JP2010050939A - 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム - Google Patents
攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム Download PDFInfo
- Publication number
- JP2010050939A JP2010050939A JP2008215989A JP2008215989A JP2010050939A JP 2010050939 A JP2010050939 A JP 2010050939A JP 2008215989 A JP2008215989 A JP 2008215989A JP 2008215989 A JP2008215989 A JP 2008215989A JP 2010050939 A JP2010050939 A JP 2010050939A
- Authority
- JP
- Japan
- Prior art keywords
- cluster
- information
- attribute information
- packet
- node group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000010485 coping Effects 0.000 title claims abstract description 38
- 230000010365 information processing Effects 0.000 title claims description 30
- 238000011156 evaluation Methods 0.000 claims description 36
- 238000004891 communication Methods 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 17
- 238000007689 inspection Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 10
- 230000005484 gravity Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 53
- 230000009471 action Effects 0.000 description 40
- 230000005540 biological transmission Effects 0.000 description 21
- 239000011159 matrix material Substances 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 12
- 238000005259 measurement Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 9
- 239000000284 extract Substances 0.000 description 5
- 230000000052 comparative effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】攻撃ノード群判定装置12は、取得したイベントログから抽出したイベントログ基本パラメータと、そのイベントログ基本パラメータに係る属性情報とを取得する(S105〜S109)。そして、取得した属性情報とイベントログ基本パラメータとの一部または全部を次元とする空間に対して、クラスタリングを実行し、クラスタを算出し、そのクラスタ情報とその対処方法とをFW(ルータ)11に送信する(S110〜S113)。FW(ルータ)11は、新たに攻撃ノード群60から攻撃パケットを検知したときに、該パケットを含むクラスタを特定し、特定したクラスタ全体に対して、それに対応する対処方法を実行する(S115)。
【選択図】図13
Description
そのため、特許文献1に開示されているように、不正アクセス元のIPアドレスに対して、個々に対応しているのでは、非効率になるという問題がある。すなわち、個々のIPアドレスにピンポイントで対策していたのでは、類似の特徴を持った新たな攻撃が発生した場合にも、IPアドレスが一致しなければ対応できず、対策が後手に回ってしまうという問題がある。
本発明は、以上のような問題に鑑みてなされたものであり、類似の特徴を有する攻撃ノードをグループ化して攻撃ノード群として扱い、その攻撃ノード群ごとに対策を実施する技術を提供することを目的とする。
図1において、攻撃ノード群判定システム10は、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17を含んで構成される。なお、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、図1には、1つしか記載していないが、複数であっても構わない。
メールサーバ15は、メールサーバプログラムによってメールの送受信に係るサービスを提供する。その際、メール送信、メール受信、認証、ウイルスメール検知、スパムメール検知等に係るログがイベントログとして格納される。
端末17は、例えば、パーソナルコンピュータ(PC)であり、侵入検知プログラム、ウイルス対策プログラム、スパムメール対策プログラム等によって、不正なアクセスを監視し、そのログをイベントログとして格納する。
図2(a)に示すように、IDS13では、主に、イベントの日時、送信元のIPアドレスやポート、宛先のIPアドレスやポート、プロトコル、および攻撃名称が記録される。
FW(ルータ)11では、図2(b)に示すように、主に、イベントの日時、送信元のIPアドレスやポート、宛先のIPアドレスやポート、およびプロトコルが記録される。
Webサ−バ14では、図2(c)に示すように、主に、イベントの日時、送信元のIPアドレスやポート、URL(Uniform Resource Locator)、応答、およびUser−Agentヘッダが記録される。User−Agentヘッダは、リクエストを生成したユーザエージントについての情報を表している。
ここで、本実施形態の概要を、図14を用いて説明する。図14の(a)は、不正アクセスに対応する処理の比較例を説明する図であり、(b)は、不正アクセスに対応する処理の本実施形態の概要を説明する図である。
まず、不正アクセスを特定したIPアドレスとそのIPアドレスに対応する対処方法とを、該IPアドレスごとに、FW(ルータ)11(図1参照)に設定する。次に、FW(ルータ)11が、特定したIPアドレスを検知する。そのとき、FW(ルータ)11は、特定したIPアドレスを有するパケットに対して、設定された対処方法を実行する。
すなわち、比較例では、不正アクセスに係るパケットのIPアドレスとその対処方法とを、IPアドレス単位でFW(ルータ)11に設定して、その設定したIPアドレスごとに、FW(ルータ)11が設定された対処方法を実行している。
まず、攻撃ノード群判定装置12が、FW(ルータ)11、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17からイベントログを収集する。次に、攻撃ノード群判定装置12は、収集したイベントログに対してクラスタリングを実行し、クラスタを算出する。そのクラスタは、ボットネットに対応可能にするために、類似の特徴を有するイベントによって決まる集合である。また、類似の特徴とは、例えば、ある国の国民が他の国に対して抗議するときに行うDDoS攻撃やサイバ攻撃の場合には、特定の国であったり、特定のIPアドレスであったりする。そして、攻撃ノード群判定装置12は、算出したクラスタを、FW(ルータ)11に設定する。
その設定後に、IDS13またはFW(ルータ)11が不正アクセスを検知したとき、FW(ルータ)11は、不正アクセスに係るイベントが含まれるクラスタを特定する。次に、FW(ルータ)11は、特定されたクラスタ全体に係るパケットに対して、設定された対処方法を実行する。
すなわち、本実施形態では、予めクラスタとその対処方法とをFW(ルータ)11に設定しておき、不正アクセスに係るクラスタ全体に対して、FW(ルータ)11が、設定された対処方法を実行する。
なお、図15(a)では、6つの送信元IPアドレスがプロットされている。カッコ内の数字は、(x,y)を表している。
k平均法では、初期値として、6つのプロットを適宜3つのクラスタに振り分けて、そのクラスタの重心を計算する。そして、同じ重心に最も距離が近いプロット同士は、同じクラスタに分類する。その後、クラスタごとに重心を再計算しては、その再計算した重心とプロットとの距離を計算して、最も距離の近い重心がどれかを判定することを繰り返すことによって、クラスタとそのクラスタの範囲(大きさ)を収束させる。
図15(b)では、x軸の距離を、y軸の距離の1/10となるように重みを付けた場合を示している。そして、クラスタの範囲は、円で示されるように求められる。
次に、攻撃ノード群判定装置12の構成について、図3を用いて説明する。図3は、攻撃ノード群判定装置の構成の一例を示す図である。
攻撃ノード群判定装置12は、演算部121、メモリ122、入力部123、表示部124、通信部125、および記憶部131を含む。
入力部123は、キーボードやマウス等であり、攻撃ノード群判定装置12を操作する管理者等による情報入力を受け付ける。
表示部124は、CRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等であり、入力を促す画面や演算結果を確認する画面等を表示する。
通信部125は、攻撃ノード群判定システム10内の各部(11,13〜17)(図1参照)や、外部ネットワーク50に接続されている図示しないコンピュータとの間で情報を送受信する。
解析プログラム132は、収集したイベントログに対して、イベントDB134、ポリシDB135、および距離関数DB136に格納されている情報を用いて、クラスタリングを実行し、集団行動クラスタを決定する。ここで、集団行動クラスタとは、クラスタの中でも、特に、クラスタ内のイベント間の関連性が高い(後記するように、クラスタの評価値が高いことに相当する)クラスタを意味する。そして、解析プログラム132は、集団行動クラスタに対応して、不正アクセスに対する対処方法を設定する。例えば、集団行動クラスタ内に、不正アクセスに係るイベントが含まれている場合は、通信を遮断(パケットを廃棄)するといった対処方法を設定する。また、特定のノード(例えば、Webサーバ14)へ伝送されてくるパケットの量が多すぎる場合には、通信帯域を制限するといった対処方法を設定する。なお、解析プログラム132の動作の詳細については、後記する。
アクセス制御指示プログラム133は、解析ブログラム132によって決定された集団行動クラスタに係る情報、および、その対処方法を、FW(ルータ)11に送信する。
イベントDB134は、イベントごとに、イベントログ基本パラメータ情報(基本項目情報)と属性情報とを含む。イベントログ基本パラメータ情報は、イベントログから抽出できる項目についての情報である。また、属性情報は、イベントログ基本パラメータ情報の項目を加工、または、その項目の1つであるIPアドレスに係るノードを検査して得られた項目についての情報である。
検知日時は、イベントを検知した日時である。
ログタイプは、イベントログを送信した装置を識別する情報である。
送信元IPアドレスは、イベントを記録させる原因となったノードに設定されているIPアドレスである。例えば、FW(ルータ)11のイベントにおいてはそのFW(ルータ)11へのアクセス元、IDS13のイベントにおいては攻撃元、Webサーバ14のイベントにおいてはクライアント、メールサーバ15のイベントにおいてはSMTP(Simple Mail Transfer Protocol)あるいはPOP(Post Office Protocol)送信者、プロキシサーバ16のイベントにおいてはプロキシ利用者のそれぞれのIPアドレスである。なお、端末17のイベントにおいては、端末17にインストールされたソフトウェアに応じて定義される。
送信元ポート番号は、イベントを記録させる原因となったノードのポート番号で、送信元IPアドレスと同様にログタイプに応じて定義される。
なお、イベントログ基本パラメータの項目は、これに限られるものではなく、例えば、ウイルス対策ソフトウェアにおけるウイルス名等、イベントログの送信元装置に応じて柔軟に拡張可能である。
送信元IPアドレスの第nオクテットは、IPv4の場合、n=1〜4であり、IPv6の場合、n=1〜16である。なお、請求項に記載の「所定に分割」は、オクテットごとの分割である。
送信元国、送信元都市、送信元緯度、送信元経度、送信元AS(Autonomous System)番号、送信元回線種別、送信元地域時差等は、それぞれIPアドレスが割り当てられたノードの所在国、所在都市、所在緯度、所在経度、所在ノードの属するAS(Autonomous System)番号、回線種別、所在地域の時差を、イベントログ基本パラメータである送信元IPアドレスに基づいて導出したものである。この導出は、予め記憶部131に格納しておいたIPアドレスとそれらの項目とを関連付けたテーブルを参照するか、または、前記テーブルと同様の情報を備えた外部サービスを利用することによって行われる。
回線種別は、例えば、ダイアルアップ(Dial-up)、ISDN(Integrated Services Digital Network)、ADSL(Asymmetric Digital Subscriber Line)、ケーブルテレビ(Cable TV)、FTTH(Fiber To The Home)等である。
送信元稼動OSは、解析プログラム132(図3参照)によって能動的に検査して得る情報である。例えば、OSスタックフィンガープリンティングの技術を利用した検査パケットを用いて、対象ノードのOSに係る情報を得る。また、Webサーバ14のように、OSやクライアントソフトウェアの識別子がイベントログに記載されている場合は、それを参照して送信元稼動OSを知ることもできる。
宛先稼動サービスは、宛先ポート番号によって割り出されるサービス名称、あるいは、イベントログを構成する項目に記載されたサービス名称である。例えば、宛先稼動サービスは、宛先ポートが80番であればWeb、IDS13によってSQLServer(登録商標)を攻撃するパケットを検知して得られたイベントであればSQLServer(登録商標)となる。
図5に示すように、距離関数割当ポリシは、イベントDB134のイベントの項目と、項目毎に割り当てた距離関数の一覧と、項目を識別するIDとを含む。例えば、検知日時にはユークリッド距離関数を割り当て、識別子をL1とする。また、送信元IPアドレスの第1オクテットは第1オクテット用距離関数を割り当て、識別子をA1とする。残りの項目については、説明を省略する。
2次元ユークリッド空間では、2つのデータA=(xa、ya)、B=(xb、yb)間の距離は、x軸とy軸ともに同等に扱われている。つまり、x軸における距離がxaとxbの差の絶対値で、y軸における距離がyaとybの差の絶対値であり、点AとBとの間の距離は、それぞれの軸における距離の二乗和の平方根であるとされることが一般的である。
本実施形態では、各イベントの項目を軸としてとらえ、さらに各軸における距離の算出方法を同等ではなく、軸(イベントの項目)の性質に応じて使い分ける。すなわち、軸ごとに重み付けを考慮する。
例えば、図15(b)に示したように、x軸の距離に対する重みを、y軸の距離に対する重みの1/10にするといったことである。
アクションポリシは、アクションNo.、フィルタ条件、評価式、閾値、および対処方法を格納している。
アクションNo.は、適宜、識別するために付される。
フィルタ条件は、クラスタリングを実行するときに使用する、イベントログのデータをフィルタによって選別するときの条件である。例えば、アクションNo.=3の場合では、L2=WEBとなっている。このL2は、図5に示したIDを意味しており、ログタイプを示している。そして、「WEB」は、Webサーバのイベントログを対象とすることを示している。
そして、クラスタリングによって得られたクラスタについて、イベント全体の個数に対するそのクラスタに含まれる個数の割合、イベントの個数、分散値、クラスタの重心とそのクラスタに含まれるイベントとの距離の平均等を組み合わせて定量化した評価値(クラスタの評価値)を得る。なお、本実施形態では、クラスタの評価値が大きいほど、イベント間の関連性が高いものとして説明している。
なお、請求項に記載の「フィルタ情報」とは、フィルタ条件および評価式のことである。
対処方法は、集団行動クラスタに対する処理内容を示している。例えば、「警告通知(管理者に警告情報を通知する)」、「通信帯域制限(通信帯域を制限する)」、あるいは「通信遮断(通信を遮断する)」等である。
サービス測距用マトリクスは、距離関数DB137の距離関数定義のサービス用距離関数を定義するのに用いられる。例えば、メール送信サービス(SMTP)と、メール受信サービス(POP)は、メールに関するサービスであるため、距離を1として定義している。また、Winnyや、Winnyp、WinMXなどのアプリケーションによるサービスはP2P型ファイル共有ソフトという点で共通であるため距離が短くなるように定義している。
フィルタ条件として「L2=WEB」が、評価式として「A1+A2+A3+A4」が、閾値として「0.9」が、対処方法として「通信遮断」が設定される(ステップS1102〜S1105)。
そして、距離関数割当ポリシ(図5参照)が読み込まれる(ステップS1106)。すなわち、A1、A2、A3、およびA4に対応する距離関数が読み込まれる。
そして、読み込まれたイベントログの内、フィルタ条件に基づいて、L2=WEBのデータが抽出される(ステップS1108)。
そして、A1、A2、A3、およびA4を軸とする、4次元の空間に各イベントを射影する(ステップS1110)。
そして、各軸(A1、A2、A3、A4)の距離関数を使って、クラスタリングが行われる(ステップS1112)。
そして、クラスタが集団行動クラスタであるか否かが判定される。すなわち、クラスタの評価値と閾値とが比較される(ステップS1114)。
クラスタの評価値が閾値以上である場合(ステップS1114でYes)、集団行動クラスタとその対処方法とがアクセス制御指示プログラムに引き渡される(ステップS1115)。
クラスタの評価値が閾値未満である場合(ステップS1114でNo)、処理を終了する。
また、図11では、ステップS1105において、対処方法を設定していたが、ステップ1115において対処方法を設定する場合もある。すなわち、集団行動クラスタ内に、不正アクセスに係るイベントが含まれていることが判明した場合には、そのことを反映した対処方法を設定しても良い。
図12(a)に示すクラスタAは、クラスタリングの結果として得られた、送信元IPアドレスのクラスタである。クラスタAの範囲は、送信元IPアドレスの第1オクテットが192から距離0以内、送信元IPアドレスの第2オクテットが168から距離0以内、送信元IPアドレスの第3オクテットが1から距離0以内、送信元IPアドレスの第4オクテットが62から距離5以内の全ての条件を満たす場合を表す。
図12(b)に示すクラスタBは、送信元稼動OSに係るクラスタである。OSは、ソフトウェアの種類やバージョン等が識別可能にされているので、その範囲が、Linuxから距離5以内の全ての条件を満たす場合を表す。
図12(c)に示すクラスタCは、送信元回線速度に係るクラスタである。回線速度は、ICMP(Ping)を用いて、対象とするノードからのレスポンスタイムやTTLから割り出すことが可能であるので、その範囲が、TTL60から距離10以内の全ての条件を満たす場合を表す。
図13では、外部ネットワーク50(図1参照)に接続された複数の攻撃ノード61,62,63,64からなる攻撃ノード群60から、Webサーバ14に対して攻撃が行われた場合について説明する。なお、図13において、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、端末17は、図1に示したものと同様であるので、説明を省略する。
攻撃ノード群60から送信された攻撃パケットは、IDS13によって攻撃として検知され、攻撃パケットに関するイベントとして記録される(ステップS102)。次に、攻撃パケットは、FW(ルータ)11によって、通過パケットとして検知され、イベントログに記録される(ステップS103)。そして、攻撃パケットは、Webサーバ14にアクセス記録として記録され、イベントログに記録される(ステップS104)。
攻撃ノード群判定装置12は、所定の期間ごとあるいは管理者の操作によって、IDS13、FW(ルータ)11、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17からイベントログを取得する(ステップS105〜S107)。
そして、攻撃ノード群判定装置12は、取得した属性情報をイベントの情報に付加して、イベントDB134に格納する。また、攻撃ノード群判定装置12は、イベントログ基本パラメータを加工して作成した属性情報(第2の属性情報)をイベントの情報に付加して、イベントDB134に格納する。(ステップS109)。
なお、ステップS111〜S112の具体例として、例えば、アクションポリシのアクションNo.=3(図6参照)に示される条件を用いて、Webサーバ14のイベントログのイベントをクラスタリング処理することによってクラスタA(図11参照)が算出され、送信元IPアドレスが類似した攻撃ノード群60を含むクラスタAの評価値が0.95として算出された場合を想定する。この条件の場合には、予め設定した閾値が0.9であり、クラスタAの評価値(=0.95)が閾値(=0.9)より大きいので、そのクラスタAは集団行動クラスタであると判定される。そして、アクションポリシにしたがって対処方法が設定される。
変形例では、IPアドレスに対してのみ対処方法を実行する既存のFW(ルータ)11でも対応可能にする。
すなわち、図13のステップS112に対応するステップにおいて、集団行動クラスタと判定されたクラスタに含まれるIPアドレスやポード番号によって、クラスタ全体が表現される。そして、そのクラスタに対して、対応する対処方法が関連付けられる。次に、ステップS113に対応するステップにおいて、集団行動クラスタに係るイベントログ基本パラメータと、そのイベントログ基本パラメータを加工して作成した属性情報(第2の属性情報)と、それに対応する対処方法とが、FW(ルータ)11に送信され、図示しない記憶部に格納される。また、集団行動クラスタとIPアドレスとを関連付けて記憶部に格納する。
次に、FW(ルータ)11は、ステップS114に対応するステップにおいて、ノードに係る属性情報(第1の属性情報)を取得する。そして、FW(ルータ)11は、新たに、攻撃ノード群60から攻撃パケットを受信したときに、ステップS115に対応するステップにおいて、そのパケットに係るイベントのイベントログ基本パラメータと属性情報を、記憶部に記憶しておいたイベントログ基本パラメータと属性情報と比較して、攻撃パケットに係るクラスタを特定する。そして、FW(ルータ)11は、記憶部を参照して、そのクラスタ全体に係るIPアドレスを抽出し、抽出されたIPアドレスに基づいて、そのクラスタ全体に含まれるIPアドレスに対して、それに対応する対処方法を実行する。
例えば、ある集団行動クラスタ全体のIPアドレスが192.168.1.0/24で表される場合には、そのIPアドレスに対応するパケットは、全て同じ対処方法が取られる。
なお、FW(ルータ)11、攻撃ノード群判定装置12、IDS13、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、異なるハードウェアとして実装されるとは限らず、ソフトウェアの集約や、仮想化技術によって、一つのハードウェア上に、異なる擬似装置として実装されても良い。
また、クラスタリングの方法は、k平均法に限定されるものではない。
また、攻撃ノード群判定装置12が、FW(ルータ)11の機能を備えていても良い。さらに、Webサーバ14、メールサーバ15、プロキシサーバ16、および端末17は、攻撃ノード群判定装置12およびアクセス制御プログラム111を実行可能としていても良い。
11 FW(ルータ)
12 攻撃ノード群判定装置
13 IDS
14 Webサーバ
15 メールサーバ
16 プロキシサーバ
17 端末
50 外部ネットワーク
111 アクセス制御プログラム
121 演算装置
131 記憶部
132 解析プログラム
133 アクセス制御指示プログラム
134 イベントDB
135 ポリシDB
136 距離関数DB
Claims (21)
- パケットが通過または到着したときに作成されるイベントログを出力する情報処理装置と通信可能に接続され、
前記情報処理装置から取得されるイベントログから抽出した基本項目情報と、該基本項目情報に基づき新たに付与する属性情報とをイベントとして格納するイベント情報の記憶部と、
前記基本項目情報と前記属性情報との各項目にそれぞれ割り当てる距離関数と、前記イベント情報から特定のイベントを抽出するフィルタと、前記イベント同士の特徴が類似する度合いを算出する評価式と、前記フィルタ条件および前記評価式に関連付けられた閾値とを格納するポリシ情報の記憶部と、
前記記憶部のポリシ情報を参照して、前記記憶部から読み出したイベント情報に所定期間内に記録されたまたは所定件数記録されたイベントに前記フィルタを適用して抽出したイベントの項目に対して、その項目に対応する前記距離関数に基づくクラスタリング処理を実行して、類似の特徴を有するクラスタを作成し、前記クラスタに対して特徴が類似する度合いを該クラスタの評価値として算出し、前記クラスタの評価値が前記閾値を超えている場合に、該クラスタは類似の特徴を有するクラスタであると判定する演算装置と、
を備えることを特徴とする攻撃ノード群判定装置。 - パケットが通過または到着したときに作成されるイベントログを用いた攻撃ノード群判定装置であって、
演算部と記憶部とを備え、
前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、抽出された前記特定のイベントを有するパケットの対処方法と、を記憶し、
前記演算部は、
所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
前記特定のイベントを有するパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
前記特定のイベントを有するパケットが含まれると特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
を特徴とする攻撃ノード群判定装置。 - 前記記憶部は、さらに、不正アクセスに対応する対処方法を記憶し、
前記演算部は、さらに、
前記不正アクセスに係るパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
前記不正アクセスに係るパケットが含まれると特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
を特徴とする請求項2に記載の攻撃ノード群判定装置。 - 前記演算部は、
前記第1の属性情報の取得において、該ノードに係る情報を取得可能な検査パケットを該ノードに送信することによって行うこと、
を特徴とする請求項2または請求項3に記載の攻撃ノード群判定装置。 - 前記演算部は、
前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目を次元とする空間に対して、前記項目ごとに定められた前記イベントの2点間の距離に重み付けをして、クラスタリングを実行すること、
を特徴とする請求項2ないし請求項4のいずれか一項に記載の攻撃ノード群判定装置。 - 前記クラスタの評価値は、
前記算出されたクラスタに含まれるイベントの割合、イベントの個数、クラスタに含まれるイベントの分散値、およびクラスタの重心とクラスタに含まれるイベントとの距離の平均のいずれか1つまたはそれらの組み合わせによって算出されること、
を特徴とする請求項2ないし請求項5のいずれか一項に記載の攻撃ノード群判定装置。 - 前記対処方法は、警報通知、通信帯域制限、通信遮断のいずれかであること、
を特徴とする請求項2ないし請求項6のいずれか一項に記載の攻撃ノード群判定装置。 - パケットが通過または到着したときに作成されるイベントログを出力可能とし、不正アクセスに対して対処方法を実行する情報処理装置と通信可能に接続される攻撃ノード群判定装置であって、
演算部と記憶部とを備え、
前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
前記演算部は、
所定の期間に取得したイベントログを前記フィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスをオクテットに分解して第2の属性情報として算出し、
前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
前記クラスタの評価値を前記フィルタ情報に対応する閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
前記類似の特徴を有するとみなせるクラスタに係る情報と、該クラスタに対応する前記不正アクセスに対応する対処方法とを、前記情報処理装置に送信すること、
を特徴とする攻撃ノード群判定装置。 - 前記情報処理装置に送信される前記類似の特徴を有するとみなせるクラスタに係る情報は、前記フィルタ情報、前記クラスタリングを実行したときに用いた前記基本項目情報、前記第1の属性情報、および前記第2の属性情報であること、
を特徴とする請求項8に記載の攻撃ノード群判定装置。 - 請求項8または請求項9に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置であって、
演算部と記憶部とを備え、
前記情報処理装置の記憶部は、
受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶しており、
前記情報処理装置の演算部は、
不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、当該情報処理装置の記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
該当するクラスタを特定した場合、該クラスタに対応するパケットに対して前記対処方法を適用すること、
を特徴とする情報処理装置。 - 請求項8または請求項9に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置であって、
演算部と記憶部とを備え、
前記情報処理装置の記憶部は、
受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶しており、
前記情報処理装置の演算部は、
不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、当該情報処理装置の記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
該当するクラスタを特定した場合、該クラスタに含まれるIPアドレスに対応するパケットに対して前記対処方法を適用すること、
を特徴とする情報処理装置。 - パケットが通過または到着したときに作成されるイベントログを作成し、不正アクセスに対して対処方法を実行する攻撃ノード群判定装置において用いられる攻撃ノード群判定方法であって、
前記攻撃ノード群判定装置は、演算部と記憶部とを備え、
前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
前記演算部は、
所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を該ノードに係る情報を取得可能な検査パケットを該ノードに送信することによって第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部の項目を次元とする空間に対して、前記項目ごとに定められた前記イベントの2点間の距離に重み付けをして、クラスタリングを実行し、類似の特徴を有するクラスタを算出し、
前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
不正アクセスに係るパケットを検知したときに、前記類似の特徴を有するとみなせるクラスタに係る情報を参照して、該パケットがどのクラスタに含まれるかを特定し、
該特定されたクラスタに対応するパケットに対して前記対処方法を適用すること、
を特徴とする攻撃ノード群判定方法。 - 前記クラスタの評価値は、
前記算出されたクラスタに含まれるイベントの割合、イベントの個数、クラスタに含まれるイベントの分散値、およびクラスタの重心とクラスタに含まれるイベントとの距離の平均のいずれか1つまたはそれらの組み合わせによって算出されること、
を特徴とする請求項12に記載の攻撃ノード群判定方法。 - 前記対処方法は、警報通知、通信帯域制限、通信遮断のいずれかであること、
を特徴とする請求項12または請求項13に記載の攻撃ノード群判定装置。 - パケットが通過または到着したときに作成されるイベントログを出力可能とし、不正アクセスに対して対処方法を実行する情報処理装置と通信可能に接続される攻撃ノード群判定装置に用いられる攻撃ノード群判定方法であって、
前記攻撃ノード群判定装置は、演算部と記憶部とを備え、
前記記憶部は、取得したイベントログの中から特定のイベントを抽出するフィルタ情報と、前記フィルタ情報に関連付けられた閾値と、前記不正アクセスに対応する対処方法とを記憶し、
前記演算部は、
所定の期間に取得または所定数取得されたイベントログを前記フィルタ情報を用いたフィルタに透過させてクラスタリング対象となるイベントを抽出し、前記抽出したイベントに記載されている基本項目情報を抽出し、前記基本項目情報の内の一つであるIPアドレスを用いて、該IPアドレスに係るノードの情報を第1の属性情報として取得し、前記IPアドレスを所定に分解して第2の属性情報として算出し、
前記基本項目情報、前記第1の属性情報、および前記第2の属性情報の項目の一部または全部を次元とする空間に対してクラスタリングを実行し、類似の特徴を有するクラスタを算出し、
前記クラスタ内の前記イベント同士の特徴が類似する度合いをクラスタの評価値として算出し、
前記クラスタの評価値を前記フィルタ情報に関連付けられた閾値と比較することによって、類似の特徴を有するクラスタとみなせるか否かを判定し、
前記類似の特徴を有するとみなせるクラスタに係る情報と、該クラスタに対応する前記不正アクセスに対応する対処方法とを、前記情報処理装置に送信すること、
を特徴とする攻撃ノード群判定方法。 - 前記情報処理装置に送信される前記類似の特徴を有するとみなせるクラスタに係る情報は、前記フィルタ情報、前記クラスタリングを実行したときに用いた前記基本項目情報、前記第1の属性情報、および前記第2の属性情報であること、
を特徴とする請求項15に記載の攻撃ノード群判定方法。 - 請求項15または請求項16に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置において用いられる攻撃対処方法であって、
前記情報処理装置は、演算部と記憶部とを備え、
前記演算部は、
受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶し、
不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、前記記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
該当するクラスタを特定した場合、該クラスタに対応するパケットに対して前記対処方法を適用すること、
を特徴とする情報処理装置において用いられる攻撃対処方法。 - 請求項15または請求項16に記載の攻撃ノード群判定装置と通信可能に接続される情報処理装置において用いられる攻撃対処方法であって、
前記情報処理装置は、演算部と記憶部とを備え、
前記演算部は、
受信した前記類似の特徴を有するとみなせるクラスタに含まれる前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と、該クラスタに対応するパケットの対処方法とを前記記憶部に記憶し、
不正アクセスに係るパケットを検知したときに、その不正アクセス元および不正アクセス先のノードに検査パケットを送信して、そのノードの前記第1の属性情報を取得し、該パケットの基本項目情報と第1の属性情報と第2の属性情報とを、前記記憶部に記憶した前記基本項目情報、前記第1の属性情報、および前記第2の属性情報と比較して、どのクラスタに含まれるか否かを判定し、
該当するクラスタを特定した場合、該クラスタに含まれるIPアドレスに対応するパケットに対して前記対処方法を適用すること、
を特徴とする情報処理装置において用いられる攻撃対処方法。 - コンピュータを請求項2ないし請求項7のいずれか一項に記載の攻撃ノード群判定装置を構成する各部として、コンピュータを機能させるための攻撃ノード群判定プログラム。
- コンピュータを請求項8または請求項9に記載の攻撃ノード群判定装置を構成する各部として、コンピュータを機能させるための攻撃ノード群判定プログラム。
- コンピュータを請求項10または請求項11に記載の情報処理装置を構成する各部として、コンピュータを機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008215989A JP5011234B2 (ja) | 2008-08-25 | 2008-08-25 | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
US12/461,363 US20100050260A1 (en) | 2008-08-25 | 2009-08-10 | Attack node set determination apparatus and method, information processing device, attack dealing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008215989A JP5011234B2 (ja) | 2008-08-25 | 2008-08-25 | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010050939A true JP2010050939A (ja) | 2010-03-04 |
JP5011234B2 JP5011234B2 (ja) | 2012-08-29 |
Family
ID=41697562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008215989A Expired - Fee Related JP5011234B2 (ja) | 2008-08-25 | 2008-08-25 | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20100050260A1 (ja) |
JP (1) | JP5011234B2 (ja) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012103910A (ja) * | 2010-11-10 | 2012-05-31 | Yahoo Japan Corp | キャッシュシステム及びコンテンツ配信制御方法 |
JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
WO2013089936A1 (en) * | 2011-12-13 | 2013-06-20 | Mcafee, Inc. | Timing management in a large firewall cluster |
JP2014531647A (ja) * | 2011-09-09 | 2014-11-27 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
JP2016152594A (ja) * | 2015-02-19 | 2016-08-22 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
JP2018022248A (ja) * | 2016-08-01 | 2018-02-08 | 株式会社日立製作所 | ログ分析システム、ログ分析方法及びログ分析装置 |
JP2018157344A (ja) * | 2017-03-16 | 2018-10-04 | 日本電信電話株式会社 | 対処指示装置、対処指示方法、対処指示プログラム |
JP2019159431A (ja) * | 2018-03-07 | 2019-09-19 | 富士通株式会社 | 評価プログラム、評価方法および評価装置 |
JP2019213183A (ja) * | 2018-05-30 | 2019-12-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置 |
CN112241439A (zh) * | 2020-10-12 | 2021-01-19 | 绿盟科技集团股份有限公司 | 一种攻击组织发现方法、装置、介质和设备 |
JP7388613B2 (ja) | 2019-10-31 | 2023-11-29 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7496662B1 (en) | 2003-05-12 | 2009-02-24 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network and assessing confidence |
US7733803B2 (en) * | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
WO2008047351A2 (en) | 2006-10-19 | 2008-04-24 | Checkmarx Ltd. | Locating security vulnerabilities in source code |
US8474043B2 (en) * | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
WO2010045089A1 (en) | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
TWI439095B (zh) * | 2010-01-22 | 2014-05-21 | Univ Nat Taiwan Science Tech | 網路攻擊偵測裝置以及方法 |
JPWO2011111599A1 (ja) * | 2010-03-11 | 2013-06-27 | 日本電気株式会社 | 障害分析ルール抽出装置、障害分析ルール抽出方法、及び記憶媒体 |
WO2011130510A1 (en) | 2010-04-16 | 2011-10-20 | Sourcefire, Inc. | System and method for near-real time network attack detection, and system and method for unified detection via detection routing |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) * | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
EP2609506B1 (en) * | 2010-08-24 | 2019-01-16 | Checkmarx Ltd. | Mining source code for violations of programming rules |
KR101036750B1 (ko) * | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
US8621618B1 (en) | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
DE102011082237B4 (de) * | 2011-09-07 | 2013-04-04 | Deutsche Telekom Ag | Netzwerkkommunikationsgerät zur Kommunikation über ein Kommunikationsnetzwerk |
CN103946847A (zh) * | 2011-11-04 | 2014-07-23 | 惠普发展公司,有限责任合伙企业 | 分布式事件处理 |
US9336302B1 (en) | 2012-07-20 | 2016-05-10 | Zuci Realty Llc | Insight and algorithmic clustering for automated synthesis |
US11095665B2 (en) | 2012-08-31 | 2021-08-17 | Fastly, Inc. | User access rate limiting among content delivery nodes |
US9215248B1 (en) | 2012-08-31 | 2015-12-15 | Fastly Inc. | User access rate limiting among content delivery nodes |
US9661008B2 (en) | 2013-02-21 | 2017-05-23 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
WO2015051181A1 (en) | 2013-10-03 | 2015-04-09 | Csg Cyber Solutions, Inc. | Dynamic adaptive defense for cyber-security threats |
US20150135316A1 (en) * | 2013-11-13 | 2015-05-14 | NetCitadel Inc. | System and method of protecting client computers |
US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
US9892261B2 (en) | 2015-04-28 | 2018-02-13 | Fireeye, Inc. | Computer imposed countermeasures driven by malware lineage |
US10536484B2 (en) | 2015-06-22 | 2020-01-14 | Fireeye, Inc. | Methods and apparatus for graphical user interface environment for creating threat response courses of action for computer networks |
US10785235B2 (en) * | 2016-06-14 | 2020-09-22 | Nucleon Ltd. | System and method for gathering botnet cyber intelligence |
RU2634173C1 (ru) * | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
US11205103B2 (en) | 2016-12-09 | 2021-12-21 | The Research Foundation for the State University | Semisupervised autoencoder for sentiment analysis |
US11087002B2 (en) | 2017-05-10 | 2021-08-10 | Checkmarx Ltd. | Using the same query language for static and dynamic application security testing tools |
EP3826242B1 (en) * | 2018-07-19 | 2022-08-10 | Fujitsu Limited | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device |
US11176060B2 (en) | 2018-10-29 | 2021-11-16 | Sternum Ltd. | Dynamic memory protection |
US11477223B2 (en) * | 2020-01-15 | 2022-10-18 | IronNet Cybersecurity, Inc. | Systems and methods for analyzing cybersecurity events |
CN111565205B (zh) * | 2020-07-16 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
EP3945441A1 (en) | 2020-07-28 | 2022-02-02 | Checkmarx Ltd. | Detecting exploitable paths in application software that uses third-party libraries |
US11770394B2 (en) * | 2021-06-02 | 2023-09-26 | Bull Sas | Network security system that detects a common attacker who attacks from different source addresses |
CN113722607B (zh) * | 2021-06-25 | 2023-12-08 | 河海大学 | 一种基于改进聚类的托攻击检测方法 |
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
US20230315603A1 (en) * | 2022-04-01 | 2023-10-05 | Blackberry Limited | Event data processing |
US20230315884A1 (en) * | 2022-04-01 | 2023-10-05 | Blackberry Limited | Event data processing |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2005038116A (ja) * | 2003-07-18 | 2005-02-10 | Hitachi Ltd | 不正侵入分析装置 |
JP2007243459A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegraph & Telephone East Corp | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2008193538A (ja) * | 2007-02-07 | 2008-08-21 | Hitachi Ltd | ネットワークへの攻撃監視装置および攻撃証跡管理装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060031938A1 (en) * | 2002-10-22 | 2006-02-09 | Unho Choi | Integrated emergency response system in information infrastructure and operating method therefor |
JP2005197823A (ja) * | 2003-12-26 | 2005-07-21 | Fujitsu Ltd | ファイアウォールとルータ間での不正アクセス制御装置 |
US8407778B2 (en) * | 2005-08-11 | 2013-03-26 | International Business Machines Corporation | Apparatus and methods for processing filter rules |
US20070289013A1 (en) * | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
-
2008
- 2008-08-25 JP JP2008215989A patent/JP5011234B2/ja not_active Expired - Fee Related
-
2009
- 2009-08-10 US US12/461,363 patent/US20100050260A1/en not_active Abandoned
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2005038116A (ja) * | 2003-07-18 | 2005-02-10 | Hitachi Ltd | 不正侵入分析装置 |
JP2007243459A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegraph & Telephone East Corp | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2008193538A (ja) * | 2007-02-07 | 2008-08-21 | Hitachi Ltd | ネットワークへの攻撃監視装置および攻撃証跡管理装置 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012103910A (ja) * | 2010-11-10 | 2012-05-31 | Yahoo Japan Corp | キャッシュシステム及びコンテンツ配信制御方法 |
US9646155B2 (en) | 2011-09-09 | 2017-05-09 | Hewlett Packard Enterprise Development Lp | Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events |
JP2014531647A (ja) * | 2011-09-09 | 2014-11-27 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 |
JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
US8955097B2 (en) | 2011-12-13 | 2015-02-10 | Mcafee, Inc. | Timing management in a large firewall cluster |
US10721209B2 (en) | 2011-12-13 | 2020-07-21 | Mcafee, Llc | Timing management in a large firewall cluster |
WO2013089936A1 (en) * | 2011-12-13 | 2013-06-20 | Mcafee, Inc. | Timing management in a large firewall cluster |
JP6053091B2 (ja) * | 2014-03-19 | 2016-12-27 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US10721244B2 (en) | 2014-03-19 | 2020-07-21 | Nippon Telegraph And Telephone Corporation | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
JP2016152594A (ja) * | 2015-02-19 | 2016-08-22 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
JP2018022248A (ja) * | 2016-08-01 | 2018-02-08 | 株式会社日立製作所 | ログ分析システム、ログ分析方法及びログ分析装置 |
JP2018157344A (ja) * | 2017-03-16 | 2018-10-04 | 日本電信電話株式会社 | 対処指示装置、対処指示方法、対処指示プログラム |
JP2019159431A (ja) * | 2018-03-07 | 2019-09-19 | 富士通株式会社 | 評価プログラム、評価方法および評価装置 |
JP2019213183A (ja) * | 2018-05-30 | 2019-12-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置 |
JP7388613B2 (ja) | 2019-10-31 | 2023-11-29 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 |
CN112241439A (zh) * | 2020-10-12 | 2021-01-19 | 绿盟科技集团股份有限公司 | 一种攻击组织发现方法、装置、介质和设备 |
CN112241439B (zh) * | 2020-10-12 | 2023-07-21 | 绿盟科技集团股份有限公司 | 一种攻击组织发现方法、装置、介质和设备 |
Also Published As
Publication number | Publication date |
---|---|
US20100050260A1 (en) | 2010-02-25 |
JP5011234B2 (ja) | 2012-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5011234B2 (ja) | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム | |
Masdari et al. | A survey and taxonomy of DoS attacks in cloud computing | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
WO2015107861A1 (ja) | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム | |
Cheema et al. | Prevention techniques against distributed denial of service attacks in heterogeneous networks: A systematic review | |
Ullah et al. | Survey on botnet: Its architecture, detection, prevention and mitigation | |
KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
KR20120072992A (ko) | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
Akiyoshi et al. | Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet | |
Irum et al. | DDoS detection and prevention in internet of things | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
Tesfahun et al. | Botnet detection and countermeasures-a survey | |
KR101025502B1 (ko) | 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법 | |
Ji et al. | Botnet detection and response architecture for offering secure internet services | |
Singhrova | A host based intrusion detection system for DDoS attack in WLAN | |
John et al. | Efficient defense system for IP spoofing in networks | |
KR101045332B1 (ko) | Irc 및 http 봇넷 정보 공유 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120329 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120508 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120604 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5011234 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150608 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |