JP4371905B2 - 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 - Google Patents

不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 Download PDF

Info

Publication number
JP4371905B2
JP4371905B2 JP2004157374A JP2004157374A JP4371905B2 JP 4371905 B2 JP4371905 B2 JP 4371905B2 JP 2004157374 A JP2004157374 A JP 2004157374A JP 2004157374 A JP2004157374 A JP 2004157374A JP 4371905 B2 JP4371905 B2 JP 4371905B2
Authority
JP
Japan
Prior art keywords
network
ddos
attack
event
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004157374A
Other languages
English (en)
Other versions
JP2005341217A (ja
Inventor
仁史 三友
芳樹 東角
文恵 滝沢
悟 鳥居
修 小谷野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004157374A priority Critical patent/JP4371905B2/ja
Priority to US11/042,353 priority patent/US7568232B2/en
Publication of JP2005341217A publication Critical patent/JP2005341217A/ja
Application granted granted Critical
Publication of JP4371905B2 publication Critical patent/JP4371905B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラム、および分散型サービス不能化攻撃検知装置に関し、特に将来発生する恐れのある不正アクセスを検出するための不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラムと、将来発生する恐れのある分散型サービス不能化攻撃を検知する分散型サービス不能化攻撃検知装置に関する。
近年の情報通信技術の発展に伴い、インターネットを介したサービスが広く提供されている。サービスの提供者は、たとえば、インターネットを介してアクセス可能なサーバを設置し、インターネット経由で接続されたクライアント装置に対して各種サービスを提供する。このようなサービスを提供するサーバは、インターネットを介してアクセス可能であることから、不正アクセスによる攻撃の対象となりやすく、不正アクセスを早期に発見するための技術が必要となっている。
基本的には、通信パケットを監視し、不正目的のコマンドを含むアクセス要求を検出することで、不正アクセスを検出することができる。ところが、複数の正規なコマンドを組み合わせることで攻撃する不正アクセスも存在し、このような不正アクセスは、単独のパケット監視では検出できない。
特に、数年前より、多くのウェブサイトが分散型サービス不能化(Distributed Denial of Service;以下、DDoSとする)攻撃によって被害を受けている。
DDoS攻撃とは、複数の踏み台(ネットワークを介して悪者に乗っ取られた装置)から1つのターゲット・サーバに向けて一斉に大量のパケットを送りつける攻撃を言う。DDoS攻撃を受けたターゲット・サーバは、一斉に大量のパケットを送りつけられることによって過負荷状態に陥り、最悪の場合にはサーバ機能が停止してしまう。
しかしながら、このとき送られるパケットは、正規のパケットであり、単独のパケットの監視だけでは、DDoS攻撃を検出することができない。また、DDoS攻撃は、複数の踏み台を介して行われるため、攻撃者のサイト端末の特定が困難であり、攻撃に対する対策を立てることも難しかった。
そこで、DDoS攻撃に対し、複数のボーダルータが同一宛先のパケットを計数し、その集計結果をボーダルータ相互間で交換することにより、ボーダルータを経由して流入するパケットを監視し、同一宛先に対して異常な個数で流入するパケットをDDoS攻撃によるものと判断し、この流入を抑制するという不正アクセスの検出および防御方法がとられている(たとえば、特許文献1参照)。
特開2003−289337号公報(段落番号〔0031〕〜〔0047〕、図1)
しかしながら、従来の不正アクセス検出方法では、将来発生する恐れのある不正アクセスの全容を予測することが難しいという問題がある。すなわち、従来の不正アクセス検出では、単独のパケットを監視することによって不正アクセスを検出するが、単独のパケットからでは、DDoS攻撃に代表される複数の踏み台で構成される不正装置群による不正アクセスの全容を把握することができない。したがって、攻撃規模や被害規模の予測ができず、効果的な対策を行うことを難しくしている。
特に、DDoS攻撃は、踏み台の数が多くなるほど、その被害規模が大きくなるため、攻撃前にその全容を検知することができれば、有効な対策をとることができる。しかしながら、従来の不正アクセスの検出では、全容を把握することができないため、攻撃規模、被害規模の予測ができず、有効な対策がとれない。
また、従来のDDoS攻撃の検出では、複数の地点からDDoS攻撃に該当するパケットを計数・集計することによって、現在発生しているDDoS攻撃の検出を可能としている。このため、DDoS攻撃が検出された時点では、DDoS攻撃は既に開始されており、大量のパケットがネットワークへ流入している状態になっている。このため、その時点で流入するパケットを抑制しても、既に通常のパケットの伝達が遅延するなどの被害が発生している場合があるという問題点もある。そして、不正アクセスが既に開始された時点では、有効な対策をとることも難しい。
本発明はこのような点に鑑みてなされたものであり、攻撃が開始される前に発生する恐れのある攻撃の全容を把握することの可能な不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムを提供することを目的とする。さらに、本発明の目的は、発生する恐れのある分散型サービス不能化攻撃の全容を把握することを可能にすることにある。
本発明では上記課題を解決するために、図1に示すような不正アクセス検知装置1が提供される。本発明に係る不正アクセス検知装置1は、ネットワークを介した不正アクセスを検出するためのものである。ネットワークは、局所的なネットワーク2a、2b、・・・などの集合体で構成される。不正アクセス検知装置1は、以下の要素で構成される。
イベント情報記憶手段1aは、準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報を格納する。不正装置群記憶手段1bは、不正装置群導出手段1dによって導出された現在進行中のネットワークイベントに関わった不正装置群の情報を格納する。監視情報収集手段1cは、それぞれのネットワーク2a、2b、・・・の監視を行う監視装置3a、3b、・・・から監視情報を収集する。監視装置3a、3b、・・・は、各ネットワーク2a、2b、・・・を流れるトラフィックを監視し、所定のネットワークイベントを検出するごとに、その監視情報を記録している。不正装置群導出手段1dは、収集された監視情報のネットワークイベントをキーとしてイベント情報記憶手段1aから対応するイベント情報を検索する。イベント情報が検索された場合、そのイベント情報の定義に基づき、ネットワークイベントに繋がる不正アクセスの種類が同じでかつネットワークイベントの発信元もしくは宛先のアドレスが同じ装置をまとめあげ、不正アクセスに関わった不正装置群として不正装置群記憶手段1bに格納する。出力手段1eは、不正装置群導出手段1dによって導出された不正装置群のリスト4を出力する。
このような不正アクセス検知装置1によれば、監視情報収集手段1cは、各ネットワーク2a、2b、・・・の監視装置3a、3b、・・・が検出した所定のネットワークイベントに関する監視情報を取得する。次に、不正装置群導出手段1dは、収集した監視情報のネットワークイベントをキーとして、イベント情報記憶手段1aからネットワークイベントを定義したイベント情報を検索する。そして、イベント情報に基づき、ネットワークイベントに繋がる不正アクセスの種類が同じで、ネットワークイベントの発信元もしくは宛先が同じ装置をまとめ、これら装置をこの不正アクセスに関わった1つのグループ(不正装置群)とみなし、不正装置群記憶手段1bに格納する。次に、出力手段1eは、不正装置群導出手段1dによって導出された不正装置群のリスト4を出力する。
また、上記課題を解決するために、各ネットワークを監視する監視装置が検出したネットワークイベントを含む監視情報を収集し、準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として導出し、前記不正装置群に関する不正装置群リストを出力する不正アクセス検知方法が提供される。
このような不正アクセス検知方法によれば、各ネットワークを監視する監視装置から監視情報が収集され、収集された監視情報のネットワークイベントをキーとしてネットワークイベントを定義したイベント情報が検索される。そして、イベント情報に基づき、同じ不正アクセスに関連し、かつ発信元もしくは宛先アドレスが同じ装置がまとめあげられ、この不正アクセスに関わった不正装置群として導出される。そして、導出された所定の不正アクセスに関わった不正装置群のリストが出力される。
さらに、上記課題を解決するために、コンピュータを、準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段、現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段、各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段、収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段、前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段、として機能させるための不正アクセス検知プログラムが提供される。
このような不正アクセス検知プログラムをコンピュータに実行させることで、コンピュータが上記不正アクセス検知装置として機能する。
また、上記課題を解決するために、DDoS攻撃を行うDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、を具備するDDoS攻撃検知装置が提供される。
このようなDDoS攻撃検知装置によれば、監視情報収集手段は、各ネットワークの監視装置から監視情報を収集する。次に、DDoSネットワーク導出手段は、監視情報のネットワークイベントをキーとして、イベント情報記憶手段からDDoS攻撃に繋がるネットワークイベントの定義を検索する。そして、イベント情報に基づき、ネットワークイベントに繋がるDDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置をまとめあげ、前記DDoS攻撃に繋がる不正装置群としてDDoSネットワーク記憶手段に格納する。出力手段は、DDoSネットワーク導出手段により導出されたDDoSネットワークを構成する不正装置群のリストを出力する。
以上説明したように、本発明では、ネットワークの監視情報から所定の不正アクセスに関わった不正装置群を導出し、その不正装置群のリストを作成するようにした。これにより、将来発生する恐れのある不正アクセスの全容を把握することが可能となる。
また、本発明では、DDoS攻撃に繋がるネットワークイベントに関する監視情報を用いてDDoSネットワークを構成する不正装置群を導出し、そのリストを作成するようにした。これにより、将来発生する恐れのあるDDoS攻撃の全容を把握することが可能となり、DDoS攻撃が開始された際の攻撃規模や被害規模を予測することができる。
以下、本発明の実施の形態を図面を参照して説明する。まず、実施の形態に適用される発明の概念について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、本発明の実施の形態に適用される発明の概念図である。不正アクセス検知装置1は、イベント情報を記憶するイベント情報記憶手段1a、不正装置群を記憶する不正装置群記憶手段1b、監視情報を収集する監視情報収集手段1c、監視情報から不正装置群を導出する不正装置群導出手段1dおよび検出された不正装置群のリストを出力する出力手段1eを具備する。
イベント情報記憶手段1aには、ネットワークイベント(以下、イベントとする)を定義するイベント情報が格納されている。通常、不正アクセスは、準備動作を経て不正アクセスを実行するまでの間に、所定のイベントを行う。イベントは、ネットワークを介して悪者に乗っ取られた装置(以下、これを不正装置とする)間、あるいは、不正アクセスを指示する攻撃者装置との間の通信メッセージとして発生する。実行されるイベントは、不正アクセスの種類ごとに異なるので、不正アクセスの種類に応じてイベントの定義を設定する。また、イベントに応じて発信元と宛先の装置の役割が決まるので、イベント情報にイベントに応じた役割も定義しておく。
不正装置群記憶手段1bには、現在進行中の不正アクセスに関わった不正装置群のアドレスが格納される。
監視情報収集手段1cは、各ネットワーク2a、2b、・・・を監視する監視装置3a、3b、・・・から監視情報を収集する。監視情報には、少なくとも、監視装置3a、3bが検出したイベントと、その発信元と宛先のアドレスが設定されている。
不正装置群導出手段1dは、監視情報収集手段1cによって収集された監視情報とイベント情報を用いてイベントに関わった不正装置が属する不正装置群を判定し、不正装置群記憶手段1bの該当する不正装置群登録領域にその不正装置情報を設定する。具体的には、まず、監視情報のイベントをキーとしてイベント情報記憶手段1aから対応するイベント情報を検索する。次に、検索されたイベント情報に基づき、イベントに繋がる不正アクセスの種類を特定する。そして、同じ種類の不正アクセスに関わり、かつイベントの発信元もしくは宛先が同じ装置を1つのグループと見なす。すなわち、不正装置群記憶手段1bを検索し、該当する不正アクセスの不正装置群に登録されたアドレスと、今回の監視情報のイベントの発信元もしくは宛先のアドレスと照合し、同一の不正装置群があれば、今回導出された不正装置群をこの不正装置群に加える。ない場合は、新たな不正装置群として不正装置群記憶手段1bに格納する。このとき、イベント情報に基づき、このイベントに関わった不正装置の役割を参照し、検出された役割ごとに不正装置を振り分ける。
出力手段1eは、不正装置群導出手段1dによって導出された不正装置群のリスト4を出力する。
なお、上記の説明の各手段は、コンピュータに不正アクセス検知プログラムを実行させることにより実現する。
このような不正アクセス検知装置1によれば、監視情報収集手段1cは、各ネットワーク2a、2bの監視装置3a、3bが生成する監視情報が収集される。次に、不正装置群導出手段1dにより、監視情報のイベントをキーとしてイベント情報記憶手段1aからイベント情報が検索される。そして、検索されたイベント情報に基づき特定される不正アクセスの種類が同じで、かつイベントの発信元もしくは宛先のアドレスが同じ装置をまとめあげ、これらの装置をこの不正アクセスに関わった不正装置群として導出し、不正装置群記憶手段1bに格納する。すなわち、イベントごとにイベント種類に対応する不正アクセスの種類を判定し、判定された不正アクセスの種類で、このイベントの発信元もしくは宛先のアドレスと同じ不正装置が登録されている不正装置群が不正装置群記憶手段1bに格納されているかどうかを判定し、格納されていれば既に格納されている不正装置群に今回導出された不正装置(発信元もしくは宛先)を加え、なければ新たな不正装置群として発信元と宛先アドレスを格納する。このような処理を監視情報取得ごとに繰り返すことによって、不正装置群記憶手段1bに、検出された不正装置群のアドレスが蓄積される。出力手段1eは、不正装置群導出手段1dにより導出された不正装置群のアドレスを示したリスト4を出力する。
不正装置群のリスト4には、不正アクセス種別4aごとに、その不正アクセスに関わったイベントの発信元と宛先として検出された不正装置群4bのアドレスがリストアップされる。アドレスは、役割に応じたグループごとにリストアップされる。
以上のように、本発明によれば、不正アクセスを発生させる前の準備段階のイベントが記録された監視情報を収集し、この監視情報に基づき不正装置群を検出するので、事前に不正装置群を導出することができる。このため、不正アクセス発生前に、その攻撃規模および被害規模を予測することが可能となり、これにより有効な対策を施すことができる。
以下に、本発明の実施の形態を具体的に説明する。
図2は、本発明の実施の形態に係るネットワークシステムの構成例を示す図である。
本発明の実施の形態が適用されるネットワークシステムは、たとえば、インターネットプロバイダにより構築されるISP(Internet Service Provider)ネットワークなど、局所的ISPネットワーク21、22、・・・の集合体で構成される。
ISPネットワーク21を流れる通信パケットは、IDS(Instrusion Detection System;侵入検出ツール)31a、31b、31c、31d、31eが監視し、監視ログを生成する。IDSは、セキュリティ対策として広く用いられており、ネットワークワークを流れるパケットを監視しながら、不正アクセスパターンに合致するパケットを見つける。すなわち、何らかのイベントを発見し、それを監視ログに出力する。不正アクセスパターンの検出は、予め不正アクセスパターンを定義したデータベース(DB)をIDSに持たせることによって機能させる。監視ログには、一般に、監視時刻と検出したイベント(不正アクセスパターン)、イベントの送受信者のIPアドレスなどが記録される。そして、IDS31a、31b、31c、31d、31eが生成した監視ログは、サーバ21fに集約され、セキュリティを管理するSOC(SDecurity Operation Center)10の不正アクセス検知装置100に送られる。同様に、ISPネットワーク22を流れる通信パケットは、IDS32a、32b、32c、32dが監視し、監視ログを生成する。生成された監視ログは、サーバ22eに集約され、不正アクセス検知装置100に送られる。
ここで、このネットワークに攻撃者がクライアント51を利用して接続し、乗っ取った踏み台61、62、63に対し指示を行うとする。たとえば、攻撃者のクライアント51から流入する通信パケットの監視情報は、IDS31bによって生成される。また、踏み台61、62、63から流入する通信パケットは、それぞれIDS31a、31c、32cによって監視情報が生成される。
図3は、本発明の実施の形態に用いる不正アクセス検知装置のハードウェア構成例を示した図である。
不正アクセス検知装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションのプログラムが格納される。グラフィック処理装置104には、モニタ11が接続されており、CPU101からの命令に従って画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12やマウス13が接続されており、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。通信インタフェース106は、ネットワーク20に接続されており、ネットワーク20を介して端末装置との間でデータの送受信を行う。
このようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図3には、不正アクセス検知装置のハードウェア構成を示したが、IDSも同様のハードウェア構成で実現することができる。
以下、本発明の実施の形態をDDoS攻撃の検出と防御に適用する場合で説明する。本発明に係る不正アクセス検知では、不正アクセスに関わる不正装置の一群を導出することができるので、不正装置群が一斉に不正処理を行うような攻撃、たとえば、DDoS攻撃などからの防御に特に有効である。
図4は、DDoS攻撃の発生メカニズムを示す概念図である。図4の例では、クライアント51を利用して、ウェブサーバ230に攻撃を加える場合を想定している。以下、攻撃者の利用するクライアントをアタッカと呼ぶ。
アタッカ51を使用する攻撃者は、インターネット200を介してアクセス可能なコンピュータをエージェント装置221、222、223、・・・として機能させる。アタッカ51から各エージェント装置221、222、223、・・・へは、ハンドラ装置211を経由して指示を送る。
ここで、「エージェント」とは、DDoS攻撃の目標(任意の装置あるいはネットワーク)に向けて大量のパケットを送りつける処理機能を実行させるプログラムの一種である。すなわち、「エージェント」が送り込まれたコンピュータは、ターゲットに直接被害を及ぼすホストとなる。
また、「ハンドラ」とは、攻撃者の使用するアタッカ51と、エージェント装置221、222、223、・・・とのインタフェースに相当し、攻撃者がエージェントを操作するための機能を実行させるためのプログラムの一種である。「ハンドラ」が送り込まれたコンピュータは、エージェント装置に対して外部から指令を出すホストとなる。
エージェントやハンドラは、一般にネットワーク越しに攻撃者によって乗っ取られた脆弱なマシンにインストールされる。エージェントやハンドラがインストールされることにより、このマシンはエージェント装置やハンドラ装置になる。通常、ハンドラ装置およびエージェント装置は、ネットワーク上に複数台設けられる。
攻撃者はアタッカ51を操作し、ハンドラ装置211にコマンドを与える。ハンドラ装置211は、コマンドが与えられると、それをエージェント装置221、222、223、・・・に対する操作・設定コマンドに変換し、各エージェント装置221、222、223、・・・に送信する。エージェント装置221、222、223、・・・は一種のサーバソフトウェアによる処理機能を行っており、ハンドラ装置211からコマンドを受信すると、その内容に応じた攻撃を実行する。たとえば、攻撃対象のウェブサーバ230に対して、大量のパケットを送信する(パケットフラッド)。
これらのハンドラやエージェントをネットワーク上のコンピュータに導入するためのソフトウェアのインストールおよび設定は、ネットワークを介して行われる。よって、これらに係る通信は(暗号化されていない限り)ネットワーク上で検出可能である。また、DDoS攻撃は専用のツール(DDoS攻撃発生ツール)を用いて行われることが多く、それには様々な種類がある。それぞれのツールは、所定のDDoS攻撃シナリオに沿った処理手順によってイベントを発生させる。
そこで、本発明の実施の形態では、ネットワーク上に設けられた監視装置(IDS)の監視情報を収集し、監視情報に含まれるイベントを用いて、DDoS攻撃に関わる不正装置群(DDoSネットワーク)の全容を解析する。以下の説明では、ハンドラやエージェントがインストールされた装置もそれぞれハンドラ、エージェントと呼ぶ。
[第1の実施の形態]
まず、第1の実施の形態について説明する。図5は、第1の実施の形態のDDoS攻撃検知装置の内部構成を示すブロック図である。各機能ブロックは、コンピュータにDDoS攻撃検知プログラムを実行させることにより実現する。
本発明に係るDDoS攻撃検知装置300は、インターネット200に接続し、イベント情報データベース(DB)310、DDoSネットワークデータベース(DB)320、監視ログ収集部330、DDoSネットワーク導出部340および出力部350を有する。DDoSネットワーク導出部340は、イベント情報検索部341とDDoSネットワーク更新部342を有する。
イベント情報DB310は、アタッカによってDDoSネットワークが形成される準備動作からDDoS攻撃開始までに実行されるイベントが定義されたイベント情報が格納されるイベント情報記憶手段である。イベント情報には、DDoS攻撃ツールの種類ごとに、発生するイベントの種類と、そのイベントの発信元と宛先の役割(アタッカ、ハンドラ、エージェント)などが定義されている。なお、DDoS攻撃は、DDoS攻撃発生ツール(以下、ツールとする)によって行われるが、ツールによって発生するイベントが異なるので、ここでいうDDoS攻撃ツールの種類は、ツールの種類であるとする。
DDoSネットワークDB320は、現在進行中のDDoS攻撃のためのDDoSネットワークを形成しているアタッカ、ハンドラ、エージェントから成るグループ(不正装置群)に属する装置が格納されるDDoSネットワーク記憶手段である。
監視ログ収集部330は、各ネットワークを監視する監視装置から監視ログをインターネット200を介して取得する。監視ログには、少なくとも検出されたイベントと、発信元と宛先のアドレスが登録されている。取得した監視ログは、DDoSネットワーク導出部340へ送る。
DDoSネットワーク導出部340のイベント情報検索部341は、取得した監視ログのイベントをキーとしてイベント情報DB310から対応するイベント情報を検索する。DDoSネットワーク更新部342は、検索されたイベント情報に基づき、監視ログのイベントに関連するツール種類を特定し、特定されたツール種類に該当するDDoSネットワークがDDoSネットワークDB320に存在し、さらに、登録されている装置のアドレスがイベントの発信元もしくは宛先と同じであるかどうかを判定する。ツール種類が同一で、発信元もしくは宛先のアドレスと同一であれば、このイベントの発信元と宛先はこのDDoSネットワークに属すると見なし、このDDoSネットワークに発信元と宛先アドレスによって特定される装置を加える。なければ、新たなDDoSネットワークとして発信元と宛先のアドレスを登録する。このとき、イベント情報によって定義された発信元と宛先の役割により、発信元と宛先の装置を分類する。
監視ログごとに上記の処理を繰り返すことにより、DDoSネットワークDB320には、進行中のDDoSネットワークの全容が登録されるようになる。
出力部350は、DDoSネットワーク導出部340によって導出されたDDoSネットワークを構成する不正装置群を記したDDoSネットワークリスト400を出力する。
以下、このようなDDoS攻撃検知装置300の動作について説明する。図4で説明したように、DDoS攻撃はシナリオに沿った段階を経て実行される。すなわち、ホストへのハンドラやエージェントの送り込み(デプロイ)、プログラムの起動(インストール)、各種設定(カスタマイズ)の段階を経て、攻撃指令が出される。
第1段階のデプロイについて説明する。図6は、デプロイにおいて発生するイベントを示した図である。デプロイの段階では、攻撃者の利用するアタッカ51からインターネット200経由で脆弱なホスト601、602、603、604、605に対してプログラムの一種であり、ファイルとして存在するハンドラ210aやエージェント220a、220bを送り込む。そのため、デプロイ段階で発生するイベントの発信元はアタッカ51で、宛先はハンドラもしくはエージェントを送り込まれるホスト群になる。図の例では、イベント501によりハンドラ210がアタッカ51(発信元)からホスト602(宛先)に送られる。同様に、イベント502によりエージェント220aがアタッカ51からホスト603に送られ、イベント503によりエージェント220bがアタッカ51からホスト605に送られる。以下、ハンドラが送り込まれたホストをハンドラ、エージェントが送り込まれたホストをエージェントとする。
第2段階のインストールについて説明する。図7は、インストールにおいて発生するイベントを示した図である。インストールの段階では、攻撃者は、アタッカ51からインターネット200を経由してエージェント606に対し、プログラムを起動するインストール指令を行う。インストール指令を受けたエージェント606は、プログラムを起動させると、すべてのハンドラにメッセージを一斉に送信する。そのため、インストール段階で発生するイベント504、505、506の発信元は、エージェント606で、宛先はハンドラ607、608、609になる。
第3段階のカスタマイズについて説明する。図8は、カスタマイズにおいて発生するイベントを示した図である。カスタマイズの段階では、攻撃者は、アタッカ51からインターネット200経由でハンドラ610にエージェントの操作・管理を指示する。ハンドラ610は、エージェント611、612、613に対し、指令メッセージを送信する。そのため、カスタマイズ段階で発生するイベント507、508、509の発信元は、ハンドラ610で、宛先はエージェント611、612、613になる。
このように、DDoS攻撃の各段階で発生するイベントに応じて、発信元と宛先の役割(アタッカ、ハンドラ、エージェント)が特定できるとともに、同一のDDoSネットワークに属するマシンを検出することができる。
たとえば、デプロイ段階のイベントについて、発信元のアタッカのアドレスが一致する場合には、宛先は同一のアタッカによってプログラムが送り込まれたハンドラとエージェントであり、同じDDoSネットワークに属すると見なせる。また、インストール段階のイベントについて発信元のエージェントが一致する場合には、宛先は同一のエージェントによって同時に制御通信が送信されたハンドラであり、同じDDoSネットワークに属する。同様に、カスタマイズ段階のイベントについては発信元のハンドラが一致する場合には、宛先は同一のハンドラによって同時に制御通信が送信されたエージェントであり、同じDDoSネットワークに属する。
以上のイベントおよび発信元と宛先の関係を定義することにより、イベント情報が設定される。
図9は、イベント情報DBのデータ構造例を示す図である。イベント情報DB310は、ツール種類ごとに、そのツールで実行されるイベントの種類と、そのイベントの発信元と宛先の役割およびイベントの発信元と宛先をDDoSネットワークに関連付ける際の関連付けのキーが互いに関連付けられ、登録されている。たとえば、ツール種類「Trinoo」で発生するイベントの種類「trinoo agent deploy」に関する定義311では、そのイベントの発信元は「アタッカ」、宛先は「エージェント」として機能するという定義がされている。また、関連付けキーとして「アタッカ」を用いることが定義されている。
上記の説明のイベント情報がイベント情報DB310に格納され、処理が開始される。監視ログ収集部330は、インターネット200経由で監視ログを収集する。図10は、監視ログの一例を示す図である。監視ログ240は、監視装置がイベントを検出した日時と、検出したイベント名と、イベントの発信元アドレスと宛先アドレスとが記録されている。たとえば、ログ241には、検出日時が「2004/04/23 16:32:09」、検出イベント名が「trinoo agent deploy」、発信元アドレスが「xxx.10.20.30」、宛先アドレスが「xxx.30.40.50」であることが記録されている。
DDoSネットワーク導出部340のイベント情報検索部341で、このログ241の検出イベント名「trinoo agent deploy」をキーとしてイベント情報DB310を検索する。検索によって、イベント種類「trinoo agent deploy」の定義311、すなわち、ツール種類「Trinoo」、発信元の役割「アタッカ」、宛先の役割「エージェント」、関連付けのキー「アタッカ」が得られる。そこで、DDoSネットワーク更新部342は、検索されたイベント種類「trinoo agent deploy」の定義311に基づき、ログ241は、ツール種類「Trinoo」によって、「アタッカ」(発信元)から「エージェント」(宛先)に送られたメッセージであることがわかる。次に、DDoSネットワークDB320をツール種類「Trinoo」と関連付けのキー「アタッカ」で検索する。検出できない場合は、ツール種類「Trinoo」に対応付けて、「アタッカ」の発信元アドレス「xxx.10.20.30」と「エージェント」の宛先アドレス「xxx.30.40.50」をエントリする。
図11は、DDoSネットワークDBのデータ構造例を示す図である。DDoSネットワークDB320には、検出されたDDoSネットワークのエントリごとに、ツール種類と、アタッカ、ハンドラ、エージェントのアドレスが互いに関連付けられて登録される。
上記のログ241の場合、DDoSネットワークDB320に該当するDDoSネットワークが検出されなかった場合、DDoSネットワークとして、ツール種類「Trinoo」、「アタッカ」の発信元アドレス「xxx.10.20.30」および「エージェント」の宛先アドレス「xxx.30.40.50」がエントリされる。
同様にしてログ242「検出日時=2004/04/23 19:05:47、検出イベント名=Trinoo agent deploy、発信元アドレス=xxx.10.20.30、宛先アドレス=xxx.80.70.60」について、イベント種類「trinoo agent deploy」の定義311が検索される。次に、DDoSネットワークDB320をツール種類「Trinoo」と関連付けのキー「アタッカ」で検索し、先ほどエントリされた「アタッカ=xxx.10.20.30」のエントリが検出される。そこで、宛先アドレス「xxx.80.70.60」を同じDDoSネットワークの「エージェント」にエントリする。
関連付けのキーがハンドラあるいはエージェントの場合も同様に、関連付けのキーに基づいて、監視ログと同じハンドラあるいはエージェントのアドレスを検索し、存在した場合はそのDDoSネットワークの所定の役割に宛先のアドレスをエントリする。
以上の処理手順が繰り返されることにより、同じDDoSネットワークに属するアタッカ、ハンドラおよびエージェントのアドレスが検出され、DDoSネットワークDB320に蓄積される。図から明らかなように、各エントリに対して、ハンドラやエージェントは複数個のアドレスがリスト化される。
次に、DDoSネットワーク検出の処理手順について、フローチャートを用いて説明する。以下、アタッカをキーとしてDDoSネットワークを検出する場合、ハンドラをキーとしてDDoSネットワークを検出する場合およびエージェントをキーとしてDDoSネットワークを検出する場合について、順に説明する。
まず、アタッカをキーとしてDDoSネットワークを検出する場合について説明する。図12は、アタッカをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。
[ステップS01] 監視ログ240から、「検出イベント名」、「発信元」および「宛先」の各データを抽出する。
[ステップS02] ステップS01で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS03] 「イベント情報」がDDoS攻撃関連であるかどうかを判定する。具体的には、ステップS02の検索によって対応するイベント情報が検出されたかどうかで判断する。すなわち、イベント情報DB310に存在すればDDoS攻撃関連である。存在しなければDDoS攻撃関連ではないので、処理を終了する。
[ステップS04] 「イベント情報」がDDoS攻撃関連であるので、抽出された「イベント情報」の「ツール情報」をキーとして、進行中のDDoSネットワークが格納されるDDoSネットワークDB320を検索する。
[ステップS05] DDoSネットワークDB320に「ツール種類」が同一のDDoSネットワークのエントリがあるかどうかを判定する。検出されなければ、処理をステップS08へ進める。
[ステップS06] DDoSネットワークDB320に同一の「ツール種類」のエントリが検出されたので、このエントリにおける「アタッカ」と監視ログの発信元を照合し、同一であるかどうかを判定する。同一でなければ、処理をステップS08へ進める。
[ステップS07] 検出されたDDoSネットワークのエントリ(「ツール種類」と「アタッカ」が同一)に「宛先」を「ハンドラ」か「エージェント」に追加する。「ハンドラ」と「エージェント」のどちらにエントリするかは、検索されたイベント情報の「宛先の役割」により決定する。エントリした後、処理を終了する。
[ステップS08] DDoSネットワークのエントリ(「ツール種類」と「アタッカ」が同一)が検出されなかった場合、新規のエントリを作成し、「アタッカ」として「発信元」、宛先を「ハンドラ」または「エージェント」に登録する。「ハンドラ」か「エージェント」の判別はステップS07と同様に行う。エントリした後、処理を終了する。
以上の処理を実行することにより、主としてデプロイ段階で発生する発信元はアタッカで、宛先はハンドラもしくはエージェントのイベントを検出した監視ログからDDoSネットワークが検出される。
次に、ハンドラをキーとしてDDoSネットワークを検出する場合について説明する。図13は、ハンドラをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。
[ステップS11] 監視ログ240から、「検出イベント名」、「発信元」および「宛先」の各データを抽出する。
[ステップS12] ステップS11で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS13] 「イベント情報」がDDoS攻撃関連であるかどうかを判定する。具体的には、ステップS12の検索によって対応するイベント情報が検出されたかどうかで判断する。すなわち、イベント情報DB310に存在すればDDoS攻撃関連である。存在しなければDDoS攻撃関連ではないので、処理を終了する。
[ステップS14] 「イベント情報」がDDoS攻撃関連であるので、抽出された「イベント情報」の「ツール情報」をキーとして、進行中のDDoSネットワークが格納されるDDoSネットワークDB320を検索する。
[ステップS15] DDoSネットワークDB320に「ツール種類」が同一のDDoSネットワークのエントリがあるかどうかを判定する。検出されなければ、処理を終了する。
[ステップS16] DDoSネットワークDB320に同一の「ツール種類」のエントリが検出されたので、このエントリにおける「ハンドラ」と監視ログの発信元を照合し、同一であるかどうかを判定する。同一でなければ、処理をステップS18へ進める。
[ステップS17] 検出されたDDoSネットワークのエントリ(「ツール種類」と「ハンドラ」が同一)に「宛先」を「エージェント」に追加する。エントリした後、処理を終了する。
[ステップS18] DDoSネットワークのエントリ(「ツール種類」と「ハンドラ」が同一)が検出されなかった場合、新規のエントリを作成し、「ハンドラ」として「発信元」、宛先を「エージェント」に登録し、処理を終了する。
以上の処理を実行することにより、主としてカスタマイズ段階で発生する発信元はハンドラで、宛先はエージェントのイベントを検出した監視ログからDDoSネットワークが検出される。
そして、エージェントをキーとしてDDoSネットワークを検出する場合について説明する。図14は、エージェントをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。
[ステップS21] 監視ログ240から、「検出イベント名」、「発信元」および「宛先」の各データを抽出する。
[ステップS22] ステップS21で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS23] 「イベント情報」がDDoS攻撃関連であるかどうかを判定する。具体的には、ステップS22の検索によって対応するイベント情報が検出されたかどうかで判断する。すなわち、イベント情報DB310に存在すればDDoS攻撃関連である。存在しなければDDoS攻撃関連ではないので、処理を終了する。
[ステップS24] 「イベント情報」がDDoS攻撃関連であるので、抽出された「イベント情報」の「ツール情報」をキーとして、進行中のDDoSネットワークが格納されるDDoSネットワークDB320を検索する。
[ステップS25] DDoSネットワークDB320に「ツール種類」が同一のDDoSネットワークのエントリがあるかどうかを判定する。検出されなければ、処理をステップS08へ進める。
[ステップS26] DDoSネットワークDB320に同一の「ツール種類」のエントリが検出されたので、このエントリにおける「エージェント」と監視ログの発信元を照合し、同一であるかどうかを判定する。同一でなければ、処理をステップS28へ進める。
[ステップS27] 検出されたDDoSネットワークのエントリ(「ツール種類」と「エージェント」が同一)に「宛先」を「ハンドラ」に追加し、処理を終了する。
[ステップS28] DDoSネットワークのエントリ(「ツール種類」と「エージェント」が同一)が検出されなかった場合、新規のエントリを作成し、「エージェント」として「発信元」、宛先を「ハンドラ」に登録し、処理を終了する。
以上の処理を実行することにより、主としてインストール段階で発生する発信元はエージェントで、宛先はハンドラのイベントを検出した監視ログからDDoSネットワークが検出される。
なお、実際の処理においては、DDoS攻撃の進行状況によらずDDoSネットワークを検出するため、上記の説明のすべての処理手順が行われることが望ましい。この場合、上記処理手順を順に実行することもできる。また、上記処理フローのステップS05,ステップS15およびステップS25までの処理を共通とし、ステップS06、ステップS16あるいはステップS26の実行前に、たとえば、イベント情報で定義された関連キーを参照し、関連キーに指定された項目でそれぞれの処理に分岐させるようにしてもよい。
以上の処理手順が実行されることにより、DDoS攻撃が発生する前の準備段階のイベントが記録された監視ログからDDoSネットワークを検出し、DDoSネットワークの全容を把握することができる。このように、DDoS攻撃が発生するまでの監視ログにより、DDoS攻撃の前にDDoSネットワークの全容が把握できるため、攻撃規模や被害規模を予測し、有効な対策をとることができる。
[第2の実施の形態]
次に、第2の実施の形態について説明する。第2の実施の形態は、第1の実施の形態によって検出された不正ネットワーク(DDoSネットワーク)による攻撃規模もしくは被害規模を予測する。
図15は、本発明の第2の実施の形態のDDoS攻撃検知装置の内部構成を示すブロック図である。図5と同じものには同じ番号を付し、説明は省略する。
本発明に係るDDoS攻撃検知装置301は、イベント情報DB310、DDoSネットワークDB320、監視ログ収集部330、DDoSネットワーク導出部340、出力部350、攻撃力情報DB361、攻撃規模予測部362、ネットワーク経路DB371、被害規模予測部372、攻撃回避策DB381、攻撃回避策実行部382および表示制御部390を有する。
攻撃力情報DB361は、DDoS攻撃ツール種類と攻撃の種類に対応付けて、その攻撃力が格納されている。攻撃力には、エージェントが浪費できるネットワーク帯域が設定される。
攻撃規模予測部362は、DDoSネットワーク導出部340によって検出されたDDoSネットワークのエージェントが一斉に攻撃を行った場合の攻撃規模を予測する。
ネットワーク経路DB371は、ネットワークの経路(トポロジー)と、その経路の帯域などのネットワーク経路情報が格納される。
被害規模予測部372は、ネットワーク上の任意の点における被害規模を予測する。攻撃が発生した際のエージェントから任意の点までのネットワーク経路の帯域やトポロジーを考慮して、任意の点における被害規模を予測する。なお、任意の点は、複数とることができる。また、被害規模の予測結果から、ネットワーク経路情報を用いたグラフィカルな表示データを作成し、表示制御部390経由でモニタ11に表示させる。
攻撃回避策DB381は、DDoSネットワーク、攻撃規模、被害規模などに応じた適切な攻撃回避のための処理手順が格納される。
攻撃回避策実行部382は、被害規模予測部372で予測された被害規模がどの段階に相当するかを判定し、攻撃回避策DB381より検索された攻撃回避策の処理手順を実行する。
このようなDDoS攻撃検知装置301の動作について説明する。
図16は、攻撃力情報DBのデータ構造例を示す図である。攻撃力情報DB361は、ツール種類ごとに、そのツールで実行される攻撃の種類と、その攻撃力が互いに関連付けられ、登録されている。攻撃力は、1台のエージェントが浪費できるネットワーク帯域が定義されている。
なお、図16では、ツール種類ばかりではなく、攻撃の種類ごとに浪費帯域を定義している。これは、ツールによっては、設定によっていくつかの種類の攻撃を発生させることができるものがあるからである。
攻撃規模予測部362は、DDoSネットワーク導出部340の導出したDDoSネットワークについて、DDoSネットワークのエージェントが一斉に攻撃を行った場合の攻撃規模を予測する。基本的な攻撃予測は、DDoSネットワークに属するエージェントの数と1台のエージェントが浪費できるネットワーク帯域との積をとることで行う。浪費できるネットワーク帯域は、ツール種類をキーとして攻撃力DB361を検索して取得する。なお、攻撃の種類がいくつかある場合は、このDDoSネットワークにおけるDDoS攻撃の経過に基づいて攻撃の種類を判定する。上記の説明のように、DDoS攻撃の進行状況は、シナリオとして表すことができる。そこで、攻撃のシナリオを予め作成し、監視ログと照合し、進行状況やどのようなシナリオに沿って処理を行っているのかを判定する。このような解析により、攻撃時に選択される攻撃の種類を予測することができる。得られた攻撃規模の予測結果は、出力レポートとして出力する。また、表示制御部390経由で予測結果をモニタ11に表示してもよい。
さらに、以上の処理手順により予測された規模の攻撃によって、ネットワークに与える被害規模を予測する。
被害規模予測処理について説明する。図17は、ネットワーク経路DBで定義されるインターネットマップ例を示した図である。インターネットマップとは、インターネット全体のトポロジー(形状)と帯域(太さ)に関する情報をマップ上に示したものである。たとえば、ネットワーク上の点GW5について見ると、GW2、GW3およびGW6に繋がる経路があり、それぞれの経路の帯域は200pps(パケット/秒)、100pps、300ppsであることが示されている。実際のネットワーク経路DB371では、ある任意の点をキーとして、そこへ接続する経路や帯域が検索できるように各データが関連付けられている。
図の例では、ISP B(202)内のターゲット700に対し、同一ISP内のエージェントA5(701)から発信されるパケットは、GW8(702)、GW9(703)、GW11(704)という経路で伝達する。一方、異なるISPであるISP A(201)内のエージェントA4(705)の発信するパケットは、GW3(706)、GW5(707)、GW6(708)、GW7(709),GW10(710)、GW11(704)を通過する。このため、エージェントA4(705)の浪費する帯域が高い場合であっても、経路の帯域(100pps)によって最大値が制限されてしまう。
このように、ある地点への被害規模(浪費される帯域)を算出する場合、エージェント1台あたりの攻撃力と、エージェントからある地点までの経路の帯域の最大値などを考慮して求められる。ネットワークのトポロジーと帯域を考慮することにより、攻撃規模からだけでは予測できない被害規模が把握できる。
なお、ある個人や団体がインターネット全体のマップを持つことは、現実的には難しいが、ISP内など、所定の範囲内で任意のある地点とエージェントの間のネットワークの帯域を求めることはできる。これにより、被害規模を予測できる。
また、ISP間で連携する方式も考えられる。自ISPの内部マップを他のISP管理者に教えることは現実的ではないが、自ISPから他のISPへの最大攻撃力を教えることができると思われる。他のISP経由で攻撃があった場合の最大値を知ることにより、自ISP内の被害予測が可能となる。
さらに、上記の任意の点への被害予測をいくつもの点に対して求め、重ね合わせることで、被害規模の分布をえることもできる。図18は、被害予測の重ね合わせの一例を示した図である。A、B、C、・・・は、ネットワーク上の任意の点である。
被害規模予測部372により、各任意の点A、B、Cがターゲットの場合における他の点の被害規模を算出する。これにより、Aがターゲットの場合のA、B、C、D、E、・・・が受ける被害のレポート801、Bがターゲットの場合のA、B、C、D、E、・・・が受ける被害のレポート802、Cがターゲットの場合のA、B、C、D、E、・・・が受ける被害のレポート803、というように、複数のターゲットに関する被害規模レポートが得られる。これらのレポート結果をターゲットごとに重みを付けて重ね合わせることにより、最終的な予測被害規模のレポート804が得られる。
図19は、予測被害規模の表示画面例を示した図である。
上記の処理により算出された被害規模の予測をまとめ、ISPやIX単位の被害規模を算出する。そして、ネットワーク経路DB371に格納されたネットワークマップと対応付けて、ISP、IXのネットワーク構成図がモニタ11に表示する。
予測被害規模表示画面900では、ネットワーク経路上のISP、IXがマップ形式で表示される。さらに、各ISP、IXは、被害規模の大きさに応じた危険度によって色分けされている。このような表示画面によって、DDoS攻撃に対する危険度が容易に把握できるようになる。
次に、攻撃回避策の実行処理について説明する。
攻撃回避策DB381には、DDoSネットワーク、攻撃規模、被害規模などに応じた適切な攻撃回避のための処理手順が、被害規模の段階に対応付けられて、格納されている。たとえば、被害規模が小さい場合には、攻撃を起こすエージェントあるいはハンドラとなったホストの管理者(管理ホスト)に連絡するというような処理手順が設定されている。また、被害規模が甚大であると予測される場合には、その経路を一定時間遮断する処理手順が設定されている。
攻撃回避策実行部382は、被害規模予測部372で予測された被害規模がどの段階に相当するかを判定し、その段階をキーとして攻撃回避策DB381から対応する攻撃回避策を検索する。そして、検索された攻撃回避策の処理手順を実行する。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、不正アクセス検知装置およびDDoS攻撃検知装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
プログラムを流通させる場合には、たとえば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、たとえば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) ネットワークを介した不正アクセスを検出するための不正アクセス検知装置において、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段と、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段と、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とする不正アクセス検知装置。
(付記2) 前記イベント情報記憶手段では、前記ネットワークイベントの発信元および宛先を前記不正装置群に関連付ける際のキーとなる関連キーが定義されており、
前記不正装置群導出手段では、前記監視情報から前記発信元もしくは前記宛先のアドレスを抽出し、前記イベント情報の前記関連キーを用いて前記不正装置群記憶手段の前記不正装置群から前記監視情報から抽出された前記アドレスと一致するアドレスを検索し、一致した場合に前記監視情報から検出される前記不正装置を前記不正装置群に加えることを特徴とする付記1記載の不正アクセス検知装置。
(付記3) 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントの発信元と宛先とのそれぞれの役割が定義されており、
前記不正装置群導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする付記1記載の不正アクセス検知装置。
(付記4) 前記不正アクセス検知装置は、さらに、
前記不正装置群によって前記不正アクセスが行われた際の攻撃力を前記不正アクセスの種類ごとに格納する攻撃力情報記憶手段と、
前記不正装置群導出手段により導出された前記不正アクセスをキーとして前記攻撃力情報記憶手段から対応する攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記不正装置群が前記不正アクセスを行った場合の攻撃規模を算出する攻撃規模予測手段と、
を備えたことを特徴とする付記1記載の不正アクセス検知装置。
(付記5) ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、
各ネットワークを監視する監視装置が検出したネットワークイベントを含む監視情報を監視情報収集手段で収集し、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を不正装置群導出手段で検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として導出し、
前記不正装置群に関する不正装置群リストを出力手段で出力する、
ことを特徴とする不正アクセス検知方法。
(付記6) ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、
コンピュータを、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段、
として機能させるための不正アクセス検知プログラム。
(付記7) ネットワークを介した分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃を検出するためのDDoS攻撃検知装置において、
前記DDoS攻撃を行うDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、
現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とするDDoS攻撃検知装置。
(付記8) 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントの発信元と宛先のそれぞれの役割が定義されており、
前記DDoSネットワーク導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする付記7記載のDDoS攻撃検知装置。
(付記9) 前記DDoSネットワーク導出手段は、前記監視情報ごとに、前記イベント情報に基づき判定される前記DDoS攻撃ツールの種類をキーとして前記DDoSネットワーク記憶手段から同じDDoS攻撃ツールの種類で既に検出された前記DDoSネットワークを検索し、前記監視情報の前記発信元のアドレスと検索された前記DDoSネットワークに既にエントリされた前記発信元と同じ役割に分類されるアドレスとを照合し、一致した場合には前記監視情報の前記宛先のアドレスを前記DDoSネットワークにエントリして前記DDoSネットワーク記憶手段を更新することを特徴とする付記8記載のDDoS攻撃検知装置。
(付記10) 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントの発信元と宛先とのそれぞれの役割が定義されており、
前記DDoSネットワーク導出手段は、前記イベント情報に基づき発信元の前記役割がエージェントと判定され、かつ前記発信元のアドレスが同一の前記ネットワークイベントの宛先をまとめ、ハンドラとして同じ前記DDoSネットワークに設定することを特徴とする付記7記載のDDoS攻撃検知装置。
(付記11) 前記DDoS攻撃ツールの種類に応じた攻撃力が定義された攻撃力情報記憶手段と、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークの前記DDoS攻撃ツールの種類をキーとして前記攻撃力情報記憶手段から対応する前記攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記DDoSネットワークによる攻撃が発生した場合の攻撃規模を算出する攻撃規模予測手段と、
をさらに有することを特徴とする付記7記載のDDoS攻撃検知装置。
(付記12) 前記攻撃力情報記憶手段の前記攻撃力情報で定義された攻撃力は、前記DDoSネットワークのエージェントが浪費できるネットワーク帯域であり、
前記攻撃規模予測手段は、前記DDoSネットワークに属する前記エージェントの数と前記エージェントが浪費できる前記ネットワーク帯域との積をとることによって攻撃規模を算出することを特徴とする付記11記載のDDoS攻撃検知装置。
(付記13) 少なくとも前記DDoSネットワークに属する前記エージェントとネットワーク上の任意の点とを含むネットワーク経路と前記経路の帯域を含むネットワーク経路情報を記憶するネットワーク経路情報記憶手段と、
前記攻撃規模予測手段により算出された前記攻撃規模による前記DDoS攻撃が発生した場合に、前記DDoS攻撃が前記ネットワーク経路を通過して前記ネットワーク上の任意の点に及ぼす被害規模を前記ネットワーク経路情報に基づき予測する被害規模予測手段と、
を有することを特徴とする付記11記載のDDoS攻撃検知装置。
(付記14) 前記被害規模予測手段は、前記ネットワーク経路情報取得手段で取得した前記ネットワーク経路とともに、前記被害規模予測手段によって予測された前記ネットワーク経路上の任意の点における前記被害規模を前記ネットワーク経路に重ねて表示することを特徴とする付記13記載のDDoS攻撃検知装置。
(付記15) 前記被害規模に大きさに応じて前記DDoS攻撃を回避する攻撃回避処理手順を格納する攻撃回避策情報記憶手段と、
前記被害規模予測手段によって算出された前記被害規模をキーとして前記回避策情報記憶手段から前記被害規模に対応する前記攻撃回避処理手順を検索し、検索された前記回避策処理手順を実行する回避策実行手段と、
を有することを特徴とする付記13記載のDDoS攻撃検知装置。
(付記16) 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントを発生させるDDoS攻撃発生ツールを設定しており、
前記DDoSネットワーク導出手段は、前記イベント情報に基づき、前記DDoS攻撃ツールの種類が同一の前記ネットワークイベントに関し、前記発信元もしくは宛先アドレスを照合することを特徴とする付記7記載のDDoS攻撃検知装置。
(付記17) ネットワークを介した分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃を検出するためのDDoS攻撃検知方法において、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を監視情報収集手段で収集し、
DDoSネットワーク導出手段で、前記DDoS攻撃を行う前記不正装置群から成るDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として導出し、
導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力手段で出力する、
ことを特徴とするDDoS攻撃検知方法。
(付記18) ネットワークを介した分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃を検出するためのDDoS攻撃検知プログラムにおいて、
コンピュータを、
前記DDoS攻撃を行う前記不正装置群から成るDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段、
現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する前記不正装置群を格納するDDoSネットワーク記憶手段、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段、
として機能させるためのDDoS攻撃検知プログラム。
本発明の実施の形態に適用される発明の概念図である。 本発明の実施の形態に係るネットワークシステムの構成例を示す図である。 本発明の実施の形態に用いる不正アクセス検知装置のハードウェア構成例を示した図である。 DDoS攻撃の発生メカニズムを示す概念図である。 第1の実施の形態のDDoS攻撃検知装置の内部構成を示すブロック図である。 デプロイにおいて発生するイベントを示した図である。 インストールにおいて発生するイベントを示した図である。 カスタマイズにおいて発生するイベントを示した図である。 イベント情報DBのデータ構造例を示す図である。 監視ログの一例を示す図である。 DDoSネットワークDBのデータ構造例を示す図である。 アタッカをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。 ハンドラをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。 エージェントをキーとするDDoSネットワーク検出処理手順を示したフローチャートである。 本発明の第2の実施の形態のDDoS攻撃検知装置の内部構成を示すブロック図である。 攻撃力情報DBのデータ構造例を示す図である。 ネットワーク経路DBで定義されるインターネットマップ例を示した図である。 被害予測の重ね合わせの一例を示した図である。 予測被害規模の表示画面例を示した図である。
符号の説明
1 不正アクセス検知装置
1a イベント情報記憶手段
1b 不正装置群記憶手段
1c 監視情報収集手段
1d 不正装置群導出手段
1e 出力手段
2a、2b ネットワーク
3a、3b 監視装置
4 (不正装置群の)リスト
300 DDoS攻撃検知装置
310 イベント情報DB
320 DDoSネットワークDB
330 監視ログ収集部
340 DDoSネットワーク導出部
341 イベント情報検索部
342 DDoSネットワーク更新部
350 出力部

Claims (10)

  1. ネットワークを介した不正アクセスを検出するための不正アクセス検知装置において、
    準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段と、
    現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段と、
    各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段と、
    収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段と、
    前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段と、
    を具備することを特徴とする不正アクセス検知装置。
  2. 前記不正アクセス検知装置は、さらに、
    前記不正装置群によって前記不正アクセスが行われた際の攻撃力を前記不正アクセスの種類ごとに格納する攻撃力情報記憶手段と、
    前記不正装置群導出手段により導出された前記不正アクセスをキーとして前記攻撃力情報記憶手段から対応する攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記不正装置群が前記不正アクセスを行った場合の攻撃規模を算出する攻撃規模予測手段と、
    を備えたことを特徴とする請求項1記載の不正アクセス検知装置。
  3. ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、
    各ネットワークを監視する監視装置が検出したネットワークイベントを含む監視情報を監視情報収集手段で収集し、
    準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を不正装置群導出手段で検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として導出し、
    前記不正装置群に関する不正装置群リストを出力手段で出力する、
    ことを特徴とする不正アクセス検知方法。
  4. ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、
    コンピュータを、
    準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段、
    現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段、
    各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段、
    収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段、
    前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段、
    として機能させるための不正アクセス検知プログラム。
  5. ネットワークを介した分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃を検出するためのDDoS攻撃検知装置において、
    前記DDoS攻撃を行うツールであるDDos攻撃ツールによってDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、
    現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、
    各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、
    収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、
    前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、
    を具備することを特徴とするDDoS攻撃検知装置。
  6. 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントの発信元と宛先のそれぞれの役割が定義されており、
    前記DDoSネットワーク導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする請求項5記載のDDoS攻撃検知装置。
  7. 前記DDoSネットワーク導出手段は、前記監視情報ごとに、前記イベント情報に基づき判定される前記DDoS攻撃ツールの種類をキーとして前記DDoSネットワーク記憶手段から同じDDoS攻撃ツールの種類で既に検出された前記DDoSネットワークを検索し、前記監視情報の前記発信元のアドレスと検索された前記DDoSネットワークに既にエントリされた前記発信元と同じ役割に分類されるアドレスとを照合し、一致した場合には前記監視情報の前記宛先のアドレスを前記DDoSネットワークにエントリして前記DDoSネットワーク記憶手段を更新することを特徴とする請求項6記載のDDoS攻撃検知装置。
  8. 前記DDoS攻撃ツールの種類に応じた攻撃力が定義された攻撃力情報記憶手段と、
    前記DDoSネットワーク導出手段により導出された前記DDoSネットワークの前記DDoS攻撃ツールの種類をキーとして前記攻撃力情報記憶手段から対応する攻撃力が定義された攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記DDoSネットワークによる攻撃が発生した場合の攻撃規模を算出する攻撃規模予測手段と、
    をさらに有することを特徴とする請求項5記載のDDoS攻撃検知装置。
  9. 少なくとも前記DDoSネットワークに属しておりDDoS攻撃のターゲットに向けてパケットを送信する不正装置とネットワーク上の任意の点とを含むネットワーク経路と前記経路の帯域を含むネットワーク経路情報を記憶するネットワーク経路情報記憶手段と、
    前記攻撃規模予測手段により算出された前記攻撃規模による前記DDoS攻撃が発生した場合に、前記DDoS攻撃が前記ネットワーク経路を通過して前記ネットワーク上の任意の点に及ぼす被害規模を前記ネットワーク経路情報に基づき予測する被害規模予測手段と、
    を有することを特徴とする請求項8記載のDDoS攻撃検知装置。
  10. 前記被害規模に大きさに応じて前記DDoS攻撃を回避する攻撃回避処理手順を格納する攻撃回避策情報記憶手段と、
    前記被害規模予測手段によって算出された前記被害規模をキーとして前記回避策情報記憶手段から前記被害規模に対応する前記攻撃回避処理手順を検索し、検索された前記攻撃避処理手順を実行する回避策実行手段と、
    を有することを特徴とする請求項9記載のDDoS攻撃検知装置。
JP2004157374A 2004-05-27 2004-05-27 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 Expired - Fee Related JP4371905B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004157374A JP4371905B2 (ja) 2004-05-27 2004-05-27 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US11/042,353 US7568232B2 (en) 2004-05-27 2005-01-26 Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004157374A JP4371905B2 (ja) 2004-05-27 2004-05-27 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置

Publications (2)

Publication Number Publication Date
JP2005341217A JP2005341217A (ja) 2005-12-08
JP4371905B2 true JP4371905B2 (ja) 2009-11-25

Family

ID=35494271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004157374A Expired - Fee Related JP4371905B2 (ja) 2004-05-27 2004-05-27 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置

Country Status (2)

Country Link
US (1) US7568232B2 (ja)
JP (1) JP4371905B2 (ja)

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100538718C (zh) * 2004-12-14 2009-09-09 松下电器产业株式会社 管理服务器装置、内容再现装置及记录介质
US20070022479A1 (en) * 2005-07-21 2007-01-25 Somsubhra Sikdar Network interface and firewall device
US20070011744A1 (en) * 2005-07-11 2007-01-11 Cox Communications Methods and systems for providing security from malicious software
US8965334B2 (en) * 2005-12-19 2015-02-24 Alcatel Lucent Methods and devices for defending a 3G wireless network against malicious attacks
US8191145B2 (en) * 2006-04-27 2012-05-29 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US8151353B2 (en) 2006-04-27 2012-04-03 The Invention Science Fund I, Llc Multi-network virus immunization with trust aspects
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US7934260B2 (en) * 2006-04-27 2011-04-26 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8863285B2 (en) * 2006-04-27 2014-10-14 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US7917956B2 (en) 2006-04-27 2011-03-29 The Invention Science Fund I, Llc Multi-network virus immunization
US8613095B2 (en) * 2006-06-30 2013-12-17 The Invention Science Fund I, Llc Smart distribution of a malware countermeasure
US7849508B2 (en) * 2006-04-27 2010-12-07 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8117654B2 (en) * 2006-06-30 2012-02-14 The Invention Science Fund I, Llc Implementation of malware countermeasures in a network device
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US7877806B2 (en) * 2006-07-28 2011-01-25 Symantec Corporation Real time malicious software detection
US8056115B2 (en) * 2006-12-11 2011-11-08 International Business Machines Corporation System, method and program product for identifying network-attack profiles and blocking network intrusions
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US7882542B2 (en) * 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
US8065365B2 (en) * 2007-05-02 2011-11-22 Oracle International Corporation Grouping event notifications in a database system
US8448186B2 (en) * 2007-07-13 2013-05-21 Oracle International Corporation Parallel event processing in a database system
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
WO2009083036A1 (en) * 2007-12-31 2009-07-09 Ip-Tap Uk Assessing threat to at least one computer network
JP4894788B2 (ja) * 2008-03-05 2012-03-14 沖電気工業株式会社 パケット通信装置、パケット通信方法及びプログラム
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8356001B2 (en) * 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
GB0909079D0 (en) 2009-05-27 2009-07-01 Quantar Llp Assessing threat to at least one computer network
KR101039717B1 (ko) 2009-07-07 2011-06-09 한국전자통신연구원 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
US8516100B1 (en) * 2010-02-04 2013-08-20 Symantec Corporation Method and apparatus for detecting system message misrepresentation using a keyword analysis
WO2011119137A1 (en) 2010-03-22 2011-09-29 Lrdc Systems, Llc A method of identifying and protecting the integrity of a set of source data
KR101109669B1 (ko) * 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
US9762605B2 (en) 2011-12-22 2017-09-12 Phillip King-Wilson Apparatus and method for assessing financial loss from cyber threats capable of affecting at least one computer network
US9288224B2 (en) * 2010-09-01 2016-03-15 Quantar Solutions Limited Assessing threat to at least one computer network
EP2437429A1 (en) * 2010-10-01 2012-04-04 Mancala Networks Network policy controller
US8949459B1 (en) 2011-10-06 2015-02-03 Amazon Technologies, Inc. Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers
US8863293B2 (en) 2012-05-23 2014-10-14 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
JP5885631B2 (ja) * 2012-09-21 2016-03-15 株式会社Kddi研究所 攻撃ホストの挙動解析装置、方法及びプログラム
CN104937605B (zh) * 2013-01-21 2018-08-28 三菱电机株式会社 攻击分析系统、协作装置、攻击分析协作方法
US9413773B2 (en) * 2013-03-14 2016-08-09 Cybereason Inc. Method and apparatus for classifying and combining computer attack information
KR101401168B1 (ko) * 2013-09-27 2014-05-29 플러스기술주식회사 Ip 주소를 이용한 네트워크 보안 방법 및 장치
US9213831B2 (en) 2013-10-03 2015-12-15 Qualcomm Incorporated Malware detection and prevention by monitoring and modifying a hardware pipeline
US9519775B2 (en) * 2013-10-03 2016-12-13 Qualcomm Incorporated Pre-identifying probable malicious behavior based on configuration pathways
JP6053948B2 (ja) * 2013-10-24 2016-12-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US9602530B2 (en) * 2014-03-28 2017-03-21 Zitovault, Inc. System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US10305758B1 (en) * 2014-10-09 2019-05-28 Splunk Inc. Service monitoring interface reflecting by-service mode
US9984365B2 (en) * 2014-12-02 2018-05-29 Ca, Inc. Device identification based on deep fingerprint inspection
JP6285390B2 (ja) * 2015-04-22 2018-02-28 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法
US10972500B2 (en) 2015-06-05 2021-04-06 Nippon Telegraph And Telephone Corporation Detection system, detection apparatus, detection method, and detection program
US10341355B1 (en) * 2015-06-23 2019-07-02 Amazon Technologies, Inc. Confidential malicious behavior analysis for virtual computing resources
US10333962B1 (en) 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US10178119B1 (en) 2016-03-30 2019-01-08 Amazon Technologies, Inc. Correlating threat information across multiple levels of distributed computing systems
US10320750B1 (en) 2016-03-30 2019-06-11 Amazon Technologies, Inc. Source specific network scanning in a distributed environment
US10142290B1 (en) 2016-03-30 2018-11-27 Amazon Technologies, Inc. Host-based firewall for distributed computer systems
US10148675B1 (en) 2016-03-30 2018-12-04 Amazon Technologies, Inc. Block-level forensics for distributed computing systems
US10079842B1 (en) * 2016-03-30 2018-09-18 Amazon Technologies, Inc. Transparent volume based intrusion detection
US11968226B1 (en) * 2017-03-16 2024-04-23 Amazon Technologies, Inc. Targeted traffic filtering
KR102461707B1 (ko) * 2017-12-07 2022-11-02 삼성전자주식회사 서버 및 이를 이용한 악성 코드 방어 방법
WO2020195228A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
JP7164016B2 (ja) 2019-03-28 2022-11-01 日本電気株式会社 分析システム、方法およびプログラム
JP7111249B2 (ja) * 2019-03-28 2022-08-02 日本電気株式会社 分析システム、方法およびプログラム
US11652818B2 (en) 2019-07-18 2023-05-16 Advanced New Technologies Co., Ltd. Method and apparatus for accessing service system
CN113132361B (zh) * 2021-03-31 2022-11-22 厦门美域中央信息科技有限公司 一种基于博弈奖惩机制的SDN网络抗DDos方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3643087B2 (ja) 2002-03-28 2005-04-27 日本電信電話株式会社 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP4020912B2 (ja) * 2002-05-28 2007-12-12 富士通株式会社 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP2004013553A (ja) * 2002-06-07 2004-01-15 Oki Electric Ind Co Ltd 被害判別装置、被害判別方法及び被害判別システム
JP4052983B2 (ja) * 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
JP2004046742A (ja) * 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP4520703B2 (ja) 2003-03-31 2010-08-11 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP3999188B2 (ja) * 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP4480422B2 (ja) 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム

Also Published As

Publication number Publication date
US20050289649A1 (en) 2005-12-29
US7568232B2 (en) 2009-07-28
JP2005341217A (ja) 2005-12-08

Similar Documents

Publication Publication Date Title
JP4371905B2 (ja) 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US20230208870A1 (en) Systems and methods for predictive analysis of potential attack patterns based on contextual security information
US11729209B2 (en) Distributed denial-of-service attack mitigation with reduced latency
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
EP2056559B1 (en) Method and system for network simulation
JP4020912B2 (ja) 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
US20200358738A1 (en) Systems and Methods For Using DNS Messages To Selectively Collect Computer Forensic Data
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
JP2008052637A (ja) 異常検知装置、異常検知プログラム、および記録媒体
US11824716B2 (en) Systems and methods for controlling the deployment of network configuration changes based on weighted impact
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
WO2021192587A1 (ja) 分析システム、方法およびプログラム
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
WO2020195230A1 (ja) 分析システム、方法およびプログラム
WO2020195229A1 (ja) 分析システム、方法およびプログラム
JP2006050442A (ja) トラヒック監視方法及びシステム
JP2006201951A (ja) ネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラム
JP4361570B2 (ja) パケット制御命令管理方法
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
KR20190050569A (ko) 보안 장치 경유 ssl 접속 불가 사이트 접속 지원 방법 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090421

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090626

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090901

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4371905

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees