JP2005210601A - 不正侵入検知装置 - Google Patents

不正侵入検知装置 Download PDF

Info

Publication number
JP2005210601A
JP2005210601A JP2004017131A JP2004017131A JP2005210601A JP 2005210601 A JP2005210601 A JP 2005210601A JP 2004017131 A JP2004017131 A JP 2004017131A JP 2004017131 A JP2004017131 A JP 2004017131A JP 2005210601 A JP2005210601 A JP 2005210601A
Authority
JP
Japan
Prior art keywords
attack
packet
information
destination address
mask
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004017131A
Other languages
English (en)
Inventor
Hiroshi Kuragami
弘 倉上
Takao Kawada
隆夫 川田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004017131A priority Critical patent/JP2005210601A/ja
Publication of JP2005210601A publication Critical patent/JP2005210601A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】検出ルールをあらかじめ用意しなくても、トラヒック分析処理により、不正侵入対象ネットワークや不正パケット送信元ネットワークを検出する。
【解決手段】ネットワークのトラヒックを観測し、指定したパケットを対象として宛先アドレスに対してパケット数を複数のマスクでカウントする宛先アドレス分析手段と、指定したパケットを対象として送信元アドレスに対してパケット数を複数のマスクでカウントする送信元アドレス分析手段とを設け、これらの手段によリカウントされる単位時間当りのパケット数がビット値毎のカウンタ閾値あるいは統計的増加率の閾値以上となることにより攻撃対象を検知する。
【選択図】図2

Description

本発明は、ネットワーク上を流れるパケットを入手して動作し、不正アクセスやサービス不能攻撃などを検知する不正侵入検知装置に関する。
近年、コンピュータシステムへの不正アクセスや、主としてインターネット上のWebサーバ、メールサーバ等の各種サーバに対して大量の無意味なサービス接続要求を送り付け、サーバの負荷を高めてサーバをダウンさせたり、他の正当なユーザへのサービスを妨げたりするサービス不能攻撃(DoS攻撃:Denial of Service attack)などが問題になっている。そこで、このような問題を解決するために、インターネットを介した不正侵入を検知する技術として、ネットワークを介して送信されてくるパケットの量を監視してトラヒック値を求め、この観測トラヒック値に基づいていずれかの分析項目に関して不正アクセスパケットかどうかの不正アクセス分析を行う不正侵入検知装置が知られている(例えば、特許文献1参照)。
図1は上記従来の不正侵入検知装置を含むシステムの構成図であり、同図において、101は不正侵入検知装置、102はこの不正侵入検知装置が接続されたネットワーク、103は上記不正侵入検知装置101を管理するシステム管理者、104は上記ネットワーク102を流れるパケット、105は上記ネットワーク102との間でパケット104を送受信する通信手段、106は取得したパケットの量を監視するパケット監視手段、107は受信したパケットが不正であるか否かを判断するパケット分析手段、108は不正なパケットがあった場合にシステム管理者103に通知する不正アクセス通知手段、109は上記システム管理者103が侵入検知装置101に対して各種設定項目等を入力するための入力手段である。
上記従来の不正侵入検知装置101は、ネットワーク102に流れるパケット104をパケット監視手段106にて監視して、単位時間当りのパケット取得数を観測トラヒック値として出力し、次いでパケット分析手段107にて、パケットが不正アクセスパケットかどうかの不正アクセス分析を、上記観測トラヒック値が所定の閾値以上である場合にパターンマッチング又は統計的手法によって行うようにしたものである。
特開2003−204358号公報
上述したような従来の不正侵入検知装置では、パケット情報に対する閾値をあらかじめ設定した上、分析項目で分析パターンを指定する必要がある。また、攻撃ツールなどにより送信元アドレスを偽装して多数の送信元アドレスによる攻撃が行われた場合に、その攻撃のパケットを検知してもホスト単位の宛先又は送信元アドレスで通知されるため、送信元アドレスに対してどの範囲で遮断すべきかシステム管理者が手作業で分析する必要がある。
そこで本発明は、上述したような問題点を解決するため、あらかじめ監視・分析のためのパターンを指定しなくても、攻撃パケットを宛先アドレス及び送信元アドレスに対して複数のマスクで自動的に検知し、トラヒックを自動で制御し得る不正侵入検知装置を提供することを目的とする。
上記目的を達成するために、請求項1に記載の発明は、ネットワーク上を流れるパケットを入手して動作し、不正アクセスやサービス不能攻撃などを検知する不正侵入検知装置において、当該不正侵入検知装置が、ネットワークのトラヒックを観測する手段と、指定したパケットを対象として宛先アドレスに対してパケット数を複数のマスクでカウントし、単位時間当りのパケット数がマスク毎のカウンタ攻撃判断閾値あるいはパケットの統計的増加率の攻撃判断閾値以上となるときに、宛先アドレス/マスクとパケットの取得時刻情報とを出力する宛先アドレス分析手段と、指定したパケットを対象として送信元アドレスに対してパケット数を複数のマスクでカウントし、単位時間当りのパケット数がマスク毎のカウンタ攻撃判断閾値あるいはパケットの統計的増加率の攻撃判断閾値以上となるときに送信先アドレス/マスクと時刻情報を出力する送信元アドレス分析手段と、前記宛先アドレス分析手段及び送信元アドレス分析手段からの各出力を取得して、それぞれ宛先アドレス/マスク及び送信先アドレス/マスクの組の攻撃判断情報に基づく攻撃検出アラートを発信する攻撃判定手段とを備えていることを特徴とする不正侵入検知装置にある。
また、請求項2の発明は、請求項1において、前記ネットワークのトラヒックを観測する手段が、ネットワークから通信手段を介してパケットを取得してパケット情報及び該パケットを取得した時刻情報を出力するパケット情報取得手段と、該パケット情報取得手段からのパケット情報及び時刻情報を取得して、フィルタ情報を設定するパケット情報フィルタ設定手段による設定に基づいてパケットをフィルタリングし、パケット情報及び時刻情報をパケット情報保存手段に出力するパケット情報フィルタ手段とを含むことを特徴とする。
また、請求項3の発明は、請求項1において、前記宛先アドレス分析手段が、宛先アドレス空間を複数のマスクでマスク毎にカウントするカウンタを有することを特徴とする。
また、請求項4の発明は、請求項1において、前記送信元アドレス分析手段が、送信元アドレス空間を複数のマスクでマスク毎にカウントするカウンタを有することを特徴とする。
また、請求項5の発明は、請求項1において、前記宛先アドレス分析手段は、既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になった際に、攻撃終了判断情報を出力することを特徴とする。
また、請求項6の発明は、請求項1において、前記送信元アドレス分析手段は、既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になった際に、攻撃終了判断情報を出力することを特徴とする。
また、請求項7の発明は、請求項1において、前記不正侵入検知装置が、指定したパケットを対象として宛先ポートに対してパケット数をカウントし、一定時間で最大となるカウンタ値の宛先ポート及び時刻情報を出力する宛先ポート分析手段も具えていることを特徴とする。
また、請求項8の発明は、請求項1において、前記宛先ポート分析手段が、指定されたパケットに対して、宛先ポート毎にカウントするカウンタを有することを特徴とする。
また、請求項9の発明は、請求項7において、前記不正侵入検知装置が、前記攻撃判定手段からの設定に基づいて、パケットに対して帯域制限や廃棄などのトラヒックコントロールを行うトラヒックコントロール手段も備え、前記攻撃判定手段が前記トラヒックコントロール手段に対して、前記宛先アドレス/マスク、宛先ポート及び送信先アドレス/マスクに対するトラヒックを帯域制限や廃棄するよう設定することにより、トラヒックコントロールをあらかじめ自動設定し得るようにしたことを特徴とする。
また、請求項10の発明は、請求項1において、前記攻撃判定手段が、前記宛先アドレス分析手段及び送信元アドレス分析手段に対し、出力契機や攻撃終了判断契機となるカウンタ値の攻撃判断閾値及び攻撃終了判断閾値を設定することを特徴とする。
上述した本発明によれば、プロバイダのバックボーンルータのように、保護対象アドレスを決めることが困難な場合や保護対象アドレスリストが膨大になる場合でも、保護対象アドレスなどの検出パターンを設定することなしに、攻撃されているアドレス/マスクを自動的に検出することが可能になる。そして、ツールなどにより送信元アドレスを広範囲に詐称されている場合や、標的となるコンピュータに対してネットワーク的に大きな負荷を加えることで、サービスをダウンさせたり、実質的にサービスを利用不能にする分散サービス不能攻撃(DDoS攻撃:Distributed Denial of Service attacks)などの場合でも、攻撃しているアドレス/マスクを自動的に検出し、自動でトラヒックコントロールすることができる。
次に、本発明の実施形態について図面を参照しながら説明する。
図2は本発明の一実施形態による不正侵入検知装置200を含むネットワークシステムの概略構成を示すブロック図であり、不正侵入検知装置200が接続されたネットワーク204には、不正マシン201や正常マシン202やサーバ203などが接続され、ネットワーク204上にパケット205が流れているものとする。
不正侵入検知装置200は、通信手段206、パケット情報取得手段207、パケット情報フィルタ設定手段208、パケット情報フィルタ手段209、パケット情報保存手段210、宛先アドレス分析手段211、宛先ポート分析手段212、送信元アドレス分析手段213、攻撃判定手段214及びトラヒックコントロール手段215を備えており、通信手段206、パケット情報取得手段207、パケット情報フィルタ設定手段208、パケット情報フィルタ手段209及びパケット情報保存手段210は、本発明におけるトラヒック観測手段を成す。
通信手段206は、ネットワーク204上を流れているパケット205を取得してパケット情報取得手段207へ送信する。
パケット情報取得手段207は、通信手段206からパケット205を取得してパケット情報及び該パケットを取得した時刻情報を出力する。パケット205は、送信元アドレス、宛先アドレス等が記録されているヘッダ情報部とデータ部とを有している。
パケット情報フィルタ設定手段208は、パケット情報フィルタ手段209に対して、フィルタ情報を設定する。
パケット情報フィルタ手段209は、パケット情報取得手段207からパケット情報及び時刻情報を取得し、パケット情報フィルタ設定手段208によるフィルタ情報の設定に基づいてパケットをフィルタリングして、このフィルタリング処理したパケット情報と時刻情報をパケット情報保存手段210に出力する。
パケット情報保存手段210は、パケット情報フィルタ手段209からのパケット情報と時刻情報を保存する。
宛先アドレス分析手段211は、宛先アドレス空間を複数のマスク(なお、「マスク」とは、1つのネットワーク・アドレスで、複数のネットワークを識別するのに用いられ、具体的には全32ビットのIPアドレスのホスト部の一部のビットをネットワークの識別に用いるものである)でマスク毎にカウントするカウンタを有しており、この宛先アドレス分析手段211は、パケット情報保存手段210から取得した宛先アドレスと時刻情報より、宛先アドレスをツリーでビット値毎にカウントする。また、この際、ビット毎に一定期間の平均カウンタ増加値を記録して、これを統計的増加率の判定基準とする。そして、時刻情報に基づいた一定時間のビット値毎に設定されたカウンタ攻撃判断閾値あるいは統計的増加率の攻撃判断閾値以上のカウンタ値になったときに、該当するカウンタに対応している宛先アドレス/マスク及び時刻情報を攻撃判断情報として出力する。既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になったときには、攻撃終了判断情報を出力する。
宛先ポート分析手段212は、指定されたパケットに対し、宛先ポート毎にパケット数をカウントするカウンタを有しており、この宛先ポート分析手段212はパケット情報保存手段210より、宛先アドレス分析手段211にて出力された宛先アドレス/マスク及び時刻情報に対応するパケット情報の宛先ポートを抽出し、宛先ポートをカウントする。そして、一定時間で最大となるカウンタ値の宛先ポート及び時刻情報を出力する。この宛先ポート分析手段212は本発明にとっては必ずしも必要でなく、適宜省くこともできる。
送信元アドレス分析手段213は、送信元アドレス空間を複数のマスクでマスク毎にカウントするカウンタを有しており、この送信元アドレス分析手段213は、パケット情報保存手段210より、宛先アドレス分析手段211及び宛先ポート分析手段212にて出力された宛先アドレス/マスクと、宛先ポート及び時刻情報に該当するパケット情報の送信元アドレスを取得する。また、ビット毎に一定期間の平均カウンタ増加値を記録して、これを統計的増加率の判定基準とする。送信元アドレス分析手段213は送信元アドレスをツリーでビット値毎にカウントし、ビット値毎に設定された一定期間のカウンタ攻撃判断閾値あるいは統計的増加率の攻撃判断閾値以上のカウンタ値になったときに、該当するカウンタの送信元アドレス/マスク及び時刻情報を攻撃判断情報として出力する。ここでも、既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になったときは、攻撃終了判断情報を出力する。
攻撃判定手段214は、宛先アドレス分析手段211、宛先ポート分析手段212及び送信元アドレス分析手段213からそれぞれ取得した宛先アドレス/マスク、宛先ポート及び送信元アドレス/マスクの組の攻撃判断情報に基づく攻撃検出アラートをシステム管理者216へ送信する。あらかじめトラヒックコントロールを自動実行する設定のときは、トラヒックコントロール手段215に対し、送信元アドレス/マスク、宛先アドレス/マスク及び宛先ポートにそれぞれ該当するトラヒックを帯域制限や廃棄するよう設定する。また、攻撃判定手段214は宛先アドレス分析手段211及び送信元アドレス分析手段212に対し、出力契機や攻撃終了判断契機となるカウンタ値の攻撃判断閾値及び攻撃終了判断閾値を設定する。閾値を設定しないビットは、カウンタ動作を行わず攻撃結果を出力しない。また、閾値に係わらずにビット毎に上位いくつまで結果を出力するか設定することもできる。
トラヒックコントロール手段215は、攻撃判定手段214からの設定に基づいて,パケットに対して帯域制限や廃棄などのトラヒックコントロールを行う。
なお、観測したい宛先アドレス/マスクなどが決まっているときには、パケット情報フィルタ設定手段208により、パケット情報フィルタ手段209のフィルタ情報をあらかじめ設定しておくことで、処理負荷を低減させることができる。
本発明に係る装置による不正アクセスの検知に当り、先ず、攻撃判定手段214により、宛先アドレス分析手段211に対して、攻撃されている宛先アドレス/マスクを認識するための攻撃判断閾値と攻撃が終了したことを認識するための攻撃終了判断閾値をあらかじめ設定する。宛先アドレス/マスクに対して設定する閾値として、単位時間当りのカウンタ値として登録する閾値と、一定観測期間の平均カウンタ値に対する増加率として登録する閾値がある。これら閾値の設定は宛先アドレスの各ビット値単位に行うが、最下位ビット値であるホストアドレスに対する閾値を与えて、1ビット上位になる毎にホストアドレス閾値に一定倍率を乗じるように設定することもできる。宛先アドレス/マスクが特定されている場合などのために、宛先アドレス分析手段211での処理を行わずに、宛先ポート分析手段212や送信元アドレス分析手段213での処理を実行する設定も可能である。
また、攻撃判定手段214により、宛先ポート分析手段212に対して、宛先アドレス分析手段211からの出力を用いてパケット情報保存手段210から情報を取得するか、パケット情報保存手段219に保存されている全パケット情報を用いて単位時間当りの宛先ポート情報をカウントするかの設定をする。
また、攻撃判定手段214により、送信元アドレス分析手段213に対して、攻撃パケットの送信元アドレス/マスクを認識するための攻撃判断閾値と、攻撃が終了したことを認識するための攻撃終了判断閾値をあらかじめ設定する。送信元アドレス/マスクに対して設定する閾値としては、単位時間当りのカウンタ値として登録する閾値と、一定観測期間の平均カウンタ値に対する増加率として登録する閾値がある。これら閾値の設定は送信元アドレスの各ビット値単位に行なうが、最下位ビット値であるホストアドレスに対する閾値を与えて、1ビット上位になる毎にホストアドレス閾値に一定倍率を乗じるように設定することもできる。
送信元アドレス分析手段213にて閾値による判定が必要ない場合のために、閾値を設定しないこともでき、また宛先アドレス分析手段211からの出力に対し、送信元アドレス/マスクのカウンタ値の上位いくつまで出力するかをビット値毎に設定することもできる。また、送信元アドレス分析手段213がパケット情報保存手段210から取得する情報として、宛先アドレス分析手段211からの出力を用いるか全宛先アドレスを取得するか、宛先ポート分析手段212からの出力を用いるか、全宛先ポートを取得するかをそれぞれ設定することができる。
また、攻撃判定手段214により、宛先アドレス分析手段211、宛先ポート分析手段212及び送信元アドレス分析手段213からの出力に対して、帯域制限や廃棄を自動あるいはシステム管理者の手動で行うための設定をすることができる。
次いで、本発明による不正侵入検知装置による各処理ステップにつき説明する。
先ず通信手段206によりネットワーク上を流れているパケット205を取得する。
次に、パケット情報取得手段207により、通信手段206からパケット205を取得し、パケット情報とパケットを取得した時刻情報をパケット情報フィルタ手段209に出力する。
次に、パケット情報フィルタ手段209により、パケット情報取得手段207から取得したパケット情報をパケット情報フィルタ設定手段208にて設定されたフィルタ情報に基づいてフィルタリングして宛先アドレス分析手段211に出力する。
パケット情報フィルタ手段209から出力されたパケット情報と時刻情報はパケット情報保存手段210に保存する。
次に、宛先アドレス分析手段211により、パケット情報保存手段210から宛先アドレスと時刻情報を取得する。宛先アドレス分析手段211には、宛先アドレス空間をツリーで表現するTrieを用意する。
図3はツリーによるアドレスカウンタを示す図である。同図において、301はビット値、302はカウンタ閾値、303はアドレス/マスク、304はカウンタをそれぞれ示し、例えば10.0.0.0.1/24及び192.168.0.1/32は、それぞれアドレスが10.0.0.0.1でネットマスク長が24ビットであること及びアドレスが192.168.0.1でネットマスク長が全IPアドレス空間に対応する32ビットであることを表している。
このようなツリーによるアドレスカウンタは、各ビットに対応して1つのノードを考え、ビット値が0の時は子ノード1へ、ビット値が1の時は子ノード2として、宛先アドレスを取得する毎にツリーを成長させる。ツリーの各ノードにはカウンタを持ち、来たパケットをツリーに加えて通過したノードのカウンタは1を加える。ツリーで1番リーフ側のノードのカウンタはホストアドレス毎のカウントになる。各ノードは自分と同じカウントで同じ高さの次のノードへのポインタを持つ。各ノードは同じ高さで自分よりカウンタ値が小さい中で最大のカウント値を持つノードへのポインタを持つ。結果として、ビット毎にカウンタ値が大きい宛先アドレス/マスクを算出する。宛先アドレス/マスクが当該ビットに設定された一定時間のカウンタ攻撃判断閾値あるいは統計的増加率の攻撃判断閾値以上になったとき、その宛先アドレス/マスクと時刻情報を攻撃判断情報として出力する。アドレスの包含関係がある場合は、マスク値が最小なアドレス/マスクのみを出力する。
次に、宛先ポート分析手段212により、パケット情報保存手段210から、宛先アドレス分析手段211にて出力された宛先アドレス/マスク及び時刻情報に対応するパケット情報の宛先ポートを取得し、宛先ポートをカウントする。そして、最大のカウント値を持つ宛先ポート及び時刻情報を出力する。
次に、送信元アドレス分析手段213により、パケット情報保存手段210から、宛先アドレス分析手段211及び宛先ポート分析手段212にて出力された宛先アドレス/マスクと宛先ポート及び時刻情報に相当するパケット情報の送信元アドレスを取得する。この送信元アドレス分析手段213にも前記宛先アドレス分析手段211の場合と同様に、宛先アドレス空間をツリーで表現するTrieを用意する。この場合のツリーによるアドレスカウンタも前述した図3の例と同じであり、各ビットに対応して1つのノードを考え、ビット値が0の時は子ノード1へ、ビット値が1の時は子ノード2として、送信元アドレスを取得する毎にツリーを成長させる。ツリーの各ノードにはカウンタを持ち、来たパケットをツリーに加えて通過したノードのカウンタは1を加える。ツリーで1番リーフ側のノードのカウンタはホストアドレス毎のカウントになる。各ノードは自分と同じカウントで同じ高さの次のノードへのポインタを持つ。各ノードは同じ高さで自分よりカウンタ値が小さい中で最大のカウント値を持つノードへのポインタを持つ。結果として、ビット毎にカウンタ値が大きい送信元アドレス/マスクを算出する。送信元アドレス/マスクが当該ビットに設定された一定時間のカウンタ攻撃判断閾値あるいは統計的増加率の攻撃判断閾値以上になったとき、その送信元アドレス/マスクと時刻情報を攻撃判断情報として出力する。アドレスの包含関係がある場合は、マスク値が最小なアドレス/マスクのみを出力する。
次に、攻撃判定手段214は、宛先アドレス分析手段211、宛先ポート分析手段212及び送信元アドレス分析手段213からそれぞれ取得した宛先アドレス/マスク、宛先ポート及び送信元アドレス/マスクを含み攻撃を検出したことを示すアラートをシステム管理者に送信する。攻撃判定手段214は、あらかじめトラヒックコントロールを自動実行する設定のときは、トラヒックコントロール手段213に対し、宛先アドレス分析手段211による宛先アドレス/マスク、宛先ポート分析手段212による宛先ポート及び送信元アドレス分析手段213による送信元アドレス/マスクにそれぞれ該当するトラヒックを帯域制限や廃棄するよう設定する。
トラヒックコントロール手段215は、攻撃判定手段214からの設定に基づいて、宛先アドレス分析手段211、宛先ポート分析手段212及び送信元アドレス分析手段213での各処理に当り、パケットの対して帯域制限や廃棄などのトラヒックコントロールを行う。そして、管理者216にトラヒックコントロールを実施したことを通知する。
宛先アドレス分析手段211は、すでに出力した攻撃判断情報に対応するカウンタの値が攻撃終了判断閾値以下になったときは、攻撃終了判断情報を出力する。
送信元アドレス分析手段213も、すでに出力した攻撃判断情報に対応するカウンタの値が攻撃終了判断閾値以下になったときは、攻撃終了判断情報を出力する。
攻撃判定手段214は、宛先アドレス分析手段211又は送信元アドレス分析手段213から攻撃終了判断情報を取得したときは、攻撃終了を示すアラートをシステム管理者216に送信する。あらかじめトラヒックコントロールを自動実行する設定のときは、トラヒックコントロール手段215に対し、送信元アドレス/マスク、宛先アドレス/マスク及び宛先ポートにそれぞれ該当するトラヒックを帯域制限や廃棄を解除するように設定する。
トラヒックコントロール手段215は、攻撃判定手段214からの設定に基づいて、パケットに対して帯域制限や廃棄などのトラヒックコントロールを解除する。そして、システム管理者にトラヒックコントロールを解除したことを通知する。
以上のように、本発明によれば、保護対象アドレスやポートなどの検出パターンをあらかじめ設定することなく攻撃されているアドレス/マスクを自動的に検出し、送信元アドレス/マスクも自動的に検出し、トラヒックコントロールすることができる。その結果、システム管理者が大量のアクセスコントロールリストをホスト単位で設定することなく、又はアクセスコントロールリストのためのマスク値を手動で分析することなく、自動で攻撃パケットをコントロールすることができる。
従来の不正侵入検知装置の一例を示すシステム構成図である。 本発明の一実施形態による不正侵入検知装置200を含むネットワークシステムの概略構成を示すブロック図である。 本発明に係るアドレスカウンタの一例を示す図である。
符号の説明
200 不正侵入検知装置
201 不正マシン
202 正常マシン
203 サーバ
204 ネットワーク
205 パケット
206 通信手段
207 パケット情報取得手段
208 パケット情報フィルタ設定手段
209 パケット情報フィルタ手段
210 パケット情報保存手段
211 宛先アドレス分析手段
212 宛先ポート分析手段
213 送信元アドレス分析手段
214 攻撃判定手段
215 システム管理者
216 トラヒックコントロール手段
301 ビット値
302 カウンタ閾値
303 アドレス/マスク
304 カウンタ

Claims (10)

  1. ネットワーク上を流れるパケットを入手して動作し、不正アクセスやサービス不能攻撃などを検知する不正侵入検知装置において、当該不正侵入検知装置が、ネットワークのトラヒックを観測する手段と、指定したパケットを対象として宛先アドレスに対してパケット数を複数のマスクでカウントし、単位時間当りのパケット数がマスク毎のカウンタ攻撃判断閾値あるいはパケットの統計的増加率の攻撃判断閾値以上となるときに、宛先アドレス/マスクとパケットの取得時刻情報とを出力する宛先アドレス分析手段と、指定したパケットを対象として送信元アドレスに対してパケット数を複数のマスクでカウントし、単位時間当りのパケット数がマスク毎のカウンタ攻撃判断閾値あるいはパケットの統計的増加率の攻撃判断閾値以上となるときに送信先アドレス/マスクと時刻情報を出力する送信元アドレス分析手段と、前記宛先アドレス分析手段及び送信元アドレス分析手段からの各出力を取得して、それぞれ宛先アドレス/マスク及び送信先アドレス/マスクの組の攻撃判断情報に基づく攻撃検出アラートを発信する攻撃判定手段とを備えていることを特徴とする不正侵入検知装置。
  2. 前記ネットワークのトラヒックを観測する手段が、ネットワークから通信手段を介してパケットを取得してパケット情報及び該パケットを取得した時刻情報を出力するパケット情報取得手段と、該パケット情報取得手段からのパケット情報及び時刻情報を取得して、フィルタ情報を設定するパケット情報フィルタ設定手段による設定に基づいてパケットをフィルタリングし、パケット情報及び時刻情報をパケット情報保存手段に出力するパケット情報フィルタ手段とを含むことを特徴とする請求項1に記載の不正侵入検知装置。
  3. 前記宛先アドレス分析手段が、宛先アドレス空間を複数のマスクでマスク毎にカウントするカウンタを有することを特徴とする請求項1に記載の不正侵入検知装置。
  4. 前記送信元アドレス分析手段が、送信元アドレス空間を複数のマスクでマスク毎にカウントするカウンタを有することを特徴とする請求項1に記載の不正侵入検知装置。
  5. 前記宛先アドレス分析手段は、既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になった際に、攻撃終了判断情報を出力することを特徴とする請求項請求項1に記載の不正侵入検知装置。
  6. 前記送信元アドレス分析手段は、既に出力した攻撃判断情報に対応するカウンタ値が攻撃終了判断閾値以下になった際に、攻撃終了判断情報を出力することを特徴とする請求項請求項1に記載の不正侵入検知装置。
  7. 前記不正侵入検知装置が、指定したパケットを対象として宛先ポートに対してパケット数をカウントし、一定時間で最大となるカウンタ値の宛先ポート及び時刻情報を出力する宛先ポート分析手段も具えていることを特徴とする請求項1に記載の不正侵入検知装置。
  8. 前記宛先ポート分析手段が、指定されたパケットに対して、宛先ポート毎にカウントするカウンタを有することを特徴とする請求項7に記載の不正侵入検知装置。
  9. 前記不正侵入検知装置が、前記攻撃判定手段からの設定に基づいて、パケットに対して帯域制限や廃棄などのトラヒックコントロールを行うトラヒックコントロール手段も備え、前記攻撃判定手段が前記トラヒックコントロール手段に対して、前記宛先アドレス/マスク、宛先ポート及び送信先アドレス/マスクに対するトラヒックを帯域制限や廃棄するよう設定することにより、トラヒックコントロールをあらかじめ自動設定し得るようにしたことを特徴とする請求項7に記載の不正侵入検知装置。
  10. 前記攻撃判定手段が、前記宛先アドレス分析手段及び送信元アドレス分析手段に対し、出力契機や攻撃終了判断契機となるカウンタ値の攻撃判断閾値及び攻撃終了判断閾値を設定することを特徴とする請求項1に記載の不正侵入検知装置。

JP2004017131A 2004-01-26 2004-01-26 不正侵入検知装置 Pending JP2005210601A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004017131A JP2005210601A (ja) 2004-01-26 2004-01-26 不正侵入検知装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004017131A JP2005210601A (ja) 2004-01-26 2004-01-26 不正侵入検知装置

Publications (1)

Publication Number Publication Date
JP2005210601A true JP2005210601A (ja) 2005-08-04

Family

ID=34902065

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004017131A Pending JP2005210601A (ja) 2004-01-26 2004-01-26 不正侵入検知装置

Country Status (1)

Country Link
JP (1) JP2005210601A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007053654A (ja) * 2005-08-19 2007-03-01 Hitachi Communication Technologies Ltd パケット転送装置およびパケット転送システム
KR100756462B1 (ko) 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP2009504099A (ja) * 2005-08-05 2009-01-29 ルーセント テクノロジーズ インコーポレーテッド IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
JP2010103633A (ja) * 2008-10-21 2010-05-06 Toshiba Corp 通信制御方法、通信装置、および通信システム
JP2010103673A (ja) * 2008-10-22 2010-05-06 Kddi Corp 情報処理装置およびプログラム
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
JP2013502130A (ja) * 2009-08-13 2013-01-17 インターナショナル・ビジネス・マシーンズ・コーポレーション Ipネットワークのためのアドレス範囲自動検出
WO2014129587A1 (ja) 2013-02-21 2014-08-28 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN104333529A (zh) * 2013-07-22 2015-02-04 中国电信股份有限公司 一种云计算环境下http dos攻击的检测方法及系统
JP2017200152A (ja) * 2016-04-28 2017-11-02 学校法人東京電機大学 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
JP2019029798A (ja) * 2017-07-28 2019-02-21 日本電信電話株式会社 異常検知システム及び異常検知方法
CN109696892A (zh) * 2018-12-21 2019-04-30 上海瀚之友信息技术服务有限公司 一种安全自动化系统及其控制方法
JP2020140723A (ja) * 2016-07-22 2020-09-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ネットワーク攻撃防御システムおよび方法
WO2023195090A1 (ja) * 2022-04-06 2023-10-12 楽天モバイル株式会社 不正アクセスをブロックするためのネットワーク管理

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009504099A (ja) * 2005-08-05 2009-01-29 ルーセント テクノロジーズ インコーポレーテッド IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
JP4768020B2 (ja) * 2005-08-05 2011-09-07 アルカテル−ルーセント ユーエスエー インコーポレーテッド IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
JP2007053654A (ja) * 2005-08-19 2007-03-01 Hitachi Communication Technologies Ltd パケット転送装置およびパケット転送システム
JP4616728B2 (ja) * 2005-08-19 2011-01-19 株式会社日立製作所 パケット転送システム
KR100756462B1 (ko) 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
JP2010103633A (ja) * 2008-10-21 2010-05-06 Toshiba Corp 通信制御方法、通信装置、および通信システム
JP2010103673A (ja) * 2008-10-22 2010-05-06 Kddi Corp 情報処理装置およびプログラム
JP2013502130A (ja) * 2009-08-13 2013-01-17 インターナショナル・ビジネス・マシーンズ・コーポレーション Ipネットワークのためのアドレス範囲自動検出
US8989198B2 (en) 2009-08-13 2015-03-24 International Business Machines Corporation Automatic address range detection for IP networks
US9112945B2 (en) 2009-08-13 2015-08-18 International Business Machines Corporation Automatic address range detection for IP networks
WO2014129587A1 (ja) 2013-02-21 2014-08-28 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US9661008B2 (en) 2013-02-21 2017-05-23 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
CN104333529A (zh) * 2013-07-22 2015-02-04 中国电信股份有限公司 一种云计算环境下http dos攻击的检测方法及系统
CN104333529B (zh) * 2013-07-22 2017-12-12 中国电信股份有限公司 一种云计算环境下http dos攻击的检测方法及系统
JP2017200152A (ja) * 2016-04-28 2017-11-02 学校法人東京電機大学 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
JP2020140723A (ja) * 2016-07-22 2020-09-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ネットワーク攻撃防御システムおよび方法
US11184387B2 (en) 2016-07-22 2021-11-23 Alibaba Group Holding Limited Network attack defense system and method
JP2019029798A (ja) * 2017-07-28 2019-02-21 日本電信電話株式会社 異常検知システム及び異常検知方法
CN109696892A (zh) * 2018-12-21 2019-04-30 上海瀚之友信息技术服务有限公司 一种安全自动化系统及其控制方法
WO2023195090A1 (ja) * 2022-04-06 2023-10-12 楽天モバイル株式会社 不正アクセスをブロックするためのネットワーク管理

Similar Documents

Publication Publication Date Title
US7624447B1 (en) Using threshold lists for worm detection
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US7607170B2 (en) Stateful attack protection
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US8438241B2 (en) Detecting and protecting against worm traffic on a network
JP5015014B2 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
US20090282478A1 (en) Method and apparatus for processing network attack
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
US20070204060A1 (en) Network control apparatus and network control method
NZ516346A (en) A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
CN101631026A (zh) 一种防御拒绝服务攻击的方法及装置
JP2010050939A (ja) 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2005210601A (ja) 不正侵入検知装置
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
CN105991637A (zh) 网络攻击的防护方法和装置
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
JP4161989B2 (ja) ネットワーク監視システム
JP2006164038A (ja) DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム