JP2018037961A - フロー解析装置、トラフィック解析システム、及びフロー解析方法 - Google Patents
フロー解析装置、トラフィック解析システム、及びフロー解析方法 Download PDFInfo
- Publication number
- JP2018037961A JP2018037961A JP2016171301A JP2016171301A JP2018037961A JP 2018037961 A JP2018037961 A JP 2018037961A JP 2016171301 A JP2016171301 A JP 2016171301A JP 2016171301 A JP2016171301 A JP 2016171301A JP 2018037961 A JP2018037961 A JP 2018037961A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- packet
- botnet
- analysis
- endpoint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 64
- 238000005206 flow analysis Methods 0.000 title claims abstract description 29
- 238000000034 method Methods 0.000 title claims description 22
- 238000012546 transfer Methods 0.000 claims abstract description 88
- 238000004891 communication Methods 0.000 claims abstract description 66
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 239000000284 extract Substances 0.000 claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 238000013461 design Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005070 sampling Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】大規模なネットワークを対象とした場合であっても、そのネットワークを介して通信するボットネットを早期に検出する。
【解決手段】フロー解析装置において、サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、を備える。
【選択図】図1
【解決手段】フロー解析装置において、サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、を備える。
【選択図】図1
Description
本発明は、ネットワーク上で活動するボットネットを検出する技術に関するものであり、特にネットワーク事業者が、ネットワークを流れるパケットやフローに関する情報を用いて効率的にボットネットを検出するための技術に関するものである。
ボット(有害プログラム)に感染した多数のコンピュータからなるネットワークであるボットネットに関する検知技術の例として、非特許文献1に開示された技術及び特許文献1に開示された技術がある。非特許文献1に開示された技術は、通信内容等を解析することによりボットネットに関わる通信を特定する技術である。特許文献1に開示された技術は、NetFlowなど転送機器が出力する通信の統計情報を用いてDDoS攻撃の発生を検知する技術である。
いずれの技術においても、フローと呼ばれる通信元のIPアドレス及びポート、通信先のIPアドレス及びポート、プロトコル番号によって特定される一連の通信について、その通信量や通信時間などの特性を用いて解析を行っている。
まず、ボットネットに関わる通信を特定する非特許文献1に開示された技術では、解析対象とするネットワークの全通信パケットを用いて、フローの特徴量として時間あたりの通信量(pps/bpsなど)や通信時間などを抽出・解析する。解析においては、正常通信とボットネットに関する通信のそれぞれについて、特徴量の分布を機械的に学習し、正常通信とボットネットに関する通信とを区別する特徴量に関する条件を決定し、それを用いてボットネットに関わる通信を特定可能としている。
次に、DDoS攻撃の発生を検知する特許文献1に開示された技術では、NetFlowなど、フローに関する統計情報であるフロー情報を用いて、通信先毎に通信量を推定するとともに、推定された通信量が大きく増大したことをもってDDoS攻撃の発生を検知している。なお、解析に用いるNetFlow等では、全パケットに関する統計情報は通常出力されず、サンプリングと呼ばれる、1000あるいは10000に1のパケットだけを用いて統計情報を出力する手法が通常用いられる。このサンプリングにより、大規模なネットワークにも対応可能な技術となっている。
Gu, Guofei, et al. "BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection." USENIX Security Symposium. Vol. 5. No. 2. 2008.
非特許文献1に開示された技術により、ボットネットを高精度で検知可能であるが、当該技術はネットワークを流れる全通信パケットの抽出・解析が前提となっている。この前提は、小規模のネットワークにおいては成り立つが、キャリアネットワークのような大規模なネットワークにおいては、通信量が莫大であり、通信に影響を与えることなく全てを抽出・解析することが困難である。一方でボットネットを検出するにあたっては、一部のネットワークでだけ解析されるよりも、可能な限り広いネットワークを対象に解析することが望ましいため、解析効率の向上が課題となる。
これに対し、特許文献1に開示された技術においては、サンプリングを用いて出力されたNetFlowを用いてDDoS攻撃を検知できるため、大規模なネットワーク等へも適用可能となっている。しかし、検知の条件が大幅な通信量の増加となっているため、DDoS攻撃発生前にボットネット中のホスト状態を定期確認するなどの通信量が少ない状況では検知できず、攻撃発生後の事後対応しか行うことができない。このため、攻撃発生から対処までに時間を要すること、対処にあたって多くの機器の設定変更が必要で対処が大規模になることなどが課題となる。
本発明は上記の点に鑑みてなされたものであり、大規模なネットワークを対象とした場合であっても、そのネットワークを介して通信するボットネットを早期に検出することを可能とする技術を提供することを目的とする。
開示の技術によれば、サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、
前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、
を備えることを特徴とするフロー解析装置が提供される。
前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、
を備えることを特徴とするフロー解析装置が提供される。
開示の技術によれば、大規模なネットワークを対象とした場合であっても、そのネットワークを介して通信するボットネットを早期に検出することが可能となる。これにより、ボットネットによる攻撃が実際に発生するより前に対処することが可能となり、また大規模なネットワークを対象に検知ができるため、より多くのボットネットを検知することができる。
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
例えば、本実施の形態では、適用サービスの一例として、ネットワーク事業者が自らのネットワーク上で行われるボットネットの挙動を捉えその後の攻撃等を防ぐことで、自らのネットワークに加え当該ネットワークに接続された他ネットワークやユーザをボットネットによる攻撃から守る例を用いて各機能の動作を説明するが、本発明の適用サービスはこれに限られるものではない。
(トラフィック解析システムの全体構成)
図1は、本実施の形態におけるトラフィック解析システムを示す構成図である。図1に示すように、本実施の形態におけるトラフィック解析システムは、ネットワーク内でパケット転送を行う転送機器100と、転送機器100が出力するフロー情報を解析しボットネットとの関連が疑われるエンドポイントを抽出するフロー解析装置200と、転送機器100から転送された全パケットを用いてボットネットの解析等を行うパケット解析装置300と、複数の転送機器100の管理・制御を行う転送機器制御装置400とを備える。
図1は、本実施の形態におけるトラフィック解析システムを示す構成図である。図1に示すように、本実施の形態におけるトラフィック解析システムは、ネットワーク内でパケット転送を行う転送機器100と、転送機器100が出力するフロー情報を解析しボットネットとの関連が疑われるエンドポイントを抽出するフロー解析装置200と、転送機器100から転送された全パケットを用いてボットネットの解析等を行うパケット解析装置300と、複数の転送機器100の管理・制御を行う転送機器制御装置400とを備える。
なお、以下ではトラフィック解析システム全体を1のネットワーク事業者が運営する形で説明を行う。しかし、以降で説明するようなそれぞれの機器・装置間の通信が可能である限り、すべての運営者が一致している必要はないため、実施の形態はこれに限られるものではない。例えば、図2に示すように、フロー解析装置200とパケット解析装置300を、別の事業者がSaaS等の形で運営・提供しているような形態も考えられる。
本実施の形態に係る転送機器100、フロー解析装置200、パケット解析装置300、及び転送機器制御装置400はいずれも、例えば、1つ又は複数のコンピュータ(コンピュータの構成を有する通信装置を含む)に、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、各装置が有する機能は、当該コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。また、上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。なお、上記の「コンピュータ」は、物理マシンでもよいし、仮想マシンでもよい。
(トラフィック解析システムを構成する各装置の機能部の概要)
まず、各装置が備える機能部の概要について説明する。
まず、各装置が備える機能部の概要について説明する。
転送機器100は、ルータやスイッチなどネットワーク内でパケット転送を行う装置であり、パケット転送ルールに基づき受信パケットの転送を行うパケット転送部101と、パケット転送ルールの管理とパケット転送部101の制御を行う転送制御部102と、パケット転送部101によって転送されるパケットの全て又は一部を用いてフロー情報を生成するフロー生成部103とを備える。
フロー解析装置200は、フロー情報を解析しボットネットとの関連が疑われるエンドポイントを抽出する装置であり、1以上の転送機器100からフロー情報を収集するフロー収集部201と、フロー収集部201が受信したフロー情報を一定期間保管するフロー管理部202と、フロー解析にあたりボットネットとは明らかに無関係なフローを取り除くホワイトリスト部203と、通信先のエンドポイント(EP)毎にフロー情報を分析してフローの絞り込みを行うEP毎フローフィルタ204と、EPの通信特性を用いてボットネットの通信先と疑われる被疑EPを抽出する被疑EP抽出部205と、抽出された被疑EPを出力する被疑EP通知部206とを備える。
パケット解析装置300は、受信する全パケットを用いてボットネット分析を行う装置であり、1以上の転送機器100とパケットの送受信を行うパケット送受部301と、受信したパケットを解析してボットネットを抽出するボットネット抽出部302と、ボットネット抽出部302の解析結果をもとにフローの正常や異常を出力する分析結果通知部303と、抽出されたボットネットに関するパケットについて観察や対処を実施するボットネット観察・対処部304とを備える。
転送機器制御装置400は、1以上の転送機器100の管理・制御を行う装置であり、フロー解析装置200やパケット解析装置300から転送機器の制御に係るイベントを受信するイベント受信部401と、受け取ったイベントに基づいて対処内容を決定する対処設計部402と、対処設計部402が対処を設計する際に用いる転送機器100の接続情報等を管理する設備情報管理部403と、対処設計部402の決定内容に基づき転送機器100に制御指示を行う転送機器制御部404とを備える。
以上の各装置を用いてネットワーク事業者がトラフィック解析システムを導入する際には、ユーザサービス等に用いるサービスネットワークを転送機器100を用いて構築し、それとは別にフロー解析装置200とパケット解析装置300と転送機器制御装置400とを設置する。
それぞれの転送機器100は、サービスネットワークとは別の管理ネットワークでフロー解析装置200及び転送機器制御装置400と接続し、フロー情報や転送機器の制御情報を送受可能とする。またパケット解析装置300についても転送機器100との接続を持たせ、パケット解析装置300にて解析すべきパケットが転送装置100に届いた場合には、パケット解析装置に転送できるようにしておく。最後に、フロー解析装置200及びパケット解析装置300は、分析結果に基づいて必要な制御を転送機器100に行うために、それらを管理・制御する転送機器制御装置400と管理ネットワーク等を介して接続する。
各種装置が接続され、ユーザや他ネットワークとの接続を開始した後に、ボットネットの検知や検知結果に基づく対処が行われる。
(トラフィック解析システムの動作)
次に、図3に示すシーケンス図を参照して、上述した各種装置により実行されるボットネットの検知及び検知結果に基づく対処の処理内容を詳細に説明する。また、適宜、図4〜図6も参照して説明を行う。
次に、図3に示すシーケンス図を参照して、上述した各種装置により実行されるボットネットの検知及び検知結果に基づく対処の処理内容を詳細に説明する。また、適宜、図4〜図6も参照して説明を行う。
まず、転送機器100では、ユーザや他ネットワークとの接続が開始されると、パケット転送部101が、受信するパケットがボットネットに関係する/しないに係わらずパケットの転送を開始する。この際、パケット転送部101では、事前設定に基づき1000パケットあるいは10000パケットに1つの割合でランダムにパケットを抽出し、フロー生成部103に送る。フロー生成部103では、受信したパケットについてフロー毎の情報として通信量等を集計し、蓄積していく。フロー生成部103では、蓄積したフロー情報が一定量を超えた等の契機で、そのフロー情報をフロー収集部201に送信する(ステップS101)。
次に、フロー解析装置200では、フロー収集部201が転送機器100からのフロー情報を受信すると、それらをフロー管理部202に保管する。フロー管理部202では受信したフロー情報について30分など事前に定められた一定期間保管するとともに、新たなフロー情報を受信したことをホワイトリスト部203に通知する。通知を受けたホワイトリスト部203では、事前に設定された正常なエンドポイントのリストであるホワイトリストに基づき、送信元又は送信先のIPアドレスがホワイトリストに含まれるフローについて、ボットネットとは無関係としてフロー管理部202から削除するとともに、ホワイトリストに基づく処理が完了したことをEP毎フローフィルタ204に通知する(ステップS102)。
通知を受けたEP毎フローフィルタ204では、フロー情報を送信先IPアドレス及びポートが同じもの毎(つまり、送信先エンドポイント毎)に集約し(ステップS103)、集約されたフロー群毎に分析し、ボットネットに無関係と推定されるフロー群に関してフロー情報を削除する(ステップS104)。
最後に、被疑EP抽出部205では、EP毎フローフィルタ204を通過したフロー情報をもとに、各EPへの通信傾向からボットネットに関わっている可能性のある被疑EPリストを抽出し、被疑EP通知部206に送る(ステップS105)。
被疑EP通知部206では、受信した被疑EPリストをもとにパケットを用いた更なる解析ができるよう、転送機器制御装置400に被疑EPリストを通知する(ステップS106)。なお、転送機器制御装置400が無いようなネットワークにおいては、転送機器100との接続方法やその制御方法等を被疑EP通知部206等に事前に設定しておき、直接被疑EP通知部206から転送機器100を制御してもよい。
後続処理の説明の前に、前記EP毎フローフィルタ204及び被疑EP抽出部205における処理について、より詳細に説明する。説明にあたっては、攻撃前のボットネットの通信が図4のようである例を考える。この例では、ボットネットは多数のボットと、それらに指示を与えるC&C(Command and Control)サーバで構成されている。また、図4に示すとおり、各ボットは自らの存在をC&Cサーバに伝えること、及びC&Cサーバから指示を受け取ることを目的に、定期的にC&Cサーバへ低量の通信を実施する。
<EP毎フローフィルタ204における分析について>
まず、EP毎フローフィルタ204における分析について図5を参照して説明する。攻撃前には低量で持続的な通信を行うボットネットを検出する例では、パケットサイズ(bpp)、時間あたりの通信量(bps)、あるいはパケット量(pps)の小さなフローのグループに関するフロー情報を取り出す。この際、事前に閾値を定めてパケットサイズ等の小さいものを抽出してもよいし、機械学習によってクラスタリングし、その中でパケットサイズ等の小さなグループを取り出してもよい。
まず、EP毎フローフィルタ204における分析について図5を参照して説明する。攻撃前には低量で持続的な通信を行うボットネットを検出する例では、パケットサイズ(bpp)、時間あたりの通信量(bps)、あるいはパケット量(pps)の小さなフローのグループに関するフロー情報を取り出す。この際、事前に閾値を定めてパケットサイズ等の小さいものを抽出してもよいし、機械学習によってクラスタリングし、その中でパケットサイズ等の小さなグループを取り出してもよい。
図5に示す例では、フロー毎に、パケットサイズの平均値及び時間あたりのパケット量からなる特徴量の空間へマッピングし(ステップS1)、クラスタリングを行って、ボットネットの通信モデルに沿ったフロー群を抽出する(ステップS2)。
<被疑EP抽出部205における分析について>
次に、被疑EP抽出部205における分析について図6を参照して説明する。多数のボットネットがC&Cサーバにアクセスし指示を取得するようなものの例では、各EPは定期的にC&Cサーバと通信するとともに、各通信の量は少ないという特性を利用する。そのため、EP毎に通信してきた通信元の種類が多く、またそれらからの通信の合計として、概ね一定量程度の通信量が長時間継続していることをもって被疑EPを抽出する。例えば、ある分析対象のフロー群について、送信先EPと送信元との間の通信量の合計を単位時間毎に算出し、当該通信量の合計の時間経過による変動量が所定の閾値以下である状態が、予め定めた時間長以上継続している場合に、当該フロー群について「一定量程度の通信量が長時間継続している」と判断する。上記の変動量は、例えば、(「単位時間の通信量の合計」−「上記予め定めた時間長における単位時間の通信量の合計の平均値」)の絶対値として算出できる。
次に、被疑EP抽出部205における分析について図6を参照して説明する。多数のボットネットがC&Cサーバにアクセスし指示を取得するようなものの例では、各EPは定期的にC&Cサーバと通信するとともに、各通信の量は少ないという特性を利用する。そのため、EP毎に通信してきた通信元の種類が多く、またそれらからの通信の合計として、概ね一定量程度の通信量が長時間継続していることをもって被疑EPを抽出する。例えば、ある分析対象のフロー群について、送信先EPと送信元との間の通信量の合計を単位時間毎に算出し、当該通信量の合計の時間経過による変動量が所定の閾値以下である状態が、予め定めた時間長以上継続している場合に、当該フロー群について「一定量程度の通信量が長時間継続している」と判断する。上記の変動量は、例えば、(「単位時間の通信量の合計」−「上記予め定めた時間長における単位時間の通信量の合計の平均値」)の絶対値として算出できる。
図6に示す例では、まず、通信元の種類の数がある閾値未満のものはC&Cサーバ(被疑EP)の候補から除外する(ステップS1)。そして、対象のフロー群における各フローを、どのボットからの通信かを区別せず、ひとつの時間軸上へマッピングし(ステップS2)、ある閾値以上に通信量が増加せず、通信が継続していればC&Cサーバの疑いがあると判別する(ステップS3)。例えば、ある分析対象のフロー群について、送信先EPと送信元との間の通信量の合計を単位時間毎に算出し、当該通信量の合計が閾値以下であり、かつ、当該通信量の合計が別の閾値以上である状態が、予め定めた時間長以上継続している場合に、「ある閾値以上に通信量が増加せず、通信が継続している」と判断することができる。
以下では再び、図3を参照してトラフィック解析システム全体の動作説明を行う。以下は、図3におけるステップS106以降の説明である。
転送機器制御装置400では、フロー解析装置200から送信されてくる被疑EPリストをイベント受信部401で受信し、それらの被疑EPへ向かう通信についてパケット解析を行うべきことを解釈し、対処設計部402に通知する。対処設計部402では、設備情報管理部403にて管理される転送機器100の接続構成等をもとに、被疑EPへ向かうパケットを取り出す場所や手順、例えば「全ての転送機器100において、被疑EP宛の全パケットをパケット解析装置300へ転送する」を決め、転送機器制御部404へ通知する。転送機器制御部404では、受信した制御場所・手順に基づき、該当する転送機器100を制御する(ステップS107)。
転送機器100では、転送機器制御装置400からの指示を転送制御部102が受信し、被疑EP宛のパケットについてはパケット解析装置300に転送するようにパケット転送部101に設定する。当該設定以降は、前記のフロー解析装置200での処理時には現れなかった送信元からのパケットについても、被疑EP宛のパケットは全てパケット解析装置300へ転送される(ステップS108)。
ボットネット検知の最後の段階として、パケット解析装置300では、パケット送受部301がパケットを受信し、ボットネット抽出部302に転送する。ボットネット抽出部302では、例えば非特許文献1の技術を用いてボットネットを抽出する(ステップS109)。具体的には、ボットネットのメンバとなってしまっているエンドポイントであるボットや、それらボットを制御するためのC&Cサーバを抽出する。抽出後はボットネットに対処すべく、分析結果通知部303がC&Cサーバの情報を転送機器制御装置400に送信する(ステップS110)。
ボットネット検知後は、ネットワーク事業者のポリシーに応じて転送機器100やパケット解析装置300にて対処することが可能となる。
例えばC&Cサーバへの通信を全て遮断し、当該C&Cサーバを介したボットネットの無力化を図る場合には、転送機器制御装置400から全ての転送機器100に対し、C&Cサーバ宛のパケットを破棄するようなブラックホールルーティングを設定すればよい(ステップS111、S112)。このような設定を行うことで、各ボットは攻撃者の指示を受けることができなくなるため、その後のDDoS攻撃を実施することもなくなり、自らのネットワークや接続された他ネットワーク等をDDoS攻撃から未然に保護することができる。
また、予備のC&Cサーバが用意されている場合に備えるため、当面ボットネットの挙動を観察するような対処例も想定される。この場合には、転送機器制御装置400が各転送機器100に前記ブラックホールルーティングを設定するとともに、パケット解析装置300に対しボットと特定されたEPの通信を観察するように指示を行う。この場合、各EPが通信遮断されたC&C以外に予備のC&CサーバのIPアドレスを把握していた場合などにおいては、各EPは元のC&Cサーバとの通信が遮断されたことをもって新たなC&Cサーバへの通信を試みることになるため、その観察によって予備のC&Cサーバも容易に検出することが可能となる。
(実施の形態のまとめ)
以上、説明したとおり、本実施の形態により、サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、を備えることを特徴とするフロー解析装置が提供される。
以上、説明したとおり、本実施の形態により、サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、を備えることを特徴とするフロー解析装置が提供される。
前記フロー解析装置は、前記パケット収集部により収集された前記フロー情報からホワイトリストに含まれるフローを削除するホワイトリスト部と、前記ホワイトリスト部によるフローの削除が行われたフロー情報を同じ送信先エンドポイント毎に集約し、集約された複数のフロー群から、ボットネットに無関係と推定されるフロー群を除いたフロー群を、前記分析の対象とする同じ送信先エンドポイントを持つフロー群として抽出するフローフィルタと、を更に備えることとしてもよい。
また、本実施の形態により、前記フロー解析装置と、前記転送機器と、パケット解析装置とを備えるトラフィック解析システムであって、前記パケット解析装置は、前記フロー解析装置により抽出された前記被疑エンドポイント宛のパケットを前記転送機器から受信するパケット受信部と、前記パケット受信部により受信したパケットを解析することによりボットネットを抽出するボットネット抽出部と、を備えることを特徴とするトラフィック解析システムが提供される。
前記トラフィック解析システムは、転送機器制御装置を更に備えてもよく、当該転送機器制御装置は、前記フロー解析装置から受信した被疑エンドポイントの情報に基づいて、当該被疑エンドポイント宛のパケットを前記パケット解析装置に転送するよう前記転送機器に指示するとともに、前記パケット解析装置から受信したボットネットの情報に基づいて、ボットネットに対処するための動作を前記転送機器に指示する転送機器制御部を備えることとしてもよい。
本発明は上記実施形態に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が本発明に包含される。
100 転送機器
101 パケット転送部
102 転送制御部
103 フロー生成部
200 フロー解析装置
201 フロー収集部
202 フロー管理部
203 ホワイトリスト部
204 EP毎フローフィルタ
205 被疑EP抽出部
206 被疑EP通知部
300 パケット解析装置
301 パケット送受部
302 ボットネット抽出部
303 分析結果通知部
304 ボットネット観察・対処部
400 転送機器制御装置
401 イベント受信部
402 対処設計部
403 設備情報管理部
404 転送機器制御部
101 パケット転送部
102 転送制御部
103 フロー生成部
200 フロー解析装置
201 フロー収集部
202 フロー管理部
203 ホワイトリスト部
204 EP毎フローフィルタ
205 被疑EP抽出部
206 被疑EP通知部
300 パケット解析装置
301 パケット送受部
302 ボットネット抽出部
303 分析結果通知部
304 ボットネット観察・対処部
400 転送機器制御装置
401 イベント受信部
402 対処設計部
403 設備情報管理部
404 転送機器制御部
Claims (5)
- サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集部と、
前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出部と、
を備えることを特徴とするフロー解析装置。 - 前記パケット収集部により収集された前記フロー情報からホワイトリストに含まれるフローを削除するホワイトリスト部と、
前記ホワイトリスト部によるフローの削除が行われたフロー情報を同じ送信先エンドポイント毎に集約し、集約された複数のフロー群から、ボットネットに無関係と推定されるフロー群を除いたフロー群を、前記分析の対象とする同じ送信先エンドポイントを持つフロー群として抽出するフローフィルタと、
を更に備えることを特徴とする請求項1に記載のフロー解析装置。 - 請求項1又は2に記載されたフロー解析装置と、前記転送機器と、パケット解析装置とを備えるトラフィック解析システムであって、
前記パケット解析装置は、
前記フロー解析装置により抽出された前記被疑エンドポイント宛のパケットを前記転送機器から受信するパケット受信部と、
前記パケット受信部により受信したパケットを解析することによりボットネットを抽出するボットネット抽出部と、
を備えることを特徴とするトラフィック解析システム。 - 前記トラフィック解析システムは、転送機器制御装置を更に備え、当該転送機器制御装置は、
前記フロー解析装置から受信した被疑エンドポイントの情報に基づいて、当該被疑エンドポイント宛のパケットを前記パケット解析装置に転送するよう前記転送機器に指示するとともに、前記パケット解析装置から受信したボットネットの情報に基づいて、ボットネットに対処するための動作を前記転送機器に指示する転送機器制御部
を備えることを特徴とする請求項3に記載のトラフィック解析システム。 - フロー解析装置が実行するフロー解析方法であって、
サービスネットワークを構成する転送機器からフロー情報を受信するパケット収集ステップと、
前記フロー情報から抽出された分析の対象とする同じ送信先エンドポイントを持つフロー群について、当該フロー群における送信元の種類の数が第1の閾値以上であり、かつ、当該フロー群における通信が、第2の閾値以上に通信量が増加することなく継続していることを検知した場合に、当該フロー群の送信先エンドポイントを、ボットネットに関する被疑エンドポイントとして抽出する被疑エンドポイント抽出ステップと、
を備えることを特徴とするフロー解析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016171301A JP6581053B2 (ja) | 2016-09-01 | 2016-09-01 | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016171301A JP6581053B2 (ja) | 2016-09-01 | 2016-09-01 | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018037961A true JP2018037961A (ja) | 2018-03-08 |
| JP6581053B2 JP6581053B2 (ja) | 2019-09-25 |
Family
ID=61567686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016171301A Active JP6581053B2 (ja) | 2016-09-01 | 2016-09-01 | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6581053B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134974A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
| JP2007082242A (ja) * | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
| JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
-
2016
- 2016-09-01 JP JP2016171301A patent/JP6581053B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134974A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
| JP2007082242A (ja) * | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
| JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
Non-Patent Citations (1)
| Title |
|---|
| 林 裕平 他: "パケット連続到着時間を判定基準とした攻撃検知方式の評価", 電子情報通信学会技術研究報告(信学技報), vol. 第115巻、第488号, JPN6019021218, 25 February 2016 (2016-02-25), pages 53 - 58, ISSN: 0004051214 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6581053B2 (ja) | 2019-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| JP6453976B2 (ja) | ネットワークシステム、制御装置、通信制御方法および通信制御プログラム | |
| Shang et al. | FloodDefender: Protecting data and control plane resources under SDN-aimed DoS attacks | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| Singh et al. | Automated Worm Fingerprinting. | |
| Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
| Qian et al. | Openflow flow table overflow attacks and countermeasures | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| Schehlmann et al. | COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes | |
| Unal et al. | Towards prediction of security attacks on software defined networks: A big data analytic approach | |
| Swami et al. | DDoS attacks and defense mechanisms using machine learning techniques for SDN | |
| Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
| KR101078851B1 (ko) | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP6581053B2 (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| JP2019213029A (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| Mohammad et al. | DDoS attack mitigation using entropy in SDN-IoT environment | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180827 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190531 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190611 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190813 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190827 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190829 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6581053 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |