JP4914468B2 - Unauthorized information detection system and unauthorized attack source search system - Google Patents

Unauthorized information detection system and unauthorized attack source search system Download PDF

Info

Publication number
JP4914468B2
JP4914468B2 JP2009185173A JP2009185173A JP4914468B2 JP 4914468 B2 JP4914468 B2 JP 4914468B2 JP 2009185173 A JP2009185173 A JP 2009185173A JP 2009185173 A JP2009185173 A JP 2009185173A JP 4914468 B2 JP4914468 B2 JP 4914468B2
Authority
JP
Japan
Prior art keywords
attack
unauthorized
packets
values
information detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2009185173A
Other languages
Japanese (ja)
Other versions
JP2010004552A (en
Inventor
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
Original Assignee
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Solutions Inc filed Critical Cyber Solutions Inc
Priority to JP2009185173A priority Critical patent/JP4914468B2/en
Publication of JP2010004552A publication Critical patent/JP2010004552A/en
Application granted granted Critical
Publication of JP4914468B2 publication Critical patent/JP4914468B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、インターネット回線を通じて送信されてきた情報が適正な情報であるかあるいは(D)DoSなどの不正な情報であるかを判定する不正情報検知システム及び不正攻撃元探索システムに関するものである。   The present invention relates to an unauthorized information detection system and an unauthorized attack source search system that determine whether information transmitted through an Internet line is appropriate information or unauthorized information such as (D) DoS.

近年、ある企業や組織をターゲットにし、大量の不正な通信(パケット)を送信するサービス妨害攻撃が問題となっている。このような(D)DoS攻撃は、一般にはサーバの処理能力を超える大量の接続要求を一度に送りつけることや、通信回線の容量を不要な通信で埋め尽くすことで他の必要な通信を妨害し、通常業務を妨害したり、課金制ユーザーに対するプロバイダへのアクセス時間並びに通信会社への通信時間を延長させて納付料金を高騰させるといった弊害を与えるものである。いわゆる(D)DoS攻撃といわれるものである。 In recent years, a denial-of-service attack that targets a certain company or organization and transmits a large amount of unauthorized communications (packets) has become a problem. Such (D) DoS attacks generally interfere with other necessary communications by sending a large number of connection requests exceeding the processing capacity of the server at once, or by filling up the communication line capacity with unnecessary communications. However, it may interfere with normal business operations, or increase the access time to the provider and the communication time to the telecommunications company for the charge-based user, and increase the payment fee. This is a so-called (D) DoS attack.

(D)DoS攻撃とは、攻撃対象機器およびネットワークの処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。   The (D) DoS attack is an attack method that sends a very large number of packets exceeding the processing capability of the attack target device and network, and disables the target service.

そこで、各パケットのヘッダ部分に含まれるSourceアドレス(送信元アドレス)を管理し、このような(D)DoS攻撃を送りつけたアドレスからの通信を2度と受信しないと共にその送信元に通信の終了を示すパケットを送り返すといった防止機能を付加したサービスが見受けられる。   Therefore, the source address (source address) included in the header part of each packet is managed, and communication from the address that sent such a (D) DoS attack is never received, and communication to the source is made. There can be seen a service with a prevention function such as sending back a packet indicating termination.

しかしながら、このような防止サービスは、異なったSourceアドレスから(D)DoS攻撃を送りつけてきた場合には、その(D)DoS攻撃の受信を拒否することができないといった問題が生じていた。   However, such a prevention service has a problem that when a (D) DoS attack is sent from a different source address, reception of the (D) DoS attack cannot be rejected.

一方、このような(D)DoS攻撃を送りつける送信元では、受信拒否された(D)DoS攻撃が送り返されてしまうと、自身のサーバおよびネットワークが容量オーバーとなってしまう。従って、送信元では、Sourceアドレスをランダムに偽造作成し、大量のパケットの各アドレスを異ならせたうえで特定宛先アドレスに(D)DoS攻撃を送信するといった対応で対抗してきているのが実情である。   On the other hand, if a (D) DoS attack that has been rejected is sent back to the sender that sends such a (D) DoS attack, the capacity of the server and the network will be exceeded. Therefore, the actual situation is that the sender has countered the situation by randomly forging the Source address, changing the addresses of a large number of packets, and sending a (D) DoS attack to a specific destination address. is there.

これに対し、例えば、特許文献1では、不特定多数の電子メールに対し、電子メールのデータフォーマットのヘッダ部分に含まれるToアドレス(送信先アドレス)を事前設定されたアカウント別メールヘッダ・コンテンツ書き換え定義にしたがい、受信した電子メールを書き換えた上でその書き換えメールアドレスに再送信(転送)し、特定メールサーバーヘの負荷を分散させている。   On the other hand, for example, in Patent Document 1, for an unspecified number of e-mails, an account-specific mail header / content rewriting in which the To address (destination address) included in the header portion of the e-mail data format is preset. According to the definition, the received e-mail is rewritten and then retransmitted (transferred) to the rewritten mail address to distribute the load on the specific mail server.

また、特許文献2では、同時に送信されてきた電子メールのFromアドレスに不明なものを大量に含むか否かを判定し、Fromアドレスに不明なものが大量に含まれている場合には、その送信されてきた大量の電子メールのFromアドレスに送信メールを返信し、返信できた電子メールのみを適正な電子メールとして受信している。   Further, in Patent Document 2, it is determined whether or not a large amount of unknown information is included in the From address of the e-mails transmitted at the same time. If the From address includes a large amount of unknown information, A sent mail is replied to the From address of a large number of sent emails, and only the email that can be replied is received as a proper email.

特開2003−318987号公報JP 2003-318987 A 特開2003−234784号公報JP 2003-234784 A

ところで、送信元アドレスは容易に偽造し変更することが可能であるため、大量の送信元アドレスを事前に予測し、対応することは非常に困難である。   By the way, since the source address can be easily forged and changed, it is very difficult to predict and deal with a large number of source addresses in advance.

また、(D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難なことから、なんらかの閾値を用いた検知が検討されているが、それらは対象となるネットワークの特性や利用状況によって大きく変化するものであるため、高い検知精度は期待できない。   In addition, because it is difficult to distinguish (D) DoS attacks from normal communications at the individual packet level, detection using some threshold value is being considered.However, depending on the characteristics and usage of the target network, Because it changes greatly, high detection accuracy cannot be expected.

また、(D)DoS攻撃は正常な通信との識別が困難なことから、間違った判断により正常な通信の送受信をも遮断してしまう可能性があった。   In addition, since (D) DoS attack is difficult to distinguish from normal communication, there is a possibility that normal communication transmission and reception may be blocked by wrong judgment.

このように、従来技術では、(D)DoS攻撃の判定基準が複雑となっているため、検知が困難な小規模の(D)DoS攻撃の受信を余儀なくされたり、必要な通信をも受信拒否してしまうといった問題が生じていた。   In this way, in the conventional technology, the criteria for determining (D) DoS attacks are complicated, so it is necessary to receive small-scale (D) DoS attacks that are difficult to detect, or refuse to receive necessary communications. There was a problem such as.

本発明は、上記問題を解決するため、(D)DoS攻撃などの不正攻撃かあるか否かの判定基準を容易に行うことが可能な不正攻撃検知およびその追跡システムを提供することを目的とする。   In order to solve the above problems, the present invention aims to provide a fraud attack detection and its tracking system capable of easily determining whether or not there is a fraud attack such as (D) DoS attack. To do.

請求項1に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内に在る個々のフィールドから2つ以上のフィールド{F1,・・・,Fn}(n:2以上の自然数)を監視対象に設定し、監視対象フィールドの値として前記フィールド{F1,・・・,Fn}の値を組み合わせたものを構成し、前記監視対象フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する不正情報検知システムであって、Fx(1≦x≦n)に「送信元アドレス」フィールドを設定した場合、Fxの値の数が2以上で且つ前記監視対象フィールドの値の数が一定時間内で所定数に達した場合に(D)Dosによる不正攻撃を検出することを特徴とする不正情報検知システムである。また、フィールドの値としては、例えば、次のものが上げられる。
バージョン
ヘッダ長
ToS
全長
アイデンティフィケーション
フラグ
フラグメントオフセット
Time to Live
プロトコル
ヘッダチェックサム
発信元アドレス
到達先アドレス
オプション
ポート
The invention according to claim 1 monitors two or more fields {F1,..., Fn} (n: a natural number of 2 or more) from individual fields in the header of a packet transmitted through the Internet line. Set to the target, and composed of a combination of the values of the fields {F1,..., Fn} as the value of the field to be monitored, and the number of values of the field to be monitored reached a predetermined number within a certain time case a illegal information detection system that determines that performed illegal attacks, if you set the "source address" field Fx (1 ≦ x ≦ n) , the number of values of Fx 2 An unauthorized information detection system that detects an unauthorized attack by (D) Dos when the number of values of the monitored field reaches a predetermined number within a certain time as described above . Further, as the value of the field, for example, the following can be raised.
Version header length
ToS
Full length Identification flag Fragment offset
Time to Live
Protocol Header Checksum Source address Destination address Optional Port

あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があった場合、フィールドの値の数はnである。 The number of values in a certain field is, for example, a field value “source address”, a distinguishable source address: a1 (= Ichiro), a2 (= Jiro), a3 (= Saburo),... When there is an (= nero), the number of field values is n.

また、フィールドの値の2つ以上の任意の組合せとして、例えば、フィールドの値として「発信元アドレス」と「到達先アドレス」との組合せによりフィールドの値を構成する。
まず前記同様、発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があったとする。ak(k=1〜n)について、到達アドレスの種類がmk個あるとすると、この場合における複数のフィールドの組合せにより構成されるフィールドの値の数はΣmk(k=1〜n)となる。
Further, as an arbitrary combination of two or more field values, for example, a field value is configured by a combination of “source address” and “destination address” as a field value.
First, as described above, it is assumed that there are a1 (= Ichiro), a2 (= Jiro), a3 (= Saburo),... Assuming that there are mk types of arrival addresses for ak (k = 1 to n), the number of field values constituted by a combination of a plurality of fields in this case is Σmk (k = 1 to n).

請求項2に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項4に記載の不正情報検知システムである。   In the invention according to claim 2, a fraud attack is performed when the number of hops based on the TTL value in the header of a packet transmitted through the Internet line is out of a predetermined value range. 5. The unauthorized information detection system according to claim 4, wherein the unauthorized information detection system is determined to be.

前記パケットのヘッダ内にある送信元アドレスが詐称されたものではなく正規のものである場合、ホップ数はほぼ決まった値となることから、所定の値の範囲を予め設定しておくことで、ホップ数が前記所定の値の範囲から外れた場合に不正攻撃が行われていると判定することができる。   If the source address in the header of the packet is not spoofed but is legitimate, the number of hops is almost a fixed value, so by setting a predetermined value range in advance, When the number of hops is out of the predetermined value range, it can be determined that an unauthorized attack is being performed.

請求項3に係る発明は、請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システムである。   According to a third aspect of the present invention, there is provided a fraud attack source characterized in that the fraudulent information detection system according to any one of the first and second aspects is installed at a plurality of locations on the Internet to search for a fraud attack source. It is a search system.

インターネットの複数個所に不正情報検知システムを設置して、各箇所で不正攻撃が行われているか判定する。例えば、2つの観測点で不正攻撃を検知した場合、2つの観測点を結ぶ経路を不正攻撃が通過したと判定することができるため、複数の観測点で不正攻撃が行われているか判定することで、不正攻撃の通過した経路を追跡することができ、不正攻撃の送信元を探索することができる。   Install fraudulent information detection systems at multiple locations on the Internet to determine whether a fraud attack is taking place at each location. For example, when a fraud attack is detected at two observation points, it can be determined that the fraud attack has passed through a path connecting the two observation points, so it is determined whether a fraud attack is being performed at multiple observation points. Thus, it is possible to trace the route through which the unauthorized attack has passed and search for the sender of the unauthorized attack.

本発明の不正情報検知システムによれば、同時に大量に送信されてきたパケットに対し、該パケットのヘッダ内のあるフィールド値の数が一定時間内に所定に達した時に、略同期して送信元アドレス件数が所定に達した場合には、その大量のパケットを(D)DoS攻撃パケットと判定することにより、特定の送信元アドレスに対して受信許可設定若しくは受信拒否設定をするといった細かく煩わしい設定をすることなく(D)DoS攻撃が送信されてきたことを認識および追跡することができる。 According to the fraudulent information detection system of the present invention, when a large number of packets are transmitted at the same time, when the number of certain field values in the header of the packet reaches a predetermined number within a certain time, the packets are transmitted substantially synchronously. When the number of source addresses reaches a predetermined number , it is troublesome to perform reception permission setting or reception rejection setting for a specific source address by determining the large number of packets as (D) DoS attack packets It is possible to recognize and track that a (D) DoS attack has been sent without setting.

本発明の(D)DoS攻撃検知およびその追跡システムの概念図である。It is a conceptual diagram of the (D) DoS attack detection and its tracking system of this invention. (A)はパケットデータフォーマットの説明図、(B)は通信量の一例を時系列で示したグラフ図、(C)はパケットのアドレス件数の一例を時系列で示したグラフ図である。(A) is an explanatory diagram of a packet data format, (B) is a graph showing an example of the traffic volume in a time series, and (C) is a graph showing an example of the number of packet addresses in a time series. パケット探索を示す概念図である。It is a conceptual diagram which shows a packet search. インターネットのシステムを示す概念図である。It is a conceptual diagram which shows the system of the internet.

前述した通り、DoS攻撃とは、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
このDoS攻撃は次のような特徴を有している。
As described above, the DoS attack is an attack method in which a very large number of packets exceeding the processing capability are sent to the attack target device, and the target service is disabled.
This DoS attack has the following characteristics.

例えば、ヘッダ内のフィールドの値の一つである発信元アドレスは偽造されている(偽のアドレスが用いられている)攻撃元の発信元
アドレスであるパケットをフィルタすることにより、DoS攻撃をブロックされないように、DoS攻撃の発信元アドレスはランダムに選択されていることが一般的である。
For example, the source address, which is one of the values in the field in the header, blocks a DoS attack by filtering packets that are forged source addresses (for which a fake address is used). In general, the source address of the DoS attack is selected at random.

DoSは非常に莫大なパケットが送信されるので、次のような方法で検知される。   DoS is detected by the following method because a very large number of packets are transmitted.

第1の方法は、攻撃パケットもしくは、不正なパケットの数を数える方法である。どのようなパケットが不正であるかを判断することはむずかしい。なぜなら、DoS攻撃に使われるパケット一つ一つは正常なパケットであるからである。   The first method is a method of counting the number of attack packets or illegal packets. It is difficult to determine what kind of packet is invalid. This is because each packet used for the DoS attack is a normal packet.

第2の方法は、検知したパケット全て(攻撃パケットも含む)を数える方法である。ネットワークトラフィックは時々刻々動的に変化する。従って、単にネットワークトラフィック量が増大したからといって、その現象はDoS攻撃によるものだと指摘することはできない。また、既にトラフィック量が飽和状態である場合は、DoS攻撃があったとしても、トラフィック量は増加しない。   The second method is a method of counting all detected packets (including attack packets). Network traffic changes dynamically from moment to moment. Therefore, simply because the amount of network traffic has increased, it cannot be pointed out that the phenomenon is due to a DoS attack. If the traffic volume is already saturated, the traffic volume does not increase even if there is a DoS attack.

それに対して、本形態における方法は、DoS攻撃の検知方法は、トラフィックの発信元アドレスを数える方法である。もし攻撃者がランダムに発信元アドレスを選択しているならば、観測される発信元アドレスの数も増加しているはずである。ある一定時間間隔では、1個の発信元アドレスに対して、そのような発信元アドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に1個の(偽造された)発信元アドレスに対して、攻撃パケットは1個しか観測されない。このようにDoS攻撃を検知することができる。   On the other hand, in the method according to this embodiment, the DoS attack detection method is a method of counting the traffic source addresses. If the attacker chooses a source address randomly, the number of source addresses observed should also increase. In a certain time interval, a plurality of packets having such a source address are usually observed for one source address. However, during an attack, generally only one attack packet is observed for one (forged) source address. In this way, a DoS attack can be detected.

発信元アドレス、到達先アドレスとその他の情報・データから構成されている。時間間隔でパケットを数える。例えば、図3に示すように、ネットワーク(Net1)と攻撃先(Target)との間の経路にパケットを観測するための手段を設けておき、そこで、パケットを観測すればよい。かかる手段としては、例えばスニファー(Sniffer)やパッシブ型プローブなどの機器がある。   It consists of source address, destination address and other information / data. Count packets at time intervals. For example, as shown in FIG. 3, a means for observing a packet is provided on a route between a network (Net 1) and an attack destination (Target), and the packet may be observed there. Examples of such means include devices such as a sniffer and a passive probe.

スニファー(Sniffer)や、パッシブ型プローブなどの機器は全てのパケットを観測でき、それらの機器は以下の値を数えあげることができる。
パケットの全数
ある特定の発信元アドレスを持つパケット数
ある特定の到達先アドレスを持つパケット数
発信元アドレス毎のパケット数
到達先アドレス毎のパケット数
特定のタイプのパケット数
これらの値は、一定時間間隔毎に収集可能である。
Devices such as sniffers and passive probes can observe all packets, and these devices can count the following values.
Total number of packets Number of packets with a specific source address Number of packets with a specific destination address Number of packets per source address Number of packets per destination address Number of packets of a specific type Can be collected at intervals.

次にDos攻撃の追跡方法について述べる。   Next, the Dos attack tracking method will be described.

DoS攻撃元の追跡方法としては、第1に、不正なパケットの経路をチェックする(パケット追跡)方法がある。しかし、どのようなパケットが不正なのかを知る必要がある。   As a DoS attack source tracking method, firstly, there is a method of checking a path of an illegal packet (packet tracking). However, it is necessary to know what kind of packet is invalid.

第2に、トラフィックパターンをチェックする方法がある。しかし、この方法は、不正確である。   Second, there is a method for checking a traffic pattern. However, this method is inaccurate.

それに対して、本発明の実施の形態においては、経路上において観測されるアドレス数の変化をチェックする方法である。全ての経由地で同様な現象が観測されると推測される以下のようなパターンが観測される。   On the other hand, the embodiment of the present invention is a method for checking a change in the number of addresses observed on a route. The following pattern, which is assumed to be observed at all transit points, is observed.

時間(任意単位) パケット数 発信元アドレス数
1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
上記において、時間6、7、8においては、パケット数とともに発信元アドレス数が増加している。そこでは、DoS攻撃がなされている。
Time (arbitrary unit) Number of packets Number of source addresses 1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
In the above, at times 6, 7, and 8, the number of source addresses increases with the number of packets. There, a DoS attack is made.

一方、図4に示すように、インターネットの各経路にスニファーSn(n=1,2,3,・・・)を置いておき、そこでの観測結果同士を比較すればどの経路でDoS攻撃がなされているかを知ることができる。その経路を遮断すればDoS攻撃元を追跡することができ、必要に応じてその経路を遮断すればよい。また、その経路からの所定のパケットを遮断すればよい。   On the other hand, as shown in FIG. 4, a sniffer Sn (n = 1, 2, 3,...) Is placed on each route of the Internet, and the DoS attack is made on which route by comparing the observation results there. You can know if you are. If the route is blocked, the DoS attack source can be traced, and the route may be blocked as necessary. Further, a predetermined packet from the route may be blocked.

なお、本発明において、フィールドの値としては、IPv4 プロトコルパケットを例にした場合、次のものが例示される。

バージョン領域

ヘッダ長領域

ToS 領域

全長領域

アイデンティフィケーション領域

フラグ領域

フラグメントオフセット領域

Time to Live 領域

プロトコル領域

ヘッダチェックサム領域

発信元アドレス領域

到達先アドレス領域

オプション領域

ポート領域
In the present invention, the following values are exemplified as field values when an IPv4 protocol packet is taken as an example.

Version area

Header length area

ToS area

Full length area

Identification area

Flag area

Fragment offset area

Time to Live area

Protocol area

Header checksum area

Source address area

Destination address area

Options area

Port area

本発明においては、これらのフィールドの個々の値の件数を検知してもよい。また、これらの個々のフィールドの値の2以上の任意の組合せをフィールドの値としてその件数を検知してもよい。   In the present invention, the number of individual values in these fields may be detected. Further, the number of cases may be detected using any combination of two or more values of these individual fields as field values.

以下に例を示す。
カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。
(カテゴリの例) プロトコル領域がTCPであるパケット全て
便宜上“Total カテゴリ”というカテゴリを定義する。全てのパケットはこのカテゴリに属する。
An example is shown below.
A category is a property that can classify packets defined by one or a plurality of header areas.
(Category example) For the convenience of all packets whose protocol area is TCP, a category called “Total category” is defined. All packets belong to this category.

今までの統計分析手法は、モニタや探査装置により観測されたパケットから、全ての観測パケット数や、あるカテゴリに対するパケット観測数などの標本値を元にしてきた。   Conventional statistical analysis methods have been based on sample values such as the number of all observed packets and the number of observed packets for a certain category from the packets observed by a monitor or a survey device.

Figure 0004914468
Etc…
Figure 0004914468
Etc ...

カテゴリ変換 (C-Transform) における統計分析では、検知したパケットが属するカテゴリの数に着目する。上記の例において、プロトコル領域ごとのカテゴリの数を見た場合以下の通りになる。

Figure 0004914468
このようにパケットの数の分布からカテゴリの数の分布を作成する方法のことをカテゴリ変換“C-Transform” と呼ぶ。 In the statistical analysis in category transformation (C-Transform), focus on the number of categories to which the detected packet belongs. In the above example, the number of categories for each protocol area is as follows.
Figure 0004914468
The method of creating the distribution of the number of categories from the distribution of the number of packets in this way is called category conversion “C-Transform”.

いくつかのヘッダ領域の和によって作成されたカテゴリがとる事が可能な最大のカテゴリの数はその領域の合わせた幅による。例えば幅が合わせて4ビットの領域で作成されるカテゴリの場合、最大のカテゴリの数は16個(2の4乗)である。   The maximum number of categories that a category created by the sum of several header areas can take depends on the combined width of the areas. For example, in the case of a category created with an area having a total width of 4 bits, the maximum number of categories is 16 (2 to the 4th power).

しかし、IPヘッダにおけるVersion領域とProtocol領域のように、予め定義された以外の値を持つことができないヘッダ領域がある(ASSIGNED NUMBERS, RFC
790 参照)。そのためこのような領域から作成できる意味のあるカテゴリは限定される。
However, there are header areas that cannot have values other than predefined ones, such as the Version area and Protocol area in the IP header (ASSIGNED NUMBERS, RFC
790). Therefore, meaningful categories that can be created from such areas are limited.

また、32ビット(4294967296)の幅を持つ発信元アドレス、到達先アドレスのように非常に大きな値を取り得る領域からのカテゴリ変換 (C-Transform) は特に興味深い統計を提供することになる。   Also, categorical transformation (C-Transform) from areas that can take very large values, such as source and destination addresses with a width of 32 bits (4294967296), will provide particularly interesting statistics.

本発明においては、インターネット回線上における、前記情報のカテゴリ数が所定の値となった場合に当該情報を不正情報と認定する。またホップ数を効果的に活用することで検知および追跡の効率を向上する。   In the present invention, when the number of categories of information on the Internet line reaches a predetermined value, the information is recognized as illegal information. It also improves the efficiency of detection and tracking by effectively using the number of hops.

(検知方法)
カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。1...iは時系列に並んだ値とする。
カテゴリ数 : C1, .... Ci, ....
パケット数 : P1, .... Pi, ....
通信量 : O1, .... Oi, ....
このとき、以下の条件で検知する。

a. Ci >T

b. Ci / Ci+1 >T

c. Ci / {Pi|Oi} >T
ここで、T は閾値である。Tは固定値もしくはトラフィックデータから算出される値である。例えば、T = F X
movingAverageOfStatistic ( in a, b, c above)のように上記のa,b,cの値の移動平均になんらかの数Fを乗じて差出されたものである。
また、Fは固定あるいはトラフィックデータから算出される値である。例えば、F = A X
standardDeviationOfStatistic のように標準偏差を用いて算出されることもある。

Aは定数である
(Detection method)
The number of categories, the number of packets, and the traffic are defined as follows. 1 ... i are values arranged in time series.
Number of categories: C1, .... Ci, ....
Number of packets: P1, .... Pi, ....
Traffic: O1, .... Oi, ....
At this time, detection is performed under the following conditions.

a>Ci> T

b. Ci / Ci + 1> T

c. Ci / {Pi | Oi}> T
Here, T is a threshold value. T is a fixed value or a value calculated from traffic data. For example, T = FX
Like movingAverageOfStatistic (in a, b, c above), it is obtained by multiplying the moving average of the above values a, b, c by some number F.
F is a fixed value or a value calculated from traffic data. For example, F = AX
It may be calculated using standard deviation as in standardDeviationOfStatistic.

A is a constant

インターネットにおいては、情報の無限循環を防止するために、ヘッダのTTL(Time to Live)のフィールドの値に基づきHOP(ホップ)の数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、実際に送られた来た詐称情報の場合のHOP数が異なる場合その情報は不正情報と判断することができる。   In the Internet, in order to prevent infinite circulation of information, when the number of HOP (hop) becomes 0 based on the value of the TTL (Time to Live) field of the header, the information is dropped from the Internet. ing. By the way, when a certain source information is indicated, it is not spoofed and the number of HOPs is almost determined when it is normal. Therefore, when the number of HOPs in the case of actually sent spoof information is different from the determined number of HOPs, the information can be determined as illegal information.

次に、本発明の(D)DoS攻撃検知およびその追跡システムの実施例を図面に基づいて説明する。   Next, an embodiment of the (D) DoS attack detection and tracking system of the present invention will be described with reference to the drawings.

図1は本発明の(D)DoS攻撃検知およびその追跡システムを示す図である。図1において、1はインターネット回線、2はインターネット回線1に接続された送信元のコンピュータ本体、3はインターネット回線1に接続された受信側コンピュータ、4はインターネット回線1と受信側コ
ンピュータ3との間に接続された通信監視装置である。
FIG. 1 is a diagram showing a (D) DoS attack detection and tracking system thereof according to the present invention. In FIG. 1, 1 is an Internet line, 2 is a computer body of a transmission source connected to the Internet line 1, 3 is a receiving computer connected to the Internet line 1, and 4 is between the Internet line 1 and the receiving computer 3. It is the communication monitoring apparatus connected to.

尚、この通信監視装置4はネットワークに接続されるが、受信側コンピュータ3がサーバ等であった場合には、そのサーバを通信監視装置4としても良い。
この場合、受信とはサーバで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末(例えば、パーソナルコンピュータ等)が接続されることとなる。
The communication monitoring device 4 is connected to a network. However, if the receiving computer 3 is a server or the like, the server may be used as the communication monitoring device 4.
In this case, reception means reception of communication for the port assigned by the server, and reception for determination is not included. When the receiving computer 3 is a provider-owned mail server, a mail receiving terminal (for example, a personal computer) is connected through another Internet line.

通常、送信側コンピュータ2から送信されるパケットは、図2(A)に示すように、その通信を構成するパケットのパケットデータフォーマット10のヘッダ部11に、送信元アドレスに相当するSourceアドレス12と送信先アドレス(受信側アドレス)に相当するDestinationアドレス13とが含まれている。   Usually, as shown in FIG. 2 (A), a packet transmitted from the transmitting computer 2 has a source address 12 corresponding to a transmission source address in the header part 11 of the packet data format 10 of the packet constituting the communication. A Destination address 13 corresponding to a transmission destination address (reception side address) is included.

通信監視装置4は、送信された値の数若しくはパケット数と、Sourceアドレス12の件数とを監視する。   The communication monitoring device 4 monitors the number of transmitted values or the number of packets and the number of cases of the source address 12.

例えば、通常の送受信を想定した場合、送信元コンピュータ2から受信側コンピュータ3に送信される値の数は1件であり、例え、他の送信側コンピュータ(図示せず)から略同時期に他の通信が受信側コンピュータ3に送信されたとしても、その値の数とSourceアドレス12とは1対1で比例して増える。   For example, when normal transmission / reception is assumed, the number of values transmitted from the transmission source computer 2 to the reception side computer 3 is one, for example, from another transmission side computer (not shown) at about the same time. Is transmitted to the receiving computer 3, the number of values and the source address 12 increase in a one-to-one proportion.

また、例えば、特定の通常の通信が偶然大容量となることがあり得る。この場合、従来の通信量に基づく検知では、その量だけを問題として、不正であると誤って判断されることがある。   Further, for example, a specific normal communication may accidentally become a large capacity. In this case, in the detection based on the conventional communication amount, it may be erroneously determined that it is illegal only with that amount as a problem.

この問題は、多くの通信が集まる人気のあるコンテンツを運用するサーバでは特に顕著な問題となり、通常の通信と(D)DoS攻撃を識別することが非常に困難となる。   This problem is particularly prominent in servers that operate popular content where many communications gather, and it is very difficult to distinguish between normal communications and (D) DoS attacks.

このような場合、メール監視装置4では、図2(B)のピークP1に示すように、通信量としては通常の通信量よりも多い件数のパケットが送信されてきた判定する。   In such a case, the mail monitoring device 4 determines that a larger number of packets than the normal communication amount have been transmitted as indicated by the peak P1 in FIG.

しかしながら、各パケットのSourceアドレス12は共通、あるいは特定のグループで占められることから、そのパケットを正式に受信する。尚、カテゴリ数が所定数以内であった場合(例えば、10件未満)に、その受信を許容するようにしても良い。   However, since the source address 12 of each packet is common or occupied by a specific group, the packet is officially received. In addition, when the number of categories is within a predetermined number (for example, less than 10), the reception may be permitted.

一方、実際には1台の送信側コンピュータ2から送信されたパケットでありながら、送信元アドレス(Sourceアドレス12)をランダムに偽装して大量のパケットを受信側コンピュータ3に送信してきた場合、通信監視装置4では、図2(B)及び図2(C)のピークP2,P3に示すように、通信量(若しくはパケット数)が通常の通信の送受信のときよりも多くなると同時に、その各パケットのSourceアドレス12も略同時期に増大することになる。   On the other hand, in the case where a large number of packets are transmitted to the receiving computer 3 with the source address (Source address 12) disguised at random, although the packets are actually transmitted from one transmitting computer 2, communication is performed. In the monitoring device 4, as indicated by the peaks P2 and P3 in FIGS. 2B and 2C, the amount of communication (or the number of packets) becomes larger than that during normal communication transmission and reception, and at the same time, each of the packets. The source address 12 of the source also increases at substantially the same time.

従って、通信量(若しくはパケット数)が所定数(例えば、100件)を越えた際、Sourceアドレス12の数も略同時期に所定数(例えば、90件)若しくは所定率(例えば、パケットの数に対して90%)を超えた場合には、その受信を拒否する。   Therefore, when the traffic (or the number of packets) exceeds a predetermined number (for example, 100), the number of source addresses 12 is also a predetermined number (for example, 90) or a predetermined rate (for example, the number of packets) at substantially the same time. If it exceeds 90%), the reception is rejected.

尚、このような一斉同時送信に対応した一定時間内に送信されてきた通信の件数(若しくはパケット数)の所定数並びにSourceアドレス数の所定数の設定は、サーバーの処理能力やネットワークの容量に応じたり、受信側コンピュータ3の所有者の業種等に応じたりして設定することができる。   It should be noted that the setting of the predetermined number of communication cases (or the number of packets) transmitted within a certain time corresponding to simultaneous simultaneous transmission and the predetermined number of source addresses depends on the processing capacity of the server and the capacity of the network. Or according to the type of business of the owner of the receiving computer 3.

例えば、受信側コンピュータ3の所有者の業種がインターネット検索サービスやチケット販売等であった場合、多くの人の検索要求や人気のある旅行プランやイベント内容に対するアクセスが殺到するといったことが想定される。   For example, when the type of business of the owner of the receiving computer 3 is an Internet search service or ticket sales, it is assumed that many people are flooded with access to search requests, popular travel plans, and event contents. .

従って、これらの業種等では、日常的に通信量も多いことが想定できるため、その平均的な受信件数を考慮して所定値(件数等)を設定すればよい。   Accordingly, in these industries, it can be assumed that there is a large amount of communication on a daily basis. Therefore, a predetermined value (number of cases) may be set in consideration of the average number of received cases.

また、このようなアクセスが殺到した場合であっても、(D)DoS攻撃に相当するような全く同じ時間(瞬間的)に大量の情報が送信されてくることは想定されるが、判定のための一定時間の設定を短くするといった設定変更でも対応は可能である。   In addition, even if there is a flood of such access, it is assumed that a large amount of information will be sent at the exact same time (instantaneous) equivalent to a (D) DoS attack. Therefore, it is possible to cope with setting changes such as shortening the setting for a certain period of time.

また、不正攻撃元探索もできる。   In addition, it is possible to search for illegal attack sources.

また、特定のサーバが近隣にない、ネットワークの中間点であっても判定された不正攻撃先を割りだすことができる。   Further, it is possible to determine the determined illegal attack destination even if the specific server is not in the vicinity and is an intermediate point of the network.

1…インターネット回線
2…送信側コンピュータ
3…受信側コンピュータ
4…通信監視装置(判定手段)
DESCRIPTION OF SYMBOLS 1 ... Internet line 2 ... Transmission side computer 3 ... Reception side computer 4 ... Communication monitoring apparatus (determination means)

Claims (3)

インターネット回線を通じて送信されてきたパケットのヘッダ内に在る個々のフィールドから2つ以上のフィールド{F1,・・・,Fn}(n:2以上の自然数)を監視対象に設定し、監視対象フィールドの値として前記フィールド{F1,・・・,Fn}の値を組み合わせたものを構成し、前記監視対象フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する不正情報検知システムであって、
Fx(1≦x≦n)に「送信元アドレス」フィールドを設定した場合、Fxの値の数が2以上で且つ前記監視対象フィールドの値の数が一定時間内で所定数に達した場合に(D)Dosによる不正攻撃を検出することを特徴とする不正情報検知システム
Two or more fields {F1,..., Fn} (n: a natural number of 2 or more) are set as monitoring targets from the individual fields in the header of the packet transmitted through the Internet line, and the monitoring target field Is configured by combining the values of the fields {F1,..., Fn}, and when the number of values of the monitored field reaches a predetermined number within a predetermined time, an illegal attack is performed. it determined that an illegal information detection system,
When the “source address” field is set to Fx (1 ≦ x ≦ n), when the number of Fx values is 2 or more and the number of values of the monitored field reaches a predetermined number within a certain time (D) An unauthorized information detection system characterized by detecting an unauthorized attack by Dos .
インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システム。   It is characterized in that it is determined that an unauthorized attack is being performed when the number of hops based on the TTL value in the header of a packet transmitted through the Internet line is out of a predetermined value range. The unauthorized information detection system according to claim 1. 請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。   A fraud attack source search system characterized in that the fraud information detection system according to claim 1 or 2 is installed at a plurality of locations on the Internet to search for a fraud attack transmission source.
JP2009185173A 2004-02-02 2009-08-07 Unauthorized information detection system and unauthorized attack source search system Expired - Lifetime JP4914468B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009185173A JP4914468B2 (en) 2004-02-02 2009-08-07 Unauthorized information detection system and unauthorized attack source search system

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2004025015 2004-02-02
JP2004025015 2004-02-02
JP2004267519 2004-09-14
JP2004267519 2004-09-14
JP2009185173A JP4914468B2 (en) 2004-02-02 2009-08-07 Unauthorized information detection system and unauthorized attack source search system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004307953A Division JP4484663B2 (en) 2004-02-02 2004-10-22 Unauthorized information detection system and unauthorized attack source search system

Publications (2)

Publication Number Publication Date
JP2010004552A JP2010004552A (en) 2010-01-07
JP4914468B2 true JP4914468B2 (en) 2012-04-11

Family

ID=41585800

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009185173A Expired - Lifetime JP4914468B2 (en) 2004-02-02 2009-08-07 Unauthorized information detection system and unauthorized attack source search system
JP2009273474A Expired - Lifetime JP4852139B2 (en) 2004-02-02 2009-12-01 Unauthorized information detection system and unauthorized attack source search system

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009273474A Expired - Lifetime JP4852139B2 (en) 2004-02-02 2009-12-01 Unauthorized information detection system and unauthorized attack source search system

Country Status (1)

Country Link
JP (2) JP4914468B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016031384A1 (en) * 2014-08-27 2016-03-03 日本電気株式会社 Communication system, management apparatus, communication apparatus, method, and program
CN106411934B (en) 2016-11-15 2017-11-21 平安科技(深圳)有限公司 DoS/DDoS attack detection methods and device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002124996A (en) * 2000-10-13 2002-04-26 Yoshimi Baba Fast packet acquiring engine/security
JP3584877B2 (en) * 2000-12-05 2004-11-04 日本電気株式会社 Packet transfer control device, packet transfer control method, and packet transfer control system
JP3819364B2 (en) * 2001-04-27 2006-09-06 株式会社エヌ・ティ・ティ・データ Packet tracking system
JP3892322B2 (en) * 2002-03-04 2007-03-14 三菱電機株式会社 Unauthorized access route analysis system and unauthorized access route analysis method
JP3792654B2 (en) * 2003-01-07 2006-07-05 Necアクセステクニカ株式会社 Network connection apparatus and unauthorized access prevention method
JP2005193590A (en) * 2004-01-09 2005-07-21 Canon Inc Printing device

Also Published As

Publication number Publication date
JP2010051031A (en) 2010-03-04
JP4852139B2 (en) 2012-01-11
JP2010004552A (en) 2010-01-07

Similar Documents

Publication Publication Date Title
JP4484663B2 (en) Unauthorized information detection system and unauthorized attack source search system
JP2006115432A5 (en)
US10284594B2 (en) Detecting and preventing flooding attacks in a network environment
US7926108B2 (en) SMTP network security processing in a transparent relay in a computer network
Collins et al. Using uncleanliness to predict future botnet addresses
US7921462B2 (en) Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
US8201252B2 (en) Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
Pham et al. Detecting colluding blackhole and greyhole attacks in delay tolerant networks
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
JP5015014B2 (en) Traffic analysis / diagnosis device, traffic analysis / diagnosis system, and traffic tracking system
CN107124434B (en) Method and system for discovering DNS malicious attack traffic
US20060130147A1 (en) Method and system for detecting and stopping illegitimate communication attempts on the internet
US20070226802A1 (en) Exploit-based worm propagation mitigation
CN110166480A (en) A kind of analysis method and device of data packet
JP4914468B2 (en) Unauthorized information detection system and unauthorized attack source search system
Vincent et al. A survey of IP traceback mechanisms to overcome denial-of-service attacks
Kumar et al. Enhanced DDOS Attack Detection Algorithm to Increase Network Lifetime in Cloud Environment
KR101322692B1 (en) Method and system for detecting botnet transmitting spam mail
Collins et al. Predicting future botnet addresses with uncleanliness
Yen et al. Dynamic probabilistic packet marking with partial non-preemption
Hong et al. DDoS attack defense architecture using active network technology

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110407

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110713

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111012

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20111019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120120

R150 Certificate of patent or registration of utility model

Ref document number: 4914468

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250