JP2018093384A - 通信監視装置、通信監視方法及び通信監視プログラム - Google Patents
通信監視装置、通信監視方法及び通信監視プログラム Download PDFInfo
- Publication number
- JP2018093384A JP2018093384A JP2016235845A JP2016235845A JP2018093384A JP 2018093384 A JP2018093384 A JP 2018093384A JP 2016235845 A JP2016235845 A JP 2016235845A JP 2016235845 A JP2016235845 A JP 2016235845A JP 2018093384 A JP2018093384 A JP 2018093384A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- service
- address
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 149
- 238000012544 monitoring process Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000012806 monitoring device Methods 0.000 title claims abstract description 9
- 238000011156 evaluation Methods 0.000 claims abstract description 24
- 238000001514 detection method Methods 0.000 claims abstract description 19
- 239000000284 extract Substances 0.000 claims description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、評価部14に参照させてもよい。
また、サービスホスト推定部12は、推定した提供サービスの情報を通信プロファイル部13により取得された情報とマッチングさせ、この提供サービスの情報のうち確度の高い情報を抽出する。
具体的には、評価部14は、検知部11により検知された被害ホスト候補を宛先とする通信パケットについて、宛先ポート番号及び通信パターンを記録する。そして、評価部14は、サービスホスト推定部12により推定された該当のIPアドレスでの提供サービスと、観測した宛先ポート及び通信パターンとを比較する。評価部14は、比較の結果、両者に著しく相違がある場合に影響が大きい通信であると評価する。
本処理は、例えば攻撃が想定されるサーバ群等、指定されたIPアドレスを対象として、このIPアドレスが被害ホスト候補として検知されていない通常時の所定のタイミングで実行される。
本処理は、通信の監視を実施している間、繰り返し実行される。
なお、評価部14は、宛先ポート番号及び通信パターンで示される通信パケットの特徴が通常と異なる点及び相違量に基づく評価値を算出して出力してもよい。
したがって、通信監視装置1は、提供サービスに合致する通常に観測される通信と大きく相違する通信がネットワーク設備への影響度が高いと判定でき、ネットワーク設備に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
10 制御部
11 検知部
12 サービスホスト推定部
13 通信プロファイル部
14 評価部
20 記憶部
21 サービスホストデータベース
Claims (5)
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定部と、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価部と、を備える通信監視装置。 - 通信パケットの宛先アドレス毎に、宛先ポート番号及び通信パターンに基づいて、当該宛先アドレスでの利用サービスの情報を取得する通信プロファイル部を備え、
前記サービスホスト推定部は、前記提供サービスの情報を前記通信プロファイル部により取得された情報とマッチングさせ、当該提供サービスの情報のうち確度の高い情報を抽出する請求項1に記載の通信監視装置。 - 前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定する請求項1又は請求項2に記載の通信監視装置。
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価ステップと、をコンピュータが実行する通信監視方法。 - 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価ステップと、をコンピュータに実行させるための通信監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235845A JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235845A JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018093384A true JP2018093384A (ja) | 2018-06-14 |
JP6698507B2 JP6698507B2 (ja) | 2020-05-27 |
Family
ID=62566472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016235845A Active JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6698507B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006046345A1 (ja) * | 2004-10-28 | 2006-05-04 | Nippon Telegraph And Telephone Corporation | サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 |
JP2008278272A (ja) * | 2007-04-27 | 2008-11-13 | Kddi Corp | 電子システム、電子機器、中央装置、プログラム、および記録媒体 |
JP2010239392A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | サービス不能攻撃制御システム、装置、および、プログラム |
JP2015142324A (ja) * | 2014-01-30 | 2015-08-03 | 日本電信電話株式会社 | 情報共有装置、情報共有方法、および、情報共有プログラム |
-
2016
- 2016-12-05 JP JP2016235845A patent/JP6698507B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006046345A1 (ja) * | 2004-10-28 | 2006-05-04 | Nippon Telegraph And Telephone Corporation | サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 |
JP2008278272A (ja) * | 2007-04-27 | 2008-11-13 | Kddi Corp | 電子システム、電子機器、中央装置、プログラム、および記録媒体 |
JP2010239392A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | サービス不能攻撃制御システム、装置、および、プログラム |
JP2015142324A (ja) * | 2014-01-30 | 2015-08-03 | 日本電信電話株式会社 | 情報共有装置、情報共有方法、および、情報共有プログラム |
Non-Patent Citations (1)
Title |
---|
牧田 大佑 、ほか: "早期インシデント対応を目的としたDRDoS攻撃アラートシステム", 情報処理学会論文誌 VOL.57 NO.9, JPN6019044840, September 2016 (2016-09-01), pages 1974 - 1985, ISSN: 0004157570 * |
Also Published As
Publication number | Publication date |
---|---|
JP6698507B2 (ja) | 2020-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9467462B2 (en) | Traffic anomaly analysis for the detection of aberrant network code | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
WO2019136953A1 (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
TW201703465A (zh) | 網路異常偵測技術 | |
CN109413071B (zh) | 一种异常流量检测方法及装置 | |
KR20120065729A (ko) | 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 | |
CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
US20100014432A1 (en) | Method for identifying undesirable features among computing nodes | |
JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
WO2018186242A1 (ja) | 監視装置、監視方法および監視プログラム | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
Rezvani et al. | Provenance-aware security risk analysis for hosts and network flows | |
JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
JP6698507B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
Tahmassebpour | Immediate detection of DDoS attacks with using NetFlow on cisco devices IOS | |
JP6712944B2 (ja) | 通信予測装置、通信予測方法及び通信予測プログラム | |
KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
KR101002801B1 (ko) | DDoS 공격 방어 장치 및 방법 | |
JP4777366B2 (ja) | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 | |
JP4980396B2 (ja) | トラヒック特性計測方法および装置 | |
JP6715751B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200428 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6698507 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |