JP4216223B2 - ネットワーク攻撃検知装置および方法ならびにプログラム - Google Patents
ネットワーク攻撃検知装置および方法ならびにプログラム Download PDFInfo
- Publication number
- JP4216223B2 JP4216223B2 JP2004139947A JP2004139947A JP4216223B2 JP 4216223 B2 JP4216223 B2 JP 4216223B2 JP 2004139947 A JP2004139947 A JP 2004139947A JP 2004139947 A JP2004139947 A JP 2004139947A JP 4216223 B2 JP4216223 B2 JP 4216223B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- log
- attack
- network
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネット等のオープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知装置および方法ならびにプログラムに関する。
インターネットなどの広域ネットワークはオープンな環境であり、誰もが自由に接続することが可能である。このため、攻撃者がこのような環境を利用してパケットを大量に送りつけることで、特定のサーバまたはネットワークを使用不能にする攻撃を容易に引き起こすことができる。
ネットワーク攻撃は、特定のサーバにパケットを送りつけることでそのサーバを使用不能にする「宛先固定型ネットワーク攻撃」と、不特定の宛先を持ったパケットを大量に送りつけることでネットワークを使用不能にする「宛先不定型ネットワーク攻撃」とに分けられる。
ネットワーク攻撃は、特定のサーバにパケットを送りつけることでそのサーバを使用不能にする「宛先固定型ネットワーク攻撃」と、不特定の宛先を持ったパケットを大量に送りつけることでネットワークを使用不能にする「宛先不定型ネットワーク攻撃」とに分けられる。
宛先固定型ネットワーク攻撃の例として、DoS攻撃、DDoS攻撃が知られている。また、宛先不定型ネットワーク攻撃の例としては、ワームによる自己増殖によりネットワーク帯域を浪費する攻撃などが知られている。
ネットワーク攻撃を検知するための方法として従来から技術論文等により多数の提案がなされている。
例えば、サーバなどの防御対象の近くに位置するノードが、インタフェース毎のキューを監視し、多量のキュー溢れが発生した場合にこれを攻撃として検知する方法化知られている。検知後、キューに入力されるパケットの宛先アドレスを解析して攻撃パケットの宛先ネットワークアドレスを抽出し、これを攻撃パケット情報とするものである(例えば、非特許文献1参照)。
ネットワーク攻撃を検知するための方法として従来から技術論文等により多数の提案がなされている。
例えば、サーバなどの防御対象の近くに位置するノードが、インタフェース毎のキューを監視し、多量のキュー溢れが発生した場合にこれを攻撃として検知する方法化知られている。検知後、キューに入力されるパケットの宛先アドレスを解析して攻撃パケットの宛先ネットワークアドレスを抽出し、これを攻撃パケット情報とするものである(例えば、非特許文献1参照)。
また、防御対象の近くに位置するノードが、フロー毎のパケット量が異常に多い状態が継続した際にこれを攻撃として検知する方法も知られている。異常性の判定は、予め管理者によって指定されたフロー毎のトラヒック量の閾値を用いる方法が開示されている(例えば、非特許文献2参照)。
更に、ノードが宛先ネットワークアドレス別のトラヒック量を観測し、それらの中に異常が発生した場合にこれを攻撃として検知する方法も知られている。この際、異常が発生した宛先ネットワークアドレス情報を攻撃パケット情報とするものである(例えば、非特許文献3参照)。
AT&T論文(ACC(Aggregate-basedCongestionControl)(R.Mahajan、S.Bellovin、 S.Floyd、J.Ioannidis、 V.Paxson and S.Shenker:"Controlling High Bandwidth Aggrates in the Network"、SIGCOMMComputer Communication Review、 Vo1.32、 No.3、 p.62-73、 Jul. 2002.))[ACC]、 DaiKashima et.vol、"Active Countermeasure Platform agaist DDos Attacks"IEICE Transactions an information and Systems Vol.E85-D、No.12、Dec 2002[3queuel] GMD FOKUS(ドイツ国立情報研究所オープン通信システム研究機関)論文(Stamatis Karnouskos:"Dealing with Denial-of-Service Attacks in Agent-enabled Active and Programmable Infrastructures"、Proc of 25th IEEE International Computer Software and Applications Conference (COMPSAC 2001)、 Oct.2001)[GMD]
更に、ノードが宛先ネットワークアドレス別のトラヒック量を観測し、それらの中に異常が発生した場合にこれを攻撃として検知する方法も知られている。この際、異常が発生した宛先ネットワークアドレス情報を攻撃パケット情報とするものである(例えば、非特許文献3参照)。
AT&T論文(ACC(Aggregate-basedCongestionControl)(R.Mahajan、S.Bellovin、 S.Floyd、J.Ioannidis、 V.Paxson and S.Shenker:"Controlling High Bandwidth Aggrates in the Network"、SIGCOMMComputer Communication Review、 Vo1.32、 No.3、 p.62-73、 Jul. 2002.))[ACC]、 DaiKashima et.vol、"Active Countermeasure Platform agaist DDos Attacks"IEICE Transactions an information and Systems Vol.E85-D、No.12、Dec 2002[3queuel] GMD FOKUS(ドイツ国立情報研究所オープン通信システム研究機関)論文(Stamatis Karnouskos:"Dealing with Denial-of-Service Attacks in Agent-enabled Active and Programmable Infrastructures"、Proc of 25th IEEE International Computer Software and Applications Conference (COMPSAC 2001)、 Oct.2001)[GMD]
ところで、上記した非特許文献2に開示された技術によれば、予めフロー情報と異常条件を入力しておく必要がある。例えば、サーバSを防御対象とする場合には、フロー1:{宛先アドレス=S、プロトコル=TCP}、異常条件1:{100Mbps以上のパケットが30秒以上連続して転送される}などの情報を設定する。
これらの情報は管理者が一定期間ネットワークを監視して導き出すな等の手間が必要であり、人手が介在するため時間を要するだけでなく、不適正な設定を行う可能性が高くなる。
これらの情報は管理者が一定期間ネットワークを監視して導き出すな等の手間が必要であり、人手が介在するため時間を要するだけでなく、不適正な設定を行う可能性が高くなる。
また、非特許文献1に開示された技術によれば、キュー溢れにより攻撃を検知するため閾値などを人手で設定する必要はない。しかしながら、キュー溢れが発生しない弱いネットワーク攻撃は検知できず、検知できるネットワーク攻撃の強さが限定される点が問題となる。
更に、非特許文献3に開示された技術によれば、統計データを用いて検知を行うために閾値などを人手で設定する必要はない。また、全てのネットワーク攻撃を検知可能であるため、検知できるネットワーク攻撃の強さが限定されることもない。しかしながら、統計データにネットワーク攻撃によるデータが含まれると閾値の計算が適切に行われない可能性が高くなる。
更に、非特許文献3に開示された技術によれば、統計データを用いて検知を行うために閾値などを人手で設定する必要はない。また、全てのネットワーク攻撃を検知可能であるため、検知できるネットワーク攻撃の強さが限定されることもない。しかしながら、統計データにネットワーク攻撃によるデータが含まれると閾値の計算が適切に行われない可能性が高くなる。
上記した非特許文献に開示された技術を含む従来技術によれば、定常状態のトラヒック量測定時にネットワーク攻撃が発生すると、いずれも閾値の計算が正常に行えないという問題が解決されていない。
また、いずれにおいても算出される閾値は1個のみである。しかしながら、トラヒック量に関しては、正常状態とネットワーク攻撃発生状態とを正確に分ける閾値は存在せず、閾値を高く設定する場合に発生する検知漏れと、閾値を低く設定する場合に発生する誤検知とのトレードオフが存在する。どちらを優先するかは管理ポリシーにより異なるため、管理ポリシーに応じた閾値の設定が必要となる。
また、いずれにおいても算出される閾値は1個のみである。しかしながら、トラヒック量に関しては、正常状態とネットワーク攻撃発生状態とを正確に分ける閾値は存在せず、閾値を高く設定する場合に発生する検知漏れと、閾値を低く設定する場合に発生する誤検知とのトレードオフが存在する。どちらを優先するかは管理ポリシーにより異なるため、管理ポリシーに応じた閾値の設定が必要となる。
本発明は上記事情に鑑みてなされたものであり、収集したデータにネットワーク攻撃されたときのノイズが入り込むことを考慮し、閾値の計算時にノイズを除去して正確な閾値を計算することで、ネットワーク攻撃の強さに制限されずに検知可能な、ネットワーク攻撃検知装置および方法ならびにプログラムを提供することを目的とする。
また、本発明による計算量の増加を、度数分布表を用いて統計値を計算すること、あるいはトラヒックログを一定区間に区切ってその間の平均値のみを記録しすることで計算量の削減をはかった、ネットワーク攻撃検知装置および方法ならびにプログラムを提供することを目的とすることも目的とする。
また、本発明による計算量の増加を、度数分布表を用いて統計値を計算すること、あるいはトラヒックログを一定区間に区切ってその間の平均値のみを記録しすることで計算量の削減をはかった、ネットワーク攻撃検知装置および方法ならびにプログラムを提供することを目的とすることも目的とする。
上記した課題を解決するために本発明は、オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知装置であって、同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積するログ蓄積部と、前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去するログ処理部と、前記ログ処理部で除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出する統計処理部と、を具備することを特徴とする。
また、本発明において、前記ログ蓄積部は、前記トラヒックログを一定区間毎に区切り、その間の平均値のみを記録することを特徴とする。
また、本発明において、前記ログ処理部は、前記度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、前記総度数に一定の割合度数分のデータを除去することを特徴とする。
また、本発明において、前記予め設定された一定の割合は、前記オープンネットワーク環境における正常状態と比較して圧倒的に大きな入力トラフィック量が占める割合であることを特徴とする。
また、本発明において、一定期間毎に前記トラヒックログを参照し、当該参照時から遡って一定期間分のトラヒックログから前記度数分布表を作成する度数分布表作成部と、を具備することを特徴とする。
また、本発明において、一定期間毎に前記トラヒックログを参照し、当該参照時から遡って一定期間分のトラヒックログから前記度数分布表を作成する度数分布表作成部と、を具備することを特徴とする。
また、本発明において、前記統計処理部は、前記計算された統計値に加えて、あらかじめ利用者により登録される感度情報を用いて、前記攻撃検知に用いる閾値を算出することを特徴とする。
また、本発明は、オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知方法であって、同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積するステップと、前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去するステップと、前記除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出するステップと、を有することを特徴とする。
また、本発明は、オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知装置に用いられるプログラムであって、同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積する処理と、前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去する処理と、前記除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出する処理と、をコンピュータに実行させることを特徴とする。
本発明によれば、フロー毎のトラヒック量を定期的に記録してトラヒックログとして一定期間記録し、その期間中にネットワーク攻撃が発生することを考慮して攻撃発生の可能性のある部位を削除した上で、トラヒック量の統計値を計算して閾値を算出することにより、ネットワーク攻撃によるノイズを除去し、より正確な閾値算出を可能にすることができる。
また、トラヒックログ中の攻撃部位を削除するためには、一定期間のトラヒックログを全て記録した上で処理を行う必要があることから計算量が増えるが、度数分布表を用いて統計値を計算すること、および、トラヒックログを一定区間に区切ってその間の平均値のみを記録した「平滑化トラヒックログ」を作成することで計算量を削減することができる。更に、閾値の計算式を数種類用意し、管理者が選択可能とすることで、管理ポリシーによる決定される「感度」に応じた閾値の設定が可能になる。
また、トラヒックログ中の攻撃部位を削除するためには、一定期間のトラヒックログを全て記録した上で処理を行う必要があることから計算量が増えるが、度数分布表を用いて統計値を計算すること、および、トラヒックログを一定区間に区切ってその間の平均値のみを記録した「平滑化トラヒックログ」を作成することで計算量を削減することができる。更に、閾値の計算式を数種類用意し、管理者が選択可能とすることで、管理ポリシーによる決定される「感度」に応じた閾値の設定が可能になる。
以下、図面に従って本発明実施形態について詳細に説明する。図1は、本発明の実施形態に係わるネットワーク構成を説明するために引用した図である。
図1において、符号20〜22、30は、PCなどの端末であり、これら端末を収容しているWAN(Wide Area Network)10経由で接続される。なお、WAN10は複数のノード11〜14を有している。
図1において、符号20〜22、30は、PCなどの端末であり、これら端末を収容しているWAN(Wide Area Network)10経由で接続される。なお、WAN10は複数のノード11〜14を有している。
ネットワーク攻撃は、端末がウィルスやワームに感染する、または、攻撃者によって制御を乗っ取られた場合に発生する。例えば、端末20〜22が攻撃者によって制御を乗っ取られ、端末30に向かって大量の攻撃パケットを送信すると、宛先固定型ネットワーク攻撃が発生する。また、端末30がワームによって制御を乗っ取られ、端末20〜22を含む任意の宛先アドレスを持った自己増殖のパケットを送信すると、宛先不定型ネットワーク攻撃が発生する。
これらの攻撃が発生すると、ノード11〜14や、WAN10の帯域やリソースが浪費され、正常な動作ができなくなるという現象が起こる。以降、図1に示すノード11を中心とした本発明による攻撃対策について以下に説明する。
これらの攻撃が発生すると、ノード11〜14や、WAN10の帯域やリソースが浪費され、正常な動作ができなくなるという現象が起こる。以降、図1に示すノード11を中心とした本発明による攻撃対策について以下に説明する。
図2は、ノードが記録するトラヒックログの一例を示した図である。トラヒックログは、同一属性値を持つパケット群(以下、「フロー」)ごとに記録される。フローを識別するための属性値の集合を「フロー属性」と呼ぶ。
フロー属性は、宛先アドレス/マスク、宛先ポート、プロトコル番号などのIP(Internet Protocol)パケットに付与される値の組合せとなる。例えば、図2では、ノード11は、フロー属性#1{DA=X1}210、フロー属性#2{DA=X2}220、フロー属性#3{DP=1434}230に入力トラヒックを分類し、各々に対応したトラヒックログ210、220、230を記録している。
フロー属性は、宛先アドレス/マスク、宛先ポート、プロトコル番号などのIP(Internet Protocol)パケットに付与される値の組合せとなる。例えば、図2では、ノード11は、フロー属性#1{DA=X1}210、フロー属性#2{DA=X2}220、フロー属性#3{DP=1434}230に入力トラヒックを分類し、各々に対応したトラヒックログ210、220、230を記録している。
各トラヒックログは、時刻情報211、入力パケット量情報212から構成される。入力パケット量情報212としては、pps(Packet per second)、bps(bit per second)などの単位のデータが記録される。また、図2に示すトラヒックログの蓄積頻度が高い場合には以後の計算量が増える可能性があるため、ノードはトラヒックログを一定区間(d)に区切ってその間の平均値のみを記録することも可能とする。この平均値を記録したトラヒックログを「平滑化トラヒックログ」と呼ぶ。以後、トラヒックログと平滑化トラヒックログは同様に扱う。尚、dは設定により変更可能とする。
図3は、ノード11〜14が、一定期間(D)毎に行う処理の流れを示すフローチャートである。
図3において、S311では、D期間分のトラヒックログをファイルやメモリ内に切り出して保存する。以後、この切り出されたトラヒックログを「切り出しトラヒックログ」と呼ぶ。S312では、切り出しトラヒックログの最新のN個分を結合する。以後、この結合した切り出しトラヒックログを「結合トラヒックログ」と呼ぶ。
S313では、結合トラヒックログから度数分布表を作成する。そして、S314では、この度数分布表の全エントリの度数の総数である「総度数」を計算する。次に、入力トラヒック量の大きい上位エントリから順に度数を調査し、“総度数*一定割合(r)“度数分のデータを削除する。これらの度数分布表作成の処理については図4を用いて詳述する。
図3において、S311では、D期間分のトラヒックログをファイルやメモリ内に切り出して保存する。以後、この切り出されたトラヒックログを「切り出しトラヒックログ」と呼ぶ。S312では、切り出しトラヒックログの最新のN個分を結合する。以後、この結合した切り出しトラヒックログを「結合トラヒックログ」と呼ぶ。
S313では、結合トラヒックログから度数分布表を作成する。そして、S314では、この度数分布表の全エントリの度数の総数である「総度数」を計算する。次に、入力トラヒック量の大きい上位エントリから順に度数を調査し、“総度数*一定割合(r)“度数分のデータを削除する。これらの度数分布表作成の処理については図4を用いて詳述する。
これらの処理により、度数分布表には、N期間の下位(1−r)分の度数データのみが残ることになる。ネットワーク攻撃では、正常状態と比較して圧倒的に大きな入力トラヒック量となるため、これにより、正常状態の入力トラヒック量を測定する際の攻撃トラヒックによるノイズを削除することが可能になる。
S315では、ノイズを除去した度数分布表を用いて、入力トラヒックのN期間における統計値(平均値、標準偏差)を計算する。この際、度数分布表の入力トラヒック量範囲の中間値を用いて統計値の計算を行うこととする。
S316では、S315で求めた統計値から検知のための閾値を決定する。この際、閾値の計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。S316の処理については図を用いて詳述する。
尚、上記したD、N、rの値は設定により変更可能とする。
S315では、ノイズを除去した度数分布表を用いて、入力トラヒックのN期間における統計値(平均値、標準偏差)を計算する。この際、度数分布表の入力トラヒック量範囲の中間値を用いて統計値の計算を行うこととする。
S316では、S315で求めた統計値から検知のための閾値を決定する。この際、閾値の計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。S316の処理については図を用いて詳述する。
尚、上記したD、N、rの値は設定により変更可能とする。
図4は、結合トラヒックログから度数分布表を作成する処理手順を示したフローチャートである。
図4において、S411では、結合トラヒックログの入力トラヒック量情報(211)の最大値:MXを抽出する。S412では、度数分布表の入力トラヒック量範囲の大きさUを以下の計算式を用いて算出する。ここで、NEは度数分布表を構成するエントリ数を示すものである。
U=int(MX/NE)+1
図4において、S411では、結合トラヒックログの入力トラヒック量情報(211)の最大値:MXを抽出する。S412では、度数分布表の入力トラヒック量範囲の大きさUを以下の計算式を用いて算出する。ここで、NEは度数分布表を構成するエントリ数を示すものである。
U=int(MX/NE)+1
S413では、結合トラヒックログを順に調べながら、度数分布表の各エントリをカウントアップする。これらの手順で作成された度数分布表の例を図5に示す。次に、S414では、この度数分布表の全エントリの度数の総数である「総度数」を計算する。S415では、入力トラヒック量の大きい上位エントリから順に度数を調査し、“総度数*一定割合(r)”度数分のデータを削除する。例えば、総度数=100,000、r=0.1とすると、削除対象は、100,000*0.1=10,000度数分のエントリとなる。図5に示す度数分布表に対して、S414、S415で示す削除処理を行った後の度数分布表を図6に示す。
図5は、度数分布表の例を示している.度数分布表は、入力トラヒック量範囲(511)と、各範囲に対応した度数(512)から構成される。度数分布表エントリ数NE(521)は設定により変更可能とする。
図6は、図5に示す度数分布表に対して、S414、S415で示す削除処理を行った後の度数分布表を示している。この例では、10,000度数分のエントリ分が削除対象となっているため、最上位エントリの全度数(611)と第二位となる上位エントリの一部(5800度数分)が削除されている(612)。
図6は、図5に示す度数分布表に対して、S414、S415で示す削除処理を行った後の度数分布表を示している。この例では、10,000度数分のエントリ分が削除対象となっているため、最上位エントリの全度数(611)と第二位となる上位エントリの一部(5800度数分)が削除されている(612)。
図7は、図3に示すS315の処理で求めた統計値から、攻撃検知のための閾値を決定する際に利用する感度別閾値表の例を示したものである.感度別閾値表は、感度レベル(711)と閾値計算式(712)から構成される。
閾値計算式(712)で、“μ”は平均値を“σ”は標準偏差を表す。管理者は、感度レベル(711)のどれを選択するかを予め選択しておく。図3に示すS315の処理で統計値が計算されると、図7に示す表に従って閾値が決定され、設定される。
閾値計算式(712)で、“μ”は平均値を“σ”は標準偏差を表す。管理者は、感度レベル(711)のどれを選択するかを予め選択しておく。図3に示すS315の処理で統計値が計算されると、図7に示す表に従って閾値が決定され、設定される。
図8は、図1に示す各ノード11〜14の内部構成を機能展開して示したブロック図である。ここでは、ノード11の構成が例示されている。
ノード11は、ログ蓄積部111と、ログ処理部112と、度数分布表作成部113と、統計処理部114と、検知処理部115で構成される。
ノード11は、ログ蓄積部111と、ログ処理部112と、度数分布表作成部113と、統計処理部114と、検知処理部115で構成される。
ログ蓄積部111は、同一属性を持つパケット群毎の入力トラフィック量を定期的に計測し、トラヒックログとして蓄積する機能を持ち、ログ処理部112は、蓄積されたトラヒックログを参照し、当該トラヒックログに含まれる攻撃部分を除去する機能を持つ。
また、度数分布表作成部113は、一定期間(D)毎にトラヒックログを参照し、当該参照時から遡って一定期間分(N)のトラヒックログから度数分布表を作成する機能を持ち、統計処理部114は、ログ処理部112で除去された攻撃部分を除くトラヒックログの正常状態におけるトラヒック特性を示す統計値を計算し、当該計算された統計値を用いて攻撃検知のための閾値を算出する機能を持つ。なお、検知処理部115は、算出された閾値を用いて攻撃検知を行う。
また、度数分布表作成部113は、一定期間(D)毎にトラヒックログを参照し、当該参照時から遡って一定期間分(N)のトラヒックログから度数分布表を作成する機能を持ち、統計処理部114は、ログ処理部112で除去された攻撃部分を除くトラヒックログの正常状態におけるトラヒック特性を示す統計値を計算し、当該計算された統計値を用いて攻撃検知のための閾値を算出する機能を持つ。なお、検知処理部115は、算出された閾値を用いて攻撃検知を行う。
上記構成において、ノード11は、フローごとの入力トラヒック量を定期的に計測しトラヒックログとしてログ蓄積部111に記録する。そして、度数分布表作成部113は、一定期間(D)毎にトラヒックログを検査し、検査時から過去に一定期間(N)分のトラヒックログから、入力トラヒック量範囲ごとの度数分布表を作成する。そして、この度数分布表の全エントリの度数の総数(以下、「総度数」)を計算する。
次に、ログ処理部112は、入力トラヒック量の大きい上位エントリから順に度数を調査し、総度数*一定割合(r)度数分のデータを削除する。これにより、度数分布表には、N期間の下位(1−r)分の度数データのみが残ることになる。
次に、ログ処理部112は、入力トラヒック量の大きい上位エントリから順に度数を調査し、総度数*一定割合(r)度数分のデータを削除する。これにより、度数分布表には、N期間の下位(1−r)分の度数データのみが残ることになる。
ネットワーク攻撃では、正常状態と比較して圧倒的に大きな入力トラヒック量となるため、これにより、正常状態の入力トラヒック量を測定する際の攻撃トラヒックによるノイズを削除することが可能になる。
統計処理部114は、このノイズを除去した度数分布表を用いて、入力トラヒックのN期間における統計値(平均値、標準偏差)を計算式に代入することで閾値を算出する。なお、上記したD、N、rの値は、設定により変更可能とする。
統計処理部114は、このノイズを除去した度数分布表を用いて、入力トラヒックのN期間における統計値(平均値、標準偏差)を計算式に代入することで閾値を算出する。なお、上記したD、N、rの値は、設定により変更可能とする。
以上説明のように本発明によれば、ノード11〜14は、トラヒックログ中にネットワーク攻撃によるデータが含まれている場合にも、その部分を除いた、より正確な閾値の算出が可能になる。また、度数分布表表を作成して上位エントリからのデータ削除や統計値計算を行うことで、トラヒックログの全エントリを処理対象とするのに比較して、ソーティングや統計計算などの計算量を削減することが可能になる。
更に、本発明によれば、ノード11〜14は、度数分布表の作成の前に、トラヒックログを一定区間(d)に区切ってその間の平均値のみを記録した平滑化トラヒックログを作成することで、計算量を更に削減することも可能とする.
また、本発明によれば、ノード11〜14は、統計値から闇値を算出するための計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。
更に、本発明によれば、ノード11〜14は、度数分布表の作成の前に、トラヒックログを一定区間(d)に区切ってその間の平均値のみを記録した平滑化トラヒックログを作成することで、計算量を更に削減することも可能とする.
また、本発明によれば、ノード11〜14は、統計値から闇値を算出するための計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。
以上説明のように本発明は、WAN10上の各ノード11〜14は、フロー毎のトラヒック量を定期的に記録したトラヒックログから一定期間の度数分布表を作成し、トラヒックログを構成するエントリをデータ量の多いものから一定割合削除した上で、統計値(平均値、標準偏差)を求め、それらを感度別閾値表に照らし合わせることで、攻撃検知のための閾値を自動抽出するものである。
このことにより、トラヒックログ中にネットワーク攻撃によるデータが含まれている場合にも、攻撃期間のノイズを除いた正常状態における統計値の計算を可能とする感度別閾値表において闇値の計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。また、度数分布表を用いて統計値を計算することにより計算量を削減することができる。なお、トラヒックログの蓄積頻度が高い場合には、ノード11〜14は、トラヒックログを一定区間(d)に区切ってその間の平均値のみを記録することも可能とする。このことにより、計算量を更に削減することを可能とするものである。
このことにより、トラヒックログ中にネットワーク攻撃によるデータが含まれている場合にも、攻撃期間のノイズを除いた正常状態における統計値の計算を可能とする感度別閾値表において闇値の計算式を数種類用意し、管理者が選択可能とすることで、「感度」に応じた閾値の設定を可能とする。また、度数分布表を用いて統計値を計算することにより計算量を削減することができる。なお、トラヒックログの蓄積頻度が高い場合には、ノード11〜14は、トラヒックログを一定区間(d)に区切ってその間の平均値のみを記録することも可能とする。このことにより、計算量を更に削減することを可能とするものである。
なお、図8に示す、ログ蓄積部111、ログ処理部112、度数分布表作成部113、統計処理部114、検知処理部115のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明のネットワーク攻撃検知装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
10…WAN、11〜14…ノード(ネットワーク攻撃検知装置)、20〜22、30…端末、111…ログ蓄積部、112…ログ処理部、113…度数分布表作成部、114…統計処理部、115…検知処理部
Claims (7)
- オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知装置であって、
同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積するログ蓄積部と、
前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去するログ処理部と、
前記ログ処理部で除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出する統計処理部と、
を具備することを特徴とするネットワーク攻撃検知装置。 - 前記予め設定された一定の割合は、前記オープンネットワーク環境における正常状態と比較して圧倒的に大きな入力トラフィック量が占める割合であることを特徴とする請求項1に記載のネットワーク攻撃検知装置。
- 前記ログ蓄積部は、
前記トラヒックログを一定区間毎に区切り、その間の平均値のみを記録することを特徴とする請求項1に記載のネットワーク攻撃検知装置。 - 一定期間毎に前記トラヒックログを参照し、当該参照時から遡って一定期間分のトラヒックログから前記度数分布表を作成する度数分布表作成部と、
を具備することを特徴とする請求項1〜3のいずれか1項に記載のネットワーク攻撃検知装置。 - 前記統計処理部は、
前記計算された統計値に加えて、あらかじめ利用者により登録される感度情報を用いて、前記攻撃検知に用いる閾値を算出することを特徴とする請求項1に記載のネットワーク攻撃検知装置。 - オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知方法であって、
同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積するステップと、
前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去するステップと、
前記除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出するステップと、
を有することを特徴とするネットワーク攻撃検知方法。 - オープンネットワーク環境において、パケットを大量に送りつづけることで特定のサーバもしくはネットワークを利用不能にする攻撃を検知するネットワーク攻撃検知装置に用いられるプログラムであって、
同一属性を持つパケット群毎の入力トラヒック量を定期的に計測し、トラヒックログとして蓄積する処理と、
前記蓄積されたトラヒックログを参照し、該トラヒックログから作成した度数分布表における全エントリの度数の総数を計算し、入力トラヒック量の大きな上位エントリから順に度数を調べ、予め設定された一定の割合を前記総度数に掛けた度数分のデータを攻撃部分として除去する処理と、
前記除去された攻撃部分を除くトラヒックログのトラヒック特性を示す統計値を計算し、前記計算された統計値を用いて前記攻撃検知に用いる閾値を算出する処理と、
をコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004139947A JP4216223B2 (ja) | 2004-05-10 | 2004-05-10 | ネットワーク攻撃検知装置および方法ならびにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004139947A JP4216223B2 (ja) | 2004-05-10 | 2004-05-10 | ネットワーク攻撃検知装置および方法ならびにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005323183A JP2005323183A (ja) | 2005-11-17 |
| JP4216223B2 true JP4216223B2 (ja) | 2009-01-28 |
Family
ID=35470115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004139947A Expired - Fee Related JP4216223B2 (ja) | 2004-05-10 | 2004-05-10 | ネットワーク攻撃検知装置および方法ならびにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4216223B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108712365A (zh) * | 2017-08-29 | 2018-10-26 | 长安通信科技有限责任公司 | 一种基于流量日志的DDoS攻击事件检测方法及系统 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4791347B2 (ja) | 2006-12-29 | 2011-10-12 | 富士通株式会社 | エントリの圧縮伸長方法およびエントリの圧縮伸長を行う装置 |
| JP4780670B2 (ja) * | 2007-02-28 | 2011-09-28 | Kddi株式会社 | トラヒック分析モデルの構築方法、装置および構築プログラムならびにその記憶媒体 |
| JP5403698B2 (ja) * | 2010-11-02 | 2014-01-29 | 日本電信電話株式会社 | トラヒック判別装置及びトラヒック判別装置における閾値の更新方法 |
| JP6928241B2 (ja) * | 2017-08-04 | 2021-09-01 | 富士通株式会社 | トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム |
| JPWO2023084599A1 (ja) * | 2021-11-09 | 2023-05-19 |
-
2004
- 2004-05-10 JP JP2004139947A patent/JP4216223B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108712365A (zh) * | 2017-08-29 | 2018-10-26 | 长安通信科技有限责任公司 | 一种基于流量日志的DDoS攻击事件检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005323183A (ja) | 2005-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| US7607170B2 (en) | Stateful attack protection | |
| US7730537B2 (en) | Method of operating an intrusion detection system | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US7307999B1 (en) | Systems and methods that identify normal traffic during network attacks | |
| US8489755B2 (en) | Technique of detecting denial of service attacks | |
| US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
| JP6168977B2 (ja) | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 | |
| KR20060128734A (ko) | 다양한 네크워크 공격들에 대한 적응적 방어 | |
| EP3932033A1 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| JP4216223B2 (ja) | ネットワーク攻撃検知装置および方法ならびにプログラム | |
| WO2004070509A2 (en) | Detecting and protecting against worm traffic on a network | |
| US10171492B2 (en) | Denial-of-service (DoS) mitigation based on health of protected network device | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| US8203941B2 (en) | Virus/worm throttle threshold settings | |
| JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム | |
| CN111885092A (zh) | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN | |
| KR101681017B1 (ko) | 폐쇄망을 이용하는 서버의 모니터링 시스템 | |
| JP6577921B2 (ja) | セキュリティ対処システム及びセキュリティ対処方法 | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| JP2004356906A (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060720 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080805 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081006 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081028 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081105 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111114 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111114 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121114 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121114 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131114 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |