JP5015014B2 - トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム - Google Patents

トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム Download PDF

Info

Publication number
JP5015014B2
JP5015014B2 JP2007553983A JP2007553983A JP5015014B2 JP 5015014 B2 JP5015014 B2 JP 5015014B2 JP 2007553983 A JP2007553983 A JP 2007553983A JP 2007553983 A JP2007553983 A JP 2007553983A JP 5015014 B2 JP5015014 B2 JP 5015014B2
Authority
JP
Japan
Prior art keywords
packet
traffic
network
field
traffic analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007553983A
Other languages
English (en)
Other versions
JPWO2007081023A1 (ja
Inventor
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
Original Assignee
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Solutions Inc filed Critical Cyber Solutions Inc
Priority to JP2007553983A priority Critical patent/JP5015014B2/ja
Publication of JPWO2007081023A1 publication Critical patent/JPWO2007081023A1/ja
Application granted granted Critical
Publication of JP5015014B2 publication Critical patent/JP5015014B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【技術分野】
【0001】
本発明は、ネットワークトラヒックから収集したパケット情報を基にしてネットワークトラヒックを分析し診断する技術に関するものである。
【背景技術】
【0002】
通信回線に伝送されている情報量であるトラヒック量を測定し、ネットワークトラヒックを統計的に分析する手法としてカテゴリ変換(Category Transform)が有効であることが、特許文献1で紹介されている。この手法は、DoS (Denial of Services) 攻撃やDDoS (Distributed Denial of Services) 攻撃などの不正アクセスを検出するのに有効であることが述べられている。
【0003】
(D)DoS攻撃の特徴として、パケットのヘッダ部分に含まれるSourceアドレス(送信元アドレス)を偽造して甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまうことなどがある。特に(D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難であり、従来技術では高い検出精度は期待できなかった。
【0004】
そこでカテゴリ変換手法では、パケットのヘッダ領域のフィールド値により分類したものをカテゴリと定義し、パケットが属するカテゴリの数に着目し、パケットの数の分布からカテゴリの数の分布を作成する。ここでカテゴリの例として、例えば「プロトコル領域がTCPであるパケット全て」などがある。
【0005】
カテゴリ変換を用いてパケットの数を測定し、それぞれのカテゴリ単位にパケットの数が所定の値となった場合に、ネットワーク上で異常が発生していると判定することにより、不正アクセスの検出精度の向上が図られている。
【0006】
【特許文献1】
国際公開番号WO 2005/074215 A1
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら特許文献1では、パケットの種類を分類せずに全てのパケットを包括して監視し判定基準を設けているため、アドレスの数が非常に小さな変化しかない小規模の(D)DoS攻撃や、WINNYのような数個のアドレスを使用する特殊なアプリケーションを検出することは難しく、検出対象を見逃す可能性があった。つまりネットワークトラヒックが高負荷状態のときには、ネットワーク上のパケットの全体量も増加するため、その時にある特定のアプリケーションについてパケットの数の変動を検出できない可能性があった。
[0008]
本発明は、上記問題を解決するため、ネットワーク上に設置した観測点を通過するパケットについてパケット種別の分類ごとにパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合にはネットワーク上に異常が発生していると判定すること、すなわちパケットを幾つかのグループ(例えばアプリケーション種別)に分類し、それぞれのグループごとにカテゴリ変換を実行することにより、(D)DoS攻撃などの不正アクセスについて容易にかつ精度よく検出することが可能なトラヒック分析診断装置およびトラヒック分析診断システム、並びにトラヒック追跡システムを提供することを目的とする。
課題を解決するための手段
【0009】
上記目的を達成するため、請求項1に記載のトラヒック分析診断装置は、ネットワークトラヒックから収集したパケット情報を基にしてネットワークトラヒックを分析し診断するためのトラヒック分析診断装置であって、パケットをプロトコル種別やポート番号等によりk通り(k:1以上の自然数)に分類したものをパケット種別とし、ネットワーク上に設置した観測点を通過するパケットについてパケット種別ごとにパケットのヘッダ部分の特定フィールドの値の数を監視する手段と、パケット種別ごとにパケットのペイロード部分の特定フィールドの値の数を監視する手段と、パケットのヘッダ部分のフィールドおよびペイロード部分のフィールドから2つ以上の任意のフィールドを監視対象フィールドに設定し、その2つ以上の監視対象フィールドの値の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定率に達した場合にはネットワーク上に異常状態が発生していると判断する診断手段と、を有することを特徴とする。ここで、ヘッダ部分のフィールドの値としては、IPv4 (Internet
Protocol Version 4) の場合、例えば次のものがある。
・バージョン
・ヘッダ長
・サービスタイプ
・パケット長
・識別子
・フラグ
・フラグメントオフセット
・Time to Live
・プロトコル
・ヘッダチェックサム
・送信元IPアドレス
・送信先IPアドレス
・オプション
・送信元ポート番号
・送信先ポート番号
ペイロード部分のフィールドの値については、プロトコル種別等により決められる。
[0010]
[0011]
請求項2に記載のトラヒック分析診断装置は、前記所定率が下記のいずれかの条件により算出されることを特徴とする。
(a)時刻tから一定時間内におけるフィールドの値の数N(t)が、任意の時点tから一定時間内におけるフィールドの値の数N(t)と比較してk倍(k:予め定めた閾値)以上に なった場合、すなわち比率がN(t)/N(t)≧kとなった場合に異常と判定する。
(b)時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t)との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k以上になった場合、すなわちN(t)/P(t)≧kとなった場合に異常と判定する。
(c)上記(b)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点tの比率N(t)/P(t)と比較してk倍(k:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)}/{N(t)/P(t)}≧kとなった場合に異常と判定する。
(d)時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k以上になった場合、すなわちN(t)/T(t)≧kとなった場合に異常と判定する。
(e)上記(a)〜(d)の所定率が、予め定めた閾値k以下になった場合に異常と判定する。
【0013】
請求項に記載のトラヒック分析診断装置は、請求項1乃至請求項2に記載のトラヒック分析診断装置において、前記診断手段はパケットのヘッダ部分にあるTTL値に基づいたホップ数が予め定めた所定の値の範囲から外れた場合にはネットワーク上に異常状態が発生していると判断する手段を有することを特徴とする。
【0014】
請求項に記載のトラヒック分析診断装置は、請求項1に記載のトラヒック分析診断装置において、前記診断手段はパケット種別ごとにパケットのヘッダ部分のフィールドおよびペイロード部分のフィールドから2つ以上の任意のフィールドを監視対象フィールドに設定し、その2つ以上の監視対象フィールドの値の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合にはネットワーク上に異常状態が発生していると判断する手段を有することを特徴とする。
[0015]
【0016】
請求項に記載のトラヒック分析診断システムは、ネットワークトラヒックから収集したパケット情報を基にしてネットワークトラヒックを分析し診断するためのトラヒック分析診断システムであって、請求項1乃至請求項に記載のトラヒック分析診断装置を、ネットワーク上のパケットが通過するルートに設置した構成を有することを特徴とする。
【0017】
請求項に記載のトラヒック追跡システムは、ネットワークを介して行われる不正アクセスの送信元を追跡するためのトラヒック追跡システムであって、請求項1乃至請求項に記載のトラヒック分析診断装置を、ネットワークの複数の観測点に設置した構成を有すると共に、不正アクセスが検出された複数の観測点におけるデータの類似性を比較評価して不正アクセスの指向性を検出することにより不正アクセスの送信元を追跡することを特徴とする。
【0018】
請求項1に係る発明によれば、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分またはペイロード部分のあるフィールドの値の数を監視すること、すなわちパケットを幾つかのグループ(例えばアプリケーション種別)に分類して監視するため、アドレスの数が非常に小さな変化しかない小規模の(D)DoS攻撃や、WINNYのような数個のアドレスを使用する特殊なアプリケーションを検出することが可能となり、検出対象を見逃すことは少なくなり、不正アクセスの検出精度が向上する。さらに不正アクセスを検出した場合に、アプリケーション種別が特定できているため、従来よりも迅速な対処が可能となる。またネットワークのリンク切れなどの通信障害や、アプリケーション異常によるサービス停止についても容易に検出することができ、トラブル発生後の迅速な対処が可能となる。さらに、2つ以上の任意の組合せをフィールドの値として用いることにより、不正アクセスを検出する精度をさらに向上させることが可能となる。
[0019]
請求項2に係る発明によれば、不正アクセスを検知する判定基準として(a)〜(e)に示す所定率を用いているため、閾値の設定が容易になり、不正アクセスを検出する精度を向上させることが期待できる。
【0021】
請求項に係る発明によれば、ヘッダ部分のTTL値に基づくHOP数は、ある送信元情報が示された場合にほぼ決まっており、それが所定の値の範囲から外れた場合には不正アクセスと判別することが可能となる。
【0022】
請求項に係る発明によれば、不正アクセスを検出する判定基準として、所定率の代わりに所定数を用いることにより、計算処理によるオーバヘッドの負荷を軽減することができる。さらにフィールドの値として一つだけではなく、2つ以上のフィールドの値について任意の組合せをフィールドの値として構成することにより、不正アクセスを検出する精度を向上することができる。
【0023】
請求項に係る発明によれば、トラヒック分析診断装置を、ネットワーク上のパケットが通過するルートに設置した構成とすることにより、(D)DoS攻撃のような不正アクセスを高精度に、かつ自動的に検出することが可能となる。さらに不正アクセスを検出した場合に、アプリケーションが特定できているため、従来よりも迅速な対処が可能となる。
【0024】
請求項に係る発明によれば、トラヒック分析診断装置をネットワークの複数の観測点に設置した構成とすることにより、各観測点のトラヒック分析診断装置が検出したデータの類似性を比較評価して不正アクセスの指向性を検出することが可能となり、不正アクセスの送信元を追跡することができる。
【図面の簡単な説明】
【0025】
【図1】本発明の実施の形態に係るトラヒック分析診断システムの構成を示す概略図である。
【図2】本発明の実施の形態に係るトラヒック分析診断システムが監視するパケットのデータ形式を説明する図である。
【図3】本発明の実施の形態に係るトラヒック追跡システムの構成を示す概略図である。
【符号の説明】
【0026】
101 パソコン(IP Address:100.100.100.1)
102 パソコン(IP Address:100.100.100.2)
103 パソコン(IP Address:100.100.100.3)
104 ルータ
105 トラヒック分析診断装置
【発明を実施するための最良の形態】
【0027】
次に、本発明の実施の形態に係るトラヒック分析診断システムについて図面に基づいて説明する。なお、この実施の形態により本発明が限定されるものではない。
【0028】
図1は、本発明の実施の形態に係るトラヒック分析診断システムの構成を示す概略図である。図1に示すように、トラヒック分析診断システムは、トラヒック分析診断装置105を、外部ネットワークから送信されてきたパケットが通過するルートに設置した構成を有する。ルータ104は、外部ネットワークから送信されてきたパケットを送信先IPアドレスにより、各機器に振分けを行う。図1の例では、送信先IPアドレスが(100.100.100.1)のパケットをパソコン101に、送信先IPアドレスが(100.100.100.2)のパケットをパソコン102に、送信先IPアドレスが(100.100.100.3)のパケットをパソコン103に振分けを行う。
【0029】
トラヒック分析診断装置105は、パケットをプロトコル種別やポート番号等によりk通りに分類したものをパケット種別とし、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分のあるフィールドの値の数を監視する手段と、パケット種別ごとにパケットのペイロード部分の特定フィールドの値の数を監視する手段とを有する共に、パケット種別ごとに前記フィールドの値の数の変動を分析することによりネットワークトラヒックの診断を行う。ここでkは1以上の自然数であり、アプリケーション種別とも言える。例えば図1の例では、Mail用パケット、Web用パケット、FTP用パケットに分類して、パケットのヘッダ内のあるフィールドの値の数を監視することになる。
【0030】
フィールドの値の数は定常状態においては一定の範囲内にあり、大きく変動することがあればネットワーク上に異常状態が発生していると判断することができる。したがってトラヒック分析診断装置105は、パケット種別のk通りの分類ごとに、パケットのヘッダ部分またはペイロード部分にあるフィールドの値の数が一定時間内で所定率に達した場合にはネットワーク上に異常状態が発生していると判定する。
【0031】
またパケットのデータ形式(プロトコル種別がTCPの場合)は図2に示す通りであり、 IPヘッダおよびTCPヘッダを構成するフィールド項目も図2に示す通りである。その中で本システムが用いるヘッダ部分のフィールド項目(フィールドの値)としては、IPv4 (Internet Protocol Version 4) の場合、例えば次のものがある。
・バージョン
・ヘッダ長
・サービスタイプ
・パケット長
・識別子
・フラグ
・フラグメントオフセット
・Time to Live
・プロトコル
・ヘッダチェックサム
・送信元IPアドレス
・送信先IPアドレス
・オプション
・送信元ポート番号
・送信先ポート番号
例えばフィールドの値が「送信元IPアドレス」として、区別できる発信元IPアドレスとして、 (100.100.100.1),(100.100.100.2),(100.100.100.3)があった場合、フィールドの値の数は3となる。またペイロード部分のフィールドの値については、プロトコル種別等により決められる。
【0032】
ここで不正アクセスの一例としてDoS攻撃は、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法であり、次のような特徴を有している。例えば、ヘッダ部分にあるフィールドの値の一つである送信元IPアドレスは、パケットフィルタリングによりDoS攻撃がブロックされないように、偽造されている(偽のアドレスが用いられている)ことが多く、ランダムに選択されていることが一般的である。
【0033】
トラヒック分析診断装置105では、例えばフィールドの値が「送信元IPアドレス」として、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分の「送信元IPアドレス」の値の数を監視する。もし攻撃者がランダムに送信元IPアドレスを選択しているならば、観測される送信元IPアドレスの数も増加しているはずである。ある一定時間間隔では、1個の送信元IPアドレスに対して、そのような送信元IPアドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に1個の(偽造された)送信元IPアドレスに対して、攻撃パケットは1個しか観測されない。このため「送信元IPアドレス」の値の数は一定時間内で所定率に達することになり、DoS攻撃が行われていることを検知することができる。
【0034】
またトラヒック分析診断装置105では、パケットをプロトコル種別やポート番号等によりk通りに分類したものをパケット種別とし、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分またはペイロード部分にあるフィールドの値の数を監視することにより、アプリケーション単位で監視することが可能になる。すなわち、ネットワークトラヒックが高負荷状態になった際には、外部ネットワークから送信されてくるパケットの全体量も増加し、さらにアプリケーションごとのパケット量にもバラツキがでてくるが、アプリケーション単位で監視しているため、通信量の少ない特定のアプリケーションで (D)DoS攻撃のような不正アクセスがあった場合にも不正アクセスの検知を見逃すことはなくなる。
【0035】
例えば、「送信元IPアドレス」の値の数を、Mail用パケット「SMTP」、Web用パケット「HTTP」、および「その他」に分類して監視した場合の例を下表に示す。
【0036】
【表1】
Figure 0005015014
【0037】
表1の例では、10:03〜10:04の時間帯に「その他」パケットについて「送信元IPアドレス」の値の数が通常時の10倍以上に増加しており、明らかに不正アクセスがあったものと判別できる。しかし、全体のパケットについては数%程度の増加に留まっており、全体のパケットを監視して「送信元IPアドレス」の値の数の変動を分析し診断すると、不正アクセスを見逃す可能性があることがわかる。
【0038】
以上から、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分またはペイロード部分にあるフィールドの値の数を監視することにより、アプリケーション単位で監視することが可能になり、通信量の少ないアプリケーションで (D)DoS攻撃のような不正アクセスがあった場合にも不正アクセスの検知を見逃すことは少なくなる。さらに不正アクセスを検知した場合に、アプリケーションが特定できているため、従来よりも迅速な対処が可能となる。
【0039】
次に、トラヒック分析診断装置105が所定率を判定する基準について説明する。所定率の基準として、下記のいずれかの条件を用いて判定する。
(a)時刻tから一定時間内におけるフィールドの値の数N(t)が、任意の時点t1から一定時間内におけるフィールドの値の数N(t1)と比較してk1倍(k1:予め定めた閾値)以上になった場合、すなわち比率がN(t)/ N(t1)≧k1となった場合に異常と判定する。
(b)時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t) との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に異常と判定する。
(c)上記(b)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/ P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に異常と判定する。
(d)時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に異常と判定する。
(e)上記(a)〜(d)の所定率が、予め定めた閾値k5以下になった場合に異常と判定する。
【0040】
上記(a)〜(e)の判定基準については、トラヒック分析診断装置105を設置するネットワーク環境に応じて最適な判定基準を選ぶことが必要となってくる。ネットワーク環境の規模や目的などに応じて最適な判定基準を選ぶことにより、高精度に不正アクセスを検知することが可能となる。
【0041】
次に、トラヒック分析診断装置105が、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分またはペイロード部分にあるフィールドの値の数を監視し、パケット種別ごとに前記フィールドの値の数が一定時間内で所定率に達した場合には不正アクセスが行われていると判定する場合に、フィールドの値として一つだけではなく、2つ以上のフィールドの値について任意の組合せをフィールドの値として構成することが挙げられる。
【0042】
前記の説明中では「送信元IPアドレス」を取り上げたが、例えば「送信元IPアドレス」と「送信元IPポート番号」の組合せをフィールドの値として構成し、前記で説明した(a)〜(e)の判定基準を用いて判定する。2つ以上の任意の組合せをフィールドの値として用いることにより、不正アクセスを検知する精度を向上させることが可能となる。
【0043】
また、上記(a)〜(e)の判定基準に加えて、外部ネットワークから送信されてきたパケットのヘッダ部分にあるTTL(Time to Live)値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合にはネットワーク上に異常状態が発生していると判定することにより、不正アクセスを検知する精度をさらに向上させることができる。
【0044】
ここでTTL(Time to Live)値は、情報の無限循環を防止するためにあり、ヘッダ中のTTL値に基づきHOP数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合、HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、その情報が不正情報であるか否かを判別することができる。
【0045】
以上で説明したように、トラヒック分析診断装置105は、ネットワークトラヒックの診断を行う手段として、パケット種別ごとに前記フィールドの値の数が一定時間内で所定率に達した場合にはネットワーク上に異常状態が発生していると判定する手段を有しているが、さらにネットワークトラヒックの診断を行う手段として、パケット種別ごとにパケットのヘッダ部分またはペイロード部分にある2つ以上のフィールドの値について任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合にはネットワーク上に異常状態が発生していると判定する手段を有している。すなわちパケット種別のk通りの分類ごとに、パケット内のフィールドの値の数が一定時間内で所定数に達した場合にはネットワーク上に異常状態が発生していると判定する場合に、フィールドの値として一つだけではなく、2つ以上のフィールドの値について任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合にはネットワーク上に異常状態が発生していると判定する。
【0046】
不正アクセスを検出する判定基準として、所定率の代わりに所定数を用いることにより、計算処理によるオーバヘッドの負荷を軽減することができる。さらにフィールドの値として一つだけではなく、2つ以上のフィールドの値について任意の組合せをフィールドの値として構成することにより、不正アクセスを検出する精度を向上することができる。
【0047】
さらに上記判定条件に加えて、外部ネットワークから送信されてきたパケットのヘッダ部分にあるTTL(Time to Live)値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正アクセスが行われていると判定することにより、不正アクセスを検知する精度を上げることが可能である。
【0048】
次に、本発明の実施の形態に係るトラヒック追跡システムについて図面に基づいて説明する。図3は、本発明の実施の形態に係るトラヒック追跡システムの構成を示す概略図である。
【0049】
図3に示すように、トラヒック追跡システムは、トラヒック分析診断装置を、ネットワークの複数の観測点に設置した構成を有する。図3に示す例では、観測点A〜Hにおいてトラヒック分析診断装置が検出したデータの類似性を比較評価して不正アクセスの指向性を検出することにより不正アクセスの発信元を追跡する。
【0050】
すなわち観測点A〜Hのトラヒック分析診断装置は、パケット種別ごとにパケットのヘッダ部分またはペイロード部分にあるフィールドの値の数を監視する際に同一のフィールドを対象とすること、および不正アクセスを検知する判定基準も同じにすることにより、複数の観測点で不正アクセスが検知された場合に、判定の根拠となった数値同士を比較して類似性を評価し、不正アクセスの指向性を検出することが可能となる。例えば、観測点Aと観測点Bで不正アクセスが検知された場合、判定の根拠が両方ともにFTPアプリケーションの「送信元IPアドレス」の数であり、算出した判定数値も類似していれば、不正アクセスはFTPアプリケーションを利用して観測点Aと観測点Bとを通過した事実を証明することができる。
【0051】
以上から、トラヒック分析診断装置をネットワークの複数の観測点に設置した構成とすることにより、各観測点のトラヒック分析診断装置が検出したデータの類似性を比較評価して不正アクセスの指向性を検出することが可能となり、不正アクセスの送信元を追跡することができる。
【産業上の利用可能性】
【0052】
近年、ネットワーク利用環境が大規模化しインターネットを中心に情報ネットワーク社会が形成されていく中で、ネットワークセキュリティは必要不可欠のものになってきており、セキュリティ関連のツールが多くのベンダーやソフトハウスからリリースされ、多くの企業や大学などで利用されているが、本発明は、(D)DoS攻撃などの不正アクセスについて容易にかつ精度よく検出する技術を提供するものであり、前記セキュリティ関連のツールに本発明の技術を利用することが可能である。本発明は、外部ネットワークから送信されてきたパケットについてパケット種別ごとにパケットのヘッダ部分またはペイロード部分のあるフィールドの値の数を監視すること、すなわちパケットを幾つかのグループ(例えばアプリケーション種別)に分類して監視することで、アドレスの数が非常に小さな変化しかない小規模の(D)DoS攻撃や、WINNYのような数個のアドレスを使用する特殊なアプリケーションを検出することが可能となり、検出対象を見逃すことが少なくなり、不正アクセスの検出精度が向上する。
また不正アクセスを検出した場合に、アプリケーション種別が特定できているため、従来よりも迅速な対処が可能となるとともに、ネットワークのリンク切れなどの通信障害や、アプリケーション異常によるサービス停止についても容易に検出することができ、トラブル発生後の迅速な対処が可能となる。
また不正アクセスの検出精度については、不正アクセスを検知する判定基準に所定率を用いること、および2つ以上の任意の組合せをフィールドの値として用いることにより、不正アクセスの検出精度を従来よりも向上させることができる。
さらに本発明のトラヒック分析診断装置をネットワークの複数の観測点に設置することにより、各観測点のトラヒック分析診断装置が検出したデータの類似性を比較評価して不正アクセスの指向性を検出することが可能となり、不正アクセスの送信元を追跡することが可能となる。

Claims (6)

  1. ネットワークトラヒックから収集したパケット情報を基にしてネットワークトラヒックを分析し診断するためのトラヒック分析診断装置であって、パケットをプロトコル種別やポート番号等によりk通り(k:1以上の自然数)に分類したものをパケット種別とし、ネットワーク上に設置した観測点を通過するパケットについてパケット種別ごとにパケットのヘッダ部分の特定フィールドの値の数を監視する手段と、パケット種別ごとにパケットのペイロード部分の特定フィールドの値の数を監視する手段と、パケットのヘッダ部分のフィールドおよびペイロード部分のフィールドから2つ以上の任意のフィールドを監視対象フィールドに設定し、その2つ以上の監視対象フィールドの値の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定率に達した場合にはネットワーク上に異常状態が発生していると判断する診断手段と、を有することを特徴とするトラヒック分析診断装置。
  2. 前記所定率は下記のいずれかの条件により算出されることを特徴とする請求項に記載のトラヒック分析診断装置。
    (a) 時刻tから一定時間内におけるフィールドの値の数N(t)が、任意の時点t1から一定時間内におけるフィールドの値の数N(t1)と比較してk1倍(k1:予め定めた閾値)以上になった場合、すなわち比率がN(t)/ N(t1)≧k1となった場合に異常と判定する。
    (b) 時刻tから一定時間内におけるフィールドの値の数N(t)とパケット数P(t) との比率N(t)/P(t)を求めて、該比率が予め定めた閾値k2以上になった場合、すなわちN(t)/ P(t)≧k2となった場合に異常と判定する。
    (c) 上記(b)で求めた時刻tにおける比率N(t)/P(t)が、任意の時点t1の比率N(t1)/
    P(t1)と比較してk3倍(k3:予め定めた閾値)以上になった場合、すなわち{N(t)/P(t)} / {N(t1)/P(t1)}≧k3となった場合に異常と判定する。
    (d) 時刻tから一定時間内におけるフィールドの値の数N(t)と通信量(オクテット数/ビット数)T(t)との比率N(t)/T(t)を求めて、該比率が予め定めた閾値k4以上になった場合、すなわちN(t)/ T(t)≧k4となった場合に異常と判定する。
    (e) 上記(a)〜(d)の所定率が、予め定めた閾値k5以下になった場合に異常と判定する。
  3. 請求項1乃至請求項2に記載のトラヒック分析診断装置において、前記診断手段はパケットのヘッダ部分にあるTTL値に基づいたホップ数が予め定めた所定の値の範囲から外れた場合にはネットワーク上に異常状態が発生していると判断する手段を有することを特徴とする請求項1乃至請求項2に記載のトラヒック分析診断装置。
  4. 請求項1に記載のトラヒック分析診断装置において、前記診断手段はパケット種別ごとにパケットのヘッダ部分のフィールドおよびペイロード部分のフィールドから2つ以上の任意のフィールドを監視対象フィールドに設定し、その2つ以上の監視対象フィールドの値の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合にはネットワーク上に異常状態が発生していると判断する手段を有することを特徴とする請求項1に記載のトラヒック分析診断装置。
  5. ネットワークトラヒックから収集したパケット情報を基にしてネットワークトラヒックを分析し診断するためのトラヒック分析診断システムであって、請求項1乃至請求項4に記載のトラヒック分析診断装置を、ネットワーク上のパケットが通過するルートに設置した構成を有することを特徴とするトラヒック分析診断システム。
  6. ネットワークを介して行われる不正アクセスの送信元を追跡するためのトラヒック追跡システムであって、請求項1乃至請求項4に記載のトラヒック分析診断装置を、ネットワークの複数の観測点に設置した構成を有すると共に、不正アクセスが検出された複数の観測点におけるデータの類似性を比較評価して不正アクセスの指向性を検出することにより不正アクセスの送信元を追跡することを特徴とするトラヒック追跡システム。
JP2007553983A 2006-01-16 2007-01-16 トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム Expired - Fee Related JP5015014B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007553983A JP5015014B2 (ja) 2006-01-16 2007-01-16 トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2006007349 2006-01-16
JP2006007349 2006-01-16
JP2007553983A JP5015014B2 (ja) 2006-01-16 2007-01-16 トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
PCT/JP2007/050512 WO2007081023A1 (ja) 2006-01-16 2007-01-16 トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム

Publications (2)

Publication Number Publication Date
JPWO2007081023A1 JPWO2007081023A1 (ja) 2009-06-11
JP5015014B2 true JP5015014B2 (ja) 2012-08-29

Family

ID=38256424

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007553983A Expired - Fee Related JP5015014B2 (ja) 2006-01-16 2007-01-16 トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム

Country Status (3)

Country Link
US (1) US8689326B2 (ja)
JP (1) JP5015014B2 (ja)
WO (1) WO2007081023A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4877145B2 (ja) 2007-08-10 2012-02-15 富士通株式会社 通信装置を制御するプログラム及び通信装置
JP5163724B2 (ja) * 2010-09-28 2013-03-13 沖電気工業株式会社 トラフィック監視システム、トラフィック監視方法及び網管理システム
US8706938B2 (en) * 2012-06-20 2014-04-22 International Business Machines Corporation Bandwidth limiting on generated PCIE packets from debug source
US9503465B2 (en) 2013-11-14 2016-11-22 At&T Intellectual Property I, L.P. Methods and apparatus to identify malicious activity in a network
JP6476853B2 (ja) 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法
US9954744B2 (en) * 2015-09-01 2018-04-24 Intel Corporation Estimation of application performance variation without a priori knowledge of the application
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置
JP6787873B2 (ja) * 2017-12-01 2020-11-18 日本電信電話株式会社 異常種別判定装置、異常種別判定方法及びプログラム
US11616796B2 (en) * 2019-11-11 2023-03-28 Volterra, Inc. System and method to protect resource allocation in stateful connection managers
CN111212096B (zh) * 2020-01-02 2020-07-28 杭州圆石网络安全技术有限公司 一种降低idc防御成本的方法、装置、存储介质和计算机
CN112016635B (zh) * 2020-10-16 2021-02-19 腾讯科技(深圳)有限公司 设备类型的识别方法、装置、计算机设备和存储介质
CN113194009A (zh) * 2021-04-27 2021-07-30 深圳大学 一种互联网宽带接入质量的监测方法和系统
US11985055B1 (en) * 2021-09-13 2024-05-14 Amazon Technologies, Inc. Determining hop count distribution in a network
US11968123B1 (en) 2022-12-08 2024-04-23 F5, Inc. Methods for allocating a traffic load and devices thereof

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2005039721A (ja) * 2003-07-18 2005-02-10 Nippon Telegr & Teleph Corp <Ntt> DDoS防御方法及びDDoS防御機能付きルータ装置
JP2005159551A (ja) * 2003-11-21 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
WO2005074215A1 (ja) * 2004-02-02 2005-08-11 Cyber Solutions Inc. 不正情報検知システム及び不正攻撃元探索システム
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5459777A (en) 1993-10-28 1995-10-17 British Telecommunications Public Limited Company Telecommunications network traffic management system
US6856942B2 (en) 2002-03-09 2005-02-15 Katrina Garnett System, method and model for autonomic management of enterprise applications
US7313092B2 (en) * 2002-09-30 2007-12-25 Lucent Technologies Inc. Apparatus and method for an overload control procedure against denial of service attack
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7526807B2 (en) * 2003-11-26 2009-04-28 Alcatel-Lucent Usa Inc. Distributed architecture for statistical overload control against distributed denial of service attacks
JP2005210292A (ja) 2004-01-21 2005-08-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US7584507B1 (en) * 2005-07-29 2009-09-01 Narus, Inc. Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet
US7992208B2 (en) * 2005-09-19 2011-08-02 University Of Maryland Detection of nonconforming network traffic flow aggregates for mitigating distributed denial of service attacks
US8001583B2 (en) * 2005-11-08 2011-08-16 Tohoku University Network failure detection method and network failure detection system
US8397284B2 (en) * 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
CN101001249A (zh) * 2006-12-31 2007-07-18 华为技术有限公司 一种防igmp报文攻击的方法和装置
CN101267313B (zh) * 2008-04-23 2010-10-27 成都市华为赛门铁克科技有限公司 泛洪攻击检测方法及检测装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2005039721A (ja) * 2003-07-18 2005-02-10 Nippon Telegr & Teleph Corp <Ntt> DDoS防御方法及びDDoS防御機能付きルータ装置
JP2005159551A (ja) * 2003-11-21 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
WO2005074215A1 (ja) * 2004-02-02 2005-08-11 Cyber Solutions Inc. 不正情報検知システム及び不正攻撃元探索システム
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム

Also Published As

Publication number Publication date
US8689326B2 (en) 2014-04-01
JPWO2007081023A1 (ja) 2009-06-11
US20110317566A1 (en) 2011-12-29
WO2007081023A1 (ja) 2007-07-19

Similar Documents

Publication Publication Date Title
JP5015014B2 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
Zeidanloo et al. A taxonomy of botnet detection techniques
CN101026505B (zh) 用于监控通信网络中的恶意流量的方法和装置
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
CN101803305B (zh) 网络监视装置、网络监视方法
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
US8087085B2 (en) Wireless intrusion prevention system and method
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
Limwiwatkul et al. Distributed denial of service detection using TCP/IP header and traffic measurement analysis
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
JP6599819B2 (ja) パケット中継装置
Liu et al. TrustGuard: A flow-level reputation-based DDoS defense system
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
JP2005210601A (ja) 不正侵入検知装置
JP6970344B2 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
JP4161989B2 (ja) ネットワーク監視システム
Molina et al. Operational experiences with anomaly detection in backbone networks
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
Muraleedharan et al. ADRISYA: a flow based anomaly detection system for slow and fast scan

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120530

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120606

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5015014

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees