JP2010050939A - 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム - Google Patents

攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム Download PDF

Info

Publication number
JP2010050939A
JP2010050939A JP2008215989A JP2008215989A JP2010050939A JP 2010050939 A JP2010050939 A JP 2010050939A JP 2008215989 A JP2008215989 A JP 2008215989A JP 2008215989 A JP2008215989 A JP 2008215989A JP 2010050939 A JP2010050939 A JP 2010050939A
Authority
JP
Japan
Prior art keywords
cluster
information
attribute information
packet
node group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008215989A
Other languages
English (en)
Other versions
JP5011234B2 (ja
Inventor
Hiroshi Nakakoji
博史 仲小路
Tetsuo Kito
哲郎 鬼頭
Masatoshi Terada
真敏 寺田
Shinichi Tankyo
真一 丹京
Isao Kaine
功 甲斐根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information Systems Ltd
Original Assignee
Hitachi Information Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information Systems Ltd filed Critical Hitachi Information Systems Ltd
Priority to JP2008215989A priority Critical patent/JP5011234B2/ja
Priority to US12/461,363 priority patent/US20100050260A1/en
Publication of JP2010050939A publication Critical patent/JP2010050939A/ja
Application granted granted Critical
Publication of JP5011234B2 publication Critical patent/JP5011234B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】類似の特徴を有する攻撃ノードをグループ化してノード群として扱い、そのノード群ごとに対策を実施する技術を提供する。
【解決手段】攻撃ノード群判定装置12は、取得したイベントログから抽出したイベントログ基本パラメータと、そのイベントログ基本パラメータに係る属性情報とを取得する(S105〜S109)。そして、取得した属性情報とイベントログ基本パラメータとの一部または全部を次元とする空間に対して、クラスタリングを実行し、クラスタを算出し、そのクラスタ情報とその対処方法とをFW(ルータ)11に送信する(S110〜S113)。FW(ルータ)11は、新たに攻撃ノード群60から攻撃パケットを検知したときに、該パケットを含むクラスタを特定し、特定したクラスタ全体に対して、それに対応する対処方法を実行する(S115)。
【選択図】図13

Description

本発明は、不正な活動を行うノード群を判定し、そのノード群からのアクセスを制御する技術に関する。
インターネットには、多くのコンピュータが接続されている。それらのコンピュータに対して、正規のアクセス権を持たない人が、そのコンピュータのソフトウェアのセキュリティホールを悪用したり、ダウンロード可能に提供されるプログラムにコンピュータウイルスを仕込んでコンピュータにバックドアを意図的に作成してコンピュータの機能を無許可で利用可能にしたり、といった不正アクセスが発生している。さらに、近年、正規のアクセス権を持たない人によって勝手に制御されるコンピュータによって構成されるネットワークであるボットネットを用いて、多地点から分散してDDoS(Distributed Denial of Service attack)攻撃やサイバ攻撃を行うといったことが急増している。
このような不正アクセスに対処する装置として、不正アクセスを検知する侵入検知システム(以降、IDSという。IDS:Intrusion Detection System)や、不正アクセスから特定のコンピュータネットワークの安全を維持するファイアウォール(以降、FWという。FW:Firewall)等が知られている。IDSは、予め登録された不正アクセスに用いられるパケットの情報パターンを用いて、その情報パターンに一致するパケットを監視して、不正アクセスを検知している。また、FWは、IPアドレスやポート番号単位でアクセスの可否を予め設定しておいた情報に基づいて、適合パケットまたは違反パケットの検知を行っている。
特許文献1には、FWが不正アクセスを検知し、その不正アクセス元のIPアドレスを特定し、LAN(Local Area Network)に設置されているルータのフィルタ機能にそのIPアドレスを廃棄させる設定をして、不正アクセス元のIPアドレスに係るパケットを廃棄させて、不正アクセスを防止する発明が開示されている(段落0019参照)。
特開2005−197823号公報
しかしながら、DDoS攻撃やサイバ攻撃の仕方は、攻撃を仕掛けてくる攻撃ノードが次々と現れては消えていくというように、複雑で巧妙化している。
そのため、特許文献1に開示されているように、不正アクセス元のIPアドレスに対して、個々に対応しているのでは、非効率になるという問題がある。すなわち、個々のIPアドレスにピンポイントで対策していたのでは、類似の特徴を持った新たな攻撃が発生した場合にも、IPアドレスが一致しなければ対応できず、対策が後手に回ってしまうという問題がある。
本発明は、以上のような問題に鑑みてなされたものであり、類似の特徴を有する攻撃ノードをグループ化して攻撃ノード群として扱い、その攻撃ノード群ごとに対策を実施する技術を提供することを目的とする。
前記課題を解決するため、本発明は、攻撃ノード群判定装置が、イベントログを収集し、収集したイベントログから基本項目情報を抽出し、その基本項目情報を加工、または、その基本項目に基づいて対象となるノードを検査して得られた情報を属性情報として、その属性情報に対してクラスタリングを実行し、類似の特徴を有するイベントを算出し、その算出したクラスタを、情報処理装置に設定し、その設定後に、不正アクセスが検知されたとき、情報処理装置は、不正アクセスに係るイベントが含まれるクラスタを特定し、その特定されたクラスタ全体に係る不正アクセスに対して、予め設定された対処方法を実行することを特徴とする。
類似の特徴を有する攻撃ノード同士をクラスタ化して、そのクラスタ全体に対して対策(対処方法)を実行するので、対策作業の効率を向上させることができ、新たな同様の特徴を有する攻撃ノードからの攻撃を未然に防ぐことができる。
本発明によれば、不正な活動を行うノード群を判定し、そのノード群からのアクセスを制御することが可能となる。
本発明を実施するための最良の形態(以降、「実施形態」という)について、適宜図面を用いながら詳細に説明する。
まず、不正アクセスの特徴を抽出し、類似の傾向を有する攻撃ノード同士をグループ化する攻撃ノード群判定システムの構成例を、図1を用いて説明する。図1は、攻撃ノード群判定システムの一構成例を示す図である。
図1において、攻撃ノード群判定システム10は、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17を含んで構成される。なお、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、図1には、1つしか記載していないが、複数であっても構わない。
FW(ルータ)11(情報処理装置)は、当該FW(ルータ)11の外側に接続されている外部ネットワーク50から伝達されてくるパケットに対して、許可された通信のパケットのみを通過させることによって、FWの内側に構成されるネットワーク(例えば、社内ネットワーク等)に接続されている端末17等の安全を維持する。例えば、FW(ルータ)11は、DMZ(DeMilitarized Zone:非武装地帯)20を備え、そのDMZ20に設置されるWebサーバ14、メールサーバ15、およびプロキシサーバ16を、外部ネットワーク50側からアクセス可能としている。しかし、FW(ルータ)11は、アクセス制御プログラム111によって、許可されていないパケットに対しては、該パケットを廃棄したり、不正アクセスがあったことを管理者に通知したりする等、予め設定されている対処方法に基づいた処理を実行する。そして、FW(ルータ)11は、不正アクセスに係るログをイベントログとして格納する。
IDS13は、侵入検知プログラムによって、外部ネットワーク50を流れるパケットを監視して、不正なパケットを検知する。検知された不正なパケットに係るログがイベントログとして格納される。
Webサーバ14は、WebサーバプログラムによってWebサービスを提供する。その際、Webページへのアクセス、認証に係るログがイベントログとして格納される。
メールサーバ15は、メールサーバプログラムによってメールの送受信に係るサービスを提供する。その際、メール送信、メール受信、認証、ウイルスメール検知、スパムメール検知等に係るログがイベントログとして格納される。
プロキシサーバ16は、FW(ルータ)11の内側のネットワークに接続された端末17が外部ネットワーク50に接続されたサーバによって提供されるWeb、FTP(File Transfer Protocol)、およびTelnet等のサービスを利用するときに、プロキシサーバプログラムによって、端末17に代わって通信を行う。その際、アクセスや認証に係るログがイベントログとして格納される。
端末17は、例えば、パーソナルコンピュータ(PC)であり、侵入検知プログラム、ウイルス対策プログラム、スパムメール対策プログラム等によって、不正なアクセスを監視し、そのログをイベントログとして格納する。
攻撃ノード群判定装置12は、FW(ルータ)11、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17のイベントログを収集し、解析ブログラムによってその収集したイベントログのイベントをクラスタリングして、類似の特徴を有する攻撃ノード同士をクラスタに分類する。そして、攻撃ノード群判定装置12は、クラスタ化した結果に基づいて、アクセス制御指示プログラムを用いて、FW(ルータ)11に対して、クラスタに係る情報とその対処方法とを送信する。この攻撃ノード群判定装置12における処理の詳細については、後記する。
なお、図1において、各ブロック(11〜17)間を結ぶ実線や破線は、ブロック間の配線を示すのではなく、実線はイベントログ以外の通信パケットの伝達経路を示し、破線はイベントログを収集する経路を示している。
ここで、イベントログの一例について、図2を用いて説明する。図2の(a)は、IDSのイベントログの一例であり、(b)は、FW(ルータ)のイベントログの一例であり、(c)は、Webのイベントログの一例である。
図2(a)に示すように、IDS13では、主に、イベントの日時、送信元のIPアドレスやポート、宛先のIPアドレスやポート、プロトコル、および攻撃名称が記録される。
FW(ルータ)11では、図2(b)に示すように、主に、イベントの日時、送信元のIPアドレスやポート、宛先のIPアドレスやポート、およびプロトコルが記録される。
Webサ−バ14では、図2(c)に示すように、主に、イベントの日時、送信元のIPアドレスやポート、URL(Uniform Resource Locator)、応答、およびUser−Agentヘッダが記録される。User−Agentヘッダは、リクエストを生成したユーザエージントについての情報を表している。
FW(ルータ)11、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17の構成については、図示を省略するが、各々が、アプリケーションプログラムによって種々の演算処理やイベントログの作成を司る演算部、情報入力のための入力部、演算結果や指示を画面表示する表示部、他の装置との通信を制御する通信部、およびアプリケーションプログラムや演算結果等を記憶する記憶部を含んでいる。なお、攻撃ノード群判定装置12の構成の詳細については、後記する。
≪本実施形態の概要≫
ここで、本実施形態の概要を、図14を用いて説明する。図14の(a)は、不正アクセスに対応する処理の比較例を説明する図であり、(b)は、不正アクセスに対応する処理の本実施形態の概要を説明する図である。
図14(a)に示す比較例は、不正アクセス元のIPアドレスに対して個々に対応するケースである。
まず、不正アクセスを特定したIPアドレスとそのIPアドレスに対応する対処方法とを、該IPアドレスごとに、FW(ルータ)11(図1参照)に設定する。次に、FW(ルータ)11が、特定したIPアドレスを検知する。そのとき、FW(ルータ)11は、特定したIPアドレスを有するパケットに対して、設定された対処方法を実行する。
すなわち、比較例では、不正アクセスに係るパケットのIPアドレスとその対処方法とを、IPアドレス単位でFW(ルータ)11に設定して、その設定したIPアドレスごとに、FW(ルータ)11が設定された対処方法を実行している。
次に、図14(b)に示す本実施形態の概要について以下に説明する(適宜、図1参照)。
まず、攻撃ノード群判定装置12が、FW(ルータ)11、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17からイベントログを収集する。次に、攻撃ノード群判定装置12は、収集したイベントログに対してクラスタリングを実行し、クラスタを算出する。そのクラスタは、ボットネットに対応可能にするために、類似の特徴を有するイベントによって決まる集合である。また、類似の特徴とは、例えば、ある国の国民が他の国に対して抗議するときに行うDDoS攻撃やサイバ攻撃の場合には、特定の国であったり、特定のIPアドレスであったりする。そして、攻撃ノード群判定装置12は、算出したクラスタを、FW(ルータ)11に設定する。
その設定後に、IDS13またはFW(ルータ)11が不正アクセスを検知したとき、FW(ルータ)11は、不正アクセスに係るイベントが含まれるクラスタを特定する。次に、FW(ルータ)11は、特定されたクラスタ全体に係るパケットに対して、設定された対処方法を実行する。
すなわち、本実施形態では、予めクラスタとその対処方法とをFW(ルータ)11に設定しておき、不正アクセスに係るクラスタ全体に対して、FW(ルータ)11が、設定された対処方法を実行する。
次に、クラスタの形成について、イベントログに含まれる送信元IPアドレスを例として、図15を用いて説明する。図15の(a)は、クラスタリング前のイベントログの送信元IPアドレスの一例を示す図であり、(b)は、クラスタリング後の送信元IPアドレスの配置とクラスタの一例を示す図である。なお、図15では、説明を簡単にするために、送信元IPアドレスの第1オクテットをy軸、第2オクテットをx軸として、2次元の場合について示している。
なお、図15(a)では、6つの送信元IPアドレスがプロットされている。カッコ内の数字は、(x,y)を表している。
次に、図15(b)では、クラスタリング手法としてk平均法によって、クラスタ数を3として、クラスタリングを実行する場合を示す。
k平均法では、初期値として、6つのプロットを適宜3つのクラスタに振り分けて、そのクラスタの重心を計算する。そして、同じ重心に最も距離が近いプロット同士は、同じクラスタに分類する。その後、クラスタごとに重心を再計算しては、その再計算した重心とプロットとの距離を計算して、最も距離の近い重心がどれかを判定することを繰り返すことによって、クラスタとそのクラスタの範囲(大きさ)を収束させる。
図15(b)では、x軸の距離を、y軸の距離の1/10となるように重みを付けた場合を示している。そして、クラスタの範囲は、円で示されるように求められる。
≪攻撃ノード群判定装置≫
次に、攻撃ノード群判定装置12の構成について、図3を用いて説明する。図3は、攻撃ノード群判定装置の構成の一例を示す図である。
攻撃ノード群判定装置12は、演算部121、メモリ122、入力部123、表示部124、通信部125、および記憶部131を含む。
演算部121は、攻撃ノード群判定装置12の各部(122〜125,131)の制御、および各部(122〜125,131)間の情報の伝達を司る。演算部121は、例えば、演算処理を実行するCPU(Central Processing Unit )である。そして、このCPUが主記憶装置であるメモリ122にアプリケーションプログラムを展開して、それを実行することにより種々の演算処理を具現化する。メモリ122は、RAM(Random Access Memory)により実現される。なお、アプリケーションプログラムは、記憶部131に格納されている。
入力部123は、キーボードやマウス等であり、攻撃ノード群判定装置12を操作する管理者等による情報入力を受け付ける。
表示部124は、CRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等であり、入力を促す画面や演算結果を確認する画面等を表示する。
通信部125は、攻撃ノード群判定システム10内の各部(11,13〜17)(図1参照)や、外部ネットワーク50に接続されている図示しないコンピュータとの間で情報を送受信する。
記憶部131は、解析プログラム132、アクセス制御指示プログラム133、イベントDB134、ポリシDB135、および距離関数DB136を記憶している。なお、解析プログラム132およびアクセス制御指示プログラム133は、アプリケーションプログラムとして、メモリ122に展開されて、演算部121によって実行される。
解析プログラム132は、収集したイベントログに対して、イベントDB134、ポリシDB135、および距離関数DB136に格納されている情報を用いて、クラスタリングを実行し、集団行動クラスタを決定する。ここで、集団行動クラスタとは、クラスタの中でも、特に、クラスタ内のイベント間の関連性が高い(後記するように、クラスタの評価値が高いことに相当する)クラスタを意味する。そして、解析プログラム132は、集団行動クラスタに対応して、不正アクセスに対する対処方法を設定する。例えば、集団行動クラスタ内に、不正アクセスに係るイベントが含まれている場合は、通信を遮断(パケットを廃棄)するといった対処方法を設定する。また、特定のノード(例えば、Webサーバ14)へ伝送されてくるパケットの量が多すぎる場合には、通信帯域を制限するといった対処方法を設定する。なお、解析プログラム132の動作の詳細については、後記する。
アクセス制御指示プログラム133は、解析ブログラム132によって決定された集団行動クラスタに係る情報、および、その対処方法を、FW(ルータ)11に送信する。
次に、イベントDB134については、図4を用いて説明する。図4は、イベントDBの一例を示す図である。
イベントDB134は、イベントごとに、イベントログ基本パラメータ情報(基本項目情報)と属性情報とを含む。イベントログ基本パラメータ情報は、イベントログから抽出できる項目についての情報である。また、属性情報は、イベントログ基本パラメータ情報の項目を加工、または、その項目の1つであるIPアドレスに係るノードを検査して得られた項目についての情報である。
イベントログ基本パラメータには、以下の項目がある。
検知日時は、イベントを検知した日時である。
ログタイプは、イベントログを送信した装置を識別する情報である。
送信元IPアドレスは、イベントを記録させる原因となったノードに設定されているIPアドレスである。例えば、FW(ルータ)11のイベントにおいてはそのFW(ルータ)11へのアクセス元、IDS13のイベントにおいては攻撃元、Webサーバ14のイベントにおいてはクライアント、メールサーバ15のイベントにおいてはSMTP(Simple Mail Transfer Protocol)あるいはPOP(Post Office Protocol)送信者、プロキシサーバ16のイベントにおいてはプロキシ利用者のそれぞれのIPアドレスである。なお、端末17のイベントにおいては、端末17にインストールされたソフトウェアに応じて定義される。
送信元ポート番号は、イベントを記録させる原因となったノードのポート番号で、送信元IPアドレスと同様にログタイプに応じて定義される。
宛先IPアドレスは、パケットを送出するイベントに係る宛先のIPアドレスである。例えば、FW(ルータ)11のイベントにおいてはそのFW(ルータ)11へのアクセス先、IDS13のイベントにおいては攻撃先、Webサーバ14のイベントにおいてはWebサーバ自身、メールサーバ15のイベントにおいてはメール送信先、プロキシサーバ16のイベントにおいては代理アクセス先のそれぞれのIPアドレスである。なお、端末17のイベントにおいては、端末17にインストールされたソフトウェアに応じて定義される。
プロトコルは、イベントに係る通信において用いられたプロトコルであって、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)等である。
なお、イベントログ基本パラメータの項目は、これに限られるものではなく、例えば、ウイルス対策ソフトウェアにおけるウイルス名等、イベントログの送信元装置に応じて柔軟に拡張可能である。
次に、属性情報に格納される項目について説明する。
送信元IPアドレスの第nオクテットは、IPv4の場合、n=1〜4であり、IPv6の場合、n=1〜16である。なお、請求項に記載の「所定に分割」は、オクテットごとの分割である。
送信元国、送信元都市、送信元緯度、送信元経度、送信元AS(Autonomous System)番号、送信元回線種別、送信元地域時差等は、それぞれIPアドレスが割り当てられたノードの所在国、所在都市、所在緯度、所在経度、所在ノードの属するAS(Autonomous System)番号、回線種別、所在地域の時差を、イベントログ基本パラメータである送信元IPアドレスに基づいて導出したものである。この導出は、予め記憶部131に格納しておいたIPアドレスとそれらの項目とを関連付けたテーブルを参照するか、または、前記テーブルと同様の情報を備えた外部サービスを利用することによって行われる。
回線種別は、例えば、ダイアルアップ(Dial-up)、ISDN(Integrated Services Digital Network)、ADSL(Asymmetric Digital Subscriber Line)、ケーブルテレビ(Cable TV)、FTTH(Fiber To The Home)等である。
送信元回線速度は、送信元IPアドレスのネットワーク環境に係る情報である。例えば、解析プログラム132(図3参照)によって、送信元IPアドレスに対して、ICMP(ping)を用いた検査パケットにより検査して得られたレスポンスタイムやTTL(Time To Live)等である。
送信元稼動OSは、解析プログラム132(図3参照)によって能動的に検査して得る情報である。例えば、OSスタックフィンガープリンティングの技術を利用した検査パケットを用いて、対象ノードのOSに係る情報を得る。また、Webサーバ14のように、OSやクライアントソフトウェアの識別子がイベントログに記載されている場合は、それを参照して送信元稼動OSを知ることもできる。
属性情報における「宛先」で始まる項目は、「送信元」で始まる項目の場合と同様に、イベントログ基本パラメータである宛先IPアドレスに基づいて導出したものであるので、宛先IPアドレスの第nオクテット、宛先国、宛先都市、宛先緯度、宛先経度、宛先AS(Autonomous System)番号、宛先回線種別、宛先地域時差、宛先回線速度、宛先稼動OSについての説明を省略する。
宛先稼動サービスは、宛先ポート番号によって割り出されるサービス名称、あるいは、イベントログを構成する項目に記載されたサービス名称である。例えば、宛先稼動サービスは、宛先ポートが80番であればWeb、IDS13によってSQLServer(登録商標)を攻撃するパケットを検知して得られたイベントであればSQLServer(登録商標)となる。
次に、図3に示すポリシDB135について、図5,図6を用いて説明する。図5は、ポリシDBに格納されている距離関数割当ポリシの一例を示す図である。図6は、ポリシDBに格納されているアクションポリシの一例を示す図である。
図5に示すように、距離関数割当ポリシは、イベントDB134のイベントの項目と、項目毎に割り当てた距離関数の一覧と、項目を識別するIDとを含む。例えば、検知日時にはユークリッド距離関数を割り当て、識別子をL1とする。また、送信元IPアドレスの第1オクテットは第1オクテット用距離関数を割り当て、識別子をA1とする。残りの項目については、説明を省略する。
ここで、距離関数について、説明する。一般的に、クラスタリング手法を用いてクラスタを導出するときには、データ間の距離関数が定義される。
2次元ユークリッド空間では、2つのデータA=(xa、ya)、B=(xb、yb)間の距離は、x軸とy軸ともに同等に扱われている。つまり、x軸における距離がxaとxbの差の絶対値で、y軸における距離がyaとybの差の絶対値であり、点AとBとの間の距離は、それぞれの軸における距離の二乗和の平方根であるとされることが一般的である。
本実施形態では、各イベントの項目を軸としてとらえ、さらに各軸における距離の算出方法を同等ではなく、軸(イベントの項目)の性質に応じて使い分ける。すなわち、軸ごとに重み付けを考慮する。
例えば、図15(b)に示したように、x軸の距離に対する重みを、y軸の距離に対する重みの1/10にするといったことである。
次に、図6に示す、ポリシDB135のアクションポリシについて、説明する。
アクションポリシは、アクションNo.、フィルタ条件、評価式、閾値、および対処方法を格納している。
アクションNo.は、適宜、識別するために付される。
フィルタ条件は、クラスタリングを実行するときに使用する、イベントログのデータをフィルタによって選別するときの条件である。例えば、アクションNo.=3の場合では、L2=WEBとなっている。このL2は、図5に示したIDを意味しており、ログタイプを示している。そして、「WEB」は、Webサーバのイベントログを対象とすることを示している。
評価式は、アクションNo.=3ではA1+A2+A3+A4となっている。この式では、A1、A2、A3、およびA4は、図5に示したIDを意味している。そして、評価式は、A1、A2、A3、およびA4を軸として、2点間を各軸へ射影したときの距離の二乗を全ての軸について加算して、その加算結果の4乗根を算出するものと定義する。なお、アクションNo.=1の場合の評価式では、L2、A1、A2、A3、A4、およびA26×3(=A26の重みづけが3)を軸として、2点間を各軸へ射影したときの距離の二乗を全ての軸について加算して、その加算結果の6乗根を算出するものと定義する。
そして、クラスタリングによって得られたクラスタについて、イベント全体の個数に対するそのクラスタに含まれる個数の割合、イベントの個数、分散値、クラスタの重心とそのクラスタに含まれるイベントとの距離の平均等を組み合わせて定量化した評価値(クラスタの評価値)を得る。なお、本実施形態では、クラスタの評価値が大きいほど、イベント間の関連性が高いものとして説明している。
なお、請求項に記載の「フィルタ情報」とは、フィルタ条件および評価式のことである。
閾値は、クラスタの評価値がその閾値より大きいか小さいかを比較する場合に用いられる。そして、クラスタの評価値が閾値より大きい場合には、イベント間の関連性が高い(類似の特徴を有する)クラスタ、すなわち、集団行動クラスタであると判定されるものとする。
対処方法は、集団行動クラスタに対する処理内容を示している。例えば、「警告通知(管理者に警告情報を通知する)」、「通信帯域制限(通信帯域を制限する)」、あるいは「通信遮断(通信を遮断する)」等である。
次に、図3に示す距離関数DB136について、図7〜10を用いて説明する。図7は、距離関数DBに格納される距離関数定義の一例を示す図である。図8は、距離関数DBに格納されるポート測距用マトリクスおよびプロトコル測距用マトリクスの一例を示す図である。図9は、距離関数DBに格納される回線種別測距用マトリクスおよびサービス測距用マトリクスの一例を示す図である。図10は、距離関数DBに格納されるOS測距用マトリクスの一例を示す図である。
距離関数定義には、距離関数とそれを定義するアルゴリズムが格納されている。例えば、ユークリッド距離関数は、2点間のユークリッド距離を距離関数の戻り値として返す。また、ポリシDB135の距離関数割当ポリシ(図5参照)に示される送信元国(ID=A5)や送信先国(ID=18)に割り当てられた国用距離関数は、測距する2値(2つの国)が同じ値(同じ国)であった場合に0、隣国の場合は10、それ以外の場合は255を距離関数の戻り値として返す。
ポート番号用距離関数は、宛先ポート番号(ID=L6)(図5参照)に割り当てられているが、図8に示すポート測距用マトリクスを用いて測距し、距離関数の戻り値として返す。例えば、HTTP用の標準ポートである80番ポートと、HTTPS用の標準ポートである443番ポートでは、443−80=363の差があるものの、同じWebサービスに用いられるといった点において類似している。このため、80番ポートと443番ポートは距離が1となるように定義している。
図8に示すプロトコル測距用マトリクスは、距離関数DB137の距離関数定義のプロトコル用距離関数を定義するのに用いられる。例えば、通常、異なるプロトコル間の関連性は低いと考えられるため、プロトコル番号が異なる場合は255の大きな値を返すが、IPv4用のICMP(1)と、IPv6用のIPv6−ICMP(58)は、同じICMPに関するプロトコルであることから、距離が1となるように定義している。
次に、図9に示す回線種別測距用マトリクスは、距離関数DB137の距離関数定義の回線種別用距離関数を定義するのに用いられる。例えば、いわゆるナローバンド系の回線(DialUPやISDN(Integrated Services Digital Network))と、ブロードバンド系の回線(ADSL(Asymmetric Digital Subscriber Line),CableTV、FTTH(Fiber To The Home))に分けて距離を定義している。
サービス測距用マトリクスは、距離関数DB137の距離関数定義のサービス用距離関数を定義するのに用いられる。例えば、メール送信サービス(SMTP)と、メール受信サービス(POP)は、メールに関するサービスであるため、距離を1として定義している。また、Winnyや、Winnyp、WinMXなどのアプリケーションによるサービスはP2P型ファイル共有ソフトという点で共通であるため距離が短くなるように定義している。
次に、図10に示すOS測距用マトリクスは、距離関数DB137の距離関数定義のOS用距離関数を定義するのに用いられる。例えば、Windows(登録商標)9x系カーネルを持つWindows(登録商標)95やWindows(登録商標)Meと、Windows(登録商標)NT系カーネルを持つWindows(登録商標)NT4.0やWindows(登録商標)2000、Windows(登録商標)XPと、UNIX(登録商標)系カーネルを持つBSD、Linux(登録商標),Mac(登録商標)OSXに分けて距離を定義している。
そして、図3に戻って、攻撃ノード群判定装置12では、解析プログラム132が、イベントDB134、ポリシDB135、および距離関数DB136を用いて、クラスタリングを実行して、集団行動クラスタを算出する。解析プログラム132における処理の流れと集団行動クラスタの例について、図11,図12を用いて説明する。図11は、解析プログラムにおける処理の流れを示す図である。図12は、集団行動クラスタの一例を示す図である。
図11に示すように、解析プログラム132(図3参照)が開始されると、ポリシDB135からアクションポリシ(図6参照)を読み込む(ステップS1101)。ここでは、アクションNo.=3が読み込まれるものとする。
フィルタ条件として「L2=WEB」が、評価式として「A1+A2+A3+A4」が、閾値として「0.9」が、対処方法として「通信遮断」が設定される(ステップS1102〜S1105)。
そして、距離関数割当ポリシ(図5参照)が読み込まれる(ステップS1106)。すなわち、A1、A2、A3、およびA4に対応する距離関数が読み込まれる。
次に、イベントDB134(図4参照)から、イベントログが読み込まれる(ステップS1107)。この読み込みにタイミングは、所定の期間ごとであっても、また、例えば1000という所定数ごとであっても、管理者の操作によってであっても良い。
そして、読み込まれたイベントログの内、フィルタ条件に基づいて、L2=WEBのデータが抽出される(ステップS1108)。
次に、評価式に基づいて、送信元IPアドレスが属性情報としての4つのオクテットに分解(加工)される(ステップS1109)。
そして、A1、A2、A3、およびA4を軸とする、4次元の空間に各イベントを射影する(ステップS1110)。
次に、距離関数DB136(図7参照)から、A1、A2、A3、およびA4に対応する距離関数が読み込まれる(ステップS1111)。
そして、各軸(A1、A2、A3、A4)の距離関数を使って、クラスタリングが行われる(ステップS1112)。
次に、形成されたクラスタの評価値が算出される(ステップS1113)。
そして、クラスタが集団行動クラスタであるか否かが判定される。すなわち、クラスタの評価値と閾値とが比較される(ステップS1114)。
クラスタの評価値が閾値以上である場合(ステップS1114でYes)、集団行動クラスタとその対処方法とがアクセス制御指示プログラムに引き渡される(ステップS1115)。
クラスタの評価値が閾値未満である場合(ステップS1114でNo)、処理を終了する。
なお、図示していないが、全てのクラスタに対して、ステップS1114〜S1115の処理が繰り返し実行される。
また、図11では、ステップS1105において、対処方法を設定していたが、ステップ1115において対処方法を設定する場合もある。すなわち、集団行動クラスタ内に、不正アクセスに係るイベントが含まれていることが判明した場合には、そのことを反映した対処方法を設定しても良い。
次に、解析プログラム132によって決定された集団行動クラスタの例について、以下に説明する。
図12(a)に示すクラスタAは、クラスタリングの結果として得られた、送信元IPアドレスのクラスタである。クラスタAの範囲は、送信元IPアドレスの第1オクテットが192から距離0以内、送信元IPアドレスの第2オクテットが168から距離0以内、送信元IPアドレスの第3オクテットが1から距離0以内、送信元IPアドレスの第4オクテットが62から距離5以内の全ての条件を満たす場合を表す。
図12(b)に示すクラスタBは、送信元稼動OSに係るクラスタである。OSは、ソフトウェアの種類やバージョン等が識別可能にされているので、その範囲が、Linuxから距離5以内の全ての条件を満たす場合を表す。
図12(c)に示すクラスタCは、送信元回線速度に係るクラスタである。回線速度は、ICMP(Ping)を用いて、対象とするノードからのレスポンスタイムやTTLから割り出すことが可能であるので、その範囲が、TTL60から距離10以内の全ての条件を満たす場合を表す。
次に、本実施形態の攻撃ノード群検知システムの動作を、図13を用いて説明する。図13は、本実施形態の攻撃ノード群検知システムの動作の一例を示す図である。
図13では、外部ネットワーク50(図1参照)に接続された複数の攻撃ノード61,62,63,64からなる攻撃ノード群60から、Webサーバ14に対して攻撃が行われた場合について説明する。なお、図13において、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、端末17は、図1に示したものと同様であるので、説明を省略する。
まず、攻撃ノード群60から、Webサーバに対して攻撃パケットが送信される(ステップS101)。
攻撃ノード群60から送信された攻撃パケットは、IDS13によって攻撃として検知され、攻撃パケットに関するイベントとして記録される(ステップS102)。次に、攻撃パケットは、FW(ルータ)11によって、通過パケットとして検知され、イベントログに記録される(ステップS103)。そして、攻撃パケットは、Webサーバ14にアクセス記録として記録され、イベントログに記録される(ステップS104)。
攻撃ノード群判定装置12は、所定の期間ごとあるいは管理者の操作によって、IDS13、FW(ルータ)11、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17からイベントログを取得する(ステップS105〜S107)。
攻撃ノード群判定装置12は、取得したイベントログからイベントログ基本パラメータ(図4参照)を抽出し、イベントログ基本パラメータの一部の項目(例えば送信元IPアドレス)を用いて、攻撃ノード61,62,63,64のそれぞれに検査パケットを送信して、属性情報の検査(例えば回線速度や稼動OS)を行い、属性情報(第1の属性情報)(図4参照)を取得する(ステップS108)。また、攻撃ノード群判定装置12は、宛先のIPアドレスにも検査パケットを送信して、属性情報の検査(例えば回線速度や稼動OS)を行い、属性情報(第1の属性情報)(図4参照)を取得する。
そして、攻撃ノード群判定装置12は、取得した属性情報をイベントの情報に付加して、イベントDB134に格納する。また、攻撃ノード群判定装置12は、イベントログ基本パラメータを加工して作成した属性情報(第2の属性情報)をイベントの情報に付加して、イベントDB134に格納する。(ステップS109)。
攻撃ノード群判定装置12は、イベントDB134(図4参照)に属性情報を追加した後に、イベンドDB134に格納されたイベントに対しクラスタリングの処理を行う(ステップS110)。また、攻撃ノード群判定装置12は、クラスタリングによって作成されたクラスタのそれぞれについて、クラスタの評価値を算出して、算出したクラスタの評価値と閾値とを比較することによって、クラスタ評価を行う(ステップS111)。そして、攻撃ノード群判定装置12は、集団行動クラスタと判定されたクラスタに対して、アクションポリシの対処方法(図6参照)を設定する(ステップS112)。
なお、ステップS111〜S112の具体例として、例えば、アクションポリシのアクションNo.=3(図6参照)に示される条件を用いて、Webサーバ14のイベントログのイベントをクラスタリング処理することによってクラスタA(図11参照)が算出され、送信元IPアドレスが類似した攻撃ノード群60を含むクラスタAの評価値が0.95として算出された場合を想定する。この条件の場合には、予め設定した閾値が0.9であり、クラスタAの評価値(=0.95)が閾値(=0.9)より大きいので、そのクラスタAは集団行動クラスタであると判定される。そして、アクションポリシにしたがって対処方法が設定される。
攻撃ノード群判定装置12は、クラスタAを含む集団行動クラスタに係るクラスタ情報とその集団行動クラスタに対応する対処方法とをFW(ルータ)11(情報処理装置)に送信する(ステップS113)。FW(ルータ)11は、受信した集団行動クラスタと対処方法とを図示しない記憶部に格納する。そして、FW(ルータ)11は、新たに、攻撃ノード群60から攻撃パケットを受信したときに、アクセス制御プログラム111によって、そのパケットに係るイベントのイベントログ基本パラメータを抽出し、検査パケットを攻撃ノードに送信して、その検査結果に基づいて、ノードの情報を取得する(ステップS114)。そして、FW(ルータ)11は、アクセス制御プログラム111によって、該パケットがクラスタAに含まれることが判明した場合には、そのクラスタAに含まれるノード全体に対して、それに対応する対処方法を実行する(ステップS115)。
(変形例)
変形例では、IPアドレスに対してのみ対処方法を実行する既存のFW(ルータ)11でも対応可能にする。
すなわち、図13のステップS112に対応するステップにおいて、集団行動クラスタと判定されたクラスタに含まれるIPアドレスやポード番号によって、クラスタ全体が表現される。そして、そのクラスタに対して、対応する対処方法が関連付けられる。次に、ステップS113に対応するステップにおいて、集団行動クラスタに係るイベントログ基本パラメータと、そのイベントログ基本パラメータを加工して作成した属性情報(第2の属性情報)と、それに対応する対処方法とが、FW(ルータ)11に送信され、図示しない記憶部に格納される。また、集団行動クラスタとIPアドレスとを関連付けて記憶部に格納する。
次に、FW(ルータ)11は、ステップS114に対応するステップにおいて、ノードに係る属性情報(第1の属性情報)を取得する。そして、FW(ルータ)11は、新たに、攻撃ノード群60から攻撃パケットを受信したときに、ステップS115に対応するステップにおいて、そのパケットに係るイベントのイベントログ基本パラメータと属性情報を、記憶部に記憶しておいたイベントログ基本パラメータと属性情報と比較して、攻撃パケットに係るクラスタを特定する。そして、FW(ルータ)11は、記憶部を参照して、そのクラスタ全体に係るIPアドレスを抽出し、抽出されたIPアドレスに基づいて、そのクラスタ全体に含まれるIPアドレスに対して、それに対応する対処方法を実行する。
例えば、ある集団行動クラスタ全体のIPアドレスが192.168.1.0/24で表される場合には、そのIPアドレスに対応するパケットは、全て同じ対処方法が取られる。
以上説明したように、本実施形態や変形例に係る攻撃ノード群判定装置20(図1参照)は、イベントログをクラスタリングして、共通の特徴を有するクラスタを単位として攻撃等に対処するため、悪意あるソフトウェアに集団感染しているネットワークセグメント、国、地域等を特定することが可能である。また、クラスタを単位として攻撃等に対処するため、同じクラスタに属する未だ攻撃を仕掛けてきていないノードに対しても、未然に対処することが可能である。さらに、クラスタを単位として攻撃等に対処するため、攻撃してくるノードのIPアドレスを検知するごとに対症療法的に対策を講じるのではなく、グループ単位で効率よく対策を講じることが可能となる。
以上、本実施形態や変形例について説明したが、本発明は、これらに限定されるものではなく、その趣旨を変えない範囲で実施することができる。
例えば、本実施形態では、図1に示すように、IDS13がFW(ルータ)11の外側(外部ネットワーク50側)に設置される構成としたが、DMZ20内に設置されても構わない。また、Webサーバ14、メールサーバ15、およびプロキシサーバ16が全て設置されている必要はなく、単独であっても、任意の組み合わせであっても構わない。また、イベントログを出力する装置であれば、本実施形態に適用可能である。
なお、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、異なるハードウェアとして実装されるとは限らず、ソフトウェアの集約や、仮想化技術によって、一つのハードウェア上に、異なる擬似装置として実装されても良い。
また、クラスタリングの方法は、k平均法に限定されるものではない。
また、攻撃ノード群判定装置12が、FW(ルータ)11の機能を備えていても良い。さらに、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、攻撃ノード群判定装置12およびアクセス制御プログラム111を実行可能としていても良い。
また、前記した実施形態や変形例では、FW(ルータ)11は、攻撃パケットを受信したときに、ステップS115において、それに対応する対処方法を実行することとした。しかし、これに限られることはなく、FW(ルータ)11は、攻撃パケットを受信しない状態においても、ステップS113において受信した対処方法を常に実行しているとよい。このようにすることによって、不正アクセスかどうか分からない場合においても、特定のイベントを有するパケットを受信した場合に、FW(ルータ)11が、対処方法を実行することができる。
攻撃ノード群判定システムの一構成例を示す図である。 (a)は、IDSのイベントログの一例であり、(b)は、FW(ルータ)のイベントログの一例であり、(c)は、Webのイベントログの一例である。 攻撃ノード群判定装置の構成の一例を示す図である。 イベントDBの一例を示す図である。 ポリシDBに格納されている距離関数割当ポリシの一例を示す図である。 ポリシDBに格納されているアクションポリシの一例を示す図である。 距離関数DBに格納される距離関数定義の一例を示す図である。 距離関数DBに格納されるポート測距用マトリクスおよびプロトコル測距用マトリクスの一例を示す図である。 距離関数DBに格納される回線種別測距用マトリクスおよびサービス測距用マトリクスの一例を示す図である 距離関数DBに格納されるOS測距用マトリクスの一例を示す図である。 解析プログラムにおける処理の流れを示す図である。 集団行動クラスタの一例を示す図である。 本実施形態の攻撃ノード群検知システムの動作の一例を示す図である。 (a)は、不正アクセスに対応する処理の比較例を説明する図であり、(b)は、不正アクセスに対応する処理の本実施形態の概要を説明する図である。 (a)は、クラスタリング前のイベントログの送信元IPアドレスの一例を示す図であり、(b)は、クラスタリング後の送信元IPアドレスの配置とクラスタの一例を示す図である。
符号の説明
10 攻撃ノード群判定システム
11 FW(ルータ)
12 攻撃ノード群判定装置
13 IDS
14 Webサーバ
15 メールサーバ
16 プロキシサーバ
17 端末
50 外部ネットワーク
111 アクセス制御プログラム
121 演算装置
131 記憶部
132 解析プログラム
133 アクセス制御指示プログラム
134 イベントDB
135 ポリシDB
136 距離関数DB

Claims (21)

  1. パケットが通過または到着したときに作成されるイベントログを出力する情報処理装置と通信可能に接続され、
    前記情報処理装置から取得されるイベントログから抽出した基本項目情報と、該基本項目情報に基づき新たに付与する属性情報とをイベントとして格納するイベント情報の記憶部と、
    前記基本項目情報と前記属性情報との各項目にそれぞれ割り当てる距離関数と、前記イベント情報から特定のイベントを抽出するフィルタと、前記イベント同士の特徴が類似する度合いを算出する評価式と、前記フィルタ条件および前記評価式に関連付けられた閾値とを格納するポリシ情報の記憶部と、
    前記記憶部のポリシ情報を参照して、前記記憶部から読み出したイベント情報に所定期間内に記録されたまたは所定件数記録されたイベントに前記フィルタを適用して抽出したイベントの項目に対して、その項目に対応する前記距離関数に基づくクラスタリング処理を実行して、類似の特徴を有するクラスタを作成し、前記クラスタに対して特徴が類似する度合いを該クラスタの評価値として算出し、前記クラスタの評価値が前記閾値を超えている場合に、該クラスタは類似の特徴を有するクラスタであると判定する演算装置と、
    を備えることを特徴とする攻撃ノード群判定装置。
  2. パケットが通過または到着したときに作成されるイベントログを用いた攻撃ノード群判定装置であって、
    演算部と記憶部とを備え、
    前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、抽出された前記特定のイベントを有するパケットの対処方法と、を記憶し、
    前記演算部は、
    所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
    前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
    前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
    前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
    前記特定のイベントを有するパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
    前記特定のイベントを有するパケットが含まれると特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする攻撃ノード群判定装置。
  3. 前記記憶部は、さらに、不正アクセスに対応する対処方法を記憶し、
    前記演算部は、さらに、
    前記不正アクセスに係るパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
    前記不正アクセスに係るパケットが含まれると特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする請求項2に記載の攻撃ノード群判定装置。
  4. 前記演算部は、
    前記第1の属性情報の取得において、該ノードに係る情報を取得可能な検査パケットを該ノードに送信することによって行うこと、
    を特徴とする請求項2または請求項3に記載の攻撃ノード群判定装置。
  5. 前記演算部は、
    前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目を次元とする空間に対して、前記項目ごとに定められた前記イベントの2点間の距離に重み付けをして、クラスタリングを実行すること、
    を特徴とする請求項2ないし請求項4のいずれか一項に記載の攻撃ノード群判定装置。
  6. 前記クラスタの評価値は、
    前記算出されたクラスタに含まれるイベントの割合、イベントの個数、クラスタに含まれるイベントの分散値、およびクラスタの重心とクラスタに含まれるイベントとの距離の平均のいずれか1つまたはそれらの組み合わせによって算出されること、
    を特徴とする請求項2ないし請求項5のいずれか一項に記載の攻撃ノード群判定装置。
  7. 前記対処方法は、警報通知、通信帯域制限、通信遮断のいずれかであること、
    を特徴とする請求項2ないし請求項6のいずれか一項に記載の攻撃ノード群判定装置。
  8. パケットが通過または到着したときに作成されるイベントログを出力可能とし、不正アクセスに対して対処方法を実行する情報処理装置と通信可能に接続される攻撃ノード群判定装置であって、
    演算部と記憶部とを備え、
    前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
    前記演算部は、
    所定の期間に取得したイベントログを前記フィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスをオクテットに分解して第2の属性情報として算出し、
    前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
    前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
    前記クラスタの評価値を前記フィルタ情報に対応する閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
    前記類似の特徴を有するとみなせるクラスタに係る情報と、該クラスタに対応する前記不正アクセスに対応する対処方法とを、前記情報処理装置に送信すること、
    を特徴とする攻撃ノード群判定装置。
  9. 前記情報処理装置に送信される前記類似の特徴を有するとみなせるクラスタに係る情報は、前記フィルタ情報、前記クラスタリングを実行したときに用いた前記基本項目情報、前記第1の属性情報、および前記第2の属性情報であること、
    を特徴とする請求項8に記載の攻撃ノード群判定装置。
  10. 請求項8または請求項9に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置であって、
    演算部と記憶部とを備え、
    前記情報処理装置の記憶部は、
    受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶しており、
    前記情報処理装置の演算部は、
    不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、当該情報処理装置の記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
    該当するクラスタを特定した場合、該クラスタに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする情報処理装置。
  11. 請求項8または請求項9に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置であって、
    演算部と記憶部とを備え、
    前記情報処理装置の記憶部は、
    受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶しており、
    前記情報処理装置の演算部は、
    不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、当該情報処理装置の記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
    該当するクラスタを特定した場合、該クラスタに含まれるIPアドレスに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする情報処理装置。
  12. パケットが通過または到着したときに作成されるイベントログを作成し、不正アクセスに対して対処方法を実行する攻撃ノード群判定装置において用いられる攻撃ノード群判定方法であって、
    前記攻撃ノード群判定装置は、演算部と記憶部とを備え、
    前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
    前記演算部は、
    所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を該ノードに係る情報を取得可能な検査パケットを該ノードに送信することによって第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
    前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部の項目を次元とする空間に対して、前記項目ごとに定められた前記イベントの2点間の距離に重み付けをして、クラスタリングを実行し、類似の特徴を有するクラスタを算出し、
    前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
    前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
    不正アクセスに係るパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
    該特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする攻撃ノード群判定方法。
  13. 前記クラスタの評価値は、
    前記算出されたクラスタに含まれるイベントの割合、イベントの個数、クラスタに含まれるイベントの分散値、およびクラスタの重心とクラスタに含まれるイベントとの距離の平均のいずれか1つまたはそれらの組み合わせによって算出されること、
    を特徴とする請求項12に記載の攻撃ノード群判定方法。
  14. 前記対処方法は、警報通知、通信帯域制限、通信遮断のいずれかであること、
    を特徴とする請求項12または請求項13に記載の攻撃ノード群判定装置。
  15. パケットが通過または到着したときに作成されるイベントログを出力可能とし、不正アクセスに対して対処方法を実行する情報処理装置と通信可能に接続される攻撃ノード群判定装置に用いられる攻撃ノード群判定方法であって、
    前記攻撃ノード群判定装置は、演算部と記憶部とを備え、
    前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
    前記演算部は、
    所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
    前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
    前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
    前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
    前記類似の特徴を有するとみなせるクラスタに係る情報と、該クラスタに対応する前記不正アクセスに対応する対処方法とを、前記情報処理装置に送信すること、
    を特徴とする攻撃ノード群判定方法。
  16. 前記情報処理装置に送信される前記類似の特徴を有するとみなせるクラスタに係る情報は、前記フィルタ情報、前記クラスタリングを実行したときに用いた前記基本項目情報、前記第1の属性情報、および前記第2の属性情報であること、
    を特徴とする請求項15に記載の攻撃ノード群判定方法。
  17. 請求項15または請求項16に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置において用いられる攻撃対処方法であって、
    前記情報処理装置は、演算部と記憶部とを備え、
    前記演算部は、
    受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶し、
    不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、前記記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
    該当するクラスタを特定した場合、該クラスタに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする情報処理装置において用いられる攻撃対処方法。
  18. 請求項15または請求項16に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置において用いられる攻撃対処方法であって、
    前記情報処理装置は、演算部と記憶部とを備え、
    前記演算部は、
    受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶し、
    不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、前記記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
    該当するクラスタを特定した場合、該クラスタに含まれるIPアドレスに対応するパケットに対して前記対処方法を適用すること、
    を特徴とする情報処理装置において用いられる攻撃対処方法。
  19. コンピュータを請求項2ないし請求項7のいずれか一項に記載の攻撃ノード群判定装置を構成する各部として、コンピュータを機能させるための攻撃ノード群判定プログラム。
  20. コンピュータを請求項8または請求項9に記載の攻撃ノード群判定装置を構成する各部として、コンピュータを機能させるための攻撃ノード群判定プログラム。
  21. コンピュータを請求項10または請求項11に記載の情報処理装置を構成する各部として、コンピュータを機能させるためのプログラム。
JP2008215989A 2008-08-25 2008-08-25 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム Expired - Fee Related JP5011234B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008215989A JP5011234B2 (ja) 2008-08-25 2008-08-25 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
US12/461,363 US20100050260A1 (en) 2008-08-25 2009-08-10 Attack node set determination apparatus and method, information processing device, attack dealing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008215989A JP5011234B2 (ja) 2008-08-25 2008-08-25 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2010050939A true JP2010050939A (ja) 2010-03-04
JP5011234B2 JP5011234B2 (ja) 2012-08-29

Family

ID=41697562

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008215989A Expired - Fee Related JP5011234B2 (ja) 2008-08-25 2008-08-25 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム

Country Status (2)

Country Link
US (1) US20100050260A1 (ja)
JP (1) JP5011234B2 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012103910A (ja) * 2010-11-10 2012-05-31 Yahoo Japan Corp キャッシュシステム及びコンテンツ配信制御方法
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
WO2013089936A1 (en) * 2011-12-13 2013-06-20 Mcafee, Inc. Timing management in a large firewall cluster
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP2016152594A (ja) * 2015-02-19 2016-08-22 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
JP2018022248A (ja) * 2016-08-01 2018-02-08 株式会社日立製作所 ログ分析システム、ログ分析方法及びログ分析装置
JP2018157344A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2019159431A (ja) * 2018-03-07 2019-09-19 富士通株式会社 評価プログラム、評価方法および評価装置
JP2019213183A (ja) * 2018-05-30 2019-12-12 パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置
CN112241439A (zh) * 2020-10-12 2021-01-19 绿盟科技集团股份有限公司 一种攻击组织发现方法、装置、介质和设备
JP7388613B2 (ja) 2019-10-31 2023-11-29 ホアウェイ・テクノロジーズ・カンパニー・リミテッド パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7496662B1 (en) 2003-05-12 2009-02-24 Sourcefire, Inc. Systems and methods for determining characteristics of a network and assessing confidence
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
WO2008047351A2 (en) 2006-10-19 2008-04-24 Checkmarx Ltd. Locating security vulnerabilities in source code
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
WO2010045089A1 (en) 2008-10-08 2010-04-22 Sourcefire, Inc. Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system
TWI439095B (zh) * 2010-01-22 2014-05-21 Univ Nat Taiwan Science Tech 網路攻擊偵測裝置以及方法
JPWO2011111599A1 (ja) * 2010-03-11 2013-06-27 日本電気株式会社 障害分析ルール抽出装置、障害分析ルール抽出方法、及び記憶媒体
WO2011130510A1 (en) 2010-04-16 2011-10-20 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) * 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
EP2609506B1 (en) * 2010-08-24 2019-01-16 Checkmarx Ltd. Mining source code for violations of programming rules
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
US8621618B1 (en) 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
DE102011082237B4 (de) * 2011-09-07 2013-04-04 Deutsche Telekom Ag Netzwerkkommunikationsgerät zur Kommunikation über ein Kommunikationsnetzwerk
CN103946847A (zh) * 2011-11-04 2014-07-23 惠普发展公司,有限责任合伙企业 分布式事件处理
US9336302B1 (en) 2012-07-20 2016-05-10 Zuci Realty Llc Insight and algorithmic clustering for automated synthesis
US11095665B2 (en) 2012-08-31 2021-08-17 Fastly, Inc. User access rate limiting among content delivery nodes
US9215248B1 (en) 2012-08-31 2015-12-15 Fastly Inc. User access rate limiting among content delivery nodes
US9661008B2 (en) 2013-02-21 2017-05-23 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
WO2015051181A1 (en) 2013-10-03 2015-04-09 Csg Cyber Solutions, Inc. Dynamic adaptive defense for cyber-security threats
US20150135316A1 (en) * 2013-11-13 2015-05-14 NetCitadel Inc. System and method of protecting client computers
US10223530B2 (en) 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
US9892261B2 (en) 2015-04-28 2018-02-13 Fireeye, Inc. Computer imposed countermeasures driven by malware lineage
US10536484B2 (en) 2015-06-22 2020-01-14 Fireeye, Inc. Methods and apparatus for graphical user interface environment for creating threat response courses of action for computer networks
US10785235B2 (en) * 2016-06-14 2020-09-22 Nucleon Ltd. System and method for gathering botnet cyber intelligence
RU2634173C1 (ru) * 2016-06-24 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения приложения удалённого администрирования
US11205103B2 (en) 2016-12-09 2021-12-21 The Research Foundation for the State University Semisupervised autoencoder for sentiment analysis
US11087002B2 (en) 2017-05-10 2021-08-10 Checkmarx Ltd. Using the same query language for static and dynamic application security testing tools
EP3826242B1 (en) * 2018-07-19 2022-08-10 Fujitsu Limited Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
US11176060B2 (en) 2018-10-29 2021-11-16 Sternum Ltd. Dynamic memory protection
US11477223B2 (en) * 2020-01-15 2022-10-18 IronNet Cybersecurity, Inc. Systems and methods for analyzing cybersecurity events
CN111565205B (zh) * 2020-07-16 2020-10-23 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质
EP3945441A1 (en) 2020-07-28 2022-02-02 Checkmarx Ltd. Detecting exploitable paths in application software that uses third-party libraries
US11770394B2 (en) * 2021-06-02 2023-09-26 Bull Sas Network security system that detects a common attacker who attacks from different source addresses
CN113722607B (zh) * 2021-06-25 2023-12-08 河海大学 一种基于改进聚类的托攻击检测方法
CN113824730A (zh) * 2021-09-29 2021-12-21 恒安嘉新(北京)科技股份公司 一种攻击分析方法、装置、设备及存储介质
US20230315603A1 (en) * 2022-04-01 2023-10-05 Blackberry Limited Event data processing
US20230315884A1 (en) * 2022-04-01 2023-10-05 Blackberry Limited Event data processing

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置
JP2007243459A (ja) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp トラヒック状態抽出装置及び方法ならびにコンピュータプログラム
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031938A1 (en) * 2002-10-22 2006-02-09 Unho Choi Integrated emergency response system in information infrastructure and operating method therefor
JP2005197823A (ja) * 2003-12-26 2005-07-21 Fujitsu Ltd ファイアウォールとルータ間での不正アクセス制御装置
US8407778B2 (en) * 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置
JP2007243459A (ja) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp トラヒック状態抽出装置及び方法ならびにコンピュータプログラム
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012103910A (ja) * 2010-11-10 2012-05-31 Yahoo Japan Corp キャッシュシステム及びコンテンツ配信制御方法
US9646155B2 (en) 2011-09-09 2017-05-09 Hewlett Packard Enterprise Development Lp Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
US8955097B2 (en) 2011-12-13 2015-02-10 Mcafee, Inc. Timing management in a large firewall cluster
US10721209B2 (en) 2011-12-13 2020-07-21 Mcafee, Llc Timing management in a large firewall cluster
WO2013089936A1 (en) * 2011-12-13 2013-06-20 Mcafee, Inc. Timing management in a large firewall cluster
JP6053091B2 (ja) * 2014-03-19 2016-12-27 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US10721244B2 (en) 2014-03-19 2020-07-21 Nippon Telegraph And Telephone Corporation Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP2016152594A (ja) * 2015-02-19 2016-08-22 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
JP2018022248A (ja) * 2016-08-01 2018-02-08 株式会社日立製作所 ログ分析システム、ログ分析方法及びログ分析装置
JP2018157344A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2019159431A (ja) * 2018-03-07 2019-09-19 富士通株式会社 評価プログラム、評価方法および評価装置
JP2019213183A (ja) * 2018-05-30 2019-12-12 パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置
JP7388613B2 (ja) 2019-10-31 2023-11-29 ホアウェイ・テクノロジーズ・カンパニー・リミテッド パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN112241439A (zh) * 2020-10-12 2021-01-19 绿盟科技集团股份有限公司 一种攻击组织发现方法、装置、介质和设备
CN112241439B (zh) * 2020-10-12 2023-07-21 绿盟科技集团股份有限公司 一种攻击组织发现方法、装置、介质和设备

Also Published As

Publication number Publication date
US20100050260A1 (en) 2010-02-25
JP5011234B2 (ja) 2012-08-29

Similar Documents

Publication Publication Date Title
JP5011234B2 (ja) 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
WO2015107861A1 (ja) 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム
Cheema et al. Prevention techniques against distributed denial of service attacks in heterogeneous networks: A systematic review
Ullah et al. Survey on botnet: Its architecture, detection, prevention and mitigation
KR100947211B1 (ko) 능동형 보안 감사 시스템
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
Tritilanunt et al. Entropy-based input-output traffic mode detection scheme for dos/ddos attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR20120072992A (ko) 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
Akiyoshi et al. Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet
Irum et al. DDoS detection and prevention in internet of things
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Yong et al. Understanding botnet: From mathematical modelling to integrated detection and mitigation framework
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
Tesfahun et al. Botnet detection and countermeasures-a survey
KR101025502B1 (ko) 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
Ji et al. Botnet detection and response architecture for offering secure internet services
Singhrova A host based intrusion detection system for DDoS attack in WLAN
John et al. Efficient defense system for IP spoofing in networks
KR101045332B1 (ko) Irc 및 http 봇넷 정보 공유 시스템 및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120604

R150 Certificate of patent or registration of utility model

Ref document number: 5011234

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees