JP4296184B2 - 攻撃検出装置、攻撃検出方法および攻撃検出プログラム - Google Patents
攻撃検出装置、攻撃検出方法および攻撃検出プログラム Download PDFInfo
- Publication number
- JP4296184B2 JP4296184B2 JP2006068307A JP2006068307A JP4296184B2 JP 4296184 B2 JP4296184 B2 JP 4296184B2 JP 2006068307 A JP2006068307 A JP 2006068307A JP 2006068307 A JP2006068307 A JP 2006068307A JP 4296184 B2 JP4296184 B2 JP 4296184B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- network
- statistics
- dns query
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
11 制御部
11a 統計データ取得部
11b 統計データログ生成部
11c 攻撃判定部
11d 攻撃情報通知部
12 記憶部
12a 設定情報
12b 統計データログ
12c 攻撃情報
13 通信処理部
101 キャッシュサーバ装置
102 SW(スイッチ)
103 FireWall(ファイヤーウォール)
104 攻撃者
Claims (10)
- ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出装置であって、
前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得手段と、
前記統計取得手段が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定手段と、
前記攻撃判定手段がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知手段と
を備えたことを特徴とする攻撃検出装置。 - 前記統計取得手段は、ドメイン名の解決をおこなうDNSサーバ装置あるいは前記DNSサーバ装置から取得した情報のキャッシュをおこなうキャッシュサーバ装置を通過するDNSクエリ要求に関して特定のドメインについての統計を取得することを特徴とする請求項1に記載の攻撃検出装置。
- 前記統計取得手段は、統計対象となる問合わせ先ドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名ごとのランキングを含んだ統計を取得することを特徴とする請求項1または2に記載の攻撃検出装置。
- 前記統計取得手段は、統計対象となる問合わせ先ドメイン名を構成するサブドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名を構成するサブドメイン名ごとのランキングを含んだ統計を取得することを特徴とする請求項3に記載の攻撃検出装置。
- 前記統計取得手段は、前記DNSクエリ要求に含まれる要求元アドレスごとのランキングを含んだ統計を取得することを特徴とする請求項1〜4のいずれか一つに記載の攻撃検出装置。
- 前記攻撃判定手段は、前記DNSクエリ要求の統計値が所定の閾値を上回った回数が所定数に達した場合に、ネットワーク攻撃であると判定することを特徴とする請求項1〜5のいずれか一つに記載の攻撃検出装置。
- 前記攻撃判定手段は、ネットワーク攻撃であると判定した後において前記DNSクエリ要求の統計値が所定の閾値を下回った回数が所定数に達した場合に、ネットワーク攻撃が終了したと判定することを特徴とする請求項6に記載の攻撃検出装置。
- 前記統計取得手段は、前記DNSクエリ要求に加えて前記DNSクエリ要求に対する応答を統計の取得対象とすることを特徴とする請求項1〜7のいずれか一つに記載の攻撃検出装置。
- ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出方法であって、
前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得工程と、
前記統計取得工程が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定工程と、
前記攻撃判定工程がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知工程と
を含んだことを特徴とする攻撃検出方法。 - ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出プログラムであって、
前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得手順と、
前記統計取得手順が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定手順と、
前記攻撃判定手順がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知手順と
をコンピュータに実行させることを特徴とする攻撃検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006068307A JP4296184B2 (ja) | 2006-03-13 | 2006-03-13 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006068307A JP4296184B2 (ja) | 2006-03-13 | 2006-03-13 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007251282A JP2007251282A (ja) | 2007-09-27 |
JP4296184B2 true JP4296184B2 (ja) | 2009-07-15 |
Family
ID=38595158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006068307A Active JP4296184B2 (ja) | 2006-03-13 | 2006-03-13 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4296184B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101544322B1 (ko) | 2014-08-18 | 2015-08-21 | 명지대학교 산학협력단 | 시각화를 이용한 악성 코드 탐지 시스템과 방법 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4999787B2 (ja) * | 2007-11-05 | 2012-08-15 | 株式会社Kddi研究所 | トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体 |
US7970939B1 (en) * | 2007-12-31 | 2011-06-28 | Symantec Corporation | Methods and systems for addressing DNS rebinding |
JP5568344B2 (ja) * | 2010-03-18 | 2014-08-06 | 株式会社ラック | 攻撃検出装置、攻撃検出方法、及びプログラム |
KR101252787B1 (ko) * | 2011-12-06 | 2013-04-09 | 이청종 | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 |
JP5922622B2 (ja) * | 2013-07-30 | 2016-05-24 | 日本電信電話株式会社 | 制御装置、通信システム、および、通信制御方法 |
US9729413B2 (en) * | 2014-10-07 | 2017-08-08 | Coudmark, Inc. | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
JP6285884B2 (ja) * | 2015-03-04 | 2018-02-28 | 日本電信電話株式会社 | Enumサーバ、および、特異アクセス判定方法 |
JP7018810B2 (ja) * | 2018-04-05 | 2022-02-14 | 浩 河之邊 | Dns水責め攻撃を防御する方法、プログラム、及び装置 |
CN114039756B (zh) * | 2021-10-29 | 2024-04-05 | 恒安嘉新(北京)科技股份公司 | 非法域名的探测方法、装置、设备及存储介质 |
-
2006
- 2006-03-13 JP JP2006068307A patent/JP4296184B2/ja active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101544322B1 (ko) | 2014-08-18 | 2015-08-21 | 명지대학교 산학협력단 | 시각화를 이용한 악성 코드 탐지 시스템과 방법 |
WO2016028067A3 (ko) * | 2014-08-18 | 2016-04-07 | 주식회사 시큐그래프 | 시각화를 이용한 악성 코드 탐지 시스템과 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP2007251282A (ja) | 2007-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4296184B2 (ja) | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム | |
US8347394B1 (en) | Detection of downloaded malware using DNS information | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
US8745737B2 (en) | Systems and methods for detecting similarities in network traffic | |
JP6196008B2 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
JP6734466B2 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
JP2008278272A (ja) | 電子システム、電子機器、中央装置、プログラム、および記録媒体 | |
JP2011193343A (ja) | 通信ネットワーク監視システム | |
KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
KR20120137326A (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
JP4303741B2 (ja) | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 | |
Abu Rajab et al. | On the impact of dynamic addressing on malware propagation | |
US10462158B2 (en) | URL selection method, URL selection system, URL selection device, and URL selection program | |
EP1754348A2 (en) | Using address ranges to detect malicious activity | |
KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
Davanian et al. | MalNet: A binary-centric network-level profiling of IoT malware | |
JP6740191B2 (ja) | 攻撃対処システム及び攻撃対処方法 | |
CN111147491A (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
Zhang et al. | Silence is not Golden: Disrupting the Load Balancing of Authoritative DNS Servers | |
Harsha et al. | Feature selection for effective botnet detection based on periodicity of traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081104 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090407 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090413 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120417 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4296184 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130417 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140417 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |