JP2020061705A - 検知装置、検知方法および検知プログラム - Google Patents
検知装置、検知方法および検知プログラム Download PDFInfo
- Publication number
- JP2020061705A JP2020061705A JP2018193385A JP2018193385A JP2020061705A JP 2020061705 A JP2020061705 A JP 2020061705A JP 2018193385 A JP2018193385 A JP 2018193385A JP 2018193385 A JP2018193385 A JP 2018193385A JP 2020061705 A JP2020061705 A JP 2020061705A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- detection
- communication destination
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】記憶部14が、DDoS攻撃の検知時刻と検知手法と攻撃属性と通信先とを含む攻撃情報を記憶する。抽出部15aが、攻撃情報の集合から、検知時刻、検知手法、攻撃属性および通信先に応じた攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間以内である、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。抽出部15aは、検知時刻の差が所定時間より長い、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。抽出部15aは、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。
【選択図】図3
Description
図1および図2は、本実施形態の検知装置の処理概要を説明するための図である。本実施形態の検知装置は、検知された単一のDDoS攻撃の情報を用いて、マルチベクタ型のDDoS攻撃の検知を行なう。
図3は、本実施形態の検知装置の概略構成を例示する模式図である。図3に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
次に、図7〜図9を参照して、本実施形態に係る検知装置10による検知処理について説明する。図7〜図9は、検知処理手順を示すフローチャートである。各図のフローチャートは、例えば、ユーザが処理の開始を指示する操作入力を行ったタイミングで開始される。
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 単一DDoS攻撃検知情報
14b マルチベクタ型DDoS攻撃検知情報
15 制御部
15a 抽出部
15b 算出部
Claims (7)
- DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部と、
前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出部と、
を備えることを特徴とする検知装置。 - 前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出することを特徴とする請求項1に記載の検知装置。
- 前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出することを特徴とする請求項1に記載の検知装置。
- 前記抽出部は、前記攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出することを特徴とする請求項1に記載の検知装置。
- 前記攻撃情報は、検知手法、攻撃規模および継続時間をさらに含み、
前記攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された前記攻撃情報の組み合わせの危険度を算出する算出部をさらに備えることを特徴とする請求項1に記載の検知装置。 - DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を備える検知装置で実行される検知方法であって、
前記記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出工程を含んだことを特徴とする検知方法。 - DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出ステップをコンピュータに実行させるための検知プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018193385A JP7014125B2 (ja) | 2018-10-12 | 2018-10-12 | 検知装置、検知方法および検知プログラム |
US17/276,487 US20220046040A1 (en) | 2018-10-12 | 2019-09-18 | Detection device, detection method, and detection program |
PCT/JP2019/036551 WO2020075459A1 (ja) | 2018-10-12 | 2019-09-18 | 検知装置、検知方法および検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018193385A JP7014125B2 (ja) | 2018-10-12 | 2018-10-12 | 検知装置、検知方法および検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020061705A true JP2020061705A (ja) | 2020-04-16 |
JP7014125B2 JP7014125B2 (ja) | 2022-02-01 |
Family
ID=70163791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018193385A Active JP7014125B2 (ja) | 2018-10-12 | 2018-10-12 | 検知装置、検知方法および検知プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220046040A1 (ja) |
JP (1) | JP7014125B2 (ja) |
WO (1) | WO2020075459A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2018037962A (ja) * | 2016-09-01 | 2018-03-08 | 日本電信電話株式会社 | セキュリティ対処システム及びセキュリティ対処方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100628317B1 (ko) * | 2004-12-03 | 2006-09-27 | 한국전자통신연구원 | 네트워크 공격 상황 탐지 장치 및 그 방법 |
JP5011234B2 (ja) * | 2008-08-25 | 2012-08-29 | 株式会社日立情報システムズ | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
WO2014128284A1 (en) * | 2013-02-22 | 2014-08-28 | Adaptive Mobile Limited | Dynamic traffic steering system and method in a network |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
WO2016038662A1 (ja) * | 2014-09-08 | 2016-03-17 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
CN106936799B (zh) * | 2015-12-31 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
CN106357673B (zh) * | 2016-10-19 | 2019-06-21 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
US10887347B2 (en) * | 2016-10-27 | 2021-01-05 | Radware, Ltd. | Network-based perimeter defense system and method |
-
2018
- 2018-10-12 JP JP2018193385A patent/JP7014125B2/ja active Active
-
2019
- 2019-09-18 US US17/276,487 patent/US20220046040A1/en active Pending
- 2019-09-18 WO PCT/JP2019/036551 patent/WO2020075459A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2018037962A (ja) * | 2016-09-01 | 2018-03-08 | 日本電信電話株式会社 | セキュリティ対処システム及びセキュリティ対処方法 |
Non-Patent Citations (3)
Title |
---|
倉上 弘: "あなたにもできる! ログを読む技術[セキュリティ編] 攻撃の足跡はこんなふうに残っている", SOFTWAREDESIGN 発刊297号, JPN6021039879, 18 July 2015 (2015-07-18), JP, pages 53 - 62, ISSN: 0004612940 * |
浦川 順平, 村上 洸介, 山田 明, 窪田 歩: "日本国内におけるDDoS攻撃 の傾向分析 Trend Analysis of DDoS Attacks in Japan", 2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集 [USB] 2017年 暗, JPN6021039880, 2017, pages 1 - 8, ISSN: 0004612941 * |
蒲谷 武正, 千賀 渉, 村上 洸介, 牧田 大佑, 吉岡 克成, 中尾 康二: "AmpPotを活用したDRDoS攻撃対応早期化の取り組み Quick response activity against DRDoS atta", CSS2016 コンピュータセキュリティシンポジウム2016 論文集 合同開催 マルウェア対策研究人, vol. 2016, no. 2, JPN6021039878, 4 October 2016 (2016-10-04), JP, pages 1169 - 1174, ISSN: 0004612939 * |
Also Published As
Publication number | Publication date |
---|---|
US20220046040A1 (en) | 2022-02-10 |
WO2020075459A1 (ja) | 2020-04-16 |
JP7014125B2 (ja) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
US11206286B2 (en) | Methods and systems for reducing unwanted data traffic in a computer network | |
US20180152468A1 (en) | Processing network data using a graph data structure | |
CN107547507B (zh) | 一种防攻击方法、装置、路由器设备及机器可读存储介质 | |
CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
EP3076325A1 (en) | Detecting suspicious files resident on a network | |
CN107547503B (zh) | 一种会话表项处理方法、装置、防火墙设备及存储介质 | |
JP2013191199A (ja) | ネットワーク接続装置を侵入から保護するための方法およびシステム | |
JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
EP2835948A1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
JP2019097133A (ja) | 通信監視システム及び通信監視方法 | |
CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
Cambiaso et al. | Mobile executions of slow DoS attacks | |
Kepçeoğlu et al. | Performing energy consuming attacks on IoT devices | |
JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
JP6053561B2 (ja) | 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 | |
CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
JP7014125B2 (ja) | 検知装置、検知方法および検知プログラム | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
WO2015027523A1 (zh) | 一种确定tcp端口扫描的方法及装置 | |
JP6740264B2 (ja) | 監視システム、監視方法及び監視プログラム | |
CN116015860A (zh) | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211012 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211221 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220103 |