JP4484663B2 - 不正情報検知システム及び不正攻撃元探索システム - Google Patents

不正情報検知システム及び不正攻撃元探索システム Download PDF

Info

Publication number
JP4484663B2
JP4484663B2 JP2004307953A JP2004307953A JP4484663B2 JP 4484663 B2 JP4484663 B2 JP 4484663B2 JP 2004307953 A JP2004307953 A JP 2004307953A JP 2004307953 A JP2004307953 A JP 2004307953A JP 4484663 B2 JP4484663 B2 JP 4484663B2
Authority
JP
Japan
Prior art keywords
attack
unauthorized
packets
time
values
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004307953A
Other languages
English (en)
Other versions
JP2006115432A5 (ja
JP2006115432A (ja
Inventor
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
Original Assignee
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Solutions Inc filed Critical Cyber Solutions Inc
Priority to JP2004307953A priority Critical patent/JP4484663B2/ja
Priority to PCT/JP2005/001524 priority patent/WO2005074215A1/ja
Priority to US10/588,188 priority patent/US8020205B2/en
Publication of JP2006115432A publication Critical patent/JP2006115432A/ja
Publication of JP2006115432A5 publication Critical patent/JP2006115432A5/ja
Application granted granted Critical
Publication of JP4484663B2 publication Critical patent/JP4484663B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Description

本発明は、インターネット回線を通じて送信されてきた情報が適正な情報であるかあるいは(D)DoSなどの不正な情報であるかを判定する不正情報検知システム及び不正攻撃元探索システムに関するものである。
特開2003−318987号公報 特開2003−234784号公報
近年、ある企業や組織をターゲットにし、大量の不正な通信(パケット)を送信するサービス妨害攻撃が問題となっている。このような(D)DoS攻撃は、一般にはサーバの処理能力を超える大量の接続要求を一度に送りつけることや、通信回線の容量を不要な通信で埋め尽くすことで他の必要な通信を妨害し、通常業務を妨害したり、課金制ユーザーに対するプロバイダへのアクセス時間並びに通信会社への通信時間を延長させて納付料金を高騰させるといった弊害を与えるものである。いわゆる(D)DoS攻撃といわれるものである。
(D)DoS攻撃とは、攻撃対象機器およびネットワークの処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
そこで、各パケットのヘッダ部分に含まれるSourceアドレス(送信元アドレス)を管理し、このような(D)DoS攻撃を送りつけたアドレスからの通信を2度と受信しないと共にその送信元に通信の終了を示すパケットを送り返すといった防止機能を付加したサービスが見受けられる。
しかしながら、このような防止サービスは、異なったSourceアドレスから(D)DoS攻撃を送りつけてきた場合には、その(D)DoS攻撃の受信を拒否することができないといった問題が生じていた。
一方、このような(D)DoS攻撃を送りつける送信元では、受信拒否された(D)DoS攻撃が送り返されてしまうと、自身のサーバおよびネットワークが容量オーバーとなってしまう。従って、送信元では、Sourceアドレスをランダムに偽造作成し、大量のパケットの各アドレスを異ならせたうえで特定宛先アドレスに(D)DoS攻撃を送信するといった対応で対抗してきているのが実情である。
これに対し、例えば、特許文献1では、不特定多数の電子メールに対し、電子メールのデータフォーマットのヘッダ部分に含まれるToアドレス(送信先アドレス)を事前設定されたアカウント別メールヘッダ・コンテンツ書き換え定義にしたがい、受信した電子メールを書き換えた上でその書き換えメールアドレスに再送信(転送)し、特定メールサーバーヘの負荷を分散させている。
また、特許文献2では、同時に送信されてきた電子メールのFromアドレスに不明なものを大量に含むか否かを判定し、Fromアドレスに不明なものが大量に含まれている場合には、その送信されてきた大量の電子メールのFromアドレスに送信メールを返信し、返信できた電子メールのみを適正な電子メールとして受信している。
ところで、送信元アドレスは容易に偽造し変更することが可能であるため、大量の送信元アドレスを事前に予測し、対応することは非常に困難である。
また、(D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難なことから、なんらかの閾値を用いた検知が検討されているが、それらは対象となるネットワークの特性や利用状況によって大きく変化するものであるため、高い検知精度は期待できない。
また、(D)DoS攻撃は正常な通信との識別が困難なことから、間違った判断により正常な通信の送受信をも遮断してしまう可能性があった。
このように、従来技術では、(D)DoS攻撃の判定基準が複雑となっているため、検知が困難な小規模の(D)DoS攻撃の受信を余儀なくされたり、必要な通信をも受信拒否してしまうといった問題が生じていた。
本発明は、上記問題を解決するため、(D)DoS攻撃などの不正攻撃かあるか否かの判定基準を容易に行うことが可能な不正攻撃検知およびその追跡システムを提供することを目的とする。
請求項1に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定率に達した場合には不正攻撃が行われていると判定することを特徴とする不正情報検知システムである。
フィールドの値としては、例えば、次のものが上げられる。
バージョン
ヘッダ長
ToS
全長
アイデンティフィケーション
フラグ
フラグメントオフセット
Time to Live
プロトコル
ヘッダチェックサム
発信元アドレス
到達先アドレス
オプション
ポート
あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があった場合、フィールドの値の数はnである。
前記所定率は下記のいずれかの条件により算出される。
(a) 時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t)
との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に不正攻撃と判定する。
(b) 上記(a)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/
P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に不正攻撃と判定する。
(c) 時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に不正攻撃と判定する。
請求項2に係る発明は、前記フィールドの値は、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成することを特徴とする請求項1に記載の不正情報検知システムである。
例えば、フィールドの値として「発信元アドレス」と「到達先アドレス」との組合せによりフィールドの値を構成する。
まず前記同様、発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があったとする。
ak(k=1〜n)について、到達アドレスの種類がmk個あるとすると、この場合における複数のフィールドの組合せにより構成されるフィールドの値の数はΣmk(k=1〜n)となる。
請求項3に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL( Time To Live)値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システムである。
前記パケットのヘッダ内にある送信元アドレスが詐称されたものではなく正規のものである場合、ホップ数はほぼ決まった値となることから、所定の値の範囲を予め設定しておくことで、ホップ数が前記所定の値の範囲から外れた場合に不正攻撃が行われていると判定することが可能になる。
請求項に係る発明は、請求項1乃至に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システムである。
インターネットの複数個所に不正情報検知システムを設置して、各箇所で不正攻撃が行われているか判定する。例えば、2つの観測点で不正攻撃を検知した場合、2つの観測点を結ぶ経路を不正攻撃が通過したと判定することができるため、複数の観測点で不正攻撃が行われているか判定することで、不正攻撃の通過した経路を追跡することができ、不正攻撃の送信元を探索することができる。
本発明の不正情報検知システムによれば、同時に大量に送信されてきたパケットに対し、該パケットのヘッダ内のあるフィールド値の数が一定時間内に所定率に達した時に、略同期して送信元アドレス件数が所定率に達した場合には、その大量のパケットを(D)DoS攻撃パケットと判定することにより、特定の送信元アドレスに対して受信許可設定若しくは受信拒否設定をするといった細かく煩わしい設定をすることなく(D)DoS攻撃が送信されてきたことを認識および追跡することができる。
前述した通り、DoS攻撃とは、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。このDoS攻撃は次のような特徴を有している。
例えば、ヘッダ内のフィールドの値の一つである発信元アドレスは偽造されている(偽のアドレスが用いられている)攻撃元の発信元アドレスであるパケットをフィルタすることにより、DoS攻撃をブロックされないように、DoS攻撃の発信元アドレスはランダムに選択されていることが一般的である。
DoS攻撃では非常に莫大なパケットが送信されるので、次のような方法で検知される。
第1の方法は、攻撃パケットもしくは、不正なパケットの数を数える方法である。どのようなパケットが不正であるかを判断することはむずかしい。なぜなら、DoS攻撃に使われるパケット一つ一つは正常なパケットであるからである。
第2の方法は、検知したパケット全て(攻撃パケットも含む)を数える方法である。ネットワークトラフィックは時々刻々動的に変化する。従って、単にネットワークトラフィック量が増大したからといって、その現象はDoS攻撃によるものだと指摘することはできない。また、既にトラフィック量が飽和状態である場合は、DoS攻撃があったとしても、トラフィック量は増加しない。
それに対して、本形態におけるDoS攻撃の検知方法は、トラフィックの発信元アドレスを数える方法である。もし攻撃者がランダムに発信元アドレスを選択しているならば、観測される発信元アドレスの数も増加しているはずである。ある一定時間間隔では、1個の発信元アドレスに対して、そのような発信元アドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に1個の(偽造された)発信元アドレスに対して、攻撃パケットは1個しか観測されない。このようにDoS攻撃を検知することができる。
パケットは、発信元アドレス、到達先アドレスとその他の情報・データから構成されている。予め決められた時間間隔でパケットを数える。例えば、図3に示すように、ネットワーク(Net1)と攻撃先(Target)との間の経路にパケットを観測するための手段を設けておき、そこで、パケットを観測すればよい。かかる手段としては、例えばスニファー(Sniffer)やパッシブ型プローブなどの機器がある。
スニファー(Sniffer)や、パッシブ型プローブなどの機器は全てのパケットを観測でき、それらの機器は以下の値を数えあげることができる。
パケットの全数
ある特定の発信元アドレスを持つパケット数
ある特定の到達先アドレスを持つパケット数
発信元アドレス毎のパケット数
到達先アドレス毎のパケット数
特定のタイプのパケット数
これらの値は、一定時間間隔毎に収集可能である。
次にDoS攻撃の追跡方法について述べる。
DoS攻撃元の追跡方法としては、第1に、不正なパケットの経路をチェックする(パケット追跡)方法がある。しかし、どのようなパケットが不正なのかを知る必要がある。
第2に、トラフィックパターンをチェックする方法がある。しかし、この方法は、不正確である。
それに対して、本発明の実施の形態においては、経路上において観測されるアドレス数の変化をチェックする方法である。全ての経由地で同様な現象が観測されると推測される以下のようなパターンが観測される。
時間(任意単位) パケット数 発信元アドレス数
1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
上記において、時間6、7、8においては、パケット数とともに発信元アドレス数が増加している。そこでは、DoS攻撃がなされている。
一方、図4に示すように、インターネットの各経路にスニファーSn(n = 1, 2, 3,・・・)を置いておき、そこでの観測結果同士を比較すればどの経路でDoS攻撃がなされているかを知ることができる。その経路を遮断すればDoS攻撃元を追跡することができ、必要に応じてその経路を遮断すればよい。また、その経路からの所定のパケットを遮断すればよい。
なお、本発明において、フィールドの値としては、IPv4 プロトコルパケットを例にした場合、次のものが例示される。
バージョン領域
ヘッダ長領域
ToS 領域
全長領域
アイデンティフィケーション領域
フラグ領域
フラグメントオフセット領域
Time to Live 領域
プロトコル領域
ヘッダチェックサム領域
発信元アドレス領域
到達先アドレス領域
オプション領域
ポート領域
本発明においては、これらのフィールドの個々の値の件数を検知してもよい。また、これらの個々のフィールドの値の2以上の任意の組合せをフィールドの値としてその件数を検知してもよい。
以下に例を示す。
カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。
(カテゴリの例) プロトコル領域がTCPであるパケット全て
便宜上“Total カテゴリ”というカテゴリを定義する。全てのパケットはこのカテゴリに属する。
今までの統計分析手法は、モニタや探査装置により観測されたパケットから、全ての観測パケット数や、あるカテゴリに対するパケット観測数などの標本値を元にしてきた。
Figure 0004484663
 Etc…
カテゴリ変換 (C-Transform) における統計分析では、検知したパケットが属するカテゴリの数に着目する。上記の例において、プロトコル領域ごとのカテゴリの数を見た場合以下の通りになる。
Figure 0004484663
 このようにパケットの数の分布からカテゴリの数の分布を作成する方法のことをカテゴリ変換“C-Transform” と呼ぶ。
いくつかのヘッダ領域の和によって作成されたカテゴリがとる事が可能な最大のカテゴリの数はその領域の合わせた幅による。例えば幅が合わせて4ビットの領域で作成されるカテゴリの場合、最大のカテゴリの数は16個(2の4乗)である。
しかし、IPヘッダにおけるVersion領域とProtocol領域のように、予め定義された以外の値を持つことができないヘッダ領域がある(ASSIGNED NUMBERS, RFC 790 参照)。そのためこのような領域から作成できる意味のあるカテゴリは限定される。
また、32ビット(4294967296)の幅を持つ発信元アドレス、到達先アドレスのように非常に大きな値を取り得る領域からのカテゴリ変換 (C-Transform) は特に興味深い統計を提供することになる。
本発明においては、インターネット回線上における、前記情報のカテゴリ数が所定の値となった場合に当該情報を不正情報と認定する。またホップ数を効果的に活用することで検知および追跡の効率を向上する。
(検知方法)
カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。1...iは時系列に並んだ値とする。

カテゴリ数 : C1, .... Ci, ....
パケット数 : P1, .... Pi, ....
通信量 : O1, .... Oi, ....

このとき、以下の条件で検知する。

a. Ci > T
b. Ci / Ci+1 > T
c. Ci / {Pi|Oi} > T

T は閾値であり、Tは固定値もしくはトラフィックデータから算出される値である。
例えば、T = F × movingAverageOfStatistic ( in a, b, c above)
のように上記のa,b,cの値の移動平均になんらかの数Fを乗じて差出されたもので
ある。
Fは固定あるいはトラフィックデータから算出される値である。
例えば、F = A × standardDeviationOfStatistic
のように標準偏差を用いて算出されることもある。
Aは定数である。

インターネットにおいては、情報の無限循環を防止するために、ヘッダのTTL(Time to Live)のフィールドの値に基づきHOP(ホップ)の数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、実際に送られてきた詐称情報の場合のHOP数が異なる場合その情報は不正情報と判断することができる。
次に、本発明の不正情報検知システム、およびそれを用いた不正攻撃元探索システムの実施の形態を図面に基づいて説明する。
図1は本発明の不正情報検知システムおよび不正攻撃元探索システムの構成を示す図である。図1において、1はインターネット回線、2はインターネット回線1に接続された送信元のコンピュータ本体、3はインターネット回線1に接続された受信側コンピュータ、4はインターネット回線1と受信側コンピュータ3との間に接続された通信監視装置である。
尚、この通信監視装置4はネットワークに接続されるが、受信側コンピュータ3がサーバー等であった場合には、そのサーバーを通信監視装置4としても良い。
この場合、受信とはサーバーで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末(例えば、パーソナルコンピュータ等)が接続されることとなる。
通常、送信側コンピュータ2から送信されるパケットは、図2(A)に示すように、その通信を構成するパケットのパケットデータフォーマット10のヘッダ部11に、送信元アドレスに相当するSourceアドレス12と送信先アドレス(受信側アドレス)に相当するDestinationアドレス13とが含まれている。
通信監視装置4は、送信された値の数若しくはパケット数と、Sourceアドレス12の件数とを監視する。
例えば、通常の送受信を想定した場合、送信元コンピュータ2から受信側コンピュータ3に送信される値の数は1件であり、例え、他の送信側コンピュータ(図示せず)から略同時期に他の通信が受信側コンピュータ3に送信されたとしても、その値の数とSourceアドレス12とは1対1で比例して増える。
また、例えば、特定の通常の通信が偶然大容量となることがあり得る。この場合、従来の通信量に基づく検知では、その量だけを問題として、不正であると誤って判断されることがある。
この問題は、多くの通信が集まる人気のあるコンテンツを運用するサーバでは特に顕著な問題となり、通常の通信と(D)DoS攻撃を識別することが非常に困難となる。
このような場合、通信監視装置4では、図2(B)のピークP1に示すように、通信量としては通常の通信量よりも多い件数のパケットが送信されてきた判定する。
しかしながら、各パケットのSourceアドレス12は共通、あるいは特定のグループで占められることから、そのパケットを正式に受信する。尚、カテゴリ数が所定数以内であった場合(例えば、10件未満)に、その受信を許容するようにしても良い。
一方、実際には1台の送信側コンピュータ2から送信されたパケットでありながら、送信元アドレス(Sourceアドレス12)をランダムに偽装して大量のパケットを受信側コンピュータ3に送信してきた場合、通信監視装置4では、図2(B)及び図2(C)のピークP2,P3に示すように、通信量(若しくはパケット数)が通常の送受信のときよりも多くなると同時に、その各パケットのSourceアドレス12も略同時期に増大することになる。
従って、通信量(若しくはパケット数)が所定数(例えば、100件)を越えた際、Sourceアドレス12の数も略同時期に所定数(例えば、90件)若しくは所定率(例えば、パケットの数に対して90%)を超えた場合には、その受信を拒否する。
尚、このような一斉同時送信に対応した一定時間内に送信されてきた通信の件数(若しくはパケット数)の所定数並びにSourceアドレス数の所定数の設定は、サーバーの処理能力やネットワークの容量に応じたり、受信側コンピュータ3の所有者の業種等に応じたりして設定することができる。
例えば、受信側コンピュータ3の所有者の業種がインターネット検索サービスやチケット販売等であった場合、多くの人の検索要求や人気のある旅行プランやイベント内容に対するアクセスが殺到するといったことが想定される。
従って、これらの業種等では、日常的に通信量も多いことが想定できるため、その平均的な受信件数を考慮して所定値(件数等)を設定すればよい。
また、このようなアクセスが殺到した場合であっても、(D)DoS攻撃に相当するような全く同じ時間(瞬間的)に大量の情報が送信されてくることは想定されるが、判定のための一定時間の設定を短くするといった設定変更でも対応は可能である。
また、不正攻撃元探索もできる。
また、特定のサーバが近隣にない、ネットワークの中間点であっても判定された不正攻撃先を割りだすことができる。
本発明の不正情報検知システムおよび不正攻撃元探索システムの構成を示す図である。 (A)パケットデータのフォーマットを示す図である。(B)通信量の一例を時系列で示したグラフ図である。(C)パケットのアドレス件数の一例を時系列で示したグラフ図である。 パケット観測手段(Sniffer)を用いて、ネットワーク(Net1)と攻撃先(Target)との間のパケットを観測するシステム示す概念図である。 インターネット上の各経路にスニファーSn(n = 1, 2, 3,・・・)を設置してDoS攻撃元を追跡するシステムを示す概念図である。
符号の説明
1…インターネット回線
2…送信側コンピュータ
3…受信側コンピュータ
4…通信監視装置(判定手段)

Claims (4)

  1. インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定率に達した場合には不正攻撃が行われていると判定する手段を備えること、および前記所定率は下記のいずれかの条件により算出されることを特徴とする不正情報検知システム。
    (a) 時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t)
    との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に不正攻撃と判定する。
    (b) 上記(a)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/
    P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に不正攻撃と判定する。
    (c) 時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に不正攻撃と判定する。
  2. 前記フィールドの値は、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成することを特徴とする請求項1に記載の不正情報検知システム。
  3. インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システム。
  4. 請求項1乃至3に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。
JP2004307953A 2004-02-02 2004-10-22 不正情報検知システム及び不正攻撃元探索システム Active JP4484663B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004307953A JP4484663B2 (ja) 2004-02-02 2004-10-22 不正情報検知システム及び不正攻撃元探索システム
PCT/JP2005/001524 WO2005074215A1 (ja) 2004-02-02 2005-02-02 不正情報検知システム及び不正攻撃元探索システム
US10/588,188 US8020205B2 (en) 2004-02-02 2005-02-02 Unauthorized information detection system and unauthorized attack source search system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004025015 2004-02-02
JP2004267519 2004-09-14
JP2004307953A JP4484663B2 (ja) 2004-02-02 2004-10-22 不正情報検知システム及び不正攻撃元探索システム

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP2009185173A Division JP4914468B2 (ja) 2004-02-02 2009-08-07 不正情報検知システム及び不正攻撃元探索システム
JP2009273474A Division JP4852139B2 (ja) 2004-02-02 2009-12-01 不正情報検知システム及び不正攻撃元探索システム

Publications (3)

Publication Number Publication Date
JP2006115432A JP2006115432A (ja) 2006-04-27
JP2006115432A5 JP2006115432A5 (ja) 2007-02-01
JP4484663B2 true JP4484663B2 (ja) 2010-06-16

Family

ID=34830975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004307953A Active JP4484663B2 (ja) 2004-02-02 2004-10-22 不正情報検知システム及び不正攻撃元探索システム

Country Status (3)

Country Link
US (1) US8020205B2 (ja)
JP (1) JP4484663B2 (ja)
WO (1) WO2005074215A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005227824A (ja) * 2004-02-10 2005-08-25 Matsushita Electric Works Ltd 機器監視制御装置及び機器監視制御方法
JP4557815B2 (ja) * 2005-06-13 2010-10-06 富士通株式会社 中継装置および中継システム
US7624447B1 (en) * 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
WO2007081023A1 (ja) * 2006-01-16 2007-07-19 Cyber Solutions Inc. トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
US7738377B1 (en) * 2006-05-22 2010-06-15 At&T Intellectual Property Ii, L.P. Method and apparatus for volumetric thresholding and alarming on internet protocol traffic
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
JP4764810B2 (ja) * 2006-12-14 2011-09-07 富士通株式会社 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム
JP4877145B2 (ja) * 2007-08-10 2012-02-15 富士通株式会社 通信装置を制御するプログラム及び通信装置
JP4827972B2 (ja) * 2007-09-28 2011-11-30 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP4909875B2 (ja) * 2007-11-27 2012-04-04 アラクサラネットワークス株式会社 パケット中継装置
CN101686235B (zh) * 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
US20100208631A1 (en) * 2009-02-17 2010-08-19 The Regents Of The University Of California Inaudible methods, apparatus and systems for jointly transmitting and processing, analog-digital information
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
JP5668034B2 (ja) * 2012-09-04 2015-02-12 ビッグローブ株式会社 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム
US9386030B2 (en) * 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9338098B2 (en) * 2012-12-13 2016-05-10 Cellco Partnership Dynamic flow management at a firewall based on error messages
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
RU2704741C2 (ru) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА
US20230100792A1 (en) * 2021-09-24 2023-03-30 Qualcomm Incorporated Techniques for misbehavior detection in wireless communications systems

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE498270T1 (de) * 2000-05-12 2011-02-15 Niksun Inc Sicherheitskamera für ein netzwerk
JP2002124996A (ja) 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
JP3584877B2 (ja) 2000-12-05 2004-11-04 日本電気株式会社 パケット転送制御装置、パケット転送制御方法およびパケット転送制御システム
JP3731111B2 (ja) * 2001-02-23 2006-01-05 三菱電機株式会社 侵入検出装置およびシステムならびにルータ
WO2002089426A1 (fr) 2001-04-27 2002-11-07 Ntt Data Corporation Systeme d'analyse de paquets
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
JP3892322B2 (ja) 2002-03-04 2007-03-14 三菱電機株式会社 不正アクセス経路解析システム及び不正アクセス経路解析方法
JP3652661B2 (ja) * 2002-03-20 2005-05-25 日本電信電話株式会社 サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
US7313092B2 (en) * 2002-09-30 2007-12-25 Lucent Technologies Inc. Apparatus and method for an overload control procedure against denial of service attack
JP2004140524A (ja) 2002-10-16 2004-05-13 Sony Corp DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
JP2005086452A (ja) 2003-09-08 2005-03-31 Matsushita Electric Ind Co Ltd ネットワーク機器の接続制御方法及び接続制御プログラム
US7526807B2 (en) * 2003-11-26 2009-04-28 Alcatel-Lucent Usa Inc. Distributed architecture for statistical overload control against distributed denial of service attacks
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method

Also Published As

Publication number Publication date
US20080016562A1 (en) 2008-01-17
WO2005074215A1 (ja) 2005-08-11
US8020205B2 (en) 2011-09-13
JP2006115432A (ja) 2006-04-27

Similar Documents

Publication Publication Date Title
JP4484663B2 (ja) 不正情報検知システム及び不正攻撃元探索システム
JP2006115432A5 (ja)
US7926108B2 (en) SMTP network security processing in a transparent relay in a computer network
US10284594B2 (en) Detecting and preventing flooding attacks in a network environment
Collins et al. Using uncleanliness to predict future botnet addresses
US9930012B1 (en) Private network request forwarding
US7921462B2 (en) Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
Pham et al. Detecting colluding blackhole and greyhole attacks in delay tolerant networks
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
US20060130147A1 (en) Method and system for detecting and stopping illegitimate communication attempts on the internet
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US20070226802A1 (en) Exploit-based worm propagation mitigation
JP5015014B2 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
CN110166480A (zh) 一种数据包的分析方法及装置
CN110266668A (zh) 一种端口扫描行为的检测方法及装置
US20070226799A1 (en) Email-based worm propagation properties
JP4852139B2 (ja) 不正情報検知システム及び不正攻撃元探索システム
Chen et al. Defense denial-of service attacks on IPv6 wireless sensor networks
CN107018116A (zh) 监控网络流量的方法、装置及服务器
Al-Duwairi et al. Distributed packet pairing for reflector based DDoS attack mitigation
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
RU2483348C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак
Bou-Harb et al. On detecting and clustering distributed cyber scanning
Kumar et al. Enhanced DDOS Attack Detection Algorithm to Increase Network Lifetime in Cloud Environment

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090807

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091201

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100323

R150 Certificate of patent or registration of utility model

Ref document number: 4484663

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140402

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250