JP2016154396A - 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム - Google Patents
攻撃検出装置、攻撃検出方法、および攻撃検出プログラム Download PDFInfo
- Publication number
- JP2016154396A JP2016154396A JP2016111644A JP2016111644A JP2016154396A JP 2016154396 A JP2016154396 A JP 2016154396A JP 2016111644 A JP2016111644 A JP 2016111644A JP 2016111644 A JP2016111644 A JP 2016111644A JP 2016154396 A JP2016154396 A JP 2016154396A
- Authority
- JP
- Japan
- Prior art keywords
- session
- attack
- attack detection
- packet
- header information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】攻撃検出装置1であって、クライアント5からサーバ4へ送信されるパケットを収集する収集手段11と、パケットからヘッダ情報を取得するヘッダ情報取得手段12と、ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段14と、を備え、攻撃検出手段14は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
【選択図】 図1
Description
図1は、本発明の一実施形態である攻撃検出システムを示す全体構成図である。攻撃検出システムは、サービス提供サーバ4と、サービス利用者が使用する利用者端末5(クライアント)との間に設置され、サービス提供サーバ4と利用者端末5との通信を監視し、不正な利用者による攻撃を検出する。サービス提供サーバ4は、インターネットなどのネットワークを介して、利用者端末5に各種のサービスを提供する。
(2)ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合に、当該セッションは攻撃セッションであると判定し、怪しさスコアに所定の値を設定する。なお、ウィンドウサイズの統計情報は、セッション管理テーブル15に設定されたウィンドウサイズの統計情報であっても、あるいはセッション管理テーブル15に設定されたウィンドウサイズの統計情報を用いて算出される統計情報であってもよい。また、統計情報の比較は、統計情報同士の比較であっても、所定の閾値との比較であってもよい。
なお、(2)の場合、ウィンドウサイズの平均値を用いるため、セッション開始直後では、上記条件を満たす状況になりにくく、セッション開始からある程度の数のパケットを収集する時間が必要である。一方、(1)の場合、最初のSYNパケットのウィンドウサイズと、それ以降に受信したパケットのウィンドウサイズとを、逐次比較するため、セッション開始直後であっても、攻撃セッションか否かの判定が可能である。
図8は、本発明の第2の実施形態である攻撃検出装置1Aを示す全体構成図である。第2の実施形態では、トラフィック複製装置2を備えることなく、攻撃検出装置1Aは、サービス提供サーバ4と利用者端末5との間に設置される。
10:パケット転送部
11:パケット収集部
12:ヘッダ情報取得部
13:集計部
14:攻撃検出部
15:セッション管理テーブル
16:セッションログファイル
2 :トラフィック複製装置
3 :管理者端末
4 :サービス提供サーバ
5 :端末
6 :ファイアウォール
7 :CEルータ
Claims (4)
- 攻撃検出装置であって、
クライアントからサーバへ送信されるパケットを収集する収集手段と、
前記パケットからヘッダ情報を取得するヘッダ情報取得手段と、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段と、を備え、
前記攻撃検出手段は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出装置。 - 請求項1記載の攻撃検出装置であって、
前記ウィンドウサイズの複数の統計情報は、平均ウィンドウサイズ、最大ウィンドウサイズ、最小ウィンウドサイズ、パケットのウィンウドサイズの2乗和、および、パケットサイズの合計の少なくとも2つの任意の組み合わせであること
を特徴とする攻撃検出装置。 - コンピュータが行う攻撃検出方法であって、
クライアントからサーバへ送信されるパケットを収集する収集ステップと、
前記パケットからヘッダ情報を取得するヘッダ情報取得ステップと、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出ステップと、を行い、
前記攻撃検出ステップは、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出方法。 - コンピュータが行う攻撃検出プログラムであって、
前記コンピュータを、
クライアントからサーバへ送信されるパケットを収集する収集手段、
前記パケットからヘッダ情報を取得するヘッダ情報取得手段、および、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段として機能させ、
前記攻撃検出手段は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016111644A JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016111644A JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014138659A Division JP5947838B2 (ja) | 2014-07-04 | 2014-07-04 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016154396A true JP2016154396A (ja) | 2016-08-25 |
JP6228262B2 JP6228262B2 (ja) | 2017-11-08 |
Family
ID=56760590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016111644A Active JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6228262B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006148686A (ja) * | 2004-11-22 | 2006-06-08 | Oki Electric Ind Co Ltd | 通信監視システム |
JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
-
2016
- 2016-06-03 JP JP2016111644A patent/JP6228262B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006148686A (ja) * | 2004-11-22 | 2006-06-08 | Oki Electric Ind Co Ltd | 通信監視システム |
JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6228262B2 (ja) | 2017-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
US7266754B2 (en) | Detecting network denial of service attacks | |
Strayer et al. | Botnet detection based on network behavior | |
EP2289221B1 (en) | Network intrusion protection | |
KR102039842B1 (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
CN110166480B (zh) | 一种数据包的分析方法及装置 | |
WO2019201458A1 (en) | Methods, nodes and operator network for enabling management of an attack towards an application | |
Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
CN110198290A (zh) | 一种信息处理方法、设备、装置及存储介质 | |
JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
JP4535275B2 (ja) | 帯域制御装置 | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
JP4216223B2 (ja) | ネットワーク攻撃検知装置および方法ならびにプログラム | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム | |
JP3949610B2 (ja) | 攻撃パケット対策システム及び攻撃パケット対策方法 | |
JP2006352864A (ja) | フィルタを最適化するための機器 | |
US20230164176A1 (en) | Algorithmically detecting malicious packets in ddos attacks | |
JP6740189B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
JP2007166154A (ja) | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム | |
JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
Bala et al. | Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET | |
Duffield et al. | Stress Testing Traffic to Infer Its Legitimacy. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160603 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160624 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170307 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170424 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170926 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171012 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6228262 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |