305A CN200880106844A CN200880106844A CN101803305A CN 101803305 A CN101803305 A CN 101803305A CN 200880106844 A CN200880106844 A CN 200880106844A CN 200880106844 A CN200880106844 A CN 200880106844A CN 101803305 A CN101803305 A CN 101803305A
Authority
CN
China
Prior art keywords
network
information
attack
target
abnormal traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200880106844A
Other languages
English (en)
Other versions
CN101803305B (zh
Inventor
森英雄
千喜良和明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of CN101803305A publication Critical patent/CN101803305A/zh
Application granted granted Critical
Publication of CN101803305B publication Critical patent/CN101803305B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2201/00Electronic components, circuits, software, systems or apparatus used in telephone systems
    • H04M2201/12Counting circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42085Called party identification service
    • H04M3/42102Making use of the called party identifier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

通信量监视系统(10)监视流过自身网络(100)的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,确定成为攻击源的攻击源网络,并且根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,确定成为攻击目标的攻击目标网络,取得与所确定的攻击源网络对应的管理者信息,通知攻击源信息,并且取得与所确定的攻击目标网络对应的管理者信息,通知攻击目标信息。

Description

网络监视装置、网络监视方法及网络监视程序
技术领域
本发明涉及在将连接多个装置而构成的自身网络、和同样构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量的网络监视装置、网络监视方法及网络监视程序。
背景技术
以往,作为针对与网络连接的设备,经由网络进行的攻击,公知有DoS(Denial of Service:拒绝服务)攻击和DDoS(Distributed Denial ofService:分布式拒绝服务)攻击。
所谓DoS攻击,是指以下的方法:以妨碍与网络连接的设备(例如服务器等)提供的服务为目的,攻击者通过向该设备发送大量的IP分组,消耗网络和设备的资源,从而妨碍和拒绝服务。此外,所谓DDoS攻击,是指被通过不正当访问等在系统内装入攻击用程序的、称作所谓的“肉鸡”的计算机针对成为目标的网络上的设备一齐进行攻击。
近年来,DoS攻击和DDoS攻击增加,为了通过正在成为社会基础设施的网络提供稳定的服务,进行这种DoS攻击和DDoS攻击的对策非常重要。
作为防御这种DoS攻击和DDoS攻击的方法,具有例如在专利文献1(日本特开2006-67078号公报)等中公开的技术。具体而言,在专利文献1中,检测到攻击的路由器(即,离受到损害的设备最近的路由器)将攻击检测信息传送到管理装置。此外,收到传送的管理装置分析所接收的攻击检测信息,并根据分析结果,向各路由器给予防御指示。
专利文献1:日本特开2006-67078号公报
但是,在上述的现有技术中,在相互连接的其他网络运营商管理的设备受到攻击的情况下,难以判断其是否为攻击,因此存在不能迅速通知受到攻击的情况的问题。其结果,在实际上为攻击的情况下,不能在自身网络运营商侧实施防御,需要与受到该攻击的其他网络运营商取得联络,并在该其他网络运营商的判断下进行防御,从而到防御攻击为止比较花费时间。
此处,针对该问题具体进行说明。在现有技术(专利文献1)中,如图9所示,在直接收容受到攻击的设备的网络运营商中比较有效。但是,最近的互联网是通过相互连接各种网络而构成的。换言之,构成互联网的路由器等设备由各种网络运营商进行运营/管理。
举例说明的话,如图10所示,在ISP(Internet Service Provider:因特网服务提供者)1、ISP2、ISP3、ISP4、IX(Internet eXchange:因特网交换)这5个网络相互连接的网络系统中,设为攻击者经由ISP1和IX攻击ISP4的服务器,另一个攻击者经由ISP2和IX攻击ISP4的服务器。此时,在IX侧,即使检测到攻击,也不能判断其是否为攻击(不能判断出不是管理服务器的ISP4),其结果,更不能仅通过IX侧的判断来防御攻击。
即,当在其他网络运营商管理的Web服务器上公开人气非常高的内容时,庞大数量的分组流过,但是在自身网络运营商侧难以判断其是正规的分组,还是DDoS攻击的分组。此外,在针对其他网络运营商管理的设备发生了攻击的情况下,不能通过自身网络运营商侧的判断随意对其进行防御,需要通过邮件或电话与该其他网络运营商取得联络,在该其他网络侧进行防御。其结果,从发生攻击开始到进行处理为止花费时间,在此期间持续受到攻击。此外,在发生了大规模的攻击的情况下,不仅是受到攻击的设备和收容该设备的其他网络运营商受到损害,还可能对自身网络运营商和与自身网络运营商相互连接的网络运营商产生影响。
由此,在现有技术中,在相互连接的其他网络运营商管理的设备受到攻击的情况下,难以判断其是否为攻击,并且,在实际上为攻击的情况下,不能在自身网络运营商侧实施防御,而需要与受到该攻击的其他网络运营商取得联络,并在该其他网络运营商的判断下进行防御,从而到防御攻击为止比较花费时间。
发明内容
因此,本发明正是为了解决上述现有技术的问题而进行的,其目的在于提供一种在相互连接的其他网络运营商管理的设备受到攻击的情况下,能够将攻击信息迅速通知给攻击源的网络和攻击目标的网络的网络监视装置、网络监视方法及网络监视程序。
为解决上述问题,达到目的,权利要求1所涉及的发明是一种网络监视装置,其在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视装置的特征在于,所述网络监视装置具有:网络信息存储单元,其分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;管理者信息存储单元,其分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;攻击源网络确定单元,其监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;攻击目标网络确定单元,其在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及攻击通知单元,其从所述管理者信息存储单元中取得与通过所述攻击源网络确定单元确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定单元确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
此外,权利要求2所涉及的发明在上述发明中,其特征在于还具有自身网络管理者通知单元,该自身网络管理者通知单元使用存储在所述管理者信息存储单元中的自身网络的管理者信息,将分析所述异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络的管理者装置。
此外,权利要求3所涉及的发明在上述发明中,其特征在于还具有攻击信息存储单元,该攻击信息存储单元存储分析所述异常通信量而得到的攻击源信息和攻击目标信息。
此外,权利要求4所涉及的发明在上述发明中,其特征在于还具有统计信息生成单元,该统计信息生成单元根据存储在所述攻击信息存储单元中的攻击源信息和攻击目标信息,生成攻击的统计信息。
此外,权利要求5所涉及的发明在上述发明中,其特征在于还具有攻击信息阅览单元,该攻击信息阅览单元在从与存储在所述管理者信息存储单元中的管理者信息对应的管理者装置受理了存储在所述攻击信息存储单元中的攻击源信息和攻击目标信息以及通过所述统计信息生成单元所生成的统计信息的阅览请求的情况下,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出给该管理者装置。
此外,权利要求6所涉及的发明,其特征在于,所述网络系统中的多个其他网络经由所述自身网络以相互可通信的方式连接,所述网络信息存储单元存储用于分别确定所述多个网络的信息即MAC地址、网络地址、VLAN ID、路由器的接口中的至少一个,作为所述网络信息,所述攻击源网络确定单元监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的所述网络信息,从所述网络信息存储单元中确定所述攻击源网络,所述攻击目标网络确定单元在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的所述网络信息,从所述网络信息存储单元中确定所述攻击目标网络。
此外,权利要求7所涉及的发明其特征在于,所述网络信息存储单元还与所述网络信息相对应地存储过滤器信息,该过滤器信息是关于应用了用于检测流过所述自身网络的异常通信量的通信量监视信息的过滤器的信息,所述攻击目标网络确定单元在检测到所述异常通信量的情况下,根据由检测到该异常通信量的过滤器所确定的存储在所述网络信息存储单元中的过滤器信息和网络信息,确定所述攻击目标网络。
此外,权利要求8所涉及的发明为一种网络监视方法,该网络监视方法适用于在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视方法的特征在于,该网络监视方法包括:网络信息存储单元,其分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;管理者信息存储单元,其分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;攻击源网络确定过程,其监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;攻击目标网络确定过程,其在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及攻击通知过程,其从所述管理者信息存储单元中取得与通过所述攻击源网络确定过程确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定过程确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
此外,权利要求9所涉及的发明是一种网络监视程序,使计算机在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视程序的特征在于,使计算机执行以下步骤:网络信息存储单元,其分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;管理者信息存储单元,其分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;攻击源网络确定步骤,其监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;攻击目标网络确定步骤,其在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及攻击通知步骤,其从所述管理者信息存储单元中取得与通过所述攻击源网络确定步骤确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定步骤确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
根据权利要求1、6、8、9的发明,分别与构成网络系统的多个网络相对应地,存储用于分别确定该多个网络的网络信息,分别与所存储的多个网络相对应地,存储分别管理该多个网络的管理者信息,监视流过自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从所存储的网络信息中确定成为攻击源的攻击源网络,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从所存储的网络信息中确定成为攻击目标的攻击目标网络,取得与所确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知攻击源信息,并且取得与所确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知攻击目标信息,因此在相互连接的其他网络运营商管理的设备受到攻击的情况下,能够将攻击信息迅速通知给攻击源的网络和攻击目标的网络。此外,通过立即通知攻击信息,被通知的网络的管理者能够迅速且可靠地实施针对攻击的对策。
此外,根据权利要求2的发明,使用所存储的自身网络的管理者信息,将分析异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络的管理者装置,因此自身网络的管理者能够认识到自身网络也受到攻击的影响的可能行,其结果,能够迅速进行攻击防御等对策。
此外,根据权利要求3的发明,存储分析异常通信量而得到的攻击源信息和攻击目标信息,因此能够通过蓄积攻击信息,将攻击信息提供给其他网络运营商,而不用转换为某种传递介质。
此外,根据权利要求4的发明,根据所存储的攻击源信息和攻击目标信息,生成攻击的统计信息,因此能够统计地参照攻击信息,其结果,能够有效利用于实施攻击对策的新的网络系统的设计等。
此外,根据权利要求5的发明,在从与所存储的管理者信息对应的管理者装置受理了所存储的攻击源信息和攻击目标信息以及通过所述统计信息生成单元所生成的统计信息的阅览请求时,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出给该管理者装置,因此对于网络运营商的管理者而言,能够阅览该管理者所属的网络中的攻击信息,其结果,能够采取对应方案,并掌握攻击的倾向等。
此外,根据权利要求7的发明,在检测到异常通信量的情况下,根据通过检测到该异常通信量的过滤器所确定的过滤器信息和网络信息,确定攻击目标网络,因此不用等待分析完成,能够立即将攻击的发生通知给管理者。
附图说明
图1是示出包括实施例1所涉及的通信量监视系统的网络系统的整体结构的图。
图2是示出实施例1所涉及的通信量监视系统的结构的框图。
图3是示出存储在网络信息DB中的信息的例子的图。
图4是示出存储在攻击信息DB中的信息的例子的图。
图5是示出所生成的攻击类别分布图的图。
图6是示出所生成的攻击持续时间分布的图。
图7是示出所生成的攻击发生时间分布的图。
图8是示出实施例1所涉及的通信量监视系统中的攻击通知处理的流程的流程图。
图9是用于说明现有技术的图。
图10是用于说明现有技术的图。
标号说明
10:通信量监视系统;11:通信控制I/F部;12:显示部;20:存储部;21:网络信息DB;22:网络运营商信息表;23:管理者信息表;24:网络信息表;25:过滤器信息表;26:攻击信息DB;30:控制部;31:攻击检测/分析部;32:网络信息确定部;33:攻击信息传递部;34:统计信息生成部;35:攻击信息阅览部。
具体实施方式
以下参照附图来详细说明本发明所涉及的网络监视装置、网络监视方法及网络监视程序的实施例。此外,以下,依次说明在本实施例中使用的主要的用语、本实施例所涉及的网络监视装置的概要和特征、网络监视装置的结构和处理的流程,最后说明对本实施例的各种变形例。
实施例1
[通信量监视系统的概要和特征]
首先,使用图1说明实施例1所涉及的通信量监视系统的概要和特征。图1是示出包括实施例1所涉及的通信量监视系统的网络系统的整体结构的图。
在本实施例中使用的“通信量监视系统(与记载在权利要求范围中的“网络监视装置”对应。)”,是指检测表示在网络系统中产生的DoS攻击或DDoS攻击等的异常通信量的计算机装置。
如图1所示,该网络系统由连接通信量监视系统10的、被分配了网络地址“100.0.0.0/24”的自身网络(IX)100,以及被分配了网络地址“10.0.0.0/24”的ISP1、被分配了网络地址“20.0.0.0/24”的ISP2、和被分配了网络地址“30.0.0.0/24”的ISP3构成,SP1、ISP2和ISP3经由该IX 100相互可通信地连接。
此外,在ISP1上连接有被分配了IP地址“10.0.0.10”的终端401、和被分配了IP地址“10.0.0.20”的终端402。同样地,在ISP2上连接有被分配了IP地址“20.0.0.10”的终端403,在ISP3上连接有被分配了IP地址“30.0.0.10”的终端404、和被分配了IP地址“30.0.0.50”的服务器500(Web服务器),在IX 100上,除了通信量监视系统10以外,还连接有被分配了IP地址“100.0.0.10”的终端405。此外,与各个网络连接的终端除了上述以外,还连接有各种终端(例如DNS服务器、邮件服务器、客户终端等),但是此处省略说明。
此外,此处所示的IX 100、ISP1、ISP2、ISP3分别由不同的公司运营/管理。在本实施例中,将终端402设为ISP1的管理者终端,将终端403设为ISP2的管理者终端,将终端404设为ISP3的管理者终端,针对与ISP1连接的终端402向服务器500流入了大量的通信量的情况(DDoS攻击)进行说明。
在这种结构中,实施例1所涉及的通信量监视系统10的概要为:在将多个装置连接而构成的自身网络100(IX)、和同样地构成的多个其他网络(ISP1~ISP3)相互连接而构成的网络系统中,通信量监视系统10与自身网络100连接,检测攻击网络系统的异常通信量,尤其是,其具有以下主要特征:在相互连接的其他网络运营商管理的设备受到攻击的情况下,能够将攻击信息迅速通知给攻击源的网络和攻击目标的网络。
如果具体说明该主要特征的话,通信量监视系统10将用于分别确定多个网络的网络信息与构成网络系统的该多个网络分别对应起来,存储在网络信息DB中。具体举例的话,网络信息DB存储“MAC11、ISP1”,“MAC22、ISP2”和“MAC33、ISP3”等作为『用于确定与IX 100连接的边界路由器的“MAC地址”、该边界路由器所属的“ISP名称”』。
此外,通信量监视系统10将分别管理多个网络的管理者信息分别与存储在网络信息DB中的该多个网络对应起来,存储在管理者信息DB中。具体举例的话,管理者信息DB存储“终端401、ISP1、A@isp1”、“终端403、ISP2、B@isp2”、“终端404、ISP3、C@isp3”、“终端405、IX、X@ix”等作为『表示管理者装置的“终端名称”、管理者装置管理的“ISP名称”、表示管理者装置的通知目的地的“邮件地址”』。
在这种状态下,通信量监视系统10监视在自身网络中流过的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在网络信息DB中的网络信息中确定成为攻击源的攻击源网络(参照图1的(1)和(2))。
利用上述例子具体说明的话,通信量监视系统10监视在自身网络中流过的通信量,在从终端402流入大量的通信量的情况下,检测出异常通信量。此外,通信量监视系统10根据在作为所检测出的异常通信量的分组中包含的攻击源信息即“发送源IP地址=10.0.0.20(终端402)”等,确定发送源IP地址(终端402)所属的ISP1的边界路由器的“MAC地址=MAC11”。接着,通信量监视系统10参照网络信息DB,将与所确定的“MAC地址=MAC11”对应的攻击源网络确定为“ISP1”。
接着,通信量监视系统10在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在网络信息DB中的网络信息中,确定成为攻击目标的攻击目标网络(参照图1的(3))。
利用上述例子具体说明的话,通信量监视系统10根据在作为所检测出的异常通信量的分组中包含的攻击目标信息即“发送目的地IP地址=30.0.0.50(服务器500)”等,确定发送目的地IP地址(服务器500)所属的ISP3的边界路由器的“MAC地址=MAC33”。接着,通信量监视系统10参照网络信息DB,将与所确定的“MAC地址=MAC33”对应的攻击目标网络确定为“ISP3”。
此外,如上述图1的(1)~(3)那样,对于检测/分析异常通信量,取得攻击源装置的IP地址或连接攻击源装置的边界路由器的MAC地址等攻击源信息,取得攻击目标装置的IP地址或连接攻击目标装置的边界路由器的MAC地址等攻击目标信息的方法,使用IDS(Intrusion DetectionSystem:不正当接入监视系统/侵入检测系统)或IPS(Intrusion PreventionSystem或Intrusion Protection System:侵入防止系统)等公知的方法,因此此处省略其详细说明。
之后,通信量监视系统10从管理者信息DB中取得与所确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知攻击源信息,并且从管理者信息DB中取得与所确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知攻击目标信息(参照图1的(4))。
使用上述例子具体说明的话,通信量监视系统10从管理者信息DB中取得与所确定的攻击源网络“ISP1”对应的管理者信息“终端名称=终端401、ISP名称=ISP1、邮件地址A@isp1”,使用所取得的邮件地址“邮件地址A@isp1”,通知攻击源信息“发送源IP地址=10.0.0.20(终端402)等”。同样地,通信量监视系统10从管理者信息DB中取得与所确定的攻击目标网络“ISP3”对应的管理者信息“终端404、ISP3、C@isp3”,使用所取得的邮件地址“C@isp3”,通知攻击目标信息“发送目的地IP地址=30.0.0.50(服务器500)等”。
之后,通信量监视系统10使用存储在管理者信息DB中的自身网络的管理者信息,将分析异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络的管理者装置(参照图1的(5))。使用上述例子具体说明的话,通信量监视系统10使用存储在管理者信息DB中的自身网络的管理者信息“终端405、IX、X@ix”的邮件地址“X@ix”,将分析异常通信量而得到的攻击源信息“发送源IP地址=10.0.0.20(终端402)等”和攻击目标信息“发送目的地IP地址=30.0.0.50(服务器500)等”通知给自身网络的管理者装置。
由此,实施例1所涉及的通信量监视系统10能够根据通过自身网络(IX)100的异常通信量来确定与DoS或DDoS等攻击相关的ISP和装置,其结果为,如上述的主要特征那样,在相互连接的其他网络运营商管理的设备受到攻击的情况下,能够将攻击信息迅速通知给攻击源的网络和攻击目标的网络。
[通信量监视系统的结构]
接着,使用图2说明图1所示的通信量监视系统的结构。图2是示出实施例1所涉及的通信量监视系统的结构的框图。如图2所示,该通信量监视系统10由通信控制I/F部11、显示部12、存储部20和控制部30构成。
通信控制I/F部11控制在与所连接的各装置之间交换的各种信息相关的通信。具体举例的话,通信控制I/F部11接收从终端402作为DDoS攻击发送到服务器500的大量的分组,或者向终端401、终端403、终端404、终端405发送攻击源信息和攻击目标信息等。
显示部12具备监视器(或者显示器、触摸面板)或扬声器而构成,输出各种信息,并显示例如通过后述的攻击信息阅览部35等输出的攻击源信息、攻击目标信息、攻击源网络信息和攻击目标网络信息等。
控制部20存储控制部30的各种处理所需的数据和程序,并且作为与本发明尤其密切关联的单元,具有网络信息DB 21和攻击信息DB 26。
如图3所示,网络信息DB 21具有网络运营商信息表22、管理者信息表23、网络信息表24和过滤器信息表25,由此,分别与构成网络系统的多个网络对应起来存储分别用于确定该多个网络的网络信息、或分别与多个网络对应起来存储分别管理该多个网络的管理者信息等。此外,将这些表格关联起来。并且,图3是存储在网络信息DB中的信息的例子,针对包括各种数据或参数的信息,除了特别记载的情况以外,能够任意进行变更。此外,网络信息DB 21与记载在权利要求的范围中的“网络信息存储单元”和“管理者信息存储单元”对应。
网络运营商信息表22存储用于识别管理IX 100和ISP1~ISP3等的网络运营商的信息。具体举例的话,网络运营商信息表22存储“001、ISP1、东京都○○、03-xxx-xxxx、K01、N01”或“002、ISP2、大阪府XX、06-xxx-xxxx、K02、N02”等作为『唯一分配给运营商的“运营商ID”、表示运营商的名称的“运营商名称”、表示运营商的所在地的“住所”、表示运营商的电话号码的“电话号码”、表示运营商的管理者的“管理者ID”、用于确定运营商运营的网络的“网络ID”』(参照图3)。
管理者信息表23存储用于识别IX 100和ISP1~ISP3等的网络运营商的管理者的信息。具体举例的话,管理者信息表23存储“K01、特许太郎、aaa、abc01、01@sp1、TRUE(可通知)”或“K02、山田花子、bbb、bjp02、02@sp2、FALSE(不可通知)”等作为『表示运营商的管理者的“管理者ID”、表示管理者的姓名的“姓名”、在阅览攻击信息等的情况下使用的唯一分配给管理者的“登录ID”、在阅览攻击信息等的情况下使用的由管理者指定的“密码”、表示管理者的通知目的地的“邮件地址”、表示能否通知管理者的“邮件通知标记”』(参照图3)。此外,对一个网络运营商关联了多个管理者信息。此外,登录ID和密码为该管理者在使用通信量监视系统10时最初被要求输入的信息,仅在所输入的登录ID和密码与在管理者信息表23中所管理的登录ID和密码一致的情况下,才能够使用通信量监视系统10。
网络信息表24存储用于识别IX 100和ISP1~ISP3等的网络的信息。具体举例的话,网络信息表24存储“N01、网络、192.168.0.0/24、F01”或“N02、MAC、00:11:22:AA:BB:CC、F02”等作为『唯一分配给网络的“网络ID”、表示分配给网络的类别的“地址类别”、分配给网络的“地址”、表示使用的过滤器的“过滤器ID”』(参照图3)。
此外,在地址类别中,具有“网络地址”、“MAC地址”、“VLAN ID”,根据这些类别,确定存储在“地址”中的数据形式。此处,所谓“网络地址”,是指构成IP地址的比特串中的为了识别子网而使用的部分,例如“192.168.0.0/24”那样,用“网络地址/子网掩码”的形式来表现的部分,将使用了该表现形式的数据存储在“地址”中。此外,所谓“MAC地址”,是指分配给网卡的固有的物理地址“00:11:22:AA:BB:CC”,将使用了该表现形式的数据存储在“地址”中。此外,所谓“VLAN ID”,用于识别虚拟的网络即VLAN(Virtual Local Area Network:虚拟局域网)的ID编号“VLANID=V01”,将使用了该表现形式的数据存储在“地址”中。
过滤器信息表25存储通过后述的攻击检测/分析部31检测异常通信量时使用的通信量监视信息。具体举例的话,过滤器信息表25存储“F01、通信量监视、HTTP/HTTPS(向服务器500的访问)、200t/s(在一秒期间中为200通信量)”或“F02、通信量监视、TCP/UDP、300t/s(在一秒期间中为300通信量)”等作为由例如使用与IDS或IPS等同样的方法检测/分析异常通信量的攻击检测/分析部31所使用的『唯一识别过滤器的“过滤器ID”、表示过滤器的名称的“过滤器名称”、表示该过滤器的过滤条件的“过滤条件”、表示该过滤中的阈值的“阈值”』(参照图3)。
攻击信息DB 26存储分析异常通信量而得到的攻击源信息和攻击目标信息。具体举例的话,如图4所示,攻击信息DB 26存储“1.TCP ALL、2007/07/30 14:57:30、-、○×供应商、关东地区NW、详细信息按钮”或“2.ICMP、2007/07/28 21:54:00、2007/07/28 22:03:23、△△有限公司、☆网络、详细信息按钮”等作为『表示项目编号的“No”、表示攻击的类别的“攻击类别”、表示开始攻击的时间的“攻击开始时刻”、表示攻击结束的时刻的“攻击结束时刻”、表示连接有进行攻击的终端的网络运营商的“网络运营商”、表示连接有进行攻击的终端的网络的“网络”、用于显示所取得的攻击目标信息和攻击源信息等的详细信息的“详细信息按钮”』。
此外,在管理者等点击了“详细信息”时,用IP地址等显示各攻击的分析结果、即谁受到了攻击、谁进行了攻击这样的信息。此处,攻击结束栏为空白的“No.1”表示攻击没有结束还在持续的状况。此外,图4是示出存储在攻击信息DB中的信息的例子,针对包括各种数据和参数在内的信息,除了特别记载的情况以外,能够任意进行变更。此外,攻击信息DB 26与记载在权利要求的范围中的“攻击信息存储单元”对应。
控制部30具有用于存储OS(Operating System:操作系统)等控制程序、规定了各种处理步骤等的程序和所需数据的内部存储器,并且作为与本发明尤其密切关联的单元,具有攻击检测/分析部31、网络信息确定部32、攻击信息传递部33、统计信息生成部34和攻击信息阅览部35,通过这些单元来执行各种处理。
攻击检测/分析部31监视流过自身网络100的通信量,在检测到异常通信量的情况下,分析该异常通信量,取得表示异常通信量的发送源装置的攻击源信息和表示异常通信量的发送目的地装置的攻击目标信息。具体而言,攻击检测/分析部31使用与IDS或IPS等同样的方法检测/分析异常通信量,例如在发送到某个特定的目的地的每单位时间内的分组流量超过了存储在过滤器信息表25中的“阈值”的情况下,判断为是攻击并分析分组。
利用上述例子具体说明的话,攻击检测/分析部31监视流过自身网络100的通信量,在从终端402流入大量的通信量的情况下,检测出异常通信量。此外,攻击检测/分析部31根据在所检测出的异常通信量中包含的攻击源信息即“发送源IP地址=10.0.0.20”等,确定发送源IP地址所属的ISP的边界路由器的“MAC地址=00:11:22:AA:BB:CC”,并存储在后述的攻击信息DB 26中。并且,攻击检测/分析部31根据在所检测出的异常通信量中包含的攻击目标信息即“发送目的地IP地址=30.0.0.50”等,确定发送目的地IP地址所属的ISP的边界路由器的“网络地址=192.168.0.0/24”,并存储在后述的攻击信息DB 26中。
此外,对于检测/分析异常通信量,取得攻击源装置的IP地址或连接有攻击源装置的边界路由器的MAC地址或网络地址等攻击源信息,取得攻击目标装置的IP地址或连接攻击目标装置的边界路由器的MAC地址或网络地址等攻击目标信息的方法,使用IDS或IPS等公知的方法,因此此处省略其详细说明。此外,此处,说明了通过攻击检测/分析部31确定网络地址和MAC地址作为攻击源信息和攻击目标信息,但除此以外,例如还可以确定协议信息和日期时间等。
网络信息确定部32根据分析异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在网络信息DB 21中的网络信息中确定成为攻击源的攻击源网络,并根据分析异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在网络信息DB 21中的网络信息中确定成为攻击目标的攻击目标网络。
使用上述例子具体说明的话,网络信息确定部32从网络信息DB 21的网络信息表24中确定与连接有由攻击检测/分析部31确定的攻击源装置的ISP的边界路由器的“网络地址=192.168.0.0/24”(攻击源信息)对应的“网络ID=N01”,从网络运营商信息表22中确定与所确定的“网络ID=N01”对应的“运营商名称=ISP1”。并且,网络信息确定部32将最终确定的“运营商名称=ISP1”作为成为攻击源的攻击源网络通知给后述的攻击信息传递部33。
同样地,网络信息确定部32从网络信息DB 21的网络信息表24中确定与连接有由攻击检测/分析部31确定的攻击目标装置的ISP的边界路由器的“MAC地址=00:11:22:AA:BB:CC”(攻击目标信息)对应的“网络ID=N02”,从网络运营商信息表22中确定与所确定的“网络ID=N02”对应的“运营商名称=ISP2”。并且,网络信息确定部32将最终确定的“运营商名称=ISP2”作为成为攻击目标的攻击目标网络通知给后述的攻击信息传递部33。此外,网络信息确定部32与记载在权利要求范围中的“攻击源网络确定单元”和“攻击目标网络确定单元”对应。
攻击信息传递部33从管理者信息表23取得与通过网络信息确定部32确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知攻击源信息,并且从管理者信息表23取得与通过网络信息确定部32确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知攻击目标信息。
使用上述例子具体说明的话,攻击信息传递部33从网络信息DB 21的管理者信息表23取得与从网络信息确定部32通知的攻击源网络“运营商名称=ISP1”对应的管理者信息“管理者ID=K01、姓名=特许太郎、登录ID=aaa、密码=abc01、邮件地址=01@sp1、邮件通知标记=TRUE”。并且,由于所取得的管理者信息的“邮件通知标记=TRUE”,攻击信息传递部33从攻击信息DB 26取得攻击源信息(例如攻击源装置的IP地址、日期时间、攻击目标的IP地址等),使用管理者信息的“邮件地址=01@sp1”,将所取得的攻击源信息通知给连接有攻击源装置的网络的管理者。在该例中,攻击信息传递部33将攻击源信息通知给ISP1的管理者(特许太郎)。
此外,攻击信息传递部33从网络信息DB 21的管理者信息表23取得与从网络信息确定部32通知的攻击目标网络“运营商名称=ISP2”对应的管理者信息“管理者ID=K02、姓名=山田花子、登录ID=bbb、密码=bjp02、邮件地址=02@sp2、邮件通知标记=FALSE”。并且,由于所取得的管理者信息的“邮件通知标记=FALSE”,攻击信息传递部33不将攻击目标信息(例如,攻击目标装置的IP地址、日期时间、攻击源的IP地址等)通知给攻击目标的网络的管理者“山田花子”。
此外,攻击信息传递部33使用存储在管理者信息表23中的自身网络100的管理者信息,将分析异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络100的管理者装置。利用上述例子具体说明的话,攻击信息传递部33使用存储在网络信息DB21的管理者信息表23中的自身网络100的管理者信息,将通过攻击检测/分析部31所取得的“攻击源信息”和“攻击目标信息”通知给自身网络100的管理者装置。即,攻击信息传递部33还将通过攻击检测/分析部31取得、并通知给攻击源的网络的管理者或攻击目标的网络的管理者的“攻击源信息”和“攻击目标信息”通知给连接有检测/分析异常通信量的通信量监视系统10的网络(IX)。此外,攻击信息传递部33与记载在权利要求范围中的“攻击信息单元”和“自身网络管理者通知单元”对应。
统计信息生成部34根据存储在攻击信息DB 26中的攻击源信息和攻击目标信息,生成攻击的统计信息。利用上述例子具体说明的话,统计信息生成部34根据存储在存储过去或当前产生的各种信息的攻击信息DB 26中的攻击源信息和攻击目标信息以及网络信息,生成如图5所示的攻击类别分布图、图6所示的攻击持续时间分布、和图7所示的攻击发生时间分布等。并且,统计信息生成部34在从各网络运营商的管理者受理了希望生成的统计信息、统计信息计算期间、成为统计对象的图表的选择时,依照该选择生成统计信息。
并且,该统计信息生成部34在受理了后述的攻击信息阅览部35的指示时,生成图5~图7所示的统计信息,并输出到显示部12。此外,图5是示出所生成的攻击类别分布图的图,图6是示出所生成的攻击持续时间分布的图,图7是示出所生成的攻击发生时间分布的图。并且,统计信息生成部34与记载在权利要求范围中的“统计信息生成单元”对应。
攻击信息阅览部35在从与存储在管理者信息表23中的管理者信息对应的管理者装置受理了存储在攻击信息DB 26中的攻击源信息和攻击目标信息、网络信息、以及通过统计信息生成部34生成的统计信息的阅览请求的情况下,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出到该管理者装置。
具体说明的话,攻击信息阅览部35在经由通信控制I/F部11从网络系统的各管理者装置受理了攻击信息阅览请求时,将受理“登录ID”和“密码”的输入的验证画面输出到显示部12。并且,攻击信息阅览部35在通过验证画面受理的“登录ID”和“密码”与存储在管理者信息表23中的“登录ID”和“密码”一致的情况下,从网络运营商信息表22中确定与该“登录ID”和“密码”相对应地存储的“运营商名称”,并从攻击信息DB 26取得与所确定的“运营商”相关的攻击信息并输出到显示部12。
此外,攻击信息阅览部35根据需要(管理者等的指示操作等),将统计信息的生成指示输出到统计信息生成部34。此外,攻击信息阅览部35在从连接有通信量监视系统10的网络(IX)100的管理者受理了阅览请求,并用上述方法验证了该管理者为正当装置时,不仅从攻击信息DB26取得与该IX 100相关的攻击信息,还取得该网络系统全体的攻击信息并输出到显示部12。此外,攻击信息阅览部35与记载在权利要求范围中的“攻击信息阅览单元”对应。
[通信量监视系统的处理]
接着,使用图8,对通信量监视系统的处理进行说明。图8是示出实施例1所涉及的通信量监视系统中的攻击通知处理的流程的流程图。
如图8所示,通信量监视系统10登记进行通信量监视的网络信息(步骤S101)。具体而言,通信量监视系统分别生成存储用于识别网络运营商的信息的网络运营商信息表22、存储用于识别网络运营商的管理者的信息的管理者信息表23、存储用于识别网络的信息的网络信息表24、存储在通信量监视中使用的信息的过滤器信息表25,并存储在网络信息DB21中。
接着,通信量监视系统10监视存储(登记)在网络信息DB 21中的网络上的通信量来监视DoS攻击或DDoS攻击等网络攻击(步骤S102)。具体举例的话,通信量监视系统10的攻击检测/分析部31根据存储在网络信息DB 21的过滤器信息表25中的“过滤条件”和“阈值”,监视网络攻击。
之后,通信量监视系统10在检测到发生了攻击时(步骤S103为肯定),分析与该攻击相关的分组(步骤S104)。具体说明的话,通信量监视系统10的攻击检测/分析部31在根据网络上的通信量检测到与存储在过滤器信息表25中的“过滤条件”对应的“阈值”以上的通信量时,检测出发生了攻击。于是,通信量监视系统10分析表示该攻击的通信量的分组,取得表示攻击源的攻击源信息和表示攻击目标的攻击目标信息。
接着,通信量监视系统10将所取得的攻击信息蓄积在攻击信息DB26中(步骤S105)。具体举例的话,通信量监视系统10的攻击检测/分析部31将在步骤S104中取得的攻击源信息和攻击目标信息蓄积存储在攻击信息DB 26中。
然后,通信量监视系统10将取得的攻击信息通知给连接有攻击源装置的网络的管理者、连接有攻击目标装置的网络的管理者、以及连接有通信量监视系统10的网络的管理者(步骤S106)。
具体举例的话,通信量监视系统10的网络信息确定部32根据在步骤S104中取得的攻击源信息和攻击目标信息,从管理者信息表23中确定连接有攻击源装置的网络的管理者、和连接有攻击目标装置的网络的管理者。并且,通信量监视系统10的攻击信息传递部33使用在所确定的管理者信息中包含的邮件地址,将攻击目标信息通知给连接有攻击源装置的网络的管理者,将攻击目标信息通知给连接有攻击目标装置的网络的管理者。同样地,通信量监视系统10从管理者信息表23中确定连接有通信量监视系统10的网络的管理者,使用在所确定的管理者信息中包含的邮件地址,将攻击源信息和攻击目标信息通知给连接有通信量监视系统10的网络的管理者。
之后,通信量监视系统10在接收到攻击信息的阅览请求时,经由显示部12将攻击信息显示在请求目的地上(步骤S107)。
具体举例的话,通信量监视系统10的攻击信息阅览部35在从与存储在管理者信息表23中的管理者信息对应的管理者装置受理了存储在攻击信息DB 26中的攻击源信息和攻击目标信息、网络信息、以及通过统计信息生成部34生成的统计信息的阅览请求的情况下,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出给该管理者装置。
[实施例1的效果]
由此,根据实施例1,具有:分别与构成网络系统的多个网络对应地存储分别用于确定该多个网络的网络信息的网络信息DB 21;和分别与多个网络对应地存储分别管理该多个网络的管理者信息的管理者信息表23,监视流过自身网络100的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在网络信息DB 21中的网络信息中确定成为攻击源的攻击源网络,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在网络信息DB 21中的网络信息中确定成为攻击目标的攻击目标网络,从管理者信息表23取得与所确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知攻击源信息,并且从管理者信息表23取得与所确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知攻击目标信息,因此在相互连接的其他网络运营商管理的设备受到攻击的情况下,能够将攻击信息迅速通知给攻击源的网络和攻击目标的网络。通过立即通知攻击信息,被通知的网络的管理者能够迅速且可靠地实施针对攻击的对策。
此外,根据实施例1,使用存储在管理者信息表23中的自身网络100的管理者信息,将分析异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络100的管理者装置,因此自身网络100的管理者能够识认识到自身网络100也受到攻击的影响的可能行,其结果,能够迅速进行攻击防御等对策。
此外,根据实施例1,将分析异常通信量而得到的攻击源信息和攻击目标信息存储在攻击信息DB 26中,因此能够通过蓄积攻击信息,无需将攻击信息转换为某种的传递介质即可将攻击信息提供给其他网络运营商。
此外,根据实施例1,根据存储在攻击信息DB 26中的攻击源信息和攻击目标信息,生成攻击的统计信息,因此能够统计地参照攻击信息,其结果,能够有效利用于实施了攻击对策的新的网络系统的设计等。
此外,根据实施例1,在从与存储在管理者信息表23中的管理者信息对应的管理者装置受理了存储在攻击信息DB 26中的攻击源信息和攻击目标信息以及所生成的统计信息的阅览请求时,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出给该管理者装置,因此对于网络运营商的管理者而言,能够阅览该管理者所属的网络中的攻击信息,其结果,能够采取对应方案,掌握攻击的倾向等。
实施例2
此外,在此之前说明了本发明的实施例,但是本发明除了上述的实施例以外,还可以用各种不同的形式实施。因此,如下所示,分别划分为(1)网络的确定方法、(2)系统结构等、(3)程序来说明不同的实施例。
(1)网络的确定方法
例如,在实施例1中,针对使用ISP的边界路由器的“网络地址”和“MAC地址”,确定连接了攻击源或攻击目标装置的网络的情况进行了说明,但是本发明不限于此,只要是能够从分组取得,并且能够唯一地确定网络的信息(例如VLAN ID、唯一分配给网络系统的各网络的网络ID等),则无论使用怎样的信息都能够确定连接有攻击源或攻击目标装置的网络。
此外,在实施例1中,针对网络信息确定部32根据攻击检测/分析部31分析异常通信量的结果来确定ISP的边界路由器的“网络地址”和“MAC地址”,确定连接有攻击源或攻击目标装置的网络的情况进行了说明。但是,本发明不限于此,还能够在攻击检测/分析部31检测到异常通信量的时刻,确定攻击目标网络,而不用分析异常通信量。
具体而言,通信量监视系统10监视流过自身网络100的通信量,在检测到异常通信量的情况下,能够根据由哪个过滤器检测出异常通信量,来确定攻击目标网络。
参照图3具体说明的话,如在实施例1中说明那样,通信量监视系统10的攻击检测/分析部31使用存储在图3的过滤器信息表中的过滤器信息(通信量监视信息),进行通信量监视。之后,假设攻击检测/分析部31通过“过滤器ID=F01的过滤器(图3的过滤器信息表25的最上层)”检测出异常通信量。
此时,网络信息确定部32确定与通过攻击检测/分析部31检测到异常通信量的过滤器“过滤器ID=F01”对应的网络“网络ID=N01(图3的网络信息表24的最上层)”,并且确定与“网络ID=N01”对应的网络运营商“运营商ID=001(图3的网络运营商信息表22的最上层)”。接着,攻击信息传递部33取得与通过网络信息确定部32确定的“运营商ID=001”对应的管理者信息“管理者ID=K01(图3的管理信息表23的最上层)”,使用所取得的管理者信息,通知攻击的发生,并且攻击检测/分析部31分析异常通信量。接收到通知的管理者访问通信量监视系统,参照与该异常通信量相关的分析结果。由此,不用等待分析完成,能够立即将攻击的发生通知给管理者。此外,针对攻击源信息,用与实施例1相同的方法进行通知。
由此,通信量监视系统10能够根据由哪个过滤器检测出异常通信量,来确定攻击目标网络,而不用分析检测出的异常通信量。此外,此处,与实施例1同样,如果例示攻击检测/分析部31通过分析异常通信量而得到的信息的话,则具有例如攻击目标IP地址/端口号码、攻击源IP地址/端口号码、在攻击中使用的协议、表示攻击是否为TCP的TCP标记和自身网络的路由器的接口信息等。
(2)系统结构等
此外,还能够手动地进行在本实施例中所说明的各处理中的、作为自动地进行的处理来说明的处理的全部或一部分,或者,还可以用公知的方法自动地进行作为手动进行的处理来说明的处理的全部或一部分。此外,关于在上述说明书中和附图中所示的处理步骤、控制步骤、具体名称、包括各种数据和参数在内的信息(例如图3、图4等),除了特别记载的情况以外,能够任意进行变更。
此外,图示的各装置的各结构要素是功能概念性的,在物理上不一定需要如图所示那样构成。即,各装置的分散/集中的具体形式不限于图示,能够根据各种负荷和使用状况等,以任意的单位功能性或物理性地分散/几种(例如将统计信息生成部34和攻击信息阅览部35几种等)其全部或一部分来构成。此外,由各装置进行的各处理功能的全部或任意一部分能通过CPU和由该CPU分析执行的程序来实现,或者能够作为利用布线逻辑的硬件来实现。
(3)程序
此外,在本实施例中所说明的网络监视方法能够通过由个人计算机或工作站等计算机执行预先准备的程序来实现。该程序能够经由因特网等网络发布。并且,该程序还能够记录在硬盘、软盘(FD)、CD-ROM、MO、DVD等计算机可读取的记录介质中,通过由计算机从记录介质中读出来执行。
产业上的可利用性
如上所述,本发明所涉及的网络监视装置、网络监视方法及网络监视程序,在将多个装置连接而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与自身网络连接,在检测攻击网络系统的异常通信量的方面非常有用,尤其是,适合于在相互连接的其他网络运营商管理的设备受到攻击的情况下,将攻击信息迅速通知给攻击源的网络和攻击目标的网络。

Claims (9)

1.一种网络监视装置,其在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视装置的特征在于,所述网络监视装置具有:
网络信息存储单元,其分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;
管理者信息存储单元,其分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;
攻击源网络确定单元,其监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;
攻击目标网络确定单元,其在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及
攻击通知单元,其从所述管理者信息存储单元中取得与通过所述攻击源网络确定单元确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定单元确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
2.根据权利要求1所述的网络监视装置,其特征在于,该网络监视装置还具有自身网络管理者通知单元,该自身网络管理者通知单元使用存储在所述管理者信息存储单元中的自身网络的管理者信息,将分析所述异常通信量而得到的攻击源信息和攻击目标信息通知给自身网络的管理者装置。
3.根据权利要求1或2所述的网络监视装置,其特征在于,该网络监视装置还具有攻击信息存储单元,该攻击信息存储单元存储分析所述异常通信量而得到的攻击源信息和攻击目标信息。
4.根据权利要求3所述的网络监视装置,其特征在于,该网络监视装置还具有统计信息生成单元,该统计信息生成单元根据存储在所述攻击信息存储单元中的攻击源信息和攻击目标信息,生成攻击的统计信息。
5.根据权利要求4所述的网络监视装置,其特征在于,该网络监视装置还具有攻击信息阅览单元,该攻击信息阅览单元在从与存储在所述管理者信息存储单元中的管理者信息对应的管理者装置受理了阅览存储在所述攻击信息存储单元中的攻击源信息和攻击目标信息以及通过所述统计信息生成单元所生成的统计信息的阅览请求的情况下,在验证了该管理者装置为正当装置以后,仅将与该管理者装置所管理的网络对应的信息输出给该管理者装置。
6.根据权利要求1所述的网络监视装置,其特征在于,所述网络系统中的多个其他网络经由所述自身网络以相互可通信的方式连接,
所述网络信息存储单元存储用于分别确定所述多个网络的信息即MAC地址、网络地址、VLAN ID、路由器接口中的至少一个,作为所述网络信息,
所述攻击源网络确定单元监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的所述网络信息,从所述网络信息存储单元中确定所述攻击源网络,
所述攻击目标网络确定单元在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的所述网络信息,从所述网络信息存储单元中确定所述攻击目标网络。
7.根据权利要求1所述的网络监视装置,其特征在于,
所述网络信息存储单元还与所述网络信息相对应地存储过滤器信息,该过滤器信息是与应用了用于检测流过所述自身网络的异常通信量的通信量监视信息的过滤器有关的信息,
所述攻击目标网络确定单元在检测到所述异常通信量的情况下,根据由检测到该异常通信量的过滤器所确定的存储在所述网络信息存储单元中的过滤器信息和网络信息,确定所述攻击目标网络。
8.一种网络监视方法,该网络监视方法适用于在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视方法的特征在于,该网络监视方法包括:
网络信息存储单元,分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;
管理者信息存储单元,分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;
攻击源网络确定过程,监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;
攻击目标网络确定过程,在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及
攻击通知过程,从所述管理者信息存储单元中取得与通过所述攻击源网络确定过程确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定过程确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
9.一种网络监视程序,使计算机在将连接多个装置而构成的自身网络、和同样地构成的多个其他网络相互连接而构成的网络系统中,与所述自身网络连接,检测攻击所述网络系统的异常通信量,该网络监视程序的特征在于,使计算机执行以下步骤:
网络信息存储单元,分别与构成所述网络系统的多个网络相对应地,存储分别用于确定该多个网络的网络信息;
管理者信息存储单元,分别与存储在所述网络信息存储单元中的多个网络相对应地,存储分别管理该多个网络的管理者信息;
攻击源网络确定步骤,监视流过所述自身网络的通信量,在检测到异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送源装置的攻击源信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击源的攻击源网络;
攻击目标网络确定步骤,在检测到所述异常通信量的情况下,根据分析该异常通信量而得到的表示异常通信量的发送目的地装置的攻击目标信息,从存储在所述网络信息存储单元中的网络信息中确定成为攻击目标的攻击目标网络;以及
攻击通知步骤,从所述管理者信息存储单元中取得与通过所述攻击源网络确定步骤确定的攻击源网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击源信息,并且从所述管理者信息存储单元中取得与通过所述攻击目标网络确定步骤确定的攻击目标网络对应的管理者信息,使用所取得的管理者信息,通知所述攻击目标信息。
CN200880106844.7A 2007-09-28 2008-09-29 网络监视装置、网络监视方法 Active CN101803305B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2007-254681 2007-09-28
JP2007254681 2007-09-28
PCT/JP2008/067658 WO2009041686A1 (ja) 2007-09-28 2008-09-29 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

Publications (2)

Publication Number Publication Date
CN101803305A true CN101803305A (zh) 2010-08-11
CN101803305B CN101803305B (zh) 2014-06-11

Family

ID=40511564

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880106844.7A Active CN101803305B (zh) 2007-09-28 2008-09-29 网络监视装置、网络监视方法

Country Status (6)

Country Link
US (1) US8347383B2 (zh)
EP (1) EP2194677B1 (zh)
JP (1) JP4827972B2 (zh)
CN (1) CN101803305B (zh)
HK (1) HK1142199A1 (zh)
WO (1) WO2009041686A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660420A (zh) * 2017-10-12 2019-04-19 雅马哈株式会社 通信中继装置
CN112352402A (zh) * 2018-07-02 2021-02-09 日本电信电话株式会社 生成装置、生成方法和生成程序
CN114785579A (zh) * 2022-04-14 2022-07-22 七台河达不琉网络科技有限公司 一种应用于云边端计算的网络攻击分析方法及服务器

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8443075B2 (en) * 2009-10-29 2013-05-14 Fluke Corporation Transaction storage determination via pattern matching
CN102111394B (zh) * 2009-12-28 2015-03-11 华为数字技术(成都)有限公司 网络攻击防护方法、设备及系统
JP2011193379A (ja) * 2010-03-16 2011-09-29 Kddi R & D Laboratories Inc 通信システム
CN103078752B (zh) 2012-12-27 2016-03-30 华为技术有限公司 一种检测邮件攻击的方法、装置及设备
US9071576B1 (en) * 2013-03-12 2015-06-30 Sprint Communications Comapny L.P. Application rate limiting without overhead
US9191400B1 (en) * 2013-06-12 2015-11-17 The United States Of America, As Represented By The Secretary Of The Navy Cyphertext (CT) analytic engine and method for network anomaly detection
US9288219B2 (en) * 2013-08-02 2016-03-15 Globalfoundries Inc. Data protection in a networked computing environment
JP6221879B2 (ja) * 2014-03-25 2017-11-01 株式会社豊田自動織機 電池監視装置
US10230767B2 (en) * 2015-07-29 2019-03-12 At&T Intellectual Property I, L.P. Intra-carrier and inter-carrier network security system
CN107743109B (zh) * 2016-10-31 2020-09-04 腾讯科技(深圳)有限公司 流量攻击的防护方法、控制装置、处理装置及系统
WO2018095192A1 (zh) * 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
US10819721B1 (en) * 2017-02-21 2020-10-27 National Technology & Engineering Solutions Of Sandia, Llc Systems and methods for monitoring traffic on industrial control and building automation system networks
JP6669138B2 (ja) * 2017-07-19 2020-03-18 トヨタ自動車株式会社 攻撃監視システムおよび攻撃監視方法
CN110661714B (zh) * 2018-06-30 2022-06-28 华为技术有限公司 发送bgp消息的方法、接收bgp消息的方法以及设备
JP7311354B2 (ja) * 2019-08-21 2023-07-19 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
CN112866185B (zh) * 2019-11-28 2021-11-02 海信集团有限公司 网络流量监控设备和异常流量检测方法
US11595432B1 (en) * 2020-06-29 2023-02-28 Amazon Technologies, Inc. Inter-cloud attack prevention and notification
CN112073402B (zh) * 2020-08-31 2022-05-27 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN116112295B (zh) * 2023-04-12 2023-07-04 北京长亭未来科技有限公司 一种外连类攻击结果研判方法及装置

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2301147C (en) * 1997-07-24 2010-07-13 Worldtalk Corporation E-mail firewall with stored key encryption/decryption
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
US7062782B1 (en) * 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
US7743134B2 (en) * 2000-09-07 2010-06-22 Riverbed Technology, Inc. Thwarting source address spoofing-based denial of service attacks
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
JP3723076B2 (ja) 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7093004B2 (en) * 2002-02-04 2006-08-15 Datasynapse, Inc. Using execution statistics to select tasks for redundant assignment in a distributed computing platform
CN1273911C (zh) * 2002-02-28 2006-09-06 北京中电网安科技有限公司 大中型内部网络安全防护系统及方法
JP2003298652A (ja) 2002-03-29 2003-10-17 Yokogawa Electric Corp 攻撃経路追跡システム
JP2004030286A (ja) 2002-06-26 2004-01-29 Ntt Data Corp 侵入検知システムおよび侵入検知プログラム
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
JP4520703B2 (ja) * 2003-03-31 2010-08-11 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
US7525921B1 (en) * 2003-06-04 2009-04-28 Juniper Networks, Inc. Discard interface for diffusing network attacks
US8769680B2 (en) * 2003-06-12 2014-07-01 International Business Machines Corporation Alert passwords for detecting password attacks on systems
JP2005012606A (ja) 2003-06-20 2005-01-13 Nec Corp ネットワーク遮断システム及びネットワーク遮断判定装置並びにプログラム
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
EP1528452A1 (en) * 2003-10-27 2005-05-04 Alcatel Recursive virus detection, protection and disinfecting of nodes in a data network
JP4484663B2 (ja) 2004-02-02 2010-06-16 株式会社サイバー・ソリューションズ 不正情報検知システム及び不正攻撃元探索システム
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2006067078A (ja) 2004-08-25 2006-03-09 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステムおよび攻撃防御方法
EP1804446B1 (en) * 2004-10-12 2014-10-22 Nippon Telegraph And Telephone Corporation Denial-of-service attack protecting system, method, and program
GB0427942D0 (en) * 2004-12-21 2005-01-26 Ibm A diagnostic system
JP2006254287A (ja) 2005-03-14 2006-09-21 Matsushita Electric Ind Co Ltd 異常検出装置
US9191396B2 (en) * 2005-09-08 2015-11-17 International Business Machines Corporation Identifying source of malicious network messages
CN100493088C (zh) * 2005-09-23 2009-05-27 北京交通大学 一种应用于ad hoc网络的合作增强机制的方法
JP2007094455A (ja) * 2005-09-26 2007-04-12 Brother Ind Ltd ネットワークシステム、印刷装置及び印刷装置用制御プログラム
JP2007208575A (ja) * 2006-02-01 2007-08-16 Alaxala Networks Corp 不正トラフィック管理装置およびシステム
US8301703B2 (en) * 2006-06-28 2012-10-30 International Business Machines Corporation Systems and methods for alerting administrators about suspect communications
US7681132B2 (en) * 2006-07-13 2010-03-16 International Business Machines Corporation System, method and program product for visually presenting data describing network intrusions
JP4664257B2 (ja) * 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660420A (zh) * 2017-10-12 2019-04-19 雅马哈株式会社 通信中继装置
CN109660420B (zh) * 2017-10-12 2022-04-26 雅马哈株式会社 通信中继装置
CN112352402A (zh) * 2018-07-02 2021-02-09 日本电信电话株式会社 生成装置、生成方法和生成程序
CN112352402B (zh) * 2018-07-02 2023-03-28 日本电信电话株式会社 生成装置、生成方法和记录介质
CN114785579A (zh) * 2022-04-14 2022-07-22 七台河达不琉网络科技有限公司 一种应用于云边端计算的网络攻击分析方法及服务器
CN114785579B (zh) * 2022-04-14 2022-11-25 福建实达集团股份有限公司 一种应用于云边端计算的网络攻击分析方法及服务器

Also Published As

Publication number Publication date
CN101803305B (zh) 2014-06-11
JPWO2009041686A1 (ja) 2011-01-27
EP2194677A1 (en) 2010-06-09
JP4827972B2 (ja) 2011-11-30
HK1142199A1 (en) 2010-11-26
EP2194677A4 (en) 2011-06-01
WO2009041686A1 (ja) 2009-04-02
US20100218250A1 (en) 2010-08-26
US8347383B2 (en) 2013-01-01
EP2194677B1 (en) 2012-11-14

Similar Documents

Publication Publication Date Title
CN101803305B (zh) 网络监视装置、网络监视方法
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
Deng et al. DoS vulnerabilities and mitigation strategies in software-defined networks
US20060161816A1 (en) System and method for managing events
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
Amini et al. Botnet detection using NetFlow and clustering
KR20040057257A (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
CN112702347A (zh) 一种基于sdn入侵检测技术
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR20100074480A (ko) 네트워크 기반의 http 봇넷 탐지 방법
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR102211503B1 (ko) 유해 ip 판단 방법
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
WO2013189723A1 (en) Method and system for malware detection and mitigation
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
Sable et al. A Review-Botnet Detection and Suppression in Clouds
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
KR20100071763A (ko) 분산서비스거부 공격 탐지 장치 및 그 방법
CN114697136B (zh) 一种基于交换网络的网络攻击检测方法与系统
Wu et al. Virtual inline: a technique of combining IDS and IPS together in response intrusion
KR20100074470A (ko) 네트워크 기반의 irc 봇넷 탐지 방법
Harikrishna et al. Identification Of Efficiently And Effectively Botnet Detection Using Adaptive Traffic Sampling

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant