JP2013121008A - 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム - Google Patents
攻撃対策装置、攻撃対策方法及び攻撃対策プログラム Download PDFInfo
- Publication number
- JP2013121008A JP2013121008A JP2011267242A JP2011267242A JP2013121008A JP 2013121008 A JP2013121008 A JP 2013121008A JP 2011267242 A JP2011267242 A JP 2011267242A JP 2011267242 A JP2011267242 A JP 2011267242A JP 2013121008 A JP2013121008 A JP 2013121008A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- communication
- class
- feature amount
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】攻撃対策装置1は、ネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶するネットワーク構成DB21と、攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部13と、過去の複数の攻撃事例に係る構成特徴量及び通信特徴量の組み合わせをクラス分類するクラス分類部15と、新たな攻撃が検知された場合に、当該新たな攻撃がいずれのクラスに該当するかを判定するクラス判定部17と、判定されたクラスを新たな攻撃の通信経路と共に報知する報知部18と、を備える。
【選択図】図1
Description
このとき、特徴量の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
本実施形態に係る攻撃対策装置1は、インターネットサービスプロバイダ等の所定のネットワークに属するホストへの攻撃が検知された場合に、このネットワークの管理者が行う対処を支援するサーバ装置である。なお、攻撃対策装置1は、ネットワーク内の少なくともコアルータを含む各種ルータと通信可能であり、ルータからネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得すると共に、攻撃対処のために通信経路を制御したり、フィルタリング機能の実行を指示したりできる。
攻撃対策装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
具体的には、構成収集部11は、構成特徴量の1つとして、「pchar」又は「pathchar」等のコマンドを利用して、各ホストに接続されるエッジルータに対する直前の回線のリンク容量を取得する。また、構成収集部11は、構成特徴量の1つとして、「traceroute」コマンドを利用してトポロジを把握することにより、エッジルータの収容ホスト数を取得する。
攻撃対象ホストを宛先とするデータパケットは、コアルータを基点に配下のルータを経由して、ホストに隣接するエッジルータに至る。このとき、エッジルータに対するリンク容量、又はエッジルータの収容ホスト数は、間接的にエッジルータが処理可能な通信量、すなわち規模を表している。
具体的には、通信抽出部13は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、及びフロー数を取得する。
特徴ベクトルx=(x1,x2,x3,x4,x5,x6,x7,x8)は、0又は1の2値を取り得る8つの要素x1〜x8からなる。
送信元ホストが所定数以上の場合は1、それ以外の場合は0である。
x2:プロトコルタイプ。
プロトコルがTCP又はUDPの場合は1、それ以外の場合は0である。
x3:TCPフラグの割合。
TCPフラグのうちSYNフラグを有するパケットが全体の所定割合を超える場合1、それ以外の場合は0である。
x4:パケット数。
単位時間当たりのパケット数の平均が所定値を超える場合は1、それ以外の場合は0である。
x5:バイト数。
単位時間当たりのバイト数の平均が所定値を超える場合は1、それ以外の場合は0である。
x6:フロー数。
単位時間当たりのフロー数の平均が所定値を超える場合は1、それ以外の場合は0である。
x7:直前のエッジルータ周辺のリンク容量。
リンク容量が所定値[bps]以下の場合は1、それ以外の場合は0である。
x8:直前のエッジルータの規模。
エッジルータの規模(収容ホスト数)が所定値以下の場合は1、それ以外の場合は0である。
例えば、上述の特徴ベクトルの要素x1=1(分散DoS攻撃)、x4=1(パケット数が多い)、x7=1(リンク容量が小さい)の場合、悪性度、規模及び緊急度がいずれも高い攻撃として、対処方法に関するデータが記憶される。
また、例えば、共通項がx1=1、x4=1、x7=0(リンク容量が大きい)であるクラスに属する攻撃は、直ちにネットワークを逼迫する可能性が低いため、所定のフィルタリングルール(ICMP等の所定のプロトコルを排除する、又はSYNFlood攻撃者を排除する等)を適用して、攻撃を低減する。
さらに、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。
10 制御部
11 構成収集部
12 事例収集部
13 通信抽出部
14 攻撃検知部
15 クラス分類部
16 クラス定義部
17 クラス判定部
18 報知部
19 対処実行部
20 記憶部
21 ネットワーク構成DB(構成記憶部)
22 クラス定義DB
23 対処情報DB(対処情報記憶部)
Claims (8)
- 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、
少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部と、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部と、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類部と、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類部により分類されたいずれのクラスに該当するかを判定するクラス判定部と、
前記クラス判定部により判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知部と、を備える攻撃対策装置。 - 前記構成記憶部は、前記構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又は当該エッジルータの収容ホスト数のうち、少なくともいずれかを含む請求項1に記載の攻撃対策装置。
- 前記通信抽出部は、前記通信特徴量として、前記攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを含む請求項1又は請求項2に記載の攻撃対策装置。
- 前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせに対応して、対処方法に関するデータを予め記憶する対処情報記憶部と、
前記クラス分類部により分類された各クラスについて、当該クラスに含まれる前記構成特徴量及び前記通信特徴量の組み合わせと、前記対処情報記憶部に記憶されている前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせとを比較することにより、当該クラスに対して前記対処方法に関するデータのいずれかを紐付けて当該クラスを定義するクラス定義部と、を備える請求項1から請求項3のいずれかに記載の攻撃対策装置。 - 前記対処方法に関するデータは、前記攻撃の悪性度、規模、又は対処の緊急度を示すデータである請求項4に記載の攻撃対策装置。
- 前記クラス定義部により紐付けられた前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える請求項4又は請求項5に記載の攻撃対策装置。
- 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を含む攻撃対策方法。 - 所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267242A JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267242A JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013121008A true JP2013121008A (ja) | 2013-06-17 |
JP5752020B2 JP5752020B2 (ja) | 2015-07-22 |
Family
ID=48773476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011267242A Expired - Fee Related JP5752020B2 (ja) | 2011-12-06 | 2011-12-06 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5752020B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015140987A1 (ja) * | 2014-03-20 | 2015-09-24 | 株式会社日立システムズ | 事象対応支援装置、事象対応支援方法、及びプログラム |
JP2018170675A (ja) * | 2017-03-30 | 2018-11-01 | Kddi株式会社 | 障害復旧手順最適化システムおよび障害復旧手順最適化方法 |
KR20190121666A (ko) * | 2018-04-18 | 2019-10-28 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
US11184387B2 (en) | 2016-07-22 | 2021-11-23 | Alibaba Group Holding Limited | Network attack defense system and method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030110393A1 (en) * | 2001-12-12 | 2003-06-12 | International Business Machines Corporation | Intrusion detection method and signature table |
JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
US20050259648A1 (en) * | 2004-05-21 | 2005-11-24 | Kodialam Muralidharan S | Routing for networks with content filtering |
US20090265784A1 (en) * | 2005-11-08 | 2009-10-22 | Tohoku University | Network failure detection method and network failure detection system |
-
2011
- 2011-12-06 JP JP2011267242A patent/JP5752020B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030110393A1 (en) * | 2001-12-12 | 2003-06-12 | International Business Machines Corporation | Intrusion detection method and signature table |
JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
US20050259648A1 (en) * | 2004-05-21 | 2005-11-24 | Kodialam Muralidharan S | Routing for networks with content filtering |
US20090265784A1 (en) * | 2005-11-08 | 2009-10-22 | Tohoku University | Network failure detection method and network failure detection system |
Non-Patent Citations (3)
Title |
---|
JPN6015015959; '大規模分散DoS攻撃に対する適応的防御手法の提案 An Adaptive Defense Against Large DDoS Attack' 電子情報通信学会技術研究報告 Vol.110 No.449 IEICE Technical Report , 20110224 * |
JPN6015015961; 'DDoS攻撃に対するアクティブシェーピング手法の評価 Evaluation of Active Shaping Method against DD' 情報処理学会研究報告 Vol.2003 No.87 IPSJ SIG Technical Reports , 20030829 * |
JPN6015015963; 'NetFlowデータに基づく統計的特徴を利用した攻撃者検知手法の提案 A Proposal of Attackers Detect' 電子情報通信学会2011年総合大会 THE 2011 IEICE GENERAL CONFERENCE , 20110228 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015140987A1 (ja) * | 2014-03-20 | 2015-09-24 | 株式会社日立システムズ | 事象対応支援装置、事象対応支援方法、及びプログラム |
US11184387B2 (en) | 2016-07-22 | 2021-11-23 | Alibaba Group Holding Limited | Network attack defense system and method |
JP2018170675A (ja) * | 2017-03-30 | 2018-11-01 | Kddi株式会社 | 障害復旧手順最適化システムおよび障害復旧手順最適化方法 |
KR20190121666A (ko) * | 2018-04-18 | 2019-10-28 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
KR102045844B1 (ko) * | 2018-04-18 | 2019-11-18 | 한국전자통신연구원 | 클라우드 시스템의 플로우 기반 트래픽 분석 방법 및 장치 |
US10841194B2 (en) | 2018-04-18 | 2020-11-17 | Electronics And Telecommunications Research Institute | Method and apparatus for analyzing traffic based on flow in cloud system |
Also Published As
Publication number | Publication date |
---|---|
JP5752020B2 (ja) | 2015-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US9479532B1 (en) | Mitigating denial of service attacks | |
US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
US11956208B2 (en) | Graphical representation of security threats in a network | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
US10708294B2 (en) | System and method to select and apply hypothetical mitigation parameters | |
Nitin et al. | Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas) | |
JP5752020B2 (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
JP4161989B2 (ja) | ネットワーク監視システム | |
KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
JP7290168B2 (ja) | 管理装置、ネットワーク監視システム、判定方法、通信方法、及びプログラム | |
CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
US20240039939A1 (en) | Computer-readable recording medium storing attack situation output program, attack situation output device, and attack situation output system | |
KR20100041533A (ko) | 네트워크 관리 방법 | |
Ghosh et al. | Managing high volume data for network attack detection using real-time flow filtering | |
JP4190508B2 (ja) | ネットワーク制御システムおよびネットワーク制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140725 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150414 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150519 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5752020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |