JP2016154396A - 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム - Google Patents
攻撃検出装置、攻撃検出方法、および攻撃検出プログラム Download PDFInfo
- Publication number
- JP2016154396A JP2016154396A JP2016111644A JP2016111644A JP2016154396A JP 2016154396 A JP2016154396 A JP 2016154396A JP 2016111644 A JP2016111644 A JP 2016111644A JP 2016111644 A JP2016111644 A JP 2016111644A JP 2016154396 A JP2016154396 A JP 2016154396A
- Authority
- JP
- Japan
- Prior art keywords
- session
- attack
- attack detection
- packet
- header information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】正常な通信の手続きを進めながら実行される攻撃を検出する。
【解決手段】攻撃検出装置1であって、クライアント5からサーバ4へ送信されるパケットを収集する収集手段11と、パケットからヘッダ情報を取得するヘッダ情報取得手段12と、ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段14と、を備え、攻撃検出手段14は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
【選択図】 図1
【解決手段】攻撃検出装置1であって、クライアント5からサーバ4へ送信されるパケットを収集する収集手段11と、パケットからヘッダ情報を取得するヘッダ情報取得手段12と、ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段14と、を備え、攻撃検出手段14は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
【選択図】 図1
Description
本発明は、クライアントとサーバ間で送受信されるパケットに基づいて、クライアントがサーバに対して行う攻撃を検出する攻撃検出装置、攻撃検出方法、および攻撃検出プログラムに関する。
近年、インターネット上の公開サービスを不正な通信によってサービス停止状態に追い込むDoS(Denial of Service)による被害の増大が問題となっている。
DoSには、大きく2つの攻撃形態に分類することが可能である。1つめは、悪意のある攻撃者が不正なデータや異常なパケットを送り付けることでサービス提供者のもつソフトウェアに異常な挙動をとらせる攻撃形態である。2つめは、大量にトラフィックを送り付けることでサービス提供者のもつ回線の帯域や通信機器の処理能力を溢れさせる攻撃である。
1つめの攻撃形態に対応するための技術としては、例えばサーバに流れるパケットを種類毎に数え上げることで不正な通信によるサーバの異常な挙動を発見する技術がある(特許文献1参照)。
2つめの攻撃形態に対応するための技術としては、例えばフロー統計情報の変化から大量トラフィックを検出する技術がある(特許文献2参照)。
また、通信相手に告知する自身の受信バッファのサイズを極めて小さくすることで通信相手が一度に送信できる情報量を制限し、通信を長期化させてセッションを不正に占有し続けるSlow READ DoSと呼ばれる新たな攻撃が問題となっている(非特許文献1参照)。
倉上弘、"DoS/DDoS攻撃対策(2)〜高度化するDDoS攻撃と対策 サイトの視点から〜"、情報処理Vol.54 No.5 pp475-480、情報処理学会、2013
特許文献1の技術では、攻撃者が通信を途中で放棄してしまうような通信の異常終了を伴う攻撃を検出することは可能であるが、正常な通信の手続きを進めながら実行される攻撃の検出は不可能であるという問題がある。例えば、Slow READ DoSは、通信を終了させないことで攻撃として成立するため、特許文献1などの従来の技術では攻撃を検出することができない。
また、特許文献2のようなフロー統計情報を用いた検出手法では、フロー統計情報を作成するためのサンプリングで通信パケットの取得漏れが発生し、悪意のある攻撃者の通信パケットを取得できないという問題がある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、正常な通信の手続きを進めながら実行される攻撃を検出可能な攻撃検出装置、攻撃検出方法、および攻撃検出プログラムを提供することにある。
上記課題を解決するために、本発明は、攻撃検出装置であって、クライアントからサーバへ送信されるパケットを収集する収集手段と、前記パケットからヘッダ情報を取得するヘッダ情報取得手段と、前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段と、を備え、前記攻撃検出手段は、セッション毎に、収集された任意のパケットのウィンドウサイズと他のパケットのウィンドウサイズとを比較し、比較結果が所定の第1の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
上記攻撃検出装置において、前記他のパケットは、前記任意のパケットの以降に送信されるパケットであってもよい。
上記攻撃検出装置において、前記攻撃検出手段は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の第2の条件を満たす場合、当該セッションを攻撃セッションとして検出することとしてもよい。
上記攻撃検出装置において、前記ウィンドウサイズの複数の統計情報は、平均ウィンドウサイズと、最大ウィンドウサイズであってもよい。
上記攻撃検出装置において、前記攻撃検出手段は、セッション毎に、前記ヘッダ情報を用いて算出されるセッション確立時間が、所定の第1の閾値より大きい場合、当該セッションを攻撃セッションとして検出することとしてもよい。
上記攻撃検出装置において、前記攻撃検出手段は、セッション毎に、前記ヘッダ情報を用いてスループットを算出し、当該スループットが所定の第2の閾値より小さい場合、当該セッションを攻撃セッションとして検出することとしてもよい。
上記攻撃検出装置において、前記攻撃検出手段は、前記攻撃セッションを検出すると、当該攻撃セッションを特定する情報を含む攻撃検知情報を管理者端末に送信することとしてもよい。
上記攻撃検出装置において、前記攻撃検出手段は、前記攻撃セッションを検出すると、前記サーバおよび前記クライアントにリセットパケットを送信し、当該攻撃セッションを切断することとしてもよい。
本発明は、コンピュータが行う攻撃検出方法であって、クライアントからサーバへ送信されるパケットを収集する収集ステップと、前記パケットからヘッダ情報を取得するヘッダ情報取得ステップと、前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出ステップと、を行い、前記攻撃検出ステップは、セッション毎に、収集された任意のパケットのウィンドウサイズと他のパケットのウィンドウサイズとを比較し、比較結果が所定の第1の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
本発明は、コンピュータが行う攻撃検出プログラムであって、前記コンピュータを、クライアントからサーバへ送信されるパケットを収集する収集手段、前記パケットからヘッダ情報を取得するヘッダ情報取得手段、および、前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段として機能させ、前記攻撃検出手段は、セッション毎に、収集された任意のパケットのウィンドウサイズと他のパケットのウィンドウサイズとを比較し、比較結果が所定の第1の条件を満たす場合、当該セッションを攻撃セッションとして検出する。
本発明により、正常な通信の手続きを進めながら実行される攻撃を検出可能な攻撃検出装置、攻撃検出方法、および攻撃検出プログラムを提供することができる。
以下、本発明の実施の形態について説明する。
<第1の実施形態>
図1は、本発明の一実施形態である攻撃検出システムを示す全体構成図である。攻撃検出システムは、サービス提供サーバ4と、サービス利用者が使用する利用者端末5(クライアント)との間に設置され、サービス提供サーバ4と利用者端末5との通信を監視し、不正な利用者による攻撃を検出する。サービス提供サーバ4は、インターネットなどのネットワークを介して、利用者端末5に各種のサービスを提供する。
図1は、本発明の一実施形態である攻撃検出システムを示す全体構成図である。攻撃検出システムは、サービス提供サーバ4と、サービス利用者が使用する利用者端末5(クライアント)との間に設置され、サービス提供サーバ4と利用者端末5との通信を監視し、不正な利用者による攻撃を検出する。サービス提供サーバ4は、インターネットなどのネットワークを介して、利用者端末5に各種のサービスを提供する。
図示する攻撃検出システムは、攻撃検出装置1と、トラフィック複製装置2とを備える。トラフィック複製装置2は、サービス提供サーバ4と、利用者端末5との間に設置され、利用者端末5からサービス提供サーバ4に送信されるパケット(トラフィック)をサービス提供サーバ4に転送するとともに、当該パケットを複製して攻撃検出装置1に出力する。
攻撃検出装置1は、トラフィック複製装置2から送信されたパケットを用いて、不正な利用者による攻撃を検出する。また、攻撃検出装置1は、攻撃を検出すると、管理ネットワークを介して管理者端末3に攻撃検知情報を通知する。
図2は、本実施形態の攻撃検出装置1の構成を示す機能ブロック図である。図示する攻撃検出装置1は、パケット収集部11と、ヘッダ情報取得部12と、集計部13と、攻撃検出部14と、セッション管理テーブル15と、セッションログファイル16とを備える。
パケット収集部11は、トラフィック複製装置2から出力される、利用者端末5からサービス提供サーバ4へ送信されるパケットを収集する。ヘッダ情報取得部12は、パケット収集部11が収集した各パケットからヘッダ情報を取得する。集計部13は、取得したヘッダ情報を用いて、各パケットをセッション毎に分類し、集計する。
攻撃検出部14は、セッション毎に集計されたヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する。本実施形態では、攻撃検知部14は、セッション毎に、収集された任意のパケットのウィンドウサイズと他のパケットのウィンドウサイズとを比較し、比較結果が所定の第1の条件を満たす場合、当該セッションを攻撃セッションとして検出する。また、攻撃検出部14は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の第2の条件を満たす場合、当該セッションを攻撃セッションとして検出する。また、攻撃検出部14は、攻撃セッションを検出すると、当該攻撃セッションを特定する情報を含む攻撃検知情報を管理者端末3に送信する。
セッション管理テーブル15は、集計部13により集計された、セッション毎のセッション情報(ヘッダ集計情報)が記憶される。セッションログファイル16には、セッションの終了時に当該セッションのセッション情報がログとして出力される。
図3は、パケットのヘッダ情報の一例を示す図である。本実施形態のサービス提供サーバ4と利用者端末5との間の通信は、TCPパケットを用いて行われるものとする。ヘッダ情報には、送信元IPアドレス、送信元ポート番号、受信IPアドレス、受信ポート番号、タイムスタンプ、TCPフラグ、ウィンドウサイズ、パケットサイズなどがある。
セッションは、送信元IPアドレス、送信元ポート番号、受信IPアドレスおよび受信ポート番号の4つで特定(識別)することができる。ウィンドウサイズは、通信相手に告知する自身の受信バッファのサイズである。ここでは、ウィンドウサイズには、利用者端末5が、通信相手であるサービス提供サーバ4に告知する利用者端末5自身の受信バッファのサイズが設定される。
上記説明した攻撃検出装置1は、例えば、CPUと、メモリと、ハードディスク等の外部記憶装置などを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた攻撃検出装置1用のプログラムを実行することにより、攻撃検出装置1の各機能が実現される。また、攻撃検出装置1用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
次に、本実施形態の処理について説明する。
図4は、本実施形態の攻撃検出装置1の攻撃検出処理のフローチャートである。
攻撃検出装置1のパケット収集部11は、利用者端末5からサービス提供サーバ4へ送信されるパケットをトラフィック複製装置2から受信し、収集する(S11)。そして、ヘッダ情報取得部12は、S11で収集したパケットからヘッダ情報を取得し、ヘッダ情報に含まれる送信元IPアドレス、送信元ポート番号、受信IPアドレス、および受信ポート番号を用いて当該パケットのセッションを特定する(S12)。
そして、集計部13は、セッション管理テーブル15に、当該パケットのセッションが存在するか否かを判別する(S13)。セッション管理テーブル15に当該パケットのセッションが存在しない場合であって(S13:NO)、ヘッダ情報のTCPフラグが「SYN」(セッション開設要求)のSYNパケットの場合(S14:YES)、集計部13は、セッション管理テーブル15に、S11で受信したパケットのセッションを登録する(S15)。そして、S11に戻り、次に受信するパケットの処理を行う。
図5は、セッション管理テーブル15の一例を示す図である。セッション管理テーブル15には、セッション毎に、不正ユーザの攻撃セッションを検出するためのセッション情報(ヘッダ集計情報)が設定される。セッション管理テーブル15には、セッションを特定するためのセッション特定情報と、セッション情報とが対応付けて記憶される。
図示するセッション情報には、SYNパケットが到着した時刻を示すタイムスタンプ、最終パケットが到着した時刻を示すタイムスタンプ、任意のパケットのウィンドウサイズ、ウィンドウサイズの最大値、ウィンドウサイズの最小値、ウィンドウサイズの平均値、パケットのウィンドウサイズの2乗和、到達パケット数の合計、パケットサイズの合計、怪しさスコア、アラート通知有無などが含まれる。なお、任意のパケットのウィンドウサイズは、例えば、SYNパケット、ACKパケットなどのウィンドウサイズである。
S15のセッションの登録時、集計部15は、当該パケットのヘッダ情報を用いて、セッション特定情報と、SYNパケットのタイムスタンプ、任意のパケットがSYNパケットの場合はSYNパケットのウィンドウサイズなどを設定したレコードをセッション管理テーブル15に登録する。
ヘッダ情報のTCPフラグが「SYN」以外の場合(S14:NO)、集計部13は、セッション管理テーブル15に当該セッションが存在しないにもかかわらず、セッション開設時に最初に送信される「SYN」パケットでないため、不正常なパケットであるとみなし、S11で受信したパケットのヘッダ情報を破棄する(S16)。そして、S11に戻り、次に受信するパケットの処理を行う。
一方、S11で受信したパケットのセッションがセッション管理テーブル15に既に存在する場合(S13:YES)、集計部13は、当該セッションのヘッダ情報を集計し、セッション管理テーブル15のセッション情報を更新する(S17)。すなわち、集計部13は、S11で受信したパケットのヘッダ情報を用いて、ウィンドウサイズの最大値、最小値、平均値、2乗和などのセッション情報を算出し、更新する。
そして、攻撃検出部14は、セッション管理テーブル15の当該セッションの更新後のセッション情報を用いて、怪しさスコアを算出する(S18)。
本実施形態では、ヘッダ情報のウィンドウサイズを用いて怪しさスコアを算出することとする。自身のウィンドウサイズを極めて小さくすることで通信相手が一度に送信できる情報量を制限し、通信を長期化させてセッションを不正に占有し続けるSlow READ DoS攻撃は、通信中にウィンドウサイズが小さくなるという特徴がある。ウィンドウサイズを小さく設定すること自体は、TCPの正常動作であるため、攻撃であるのか、正常動作であるのかの判別が難しい。そこで、本実施形態では、ウィンドウサイズの変遷(挙動)に着目することで、Slow READ DoS攻撃をより高い精度で検出する。
ここでは、以下の2つの方法の少なくとも1つを用いるものとする。
(1)セッション管理テーブル15に設定された任意のパケットのウィンドウサイズと、受信したパケットのウィンドウサイズとを比較する。そして、比較結果が所定の条件を満たす場合に、当該セッションは攻撃セッションであると判定し、怪しさスコアに所定の値を設定する。例えば、任意のパケットがSYNパケットの場合、SYNパケットのウィンドウサイズが以降のパケットのウィンドウサイズより極端に大きい場合、すなわち、以降のパケットのウィンドウサイズがSYNパケットのウィンドウサイズと比較して極端に小さい場合(例えば、以下の式を満たす場合)、当該セッションは攻撃セッションであると判定する。
SYNパケットのウィンドウサイズ−以降のパケットのウィンドウサイズ>所定の閾値
(2)ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合に、当該セッションは攻撃セッションであると判定し、怪しさスコアに所定の値を設定する。なお、ウィンドウサイズの統計情報は、セッション管理テーブル15に設定されたウィンドウサイズの統計情報であっても、あるいはセッション管理テーブル15に設定されたウィンドウサイズの統計情報を用いて算出される統計情報であってもよい。また、統計情報の比較は、統計情報同士の比較であっても、所定の閾値との比較であってもよい。
(2)ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合に、当該セッションは攻撃セッションであると判定し、怪しさスコアに所定の値を設定する。なお、ウィンドウサイズの統計情報は、セッション管理テーブル15に設定されたウィンドウサイズの統計情報であっても、あるいはセッション管理テーブル15に設定されたウィンドウサイズの統計情報を用いて算出される統計情報であってもよい。また、統計情報の比較は、統計情報同士の比較であっても、所定の閾値との比較であってもよい。
例えば、セッション管理テーブル15に設定されたウィンドウサイズの最大値と、ウィンドウサイズの平均値とを比較し、比較結果が所定の条件を満たす場合に、当該セッションは攻撃セッションであると判定し、怪しさスコアに所定の値を設定する。具体的には、ウィンドウサイズの最大値に対するウィンドウサイズの平均値の割合が所定の閾値より小さい場合(例えば、以下の式を満たす場合)、当該セッションは攻撃セッションであると判定する。
ウィンドウサイズの平均値/ウィンドウサイズの最大値<閾値(例えば、0.3など)
なお、(2)の場合、ウィンドウサイズの平均値を用いるため、セッション開始直後では、上記条件を満たす状況になりにくく、セッション開始からある程度の数のパケットを収集する時間が必要である。一方、(1)の場合、最初のSYNパケットのウィンドウサイズと、それ以降に受信したパケットのウィンドウサイズとを、逐次比較するため、セッション開始直後であっても、攻撃セッションか否かの判定が可能である。
なお、(2)の場合、ウィンドウサイズの平均値を用いるため、セッション開始直後では、上記条件を満たす状況になりにくく、セッション開始からある程度の数のパケットを収集する時間が必要である。一方、(1)の場合、最初のSYNパケットのウィンドウサイズと、それ以降に受信したパケットのウィンドウサイズとを、逐次比較するため、セッション開始直後であっても、攻撃セッションか否かの判定が可能である。
怪しさスコアの算出に(1)の方法のみを用いる場合であって、条件を満たす場合は、攻撃検出部14は、セッション管理テーブル15の怪しさスコアに所定の第1のスコア値を設定する。また、怪しさスコアの算出に(2)の方法のみを用いる場合であって条件を満たす場合は、攻撃検出部14は、セッション管理テーブル15の怪しさスコアに所定の第2のスコア値を設定する。また、怪しさスコアの算出に(1)および(2)の方法を用いる場合であって、(1)および(2)の条件を満たす場合は、攻撃検出部14は、第1のスコア値と第2のスコア値とを合計したスコア値を、セッション管理テーブル15の怪しさスコアに設定する。なお、第1のスコア値と第2のスコア値とは、同じ値であっても、異なる値であってもよい。
そして、攻撃検出部14は、S18で算出した怪しさスコアが所定の検出用閾値を越えるか否かを判別し(S19)、検出用閾値を超える場合は(S19:YES)、当該セッションは攻撃セションであると判定する。なお、検出用閾値は、怪しさスコアの算出に(1)の方法のみを用いる場合、(2)の方法のみを用いる場合、(1)および(2)の方法を用いる場合に応じて、それぞれ適切な値を設定する。
そして、攻撃セションであると判定した場合(S19:YES)、攻撃検出部14は、検知情報(アラート)を管理ネットワークを介して管理者端末3に送信し、セッション管理テーブル15のアラート通知を「有」に更新する(S21)。
そして、集計部13は、セッション管理テーブル15から攻撃セッションであると判定されたセッションのレコードを、ログ情報としてセッションログファイル16に出力(記憶)し、当該セッションのレコードをセッション管理テーブル15から削除する(S22)。そして、S11に戻り、次に受信するパケットの処理を行う。これ以降、攻撃セッションであると判定されたセッションのパケットがS11で受信されると、セッション管理テーブル15には当該セッションが存在せず(S13:NO)、SYNパケットでないため(S14:NO)、当該パケットのヘッダ情報は破棄される(S16)。
図6は、セッションログ16の出力されるセッションログ情報の一例を示す図である。
また、検出用閾値を超えない場合であって(S19:NO)、S11で受信したパケットがセッションの終了またはリセットを示すパケット(FINパケットまたはRSTパケット)の場合(S20:YES)、集計部13は、当該セッションは終了であるとみなし、当該セッションのレコードをログ情報としてセッションログファイル16に出力し、当該セッションのレコードをセッション管理テーブル15から削除する(S22)。そして、S11に戻り、次に受信するパケットの処理を行う。FINパケットは、TCPフラグがFINで、セッションの終了を示すパケットであり、RSTパケットは、TCPフラグがRSTで、セッションのリセット(クローズ)を示すパケットである。
なお、以上説明した図4のS18では、ウィンドウサイズを用いて怪しさスコアを算出したが、セッション管理テーブル15の他の情報も用いて怪しさスコアを算出することとしてもよい。
例えば、攻撃検出部14は、セッション管理テーブル15の最終パケット(S11で受信したパケット)のタイムスタンプと、SYNパケットのタイムスタンプとの差であるセッション確立時間を算出し、当該セッション確立時間が、所定の閾値(例えば、30秒)より大きい場合、当該セッションを攻撃セッションであると判別し、所定のスコア値を怪しさスコアに加算することとしてもよい。
また、攻撃検出部14は、前述のセッション確立時間と、セッション管理テーブル15に設定されたパケットサイズの合計値とを用いてスループットを算出し、当該スループットが所定の閾値(例えば、300bps)より小さい場合、当該セッションを攻撃セッションと判別し、所定のスコア値を怪しさスコアに加算することとしてもよい。
次に、攻撃検出装置1が攻撃セッションを検出した後(図4、S19:YES)の攻撃防御処理について説明する。
図7は、攻撃防御処理を説明するための説明図である。攻撃検出装置1の攻撃検出部14は、攻撃を検知したことを示す検知情報を、例えばメール、SNMP TRAPなどを用いて管理者端末3に送信する(S21)。検知情報には、攻撃セッションであると判別したセッションのセッション特定情報(送信元IPアドレス、送信元ポート番号、受信IPアドレス、および受信ポート番号)が含まれている。
管理者端末3は、検知情報を受信し、ネットワークオペレータなどの管理者に提示する。管理者は、検知情報に設定された攻撃セッションを切断するようにファイアウォール(FW)6を設定する設定指示を管理者端末3に入力する。管理者端末3は、入力された設定指示にしたがってファイアウォール6を設定する(S22)。これにより、ファイアウォール6は、攻撃検出装置1が検知した攻撃者の利用者端末5からCEルータ7(Customer Edge router)を介してサービス提供サーバ4に送信されるパケットを破棄し、攻撃セッションの通信を遮断する。
なお、図7では、管理者の指示を受け付けて管理者端末3がファイアウォール6の設定を行うこととしたが、攻撃検出装置1の攻撃検出部14が、検知情報を管理者端末3に送信するタイミングで、攻撃セッションを切断するようにファイアウォール6を設定することとしてもよい。
<第2の実施形態>
図8は、本発明の第2の実施形態である攻撃検出装置1Aを示す全体構成図である。第2の実施形態では、トラフィック複製装置2を備えることなく、攻撃検出装置1Aは、サービス提供サーバ4と利用者端末5との間に設置される。
図8は、本発明の第2の実施形態である攻撃検出装置1Aを示す全体構成図である。第2の実施形態では、トラフィック複製装置2を備えることなく、攻撃検出装置1Aは、サービス提供サーバ4と利用者端末5との間に設置される。
図9は、第2の実施形態の攻撃検出装置1Aの構成を示す機能ブロック図である。図示する攻撃検出装置1Aは、パケット転送部10と、パケット収集部11と、パケットヘッダン取得部12と、パケット情報集計部13と、攻撃検出部14と、セッション管理テーブル15と、セッションログファイル16とを備える。攻撃検出装置1Aは、パケット転送部10を備える点において、第1の実施形態の攻撃検出装置1と異なる。パケット転送部10は、利用者端末5からサービス提供サーバ4に送信されるパケットをサービス提供サーバ4に転送するとともに、前記パケットを複製してパケット収集部11に送出する。
なお、攻撃検出装置1Aのパケット収集部11と、パケットヘッダン取得部12と、パケット情報集計部13と、攻撃検出部14と、セッション管理テーブル15と、セッションログファイル16については、第1の実施形態の攻撃検出装置1と同様であるため、ここでは説明を省略する。また、攻撃検出装置1Aの攻撃検出処理についても、第1の実施形態の攻撃検出処理(図4)と同様であるため、ここでは説明を省略する。
図10は、第2の実施形態の攻撃防御処理を説明するための説明図である。攻撃検出装置1Aの攻撃検出部14は、攻撃セッションを検知すると、当該攻撃セッションの送信元である利用者端末5(攻撃者)にTCPフラグがRSTのRSTパケットを送信するとともに(S31)、当該攻撃セッションの受信先であるサービス提供サーバ4にRSTパケットを送信し(S32)、当該攻撃セッションをリセット(クローズ)する。また、攻撃検出部14は、管理者端末3に、攻撃を検知したことを示す検知情報を送信する(S33)。
なお、RSTパケットを送信して攻撃セッションを一旦リセットすることで、グローバルIPアドレスが定期的に変更され、過去に攻撃セッションと判別されたセッションが再構築された場合であっても、正常な通信であれば攻撃セッションとはみなされず、セッションは遮断されない。
以上説明した第1および第2の実施形態では、サービス提供サーバ4がサービスを提供するために、サービス提供サーバ4とサービス利用者の利用者端末5との間で張られたセッション毎に、利用者端末5側からサービス提供サーバ4に送信するパケットに含まれるヘッダ情報の挙動から不正な利用者(攻撃者)のセッションを検出する。
これにより、本実施形態では、不特定多数の利用する公開されたサービスにおいて、他の利用者へのサービス提供を妨害するような不正な利用者による攻撃を防御することができる。
また、本実施形態では、ヘッダ情報のウィンドウサイズを用いて、攻撃セッションを検出する。これにより、本実施形態では、自身のウィンドウサイズを極めて小さくすることで通信相手が一度に送信できる情報量を制限し、通信を長期化させてセッションを不正に占有し続けるSlow READ DoS攻撃などの正常な通信の手続きを進めながら実行される攻撃を検出することができる。
すなわち、通信相手に告知する自身のウィンドウサイズを小さくすることは、通信の輻輳制御のための正常な挙動である。そのため、単純に個々のパラメータの値に閾値を設けるだけでは、本来の目的で正常に機能しているパケットを攻撃であると誤検出してしまうおそれがある。そこで、本実施形態では、ウィンドウサイズの変遷(挙動)に着目することで、Slow READ DoS攻撃などの正常な通信の手続きを進めながら実行される攻撃をより高い精度で検出することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、第1の実施形態では、攻撃防御処理としてファイアフォール7を設定し(図7)、第2の実施形態では、攻撃防御方法としてRSTパケットを送信することとしたが(図10)、第1の実施形態でRSTパケットを送信し、第2の実施形態でファイアウォールを設定してもよい。また、第1および第2の実施形態で、ファイアフォール7を設定およびRSTパケットの送信の2つの攻撃防御方法を行うこととしてもよい。
1、1A:攻撃検出装置1
10:パケット転送部
11:パケット収集部
12:ヘッダ情報取得部
13:集計部
14:攻撃検出部
15:セッション管理テーブル
16:セッションログファイル
2 :トラフィック複製装置
3 :管理者端末
4 :サービス提供サーバ
5 :端末
6 :ファイアウォール
7 :CEルータ
10:パケット転送部
11:パケット収集部
12:ヘッダ情報取得部
13:集計部
14:攻撃検出部
15:セッション管理テーブル
16:セッションログファイル
2 :トラフィック複製装置
3 :管理者端末
4 :サービス提供サーバ
5 :端末
6 :ファイアウォール
7 :CEルータ
Claims (4)
- 攻撃検出装置であって、
クライアントからサーバへ送信されるパケットを収集する収集手段と、
前記パケットからヘッダ情報を取得するヘッダ情報取得手段と、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段と、を備え、
前記攻撃検出手段は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出装置。 - 請求項1記載の攻撃検出装置であって、
前記ウィンドウサイズの複数の統計情報は、平均ウィンドウサイズ、最大ウィンドウサイズ、最小ウィンウドサイズ、パケットのウィンウドサイズの2乗和、および、パケットサイズの合計の少なくとも2つの任意の組み合わせであること
を特徴とする攻撃検出装置。 - コンピュータが行う攻撃検出方法であって、
クライアントからサーバへ送信されるパケットを収集する収集ステップと、
前記パケットからヘッダ情報を取得するヘッダ情報取得ステップと、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出ステップと、を行い、
前記攻撃検出ステップは、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出方法。 - コンピュータが行う攻撃検出プログラムであって、
前記コンピュータを、
クライアントからサーバへ送信されるパケットを収集する収集手段、
前記パケットからヘッダ情報を取得するヘッダ情報取得手段、および、
前記ヘッダ情報を用いて各セッションが攻撃セッションであるか否かを判別する攻撃検出手段として機能させ、
前記攻撃検出手段は、セッション毎に、ウィンドウサイズの複数の統計情報を比較し、比較結果が所定の条件を満たす場合、当該セッションを攻撃セッションとして検出すること
を特徴とする攻撃検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016111644A JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016111644A JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014138659A Division JP5947838B2 (ja) | 2014-07-04 | 2014-07-04 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016154396A true JP2016154396A (ja) | 2016-08-25 |
| JP6228262B2 JP6228262B2 (ja) | 2017-11-08 |
Family
ID=56760590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016111644A Active JP6228262B2 (ja) | 2016-06-03 | 2016-06-03 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6228262B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006148686A (ja) * | 2004-11-22 | 2006-06-08 | Oki Electric Ind Co Ltd | 通信監視システム |
| JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
| JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
| JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
-
2016
- 2016-06-03 JP JP2016111644A patent/JP6228262B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006148686A (ja) * | 2004-11-22 | 2006-06-08 | Oki Electric Ind Co Ltd | 通信監視システム |
| JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
| JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
| JP2009088936A (ja) * | 2007-09-28 | 2009-04-23 | Oki Electric Ind Co Ltd | ネットワーク監視装置及びネットワーク監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6228262B2 (ja) | 2017-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| US7266754B2 (en) | Detecting network denial of service attacks | |
| Strayer et al. | Botnet detection based on network behavior | |
| EP2289221B1 (en) | Network intrusion protection | |
| KR102039842B1 (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| WO2019201458A1 (en) | Methods, nodes and operator network for enabling management of an attack towards an application | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| CN110198290A (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| JP4535275B2 (ja) | 帯域制御装置 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| JP4216223B2 (ja) | ネットワーク攻撃検知装置および方法ならびにプログラム | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム | |
| JP3949610B2 (ja) | 攻撃パケット対策システム及び攻撃パケット対策方法 | |
| JP2006352864A (ja) | フィルタを最適化するための機器 | |
| US20230164176A1 (en) | Algorithmically detecting malicious packets in ddos attacks | |
| JP6740189B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
| JP2007166154A (ja) | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム | |
| JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
| Bala et al. | Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET | |
| Duffield et al. | Stress Testing Traffic to Infer Its Legitimacy. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160603 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160624 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170307 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170424 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170926 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171012 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6228262 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |