JP2019213029A - 感染拡大攻撃検知システム及び方法、並びに、プログラム - Google Patents

感染拡大攻撃検知システム及び方法、並びに、プログラム Download PDF

Info

Publication number
JP2019213029A
JP2019213029A JP2018107052A JP2018107052A JP2019213029A JP 2019213029 A JP2019213029 A JP 2019213029A JP 2018107052 A JP2018107052 A JP 2018107052A JP 2018107052 A JP2018107052 A JP 2018107052A JP 2019213029 A JP2019213029 A JP 2019213029A
Authority
JP
Japan
Prior art keywords
partial address
address spaces
traffic
traffic information
infection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018107052A
Other languages
English (en)
Other versions
JP7060800B2 (ja
Inventor
幸洋 鋒
Yukihiro Hachi
幸洋 鋒
浩明 前田
Hiroaki Maeda
浩明 前田
小島 久史
Hisashi Kojima
久史 小島
桑原健
Takeshi Kuwabara
健 桑原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018107052A priority Critical patent/JP7060800B2/ja
Priority to US15/734,669 priority patent/US11895146B2/en
Priority to PCT/JP2019/021909 priority patent/WO2019235403A1/ja
Publication of JP2019213029A publication Critical patent/JP2019213029A/ja
Application granted granted Critical
Publication of JP7060800B2 publication Critical patent/JP7060800B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】感染拡大攻撃の発生を高精度で検知することができる感染拡大攻撃検知システム及び方法、並びにプログラムを提供する。【解決手段】転送装置が転送するパケットのトラヒック情報に基づき第1の特徴量を算出し、該第1の特徴量に基づき監視対象とするM個の部分アドレス空間を特定する。そして、M個の部分アドレス空間に係るトラヒック情報に基づきM個の部分アドレス空間毎の第2の特徴量を算出し、M個の部分アドレス空間毎に第2の特徴量に基づき異常検知判定を行い、M個の判定結果を評価して感染拡大攻撃の発生の有無を判定する。【選択図】図1

Description

本発明は、ネットワーク内において感染端末による感染拡大攻撃を検知する感染拡大攻撃検知システムに関する。
近年、IoT(Internet of Things)の普及により、充分な計算資源が無く、セキュリティ対策が行えない端末もインターネットに接続されることが増えてきている。また、ユーザの一人あたりの所持端末数も増加しており、管理が行き届かない端末の増加も予想される。
一方、近年、攻撃者がインターネット経由で上述の脆弱なユーザ端末を乗っ取り、サイバー攻撃の踏み台として悪用する事例が増加しており、数TbpsクラスのDDoS(Denial of Service)攻撃などの大規模なサイバー攻撃が観測されている。今後も多数の端末がマルウェアに感染し、攻撃者の踏み台に用いられれば、将来的にネットワーク帯域の圧迫や対処側のセキュリティ機構への負荷が増大するおそれがある(非特許文献1参照)。
そこで、従来、セキュリティ対策やユーザの管理が不十分な端末が踏み台にされることを通信事業者網で防ぐことで、ユーザ端末のセキュリティ向上と大規模なサイバー攻撃の未然防止を目指し、通信事業者網での端末を踏み台化する攻撃(以下「感染拡大攻撃」と言う)を検知するシステムが提案されている(非特許文献2参照)。このシステムは、感染端末による不正通信を通信事業者網で検知し、今後の攻撃パターンや攻撃量を事前に把握することで、通信事業者のセキュリティリスクの軽減を目指すものである。なお、感染拡大攻撃の例としては、Telnetやワーム等の感染活動などが挙げられる。
非特許文献2に記載のシステムについて説明する。このシステムは、まず、(1)通信事業者網内のコアルータ等においてアクセスコントロールリスト(ACL:Access Control List)を用いて、細分化した部分アドレス空間毎のトラヒック情報を経時的に取得する。アドレス空間の細分化の例としては、IPv4のパケットの場合、32bitのアドレス空間について上位8bitの値を用いて細分化する方法が挙げられる。また、取得するトラヒック情報としては、所定のサンプリング時間当たりのパケット数である。なお、前記ACLとは、パケットを制御するためのアドレス等の条件と、条件にマッチしたパケットに対する制御方法を記載したものである。
次に、(2)経時的に取得したトラヒック情報を、部分アドレス空間毎に所定の集計時間範囲で集計するとともに、集計した部分アドレス空間毎のトラヒック情報をベクトル化する。この処理によるベクトルは、次元数が部分アドレス空間の細分化数であり、各要素が集計したトラヒック情報というスカラー値である。そして、(3)このベクトル化されたトラヒック情報を用いて、教師なし学習により機械学習処理を行うことにより、識別器(閾値)を作成する。
次に、(4)検知を行う際には、前述の(1)及び(2)と同様にして、ある時点におけるベクトル化されたトラヒック情報を取得する。そして、当該トラヒック情報について前記識別器を用いて正常か異常かを判定する。これにより感染拡大攻撃を検知することができる。感染拡大攻撃を検知した場合、以降のパケットを所定のセキュリティ装置にするようコアルータを設定する。そして、セキュリティ装置において、さらに詳細な分析が行われ、感染拡大攻撃を行っている端末の特定などを行う。
トラヒック量の少ない空間では、正常通信に対して感染拡大攻撃に係る通信が相対的に多くなることが知られている。このため、上記のシステムでは、少量の攻撃による変化も捉えられると期待できる。
小山覚, "サイバー攻撃対策としてのIoTセキュリティについて", [online], サイバーセキュリティタスクフォース(第2回), 総務省, [平成30年5月11日検索], インターネット<URL:http://www.soumu.go.jp/main_content/000471279.pdf> 鋒幸洋, 前田浩明, 小島久史, 末田欣子, "通信事業者網における感染拡大攻撃検知についての一検討", 電子情報通信学会, ソサエティ大会, 2017 山内一将, 他3名, "C&Cトラフィック分類のための機械学習手法の評価", 情報処理学会論文誌 Vol.56, No.9, 1745-1753, 2015年09月
しかしながら、上述の従来のシステムでは、トラヒック量の少ないアドレス空間において発生するノイズに弱く、誤検知が多いという問題がある。そして、誤検知が増えるとセキュリティ装置へトラヒックを流す回数が増加するので、セキュリティ装置を多数配備しなければならないという問題がある。なお、ノイズの例としては、学習データにない正常通信(例:Web閲覧やP2P(Peer to Peer)通信)に係るトラヒックが挙げられる。当該トラヒックは実は正常通信であるにもかかわらず学習データにはないため異常判定される事象が発生する。機械学習におけるノイズについては非特許文献3において議論されている。
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、感染拡大攻撃の発生を高精度で検知することができる感染拡大攻撃検知システム及び方法、並びにプログラムを提供することにある。
上記目的を達成するために、本願発明は、パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知システムであって、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をパケットのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量を前記M個の部分アドレス空間毎に導出する第2の特徴量導出手段と、前記第2の特徴量導出手段により導出された第2の特徴量が所定の検知条件を満たすか否かをM個の部分アドレス空間毎に判定するとともにM個の判定結果を評価することにより感染拡大攻撃が発生したか否かを判定する検知手段とを備えたことを特徴とする。
本発明によれば、監視対象とする部分アドレス空間がトラヒック情報から導出した第1の特徴量に基づきM個に限定されており、限定された各部分アドレス空間におけるトラヒック情報から導出したM個の第2の特徴量のそれぞれについて検知条件を満たすかが判定され、その判定結果を評価することにより感染拡大攻撃が発生したか否かが判定されるので、複数の部分アドレス空間において同時にノイズが発生しない限り、誤検知の発生を低減可能になる。これにより、感染拡大攻撃の発生を高精度で検知することができる。
本発明に係る感染拡大攻撃検知システムの概要を説明する図 有効に検知可能な部分アドレス空間の例を説明する図 パケット転送装置に設定するACLの一例 トラヒック情報から第2の特徴量への加工処理の一例 感染拡大攻撃検知システムのネットワーク構成の一例 パケット転送装置の機能構成の一例 転送装置制御コントローラの機能構成の一例 異常検知用ストレージ装置の機能構成の一例 特徴量設定情報テーブルの一例 特徴量保持テーブルの一例 トラヒック傾向分析装置の機能構成の一例 分析設定情報テーブルの一例 閾値学習用演算装置の機能構成の一例 閾値保持テーブルの一例 特徴量設定情報テーブルの一例 検知用演算装置の機能構成の一例 特徴量設定情報テーブルの一例 トラヒックの傾向分析に係るシーケンス 閾値の学習に係るシーケンス 異常の検知・対処に係るシーケンス
まず、本発明に係る感染拡大攻撃検知システムの概要について図1を参照して説明する。本発明は、通信事業者網などのネットワークに収容されているマルウェア感染端末による、アドレス空間全体への感染拡大攻撃を検知対象とする。また、本発明は、感染拡大攻撃に係る通信には様々なプロトコルが用いられる性質を利用する。また、本発明は、アドレス空間を複数の部分アドレス空間に細分化してトラヒックを観察した場合、正常通信は独立した複数の部分アドレス空間に対して同時に発生することは少ないが、感染拡大攻撃は複数の部分アドレス空間に対して同時に発生する性質を利用する。
本発明に係る感染拡大攻撃検知システムにおいて感染端末を特定するための概略手順は以下のとおりである(図1参照)。
手順0:全アドレス空間を細分化してなる複数の部分アドレス空間うち、有効に検知可能なM個の部分アドレス空間を監視対象として特定する。
手順1:所定時間ごとにM個の部分アドレス空間のそれぞれに対して異常検知判定を行う。
手順2:そのうちN個(N≦M)の部分アドレス空間で異常判定された場合、感染拡大攻撃が発生していると判定する。
手順3:M個の部分アドレス空間内のアドレスを宛先又は発信元とする通信について全てのトラヒックを所定のセキュリティ装置に引き込んで精査し、攻撃元となる感染端末を特定する。
上記手順0において監視対象として特定する部分アドレス空間の個数Mの数値が大きければ、攻撃を有効に観測できるアドレス空間の領域が広がり、攻撃の発生を高精度に検知できる。また、上記手順1における異常検知判定を実施間隔は、例えば検知対象となる感染端末の平均的な攻撃持続時間をもとに決定することが可能である。また、上記手順2における感染拡大攻撃の発生有無を判定するための閾値Nの数値が大きければ、誤検知が低下する一方、検知率も低下する可能性がある。そのため、パラメータNの設定方法の一例として、許容できる誤検知率を目安に、できるだけ小さなNを指定することが考えられる。
上記手順0におけるアドレス空間の細分化の例としては、IPv4のパケットの場合、32bitのアドレス空間について上位8bitや上位16bitの値を用いて細分化する方法が挙げられる。なお、アドレス空間の粒度の目安としては8bitが好ましい。他の細分化方法としては、フルルート等のルーティングごとの細分化でもよく、その手法は不問である。
有効に検知可能な部分アドレス空間の例とその特定方法について図2を参照して説明する。図2は、有効に検知可能な部分アドレス空間の例を説明する図である。図2の左図は、正常通信時の状態すなわち感染拡大攻撃が行われていない状態におけるトラヒック挙動を示す。一方、図2の右図は、感染拡大攻撃が行われている状態におけるトラヒック挙動を示す。
図2の左図に示すように、正常ユーザの端末の通信に係る宛先アドレスには偏りがあり、トラヒックの多いアドレス空間(例:y.0.0.0/8,z.0.0.0/8)と少ないアドレス空間(x.0.0.0/8)が存在する。一方、右図に示すように、感染端末による感染拡大攻撃はランダムに行われることが多く、複数のアドレス空間あてに攻撃が発生する。このとき、トラヒックの少ないアドレス空間の変化に着目することで有効に検知できる。本発明は、このような性質を利用するものである。
トラヒックの少ないM個の部分アドレス空間の特定は、一定期間における部分アドレス空間におけるトラヒック情報から第1の特徴量を導出し、この第1の特徴量に基づき行うことができる。当該特定処理は、統計的手法や、K−Means等のクラスタリングアルゴリズムなどを適宜用いることができる。例えば、第1の特徴量として送信パケット数を採用し、その平均が小さい順にM個の部分アドレス空間、換言すれば、相対的にトラヒック量が少ない所定のM個の部分アドレス空間を監視対象とすることができる。また、他の方法としては、第1の特徴量として送信パケット数を採用し、この第1の特徴量が閾値Xを下回るすべての部分アドレス空間を監視対象とすることができる。この場合、監視対象の部分アドレス空間の個数Mは、その特定時に決定される。なお、前記閾値Xは絶対的な値でもよいし、相対的な値であってもよい。相対的な値の閾値Xの例としては、一定期間における全アドレス空間における送信パケット数の平均値を算出し、この平均値に対して所定の係数(例えば1/10)を乗じたものが挙げられる。
上記手順1における異常検知判定では、M個の部分アドレス空間におけるトラヒック情報に基づき部分アドレス空間毎に第2の特徴量を導出し、この第2の特徴量に基づき異常検知判定を行う。この異常検知判定は、周知の統計的手法や機械学習手法を用いることができる。前記第2の特徴量の例としては、トラヒックに係るパケット数や、その経時的な移動平均などが挙げられる。なお、第1の特徴量と第2の特徴量とは、互いに異なっていても同じであってもよい。また、上記手順1の異常検知は、ネットワーク内に配備されたコアルータ等のネットワーク機器毎に実施する。第2の特徴量についての詳細な例については後述する。
前述のように、上記手順0では部分アドレス空間におけるトラヒック情報に基づき第1の特徴量を導出し、上記手順1ではM個の部分アドレス空間におけるトラヒック情報に基づき第1の特徴量を導出する。各手順において必要なトラヒック情報は、ネットワーク内に配備されネットワークに収容された端末とインターネット側との間の通信トラヒックに係るパケットを転送するコアルータ等のネットワーク機器から取得する。例えば、当該ネットワーク機器に、まず第1の特徴量の導出に必要なトラヒック情報を取得するためのACLを設定し、M個の部分アドレス空間の特定後は、第2の特徴量の導出に必要なトラヒック情報を取得するためのACLを設定すればよい。ACLが設定されたネットワーク機器は、ACLの各条件にマッチするパケット数を所定のサンプリング時間毎に集計し、この集計値をトラヒック情報とする。
ACLの設定は、ネットワーク機器毎に異なっていてもよい。また、ACLの設定を行うトラヒックの方向やインタフェースについても不問である。
図3にACLの一例を示す。図3の左図は、前記第1の特徴量を算出するために必要なトラヒック情報を取得するためのACLである。第1の特徴量を算出するために必要なトラヒック情報は、全宛先アドレス空間のトラヒック情報(例:送信パケット数)を把握できるようにACLを網羅的に設定することにより取得できる。一方、図3の右図は、前記第2の特徴量を算出するために必要なトラヒック情報を取得するためのACLである。第2の特徴量を算出するために必要なトラヒック情報は、有効に検知可能なM個のアドレス空間についてだけ記述したACLを設定することにより取得できる。なお、第1の特徴量導出用のトラヒック情報と、第2の特徴量導出用のトラヒック情報は、種別や情報数が異なっていてもよい。例えば第2の特徴量導出用のトラヒック情報は、SYNパケット数,ポート番号などパケットのヘッダ部に含まれるアドレス情報以外の情報を含むことができる。
次に、図4を参照して、第2の特徴量導出用のトラヒック情報と第2の特徴量の例について説明する。第2の特徴量は、部分アドレス空間におけるトラヒック情報から導出されたスカラー値であってもよいしベクトル値であってもよい。図4の上図の例では、第2の特徴量導出用のトラヒック情報は、ある部分アドレス空間について、宛先アドレスと送信元アドレスとを区別するとともに、SYNフラグ、ACKフラグ、RSTフラグの有無を区別し、合計で4つのトラフィック情報を取得している。そして、第2の特徴量の導出は、4つのトラフィック情報から所定の関数により2つの値を導出し、それぞれをスカラー要素とするベクトル値に加工している。同様に、図4の下図の例では、第2の特徴量導出用のトラヒック情報は、ある部分アドレス空間について、宛先アドレスと送信元アドレスとを区別するとともに、ポート番号がウェルノウンポートであるか否かを区別し、さらにSYNフラグ、ACKフラグ、RSTフラグの有無を区別して集計し、合計で4つのトラフィック情報を取得している。そして、第2の特徴量の導出は、4つのトラフィック情報から所定の関数により4つの値を導出し、それぞれをスカラー要素とするベクトル値に加工している。また、第2の特徴量の単純な例としては、所定時間内における送信パケット数の移動平均などのスカラー値である。このように第1又は第2の特徴量導出用のトラヒック情報は、パケットの宛先アドレス又は送信元アドレスだけでなく、パケットのヘッダ部に含まれるその他の情報を含むことができる。
次に、本発明の一実施の形態に係る感染拡大攻撃検知システムについて図5を参照して説明する。図5は感染拡大攻撃検知システムのネットワーク構成の一例である。図5に示すように、通信事業者網等のネットワーク1には多数の端末2が収容されている。ネットワーク1は、多数の端末2が接続された大規模なIPネットワークである。端末2の通信特性(例えば、通信頻度、宛先数、パケットサイズなど)は不問である。端末2としては、ユーザによって操作される端末だけでなくIoT端末も含む。端末2とネットワーク1とを接続する回線種別は不問であり、無線通信回線であっても有線通信回線であてもよい。ネットワーク1はインターネット3と接続している。ネットワーク1の事業者は、端末2に対してインターネット3への接続サービスを提供する。ネットワーク1にはパケット転送装置100が配備されている。
パケット転送装置100は、インターネット3と端末2間のパケットを中継する装置である。パケット転送装置100の一例としては、通信事業者網のコアネットワークにおけるルータ等のネットワーク機器が挙げられる。ネットワーク1内のパケット転送装置100の台数は不問である。
本実施の形態では、異常検知用装置群として、転送装置制御コントローラ200と、異常検知用ストレージ装置300と、トラヒック傾向分析装置400と、閾値学習用演算装置500と、検知用演算装置600とを備える。ここで、異常検知用ストレージ装置300は、特許請求の範囲の「第1の特徴量導出手段」及び「第2の特徴量導出手段」に相当する。また、トラヒック傾向分析装置400は、特許請求の範囲の「監視対象決定手段」に相当する。また、検知用演算装置600は、特許請求の範囲の「検知手段」に相当する。
各装置の実装形態は不問である。例えば、汎用サーバにプログラムをインストールすることにより各装置を構成してもよいし、プログラムを組み込んだ専用ハードウェア装置として各装置を構成してもよい。また例えば、各装置は任意の組み合わせで1つのハードウェア装置に実装してもよい。また例えば、各装置は、仮想化環境に構築された仮想マシンに実装してもよい。
本実施の形態では、異常検知用装置群をパケット転送装置100毎に設けるが、複数のパケット転送装置100毎に1つの異常検知用装置群を設けてもよい。
パケット転送装置100は、パケットの中継を行う際に、ACLを用いて宛先アドレス空間(例:/8アドレス空間等)毎の送受信パケット数等の情報を収集し、異常検知用ストレージ装置300に転送する。
異常検知用ストレージ装置300は、時系列ごとのトラヒック情報を、有効に検知可能なM個の部分アドレス空間の集合を特定するために用いられる情報(第1の特徴量)に加工し、トラヒック傾向分析装置400に送信する。
トラヒック傾向分析装置400は、一定時間の第1の特徴量を分析し、有効に検知可能なM個の部分アドレス空間の集合(例:常時トラヒック量の少ないM個の部分アドレス空間)を監視対象として特定する。また、転送装置制御コントローラ200を介して前記M個のアドレス空間のトラヒック情報を収集する設定を、パケット転送装置100に投入する。
パケット転送装置100の設定投入後、パケット転送装置100は、有効に検知可能なM個のアドレス空間に限り、そのトラヒック情報を異常検知用ストレージ装置300に送信する。
異常検知用ストレージ装置300では、時系列ごとのトラヒック情報を検知に利用する情報(第2の特徴量)に加工し、閾値学習用演算装置500及び検知用演算装置600に送信する。
閾値学習用演算装置500は、 統計や機械学習アルゴリズムを用いて、過去の時系列の第2の特徴量から閾値を計算する。
検知用演算装置600は、前記閾値と検知対象トラヒックの第2の特徴量を比較演算し、有効に検知可能なM個の部分アドレス空間毎に異常検知し、空間毎の判定結果を総合して感染拡大攻撃の有無を判定する。感染拡大攻撃の発生が認められたときには、転送装置制御コントローラ200を介してパケット転送装置100のルーティングを変更し、以降のトラヒックを所定のセキュリティ装置4に入力して精査する。
以下、異常検知用装置群を構成する各装置の機能構成の一例について説明する。
まず、パケット転送装置の機能構成の一例について図6を参照して説明する。パケット転送装置100は、図6に示すように、端末2から送信されたパケットをインターネット3へと中継するとともに、インターネット3からの端末2宛てのパケットを端末2に中継する通信部110を備える。また、パケット転送装置100は、ACLに通信パケットの属性情報(例:宛先・送信元IPアドレス)ごとに条件を設定することで、条件にマッチしたパケットの所定のサンプリング時間内での数をトラヒック情報として異常検知用ストレージ装置300に送信する情報収集部120を備える。ACLはパケット転送装置100辺りに複数設定することができ、その適用タイミングはフォワーディングの前後で限定しない。また、階層型のネットワークにおいて、ACLの設定容量が足りない場合、異なる階層ごとに異なるACLを設定し、機能分担することも可能であり、その設定箇所は不問である。つまり、トラヒック傾向分析装置400用にトラヒック情報を送信するパケット転送装置100と、閾値学習用演算装置500や検知用演算装置600用にトラヒック情報を送信するパケット転送装置100は同一である必要はない。
また、情報収集部120において収集すべき情報についての設定や通信部110におけるルーティングの設定は、転送装置制御コントローラ200からの指令に基づいて決定される。なお、情報収集部120が異常検知用ストレージ装置300に送信するトラヒック情報は、上述したものに限定されるものではなく、例えばIPヘッダやフルキャプチャ等も考えられる。以降の説明では、報収集部120が異常検知用ストレージ装置300に送信するトラヒック情報は、ACLの条件にマッチしたパケットの数であるものとする。
次に、転送装置制御コントローラの機能構成の一例について図7を参照して説明する。転送装置制御コントローラ200は、図7に示すように、通信インタフェースである通信部210と、設定情報入出力インタフェース部220とを備える。設定情報入出力インタフェース部220は、ACLの設定情報やルーティング設定情報などパケット転送装置100の設定に関する情報をシステム外部(トラヒック傾向分析装置400及び検知用演算装置600を含む)から入力し、パケット転送装置100に設定を送信するインタフェースとして機能する。
次に、異常検知用ストレージ装置の機能構成の一例について図8を参照して説明する。異常検知用ストレージ装置300は、通信インタフェースである通信部310と、パケット転送装置100から取得したトラヒック情報に基づき第1の特徴量及び第2の特徴量を算出する特徴量加工演算部320と、特徴量加工の設定を保持する特徴量設定テーブル330と、過去の時系列の第1の特徴量又は第2の特徴量を保持する特徴量保持テーブル340と、前記特徴量加工演算部320と各テーブル330,340とのインタフェースである情報管理部350とを備える。
また、本実施の形態では、第1の特徴量と第2の特徴量を同一の手法により導出する。このため特徴量設定テーブル330及び特徴量保持テーブル340は、第1の特徴量用と第2の特徴量用とで共用する。
特徴量設定テーブル330は、図9の例に示すように、特徴量加工を実施する時間幅や、パケット転送装置100から取得した情報の加工の仕方を保持する。
特徴量保持テーブル340は、細分化された部分アドレス空間毎に取得した第1の特徴量又は第2の特徴量を時系列ごとに保持するテーブルである。図10の例では、特徴量保持テーブル340は、部分アドレス空間毎に第1の特徴量及び第2の特徴量であるパケット数を格納している。なお、前述したように、第1の特徴量及び第2の特徴量で用いる値や単位の取り方や次元数などは不問である。また、図10の例では、パケット転送装置100単位に一つのテーブルを作成した場合を例示しているが、複数のパケット転送装置100から取得した情報をパケット転送装置100毎に格納してもよい。特徴量保持テーブル340に保持された情報は、トラヒック傾向分析装置400、閾値学習用演算装置500、検知用演算装置600において利用される。
次に、トラヒック傾向分析装置400の機能構成の一例について図11を参照して説明する。トラヒック傾向分析装置400は、図11に示すように、通信インタフェースである通信部410と、異常検知用ストレージ装置300から取得した第1の特徴量に基づき分析を行い、有効に検知可能なアドレス空間集合(例:トラヒック量の少ないアドレス空間)を監視対象として特定する分析用演算部420と、分析用演算部420での分析処理で用いる各種設定情報を保持する分析設定情報テーブル430と、分析用演算部420と分析設定情報テーブル430とのインタフェースである情報管理部440とを備えている。分析用演算部420は、パケット転送装置100において第2の特徴量の導出に必要なトラヒック情報を取得するための情報(例:トラヒック量の少ないM個の部分アドレス空間)の分析を行う。
分析設定情報テーブル430は、前述の分析処理で必要な各種設定情報を保持する。分析設定情報テーブル430は、具体的には図12の例に示すように、トラヒック量の少ない部分アドレス空間を特定するための手法や、トラヒック量の閾値、異常検知を行う部分アドレス空間の数等の情報を保持する。
ここで、トラヒック量の閾値Xは、有効に検知可能な部分アドレス空間集合を定義づけるパラメータの一例である。この例では、トラヒック量の閾値Xを常時下回るアドレス空間を、有効に検知可能なアドレス空間とする。閾値Xは、例えば、検知したい攻撃の量(例:感染台数の目標値×感染端末一台あたりの攻撃量)や攻撃先の分布等(例:一様分布又は複数のアドレス空間に偏りのある分布)に基づいて算出することができる。
なお、前述の手順2においては、閾値Xを下回るアドレス空間すべてで異常検知を行う必要はない。その場合、例えばパラメータMを明示的に定め、最終的に異常検知を行うアドレス空間の数を指定してもよい。また、図12では、閾値Xを利用者が設定する例を記載したが、K−Means等のクラスタリングアルゴリズムにより、検知に有効なアドレス空間集合を特定してもよい。
次に、閾値学習用演算装置の機能構成の一例について図13を参照して説明する。閾値学習用演算装置500は、図13に示すように、通信インタフェースである通信部510と、異常検知用ストレージ装置300から過去の時系列の第2の特徴量を取得するとともに、取得した過去の時系列の第2の特徴量に基づき閾値を学習する演算を行う閾値学習用演算部520、学習情報に基づき閾値を生成する閾値生成部530と、閾値の計算処理(例:統計的手法や機械学習アルゴリズム等)で用いる各種設定情報を保持する学習設定情報テーブル540と、生成した閾値を保持する閾値保持テーブル550と、閾値生成部530と各テーブル540,550とのインタフェースである情報管理部560とを備えている。算出された閾値は、検知用演算装置600に送信される。
閾値保持テーブル550は、図14の例に示すように、第2の特徴量を生成した所定の単位ごとに、すなわちM個の部分アドレス空間毎に、閾値生成部530から取得した各時系列の閾値を保持する。この閾値は、時系列に対して固定でも変動的でもよい。また、閾値の次元数は問わない。
学習設定情報テーブル540は、図15の例に示すように、異常検知に利用するアルゴリズムの種類や、ハイパーパラメータの値、学習に利用する時系列数を異常検知用コントローラ装置から取得し、保持するテーブルである。検知アルゴリズムの種類は不問であり、統計的に四分位値を計算して抽出した外れ値を閾値にしてもよいし、OneClassSVM等の機械学習的アプローチにより閾値を算出してもよい。これらの設定情報は閾値学習用演算部520に送信される。
次に、検知用演算装置の機能構成の一例について図16を参照して説明する。検知用演算装置600は、図16に示すように、通信インタフェースである通信部610と、感染拡大攻撃の発生有無を判定する検知用演算部620と、検知用演算部620で用いる設定情報を保持する検知設定情報テーブル630と、判定結果を表示する判定結果表示ユーザインタフェース部640とを備えている。検知用演算部620は、異常検知用ストレージ装置300からM個の部分アドレス空間におけるトラヒックの現時系列の第2の特徴量を取得するとともに、閾値学習用演算装置500から過去の時系列のトラヒックから算出した閾値の情報を受け取る。検知用演算部620は、取得した第2の特徴量及び閾値に基づき部分アドレス空間毎の正常・異常の判定を行う。さらに検知用演算部620は、検知設定情報テーブル630の情報(M,Nの値等)を参照し、総合的な攻撃判定を行う。判定結果は転送装置制御コントローラ200に送信される。
検知設定情報テーブル630の保持データの一例を図17に示す。図17において、パラメータMは、異常検知を行う部分アドレス空間の数である。当該パラメータMは、所定の定数又はトラヒック傾向分析装置400において算出された数であり、トラヒック傾向分析装置400においても保持されている。パラメータNは、M個の部分アドレス空間における異常検知の結果を総合的に判定する際に用いられるパラメータである。検知用演算部620は、例えば、M個のアドレス区間のうち、N(≦M)個以上のアドレス空間で異常検知されている場合に、感染拡大攻撃が発生していると判定する。パラメータNの値は、本発明で許容できる誤検知率から経験的に求めたり、単一アドレス空間において正常通信によるノイズの発生率を定義し、複数のアドレス空間でノイズが同時に発生する確率を算出することで解析的に求めることができるが、その導出方法は不問である。
以下、本実施の形態に係る感染拡大攻撃検知システムの動作について図18〜図20を参照して説明する。まず、トラヒックの傾向分析に係るシーケンスについて図18のシーケンスチャートを参照して説明する。
本シーケンスでは、図5に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット処理装置100から、細分化されたアドレス空間毎のトラヒック情報を一定の時間隔毎に取得する(ステップS11)。取得したトラヒック情報は異常検知用ストレージ装置300で複数時間幅分蓄積され、蓄積された情報をトラヒック傾向分析装置400が分析することで、感染拡大攻撃を精度よく検知できるM個の部分アドレス空間集合を特定する(ステップS12,S13)。
転送装置制御コントローラ200は、通信事業者網内の異常を網羅的に検知するため、複数のネットワーク転送装置100に対し、M個の部分アドレス空間から、検知に利用できる情報(第2の特徴量の素になるトラヒック情報)を取得するためのコマンドを設定する(ステップS14,S15)。
次に、閾値の学習に係るシーケンスについて図19のシーケンスチャートを参照して説明する。
本シーケンスでは、図5に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット転送装置100から、細分化されたM個の部分アドレス空間毎にトラヒック情報を一定の時間隔毎に(例:20分間隔)取得する(ステップS21)。取得したトラヒック情報は異常検知用ストレージ装置300に格納され、所定の演算に基づいて第2の特徴量に加工される(ステップS22)。以上の処理を複数回(例:100回)繰り返して行う(ステップS23)ことで生成した各時系列の第2の特徴量を、統計や機械学習のアルゴリズムに入力することで、細分化されたM個の部分アドレス空間毎に閾値を得る(ステップS24,S25,S26)。トラヒックのトレンドは周期的に変動すると考えるため、本シーケンスは一定の期間ごと(例:1か月に1度)に行われ、閾値を更新する(ステップS27)。
次に、異常の検知・対処に係るシーケンスについて図20のシーケンスチャートを参照して説明する。
本シーケンスでは、図5に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット転送装置100から、細分化されたM個の部分アドレス空間毎にトラヒック情報を一定の時間隔毎に(例:20分間隔)取得する(ステップS31)。取得したトラヒック情報は異常検知用ストレージ装置300に格納され、所定の演算に基づいて第2の特徴量に加工される(ステップS32)。加工した第2の特徴量と前記閾値の学習のシーケンスで取得した閾値を用いて(ステップS33,S34)、比較等の演算を行うことで、細分化されたM個の部分アドレス空間毎に正常・異常の判定を行う(ステップS35、図1の手順1)。
次に、図1の手順2のとおり、M個の部分アドレス空間での検知結果を総合的に評価することで、ネットワーク1内において端末2からの感染拡大攻撃が発生しているかどうかを判定する(ステップS36)。感染拡大攻撃が発生していると判定した場合、転送装置制御コントローラ200を介して、パケット転送装置100のルーティングを変更し(ステップS37,S38)、M個の部分アドレス空間宛ての通信をセキュリティ装置4に引き込み(ステップS39)、感染端末を端末単位で特定する(ステップS40)。
このように本実施の形態に係る感染拡大攻撃検知システムによれば、監視対象とする部分アドレス空間がトラヒック情報から導出した第1の特徴量に基づきM個に限定されており、限定された各部分アドレス空間におけるトラヒック情報から導出したM個の第2の特徴量のそれぞれについて検知条件を満たすかが判定され、その判定結果を評価することにより感染拡大攻撃が発生したか否かが判定されるので、複数の部分アドレス空間において同時にノイズが発生しない限り、誤検知の発生を低減可能になる。これにより、感染拡大攻撃の発生を高精度で検知することができる。
以上本発明の一実施の形態について詳述したが、本発明はこれに限定されるものではない。例えば、上記実施の形態では、M個の部分アドレス空間を特定するために用いられる第1の特徴量の導出手段と、感染拡大攻撃の検知で用いられる第2の特徴量の導出手段とを、異常検知用ストレージ装置300に実現していたが、両手段は異なる装置として実装してもよい。
また、上記実施の形態では、パケット転送装置100への設定処理は転送装置制御コントローラ200により行っていたが、トラヒック傾向分析装置400や検知用演算装置600が直接パケット処理装置100の設定を行うようにしてもよい。
また、上記実施の形態ではアドレス空間としてIPv4について例示したが、IPv6など他のアドレス空間であっても本発明を適用できる。
1…ネットワーク
2…端末
3…インターネット
4…セキュリティ装置
100…パケット転送装置
200…転送装置制御コントローラ
300…異常検知用ストレージ装置
400…トラヒック傾向分析装置
500…閾値学習用演算装置
600…検知用演算装置

Claims (8)

  1. パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知システムであって、
    前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をパケットのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、
    前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、
    前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量を前記M個の部分アドレス空間毎に導出する第2の特徴量導出手段と、
    前記第2の特徴量導出手段により導出された第2の特徴量が所定の検知条件を満たすか否かをM個の部分アドレス空間毎に判定するとともにM個の判定結果を評価することにより感染拡大攻撃が発生したか否かを判定する検知手段とを備えた
    ことを特徴とする感染拡大攻撃検知システム。
  2. 前記検知手段は、前記検知条件を満たす部分アドレス空間の数が所定の閾値N(N≦M)以上である場合に前記検知条件を満たす部分アドレス空間内において感染拡大攻撃が発生したと判定する
    ことを特徴とする請求項1記載の感染拡大攻撃検知システム。
  3. 前記監視対象決定手段は、前記第1の特徴量に基づき相対的にトラヒック量が少ない所定のM個の部分アドレス空間を監視対象とするよう決定する
    ことを特徴とする請求項1又は2記載の感染拡大攻撃検知システム。
  4. 前記監視対象決定手段は、前記第1の特徴量並びに相対的又は絶対的な閾値に基づき監視対象とするM個の部分アドレス空間を決定する
    ことを特徴とする請求項1又は2記載の感染拡大攻撃検知システム。
  5. 前記監視対象決定手段は、前記転送装置において前記第2のトラヒック情報を取得するためのアクセスコントロールリストを前記転送装置に設定する
    ことを特徴とする請求項1乃至4何れか1項記載の感染拡大攻撃検知システム。
  6. 前記検知手段は、感染拡大攻撃が発生したと判定すると、前記M個の部分アドレス空間内のアドレスを宛先又は送信元とするパケットを所定のセキュリティ装置へ転送するよう前記転送装置を設定する
    ことを特徴とする請求項1乃至5何れか1項記載の感染拡大攻撃検知システム。
  7. パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知方法であって、
    第1の特徴量導出手段が、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をパケットのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出するステップと、
    監視対象決定手段が、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定するステップと、
    第2の特徴量導出手段が、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量を前記M個の部分アドレス空間毎に導出するステップと、
    検知手段が、前記第2の特徴量導出手段により導出された第2の特徴量が所定の検知条件を満たすか否かをM個の部分アドレス空間毎に判定するとともにM個の判定結果を評価することにより感染拡大攻撃が発生したか否かを判定するステップとを備えた
    ことを特徴とする感染拡大攻撃検知方法。
  8. コンピュータを請求項1乃至6記載の感染拡大攻撃検知システムの各手段として機能させる
    ことを特徴とする感染拡大攻撃検知プログラム。
JP2018107052A 2018-06-04 2018-06-04 感染拡大攻撃検知システム及び方法、並びに、プログラム Active JP7060800B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018107052A JP7060800B2 (ja) 2018-06-04 2018-06-04 感染拡大攻撃検知システム及び方法、並びに、プログラム
US15/734,669 US11895146B2 (en) 2018-06-04 2019-06-03 Infection-spreading attack detection system and method, and program
PCT/JP2019/021909 WO2019235403A1 (ja) 2018-06-04 2019-06-03 感染拡大攻撃検知システム及び方法、並びに、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018107052A JP7060800B2 (ja) 2018-06-04 2018-06-04 感染拡大攻撃検知システム及び方法、並びに、プログラム

Publications (2)

Publication Number Publication Date
JP2019213029A true JP2019213029A (ja) 2019-12-12
JP7060800B2 JP7060800B2 (ja) 2022-04-27

Family

ID=68770875

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018107052A Active JP7060800B2 (ja) 2018-06-04 2018-06-04 感染拡大攻撃検知システム及び方法、並びに、プログラム

Country Status (3)

Country Link
US (1) US11895146B2 (ja)
JP (1) JP7060800B2 (ja)
WO (1) WO2019235403A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022009274A1 (ja) * 2020-07-06 2022-01-13 日本電信電話株式会社 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023281684A1 (ja) * 2021-07-08 2023-01-12 日本電気株式会社 通信分析装置、通信分析方法、通信分析システムおよび記録媒体

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7007169B2 (en) * 2001-04-04 2006-02-28 International Business Machines Corporation Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access
DE60220214T2 (de) * 2001-06-29 2008-01-24 Stonesoft Corp. Methode und System zum Entdecken von Eindringlingen
US7356585B1 (en) * 2003-04-04 2008-04-08 Raytheon Company Vertically extensible intrusion detection system and method
US7917649B2 (en) * 2003-12-19 2011-03-29 Nortel Networks Limited Technique for monitoring source addresses through statistical clustering of packets
US7873997B2 (en) * 2004-03-12 2011-01-18 New Jersey Institute Of Technology Deterministic packet marking
US7613755B1 (en) * 2005-04-01 2009-11-03 Netlogic Microsystems, Inc. Signature searching system
JPWO2008084729A1 (ja) * 2006-12-28 2010-04-30 日本電気株式会社 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
JP4780413B2 (ja) * 2007-01-12 2011-09-28 横河電機株式会社 不正アクセス情報収集システム
WO2011162848A2 (en) * 2010-04-01 2011-12-29 21Ct, Inc. System and method for providing impact modeling and prediction of attacks on cyber targets
US9813314B2 (en) * 2014-07-21 2017-11-07 Cisco Technology, Inc. Mitigating reflection-based network attacks
US9450972B2 (en) * 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
JP2016127533A (ja) * 2015-01-07 2016-07-11 日本電信電話株式会社 アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム
US9979606B2 (en) * 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
JP6641819B2 (ja) * 2015-09-15 2020-02-05 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
WO2017074402A1 (en) * 2015-10-29 2017-05-04 Cloudcoffer Llc Methods for preventing computer attacks in two-phase filtering and apparatuses using the same
JP6827266B2 (ja) * 2016-01-15 2021-02-10 富士通株式会社 検知プログラム、検知方法および検知装置
US10326794B2 (en) * 2016-12-21 2019-06-18 Verisign, Inc. Anycast-based spoofed traffic detection and mitigation
CN109033885B (zh) * 2017-06-09 2022-11-18 腾讯科技(深圳)有限公司 一种数据响应方法、终端设备以及服务器
US11374897B2 (en) * 2018-01-15 2022-06-28 Shenzhen Leagsoft Technology Co., Ltd. CandC domain name analysis-based botnet detection method, device, apparatus and medium
US10841281B2 (en) * 2018-03-26 2020-11-17 Kuo Chiang Methods for preventing or detecting computer attacks in a cloud-based environment and apparatuses using the same

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
峰 幸洋、他: "誤検知の低減を考慮した通信事業網における感染拡大攻撃検知方式の一考察", 信学技報, vol. NS2018-34, JPN6021033134, 30 June 2018 (2018-06-30), JP, pages 37 - 42, ISSN: 0004582401 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022009274A1 (ja) * 2020-07-06 2022-01-13 日本電信電話株式会社 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム
JP7468658B2 (ja) 2020-07-06 2024-04-16 日本電信電話株式会社 セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Also Published As

Publication number Publication date
JP7060800B2 (ja) 2022-04-27
US11895146B2 (en) 2024-02-06
WO2019235403A1 (ja) 2019-12-12
US20210234871A1 (en) 2021-07-29

Similar Documents

Publication Publication Date Title
JP6453976B2 (ja) ネットワークシステム、制御装置、通信制御方法および通信制御プログラム
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
US10637885B2 (en) DoS detection configuration
KR101812403B1 (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
Manavi Defense mechanisms against distributed denial of service attacks: A survey
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US10693890B2 (en) Packet relay apparatus
WO2014110293A1 (en) An improved streaming method and system for processing network metadata
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
JP6970344B2 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
WO2019235403A1 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP4161989B2 (ja) ネットワーク監視システム
Oo et al. Effective detection and mitigation of SYN flooding attack in SDN
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.
CN114338221B (zh) 一种基于大数据分析的网络检测系统
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
Sinha et al. Distributed Denial of Service Attack Detection and Prevention in Local Area Network
Shalini et al. Early detection and mitigation of TCP SYN flood attacks in SDN using chi-square test
US11997133B2 (en) Algorithmically detecting malicious packets in DDoS attacks
JP6581053B2 (ja) フロー解析装置、トラフィック解析システム、及びフロー解析方法
Zhang et al. An End-to-end Online DDoS Mitigation Scheme for Network Forwarding Devices
Teixeira et al. Intelligent network client profiler

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200316

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20200324

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201002

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220328

R150 Certificate of patent or registration of utility model

Ref document number: 7060800

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150