JP2019213029A - 感染拡大攻撃検知システム及び方法、並びに、プログラム - Google Patents
感染拡大攻撃検知システム及び方法、並びに、プログラム Download PDFInfo
- Publication number
- JP2019213029A JP2019213029A JP2018107052A JP2018107052A JP2019213029A JP 2019213029 A JP2019213029 A JP 2019213029A JP 2018107052 A JP2018107052 A JP 2018107052A JP 2018107052 A JP2018107052 A JP 2018107052A JP 2019213029 A JP2019213029 A JP 2019213029A
- Authority
- JP
- Japan
- Prior art keywords
- partial address
- address spaces
- traffic
- traffic information
- infection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
手順1:所定時間ごとにM個の部分アドレス空間のそれぞれに対して異常検知判定を行う。
手順2:そのうちN個(N≦M)の部分アドレス空間で異常判定された場合、感染拡大攻撃が発生していると判定する。
手順3:M個の部分アドレス空間内のアドレスを宛先又は発信元とする通信について全てのトラヒックを所定のセキュリティ装置に引き込んで精査し、攻撃元となる感染端末を特定する。
2…端末
3…インターネット
4…セキュリティ装置
100…パケット転送装置
200…転送装置制御コントローラ
300…異常検知用ストレージ装置
400…トラヒック傾向分析装置
500…閾値学習用演算装置
600…検知用演算装置
Claims (8)
- パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知システムであって、
前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をパケットのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、
前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、
前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量を前記M個の部分アドレス空間毎に導出する第2の特徴量導出手段と、
前記第2の特徴量導出手段により導出された第2の特徴量が所定の検知条件を満たすか否かをM個の部分アドレス空間毎に判定するとともにM個の判定結果を評価することにより感染拡大攻撃が発生したか否かを判定する検知手段とを備えた
ことを特徴とする感染拡大攻撃検知システム。 - 前記検知手段は、前記検知条件を満たす部分アドレス空間の数が所定の閾値N(N≦M)以上である場合に前記検知条件を満たす部分アドレス空間内において感染拡大攻撃が発生したと判定する
ことを特徴とする請求項1記載の感染拡大攻撃検知システム。 - 前記監視対象決定手段は、前記第1の特徴量に基づき相対的にトラヒック量が少ない所定のM個の部分アドレス空間を監視対象とするよう決定する
ことを特徴とする請求項1又は2記載の感染拡大攻撃検知システム。 - 前記監視対象決定手段は、前記第1の特徴量並びに相対的又は絶対的な閾値に基づき監視対象とするM個の部分アドレス空間を決定する
ことを特徴とする請求項1又は2記載の感染拡大攻撃検知システム。 - 前記監視対象決定手段は、前記転送装置において前記第2のトラヒック情報を取得するためのアクセスコントロールリストを前記転送装置に設定する
ことを特徴とする請求項1乃至4何れか1項記載の感染拡大攻撃検知システム。 - 前記検知手段は、感染拡大攻撃が発生したと判定すると、前記M個の部分アドレス空間内のアドレスを宛先又は送信元とするパケットを所定のセキュリティ装置へ転送するよう前記転送装置を設定する
ことを特徴とする請求項1乃至5何れか1項記載の感染拡大攻撃検知システム。 - パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知方法であって、
第1の特徴量導出手段が、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をパケットのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出するステップと、
監視対象決定手段が、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定するステップと、
第2の特徴量導出手段が、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量を前記M個の部分アドレス空間毎に導出するステップと、
検知手段が、前記第2の特徴量導出手段により導出された第2の特徴量が所定の検知条件を満たすか否かをM個の部分アドレス空間毎に判定するとともにM個の判定結果を評価することにより感染拡大攻撃が発生したか否かを判定するステップとを備えた
ことを特徴とする感染拡大攻撃検知方法。 - コンピュータを請求項1乃至6記載の感染拡大攻撃検知システムの各手段として機能させる
ことを特徴とする感染拡大攻撃検知プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018107052A JP7060800B2 (ja) | 2018-06-04 | 2018-06-04 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
US15/734,669 US11895146B2 (en) | 2018-06-04 | 2019-06-03 | Infection-spreading attack detection system and method, and program |
PCT/JP2019/021909 WO2019235403A1 (ja) | 2018-06-04 | 2019-06-03 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018107052A JP7060800B2 (ja) | 2018-06-04 | 2018-06-04 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019213029A true JP2019213029A (ja) | 2019-12-12 |
JP7060800B2 JP7060800B2 (ja) | 2022-04-27 |
Family
ID=68770875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018107052A Active JP7060800B2 (ja) | 2018-06-04 | 2018-06-04 | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11895146B2 (ja) |
JP (1) | JP7060800B2 (ja) |
WO (1) | WO2019235403A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022009274A1 (ja) * | 2020-07-06 | 2022-01-13 | 日本電信電話株式会社 | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023281684A1 (ja) * | 2021-07-08 | 2023-01-12 | 日本電気株式会社 | 通信分析装置、通信分析方法、通信分析システムおよび記録媒体 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7007169B2 (en) * | 2001-04-04 | 2006-02-28 | International Business Machines Corporation | Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access |
DE60220214T2 (de) * | 2001-06-29 | 2008-01-24 | Stonesoft Corp. | Methode und System zum Entdecken von Eindringlingen |
US7356585B1 (en) * | 2003-04-04 | 2008-04-08 | Raytheon Company | Vertically extensible intrusion detection system and method |
US7917649B2 (en) * | 2003-12-19 | 2011-03-29 | Nortel Networks Limited | Technique for monitoring source addresses through statistical clustering of packets |
US7873997B2 (en) * | 2004-03-12 | 2011-01-18 | New Jersey Institute Of Technology | Deterministic packet marking |
US7613755B1 (en) * | 2005-04-01 | 2009-11-03 | Netlogic Microsystems, Inc. | Signature searching system |
JPWO2008084729A1 (ja) * | 2006-12-28 | 2010-04-30 | 日本電気株式会社 | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
JP4780413B2 (ja) * | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
WO2011162848A2 (en) * | 2010-04-01 | 2011-12-29 | 21Ct, Inc. | System and method for providing impact modeling and prediction of attacks on cyber targets |
US9813314B2 (en) * | 2014-07-21 | 2017-11-07 | Cisco Technology, Inc. | Mitigating reflection-based network attacks |
US9450972B2 (en) * | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
JP2016127533A (ja) * | 2015-01-07 | 2016-07-11 | 日本電信電話株式会社 | アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム |
US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
JP6641819B2 (ja) * | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
WO2017074402A1 (en) * | 2015-10-29 | 2017-05-04 | Cloudcoffer Llc | Methods for preventing computer attacks in two-phase filtering and apparatuses using the same |
JP6827266B2 (ja) * | 2016-01-15 | 2021-02-10 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
US10326794B2 (en) * | 2016-12-21 | 2019-06-18 | Verisign, Inc. | Anycast-based spoofed traffic detection and mitigation |
CN109033885B (zh) * | 2017-06-09 | 2022-11-18 | 腾讯科技(深圳)有限公司 | 一种数据响应方法、终端设备以及服务器 |
US11374897B2 (en) * | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
US10841281B2 (en) * | 2018-03-26 | 2020-11-17 | Kuo Chiang | Methods for preventing or detecting computer attacks in a cloud-based environment and apparatuses using the same |
-
2018
- 2018-06-04 JP JP2018107052A patent/JP7060800B2/ja active Active
-
2019
- 2019-06-03 US US15/734,669 patent/US11895146B2/en active Active
- 2019-06-03 WO PCT/JP2019/021909 patent/WO2019235403A1/ja active Application Filing
Non-Patent Citations (1)
Title |
---|
峰 幸洋、他: "誤検知の低減を考慮した通信事業網における感染拡大攻撃検知方式の一考察", 信学技報, vol. NS2018-34, JPN6021033134, 30 June 2018 (2018-06-30), JP, pages 37 - 42, ISSN: 0004582401 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022009274A1 (ja) * | 2020-07-06 | 2022-01-13 | 日本電信電話株式会社 | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム |
JP7468658B2 (ja) | 2020-07-06 | 2024-04-16 | 日本電信電話株式会社 | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP7060800B2 (ja) | 2022-04-27 |
US11895146B2 (en) | 2024-02-06 |
WO2019235403A1 (ja) | 2019-12-12 |
US20210234871A1 (en) | 2021-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6453976B2 (ja) | ネットワークシステム、制御装置、通信制御方法および通信制御プログラム | |
US10735379B2 (en) | Hybrid hardware-software distributed threat analysis | |
CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
US10637885B2 (en) | DoS detection configuration | |
KR101812403B1 (ko) | SDN에서의 DoS공격 방어시스템 및 이의 구현방법 | |
Manavi | Defense mechanisms against distributed denial of service attacks: A survey | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
US10693890B2 (en) | Packet relay apparatus | |
WO2014110293A1 (en) | An improved streaming method and system for processing network metadata | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
WO2019235403A1 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
JP4161989B2 (ja) | ネットワーク監視システム | |
Oo et al. | Effective detection and mitigation of SYN flooding attack in SDN | |
Nakahara et al. | Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest. | |
CN114338221B (zh) | 一种基于大数据分析的网络检测系统 | |
JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
Sinha et al. | Distributed Denial of Service Attack Detection and Prevention in Local Area Network | |
Shalini et al. | Early detection and mitigation of TCP SYN flood attacks in SDN using chi-square test | |
US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
JP6581053B2 (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 | |
Zhang et al. | An End-to-end Online DDoS Mitigation Scheme for Network Forwarding Devices | |
Teixeira et al. | Intelligent network client profiler |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20200316 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200324 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201002 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220315 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220328 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7060800 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |