JP4149366B2 - ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム - Google Patents
ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム Download PDFInfo
- Publication number
- JP4149366B2 JP4149366B2 JP2003392627A JP2003392627A JP4149366B2 JP 4149366 B2 JP4149366 B2 JP 4149366B2 JP 2003392627 A JP2003392627 A JP 2003392627A JP 2003392627 A JP2003392627 A JP 2003392627A JP 4149366 B2 JP4149366 B2 JP 4149366B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- attribute
- attack
- value
- attribute type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 39
- 238000009826 distribution Methods 0.000 claims description 52
- 238000000605 extraction Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 description 61
- 238000005259 measurement Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000035945 sensitivity Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネットなどのオープンなネットワーク環境において、パケットを大量に送りつけることで、ネットワークそのものや特定のサーバを使用不能にするネットワーク攻撃に対しこれを防禦する、ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラムに関する。
インターネットなどの広域ネットワークはオープンな環境であり、誰もが自由に接続することが可能である。このため、攻撃者がこのような環境を利用してパケットを大量に送りつけることで、特定のサーバまたはネットワークを使用不能にする攻撃を容易に引き起こすことができる。
ネットワーク攻撃には、特定のサーバにパケットを送りつけることでそのサーバを使用不能にする「宛先固定型ネットワーク攻撃」と、不特定の宛先を持ったパケットを大量に送りつけることでネットワークを使用不能にする「宛先不定型ネットワーク攻撃」がある。宛先固定型ネットワーク攻撃の例として、DoS攻撃、DDoS攻撃が知られている。また、宛先不定型ネットワーク攻撃の例としては、ワームによる自己増殖によりネットワーク帯域を浪費する攻撃などが知られている。
ネットワーク攻撃には、特定のサーバにパケットを送りつけることでそのサーバを使用不能にする「宛先固定型ネットワーク攻撃」と、不特定の宛先を持ったパケットを大量に送りつけることでネットワークを使用不能にする「宛先不定型ネットワーク攻撃」がある。宛先固定型ネットワーク攻撃の例として、DoS攻撃、DDoS攻撃が知られている。また、宛先不定型ネットワーク攻撃の例としては、ワームによる自己増殖によりネットワーク帯域を浪費する攻撃などが知られている。
ところで、ネットワーク攻撃が発生した際に、攻撃パケットヘの対策を行うための方法は従来から多数提案され出願されている。例えば、本出願の発明者等が出願済みの「分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム」(特願2002−81901号)、「攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体」(特願2003−151578号)がある。
前者は、防禦対象の近くのノードが、フロー毎のパケット量に異常が発生した際にこれを攻撃として検出すると同時に、異常なフローの情報を攻撃経路上のノードに伝達し、これらのノードでこの情報にマッチするパケットの帯域を予め指定された量以下に制限する技術に関する提案である(一次対策)。また、各ノードで、送信元アドレス範囲別に異常フローの帯域を測定し、それらの中に長期間に亘る連続性などの不正なパターンが見つかった場合には、その範囲からの異常フローの帯域をより少ない量に制限する(二次対策)。
前者は、防禦対象の近くのノードが、フロー毎のパケット量に異常が発生した際にこれを攻撃として検出すると同時に、異常なフローの情報を攻撃経路上のノードに伝達し、これらのノードでこの情報にマッチするパケットの帯域を予め指定された量以下に制限する技術に関する提案である(一次対策)。また、各ノードで、送信元アドレス範囲別に異常フローの帯域を測定し、それらの中に長期間に亘る連続性などの不正なパターンが見つかった場合には、その範囲からの異常フローの帯域をより少ない量に制限する(二次対策)。
後者は、攻撃発生中のパケットを解析することで、攻撃パケットを送信元アドレス単位で識別することで識別精度を向上させ、攻撃に対する効果的な対策を実現し、正規利用者のパケットヘの影響を低減することを可能にした技術である。また、転送紙が多い送信元アドレスからのパケットのみを解析対象とすることで、限られたメモリを使用して解析処理を行うことを可能とする。
ネットワーク攻撃が発生した際に、攻撃パケットヘの対策を行うための方法は、上記した出願のみならず文献にも多数開示されている。
例えば、サーバなどの防禦対象における近くのノードが、インタフェース毎のキューを監視し、多量のキュー溢れが発生した場合にこれを攻撃として検出し、検出後、キューに入力されるパケットの宛先アドレスを解析して、攻撃パケットの宛先ネットワークアドレスを抽出し、これを攻撃パケット情報とするものである。同時に、この情報を攻撃経路上のノードに伝達し、これらのノードでこの情報に該当するパケットの帯域を制限する技術が開示されている(例えば、非特許文献1参照)。
例えば、サーバなどの防禦対象における近くのノードが、インタフェース毎のキューを監視し、多量のキュー溢れが発生した場合にこれを攻撃として検出し、検出後、キューに入力されるパケットの宛先アドレスを解析して、攻撃パケットの宛先ネットワークアドレスを抽出し、これを攻撃パケット情報とするものである。同時に、この情報を攻撃経路上のノードに伝達し、これらのノードでこの情報に該当するパケットの帯域を制限する技術が開示されている(例えば、非特許文献1参照)。
また、統計的な解析を行って攻撃パケットの属性値を割り出し、それらの属性値を持ったパケットをノードで遮断し、同時にこの情報をネットワーク上に分散配置された他のノードに伝達し、それらのノードでこの情報に該当するパケットを遮断する技術も開示されている(例えば、非特許文献2参照)。
ACC(Aggregate-based Congestion Control)(R. Mahajan, S. Bellovin, S. Floyd, J. Ioan-nidis, V.Paxson and S. Shcnker: "Controlling High Bandwidth Aggregates in the Net-work", SIGCOMM Computer Communication Review, Vol 32, No.3, p.62-73, Jul. 2002.) 「SQL Slammerワームウイルスに対するDistributed Active Firewall の性能評価」(杉田誠、片山勝、塩本公平,山中直明)情報処理学会研究報告,2003-CSEC-22 Vol.2003,No74,p105-112
ACC(Aggregate-based Congestion Control)(R. Mahajan, S. Bellovin, S. Floyd, J. Ioan-nidis, V.Paxson and S. Shcnker: "Controlling High Bandwidth Aggregates in the Net-work", SIGCOMM Computer Communication Review, Vol 32, No.3, p.62-73, Jul. 2002.) 「SQL Slammerワームウイルスに対するDistributed Active Firewall の性能評価」(杉田誠、片山勝、塩本公平,山中直明)情報処理学会研究報告,2003-CSEC-22 Vol.2003,No74,p105-112
しかしながら上記した従来技術によれば、それぞれ以下に示す欠点を持つ。すなわち、特願2002−81901号、特願2003−151578号に開示された技術によれば、予め防禦対象のサーバを指定し、システムにそのサーバ向けのフロー情報と異常条件を入力しておく必要がある。ここで、「フロー」とは、同じ属性を持ったパケット群のことをいい、ここでいう属性には、送信元/宛先アドレス、送信元/宛先ポート番号、プロトコル番号などが含まれる。
例えば、サーバSを防御対象とする場合には、フロー1:{宛先アドレス=S、プロトコル=TCP}、異常条件1:{100Mbps以上のパケットが30秒以上連続して転送される}などの情報を設定する。これらの情報は、管理者が一定期間ネットワークを監視して導き出すなどする必要があり、人手が介在するため手間と時間を要するのみならず不適正な設定を行う可能性が高くなる。
また、この方法は、宛先固定型ネットワーク攻撃への対策とはなるが、宛先不定型ネットワーク攻撃への対策とはならない。さらに、フロー情報から外れたパケットを用いた攻撃(上記例では、UDPプロトコルを用いた攻撃など)への対策とはならない。また、この方法では、異常なフローに対して帯域制限を行うが、その制限値は管理者が手動で設定するため、この値の決め方についても管理者が一定期間ネットワークを監視して導き出す必要があり、人手が介在するため手間と時間がかかり、不適正な設定を行う可能性が高くなる。このように2件ともに、設定に手間と時間のかかり不適正な設定を行う可能性も高い点、対策対象の攻撃が限定される点が問題となる。
例えば、サーバSを防御対象とする場合には、フロー1:{宛先アドレス=S、プロトコル=TCP}、異常条件1:{100Mbps以上のパケットが30秒以上連続して転送される}などの情報を設定する。これらの情報は、管理者が一定期間ネットワークを監視して導き出すなどする必要があり、人手が介在するため手間と時間を要するのみならず不適正な設定を行う可能性が高くなる。
また、この方法は、宛先固定型ネットワーク攻撃への対策とはなるが、宛先不定型ネットワーク攻撃への対策とはならない。さらに、フロー情報から外れたパケットを用いた攻撃(上記例では、UDPプロトコルを用いた攻撃など)への対策とはならない。また、この方法では、異常なフローに対して帯域制限を行うが、その制限値は管理者が手動で設定するため、この値の決め方についても管理者が一定期間ネットワークを監視して導き出す必要があり、人手が介在するため手間と時間がかかり、不適正な設定を行う可能性が高くなる。このように2件ともに、設定に手間と時間のかかり不適正な設定を行う可能性も高い点、対策対象の攻撃が限定される点が問題となる。
一方、非特許文献1に開示された技術についても上記同様、宛先固定型ネットワーク攻撃への対策とはなるが、宛先不定型ネットワーク攻撃への対策とはならない。また、攻撃パケットの識別子として宛先アドレスのみを利用しているため、識別精度が低い。このため、識別対象のパケットの中に正規の利用者のパケットを含んでしまい、正規の利用者の通信まで制限をかけてしまう可能性が高く、対策による正規利用者への影響が大きい。
さらに、上記同様、異常なフローに対して帯域制限を行うが、その制限値は管理者が手動で設定するため、この値の決め方についても管理者が一定期間ネットワークを監視して導き出す必要があり、人手が介在するため手間と時間のかかるがかかるだけでなく、不適正な設定を行う可能性が高くなる。このように、対策対象の攻撃が限定される点、攻撃パケットの識別精度が低く、対策による正規利用者への影響が大きい点、設定に手間と時間のかかり不適正な設定を行う可能性も高い点、がそれぞれ問題となる。
さらに、上記同様、異常なフローに対して帯域制限を行うが、その制限値は管理者が手動で設定するため、この値の決め方についても管理者が一定期間ネットワークを監視して導き出す必要があり、人手が介在するため手間と時間のかかるがかかるだけでなく、不適正な設定を行う可能性が高くなる。このように、対策対象の攻撃が限定される点、攻撃パケットの識別精度が低く、対策による正規利用者への影響が大きい点、設定に手間と時間のかかり不適正な設定を行う可能性も高い点、がそれぞれ問題となる。
また、非特許文献2に開示された技術によれば、攻撃パケットをネットワーク装置で遮断してしまうため、攻撃パケットの識別子が正規の利用者のパケットまでも含む場合に、正規の利用者の通信を遮断してしまう。これは、特願2002−81901号、特願2003−151578号に開示された技術と比較して対策による正規利用者への影響が更に大きくなり、問題となる。
本発明は上記事情に鑑みてなされたものであり、パケットの1つまたは複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録して正常時のパケット量分布の特徴値を自動抽出し、パケット量分布を定期的に計測してトラヒックプロファイルから乖離がある場合に攻撃として検出することにより、フロー情報などの事前設定無しに攻撃検出を可能とするネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラムを提供することを目的とする。
また、このとき乖離のある複数の異常な属性値を攻撃パケットの識別子として自動抽出することで、精度の高い攻撃パケットの識別を可能とし、更に、異常発生前のパケット量分布に応じて、自動的に攻撃パケットの帯域制限を行うことにより、事前設定なしに攻撃への適切な対策を可能とする、ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラムを提供することも目的とする。
また、このとき乖離のある複数の異常な属性値を攻撃パケットの識別子として自動抽出することで、精度の高い攻撃パケットの識別を可能とし、更に、異常発生前のパケット量分布に応じて、自動的に攻撃パケットの帯域制限を行うことにより、事前設定なしに攻撃への適切な対策を可能とする、ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラムを提供することも目的とする。
上記した課題を解決するために本発明は、複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク攻撃対策方法であって、前記端末から送信されるパケットの複数の属性種別に関するパケット量分布を定期的に計測するステップと、前記計測されるパケットの複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録するステップと、前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出するステップと、前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する攻撃パケット特徴値抽出ステップと、を有することを特徴とする。
また、本発明において、前記属性種別は、宛先アドレス、宛先ポート番号、プロトコル番号、パケット長のうちのいずれかまたは複数であることを特徴とする。
上記した課題を解決するために本発明は、複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク装置であって、前記端末から送信されるパケットの1つまたは複数の属性種別に関するパケット量分布を定期的に計測するパケット量分布計測部と、前記計測されるパケットの1つまたは複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録するトラヒックプロファイル記録部と、前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出するトラヒックプロファイル抽出部と、前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する攻撃パケット特徴値抽出部と、を備えたことを特徴とする。
また、本発明において、前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの詳細な特徴値を自動抽出する攻撃パケット特徴値抽出部と、を備えたことを特徴とする。
また、本発明において、前記攻撃検出後、前記攻撃パケットに帯域制限を行う際、その制限値を前記正常時のトラヒックプロファイルに基づき算出する帯域制限値算出部と、を備えたことを特徴とする。
ここでは、ネットワーク装置が、パケットが入力される度にそのパケットに付与されている属性値を抽出する。ここでいう属性値とは、宛先アドレス、宛先ポート、プロトコル番号、パケット長などのIPパケットの値を指す。ネットワーク装置は、属性種別毎に、「単位時間内に入力されたパケット量(以下、単位時間パケット量)」の属性値別の分布を予め設定された「計測期間」毎に計測し、それをトラヒックプロファイルとして記録する。計測データが予め設定された「計測期間」分溜まると、ネットワーク装置は、例えば、その期間の平均値、最大値および標準偏差を計算してトラヒックプロファイルに記録し、以後、定間隔毎にそれらの値を更新していく。このことにより、トラヒックプロファイルは、正常時の属性値別パケット量分布を表すこととなる。
そして、計測時に、計測データがトラヒックプロファイルのパケット量分布と著しく異なる場合に警戒モードに入る。例えば、ある属性種別において、特定の属性値の計測データが計測期間内の最大値をN1倍超える、または、計測期間内の平均値N2×標準偏差を超える、などの条件を満たすときに警戒モードに入る。さらに同一の属性値に対してこの警戒モードが連続してC回以上満たされた時には攻撃として検出する。これらのNx、Cの値は攻撃判定の「感度」を表すものであり設定によって変更可能とする。
本発明によれば、正常時のパケット特徴値を表すトラヒックプロファイルを自動更新し、その内容と計測期間毎のパケット量分布とをリアルタイムに比較することで、異常条件の設定を予め行うことなく、攻撃の検出を可能とする。また、攻撃検出時、トラヒックテプロファイルにおける複数の属性種別の中から異常な属性値を複数抽出するため、精度の高い攻撃パケット識別子の抽出が可能となる。さらに、本発明によれば、ネットワーク装置が攻撃パケットに帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットヘの影響を低くすることができる。
本発明によれば、正常時のパケット特徴値を表すトラヒックプロファイルを自動更新し、その内容と計測期間毎のパケット量分布とをリアルタイムに比較することで、異常条件の設定を予め行うことなく、攻撃の検出を可能とする。また、攻撃検出時、トラヒックテプロファイルにおける複数の属性種別の中から異常な属性値を複数抽出するため、精度の高い攻撃パケット識別子の抽出が可能となる。さらに、本発明によれば、ネットワーク装置が攻撃パケットに帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットヘの影響を低くすることができる。
上記した課題を解決するために本発明は、複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク装置に用いられるプログラムであって、前記端末から送信されるパケットの複数の属性種別に関するパケット量分布を定期的に計測する処理と、前記計測されるパケットの複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録する処理と、前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出する処理と、前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する処理と、をコンピュータに実行させることを特徴とする。
本発明によれば、ネットワーク装置(WAN上の各ノード)は、正常時のパケット特徴値を表すトラヒックプロファイルを自動更新し、それと、計測期間毎のパケット量分布とをリアルタイムに比較することで、異常条件の設定を予め行うことなく、攻撃の検出を可能とする。また、攻撃検出時、トラヒックプロファイルにおける複数の属性種別の中から異常な属性値を複数抽出するため、精度の高い攻撃パケット識別子の抽出が可能となる。
さらに、ネットワーク装置が攻撃パケットに帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットへの影響を低くすることができる。このことにより、ネットワーク攻撃に対して人手を介在させず、適切な対策を可能とし、ネットワーク全体を安全な状態に保つことが可能となる。
さらに、ネットワーク装置が攻撃パケットに帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットへの影響を低くすることができる。このことにより、ネットワーク攻撃に対して人手を介在させず、適切な対策を可能とし、ネットワーク全体を安全な状態に保つことが可能となる。
以下、図面に従って本発明を説明する。図1は、本発明のネットワーク装置が接続されるネットワーク環境を説明するために引用した図である。
図1において、符号1〜4は、PCなどの端末あるいはサーバである。9は、端末1〜4が接続されるWAN(Wide Area Network)である。WAN9は、本発明のネットワーク装置が実装される複数のノード5〜8を有している。
図1において、符号1〜4は、PCなどの端末あるいはサーバである。9は、端末1〜4が接続されるWAN(Wide Area Network)である。WAN9は、本発明のネットワーク装置が実装される複数のノード5〜8を有している。
ネットワーク攻撃は、端末が、ウィルスやワームに感染する、または、攻撃者によって制御が乗っ取られた場合に発生する。例えば、端末1〜3が攻撃者によって制御を乗っ取られ、端末4に向かって大量の攻撃パケットが送信されると、宛先固定型ネットワーク攻撃が発生する。また、端末4がワームによって制御を乗っ取られ、端末1〜3を含む任意の宛先アドレスを持った自己増殖のパケットを送信すると、宛先不定やネットワーク攻撃が発生する。これらの攻撃が発生すると、ノード5〜8やWAN9の帯域やリソースが浪費され、正常な動作ができなくなるという現象が起こる。
以下、図1におけるノード8を中心に本発明のネットワーク攻撃対策について説明する。
図2は、本発明のネットワーク装置が実装されるノード8の内部構成を機能展開して示したブロック図である。図2に示されるように、ノード8は、パケット量分布計測部81と、トラヒックプロファイルDB82と、トラヒックプロファイル抽出部83と、攻撃検出部84と、攻撃パケット特徴値抽出部85と、帯域制限値算出部86で構成される。
図2は、本発明のネットワーク装置が実装されるノード8の内部構成を機能展開して示したブロック図である。図2に示されるように、ノード8は、パケット量分布計測部81と、トラヒックプロファイルDB82と、トラヒックプロファイル抽出部83と、攻撃検出部84と、攻撃パケット特徴値抽出部85と、帯域制限値算出部86で構成される。
パケット量分布計測部81は、端末1〜4から送信されるパケットの1つまたは複数の属性種別に関するパケット量分布を定期的に計測する機能を持ち、トラヒックプロファイル記録部としてのトラヒックプロファイルDB82は、パケット量分布計測部81で計測されるパケットの複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録される。
また、トラヒックプロファイル抽出部83は、トラヒックプロファイルDB82に記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出する機能を持つ。
また、トラヒックプロファイル抽出部83は、トラヒックプロファイルDB82に記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出する機能を持つ。
攻撃検出部84は、定期的に計測される複数の属性種別に関するパケット量分布と、正常時におけるトラヒックプロファイルとの乖離からネットワーク攻撃を検出する機能を持ち、攻撃パケット特徴値抽出部85は、攻撃検出部84でネットワーク攻撃が検出された時にその攻撃パケットの詳細な特徴値を自動抽出する機能を持つ。
また、帯域制限値算出部86は、ネットワーク攻撃検出後、攻撃パケットに帯域制限を行う際、その制限値を正常時のトラヒックプロファイルに基づき算出する機能を持つ。
また、帯域制限値算出部86は、ネットワーク攻撃検出後、攻撃パケットに帯域制限を行う際、その制限値を正常時のトラヒックプロファイルに基づき算出する機能を持つ。
図3に、トラヒックプロファイルDB82に記録されるトラヒックプロファイル20のデータ構造の一例を示す。トラヒックプロファイル20は、宛先アドレス、宛先ボート、プロトコル番号、パケット長などの、IPパケットに付与される各属性種別のトラヒックテーブルから構成されることから、以降では、多次元トラヒックプロファイルと称することとする。
宛先ボートトラヒックテーブル21は、多次元トラヒックプロファイルの中で、宛先ポート番号毎のパケット量分布を格納するものである。また、パケット長トラヒックテーブル22は、多次元トラヒックプロファイルの中で、パケット長毎のパケット量分布を格納するものである、各テーブルは、パケット量、単位時間パケット量、平均値、最大値、標準偏差、警戒モードフラグの各フィールドから構成される。宛先ポートトラヒックテーブル21を例示すれば、属性値211、パケット量212、単位時間パケット量213、平均値214、最大値215、標準偏差216、警戒モードフラグ217が各フィールドを示す。
宛先ボートトラヒックテーブル21は、多次元トラヒックプロファイルの中で、宛先ポート番号毎のパケット量分布を格納するものである。また、パケット長トラヒックテーブル22は、多次元トラヒックプロファイルの中で、パケット長毎のパケット量分布を格納するものである、各テーブルは、パケット量、単位時間パケット量、平均値、最大値、標準偏差、警戒モードフラグの各フィールドから構成される。宛先ポートトラヒックテーブル21を例示すれば、属性値211、パケット量212、単位時間パケット量213、平均値214、最大値215、標準偏差216、警戒モードフラグ217が各フィールドを示す。
図4〜図6は、本発明のネットワーク装置の動作を説明するために引用したフローチャートであり、一部、本発明のプログラムの処理手順も示している。
以下、図4〜図6に示すフローチャートを参照しながら図2、図3に示す本発明のネットワーク装置の動作について詳細に説明する。
以下、図4〜図6に示すフローチャートを参照しながら図2、図3に示す本発明のネットワーク装置の動作について詳細に説明する。
図4は、ノード8での、多次元トラヒックプロファイル20の各データの処理手順を示している。ノード8は、パケットを受信すると、予めパラメータ設定された「計測属性種別」(図示せず)に記述されている属性種別の属性値を抽出して以降の処理を実行する。
まず、ノード8は、あらかじめ設定された計測属性種別の中から属性種別を選択する(S41)。全ての属性種別が選択し終わった場合には、処理を終了する。
ステップS41の処理で選択に成功した場合、ノード8は、属性値を抽出し(S42)、該当するトラヒックテーブルに既にその属性値に対応するレコードが存在するか否かのチェックを行う(S43)。存在しない場合はレコードの作成を試みる。レコード作成の可否は、ノード8がその時に使用可能なメモリ量などを元に判断する。レコード作成が可能な場合(S46Yes)、レコードを作成し(S47)、作成したレコードのパケット量に1を加算する(S48)。また、ステップS43で既にその属性値に対応するレコードが存在することが確認された場合には、ステップS44で該当レコードのパケット量に1を加算する(S44)。次に、合計レコードのパケット量に1を加算して(S45)、ステップS41の処理に戻る。ステップS41〜S45の処理は、パケットを受信する度に計測属性種別に設定されている項目分だけ実行される。
まず、ノード8は、あらかじめ設定された計測属性種別の中から属性種別を選択する(S41)。全ての属性種別が選択し終わった場合には、処理を終了する。
ステップS41の処理で選択に成功した場合、ノード8は、属性値を抽出し(S42)、該当するトラヒックテーブルに既にその属性値に対応するレコードが存在するか否かのチェックを行う(S43)。存在しない場合はレコードの作成を試みる。レコード作成の可否は、ノード8がその時に使用可能なメモリ量などを元に判断する。レコード作成が可能な場合(S46Yes)、レコードを作成し(S47)、作成したレコードのパケット量に1を加算する(S48)。また、ステップS43で既にその属性値に対応するレコードが存在することが確認された場合には、ステップS44で該当レコードのパケット量に1を加算する(S44)。次に、合計レコードのパケット量に1を加算して(S45)、ステップS41の処理に戻る。ステップS41〜S45の処理は、パケットを受信する度に計測属性種別に設定されている項目分だけ実行される。
図5は、ノード8の多次元トラヒックプロファイルにおける、単位時間パケット量213、平均値214、最大値215、標準偏差216、警戒モードフラグ217の各値の処理方法,および、攻撃検出判断手順について示すものである。
ノード8は、予め設定された、計測間隔(Dc)、例えば、10s毎に、計測属性種別に記述されている属性種別の数だけ、以下の処理を実行する。すなわち、まず、計測属性種別の中から属性種別を選択する(S51)。全ての属性種別が選択し終わった場合にはステップS56の処理に進む。選択に成功した場合、以下の演算式(1)により単位時間パケット量213を計算する。
単位時間パケット量(213)=パケット量(212)/Dc…(1)
ノード8は、予め設定された、計測間隔(Dc)、例えば、10s毎に、計測属性種別に記述されている属性種別の数だけ、以下の処理を実行する。すなわち、まず、計測属性種別の中から属性種別を選択する(S51)。全ての属性種別が選択し終わった場合にはステップS56の処理に進む。選択に成功した場合、以下の演算式(1)により単位時間パケット量213を計算する。
単位時間パケット量(213)=パケット量(212)/Dc…(1)
ステップS52では、上記により計算した単位時間パケット量213を、過去Do回分履歴として記録する。これらの値を、以下、p(0),p(1)、…、p(Do−1)と記述する。ここでDoの値は計測期間を表すものであり、管理者によって設定されることとする、また、p(0)は、(1)式で計算した最新の単位時間パケット量(213)とする。そして、ステップS53では、単位時間パケット量情報がDo回分履歴として記録されているか否かを判断し、記録されていない場合には、トラヒックプロファイルが十分に構成されていないと判断してステップS51の処理に進む。
ステップS54では、各レコードの警戒モードフラグ(217)について、最新の単位時間パケット量poが、多次元トラヒックプロファイルの分布を大きく超えた場合“ON”に設定し、それ以外の場合“OFF”に設定する。例えば、特定のレコードのp(0)が計測期間内の最大値(215)をN1倍超える、または、p(0)が平均値(213)+N2×分散値(215)を超える、などの条件を満たすときに“ON”設定する。
次に、ステップS55では、警戒モードフラグ(217)に“ON”設定されたレコードが存在する場合、そのレコードの属性値を「異常属性値」として登録する。複数のレコードの警戒モードフラグ(217)が“ON”になった場合、それらの属性値の論理和(OR)条件を異常属性値とする。例えば、宛先ポートトラヒックテーブルで属性値“X1”のレコードと属性値“X2”の警戒モードフラグが“ON”設定された場合、異常属性値{宛先ポート=X1 OR 宛先ポート=X2}となる。
次に、ステップS55では、警戒モードフラグ(217)に“ON”設定されたレコードが存在する場合、そのレコードの属性値を「異常属性値」として登録する。複数のレコードの警戒モードフラグ(217)が“ON”になった場合、それらの属性値の論理和(OR)条件を異常属性値とする。例えば、宛先ポートトラヒックテーブルで属性値“X1”のレコードと属性値“X2”の警戒モードフラグが“ON”設定された場合、異常属性値{宛先ポート=X1 OR 宛先ポート=X2}となる。
またステップS55では、既に別の属性種別で異常属性値が登録されている場合には、新たな異常属性値を論理積(AND)条件で追加する。例えば上記した例で、異常属性値{宛先ポート=X1 OR 宛先ポート=X2}が既に登録されていて、新たに、パケット長トラヒックテーブルで属性値“Y”のレコードの警戒モードフラグも“ON”に設定された場合は、異常属性値{宛先ポート=X1 OR 宛先ポート=X2} AND パケット長=Yとなる。
一方、ステップS56では、異常属性値に登録があるかどうか見て、登録がなければ正常状態と判断してステップS57の処理に進む。ここで登録がある場合、ステップS61の処理に進む。ステップS56では、以下の演算式(2)により平均値(214)を更新する。
一方、ステップS56では、異常属性値に登録があるかどうか見て、登録がなければ正常状態と判断してステップS57の処理に進む。ここで登録がある場合、ステップS61の処理に進む。ステップS56では、以下の演算式(2)により平均値(214)を更新する。
また、ステップS58では、以下の演算式により最大値(215)を更新する。
最大値(215)=max(最大値(215),単位時間パケット最(213))…(3)
ここでmax(A,B)は、AとBとを比較し、大きい値を返す関数である。
さらに、ステップS59では、以下の演算式(4)を求めることで標準偏差(216)を更新する。
最大値(215)=max(最大値(215),単位時間パケット最(213))…(3)
ここでmax(A,B)は、AとBとを比較し、大きい値を返す関数である。
さらに、ステップS59では、以下の演算式(4)を求めることで標準偏差(216)を更新する。
ステップS61では、以前登録された異常属性値である「警戒属性値」と現在の異常属性値を比較し、一致している場合には、同じ攻撃と判断して、警戒カウンタ(ctr)を1増加させる(S62)。一致していない場合には新たな攻撃と判断して「警戒カウンタ(ctr)」に1を代入する(S63)。そして、ステップS64では、異常属性値を警戒属性値にコピーする。
次に、ステップS65で、ctrと、閾値Cとを比較し、ctr≧Cの場合には攻撃が発生していると判断し、対策処理を実行する。それ以外の場合、処理を終了する。上記したNx、Cの値は攻撃判定の際の「感度」を表すものであり、設定によって変更を可能とする。
次に、ステップS65で、ctrと、閾値Cとを比較し、ctr≧Cの場合には攻撃が発生していると判断し、対策処理を実行する。それ以外の場合、処理を終了する。上記したNx、Cの値は攻撃判定の際の「感度」を表すものであり、設定によって変更を可能とする。
図6は、図5に示す対策処理の詳細手順を示すフローチャートである。ノード8は、攻撃が検出されると、後述する異常キューを作成して、異常属性値を持つパケットを分類する。異常キューでは、最大出力量を、攻撃発生前のその属性値の単位時間パケット量の平均値(214)に制限する。以下、異常属性値が{宛先ポート=X1 OR 宛先ポート=X2} AND パケット長=Yであった場合を例に処理の流れを説明する。
まず、ステップS66では、宛先ポートトラヒックテーブル(20)の平均値(213)から、正常時の{宛先ポート=X1}および{宛先ポート=X2}に該当する単位時間パケット量の平均値の合計(μport=X1 OR port=X2)を抽出する。次に、ステップS67でその値を異常制限値に設定する。そして、ステップS48では、異常属性が他にあるか否かを判断し、無い場合はステップS72の処理に進む。異常属性が他にある場合はステップS69で次の属性種別の異常属性値{パケット長=64}を参照し、その属性種別に対応したトラヒックテーブルを選択し、該当テーブルの平均値を抽出する。
上記の例の場合、パケット長トラヒックテーブルの{パケット長=64}に該当するレコードの平均値が抽出される。
上記の例の場合、パケット長トラヒックテーブルの{パケット長=64}に該当するレコードの平均値が抽出される。
次にステップS70では、ステップS69で抽出された平均値の、合計値に対する割合(平均値割合)を計算する。例えば、{パケット長=64}属性を持った平均値をμlength=64、全パケットの平均値をμとすれば、平均値割合=μlength=64/μとなる。次に、ステップS71では、先に得られた異常制限値に平均値割合を掛け合わせた値を新たな異常制限値とする。上記したステップS68〜S71の処理は、発見された異常属性値の数だけ繰り返される
一方、ステップS72では異常キューを作成して、その最大転送量を異常制限値に設定する。そして、ステップS73で、異常属性値を持つパケットを異常キューに分類する。
一方、ステップS72では異常キューを作成して、その最大転送量を異常制限値に設定する。そして、ステップS73で、異常属性値を持つパケットを異常キューに分類する。
図7に、ノード8が持つパケット量制御モデルを示す。パケット量制御モデルは、入力パケットをクラス別に分類し、クラス毎に出力パケット量を制御するためのモデルである。
フィルタ31は、入力されたパケットを正規クラス32、異常クラス33に分類する。このフィルタ31では、入力パケットの属性値を検査し、それらが異常識別子と一致すれば、該当する異常クラス33にそのパケットを送信する。異常識別子と一致しない場合は、正規クラス32にそのパケットを送信する。正規クラス32はデフォルトクラスであり、正規クラス32に分類されたパケットは正規キュー321に繋がれ、出力パケット量を制限せずに出力される。一方、異常クラス33に分類されたパケットは、異常キュー331に繋がれ、先に設定された異常制限値に出力パケット量が制限される。
異常クラス33および異常キュー331は、図5に示すアルゴリズムに従い、異常属性値および異常制限値が作成される度に作成される。なお、ここで、「キュー」とは、ノード8内で、入力されたパケットが送信される順番を待つ間に使用される、パケットを一時的に格納するためのメモリであり、多次元トラヒックテーブルとは別の図示せぬ作業用のデータ領域に格納される。
フィルタ31は、入力されたパケットを正規クラス32、異常クラス33に分類する。このフィルタ31では、入力パケットの属性値を検査し、それらが異常識別子と一致すれば、該当する異常クラス33にそのパケットを送信する。異常識別子と一致しない場合は、正規クラス32にそのパケットを送信する。正規クラス32はデフォルトクラスであり、正規クラス32に分類されたパケットは正規キュー321に繋がれ、出力パケット量を制限せずに出力される。一方、異常クラス33に分類されたパケットは、異常キュー331に繋がれ、先に設定された異常制限値に出力パケット量が制限される。
異常クラス33および異常キュー331は、図5に示すアルゴリズムに従い、異常属性値および異常制限値が作成される度に作成される。なお、ここで、「キュー」とは、ノード8内で、入力されたパケットが送信される順番を待つ間に使用される、パケットを一時的に格納するためのメモリであり、多次元トラヒックテーブルとは別の図示せぬ作業用のデータ領域に格納される。
以上説明のように本発明実施形態によれば、ノード8が、パケットが入力される度にそのパケットに付与されている属性値を抽出する。ここでいう属性値とは、宛先アドレス、宛先ポート、プロトコル番号、パケット長などのIPパケットの値を指す。ノード8は、属性種別毎に、「単位時間内に入力されたパケット量(以下、単位時間パケット量)」の属性値別の分布を予め設定された「計測期間」毎に計測し、それをトラヒックプロファイルとして記録する。
計測データが予め設定された「計測期間」分溜まると、ネットワーク装置は、例えば、その期間の平均値、最大値および標準偏差を計算してトラヒックプロファイルに記録し、以後、定間隔毎にそれらの値を更新していく。このことにより、トラヒックプロファイルは、正常時の属性値別パケット量分布を表すこととなる。
計測データが予め設定された「計測期間」分溜まると、ネットワーク装置は、例えば、その期間の平均値、最大値および標準偏差を計算してトラヒックプロファイルに記録し、以後、定間隔毎にそれらの値を更新していく。このことにより、トラヒックプロファイルは、正常時の属性値別パケット量分布を表すこととなる。
そして、計測時に、計測データがトラヒックプロファイルのパケット量分布と著しく異なる場合に警戒モードに入る。例えば、ある属性種別において、特定の属性値の計測データが計測期間内の最大値をN1倍超える、または、計測期間内の平均値N2×標準偏差を超える、などの条件を満たすときに警戒モードに入る。さらに同一の属性値に対してこの警戒モードが連続してC回以上満たされた時には攻撃として検出する。これらのNx、Cの値は攻撃判定の「感度」を表すものであり設定によって変更可能とする。
本発明によれば、正常時のパケット特徴値を表すトラヒックプロファイルを自動更新し、その内容と計測期間毎のパケット量分布とをリアルタイムに比較することで、異常条件の設定を予め行うことなく、攻撃の検出を可能とする。
本発明によれば、正常時のパケット特徴値を表すトラヒックプロファイルを自動更新し、その内容と計測期間毎のパケット量分布とをリアルタイムに比較することで、異常条件の設定を予め行うことなく、攻撃の検出を可能とする。
更に本発明によれば、攻撃を検出すると、ノード8は、異常属性値を持つパケットと異常属性値を持たないパケットとを別々のキューに割り当てる。異常属性値を持つパケットに割り当てられるキューは、最大出力量を正常時のその属性値の単位時間パケット量の平均値に制限する。
例えば、異常属性値として{宛先ポート=X}が抽出され、トラヒックプロファイルに記録されている正常時の{宛先ポート=X}の単位時間パケット長の平均値がYであったとすれば、攻撃発生後、{宛先ポート=X}のパケットは、最大出力量がYに制限された「異常キュー」に割り当てられるようになる。異常属性値が複数の属性種別に抽出された場合には、それらの論理積(AND)条件を持ったパケットを異常キューに分類する。その際、異常キューの最大出力量を、正常時における各異常属性値の割合に応じて更に制限する。
例えば、異常属性値として{宛先ポート=X}が抽出され、トラヒックプロファイルに記録されている正常時の{宛先ポート=X}の単位時間パケット長の平均値がYであったとすれば、攻撃発生後、{宛先ポート=X}のパケットは、最大出力量がYに制限された「異常キュー」に割り当てられるようになる。異常属性値が複数の属性種別に抽出された場合には、それらの論理積(AND)条件を持ったパケットを異常キューに分類する。その際、異常キューの最大出力量を、正常時における各異常属性値の割合に応じて更に制限する。
具体的に、上記の例で、異常属性値として{パケット長=64}も同時に抽出された場合を考える。多次元トラヒックプロファイルに記録されている、単位時間パケット量の平均値について、全パケットに対する、{パケット長=64}属性を持ったパケットの割合がaであったとすれば、攻撃発生後、宛先ポート=X AND パケット長=64}のパケットは、出力量の最大値がY×aに制限された「異常キュー」に割り当てられるようになる。
このように本発明によれば、ノードが攻撃パケットに対して帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットへの影響を少なくすることができる。
このように本発明によれば、ノードが攻撃パケットに対して帯域制限を行い、その制限値を正常時のトラヒックプロファイルに基づき自動的に算出することで、異常識別子を持たない正規利用者のパケットへの影響を少なくすることができる。
なお、上記した本発明実施形態によれば、本発明のネットワーク装置をノード8に実装した場合について説明したが、WAN等のネットワークに繋がれる他のノード5〜7にも実装されるものであり、その場合も上記と同様の機能を持ち、そして動作するものである。
また、図2に示すパケット量分布計測部81と、トラヒックプロファイル抽出部83と、攻撃検出部84と、攻撃パケット特徴値抽出部85と、帯域制限値算出部86のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明を実現するものである。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。
また、図2に示すパケット量分布計測部81と、トラヒックプロファイル抽出部83と、攻撃検出部84と、攻撃パケット特徴値抽出部85と、帯域制限値算出部86のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明を実現するものである。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1〜4…端末、5〜8…ノード(ネットワーク装置)、9…WAN、81…パケット量分布計測部、82…トラヒックプロファイルDB、83…トラヒックプロファイル抽出部、84…攻撃検出部、85…攻撃パケット特徴値抽出部、86…帯域制限値算出部
Claims (5)
- 複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク攻撃対策方法であって、
前記端末から送信されるパケットの複数の属性種別に関するパケット量分布を定期的に計測するステップと、
前記計測されるパケットの複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録するステップと、
前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出するステップと、
前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する攻撃パケット特徴値抽出ステップと、
を有することを特徴とするネットワーク攻撃対策方法。 - 前記属性種別は、宛先アドレス、宛先ポート番号、プロトコル番号、パケット長のうちのいずれかまたは複数であることを特徴とする請求項1に記載のネットワーク攻撃対策方法。
- 複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク装置であって、
前記端末から送信されるパケットの1つまたは複数の属性種別に関するパケット量分布を定期的に計測するパケット量分布計測部と、
前記計測されるパケットの1つまたは複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録するトラヒックプロファイル記録部と、
前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出するトラヒックプロファイル抽出部と、
前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する攻撃パケット特徴値抽出部と、
を備えたことを特徴とするネットワーク装置。 - 前記攻撃検出後、前記攻撃パケットに帯域制限を行う際、その制限値を前記正常時のトラヒックプロファイルに基づき算出する帯域制限値算出部と、
を備えたことを特徴とする請求項3に記載のネットワーク装置。 - 複数の端末が接続されるネットワーク環境において、パケットが大量に送りつけられることで特定のサーバまたはネットワークを利用不能にする攻撃が発生した際にこれを防禦するネットワーク装置に用いられるプログラムであって、
前記端末から送信されるパケットの複数の属性種別に関するパケット量分布を定期的に計測する処理と、
前記計測されるパケットの複数の属性種別に関するパケット量分布をトラヒックプロファイルとして記録する処理と、
前記記録されたトラヒックプロファイルから正常時における複数の属性種別に関するパケット量分布の特徴値を自動抽出する処理と、
前記定期的に計測される複数の属性種別に関するパケット量分布と、前記正常時におけるトラヒックプロファイルとの乖離から前記攻撃を検出するとともに、当該攻撃検出時にその攻撃パケットの属性種別及び属性値を自動抽出して攻撃パケットの特徴値として登録し、この登録の際、抽出した属性種別と同じ属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別の属性値と抽出した属性値との論理和条件を攻撃パケットの特徴値として登録し、抽出した属性種別とは異なる属性種別で既に攻撃パケットの特徴値が登録されている場合、既に登録されている属性種別及び属性値と抽出した属性種別及び属性値との論理積条件を攻撃パケットの特徴値として登録する処理と、
をコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003392627A JP4149366B2 (ja) | 2003-11-21 | 2003-11-21 | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003392627A JP4149366B2 (ja) | 2003-11-21 | 2003-11-21 | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005159551A JP2005159551A (ja) | 2005-06-16 |
| JP4149366B2 true JP4149366B2 (ja) | 2008-09-10 |
Family
ID=34719265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003392627A Expired - Lifetime JP4149366B2 (ja) | 2003-11-21 | 2003-11-21 | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4149366B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5015014B2 (ja) * | 2006-01-16 | 2012-08-29 | 株式会社サイバー・ソリューションズ | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
| JP4734223B2 (ja) * | 2006-11-29 | 2011-07-27 | アラクサラネットワークス株式会社 | トラヒック分析装置および分析方法 |
| JP4780670B2 (ja) * | 2007-02-28 | 2011-09-28 | Kddi株式会社 | トラヒック分析モデルの構築方法、装置および構築プログラムならびにその記憶媒体 |
| JP6641819B2 (ja) * | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| JP6599819B2 (ja) * | 2016-06-02 | 2019-10-30 | アラクサラネットワークス株式会社 | パケット中継装置 |
-
2003
- 2003-11-21 JP JP2003392627A patent/JP4149366B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005159551A (ja) | 2005-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| US7607170B2 (en) | Stateful attack protection | |
| US9609018B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
| US8509106B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| US20050125195A1 (en) | Method, apparatus and sofware for network traffic management | |
| US20050249214A1 (en) | System and process for managing network traffic | |
| JP7499262B2 (ja) | セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体 | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| JP2009516266A (ja) | ネットワーク発見情報を用いた侵入イベント相関方法およびシステム | |
| Chen et al. | Collaborative change detection of DDoS attacks on community and ISP networks | |
| Ahmed et al. | Filtration model for the detection of malicious traffic in large-scale networks | |
| KR100614757B1 (ko) | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 | |
| JP2004356915A (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| JP4216223B2 (ja) | ネットワーク攻撃検知装置および方法ならびにプログラム | |
| US8307445B2 (en) | Anti-worm program, anti-worm apparatus, and anti-worm method | |
| Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
| JP2004356906A (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体 | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| Jeong et al. | An effective DDoS attack detection and packet-filtering scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070607 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070703 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070829 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080617 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080625 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4149366 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120704 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130704 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |