JP2020061705A - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
JP2020061705A
JP2020061705A JP2018193385A JP2018193385A JP2020061705A JP 2020061705 A JP2020061705 A JP 2020061705A JP 2018193385 A JP2018193385 A JP 2018193385A JP 2018193385 A JP2018193385 A JP 2018193385A JP 2020061705 A JP2020061705 A JP 2020061705A
Authority
JP
Japan
Prior art keywords
attack
information
detection
communication destination
ddos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018193385A
Other languages
English (en)
Other versions
JP7014125B2 (ja
Inventor
和憲 神谷
Kazunori Kamiya
和憲 神谷
弘 倉上
Hiroshi Kurakami
弘 倉上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018193385A priority Critical patent/JP7014125B2/ja
Priority to US17/276,487 priority patent/US20220046040A1/en
Priority to PCT/JP2019/036551 priority patent/WO2020075459A1/ja
Publication of JP2020061705A publication Critical patent/JP2020061705A/ja
Application granted granted Critical
Publication of JP7014125B2 publication Critical patent/JP7014125B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】マルチベクタ型のDDoS攻撃を検知する。
【解決手段】記憶部14が、DDoS攻撃の検知時刻と検知手法と攻撃属性と通信先とを含む攻撃情報を記憶する。抽出部15aが、攻撃情報の集合から、検知時刻、検知手法、攻撃属性および通信先に応じた攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間以内である、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。抽出部15aは、検知時刻の差が所定時間より長い、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。抽出部15aは、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。
【選択図】図3

Description

本発明は、検知装置、検知方法および検知プログラムに関する。
従来、DDoS攻撃(Distributed Denial of Service)の検知手法が知られている。例えば、送信元詐称攻撃を検知するBackScatter(非特許文献1参照)、リフレクション攻撃を検知するHoneyPot(非特許文献2参照)、ボリューム型攻撃を検知するxFlow(非特許文献3参照)等が知られている。
近年は、複数のDDoS攻撃を組み合わせたマルチベクタ型のDDoS攻撃が脅威となっている。
"Worldwide Detection of Denial of Service (DoS) Attack"、[online]、2001年8月、[2018年9月7日検索]、インターネット<URL:https://www.caida.org/publications/presentations/usenix0108/dos/dos.pdf> "AmpPot: Monitoring and Defending Against Amplification DDoS Attacks"、[online]、[2018年9月7日検索]、インターネット<URL:https://christian-rossow.de/publications/amppot-raid2015.pdf> "DDoS対策最新動向"、[online]、2017年11月、NTT Communications Corpration、[2018年9月7日検索]、インターネット<URL:https://www.nic.ad.jp/ja/materials/iw/2017/proceedings/s06/s6-nishizuka.pdf>
しかしながら、単一のDDos攻撃を検知する従来の技術では、マルチベクタ型のDDoS攻撃を検知することが困難であった。そのため、マルチベクタ型のDDoS攻撃の実態を把握できず、適切に防御することが困難であった。
本発明は、上記に鑑みてなされたものであって、マルチベクタ型のDDoS攻撃を検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部と、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出部と、を備えることを特徴とする。
本発明によれば、マルチベクタ型のDDoS攻撃を検知することができる。
図1は、本実施形態の検知装置の処理概要を説明するための図である。 図2は、本実施形態の検知装置の処理概要を説明するための図である。 図3は、本実施形態の検知装置の概略構成を例示する模式図である。 図4は、単一DDoS攻撃検知情報のデータ構成を例示する図である。 図5は、抽出部の処理を説明するための図である。 図6は、抽出部の処理を説明するための図である。 図7は、検知処理手順を示すフローチャートである。 図8は、検知処理手順を示すフローチャートである。 図9は、検知処理手順を示すフローチャートである。 図10は、検知プログラムを実行するコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[処理概要]
図1および図2は、本実施形態の検知装置の処理概要を説明するための図である。本実施形態の検知装置は、検知された単一のDDoS攻撃の情報を用いて、マルチベクタ型のDDoS攻撃の検知を行なう。
図1に示す単一DDoS攻撃検知情報14aは、各種の検知手法で検知された単一のDDoS攻撃の情報の集合である。単一のDDoS攻撃の検知手法には、図1に示すように、DDoS攻撃背景トラヒック検知とDDoS攻撃検知とがある。
DDoS攻撃背景トラヒック検知とは、例えばスパムメール等のような、DDoS攻撃の背景となるトラヒックを検知する手法であり、BackScatterやHoneypot等が例示される。BackScatterは、送信元を詐称してリターンメールを発信させる送信元詐称攻撃を検知する。Honeypotは、要求に対する応答を標的のサーバに反射させるリフレクション攻撃を検知する。
DDoS攻撃検知とは、DDoS攻撃そのものを検知する手法であり、xFlow等が例示される。xFlowは、大量のトラヒックにより標的のサーバ等を停止に追い込むボリューム型攻撃を検知する。
また、図2に示すように、検知手法ごとに検知する攻撃の攻撃属性が異なる。例えば、図2(a)に示すように、BackScatterで検知する攻撃の攻撃属性には、TCP SYN Spoofed、TCP RST Spoofed、TCP FIN Spoofed、UDP Spoofed等と呼ばれるものがある。なお、これらの攻撃属性には、攻撃先ポート番号が付帯される。
また、Honeyptで検知する攻撃の攻撃属性には、NTP Reflection、SNMP Reflection、DNS Reflection等と呼ばれるものがある。
また、図2(b)に示すように、xFlowで検知する攻撃の攻撃属性には、TCP SYN、TCP RST、TCP FIN等と呼ばれるものがある。なお、これらの攻撃属性には、攻撃先ポート番号が付帯される。
本実施形態の検知装置10は、上記のような各種の検知手法により検知された単一のDDoS攻撃の複数の攻撃情報を、検知時刻、攻撃属性、通信先(攻撃先)等に応じて組み合わせることにより、マルチベクタ型のDDoS攻撃の発生を検知する。
例えば、検知装置10は、同時発生攻撃、間欠攻撃、あるいは同一標的攻撃のいずれかの発生を検知する。同時発生攻撃とは、同一の通信先に属性の異なる攻撃が同時に発生するマルチベクタ型DDoS攻撃である。間欠攻撃とは、同一の通信先に属性の異なる攻撃が間欠的に発生するマルチベクタ型DDoS攻撃である。また、同一標的攻撃とは、同一のWebアプリケーション等の同一の標的に対する属性の異なる攻撃が発生するマルチベクタ型DDoS攻撃である。
また、検知装置10は、各攻撃情報の攻撃規模や継続時間等を用いて、検知したマルチベクタ型DDoS攻撃の危険度を算出する。検知装置は、検知したマルチベクタ型のDDoS攻撃の実態を、マルチベクタ型DDoS攻撃検知情報14bとして蓄積する。
[検知装置の構成]
図3は、本実施形態の検知装置の概略構成を例示する模式図である。図3に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する検知処理により作成されたバッチ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
本実施形態において、記憶部14には、単一DDoS攻撃検知情報14aと、マルチベクタ型DDoS攻撃検知情報14bとが記憶される。単一DDoS攻撃検知情報14aの各レコードは、単一のDDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報である。
具体的には、図4は、単一DDoS攻撃検知情報14aのデータ構成を例示する図である。図4に示すように、単一DDoS攻撃検知情報14aの各攻撃情報は、DDoS攻撃を識別するSID、検知時刻、検知手法、攻撃属性、通信先、攻撃規模、継続時間およびステータスを含む。図4には、ステータスが終了である、終了した単一のDDoS攻撃の攻撃情報と、ステータスが継続である、継続中の単一のDDoS攻撃の攻撃情報が例示されている。
ここで、攻撃規模は、攻撃に用いられたリンクの太さ等に応じて推定されるDDoS攻撃の規模を表し、平均値(avg pps)と想定される最大値(max pps)とが特定されている。また、継続時間は、ステータスが終了の場合は、検知時刻から終了時刻までの時間であり、ステータスが継続の場合は、検知時刻から現在時刻までの時間である。
マルチベクタ型DDoS攻撃検知情報14bについては後述する。
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図3に例示するように、抽出部15aおよび算出部15bとして機能する。なお、これらの機能部は、異なるハードウェアに実装されてもよい。
抽出部15aは、攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた単一DDoS攻撃検知情報14aの攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。
具体的には、抽出部15aは、攻撃情報の集合である単一DDoS攻撃検知情報14aから、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。
なお、抽出部15aは、検知手法が異なっていても、攻撃属性が同一の攻撃情報は、組み合わせの対象とはしない。また、検知手法が同一でも、攻撃属性が異なる攻撃情報は、組み合わせの対象とする。
ここで、図5および図6は、抽出部15aの処理を説明するための図である。例えば、抽出部15aは、図4に示したSIDがS1001〜S1004の攻撃情報について、通信先が同一であって、検知時刻の差が例えば30秒以内の互いに異なる攻撃属性の攻撃情報であることから、同時発生攻撃として抽出する。
抽出部15aは、抽出したマルチベクタ型DDoS攻撃を、図5に示すように、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。図5に例示するマルチベクタ型DDoS攻撃検知情報14bは、マルチベクタ型DDoS攻撃を構成する単一のDDoS攻撃の攻撃情報(図4参照)に、マルチベクタ型DDoS攻撃の情報を追加したものである。
図5に示す例において、マルチベクタ型DDoS攻撃の情報としては、MID、マルチベクタ型攻撃タイプ、通信先、標的、攻撃規模、継続時間、ステータスおよび危険度を含む。MIDはマルチベクタ型DDoS攻撃を識別する情報であり、マルチベクタ型攻撃タイプは、同時発生攻撃、間欠攻撃、または同一標的攻撃のいずれかを表す。標的については後述する。
マルチベクタ型DDoS攻撃の攻撃規模は、マルチベクタ型DDoS攻撃を構成する各攻撃情報の攻撃規模の和で表される。また、マルチベクタ型DDoS攻撃の継続時間は、各攻撃情報の検知時刻のうちの最も早い検知時刻から、現在時刻までの時間、または全ての単一DDoS攻撃が終了したマルチベクタ型DDoS攻撃終了時刻までの時間である。例えば、後述する算出部15bが、攻撃規模、継続時間および後述する危険度を算出して、マルチベクタ型DDoS攻撃検知情報14bに含める。
また、抽出部15aは、単一DDoS攻撃検知情報14aの攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。例えば、抽出部15aは、図4に示した攻撃情報のうち、SIDがS1004の継続中の攻撃情報について、通信先が同一で過去に終了した、攻撃属性の異なるSIDがS0003の攻撃情報を抽出し、これらを間欠攻撃と判定している。
なお、間欠攻撃については、マルチベクタ型DDoS攻撃の継続時間は、マルチベクタ型DDoS攻撃を構成する各攻撃情報の継続時間のうち、最も長いものとする。
また、抽出部15aは、単一DDoS攻撃検知情報14aの攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。例えば、通信先の異なる攻撃情報であっても、同一のWebアプリケーション等の同一の標的に属すると推定される場合に、抽出部15aが、同一標的攻撃を検知する場合がある。
ここで、図6には、異なる通信先が同一の標的に属することを推定する手法が例示されている。例えば、抽出部15aは、Passive DNSあるいはDNS逆引きと呼ばれる手法を用いて、通信先のFQDN(Fully Qualified Domain Name)を特定し、同一のFQDNの通信先を同一の標的に属すると推定する。あるいは、抽出部15aは、BGP(Border Gateway Protocol)テーブルまたはGeoIPを用いて通信先のAS(Autonomous System)番号を特定し、AS番号が同一の通信先を同一の標的に属すると推定する。あるいは、抽出部15aは、GeoIPを用いて通信先の組織を特定し、同一の組織に属する通信先を同一の標的に属すると推定する。
その場合に、抽出部15aは、同一の標的に属すると推定した通信先に対する、異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。また、抽出部15aは、図5に示したように、抽出した攻撃情報の組み合わせと標的とを、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。
図3の説明に戻る。算出部15bは、単一DDoS攻撃検知情報14aの攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された攻撃情報の組み合わせの危険度を算出する。
例えば、算出部15bは、抽出されたマルチベクタ型DDoS攻撃ごとに、上記のとおり、攻撃規模として、マルチベクタ型DDoS攻撃を構成する各攻撃情報の攻撃規模の和を算出する。また、算出部15bは、マルチベクタ型DDoS攻撃の継続時間として、各攻撃情報の検知時刻のうちの最も早い検知時刻から、現在時刻までの時間、または全ての単一DDoS攻撃が終了した時刻すなわちマルチベクタ型DDoS攻撃終了時刻までの時間を算出する。
そして、算出部15bは、マルチベクタ型DDoS攻撃の危険度として、例えば、抽出されたマルチベクタ型DDoS攻撃ごとに、次の項目A〜Dを算出し、各項目A〜Dの算出値の和を算出する。
A=検知手法数/全検知手法
B=攻撃規模/予め想定される最大攻撃規模
C=継続時間/予め想定される最大継続時間
D=M_D1(同時発生攻撃の場合)、M_D2(間欠攻撃の場合)、M_D3(同一標的攻撃の場合)
ここで、項目Dの各値M_D1、M_D2、M_D3は、各攻撃タイプの想定される危険度に応じて予め設定された値である。また、項目A、BおよびCの値は、それぞれ所定の最大値(M_A、M_B、M_C)で正規化された値である。また、M_A、M_B、およびM_Cと、M_D1、M_D2、M_D3のうちの最大値との和がN(例えば10)になるように、予め設定される。
このように、算出部15bが危険度を算出することにより、抽出されたマルチベクタ型DDoS攻撃の危険度が、検知手法数、攻撃規模、攻撃間隔、攻撃タイプ等に応じて、Nで正規化された値で定量化される。
算出部15bは、図5に示したように、算出したマルチベクタ型DDoS攻撃の攻撃規模、継続時間および危険度を、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。
なお、危険度の定義は上記に限定されない。例えば、算出部15bは、上記項目A〜Dの一部を用いて危険度を定義して値を算出してもよい。
[検知処理]
次に、図7〜図9を参照して、本実施形態に係る検知装置10による検知処理について説明する。図7〜図9は、検知処理手順を示すフローチャートである。各図のフローチャートは、例えば、ユーザが処理の開始を指示する操作入力を行ったタイミングで開始される。
まず、図7には、同時発生攻撃の検知処理手順が示されている。まず、抽出部15aは、単一DDoS攻撃検知情報14aから、継続中または一定時間以内に終了した攻撃情報を処理対象として抽出する(ステップS1)。
抽出部15aは、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の通信先(DstIP)に対して異なる攻撃属性の攻撃情報があるか、すなわち、同時発生攻撃が発生しているかを確認する(ステップS2)。
ステップS2の処理において、該当する攻撃情報がない場合には(ステップS2、No)、抽出部15aは、マルチベクタ型DDoS攻撃が終了したものと判定し(ステップS3)、ステップS7に処理を進める。
一方、ステップS2の処理において、該当する攻撃情報がある場合には(ステップS2、Yes)、抽出部15aは、継続中の攻撃情報が単一のDDoS攻撃かを確認する(ステップS4)。単一のDDoS攻撃である場合には(ステップS4、Yes)、抽出部15aは、2つのDDoS攻撃で構成されるマルチベクタ型DDoS攻撃を検知したものとして(ステップS5)、ステップS7に処理を進める。
または、単一のDDoS攻撃ではない場合には(ステップS4、No)、抽出部15aは、継続中の攻撃情報を含む既存のマルチベクタ型DDoS攻撃に新たに追加する攻撃情報を検知したものとして(ステップS6)、ステップS7に処理を進める。
ステップS7の処理では、抽出部15aが、マルチベクタ型DDoS攻撃検知情報14bの更新を行う。その後、抽出部15aは、全ての継続中の攻撃情報について、上記の処理を行ったかを確認する(ステップS8)。全ての継続中の攻撃情報について上記の処理を行っていない場合には(ステップS8、No)、抽出部15aは、ステップS2に処理を戻す。一方、全ての継続中の攻撃情報についての処理を行った場合には(ステップS8、Yes)、抽出部15aは、一連の検知処理を終了し、一定時間のスリープ(ステップS9)の後にステップS1に処理を戻す。
これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、同時発生攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
また、図8には、間欠攻撃の検知処理手順が示されている。図8の処理は、図7とは、ステップS2の処理に置き換えてステップS21の処理を行う点が異なる。その他の処理は図7と同様であるので、説明を省略する。
ステップS21の処理では、抽出部15aが、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の通信先(DstIP)に対して、一定時間以上の過去に異なる攻撃属性の攻撃情報があるか、すなわち、間欠攻撃が発生しているかを確認する。
これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、間欠攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
また、図9には、同一標的攻撃の検知処理手順が示されている。図9の処理は、図7とは、ステップS2の処理に置き換えてステップS22の処理を行う点が異なる。その他の処理は図7と同様であるので、説明を省略する。
ステップS22の処理では、抽出部15aが、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の標的に属する通信先(DstIP)に対して、異なる攻撃属性の攻撃情報があるか、すなわち、同一標的攻撃が発生しているかを確認する。
これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、同一標的攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
以上、説明したように、本実施形態の検知装置10において、記憶部14が、DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する。抽出部15aが、攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。
例えば、抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。また、抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。また、抽出部15aは、攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。
これにより、検知装置10は、検知された単一のDDoS攻撃の攻撃情報を用いて、マルチベクタ型のDDoS攻撃を検知することができる。したがって、マルチベクタ型のDDoS攻撃の実態を把握して、適切に防御することが可能となる。
また、記憶部14の攻撃情報は、攻撃規模および継続時間をさらに含み、算出部15bが、攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された前記攻撃情報の組み合わせの危険度を算出する。これにより、検知装置10は、マルチベクタ型DDoS攻撃の危険度を、検知手法数、攻撃規模、攻撃間隔、攻撃タイプ等に応じて定量化することができる。したがって、マルチベクタ型DDoS攻撃の実態をより具体的に把握して、より適切に防御することが可能となる。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
図10は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 単一DDoS攻撃検知情報
14b マルチベクタ型DDoS攻撃検知情報
15 制御部
15a 抽出部
15b 算出部

Claims (7)

  1. DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部と、
    前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出部と、
    を備えることを特徴とする検知装置。
  2. 前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  3. 前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  4. 前記抽出部は、前記攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  5. 前記攻撃情報は、検知手法、攻撃規模および継続時間をさらに含み、
    前記攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された前記攻撃情報の組み合わせの危険度を算出する算出部をさらに備えることを特徴とする請求項1に記載の検知装置。
  6. DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を備える検知装置で実行される検知方法であって、
    前記記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出工程を含んだことを特徴とする検知方法。
  7. DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出ステップをコンピュータに実行させるための検知プログラム。
JP2018193385A 2018-10-12 2018-10-12 検知装置、検知方法および検知プログラム Active JP7014125B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018193385A JP7014125B2 (ja) 2018-10-12 2018-10-12 検知装置、検知方法および検知プログラム
US17/276,487 US20220046040A1 (en) 2018-10-12 2019-09-18 Detection device, detection method, and detection program
PCT/JP2019/036551 WO2020075459A1 (ja) 2018-10-12 2019-09-18 検知装置、検知方法および検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018193385A JP7014125B2 (ja) 2018-10-12 2018-10-12 検知装置、検知方法および検知プログラム

Publications (2)

Publication Number Publication Date
JP2020061705A true JP2020061705A (ja) 2020-04-16
JP7014125B2 JP7014125B2 (ja) 2022-02-01

Family

ID=70163791

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018193385A Active JP7014125B2 (ja) 2018-10-12 2018-10-12 検知装置、検知方法および検知プログラム

Country Status (3)

Country Link
US (1) US20220046040A1 (ja)
JP (1) JP7014125B2 (ja)
WO (1) WO2020075459A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086880A (ja) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018037962A (ja) * 2016-09-01 2018-03-08 日本電信電話株式会社 セキュリティ対処システム及びセキュリティ対処方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100628317B1 (ko) * 2004-12-03 2006-09-27 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
WO2014128284A1 (en) * 2013-02-22 2014-08-28 Adaptive Mobile Limited Dynamic traffic steering system and method in a network
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
WO2016038662A1 (ja) * 2014-09-08 2016-03-17 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
CN106936799B (zh) * 2015-12-31 2021-05-04 阿里巴巴集团控股有限公司 报文清洗方法及装置
CN106357673B (zh) * 2016-10-19 2019-06-21 中国科学院信息工程研究所 一种多租户云计算系统DDoS攻击检测方法及系统
US10887347B2 (en) * 2016-10-27 2021-01-05 Radware, Ltd. Network-based perimeter defense system and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086880A (ja) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018037962A (ja) * 2016-09-01 2018-03-08 日本電信電話株式会社 セキュリティ対処システム及びセキュリティ対処方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
倉上 弘: "あなたにもできる! ログを読む技術[セキュリティ編] 攻撃の足跡はこんなふうに残っている", SOFTWAREDESIGN 発刊297号, JPN6021039879, 18 July 2015 (2015-07-18), JP, pages 53 - 62, ISSN: 0004612940 *
浦川 順平, 村上 洸介, 山田 明, 窪田 歩: "日本国内におけるDDoS攻撃 の傾向分析 Trend Analysis of DDoS Attacks in Japan", 2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集 [USB] 2017年 暗, JPN6021039880, 2017, pages 1 - 8, ISSN: 0004612941 *
蒲谷 武正, 千賀 渉, 村上 洸介, 牧田 大佑, 吉岡 克成, 中尾 康二: "AmpPotを活用したDRDoS攻撃対応早期化の取り組み Quick response activity against DRDoS atta", CSS2016 コンピュータセキュリティシンポジウム2016 論文集 合同開催 マルウェア対策研究人, vol. 2016, no. 2, JPN6021039878, 4 October 2016 (2016-10-04), JP, pages 1169 - 1174, ISSN: 0004612939 *

Also Published As

Publication number Publication date
US20220046040A1 (en) 2022-02-10
WO2020075459A1 (ja) 2020-04-16
JP7014125B2 (ja) 2022-02-01

Similar Documents

Publication Publication Date Title
US10135844B2 (en) Method, apparatus, and device for detecting e-mail attack
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US11206286B2 (en) Methods and systems for reducing unwanted data traffic in a computer network
US20180152468A1 (en) Processing network data using a graph data structure
CN107547507B (zh) 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN107733581B (zh) 基于全网环境下的快速互联网资产特征探测方法及装置
EP3076325A1 (en) Detecting suspicious files resident on a network
CN107547503B (zh) 一种会话表项处理方法、装置、防火墙设备及存储介质
JP2013191199A (ja) ネットワーク接続装置を侵入から保護するための方法およびシステム
JP6691268B2 (ja) 監視装置、監視方法および監視プログラム
EP2835948A1 (en) Method for processing a signature rule, server and intrusion prevention system
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
JP2019097133A (ja) 通信監視システム及び通信監視方法
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
Cambiaso et al. Mobile executions of slow DoS attacks
Kepçeoğlu et al. Performing energy consuming attacks on IoT devices
JP5607513B2 (ja) 検知装置、検知方法及び検知プログラム
JP6053561B2 (ja) 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法
CN109413015B (zh) 一种dns劫持的防御方法和装置
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
JP7014125B2 (ja) 検知装置、検知方法および検知プログラム
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
WO2015027523A1 (zh) 一种确定tcp端口扫描的方法及装置
JP6740264B2 (ja) 監視システム、監視方法及び監視プログラム
CN116015860A (zh) 基于蜜罐技术的网络资产仿真方法、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220103