JP4484663B2 - 不正情報検知システム及び不正攻撃元探索システム - Google Patents
不正情報検知システム及び不正攻撃元探索システム Download PDFInfo
- Publication number
- JP4484663B2 JP4484663B2 JP2004307953A JP2004307953A JP4484663B2 JP 4484663 B2 JP4484663 B2 JP 4484663B2 JP 2004307953 A JP2004307953 A JP 2004307953A JP 2004307953 A JP2004307953 A JP 2004307953A JP 4484663 B2 JP4484663 B2 JP 4484663B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- unauthorized
- packets
- time
- values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 22
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 235000008694 Humulus lupulus Nutrition 0.000 claims description 9
- 238000004891 communication Methods 0.000 description 28
- 238000000034 method Methods 0.000 description 16
- 238000012806 monitoring device Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 239000012634 fragment Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 101150115538 nero gene Proteins 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
Description
フィールドの値としては、例えば、次のものが上げられる。
バージョン
ヘッダ長
ToS
全長
アイデンティフィケーション
フラグ
フラグメントオフセット
Time to Live
プロトコル
ヘッダチェックサム
発信元アドレス
到達先アドレス
オプション
ポート
あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があった場合、フィールドの値の数はnである。
(a) 時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t)
との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に不正攻撃と判定する。
(b) 上記(a)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/
P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に不正攻撃と判定する。
(c) 時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に不正攻撃と判定する。
パケットの全数
ある特定の発信元アドレスを持つパケット数
ある特定の到達先アドレスを持つパケット数
発信元アドレス毎のパケット数
到達先アドレス毎のパケット数
特定のタイプのパケット数
これらの値は、一定時間間隔毎に収集可能である。
1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
上記において、時間6、7、8においては、パケット数とともに発信元アドレス数が増加している。そこでは、DoS攻撃がなされている。
バージョン領域
ヘッダ長領域
ToS 領域
全長領域
アイデンティフィケーション領域
フラグ領域
フラグメントオフセット領域
Time to Live 領域
プロトコル領域
ヘッダチェックサム領域
発信元アドレス領域
到達先アドレス領域
オプション領域
ポート領域
カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。
(カテゴリの例) プロトコル領域がTCPであるパケット全て
便宜上“Total カテゴリ”というカテゴリを定義する。全てのパケットはこのカテゴリに属する。
カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。1...iは時系列に並んだ値とする。
カテゴリ数 : C1, .... Ci, ....
パケット数 : P1, .... Pi, ....
通信量 : O1, .... Oi, ....
このとき、以下の条件で検知する。
a. Ci > T
b. Ci / Ci+1 > T
c. Ci / {Pi|Oi} > T
T は閾値であり、Tは固定値もしくはトラフィックデータから算出される値である。
例えば、T = F × movingAverageOfStatistic ( in a, b, c above)
のように上記のa,b,cの値の移動平均になんらかの数Fを乗じて差出されたもので
ある。
Fは固定あるいはトラフィックデータから算出される値である。
例えば、F = A × standardDeviationOfStatistic
のように標準偏差を用いて算出されることもある。
Aは定数である。
インターネットにおいては、情報の無限循環を防止するために、ヘッダのTTL(Time to Live)のフィールドの値に基づきHOP(ホップ)の数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、実際に送られてきた詐称情報の場合のHOP数が異なる場合その情報は不正情報と判断することができる。
この場合、受信とはサーバーで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末(例えば、パーソナルコンピュータ等)が接続されることとなる。
2…送信側コンピュータ
3…受信側コンピュータ
4…通信監視装置(判定手段)
Claims (4)
- インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定率に達した場合には不正攻撃が行われていると判定する手段を備えること、および前記所定率は下記のいずれかの条件により算出されることを特徴とする不正情報検知システム。
(a) 時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t)
との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に不正攻撃と判定する。
(b) 上記(a)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/
P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に不正攻撃と判定する。
(c) 時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に不正攻撃と判定する。 - 前記フィールドの値は、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成することを特徴とする請求項1に記載の不正情報検知システム。
- インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システム。
- 請求項1乃至3に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004307953A JP4484663B2 (ja) | 2004-02-02 | 2004-10-22 | 不正情報検知システム及び不正攻撃元探索システム |
PCT/JP2005/001524 WO2005074215A1 (ja) | 2004-02-02 | 2005-02-02 | 不正情報検知システム及び不正攻撃元探索システム |
US10/588,188 US8020205B2 (en) | 2004-02-02 | 2005-02-02 | Unauthorized information detection system and unauthorized attack source search system |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004025015 | 2004-02-02 | ||
JP2004267519 | 2004-09-14 | ||
JP2004307953A JP4484663B2 (ja) | 2004-02-02 | 2004-10-22 | 不正情報検知システム及び不正攻撃元探索システム |
Related Child Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009185173A Division JP4914468B2 (ja) | 2004-02-02 | 2009-08-07 | 不正情報検知システム及び不正攻撃元探索システム |
JP2009273474A Division JP4852139B2 (ja) | 2004-02-02 | 2009-12-01 | 不正情報検知システム及び不正攻撃元探索システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006115432A JP2006115432A (ja) | 2006-04-27 |
JP2006115432A5 JP2006115432A5 (ja) | 2007-02-01 |
JP4484663B2 true JP4484663B2 (ja) | 2010-06-16 |
Family
ID=34830975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004307953A Active JP4484663B2 (ja) | 2004-02-02 | 2004-10-22 | 不正情報検知システム及び不正攻撃元探索システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US8020205B2 (ja) |
JP (1) | JP4484663B2 (ja) |
WO (1) | WO2005074215A1 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005227824A (ja) * | 2004-02-10 | 2005-08-25 | Matsushita Electric Works Ltd | 機器監視制御装置及び機器監視制御方法 |
JP4557815B2 (ja) * | 2005-06-13 | 2010-10-06 | 富士通株式会社 | 中継装置および中継システム |
US7624447B1 (en) * | 2005-09-08 | 2009-11-24 | Cisco Technology, Inc. | Using threshold lists for worm detection |
WO2007081023A1 (ja) * | 2006-01-16 | 2007-07-19 | Cyber Solutions Inc. | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
US7738377B1 (en) * | 2006-05-22 | 2010-06-15 | At&T Intellectual Property Ii, L.P. | Method and apparatus for volumetric thresholding and alarming on internet protocol traffic |
JP4734223B2 (ja) * | 2006-11-29 | 2011-07-27 | アラクサラネットワークス株式会社 | トラヒック分析装置および分析方法 |
JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
JP4877145B2 (ja) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
JP4827972B2 (ja) * | 2007-09-28 | 2011-11-30 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
JP4909875B2 (ja) * | 2007-11-27 | 2012-04-04 | アラクサラネットワークス株式会社 | パケット中継装置 |
CN101686235B (zh) * | 2008-09-26 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常流量分析设备和方法 |
US20100208631A1 (en) * | 2009-02-17 | 2010-08-19 | The Regents Of The University Of California | Inaudible methods, apparatus and systems for jointly transmitting and processing, analog-digital information |
WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
JP5668034B2 (ja) * | 2012-09-04 | 2015-02-12 | ビッグローブ株式会社 | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9338098B2 (en) * | 2012-12-13 | 2016-05-10 | Cellco Partnership | Dynamic flow management at a firewall based on error messages |
US9591022B2 (en) | 2014-12-17 | 2017-03-07 | The Boeing Company | Computer defenses and counterattacks |
RU2704741C2 (ru) * | 2018-03-16 | 2019-10-30 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА |
US20230100792A1 (en) * | 2021-09-24 | 2023-03-30 | Qualcomm Incorporated | Techniques for misbehavior detection in wireless communications systems |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE498270T1 (de) * | 2000-05-12 | 2011-02-15 | Niksun Inc | Sicherheitskamera für ein netzwerk |
JP2002124996A (ja) | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
JP3584877B2 (ja) | 2000-12-05 | 2004-11-04 | 日本電気株式会社 | パケット転送制御装置、パケット転送制御方法およびパケット転送制御システム |
JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
WO2002089426A1 (fr) | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
US7448084B1 (en) * | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
JP3892322B2 (ja) | 2002-03-04 | 2007-03-14 | 三菱電機株式会社 | 不正アクセス経路解析システム及び不正アクセス経路解析方法 |
JP3652661B2 (ja) * | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム |
US7313092B2 (en) * | 2002-09-30 | 2007-12-25 | Lucent Technologies Inc. | Apparatus and method for an overload control procedure against denial of service attack |
JP2004140524A (ja) | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
JP2005086452A (ja) | 2003-09-08 | 2005-03-31 | Matsushita Electric Ind Co Ltd | ネットワーク機器の接続制御方法及び接続制御プログラム |
US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
US7478429B2 (en) * | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
-
2004
- 2004-10-22 JP JP2004307953A patent/JP4484663B2/ja active Active
-
2005
- 2005-02-02 WO PCT/JP2005/001524 patent/WO2005074215A1/ja active Application Filing
- 2005-02-02 US US10/588,188 patent/US8020205B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20080016562A1 (en) | 2008-01-17 |
WO2005074215A1 (ja) | 2005-08-11 |
US8020205B2 (en) | 2011-09-13 |
JP2006115432A (ja) | 2006-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4484663B2 (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
JP2006115432A5 (ja) | ||
US7926108B2 (en) | SMTP network security processing in a transparent relay in a computer network | |
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
Collins et al. | Using uncleanliness to predict future botnet addresses | |
US9930012B1 (en) | Private network request forwarding | |
US7921462B2 (en) | Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack | |
Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
Pham et al. | Detecting colluding blackhole and greyhole attacks in delay tolerant networks | |
CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
US20060130147A1 (en) | Method and system for detecting and stopping illegitimate communication attempts on the internet | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US20070226802A1 (en) | Exploit-based worm propagation mitigation | |
JP5015014B2 (ja) | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム | |
CN110166480A (zh) | 一种数据包的分析方法及装置 | |
CN110266668A (zh) | 一种端口扫描行为的检测方法及装置 | |
US20070226799A1 (en) | Email-based worm propagation properties | |
JP4852139B2 (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
Chen et al. | Defense denial-of service attacks on IPv6 wireless sensor networks | |
CN107018116A (zh) | 监控网络流量的方法、装置及服务器 | |
Al-Duwairi et al. | Distributed packet pairing for reflector based DDoS attack mitigation | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
RU2483348C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
Kumar et al. | Enhanced DDOS Attack Detection Algorithm to Increase Network Lifetime in Cloud Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061213 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090701 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090807 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090930 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091201 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100224 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100323 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4484663 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140402 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |