JP2013121008A - 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム - Google Patents
攻撃対策装置、攻撃対策方法及び攻撃対策プログラム Download PDFInfo
- Publication number
- JP2013121008A JP2013121008A JP2011267242A JP2011267242A JP2013121008A JP 2013121008 A JP2013121008 A JP 2013121008A JP 2011267242 A JP2011267242 A JP 2011267242A JP 2011267242 A JP2011267242 A JP 2011267242A JP 2013121008 A JP2013121008 A JP 2013121008A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- communication
- class
- feature amount
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】攻撃を検知した際の対処を管理者がより適切に行うための情報を取得できる攻撃対策装置、攻撃対策方法及び攻撃対策プログラムを提供すること。
【解決手段】攻撃対策装置1は、ネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶するネットワーク構成DB21と、攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部13と、過去の複数の攻撃事例に係る構成特徴量及び通信特徴量の組み合わせをクラス分類するクラス分類部15と、新たな攻撃が検知された場合に、当該新たな攻撃がいずれのクラスに該当するかを判定するクラス判定部17と、判定されたクラスを新たな攻撃の通信経路と共に報知する報知部18と、を備える。
【選択図】図1
【解決手段】攻撃対策装置1は、ネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶するネットワーク構成DB21と、攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部13と、過去の複数の攻撃事例に係る構成特徴量及び通信特徴量の組み合わせをクラス分類するクラス分類部15と、新たな攻撃が検知された場合に、当該新たな攻撃がいずれのクラスに該当するかを判定するクラス判定部17と、判定されたクラスを新たな攻撃の通信経路と共に報知する報知部18と、を備える。
【選択図】図1
Description
本発明は、所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置、攻撃対策方法及び攻撃対策プログラムに関する。
従来、DoS(Denial of Service attack)攻撃に対処するサービスが存在する(例えば、非特許文献1乃至4参照)。これらのサービスは、インターネットサービスプロバイダが一元管理するネットワーク上で、DoS攻撃を検知した際に、攻撃対象のホスト宛の通信の中から、異常と判定される通信を取り除き、正常と判定される通信のみを攻撃対象ホストへ届ける仕組みである。なお、これらのサービスは、攻撃対象となり得るホストの管理者が任意にインターネットサービスプロバイダと契約するものである。
また、バックボーンネットワークにおいて、ネットワーク運用者は、自社の設備を保守するためにトラフィックを監視する。ところが、例えば数百Gbpsの大量のトラフィックを管理するインターネットサービスプロバイダでは、運用コストが高額になるため、上述のサービス等の仕組みは利用されない場合が多い。この場合、DoS攻撃が発生すると、ブラックホールルータ等に攻撃パケットを迂回させる方式等が採用される。
DoS(DDoS)攻撃対策サービス、[平成23年11月14日]、インターネット<http://www.secomtrust.net/service/datacenter/service/managed_dos.html>
トラフィック異常検出および軽減(DDoS攻撃対策)ソリューション、[平成23年11月14日]、インターネット<http://www.cisco.com/web/JP/product/hs/security/ddos.html>
IIJ DDoS対策サービス、[平成23年11月14日]、インターネット<http://www.iij.ad.jp/service/system/IIJ−SD.html>
OCN DDoS攻撃対策サービス、[平成23年11月14日]、インターネット<http://www.ocn.ne.jp/business/security/ddos/>
しかしながら、例えば、攻撃パケットを迂回させる方式の場合、正常なパケットも大きく影響を受ける。これらの正常なパケットを分別するためには、攻撃を解析する必要があるため、対処に時間が掛かる。また、リンク容量又はルータの許容パケット数等によって、通信機器を保護するための緊急度も異なるため、攻撃に対して画一的な対処が実行されることは適切ではなかった。
本発明は、攻撃を検知した際の対処を管理者がより適切に行うための情報を取得できる攻撃対策装置、攻撃対策方法及び攻撃対策プログラムを提供することを目的とする。
本発明では、以下のような解決手段を提供する。
(1)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部と、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部と、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類部と、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類部により分類されたいずれのクラスに該当するかを判定するクラス判定部と、前記クラス判定部により判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知部と、を備える攻撃対策装置。
このような構成によれば、攻撃対策装置は、過去の攻撃事例に関する構成特徴量及び通信特徴量の組み合わせをクラス分類することにより、新たな攻撃の特徴量がいずれのクラスに該当するかを判定する。したがって、攻撃対策装置は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
このとき、特徴量の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
このとき、特徴量の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
(2)前記構成記憶部は、前記構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又は当該エッジルータの収容ホスト数のうち、少なくともいずれかを含む(1)に記載の攻撃対策装置。
このような構成によれば、攻撃対策装置は、構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又はエッジルータの収容ホスト数のうち、少なくともいずれかを用いる。したがって、エッジルータの規模に応じた緊急度が構成特徴量に表されるので、管理者は、適切な対処を行うことができる。
(3)前記通信抽出部は、前記通信特徴量として、前記攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを含む(1)又は(2)に記載の攻撃対策装置。
このような構成によれば、攻撃対策装置は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを用いる。したがって、攻撃の種類及び規模が通信特徴量に表されるので、管理者は、適切な対処を行うことができる。
(4)前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせに対応して、対処方法に関するデータを予め記憶する対処情報記憶部と、前記クラス分類部により分類された各クラスについて、当該クラスに含まれる前記構成特徴量及び前記通信特徴量の組み合わせと、前記対処情報記憶部に記憶されている前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせとを比較することにより、当該クラスに対して前記対処方法に関するデータのいずれかを紐付けて当該クラスを定義するクラス定義部と、を備える(1)から(3)のいずれかに記載の攻撃対策装置。
このような構成によれば、攻撃対策装置は、対処情報記憶部と照合することにより、各クラスに属する攻撃への対処方法に関するデータを提供できる。したがって、管理者は、攻撃に対する対処をより適切に行える。
(5)前記対処方法に関するデータは、前記攻撃の悪性度、規模、又は対処の緊急度を示すデータである(4)に記載の攻撃対策装置。
このような構成によれば、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。
(6)前記クラス定義部により紐付けられた前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える(4)又は(5)に記載の攻撃対策装置。
このような構成によれば、攻撃対策装置は、クラスに紐付けて記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。
(7)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を含む攻撃対策方法。
このような構成によれば、攻撃対策方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。
(8)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。
このような構成によれば、攻撃対策プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。
本発明によれば、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
以下、本発明の実施形態の一例について説明する。
本実施形態に係る攻撃対策装置1は、インターネットサービスプロバイダ等の所定のネットワークに属するホストへの攻撃が検知された場合に、このネットワークの管理者が行う対処を支援するサーバ装置である。なお、攻撃対策装置1は、ネットワーク内の少なくともコアルータを含む各種ルータと通信可能であり、ルータからネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得すると共に、攻撃対処のために通信経路を制御したり、フィルタリング機能の実行を指示したりできる。
本実施形態に係る攻撃対策装置1は、インターネットサービスプロバイダ等の所定のネットワークに属するホストへの攻撃が検知された場合に、このネットワークの管理者が行う対処を支援するサーバ装置である。なお、攻撃対策装置1は、ネットワーク内の少なくともコアルータを含む各種ルータと通信可能であり、ルータからネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得すると共に、攻撃対処のために通信経路を制御したり、フィルタリング機能の実行を指示したりできる。
図1は、本実施形態に係る攻撃対策装置1の機能構成を示す図である。
攻撃対策装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
攻撃対策装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
制御部10は、攻撃対策装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
記憶部20は、ハードウェア群を攻撃対策装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が備える各種データは後述する。
通信部30は、攻撃対策装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、ネットワーク内のコアルータにアクセスし、ネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得して制御部10へ提供する。また、通信部30は、制御部10からの指示に従ってルータに制御信号を送信する。
入力部40は、攻撃対策装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部やタッチパネルにより構成される。
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、攻撃対策装置1による処理結果の画面を表示したりするものである。ユーザは、表示部50に表示された画面により、攻撃が検知されたこと、及び対処方法に関する情報を確認する。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
前述の制御部10は、構成収集部11と、事例収集部12と、通信抽出部13と、攻撃検知部14と、クラス分類部15と、クラス定義部16と、クラス判定部17と、報知部18と、対処実行部19とを備える。また、記憶部20は、ネットワーク構成DB21(構成記憶部)と、クラス定義DB22と、対処情報DB23(対処情報記憶部)とを有する。
構成収集部11は、監視対象である所定のネットワークと、攻撃事例の収集のためのネットワークとに属するホストそれぞれについて、このホストへ至る通信経路の規模を示す所定種類の構成特徴量を取得し、ネットワーク構成DB21に記憶する。
具体的には、構成収集部11は、構成特徴量の1つとして、「pchar」又は「pathchar」等のコマンドを利用して、各ホストに接続されるエッジルータに対する直前の回線のリンク容量を取得する。また、構成収集部11は、構成特徴量の1つとして、「traceroute」コマンドを利用してトポロジを把握することにより、エッジルータの収容ホスト数を取得する。
具体的には、構成収集部11は、構成特徴量の1つとして、「pchar」又は「pathchar」等のコマンドを利用して、各ホストに接続されるエッジルータに対する直前の回線のリンク容量を取得する。また、構成収集部11は、構成特徴量の1つとして、「traceroute」コマンドを利用してトポロジを把握することにより、エッジルータの収容ホスト数を取得する。
図2は、本実施形態に係る監視対象ネットワークにおける攻撃対象ホストへ至る通信経路を示す図である。
攻撃対象ホストを宛先とするデータパケットは、コアルータを基点に配下のルータを経由して、ホストに隣接するエッジルータに至る。このとき、エッジルータに対するリンク容量、又はエッジルータの収容ホスト数は、間接的にエッジルータが処理可能な通信量、すなわち規模を表している。
攻撃対象ホストを宛先とするデータパケットは、コアルータを基点に配下のルータを経由して、ホストに隣接するエッジルータに至る。このとき、エッジルータに対するリンク容量、又はエッジルータの収容ホスト数は、間接的にエッジルータが処理可能な通信量、すなわち規模を表している。
事例収集部12は、監視対象である所定のネットワーク、又は攻撃事例の収集のためのネットワークにおけるコアルータから、攻撃事例に係る通信のネットワークフローデータ(例えば、NetFlow又はsFlow)又はパケットキャプチャデータ等、通信のデータを取得する。
通信抽出部13は、事例収集部12により取得された通信のデータから、通信の特徴を示す所定種類の通信特徴量を抽出する。
具体的には、通信抽出部13は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、及びフロー数を取得する。
具体的には、通信抽出部13は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、及びフロー数を取得する。
攻撃検知部14は、監視対象である所定のネットワークにおいて、トラフィックを監視し、DoS攻撃を受けたことを検知する。
クラス分類部15は、過去の複数の攻撃事例に係る構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルをクラス分類し、クラス定義DB22に各特徴ベクトル及び分類情報を記憶する。なお、分類手法は、既存のクラスタリング技術が利用可能である。
ここで、特徴ベクトルの一例を以下に示す。
特徴ベクトルx=(x1,x2,x3,x4,x5,x6,x7,x8)は、0又は1の2値を取り得る8つの要素x1〜x8からなる。
特徴ベクトルx=(x1,x2,x3,x4,x5,x6,x7,x8)は、0又は1の2値を取り得る8つの要素x1〜x8からなる。
x1:送信元ホストの数。
送信元ホストが所定数以上の場合は1、それ以外の場合は0である。
x2:プロトコルタイプ。
プロトコルがTCP又はUDPの場合は1、それ以外の場合は0である。
x3:TCPフラグの割合。
TCPフラグのうちSYNフラグを有するパケットが全体の所定割合を超える場合1、それ以外の場合は0である。
x4:パケット数。
単位時間当たりのパケット数の平均が所定値を超える場合は1、それ以外の場合は0である。
x5:バイト数。
単位時間当たりのバイト数の平均が所定値を超える場合は1、それ以外の場合は0である。
x6:フロー数。
単位時間当たりのフロー数の平均が所定値を超える場合は1、それ以外の場合は0である。
x7:直前のエッジルータ周辺のリンク容量。
リンク容量が所定値[bps]以下の場合は1、それ以外の場合は0である。
x8:直前のエッジルータの規模。
エッジルータの規模(収容ホスト数)が所定値以下の場合は1、それ以外の場合は0である。
送信元ホストが所定数以上の場合は1、それ以外の場合は0である。
x2:プロトコルタイプ。
プロトコルがTCP又はUDPの場合は1、それ以外の場合は0である。
x3:TCPフラグの割合。
TCPフラグのうちSYNフラグを有するパケットが全体の所定割合を超える場合1、それ以外の場合は0である。
x4:パケット数。
単位時間当たりのパケット数の平均が所定値を超える場合は1、それ以外の場合は0である。
x5:バイト数。
単位時間当たりのバイト数の平均が所定値を超える場合は1、それ以外の場合は0である。
x6:フロー数。
単位時間当たりのフロー数の平均が所定値を超える場合は1、それ以外の場合は0である。
x7:直前のエッジルータ周辺のリンク容量。
リンク容量が所定値[bps]以下の場合は1、それ以外の場合は0である。
x8:直前のエッジルータの規模。
エッジルータの規模(収容ホスト数)が所定値以下の場合は1、それ以外の場合は0である。
クラス定義部16は、クラス分類部15により分類された各クラスについて、当該クラスの特徴ベクトルと、対処情報DB23に記憶されている要素とを比較することにより、当該クラスに対して対処方法に関するデータのいずれかを紐付けて当該クラスを定義する。
ここで、対処情報DB23は、構成特徴量若しくは通信特徴量のいずれか又は組み合わせに対応して、攻撃の悪性度、規模、又は対処の緊急度を示す対処方法に関するデータを予め記憶している。
例えば、上述の特徴ベクトルの要素x1=1(分散DoS攻撃)、x4=1(パケット数が多い)、x7=1(リンク容量が小さい)の場合、悪性度、規模及び緊急度がいずれも高い攻撃として、対処方法に関するデータが記憶される。
例えば、上述の特徴ベクトルの要素x1=1(分散DoS攻撃)、x4=1(パケット数が多い)、x7=1(リンク容量が小さい)の場合、悪性度、規模及び緊急度がいずれも高い攻撃として、対処方法に関するデータが記憶される。
具体的には、例えば、x1=1、x4=1、x7=1を共通項とするクラスに属する攻撃は、緊急性が高いため、早急に攻撃を軽減する必要がある。ところが、攻撃ホストが多数であるため、特定の攻撃元のトラフィックを遮断したとしても攻撃は収まらない。したがって、ブラックホールルータへトラフィックを迂回させる等の対処法によりネットワーク設備を保守する。
また、例えば、共通項がx1=1、x4=1、x7=0(リンク容量が大きい)であるクラスに属する攻撃は、直ちにネットワークを逼迫する可能性が低いため、所定のフィルタリングルール(ICMP等の所定のプロトコルを排除する、又はSYNFlood攻撃者を排除する等)を適用して、攻撃を低減する。
また、例えば、共通項がx1=1、x4=1、x7=0(リンク容量が大きい)であるクラスに属する攻撃は、直ちにネットワークを逼迫する可能性が低いため、所定のフィルタリングルール(ICMP等の所定のプロトコルを排除する、又はSYNFlood攻撃者を排除する等)を適用して、攻撃を低減する。
クラス判定部17は、新たな攻撃が検知された場合に、この新たな攻撃に係る構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルを生成し、この特徴ベクトルがクラス分類部15により分類されたいずれのクラスに該当するかを判定する。
報知部18は、クラス判定部17により判定されたクラスを、攻撃検知部14によって検知された新たな攻撃の通信経路と共に表示部50に表示させて報知する。
対処実行部19は、クラス定義部16により紐付けられた対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する。このとき、対処実行部19は、表示部50を介して、実行の可否を管理者に問い合わせ、入力部40を介して、指示入力を受け付けてもよい。
図3は、本実施形態に係るクラス定義DB22を生成する処理を示すフローチャートである。
ステップS1において、構成収集部11は、監視対象ネットワーク、及び攻撃事例の収集対象であるネットワークの構成に関する情報として、構成特徴量を収集し、ネットワーク構成DB21に記憶する。
ステップS2において、事例収集部12は、攻撃事例の収集対象であるネットワークから、攻撃事例のネットワークフローデータ又はパケットキャプチャデータ等、攻撃事例に係る通信のデータを収集する。
ステップS3において、通信抽出部13は、ステップS2で収集された攻撃事例に係る通信のデータから、通信特徴量を抽出する。
ステップS4において、クラス分類部15は、攻撃事例それぞれについて、ステップS3で抽出された通信特徴量、及びステップS1で記憶された構成特徴量からなる特徴ベクトルを生成し、これらをクラス分類して、クラス定義DB22に記憶する。
ステップS5において、クラス定義部16は、ステップS4で分類されたクラスのそれぞれを、対処情報DB23と照合することにより、各クラスに対して対処方法に関するデータを紐付けて記憶する。
図4は、本実施形態に係る監視対象ネットワークへの攻撃が検知された場合の処理を示すフローチャートである。
ステップS11において、通信抽出部13は、検知された攻撃に関するネットワークフローデータ又はパケットキャプチャデータ等、通信のデータから、通信特徴量を抽出する。
ステップS12において、クラス判定部17は、ステップS11で抽出された通信特徴量、及びネットワーク構成DB21に記憶されている構成特徴量からなる特徴ベクトルを生成し、クラス定義DB22に記憶されているクラスのいずれに該当するかを判定する。
ステップS13において、報知部18は、ステップS12で判定されたクラスに紐付けられている対処方法に関するデータ(悪性度、規模、緊急度、及び対処方法等)を、表示部50に出力する。
ステップS14において、対処実行部19は、入力部40を介して指示入力を受け付け、攻撃に対する対処を実行するか否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理は終了する。
ステップS15において、対処実行部19は、監視対象ネットワークのルータを制御して、ステップS13で出力された対処方法を実行する。
以上のように、本実施形態によれば、攻撃対策装置1は、過去の攻撃事例に関する構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルをクラス分類することにより、新たな攻撃の特徴ベクトルがいずれのクラスに該当するかを判定する。したがって、攻撃対策装置1は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
このとき、特徴ベクトルの各要素値の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置1は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
また、攻撃対策装置1は、特徴ベクトルの要素として、各ホストに接続されるエッジルータに対するリンク容量及びエッジルータの収容ホスト数を用いる。したがって、エッジルータの規模に応じた緊急度が特徴ベクトルに表されるので、管理者は、適切な対処を行うことができる。
また、攻撃対策装置1は、特徴ベクトルの要素として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数及びフロー数を用いる。したがって、攻撃の種類及び規模が特徴ベクトルに表されるので、管理者は、適切な対処を行うことができる。
また、攻撃対策装置1は、対処情報DBに23と照合することにより、各クラスに属する攻撃への対処方法に関するデータを提供できる。したがって、管理者は、攻撃に対する対処をより適切に行える。
さらに、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。
さらに、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。
また、攻撃対策装置1は、クラス定義DB22に記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
例えば、前述した実施形態の特徴ベクトルは、攻撃の特徴を定量化して示す一例であり、特徴量の種類及び値の範囲は適宜設計できる。
また、攻撃対策装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
1 攻撃対策装置
10 制御部
11 構成収集部
12 事例収集部
13 通信抽出部
14 攻撃検知部
15 クラス分類部
16 クラス定義部
17 クラス判定部
18 報知部
19 対処実行部
20 記憶部
21 ネットワーク構成DB(構成記憶部)
22 クラス定義DB
23 対処情報DB(対処情報記憶部)
10 制御部
11 構成収集部
12 事例収集部
13 通信抽出部
14 攻撃検知部
15 クラス分類部
16 クラス定義部
17 クラス判定部
18 報知部
19 対処実行部
20 記憶部
21 ネットワーク構成DB(構成記憶部)
22 クラス定義DB
23 対処情報DB(対処情報記憶部)
Claims (8)
- 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、
少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部と、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部と、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類部と、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類部により分類されたいずれのクラスに該当するかを判定するクラス判定部と、
前記クラス判定部により判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知部と、を備える攻撃対策装置。 - 前記構成記憶部は、前記構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又は当該エッジルータの収容ホスト数のうち、少なくともいずれかを含む請求項1に記載の攻撃対策装置。
- 前記通信抽出部は、前記通信特徴量として、前記攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを含む請求項1又は請求項2に記載の攻撃対策装置。
- 前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせに対応して、対処方法に関するデータを予め記憶する対処情報記憶部と、
前記クラス分類部により分類された各クラスについて、当該クラスに含まれる前記構成特徴量及び前記通信特徴量の組み合わせと、前記対処情報記憶部に記憶されている前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせとを比較することにより、当該クラスに対して前記対処方法に関するデータのいずれかを紐付けて当該クラスを定義するクラス定義部と、を備える請求項1から請求項3のいずれかに記載の攻撃対策装置。 - 前記対処方法に関するデータは、前記攻撃の悪性度、規模、又は対処の緊急度を示すデータである請求項4に記載の攻撃対策装置。
- 前記クラス定義部により紐付けられた前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える請求項4又は請求項5に記載の攻撃対策装置。
- 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を含む攻撃対策方法。 - 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011267242A JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011267242A JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013121008A true JP2013121008A (ja) | 2013-06-17 |
| JP5752020B2 JP5752020B2 (ja) | 2015-07-22 |
Family
ID=48773476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011267242A Expired - Fee Related JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5752020B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015140987A1 (ja) * | 2014-03-20 | 2015-09-24 | 株式会社日立システムズ | 事象対応支援装置、事象対応支援方法、及びプログラム |
| JP2018170675A (ja) * | 2017-03-30 | 2018-11-01 | Kddi株式会社 | 障害復旧手順最適化システムおよび障害復旧手順最適化方法 |
| KR20190121666A (ko) * | 2018-04-18 | 2019-10-28 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
| US11184387B2 (en) | 2016-07-22 | 2021-11-23 | Alibaba Group Holding Limited | Network attack defense system and method |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110393A1 (en) * | 2001-12-12 | 2003-06-12 | International Business Machines Corporation | Intrusion detection method and signature table |
| JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
| US20050259648A1 (en) * | 2004-05-21 | 2005-11-24 | Kodialam Muralidharan S | Routing for networks with content filtering |
| US20090265784A1 (en) * | 2005-11-08 | 2009-10-22 | Tohoku University | Network failure detection method and network failure detection system |
-
2011
- 2011-12-06 JP JP2011267242A patent/JP5752020B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110393A1 (en) * | 2001-12-12 | 2003-06-12 | International Business Machines Corporation | Intrusion detection method and signature table |
| JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
| US20050259648A1 (en) * | 2004-05-21 | 2005-11-24 | Kodialam Muralidharan S | Routing for networks with content filtering |
| US20090265784A1 (en) * | 2005-11-08 | 2009-10-22 | Tohoku University | Network failure detection method and network failure detection system |
Non-Patent Citations (3)
| Title |
|---|
| JPN6015015959; '大規模分散DoS攻撃に対する適応的防御手法の提案 An Adaptive Defense Against Large DDoS Attack' 電子情報通信学会技術研究報告 Vol.110 No.449 IEICE Technical Report , 20110224 * |
| JPN6015015961; 'DDoS攻撃に対するアクティブシェーピング手法の評価 Evaluation of Active Shaping Method against DD' 情報処理学会研究報告 Vol.2003 No.87 IPSJ SIG Technical Reports , 20030829 * |
| JPN6015015963; 'NetFlowデータに基づく統計的特徴を利用した攻撃者検知手法の提案 A Proposal of Attackers Detect' 電子情報通信学会2011年総合大会 THE 2011 IEICE GENERAL CONFERENCE , 20110228 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015140987A1 (ja) * | 2014-03-20 | 2015-09-24 | 株式会社日立システムズ | 事象対応支援装置、事象対応支援方法、及びプログラム |
| US11184387B2 (en) | 2016-07-22 | 2021-11-23 | Alibaba Group Holding Limited | Network attack defense system and method |
| JP2018170675A (ja) * | 2017-03-30 | 2018-11-01 | Kddi株式会社 | 障害復旧手順最適化システムおよび障害復旧手順最適化方法 |
| KR20190121666A (ko) * | 2018-04-18 | 2019-10-28 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
| KR102045844B1 (ko) * | 2018-04-18 | 2019-11-18 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
| US10841194B2 (en) | 2018-04-18 | 2020-11-17 | Electronics And Telecommunications Research Institute | Method and apparatus for analyzing traffic based on flow in cloud system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5752020B2 (ja) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
| EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US9479532B1 (en) | Mitigating denial of service attacks | |
| US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
| US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
| US11956208B2 (en) | Graphical representation of security threats in a network | |
| US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| US10708294B2 (en) | System and method to select and apply hypothetical mitigation parameters | |
| Nitin et al. | Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas) | |
| JP5752020B2 (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
| JP7290168B2 (ja) | 管理装置、ネットワーク監視システム、判定方法、通信方法、及びプログラム | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| US20240039939A1 (en) | Computer-readable recording medium storing attack situation output program, attack situation output device, and attack situation output system | |
| KR20100041533A (ko) | 네트워크 관리 방법 | |
| Ghosh et al. | Managing high volume data for network attack detection using real-time flow filtering | |
| JP4190508B2 (ja) | ネットワーク制御システムおよびネットワーク制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140725 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150414 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150428 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150519 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5752020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |