JP4296184B2 - 攻撃検出装置、攻撃検出方法および攻撃検出プログラム - Google Patents

攻撃検出装置、攻撃検出方法および攻撃検出プログラム Download PDF

Info

Publication number
JP4296184B2
JP4296184B2 JP2006068307A JP2006068307A JP4296184B2 JP 4296184 B2 JP4296184 B2 JP 4296184B2 JP 2006068307 A JP2006068307 A JP 2006068307A JP 2006068307 A JP2006068307 A JP 2006068307A JP 4296184 B2 JP4296184 B2 JP 4296184B2
Authority
JP
Japan
Prior art keywords
attack
network
statistics
dns query
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006068307A
Other languages
English (en)
Other versions
JP2007251282A (ja
Inventor
泰輔 若杉
衡 平野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006068307A priority Critical patent/JP4296184B2/ja
Publication of JP2007251282A publication Critical patent/JP2007251282A/ja
Application granted granted Critical
Publication of JP4296184B2 publication Critical patent/JP4296184B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ネットワークに接続された端末装置によるネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出装置、攻撃検出方法および攻撃検出プログラムに関し、特に、ネットワーク攻撃を早期に検出することができるとともに攻撃元が不特定多数の場合であっても有用な検出情報を提供することができる攻撃検出装置、攻撃検出方法および攻撃検出プログラムに関する。
近年、インターネット上のサーバが提供するサービスを不正なデータを大量に送信することによって妨害するDoS(Denial of Services)攻撃が知られている。特に、コンピュータウィルスの一種であるボットに感染した不特定多数の端末による分散DoS(Distributed Denial of Service)攻撃が頻繁に起こり問題となっている。
また、ドメイン名解決をおこなうDNS(Domain Name System)サーバがDoS攻撃やDDoS攻撃の標的となった場合には、DNSサーバの管理下にあるゾーンのホスト名解決が不可能となってしまうことから、ネットワーク攻撃による影響範囲が非常に大きくなることが懸念されている。
これらのネットワーク攻撃への対策としては、攻撃先と攻撃元端末との間でやり取りされるデータパケットの統計に基づいて攻撃元を検出し、検出した攻撃元ごとに対策をとる手法が一般的である(たとえば、特許文献1参照)。
特開2005−229234号公報
しかしながら、特許文献1などの従来技術は、ネットワーク攻撃の標的となったサーバへ大量のパケットが送信されてはじめて攻撃検出をおこなうものであり、攻撃検出を早期におこなうことができないという問題があった。すなわち、上記した従来技術を用いて攻撃を検出したときには、攻撃パケットによって既に通信路があふれているといったことにもなりかねず、攻撃対策が間に合わないおそれがある。
特に、上記したように、DNSサーバがネットワーク攻撃によって麻痺した場合には攻撃による被害が広範囲に及ぶため、DNSサーバに対するネットワーク攻撃をいち早く検出することが求められている。
さらに、ネットワーク攻撃の攻撃元を検出する従来の手法は、攻撃元が不特定多数であるDDoS攻撃には十分な効果を発揮しないという問題もある。なぜならば、多数の攻撃元をすべて特定することができたとしても、各攻撃元からのパケットを遮断するような対策は事実上困難なためである。
これらのことから、ネットワーク攻撃を早期に検出することができるとともに攻撃元が不特定多数の場合であっても有用な検出情報を提供することができる攻撃検出手法をいかにして実現するかが大きな課題となっている。
この発明は、上述した従来技術による問題点を解決するためになされたものであって、ネットワーク攻撃を早期に検出することができるとともに攻撃元が不特定多数の場合であっても有用な検出情報を提供することができる攻撃検出装置、攻撃検出方法および攻撃検出プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出装置であって、前記ネットワーク上を流通するDNSクエリ要求に関する統計を取得する統計取得手段と、前記統計取得手段が取得した前記統計に基づいてネットワーク攻撃の有無を判定する攻撃判定手段と、前記攻撃判定手段がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を所定の攻撃対策装置に対して通知する攻撃通知手段とを備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記統計取得手段は、ドメイン名の解決をおこなうDNSサーバ装置あるいは前記DNSサーバ装置から取得した情報のキャッシュをおこなうキャッシュサーバ装置を通過するDNSクエリ要求に関して特定のドメインについての統計を取得することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記統計取得手段は、統計対象となる問合わせ先ドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名ごとのランキングを含んだ統計を取得することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記統計取得手段は、統計対象となる問合わせ先ドメイン名を構成するサブドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名を構成するサブドメイン名ごとのランキングを含んだ統計を取得することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記統計取得手段は、前記DNSクエリ要求に含まれる要求元アドレスごとのランキングを含んだ統計を取得することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記攻撃判定手段は、前記DNSクエリ要求の統計値が所定の閾値を上回った回数が所定数に達した場合に、ネットワーク攻撃であると判定することを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記攻撃判定手段は、ネットワーク攻撃であると判定した後において前記DNSクエリ要求の統計値が所定の閾値を下回った回数が所定数に達した場合に、ネットワーク攻撃が終了したと判定することを特徴とする。
また、請求項8に係る発明は、上記の発明において、前記統計取得手段は、前記DNSクエリ要求に加えて前記DNSクエリ要求に対する応答を統計の取得対象とすることを特徴とする。
また、請求項9に係る発明は、ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出方法であって、前記ネットワーク上を流通するDNSクエリ要求に関する統計を取得する統計取得工程と、前記統計取得工程が取得した前記統計に基づいてネットワーク攻撃の有無を判定する攻撃判定工程と、前記攻撃判定工程がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を所定の攻撃対策装置に対して通知する攻撃通知工程とを含んだことを特徴とする。
また、請求項10に係る発明は、ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出プログラムであって、前記ネットワーク上を流通するDNSクエリ要求に関する統計を取得する統計取得手順と、前記統計取得手順が取得した前記統計に基づいてネットワーク攻撃の有無を判定する攻撃判定手順と、前記攻撃判定手順がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を所定の攻撃対策装置に対して通知する攻撃通知手順とをコンピュータに実行させることを特徴とする。
請求項1、9または10の発明によれば、ネットワーク上を流通するDNSクエリ要求に関する統計を取得し、取得した統計に基づいてネットワーク攻撃の有無を判定し、ネットワーク攻撃であると判定した場合に、ネットワーク攻撃の内容をあらわす攻撃情報を所定の攻撃対策装置に対して通知するよう構成したので、攻撃者あるいは攻撃プログラムが特定のサーバ装置を攻撃しようとしてこのサーバの名前解決を要求した時点でネットワーク攻撃を検出することができるので、ネットワーク攻撃を早期に検出することができる。また、HTTPサーバなどの通常のサーバ装置への攻撃のみならず、DNSサーバ装置への直接的な攻撃をも効率的に検出することができるという効果を奏する。
また、請求項2の発明によれば、ドメイン名の解決をおこなうDNSサーバ装置あるいはDNSサーバ装置から取得した情報のキャッシュをおこなうキャッシュサーバ装置を通過するDNSクエリ要求に関して特定のドメインについての統計を取得するよう構成したので、名前解決処理を実行するDNSサーバ装置およびキャッシュサーバ装置が設置されたネットワーク位置においてネットワーク攻撃を効率的に検出することができるという効果を奏する。
また、請求項3の発明によれば、統計対象となる問合わせ先ドメイン名を任意に指定可能なリストに基づいてDNSクエリ要求に含まれる問い合わせ先ドメイン名ごとのランキングを含んだ統計を取得するよう構成したので、どのドメインに属するサーバ装置が攻撃対象となっているかを正確に把握することによって攻撃元が不特定多数の場合であっても有用な検出情報を提供することができるという効果を奏する。また、統計対象を指定したリストを用いることで、統計の対象となるドメインを容易に変更することができるという効果を奏する。
また、請求項4の発明によれば、統計対象となる問合わせ先ドメイン名を構成するサブドメイン名を任意に指定可能なリストに基づいてDNSクエリ要求に含まれる問い合わせ先ドメイン名を構成するサブドメイン名ごとのランキングを含んだ統計を取得するよう構成したので、攻撃対象となっているドメインを詳細に絞り込むことによって攻撃元が不特定多数の場合であっても有用な検出情報を提供することができるという効果を奏する。また、統計対象を指定したリストを用いることで、統計の対象となるサブドメインを容易に変更することができるという効果を奏する。
また、請求項5の発明によれば、DNSクエリ要求に含まれる要求元アドレスごとのランキングを含んだ統計を取得するよう構成したので、攻撃元のアドレスを正確に把握することができるという効果を奏する。
また、請求項6の発明によれば、DNSクエリ要求の統計値が所定の閾値を上回った回数が所定数に達した場合に、ネットワーク攻撃であると判定するよう構成したので、ネットワーク攻撃の開始を簡便な処理によって検出することによって攻撃検出に係る処理負荷を軽減することができるという効果を奏する。
また、請求項7の発明によれば、ネットワーク攻撃であると判定した後においてDNSクエリ要求の統計値が所定の閾値を下回った回数が所定数に達した場合に、ネットワーク攻撃が終了したと判定するよう構成したので、ネットワーク攻撃の終了を簡便な処理によって検出することによって攻撃検出に係る処理負荷を軽減することができるという効果を奏する。
また、請求項8の発明によれば、DNSクエリ要求に加えてDNSクエリ要求に対する応答を統計の取得対象とするよう構成したので、DNSクエリ要求とその応答との数に差異が生じることを特徴とするネットワーク攻撃を効率的に検出することができるという効果を奏する。
以下に添付図面を参照して、この発明に係る攻撃検出手法の実施例を詳細に説明する。なお、以下では、かかる攻撃手法を適用した攻撃検出装置をDNSキャッシュサーバ装置に接続して攻撃検出をおこなう場合について説明することとする。なお、攻撃検出装置をDNSサーバ装置に接続したり、ネットワークに直接接続したりして攻撃検出をおこなうこととしてもよい。
まず、本発明に係る攻撃検出手法の特徴について図1を用いて説明する。図1は、本発明に係る攻撃検出手法の特徴を示す図である。なお、同図においては、不特定多数の攻撃者(たとえば、ウィルスに感染した端末装置)が攻撃対象サーバ(たとえば、HTTPサーバ)に対してデータパケットを大量に送信する攻撃をおこなう際の攻撃手順について示している。
同図に示すように、攻撃者が攻撃対象サーバに対して攻撃を仕掛ける際には、まず、DNSサーバに対してDNSクエリを送信することで攻撃対象サーバのアドレスを取得しようとする(図1の(1)参照)。そして、DNSサーバから攻撃対象サーバのアドレスを取得したならば(図1の(2)参照)、取得したアドレスの攻撃対象サーバに対して大量のデータパケットを送信する(図1の(3)参照)。
このように、ネットワーク攻撃をおこなう攻撃者は、まず、攻撃対象のアドレスを取得するためにDNSによる名前解決をおこなったうえで、取得したアドレスを用いて攻撃を開始するという手順をとることが一般的である。
しかし、従来の攻撃検出手法では、攻撃対象サーバに対する攻撃が開始された時点(図1の(3)参照)で攻撃検出をおこなっていたので、攻撃検出タイミングが遅れてしまうという問題があった。一方、本発明に係る攻撃検出手法では、攻撃者がネットワーク攻撃を仕掛けようとしてDNSによる名前解決を要求した時点で(図1の(1)参照)攻撃検出をおこなうこととしたので、ネットワーク攻撃を早期に検出することができる。
次に、図1で説明した攻撃検出手法を適用した攻撃検出装置の概要について図2を用いて説明する。図2は、本実施例に係る攻撃検出装置10の概要を示す図である。なお、図2においては、不特定多数の攻撃者104が名前解決を要求するキャッシュサーバ装置101に、スイッチ102を介して接続された攻撃検出装置10を示している。
図2に示すように、攻撃検出装置10は、キャッシュサーバ装置101が受け付けたDNSクエリ要求についての統計を生成する(図2の(1)参照)。そして、生成したDNSクエリについての統計が所定の条件を満たした場合に攻撃であると判定する(図2の(2)および段落0051参照)。つづいて、攻撃検出装置10は、攻撃開始あるいは攻撃終了をあらわす攻撃情報をファイヤーウォール103に対して通知する(図2の(3)および段落0051参照)。
このように、攻撃検出装置10は、DNSクエリ要求についての統計を取得し、取得した統計に基づいて攻撃の有無を判定することとした。したがって、ネットワーク攻撃の早期段階、すなわち、攻撃者がネットワーク攻撃を仕掛けるための名前解決要求をおこなった段階でネットワーク攻撃を検出することができる。また、キャッシュサーバ装置101を標的としたネットワーク攻撃がおこなわれた場合であっても、攻撃検出を確実におこなうことができる。
なお、同図においては、攻撃検出装置10の接続先としてキャッシュサーバ装置101を例示したが、接続先はDNSサーバ装置(権威サーバ)であっても構わない。また、攻撃検出装置10をキャッシュサーバ装置101と攻撃者104との間や、キャッシュサーバ装置101とDNSサーバ装置との間のネットワーク位置に設置することとしてもよい。
また、本実施例においては、攻撃検出装置10をキャッシュサーバ装置101とは別装置として説明するが、キャッシュサーバ装置101の内蔵装置として構成してもよい。さらに、DNSサーバ装置を攻撃検出対象とする場合には、攻撃検出装置10をDNSサーバ装置の内蔵装置として構成してもよい。
次に、図2に示した攻撃検出装置10の構成について図3を用いて説明する。図3は、攻撃検出装置10の構成を示すブロック図である。同図に示すように、攻撃検出装置10は、制御部11と、記憶部12と、通信処理部13とを備えている。そして、制御部11は、統計データ取得部11aと、統計データログ生成部11bと、攻撃判定部11cと、攻撃情報通知部11dとをさらに備えており、記憶部12は、設定情報12aと、統計データ12bと、攻撃情報12cとを記憶する。
制御部11は、スイッチ102を介して受け取ったキャッシュサーバ装置101のDNSクエリに関するトラヒックを取得し、取得したトラヒックから統計データログを生成するとともに生成した統計データログに基づいて攻撃判定をおこなったうえで、ファイヤーウォール103に対して攻撃情報を通知する処理をおこなう処理部である。
統計データ取得部11aは、DNSクエリに関するトラヒックを通信処理部13を介して取得するとともに、取得したトラヒックを統計データとして統計データログ生成部11bに渡す処理をおこなう処理部である。
統計データログ生成部11bは、記憶部12の設定情報12aに基づいてログ対象とするドメインあるいはサブドメイン宛のDNSクエリ要求についてのデータログを生成する処理をおこなう処理部である。具体的には、この統計データログ生成部11bは、設定情報12aに指定された統計データ取得のための条件(たとえば、監視周期、監視対象IPアドレス、監視項目など)に従った統計データログ12bを生成する。なお、設定情報12aおよび統計データログ12bの詳細な例については図4および図5を用いて後述する。
攻撃判定部11cは、統計データログ生成部11bが生成した統計データログ12bを記憶部12から読み出すとともに、設定情報12aに指定された攻撃開始判定条件あるいは攻撃終了判定条件(たとえば、上限閾値、下限閾値など)に従って攻撃の開始/終了判定をおこなう処理部である。また、この攻撃判定部11cは、判定結果を攻撃情報12cとして生成する処理部でもある。なお、攻撃判定部11cが生成した攻撃情報12cは攻撃情報通知部11dによってファイヤーウォール103へ通知される。
攻撃情報通知部11dは、攻撃判定部11cが生成した攻撃情報12cを記憶部12から読み出すとともに、読み出した攻撃情報12cを通信処理部13を介することによってファイヤーウォール103へ通知する処理をおこなう処理部である。なお、この攻撃情報通知部11dから攻撃情報12cを通知されたファイヤーウォール103は、攻撃の防御開始/防御解除といった処理をおこなうことになる。
記憶部12は、不揮発性RAM(Random Access Memory)やハードディスク装置といった記憶デバイスで構成された記憶部であり、設定情報12a、統計データログ12bおよび攻撃情報12cを記憶する。
設定情報12aは、統計データログ取得条件や攻撃開始/終了判定条件を含んだ情報であり、これらの情報は統計データログ生成部11bあるいは攻撃判定部11cが使用する。また、設定情報12aは、たとえば、テキスト形式のリストとして構成されるので、攻撃のパターンに応じて攻撃検出対象や攻撃検出条件を容易に指定したり変更したりすることが可能である。ここで、この設定情報12aの詳細な例について図4を用いて説明しておく。図4は、設定情報12aの一例を示す図である。
図4の41に示したのは、統計データログの生成周期の指定例である。図4の41に示したように、「監視周期」が「180秒」である旨を指定した場合には、統計データログ生成部11bは、統計データ取得部11aから随時渡された統計データについて180秒ごとに統計データログ12bを生成する。
図4の42に示したのは、監視対象を特定するための指定例である。図4の42に示したように、「監視対象IPアドレス」が「1」個であり、「監視対象IPアドレス」が「1234::128」であり、「監視対象ポート」が「53」である旨を指定した場合には、統計データログ生成部11bは、統計データ取得部11aから随時渡された統計データの中から図4の42に示した条件を満たすDNSクエリについての統計データログ12bを生成する。
図4の43や44に示したのは、監視ドメインの特定および攻撃開始/終了判定条件の指定例である。なお、図4の43や44における枝番(「_1」や「_2」)は、監視ドメインごとに振られる番号であり、「監視項目1_1」、「監視項目1_2」というような枝番を用いることで、監視ドメインを複数個指定することが可能である。
図4の43に示したように、「監視項目1_1」が「www.aaa.co.jp.」というドメインである旨の指定をした場合には、統計データログ生成部11bはドメイン「www.aaa.co.jp.」に関するDNSクエリを統計データログ12bの対象とする。また、同一の枝番を用いることで、攻撃開始/終了判定条件(たとえば、上限閾値1_1、下限閾値1_1など)を監視ドメインごとに異なる値として指定することができる。
「上限閾値」および「連続超過回数」は、攻撃判定部11cが攻撃開始判定の条件として用いる項目である。図4の43や44に示すように、「上限閾値」が「10000」であり、「連続超過回数」が「5」である旨の指定をした場合には、攻撃判定部11cは各統計データログ12bについてクエリ数が5回連続して10000クエリを超過すると攻撃が開始されたと判定する。また、「下限閾値」が「600」であり、「連続下回り回数」が「5」である旨の指定をした場合には、攻撃判定部11cは攻撃開始と判定したのち各統計データログ12bについてクエリ数が5回連続して600クエリを下回ると攻撃が終了したと判定する。
図3の説明に戻り、統計データログ12bについて説明する。統計データログ12bは、設定情報12aの指定に基づいて統計データログ生成部11bが生成するDNSクエリに関する統計ログである。また、この統計データログ12bは攻撃判定部11cが攻撃開始/終了判定をおこなう際に用いられる。ここで、統計データログ12bの詳細な例について図5を用いて説明しておく。図5は、統計データログ12bの一例を示す図である。
図5に示すように、統計データログ12bは、監視対象についての情報(図5の51参照)と、監視ドメイン(問合わせドメイン)ごとのクエリ数に関する情報(図5の52および53参照)とを含んだ情報である。
なお、同図に示す例では、監視ドメイン名として「co.jp.」(図5の51b参照)が指定されているので、末尾に「co.jp.」を含む問合わせドメイン(「www.aaa.co.jp.」(図5の52a参照)や「www.bbb.co.jp.」(図5の53a参照))についての統計情報が作成されている。
なお、図5の51aに示すように「監視項目番号」を「1」としているが、これは、監視項目を、ルートドメイン(.)としたり、jp.ドメイン(jp.)としたりというようにDNSクエリの監視範囲を複数個指定するために用いられる。ここで、この監視項目の使用例について図6を用いて説明する。図6は、監視項目の使用例を示す図である。
図6に示すように、設定情報12aに監視項目1として「co.jp.」が、監視項目2として「jp.」が、監視項目3として「.」がそれぞれ指定された場合について説明する。この場合、問合わせドメイン(QNAME)が「www.aaa.co.jp.」であるクエリ要求が統計データ中に存在したならば、統計データログ12bにおける監視項目1、監視項目2および監視項目3についてのクエリ数総計がそれぞれカウントアップされることになる。
このように、複数のドメイン階層について、それぞれDNSクエリ要求の統計をとることで、攻撃対象となっているサブドメインを絞り込んだり、逆に、攻撃対象となっているサブドメインを管理しているDNSサーバを特定したりすることが可能となる。また、図6においては、各ドメイン階層を直接指定する場合について示したが、所定のドメイン階層、たとえば、「co.jp.」というドメインを指定するとその配下にあるサブドメインごとの統計についても取得することとしてもよい。
図5の説明に戻って、問合わせドメインごとのランキング付けについて説明する。図5に示したように、統計データログ12bでは、監視ドメイン名に該当する問合わせドメインについて、たとえば、クエリ数の降順でランキング付けがおこなわれる。そして、各問合わせドメインごとに、さらに、送信元IPアドレスごとのクエリ数のランキング付けがおこなわれる。
たとえば、統計データログ12bでは、図5に示した52a、53aのようにドメインごとの合計クエリ数(図5の52aの場合であれば「3200」)が多いほうから少ないほうへ、ドメインごと(図5の52および53参照)のランキング付けがおこなわれる。さらにドメインごと(図5の52および53参照)のランキングのなかには、送信元IPアドレスごとのクエリ数(図5の52の場合であれば「1256」、「823」、・・・)のランキングが含まれる。
このように、問合わせドメインごとのランキング付けをおこなうことで攻撃対象となっているサーバあるいはサーバが含まれるゾーンを特定することが可能となる。したがって、DDoS攻撃のように攻撃者が不特定多数であるため送信元IPアドレスを特定することが無効である場合であっても、攻撃先のドメインを階層的に特定することによって効率的な攻撃検出をおこなうことができる。
また、問合わせドメインごとのランキングに送信元IPアドレスのランキングを含めることでDoS攻撃のような攻撃者が少数である場合(すなわち、送信元IPアドレスを特定することが有効である場合)に、送信元IPアドレスを特定する用途で用いることもできる。
図3の説明に戻り、攻撃情報12cについて説明する。攻撃情報12cは、攻撃判定部11cによって生成された攻撃開始/攻撃終了の旨をあらわす情報である。そして、攻撃情報12cは攻撃情報通知部11dによってファイヤーウォール103に対して通知される。たとえば、この攻撃情報12cには、攻撃先として検出されたドメイン名やサブドメイン名、計数したDNSクエリ数、日付、時刻、攻撃開始/攻撃終了の区分といった項目が含まれる。
通信処理部13は、スイッチ102を介してDNSクエリ要求を受け付けたり、ネットワークを介してファイヤーウォール103に攻撃情報を送信したりといったデータ送受信処理をおこなう通信デバイスである。なお、図13においては、通信処理部13を単数としているが、スイッチ102用、ネットワーク用というように複数の通信デバイスを設けることとしてもよい。
次に、図3〜図6を用いて説明した攻撃検出装置10においておこなわれる処理手順について図7および図8を用いて説明する。図7は、統計データログ生成処理の処理手順を示すフローチャートである。同図に示すように、統計データログ生成部11bが統計データログ取得部11aからDNSパケット(たとえば、DNSクエリ要求)を取得すると(ステップS101)、この統計データログ生成部11bは設定情報12aに指定された条件に従って各DNSパケットが監視対象のDNSパケットであるか否かを判定する(ステップS102)。
そして、DNSパケットが監視対象のDNSパケットである場合には(ステップS102,Yes)、各DNSパケットを監視項目ごとに分類したうえで(ステップS103)統計データログ12bを生成する(ステップS104)。一方、ステップS102において監視対象のDNSパケットではないと判定された場合には(ステップS102,No)、ステップS101以降の処理を繰り返すことになる。
図8は、攻撃判定処理および攻撃情報通知処理の処理手順を示すフローチャートである。同図に示すように、攻撃判定部11cは統計データログ12bを記憶部12から読み出し(ステップS201)、監視項目毎に分類された各DNSクエリ数が上限閾値を連続して所定回数超過しているか否かを判定する(ステップS202)。そして、ステップS202の判定条件を満たした場合には(ステップS202,Yes)、攻撃開始の旨をあらわす攻撃情報12cを生成し、この攻撃情報12c(攻撃開始)を攻撃情報通知部11dがファイヤーウォール103に対して通知する(ステップS203)。なお、ステップS202の判定条件を満たさない場合には(ステップS202,No)、ステップS201以降の処理を繰り返すことになる。
つづいて、攻撃開始通知を受けたファイヤーウォール103が統計データログ取得要求を攻撃検出装置10に対しておこなうと、攻撃情報通知部11dは先に送信した攻撃情報12cとリンクした統計データログ12bを抽出したうえでファイヤーウォール103に対して通知する(ステップS204)。この統計データログ12bを受け取ったファイヤーウォール103は、先に受け取った攻撃開始通知と、この統計データログとから必要な情報を選択したうえで防御処理を開始する(ステップS301)ことになる。
また、ステップS203およびステップS204の処理手順を完了した攻撃判定部11cは、攻撃終了の判定をおこなうために統計データログ12bの読み出し処理を継続し(ステップS205)、攻撃開始通知をおこなった監視項目についてのDNSクエリ数が下限閾値を連続して所定回数下回ったか否かを判定する(ステップS206)。そして、ステップS206の判定条件を満たした場合には(ステップS206,Yes)、攻撃終了の旨をあらわす攻撃情報12cを生成し、この攻撃情報12c(攻撃終了)を攻撃情報通知部11dがファイヤーウォール103に対して通知する(ステップS207)。なお、攻撃情報12c(攻撃終了)を受け取ったファイヤーウォール103は、防御解除処理をおこなう(ステップS302)ことになる。
次に、攻撃検出装置10の設置位置の例について図9を用いて説明する。図9は攻撃検出装置10の設置位置例を示す図である。同図の設置位置パターンA、すなわち、攻撃検出装置10をキャッシュサーバ装置101に接続する形態については図2で既に説明したとおりである。しかし、本実施例に係る攻撃検出装置10は、DNSクエリについての統計をとる点に主な特徴があることから明らかなように、設置位置パターンBに示すようにDNSサーバ装置に接続する形態をとっても構わない。このようにすることで、DNSサーバを攻撃対象としたDDoS攻撃を効率的に検出することが可能となる。
また、設置位置パターンAおよびBに示すように、攻撃検出装置10をキャッシュサーバ装置やDNSサーバ装置に接続することもできるが、必ずしもサーバ装置に直設接続する形態をとる必要はない。すなわち、同図に示す攻撃端末とキャッシュサーバ装置との間、あるいは、キャッシュサーバ装置とDNSパケットが監視対象サーバとの間に存在する図示しないネットワークに、攻撃検出装置10を接続することとしてもよい。
上述してきたように、本実施例においては、統計データ取得部がDNSクエリ要求を取り扱う装置からDNSクエリを取得し、統計データログ生成部が設定情報に指定された監視ドメインごと、あるいは、監視ドメインに含まれるサブドメインごとに区分けされた統計データログを生成する。そして、攻撃判定部が設定情報に指定された攻撃開始/終了条件に基づいて攻撃開始判定/攻撃終了判定をおこない、攻撃情報通知部が判定結果をファイヤーウォールなどの攻撃対策装置へ送信するよう構成した。したがって、DNSクエリ要求が異常に増加した時点でいち早くネットワーク攻撃を察知できるのでネットワーク攻撃を早期に検出することができるとともに、攻撃先をドメイン、サブドメインといった複数の範囲で特定するので攻撃元が不特定多数であり攻撃元を特定することが無意味な場合であっても有用な検出情報を提供することができる。
なお、上記した実施例では、DNSクエリ要求についての統計をとる場合について説明したが、DNSクエリ要求およびこのDNSクエリ要求への応答についての統計をとることとしてもよい。このようにすることで、DNSクエリ要求のクエリ数と応答数との間に不均衡が生じた場合に攻撃と判定するなどの攻撃判定処理をおこなうことが可能となる。
また、上記した実施例では、本発明を実現する攻撃検出装置を機能面から説明したが、攻撃検出装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。
すなわち、上述した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る攻撃検出装置、攻撃検出方法および攻撃検出プログラムは、ネットワーク攻撃の早期検出に有用であり、特に、DDoS攻撃のように攻撃者が不特定多数である場合や、DNSサーバ装置やキャッシュサーバ装置といったDNS関連装置を攻撃対象とするネットワーク攻撃がおこなわれた場合の攻撃検出に適している。
本発明に係る攻撃検出手法の特徴を示す図である。 本実施例に係る攻撃検出装置の概要を示す図である。 攻撃検出装置の構成を示すブロック図である。 設定情報の一例を示す図である。 統計データログの一例を示す図である。 監視項目の使用例を示す図である。 統計データログ生成処理の処理手順を示すフローチャートである。 攻撃判定処理および攻撃情報通知処理の処理手順を示すフローチャートである。 攻撃検出装置の設置位置例を示す図である。
符号の説明
10 攻撃検出装置
11 制御部
11a 統計データ取得部
11b 統計データログ生成部
11c 攻撃判定部
11d 攻撃情報通知部
12 記憶部
12a 設定情報
12b 統計データログ
12c 攻撃情報
13 通信処理部
101 キャッシュサーバ装置
102 SW(スイッチ)
103 FireWall(ファイヤーウォール)
104 攻撃者

Claims (10)

  1. ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出装置であって、
    前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得手段と、
    前記統計取得手段が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定手段と、
    前記攻撃判定手段がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知手段と
    を備えたことを特徴とする攻撃検出装置。
  2. 前記統計取得手段は、ドメイン名の解決をおこなうDNSサーバ装置あるいは前記DNSサーバ装置から取得した情報のキャッシュをおこなうキャッシュサーバ装置を通過するDNSクエリ要求に関して特定のドメインについての統計を取得することを特徴とする請求項1に記載の攻撃検出装置。
  3. 前記統計取得手段は、統計対象となる問合わせ先ドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名ごとのランキングを含んだ統計を取得することを特徴とする請求項1または2に記載の攻撃検出装置。
  4. 前記統計取得手段は、統計対象となる問合わせ先ドメイン名を構成するサブドメイン名を任意に指定可能なリストに基づいて前記DNSクエリ要求に含まれる問い合わせ先ドメイン名を構成するサブドメイン名ごとのランキングを含んだ統計を取得することを特徴とする請求項3に記載の攻撃検出装置。
  5. 前記統計取得手段は、前記DNSクエリ要求に含まれる要求元アドレスごとのランキングを含んだ統計を取得することを特徴とする請求項1〜4のいずれか一つに記載の攻撃検出装置。
  6. 前記攻撃判定手段は、前記DNSクエリ要求の統計値が所定の閾値を上回った回数が所定数に達した場合に、ネットワーク攻撃であると判定することを特徴とする請求項1〜5のいずれか一つに記載の攻撃検出装置。
  7. 前記攻撃判定手段は、ネットワーク攻撃であると判定した後において前記DNSクエリ要求の統計値が所定の閾値を下回った回数が所定数に達した場合に、ネットワーク攻撃が終了したと判定することを特徴とする請求項6に記載の攻撃検出装置。
  8. 前記統計取得手段は、前記DNSクエリ要求に加えて前記DNSクエリ要求に対する応答を統計の取得対象とすることを特徴とする請求項1〜7のいずれか一つに記載の攻撃検出装置。
  9. ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出方法であって、
    前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得工程と、
    前記統計取得工程が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定工程と、
    前記攻撃判定工程がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知工程と
    を含んだことを特徴とする攻撃検出方法。
  10. ネットワークに接続された端末装置による前記ネットワーク上のサーバ装置に対するネットワーク攻撃を検出する攻撃検出プログラムであって、
    前記ネットワーク上を流通するDNSクエリ要求に関する統計を、前記DNSクエリ要求の問合わせドメインを包含する所定の監視ドメインごとに取得する統計取得手順と、
    前記統計取得手順が取得した前記統計に基づいて前記監視ドメインに対するネットワーク攻撃の有無を判定する攻撃判定手順と、
    前記攻撃判定手順がネットワーク攻撃であると判定した場合に、当該ネットワーク攻撃の内容をあらわす攻撃情報を前記監視ドメインにおける所定の攻撃対策装置に対して通知する攻撃通知手順と
    をコンピュータに実行させることを特徴とする攻撃検出プログラム。
JP2006068307A 2006-03-13 2006-03-13 攻撃検出装置、攻撃検出方法および攻撃検出プログラム Active JP4296184B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006068307A JP4296184B2 (ja) 2006-03-13 2006-03-13 攻撃検出装置、攻撃検出方法および攻撃検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006068307A JP4296184B2 (ja) 2006-03-13 2006-03-13 攻撃検出装置、攻撃検出方法および攻撃検出プログラム

Publications (2)

Publication Number Publication Date
JP2007251282A JP2007251282A (ja) 2007-09-27
JP4296184B2 true JP4296184B2 (ja) 2009-07-15

Family

ID=38595158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006068307A Active JP4296184B2 (ja) 2006-03-13 2006-03-13 攻撃検出装置、攻撃検出方法および攻撃検出プログラム

Country Status (1)

Country Link
JP (1) JP4296184B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101544322B1 (ko) 2014-08-18 2015-08-21 명지대학교 산학협력단 시각화를 이용한 악성 코드 탐지 시스템과 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4999787B2 (ja) * 2007-11-05 2012-08-15 株式会社Kddi研究所 トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体
US7970939B1 (en) * 2007-12-31 2011-06-28 Symantec Corporation Methods and systems for addressing DNS rebinding
JP5568344B2 (ja) * 2010-03-18 2014-08-06 株式会社ラック 攻撃検出装置、攻撃検出方法、及びプログラム
KR101252787B1 (ko) * 2011-12-06 2013-04-09 이청종 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법
JP5922622B2 (ja) * 2013-07-30 2016-05-24 日本電信電話株式会社 制御装置、通信システム、および、通信制御方法
US9729413B2 (en) * 2014-10-07 2017-08-08 Coudmark, Inc. Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration
JP6285884B2 (ja) * 2015-03-04 2018-02-28 日本電信電話株式会社 Enumサーバ、および、特異アクセス判定方法
JP7018810B2 (ja) * 2018-04-05 2022-02-14 浩 河之邊 Dns水責め攻撃を防御する方法、プログラム、及び装置
CN114039756B (zh) * 2021-10-29 2024-04-05 恒安嘉新(北京)科技股份公司 非法域名的探测方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101544322B1 (ko) 2014-08-18 2015-08-21 명지대학교 산학협력단 시각화를 이용한 악성 코드 탐지 시스템과 방법
WO2016028067A3 (ko) * 2014-08-18 2016-04-07 주식회사 시큐그래프 시각화를 이용한 악성 코드 탐지 시스템과 방법

Also Published As

Publication number Publication date
JP2007251282A (ja) 2007-09-27

Similar Documents

Publication Publication Date Title
JP4296184B2 (ja) 攻撃検出装置、攻撃検出方法および攻撃検出プログラム
US8347394B1 (en) Detection of downloaded malware using DNS information
US9306964B2 (en) Using trust profiles for network breach detection
US8745737B2 (en) Systems and methods for detecting similarities in network traffic
JP6196008B2 (ja) 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP6734466B2 (ja) 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
JP2008278272A (ja) 電子システム、電子機器、中央装置、プログラム、および記録媒体
JP2011193343A (ja) 通信ネットワーク監視システム
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치
JP4303741B2 (ja) 通信遮断装置、通信遮断プログラムおよび通信遮断方法
Abu Rajab et al. On the impact of dynamic addressing on malware propagation
US10462158B2 (en) URL selection method, URL selection system, URL selection device, and URL selection program
EP1754348A2 (en) Using address ranges to detect malicious activity
KR20130116418A (ko) Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
Prieto et al. Botnet detection based on DNS records and active probing
Davanian et al. MalNet: A binary-centric network-level profiling of IoT malware
JP6740191B2 (ja) 攻撃対処システム及び攻撃対処方法
CN111147491A (zh) 一种漏洞修复方法、装置、设备及存储介质
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
Zhang et al. Silence is not Golden: Disrupting the Load Balancing of Authoritative DNS Servers
Harsha et al. Feature selection for effective botnet detection based on periodicity of traffic

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090413

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120417

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4296184

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130417

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140417

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350