JP2018098635A - 通信予測装置、通信予測方法及び通信予測プログラム - Google Patents
通信予測装置、通信予測方法及び通信予測プログラム Download PDFInfo
- Publication number
- JP2018098635A JP2018098635A JP2016241213A JP2016241213A JP2018098635A JP 2018098635 A JP2018098635 A JP 2018098635A JP 2016241213 A JP2016241213 A JP 2016241213A JP 2016241213 A JP2016241213 A JP 2016241213A JP 2018098635 A JP2018098635 A JP 2018098635A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- host
- reception
- occurrence
- packet group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、本実施形態に係る通信予測装置1の機能構成を示すブロック図である。
通信予測装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)である。通信予測装置1は、予測対象ホストに対して所定の特徴を有するパケット群が送信される可能性を予測する。
ここで、所定の特徴を有するパケット群とは、例えば、同一のホストに対して大量に送信されるパケット群であり、DoS(Denial of Service)攻撃により発生する大規模な通信量のパケット群がこれに該当する。本実施形態では、パケット群は、ネットワーク機器又はホストに影響を及ぼす可能性のある一定以上の通信量の規模を有する攻撃であり、通信予測装置1は、同一ホストが同様の攻撃を再び受ける可能性を予測するものとする。
制御部10は、通信予測装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
収集部11は、観測対象のネットワークのフロー情報を、ネットワーク内の上位階層のルータ(コアルータ)から取得し、取得した所定期間(例えば、過去1年間)のフロー情報に基づいて、通信の宛先であるホスト毎に所定の特徴を有するパケット群の受信履歴を、攻撃情報として収集する。攻撃情報には、宛先IPアドレス、攻撃発生時期及び攻撃規模等が含まれる。
なお、観測対象のネットワークは、予測対象ホストが存在するネットワークと異なってもよい。
このとき、算出部12は、パケット群を、攻撃回数に加えて、以下のような複数の属性(a)〜(f)のうち、少なくともいずれかの属性毎にクラスタリングし、クラスタ毎に次式のように攻撃発生確率を算出する。
過去の攻撃回数がn回のホストに対する攻撃発生確率
=攻撃回数がn+1回以上のホスト数/クラスタ(攻撃回数がn回以上)のホスト数
例えば、100〜500Mbps、500〜1Gbps、1Gbps以上のように、通信量の規模毎に攻撃の種類が分類される。
例えば、宛先ホストが不特定多数のユーザからアクセスされるサービスを提供するサーバ(Web、DNS、NTP等)か、このようなサービス提供を行わない個人の端末かで攻撃の種類が分類される。
例えば、攻撃の発生間隔が1日未満、1週間未満等、あるいは別の表現として、発生頻度が1日に1回以上、1週間に1回以上等の違いにより、攻撃の種類が分類される。
例えば、IPアドレスの近い(例えば、第4オクテットのみが異なる)ホスト、あるいはネットワークのトポロジ上の位置が近いホストに対しても攻撃が発生しているか否かによって攻撃の種類が分類される。
攻撃手法として、SYNフラッド、UDP reflection等、どのような手法が用いられているかによって攻撃の種類が分類される。
送信元のIPアドレスが属する国等、どの地域から送信されたかによって攻撃の種類が分類される。
ここで、攻撃情報は、通信ログから抽出される前述の属性の情報であり、判定部は、攻撃の回数を含むこれらの属性に基づいて、クラスタを判定する。
なお、攻撃情報は、外部から入力されてもよいし、判定部13が通信ログから抽出してもよい。
全ホストが属する攻撃が0回以上の集合は、攻撃が1回以上の集合を内包する。さらに、攻撃が1回以上の集合は、攻撃が2回以上の集合を内包する。
このように、攻撃の回数が増えるほど、回数が少ない集合に内包する形で集合が小さくなっていく。
通信予測装置1は、この内包される集合の大きさの割合を攻撃発生確率として算出する。
クラスタA0に分類されるホスト(攻撃回数が0回以上)が次に同種の攻撃を受ける確率は、クラスタA0に対するクラスタA1のホスト数の割合であり、図中では面積の大きさで表現されている。各クラスタにおける攻撃発生確率は、クラスタ毎に、すなわち攻撃回数及びその他の属性毎に異なってよい。
また、攻撃回数が同一でも他の属性が互いに異なるクラスタA0とB0、A1とB1、A2とB2は、それぞれ攻撃発生確率が異なっている。
ステップS1において、収集部11は、観測対象のネットワークからホスト毎の攻撃情報を収集する。
ステップS3において、算出部12は、ステップS2で生成されたクラスタ毎に、攻撃発生確率を算出し、クラスタの情報に対応付けて記憶部20に格納する。
ステップS11において、判定部13は、例えば、運用対象のネットワークの管理者等からの入力を受け付け、予測対象ホストを指定する。
ステップS13において、判定部13は、ステップS12で取得した攻撃情報に基づいて、予測対象ホストが記憶部20に格納されているクラスタのいずれに該当するかを判定する。
ステップS14において、判定部13は、ステップS13で判定されたクラスタの攻撃発生確率を取得し、予測値として出力する。
したがって、通信予測装置1は、攻撃前の事前行動の情報を利用することなく、過去に発生した攻撃の統計的事象を利用して、任意の予測対象ホストに対する将来の攻撃の発生を予測するので、広範囲な攻撃の種類に対して、発生を予測できる。
したがって、通信予測装置1は、攻撃の属性に応じて変動する攻撃発生確率を精度良く出力できる。
したがって、通信予測装置1は、通信経路となるルータにおける通信量の増加等、攻撃の発生に応じた通信異常を予測できるので、ネットワーク設備の効率的な運用を助けることができる。
10 制御部
11 収集部
12 算出部
13 判定部
20 記憶部
Claims (5)
- ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集部と、
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出部と、
予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定部と、を備える通信予測装置。 - 前記算出部は、前記パケット群を、通信量の規模、ホストの種類、通信発生間隔、所定レンジ内の近隣ホストに対する通信発生の有無、パケットの種類、送信元の地域の少なくともいずれか毎にクラスタリングし、クラスタ毎に前記通信発生確率を算出する請求項1に記載の通信予測装置。
- 前記判定部は、ホスト群を配下に持つルータにおける前記パケット群の発生確率を、前記ホスト群に含まれるホストそれぞれに対して判定した前記通信発生確率に基づいて算出する請求項1又は請求項2に記載の通信予測装置。
- ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集ステップと、
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出ステップと、
予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定ステップと、をコンピュータが実行する通信予測方法。 - ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集ステップと、
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出ステップと、
予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定ステップと、をコンピュータに実行させるための通信予測プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016241213A JP6712944B2 (ja) | 2016-12-13 | 2016-12-13 | 通信予測装置、通信予測方法及び通信予測プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016241213A JP6712944B2 (ja) | 2016-12-13 | 2016-12-13 | 通信予測装置、通信予測方法及び通信予測プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018098635A true JP2018098635A (ja) | 2018-06-21 |
JP6712944B2 JP6712944B2 (ja) | 2020-06-24 |
Family
ID=62634707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016241213A Active JP6712944B2 (ja) | 2016-12-13 | 2016-12-13 | 通信予測装置、通信予測方法及び通信予測プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6712944B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113179256A (zh) * | 2021-04-12 | 2021-07-27 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统时间信息安全融合方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
JP2014060722A (ja) * | 2012-09-18 | 2014-04-03 | Kddi Corp | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 |
JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
-
2016
- 2016-12-13 JP JP2016241213A patent/JP6712944B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
JP2014060722A (ja) * | 2012-09-18 | 2014-04-03 | Kddi Corp | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 |
JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
石田 千枝、ほか: "ベイズ推測を用いた不正侵入イベント増減予測", 情報処理学会論文誌 第46巻 第11号, vol. 第46巻, JPN6019045616, November 2005 (2005-11-01), JP, pages 2704 - 2713, ISSN: 0004161409 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113179256A (zh) * | 2021-04-12 | 2021-07-27 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统时间信息安全融合方法及系统 |
CN113179256B (zh) * | 2021-04-12 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统时间信息安全融合方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
JP6712944B2 (ja) | 2020-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sahoo et al. | An early detection of low rate DDoS attack to SDN based data center networks using information distance metrics | |
Aladaileh et al. | Detection techniques of distributed denial of service attacks on software-defined networking controller–a review | |
US10425383B2 (en) | Platforms for implementing an analytics framework for DNS security | |
US11956260B2 (en) | Attack monitoring service that selectively analyzes connection graphs for suspected attack paths | |
EP3278516B1 (en) | Behavior analysis based dns tunneling detection and classification framework for network security | |
US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
JP6750457B2 (ja) | ネットワーク監視装置、プログラム及び方法 | |
US11381593B2 (en) | System and method for providing insights on distributed denial of service attacks | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
JP4500921B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Jia et al. | A lightweight DDoS detection scheme under SDN context | |
Alkadi et al. | An ontological graph identification method for improving localization of IP prefix hijacking in network systems | |
Al-Share et al. | Detecting and mitigating collusive interest flooding attacks in named data networking | |
Tang et al. | FTODefender: An efficient flow table overflow attacks defending system in SDN | |
JP6649296B2 (ja) | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 | |
JP6712944B2 (ja) | 通信予測装置、通信予測方法及び通信予測プログラム | |
Tinubu et al. | A behavioral model for characterizing flooding distributed denial of service attacks | |
Schales et al. | Scalable analytics to detect DNS misuse for establishing stealthy communication channels | |
US8789176B1 (en) | Detecting scans using a bloom counter | |
Xu et al. | Xatu: Boosting existing DDoS detection systems using auxiliary signals | |
Koay | Detecting high and low intensity distributed denial of service (DDoS) attacks | |
JP6883535B2 (ja) | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム | |
JP6894860B2 (ja) | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200512 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200602 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6712944 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |