JP2011176434A - トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム - Google Patents

トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム Download PDF

Info

Publication number
JP2011176434A
JP2011176434A JP2010037395A JP2010037395A JP2011176434A JP 2011176434 A JP2011176434 A JP 2011176434A JP 2010037395 A JP2010037395 A JP 2010037395A JP 2010037395 A JP2010037395 A JP 2010037395A JP 2011176434 A JP2011176434 A JP 2011176434A
Authority
JP
Japan
Prior art keywords
traffic
cause
abnormal
attack
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010037395A
Other languages
English (en)
Other versions
JP5015279B2 (ja
Inventor
Masahiro Maruyoshi
政博 丸吉
Takeshi Kuwabara
健 桑原
Masaki Minami
正樹 南
Junichi Murayama
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010037395A priority Critical patent/JP5015279B2/ja
Publication of JP2011176434A publication Critical patent/JP2011176434A/ja
Application granted granted Critical
Publication of JP5015279B2 publication Critical patent/JP5015279B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】正常時と異常時のトラヒック量の差分を用いて攻撃分析する異常トラヒックの分析技術において、トラヒック総量に占める異常トラヒックの割合が小さい場合に、異常トラヒック量の正常時と異常時の差分が総量の変動に埋もれてしまい分析ができない課題を解決する。
【解決手段】トラヒック量変化原因特定システム300は、異常検知外部機能部200と連携し、検知した異常トラヒックの攻撃種別(プロトコル)及びトラヒック情報(IPアドレスやAS番号等)をフィルタとして分析対象フローの抽出に利用し、且つ、それら攻撃種別やトラヒック情報毎に、複合攻撃として利用もしくは標的になり得る情報を保持して、分析対象フローの抽出に利用する。これにより、異常トラヒック量の正常時と異常時の差分が総量の変動に埋もれてしまう場合に、差分の抽出を可能とすると同時に、複合攻撃も同時に検知分析することが可能となる。
【選択図】図1

Description

本発明は、トラヒック量変化が外部装置によって検知、もしくは手動で指定された際に、ネットワーク上を流れるトラヒックから得るトラヒック情報、もしくは、蓄積されたトラヒック情報をもとに、そのトラヒック量変化の原因となったトラヒックを特定する技術に関するものである。
ISP(Internet Service Provider)などのネットワークのオペレータは、通常ネットワークトラヒック状況をトラヒック量(秒間バイト数、秒間パケット数)の時系列で監視しており、DDoS(Distributed Denail of Service)攻撃、トラヒック集中、装置故障などの異常を時系列の変化によって検出している。
しかし、トラヒック量の変化を発見するだけでは、どのような原因でその変化が生じているのか分からず、現状把握・対策を行うことができない。トラヒック変化に対する対策を実行するには、トラヒック量変化を起こした原因トラヒックを特定する手法が必要である。
そこで、特許文献1では、トラヒック量変化の原因となったトラヒックを、トラヒック量変化の発生以前のトラヒックと、変化発生中のトラヒックとを比較することで、変化を引き起こしたトラヒックだけをフロー識別子として抽出する。このフロー識別子決定の際に、フロー識別子に該当するトラヒックのトラヒック量変化への寄与度と、変化以前からの存在度と、フロー識別子数の3つの要素間のトレードオフ関係を評価式に従って最適化することで、最小のフロー識別子数で、トラヒック量変化への寄与度を最大化し、変化以前からの存在度を最小化したフロー識別子を決定する。
特開2009−44501号公報
しかし、トラヒック量の変化に着目する従来の異常トラヒックの原因特定システムでは、観測される全てのトラヒックの総量に対して、トラヒック量変化の発生以前と発生中の流量差分が大きい場合に分析を実施する。そのため、総トラヒック量の変化量が小さい場合には、分析が実行されない。
総トラヒック量の変化量は少ない場合、総トラヒック量に占める割合が小さいが急激なトラヒック量増加が発生しているトラヒックが存在しても、原因の分析が実行できないといった課題があった。
これを解決するためには、特定のトラヒック種別でフィルタし、差分抽出した上で分析することが考えられるが、一般的に攻撃としては様々な種別が存在し、それらを一つ一つ適用し分析する方法は、大規模なネットワークに適用するには処理時間が長くなるという課題が生じる。また、攻撃種別が特定できたとしても、攻撃先のAS(Autonomous system)や、サーバなどを特定することが困難であり、攻撃種別でフィルタしても必ずしも異常トラヒックを特定できるとは限らない課題があった。
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみである場合、該攻撃に付随して実施される複合攻撃は分析できないという課題もあった。
本発明では、以下の手段を備えることで前記の課題を解決する。
第1の発明は、トラヒック量変化原因特定システムが、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるものである。これにより、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
第2の発明は、前記トラヒック量変化特定システムが、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するため、分析時間の短縮化が可能となる。
第3の発明は、前記トラヒック量変化特定システムが、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段を備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として起こりうる他の攻撃の分析を行うことが可能となる。
第4の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全てのトラヒック情報(送信元アドレス、送信先アドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、送信元AS番号、送信先AS番号、経由ルータのインターフェースなどの内、全てもしくは何れか)を個別に実施するのではなく、異常検出手段によって検出された異常トラヒックと合致するトラヒックの攻撃対象(IPアドレスやAS番号、ポートなど)についてのみ分析するため、分析時間の短縮化が可能となる。
第5の発明は、前記トラヒック量変化原因特定システムが、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段とを備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した標的に対する攻撃と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
第6の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えるものである。これにより、特定の攻撃でフィルタしてもネットワーク上で観測される該攻撃に関するフロー情報が膨大で、正常時と異常時の差分が抽出できない場合に、特定の攻撃対象のフィルタを併用することで、攻撃種別及び標的を絞り込むことができ、結果、差分の抽出と分析が可能となる。
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として実施されうる攻撃種別及び標的に関わる他の攻撃の分析を行うことが可能となる。
第一の効果は、トラヒック量の変化に着目する異常トラヒックの原因特定システムにおいて、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
その理由は、トラヒック量変化原因特定システムが異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出するためである。
第二の効果は、攻撃のトラヒック種別が多い場合にも、分析時間の短縮化が可能となる。
その理由は、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するためである。
第三の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、該複合攻撃の分析を行うことが可能となる。
その理由は、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持し、取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も併せて実施するためである。
第四の効果は、攻撃の送信元/先であるアドレス、ポート番号、AS番号や経由ルータが多岐に渡る場合、分析時間の短縮化が可能となる。
その理由は、観測されるトラヒックの全ての送信元/先の組み合わせについて個別に分析するのではなく、異常検出手段によって検出された攻撃の送信元/先の組み合わせのみを分析するためである。
第五の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、検知した攻撃先(標的)と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
その理由は、複合攻撃として標的になりやすい攻撃先の組など、関連のある送信元/先、経由ルータなどの情報をグループ化して保持し、取得した攻撃の送信元/先、経由ルータと同じグループに属す送信元/先、経由ルータのトラヒックの分析も実施するため。
第六の効果は、第一から第五の効果を併せて実現することが可能となる。
その理由は、トラヒック量変化原因特定システムが、異常検知機能が異常を検知した際に、検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得し、異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施するためである。
本発明の一実施形態であるトラヒック量変化原因特定システム300の適用場面を示した説明図。 異常検知外部機能部200が保持する攻撃フィルタ500のリスト及び、異常検知外部機能部200の検知結果情報510を示した説明図。 トラヒック量変化原因特定システム300のフィルタ部310が保持するグループリスト(攻撃フィルタグループリスト311、トラヒック情報グループリスト312、313)を示した説明図。 トラヒック量変化原因特定システム300の分析動作のフローチャート図(その1)である。 トラヒック量変化原因特定システム300の分析動作のフローチャート図(その2)である。 トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その1)である。 トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その2)である。
以下、本発明の実施形態のトラヒック量変化原因特定システムを図を参照して詳細に説明する。
[構成の説明]
図1は本発明の一実施形態であるトラヒック量変化原因特定システムの適用場面を示した説明図である。
図中において、トラヒック量変化原因特定システム300は、少なくともフィルタ部310と異常分析実行部320から構成される。フィルタ部310は、異常検知外部機能部200との間に、攻撃フィルタ500及び検知結果情報510を取得するインターフェースを備える。また、フロー情報蓄積部400は、ネットワーク上で観測されたトラヒック情報を保持する記憶機能である。
異常検知外部機能部200は、フロー情報蓄積部400から取得したフロー情報520を用いて、DDoS攻撃等の異常状態を検知することが可能な外部機能であり、その実現方法としては、あるトラヒック種別(プロトコル、送信先IPアドレスなど)毎に、設定された閾値を超えるトラヒック量を検知した場合に攻撃として検出する方法が考えられるが、それ以外の実現方法でも構わない。
また、フロー情報蓄積部400については、トラヒック情報を保持する仕組み、保持形式に制限は無い。
異常分析実行部320は、フロー情報蓄積部400からフロー情報530を取得する際に、フィルタ部310が異常検知外部機能部200から取得したフィルタ条件(攻撃フィルタ、検知結果情報)及びフィルタ部310が保持するフィルタ条件により、フロー情報の選別を行い、フィルタ条件に合致したフロー情報のみ取得する。
なお、これらの構成部は必ずしも同一の装置に共存する必要は無く、ネットワーク上に分散して配置される構成も取り得る。
図2は、フィルタ部310が異常検知外部機能部200から取得する攻撃フィルタ500のリスト及び検知結果情報510の例を示した説明図である。
攻撃フィルタ500のリストは、フィルタ部310が異常検知外部機能部200から取得する攻撃種別毎のフィルタ情報であり、検知結果情報510は、送信元IPアドレス、送信先IPアドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、ルータインターフェース、送信元AS番号、送信先AS番号を保持する。なお、攻撃フィルタ500のリストは例であり、これら以外の攻撃フィルタを取得することも可能である。さらに、検知結果情報510として通知される値の数は限定されず、例えば送信元IPアドレスが複数個通知されることも可能である。また、これら以外の種別の情報を通知することも可能である。
図3は、フィルタ部310が保持する攻撃フィルタグループのリスト311及びトラヒック情報グループのリスト312、313を示した説明図である。
攻撃フィルタグループリスト311は、攻撃毎のフィルタ情報と、その攻撃との複合攻撃として同時に実行されうる攻撃フィルタをグループ化して管理するリストであり、攻撃フィルタに対し、複合攻撃フィルタ1及び2を保持する。また、トラヒック情報グループリスト(送信先IPアドレス)312は、同時に攻撃される可能性が高いIPアドレスのグループのリストであり、保持するアドレスのプレフィックス長は可変長である。さらに、トラヒック情報グループリスト(送信先AS番号)313は、同時に攻撃される可能性が高いAS番号のグループリストである。
なお、図3に記載している攻撃フィルタグループリスト311のグループは例であり、複合攻撃フィルタの数は2に限定されず、これら以外の攻撃フィルタグループを適用することも可能である。さらに、トラヒック情報グループのリスト312、313は例であり、グループメンバの数に制限はなく、また、これら以外の種別の情報(送信元IPアドレス、送信元ポート番号、送信先ポート番号、ルータ情報など)をグループリストとして保持することも可能である。
[動作の説明]
図4−1、図4−2は、トラヒック量変化原因特定システム300が、異常分析を実行する場合の動作を示すフローチャートである。図4−1の(1)−(1)’、(2)−(2)’、(3)−(3)’、(4)−(4)’の詳細を図4―2に示す。
異常検知外部機能部200が異常を検知したことを契機に(S1)、フィルタ部310が異常検知外部機能部200から、検知結果情報510及び攻撃フィルタ500を取得する(S2)。
異常分析実行部320は、フロー情報蓄積部400から、S2で取得した検知結果情報510に合致するフロー情報を取得する(S3−1)、もしくはトラヒック情報グループリスト312、313で、S2で取得した検知結果情報510と同一グループとして保持されるトラヒック情報に合致するフロー情報を取得する(S3−2)。
また、異常分析実行部320は、S3−1もしくはS3−2で取得したフロー情報の内、S2で所得した攻撃フィルタ500に合致するフロー情報を取得する(S3−3)、もしくは攻撃フィルタグループリスト311でS2で取得した攻撃フィルタ500と同一グループとして保持される複合攻撃フィルタに合致するフロー情報を取得する(S3−4)。
異常分析実行部320は、S3−1、S3−2、S3−3、S3−4で所得したフロー情報を用いて、異常分析を実行し、結果を出力する。
図5−1、図5−2は図4のフローチャートに従ってトラヒック量変化原因特定システム300が取得する分析対象となるフロー情報の例を示している。各グラフの横軸は時間、縦軸はトラヒック流量である。
トラヒック量変化原因特定システム300は、異常検知外部機能部200が攻撃を検知した時点以降を異常区間、それ以前を正常区間として設定し、それらの区間での差分トラヒックを基に異常区間での攻撃トラヒックの分析を行う分析機能を保持する。図5−1 a)に示すように、観測される全てのトラヒックの流量について、正常区間と異常区間の差分が小さい場合、前記のような従来のトラヒック量変化原因特定システムでは攻撃を分析することができない。
そこで、図4のS2に従い、異常検知外部機能部200から、異常を検知した際に適用された攻撃フィルタ500(TCP SYN)と、図2に記載の検知結果情報510を取得する。
異常分析実行部320は、S3−1に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)に合致するフロー情報を取得することで、図5−1 b)に示すように異常として検出された特定のIPアドレスやAS番号向けのフロー情報のみを取得することができる。
さらに、S3−3に従い、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別のフロー情報のみを取得することができる。
これにより、異常として検出された送信先IPアドレスや送信先AS、攻撃種別以外のフロー情報を除外することで、正常区間と異常区間の差分を抽出することが可能となり、異常分析を実施することが可能となる。
また、異常分析実行部320は、S3−2に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)とトラヒック情報グループリスト312、313で同一グループとして管理されるトラヒック情報(送信先IPアドレス=150.10.1.0/24、送信先AS番号=4024)に合致するフロー情報を取得することで、図5−2 b)に示すように異常として検出された特定のIPアドレスやAS番号と、同時に複合攻撃の標的となり得るIPアドレスやAS番号のフロー情報のみを取得することができる。
さらに、S3−4に従い、攻撃フィルタグループリスト311で、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)と同一グループとして管理されている攻撃フィルタ(ICMP)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別と、同時に複合攻撃として利用されうる攻撃種別のフロー情報のみを取得することができる。
これにより、異常検知外部機能部200では、図5−2 c−1)に該当する攻撃しか検出出来ない場合でも、該攻撃と同時に標的になり得る、もしくは利用されうる攻撃種別についても、図5−1 c−1)、 図5−1 c−2)、図5−2 c−2)のように差分を抽出し分析することで、検知分析が可能となる。
このように、検知結果情報と攻撃フィルタを組み合わせてフロー取得の条件として利用することで、特定の標的(AS、サーバ、ポート)のに対する特定の攻撃に特化したフロー抽出が可能となり、その他のフローの種類や量に影響されない分析が可能となる。
本実施形態のトラヒック量変化原因特定システム300は、図4−1、図4−2に示す各ステップを実行する手段を備えている。
本実施形態のトラヒック量変化原因特定システム300はコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
以上、本発明の実施形態を具体的に説明したが、本発明の実施形態のトラヒック量変化原因特定システムは、基本的には、トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであり、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えていればよい。
本発明の実施形態のトラヒック量変化原因特定システムは、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
また、前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることができる。
また、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
また、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
また、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
尚、必ずしも前記実装形態に限定されるものではなく、その要旨を逸脱しない範囲において、種種の変更は可能であり、本発明の目的を達し、下記する効果を奏する範囲において、適宜変更して実装可能であることは勿論である。
200…異常検知外部機能部、300…トラヒック量変化原因特定システム、310…フィルタ部、311…攻撃フィルタグループリスト、312…トラヒック情報グループリスト(送信先IPアドレス)、313…トラヒック情報グループリスト(送信先AS番号)、320…異常分析実行部、400…フロー情報蓄積部、500…攻撃フィルタ、510…検知結果情報、530…フロー情報

Claims (9)

  1. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
    特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  2. 請求項1に記載のトラヒック量変化原因特定システムにおいて、
    前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、
    該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  3. 請求項1または2に記載のトラヒック量変化原因特定システムにおいて、
    前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
    前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  4. 請求項1に記載のトラヒック量変化原因特定システムにおいて、
    前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、
    該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  5. 請求項1ないし4のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
    異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
    前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  6. 請求項1ないし5のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
    前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、
    前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
    異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
    前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属するトラヒック情報を用いた原因の分析も実施する手段
    を備えることを特徴とするトラヒック量変化原因特定システム。
  7. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムのトラヒック量変化原因特定方法であって、
    前記トラヒック量変化原因特定システムが、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する
    ことを特徴とするトラヒック量変化原因特定方法。
  8. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定装置であって、
    特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
    を備えることを特徴とするトラヒック量変化原因特定装置。
  9. 請求項1ないし6のうちいずれか1項に記載のトラヒック量変化原因特定システムとしてコンピュータを機能させるためのプログラム。
JP2010037395A 2010-02-23 2010-02-23 トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム Active JP5015279B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010037395A JP5015279B2 (ja) 2010-02-23 2010-02-23 トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010037395A JP5015279B2 (ja) 2010-02-23 2010-02-23 トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム

Publications (2)

Publication Number Publication Date
JP2011176434A true JP2011176434A (ja) 2011-09-08
JP5015279B2 JP5015279B2 (ja) 2012-08-29

Family

ID=44688918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010037395A Active JP5015279B2 (ja) 2010-02-23 2010-02-23 トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム

Country Status (1)

Country Link
JP (1) JP5015279B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018196054A (ja) * 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP2019004339A (ja) * 2017-06-15 2019-01-10 日本電信電話株式会社 ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラム
CN109522325A (zh) * 2018-09-28 2019-03-26 中国平安人寿保险股份有限公司 业务影响分析方法、装置、电子设备及存储介质
JP2021093773A (ja) * 2021-03-19 2021-06-17 アラクサラネットワークス株式会社 パケット中継装置およびパケット中継方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006043371A1 (ja) * 2004-10-21 2006-04-27 Nippon Telegraph And Telephone Corporation 防御装置、防御方法および防御プログラム並びにネットワーク攻撃防御システム
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2008167099A (ja) * 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
JP2009044501A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
WO2006043371A1 (ja) * 2004-10-21 2006-04-27 Nippon Telegraph And Telephone Corporation 防御装置、防御方法および防御プログラム並びにネットワーク攻撃防御システム
JP2008167099A (ja) * 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
JP2009044501A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018196054A (ja) * 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP7005936B2 (ja) 2017-05-19 2022-02-10 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP2019004339A (ja) * 2017-06-15 2019-01-10 日本電信電話株式会社 ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラム
CN109522325A (zh) * 2018-09-28 2019-03-26 中国平安人寿保险股份有限公司 业务影响分析方法、装置、电子设备及存储介质
JP2021093773A (ja) * 2021-03-19 2021-06-17 アラクサラネットワークス株式会社 パケット中継装置およびパケット中継方法
JP7104201B2 (ja) 2021-03-19 2022-07-20 アラクサラネットワークス株式会社 パケット中継装置およびパケット中継方法

Also Published As

Publication number Publication date
JP5015279B2 (ja) 2012-08-29

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
CN107404400B (zh) 一种网络态势感知实现方法及装置
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
US8422386B2 (en) Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US9860278B2 (en) Log analyzing device, information processing method, and program
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
US10637885B2 (en) DoS detection configuration
EP2629457A1 (en) Method and System For Network Monitoring Using Signature Packets
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
JP5015014B2 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
KR20120065727A (ko) 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
EP3499837A1 (en) Ot system monitoring method, apparatus, system, and storage medium
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
US10616270B2 (en) Optimization apparatus, optimization method, and optimization program
JP5015279B2 (ja) トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム
Asrodia et al. Network monitoring and analysis by packet sniffing method
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
JP4422176B2 (ja) トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体
CN107018116B (zh) 监控网络流量的方法、装置及服务器
JP5752020B2 (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
JP6325993B2 (ja) サービス監視装置、および、サービス監視方法
CN103368952A (zh) 用于待入侵检测处理的数据包进行抽样的方法与设备

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120606

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5015279

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350