JP5015279B2 - Cause identification system, method, apparatus, and program linked with traffic volume change detection - Google Patents

Cause identification system, method, apparatus, and program linked with traffic volume change detection Download PDF

Info

Publication number
JP5015279B2
JP5015279B2 JP2010037395A JP2010037395A JP5015279B2 JP 5015279 B2 JP5015279 B2 JP 5015279B2 JP 2010037395 A JP2010037395 A JP 2010037395A JP 2010037395 A JP2010037395 A JP 2010037395A JP 5015279 B2 JP5015279 B2 JP 5015279B2
Authority
JP
Japan
Prior art keywords
traffic
cause
abnormal
attack
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010037395A
Other languages
Japanese (ja)
Other versions
JP2011176434A (en
Inventor
政博 丸吉
健 桑原
正樹 南
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010037395A priority Critical patent/JP5015279B2/en
Publication of JP2011176434A publication Critical patent/JP2011176434A/en
Application granted granted Critical
Publication of JP5015279B2 publication Critical patent/JP5015279B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トラヒック量変化が外部装置によって検知、もしくは手動で指定された際に、ネットワーク上を流れるトラヒックから得るトラヒック情報、もしくは、蓄積されたトラヒック情報をもとに、そのトラヒック量変化の原因となったトラヒックを特定する技術に関するものである。   The present invention is based on the traffic information obtained from the traffic flowing on the network or the accumulated traffic information when the traffic amount change is detected or manually designated by an external device. This is related to a technique for identifying the traffic that has become.

ISP(Internet Service Provider)などのネットワークのオペレータは、通常ネットワークトラヒック状況をトラヒック量(秒間バイト数、秒間パケット数)の時系列で監視しており、DDoS(Distributed Denail of Service)攻撃、トラヒック集中、装置故障などの異常を時系列の変化によって検出している。   Network operators such as ISP (Internet Service Provider) normally monitor the network traffic status in time series of traffic volume (bytes per second, packets per second), DDoS (Distributed Denial of Service) attacks, traffic concentration, Abnormalities such as equipment failures are detected by time-series changes.

しかし、トラヒック量の変化を発見するだけでは、どのような原因でその変化が生じているのか分からず、現状把握・対策を行うことができない。トラヒック変化に対する対策を実行するには、トラヒック量変化を起こした原因トラヒックを特定する手法が必要である。   However, just discovering a change in traffic volume does not reveal the cause of the change, and it is not possible to grasp the current situation and take countermeasures. In order to take measures against the traffic change, a method for identifying the cause traffic that caused the traffic change is necessary.

そこで、特許文献1では、トラヒック量変化の原因となったトラヒックを、トラヒック量変化の発生以前のトラヒックと、変化発生中のトラヒックとを比較することで、変化を引き起こしたトラヒックだけをフロー識別子として抽出する。このフロー識別子決定の際に、フロー識別子に該当するトラヒックのトラヒック量変化への寄与度と、変化以前からの存在度と、フロー識別子数の3つの要素間のトレードオフ関係を評価式に従って最適化することで、最小のフロー識別子数で、トラヒック量変化への寄与度を最大化し、変化以前からの存在度を最小化したフロー識別子を決定する。   Therefore, in Patent Document 1, the traffic that caused the change in the traffic amount is compared with the traffic before the occurrence of the change in traffic amount and the traffic that is undergoing the change, so that only the traffic that caused the change is used as a flow identifier. Extract. When determining the flow identifier, optimize the trade-off relationship between the three elements of the contribution to the traffic volume change of the traffic corresponding to the flow identifier, the presence before the change, and the number of flow identifiers according to the evaluation formula Thus, the degree of contribution to the traffic amount change is maximized with the minimum number of flow identifiers, and the flow identifier that minimizes the presence before the change is determined.

特開2009−44501号公報JP 2009-44501 A

しかし、トラヒック量の変化に着目する従来の異常トラヒックの原因特定システムでは、観測される全てのトラヒックの総量に対して、トラヒック量変化の発生以前と発生中の流量差分が大きい場合に分析を実施する。そのため、総トラヒック量の変化量が小さい場合には、分析が実行されない。   However, with the conventional system for identifying the cause of abnormal traffic that focuses on the change in traffic volume, the analysis is performed when the flow rate difference before and during the occurrence of the traffic volume change is larger than the total traffic volume observed. To do. Therefore, the analysis is not performed when the change amount of the total traffic amount is small.

総トラヒック量の変化量は少ない場合、総トラヒック量に占める割合が小さいが急激なトラヒック量増加が発生しているトラヒックが存在しても、原因の分析が実行できないといった課題があった。   When the change amount of the total traffic amount is small, there is a problem that the cause analysis cannot be performed even if there is a traffic in which the proportion of the total traffic amount is small but a sudden increase in the traffic amount exists.

これを解決するためには、特定のトラヒック種別でフィルタし、差分抽出した上で分析することが考えられるが、一般的に攻撃としては様々な種別が存在し、それらを一つ一つ適用し分析する方法は、大規模なネットワークに適用するには処理時間が長くなるという課題が生じる。また、攻撃種別が特定できたとしても、攻撃先のAS(Autonomous system)や、サーバなどを特定することが困難であり、攻撃種別でフィルタしても必ずしも異常トラヒックを特定できるとは限らない課題があった。   In order to solve this problem, it is conceivable to filter by a specific traffic type, extract the difference, and analyze it, but in general there are various types of attacks, and they are applied one by one. The analysis method has a problem that the processing time becomes long when applied to a large-scale network. Even if the attack type can be specified, it is difficult to specify the attack destination AS (Autonomous System) or server, and it is not always possible to specify abnormal traffic even if filtering by the attack type. was there.

また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみである場合、該攻撃に付随して実施される複合攻撃は分析できないという課題もあった。   In addition, when the attack that can be detected by the abnormality detection function is only a characteristic attack having a large proportion of the entire network, there is a problem that a combined attack performed in association with the attack cannot be analyzed.

本発明では、以下の手段を備えることで前記の課題を解決する。   In the present invention, the above-mentioned problems are solved by providing the following means.

第1の発明は、トラヒック量変化原因特定システムが、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるものである。これにより、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。   In the first invention, the traffic volume change cause identification system is linked with an abnormality detection function for detecting abnormal traffic by monitoring traffic flow fluctuations for a plurality of attack types, and extracts only statistical information of a specific traffic type. And a means for extracting the difference between the normal traffic amount and the abnormal traffic amount for each specific traffic and analyzing the cause of the abnormal traffic. Thereby, even when the change amount of the total traffic amount is small, it is possible to extract the difference amount of only specific traffic and analyze the cause.

第2の発明は、前記トラヒック量変化特定システムが、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するため、分析時間の短縮化が可能となる。   According to a second aspect of the present invention, the traffic amount change specifying system acquires, from the abnormality detection function, filter information of an attack type that has detected abnormal traffic when the abnormality detection function detects an abnormality, and the abnormality detection Means for extracting the difference in traffic volume between the normal time and the abnormal time of a specific traffic type using the filter information of the attack type acquired from the function, and analyzing the cause of the abnormal traffic. Accordingly, since analysis is performed using only the filters detected by the anomaly detection means instead of individually executing filters of all attack types, analysis time can be shortened.

第3の発明は、前記トラヒック量変化特定システムが、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段を備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として起こりうる他の攻撃の分析を行うことが可能となる。   According to a third aspect of the present invention, the traffic amount change specifying system uses means for grouping and holding a plurality of attack types that are considered to be combined as a combined attack, and filter information of the attack type acquired from the abnormality detection function. At the same time as analyzing the cause of abnormal traffic, there is provided means for performing cause analysis of abnormal traffic using filter information of the attack type belonging to the same group as the acquired attack type. As a result, when the attacks that can be detected by the anomaly detection function are only characteristic attacks that account for a large percentage of the entire network, and the combined attacks that are performed in association with the attacks cannot be detected, the change in traffic volume can be specified. In the system, it is possible to analyze other attacks that may occur as a combined attack in addition to the attacks detected by the anomaly detection means.

第4の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全てのトラヒック情報(送信元アドレス、送信先アドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、送信元AS番号、送信先AS番号、経由ルータのインターフェースなどの内、全てもしくは何れか)を個別に実施するのではなく、異常検出手段によって検出された異常トラヒックと合致するトラヒックの攻撃対象(IPアドレスやAS番号、ポートなど)についてのみ分析するため、分析時間の短縮化が可能となる。   According to a fourth aspect of the present invention, the traffic amount change cause identification system acquires, from the abnormality detection function, detection result information of the detected abnormal traffic when the abnormality detection function detects an abnormality, and the abnormality detection And a means for extracting a difference in traffic volume between normal and abnormal traffic that matches the detection result information acquired from the function and analyzing the cause of the abnormal traffic. As a result, all or any of the traffic information (source address, destination address, protocol number, source port number, destination port number, source AS number, destination AS number, routed router interface, etc.) The analysis time can be shortened because only the traffic attack target (IP address, AS number, port, etc.) that matches the anomaly traffic detected by the anomaly detection means is analyzed. It becomes.

第5の発明は、前記トラヒック量変化原因特定システムが、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段とを備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した標的に対する攻撃と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。   According to a fifth aspect of the present invention, the traffic amount change cause identifying system uses means for grouping and retaining relevant traffic information as information that can be detected as abnormal traffic, and detection result information acquired from the abnormality detection function. And a means for analyzing the cause of abnormal traffic and simultaneously analyzing the cause using the traffic information belonging to the same group as the acquired detection result information. As a result, the attack that can be detected by the anomaly detection function is only a characteristic attack that accounts for a large percentage of the entire network. In the system, it is possible to analyze another attack that can be a target as a combined attack together with an attack on the target detected by the abnormality detection means.

第6の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別のフィルタ情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えるものである。これにより、特定の攻撃でフィルタしてもネットワーク上で観測される該攻撃に関するフロー情報が膨大で、正常時と異常時の差分が抽出できない場合に、特定の攻撃対象のフィルタを併用することで、攻撃種別及び標的を絞り込むことができ、結果、差分の抽出と分析が可能となる。
According to a sixth aspect of the present invention, when the traffic amount change cause identification system detects an abnormality in the abnormality detection function, it acquires filter information and detection result information of the attack type that detected the abnormal traffic from the abnormality detection function. A means for grouping and holding a plurality of attack types that are considered to be combined as a combined attack among the plurality of attack types, and grouping related traffic information as information that can be detected as abnormal traffic The cause of the abnormal traffic is analyzed using the holding means and the attack type filter information and detection result information acquired from the anomaly detection function , and at the same time belongs to the same group as the acquired attack type filter information and detection result information. It is also provided with means for performing cause analysis using the traffic information. As a result, if the flow information related to the attack observed on the network is enormous even if it is filtered by a specific attack, and the difference between normal and abnormal cannot be extracted, the specific attack target filter can be used together. The attack type and target can be narrowed down, and as a result, the difference can be extracted and analyzed.

また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として実施されうる攻撃種別及び標的に関わる他の攻撃の分析を行うことが可能となる。   In addition, the traffic volume change specifying system can be detected when an attack that can be detected by the anomaly detection function is only a characteristic attack having a large proportion of the entire network and a complex attack that is performed accompanying the attack cannot be detected. Thus, it is possible to analyze an attack type that can be implemented as a combined attack together with an attack detected by the abnormality detection means and other attacks related to the target.

第一の効果は、トラヒック量の変化に着目する異常トラヒックの原因特定システムにおいて、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。   The first effect is that, in an abnormal traffic cause identification system that focuses on the change in traffic volume, even if the total traffic volume change amount is small, the difference amount of only specific traffic is extracted and the cause analysis is performed. It becomes possible.

その理由は、トラヒック量変化原因特定システムが異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出するためである。   The reason for this is that the traffic volume change cause identification system works with the abnormality detection function and uses a group of filters that extract only statistical information of a specific traffic type, and the difference between normal and abnormal traffic volume for each specific traffic. It is for extracting.

第二の効果は、攻撃のトラヒック種別が多い場合にも、分析時間の短縮化が可能となる。   The second effect is that the analysis time can be shortened even when there are many types of attack traffic.

その理由は、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するためである。   The reason is that the analysis is performed using only the filters detected by the anomaly detection means instead of individually executing the filters of all attack types.

第三の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、該複合攻撃の分析を行うことが可能となる。   The third effect is that the attack that can be detected by the anomaly detection function is only a characteristic attack that accounts for a large proportion of the entire network, and the combined attack that is performed accompanying the attack cannot be detected. It is possible to analyze the attack.

その理由は、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持し、取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も併せて実施するためである。   The reason is that multiple attack types that can be combined as a combined attack are grouped and held, and the cause of abnormal traffic is also analyzed using filter information of attack types belonging to the same group as the acquired attack type. Because.

第四の効果は、攻撃の送信元/先であるアドレス、ポート番号、AS番号や経由ルータが多岐に渡る場合、分析時間の短縮化が可能となる。   The fourth effect is that the analysis time can be shortened when there are a wide variety of addresses, port numbers, AS numbers and transit routers that are the source / destination of the attack.

その理由は、観測されるトラヒックの全ての送信元/先の組み合わせについて個別に分析するのではなく、異常検出手段によって検出された攻撃の送信元/先の組み合わせのみを分析するためである。   The reason for this is not to individually analyze all the combinations of the transmission source / destination of the observed traffic but to analyze only the combination of the transmission source / destination of the attack detected by the anomaly detection means.

第五の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、検知した攻撃先(標的)と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。   The fifth effect is that an attack that can be detected by the anomaly detection function is only a characteristic attack that accounts for a large proportion of the entire network, and is detected when a complex attack that is performed accompanying the attack cannot be detected. Together with the attack destination (target), it is possible to analyze other attacks that can be targeted as a combined attack.

その理由は、複合攻撃として標的になりやすい攻撃先の組など、関連のある送信元/先、経由ルータなどの情報をグループ化して保持し、取得した攻撃の送信元/先、経由ルータと同じグループに属す送信元/先、経由ルータのトラヒックの分析も実施するため。   The reason is the same as the source / destination of the acquired attack / router, storing the information of the related source / destination, routed router, etc., such as a set of attack targets that are likely to be targeted as a compound attack. In order to analyze the traffic of the source / destination and relay routers belonging to the group.

第六の効果は、第一から第五の効果を併せて実現することが可能となる。   The sixth effect can be realized by combining the first to fifth effects.

その理由は、トラヒック量変化原因特定システムが、異常検知機能が異常を検知した際に、検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得し、異常検知機能から取得した攻撃種別のフィルタ情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別のフィルタ情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施するためである。
The reason is that when the traffic amount change cause identification system detects an abnormality in the abnormality detection function, it acquires filter information and detection result information of the detected attack type from the abnormality detection function , and the attack acquired from the abnormality detection function. simultaneously analyzing the cause of the abnormal traffic using the filter information and the detection result information type, for also performs analysis of the reasons for using a traffic information belonging to the same group as the filter information and the detection result information of the acquired attack type It is.

本発明の一実施形態であるトラヒック量変化原因特定システム300の適用場面を示した説明図。Explanatory drawing which showed the application scene of the traffic amount change cause specific | specification system 300 which is one Embodiment of this invention. 異常検知外部機能部200が保持する攻撃フィルタ500のリスト及び、異常検知外部機能部200の検知結果情報510を示した説明図。Explanatory drawing which showed the list | wrist of the attack filter 500 which the abnormality detection external function part 200 hold | maintains, and the detection result information 510 of the abnormality detection external function part 200. FIG. トラヒック量変化原因特定システム300のフィルタ部310が保持するグループリスト(攻撃フィルタグループリスト311、トラヒック情報グループリスト312、313)を示した説明図。4 is an explanatory diagram showing group lists (attack filter group list 311 and traffic information group lists 312 and 313) held by the filter unit 310 of the traffic amount change cause identifying system 300. FIG. トラヒック量変化原因特定システム300の分析動作のフローチャート図(その1)である。FIG. 11 is a flowchart (part 1) of the analysis operation of the traffic amount change cause identification system 300; トラヒック量変化原因特定システム300の分析動作のフローチャート図(その2)である。FIG. 11 is a flowchart (part 2) of the analysis operation of the traffic amount change cause identification system 300; トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その1)である。It is explanatory drawing (the 1) which showed the traffic flow rate graph of the flow extracted when the traffic amount change cause specific system 300 analyzes. トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その2)である。It is explanatory drawing (the 2) which showed the traffic flow rate graph of the flow extracted when the traffic amount change cause specific system 300 analyzes.

以下、本発明の実施形態のトラヒック量変化原因特定システムを図を参照して詳細に説明する。   Hereinafter, a traffic amount change cause identifying system according to an embodiment of the present invention will be described in detail with reference to the drawings.

[構成の説明]
図1は本発明の一実施形態であるトラヒック量変化原因特定システムの適用場面を示した説明図である。 [Description of configuration]
FIG. 1 is an explanatory diagram showing an application scene of a traffic amount change cause identifying system according to an embodiment of the present invention.

図中において、トラヒック量変化原因特定システム300は、少なくともフィルタ部310と異常分析実行部320から構成される。フィルタ部310は、異常検知外部機能部200との間に、攻撃フィルタ500及び検知結果情報510を取得するインターフェースを備える。また、フロー情報蓄積部400は、ネットワーク上で観測されたトラヒック情報を保持する記憶機能である。   In the figure, the traffic amount change cause identifying system 300 includes at least a filter unit 310 and an abnormality analysis execution unit 320. The filter unit 310 includes an interface for acquiring the attack filter 500 and the detection result information 510 with the abnormality detection external function unit 200. The flow information accumulation unit 400 is a storage function that holds traffic information observed on the network.

異常検知外部機能部200は、フロー情報蓄積部400から取得したフロー情報520を用いて、DDoS攻撃等の異常状態を検知することが可能な外部機能であり、その実現方法としては、あるトラヒック種別(プロトコル、送信先IPアドレスなど)毎に、設定された閾値を超えるトラヒック量を検知した場合に攻撃として検出する方法が考えられるが、それ以外の実現方法でも構わない。   The abnormality detection external function unit 200 is an external function that can detect an abnormal state such as a DDoS attack using the flow information 520 acquired from the flow information accumulation unit 400. As an implementation method thereof, a certain traffic type For each protocol (protocol, destination IP address, etc.), a method of detecting an attack when a traffic volume exceeding a set threshold value is detected is conceivable, but other implementation methods may be used.

また、フロー情報蓄積部400については、トラヒック情報を保持する仕組み、保持形式に制限は無い。   The flow information storage unit 400 is not limited in the mechanism and holding format for holding traffic information.

異常分析実行部320は、フロー情報蓄積部400からフロー情報530を取得する際に、フィルタ部310が異常検知外部機能部200から取得したフィルタ条件(攻撃フィルタ、検知結果情報)及びフィルタ部310が保持するフィルタ条件により、フロー情報の選別を行い、フィルタ条件に合致したフロー情報のみ取得する。   When the abnormality analysis execution unit 320 acquires the flow information 530 from the flow information storage unit 400, the filter condition (attack filter, detection result information) acquired by the filter unit 310 from the abnormality detection external function unit 200 and the filter unit 310 The flow information is selected according to the filter condition to be held, and only the flow information that matches the filter condition is acquired.

なお、これらの構成部は必ずしも同一の装置に共存する必要は無く、ネットワーク上に分散して配置される構成も取り得る。   Note that these components do not necessarily have to coexist in the same device, and a configuration in which they are distributed on the network can be taken.

図2は、フィルタ部310が異常検知外部機能部200から取得する攻撃フィルタ500のリスト及び検知結果情報510の例を示した説明図である。   FIG. 2 is an explanatory diagram showing an example of a list of attack filters 500 and detection result information 510 acquired by the filter unit 310 from the abnormality detection external function unit 200.

攻撃フィルタ500のリストは、フィルタ部310が異常検知外部機能部200から取得する攻撃種別毎のフィルタ情報であり、検知結果情報510は、送信元IPアドレス、送信先IPアドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、ルータインターフェース、送信元AS番号、送信先AS番号を保持する。なお、攻撃フィルタ500のリストは例であり、これら以外の攻撃フィルタを取得することも可能である。さらに、検知結果情報510として通知される値の数は限定されず、例えば送信元IPアドレスが複数個通知されることも可能である。また、これら以外の種別の情報を通知することも可能である。   The list of attack filters 500 is filter information for each attack type acquired by the filter unit 310 from the abnormality detection external function unit 200, and the detection result information 510 includes a transmission source IP address, a transmission destination IP address, a protocol number, and a transmission source. The port number, destination port number, router interface, source AS number, destination AS number are held. It should be noted that the list of attack filters 500 is an example, and it is possible to acquire other attack filters. Furthermore, the number of values notified as the detection result information 510 is not limited, and for example, a plurality of transmission source IP addresses can be notified. It is also possible to notify other types of information.

図3は、フィルタ部310が保持する攻撃フィルタグループのリスト311及びトラヒック情報グループのリスト312、313を示した説明図である。   FIG. 3 is an explanatory diagram showing an attack filter group list 311 and traffic information group lists 312 and 313 held by the filter unit 310.

攻撃フィルタグループリスト311は、攻撃毎のフィルタ情報と、その攻撃との複合攻撃として同時に実行されうる攻撃フィルタをグループ化して管理するリストであり、攻撃フィルタに対し、複合攻撃フィルタ1及び2を保持する。また、トラヒック情報グループリスト(送信先IPアドレス)312は、同時に攻撃される可能性が高いIPアドレスのグループのリストであり、保持するアドレスのプレフィックス長は可変長である。さらに、トラヒック情報グループリスト(送信先AS番号)313は、同時に攻撃される可能性が高いAS番号のグループリストである。   The attack filter group list 311 is a list that manages filter information for each attack and attack filters that can be executed simultaneously as a combined attack with the attack, and holds the combined attack filters 1 and 2 for the attack filter. To do. The traffic information group list (destination IP address) 312 is a list of IP address groups that are highly likely to be attacked at the same time, and the prefix length of the stored address is variable. Furthermore, the traffic information group list (transmission destination AS number) 313 is an AS number group list that is highly likely to be attacked at the same time.

なお、図3に記載している攻撃フィルタグループリスト311のグループは例であり、複合攻撃フィルタの数は2に限定されず、これら以外の攻撃フィルタグループを適用することも可能である。さらに、トラヒック情報グループのリスト312、313は例であり、グループメンバの数に制限はなく、また、これら以外の種別の情報(送信元IPアドレス、送信元ポート番号、送信先ポート番号、ルータ情報など)をグループリストとして保持することも可能である。   Note that the groups in the attack filter group list 311 illustrated in FIG. 3 are examples, and the number of combined attack filters is not limited to two, and other attack filter groups can be applied. Further, the traffic information group lists 312, 313 are examples, and the number of group members is not limited, and other types of information (source IP address, source port number, destination port number, router information) Etc.) as a group list.

[動作の説明]
図4−1、図4−2は、トラヒック量変化原因特定システム300が、異常分析を実行する場合の動作を示すフローチャートである。図4−1の(1)−(1)’、(2)−(2)’、(3)−(3)’、(4)−(4)’の詳細を図4―2に示す。 [Description of operation]
FIG. 4A and FIG. 4B are flowcharts illustrating operations when the traffic amount change cause identifying system 300 performs abnormality analysis. Details of (1)-(1) ′, (2)-(2) ′, (3)-(3) ′, and (4)-(4) ′ in FIG. 4-1 are shown in FIG.

異常検知外部機能部200が異常を検知したことを契機に(S1)、フィルタ部310が異常検知外部機能部200から、検知結果情報510及び攻撃フィルタ500を取得する(S2)。   When the abnormality detection external function unit 200 detects an abnormality (S1), the filter unit 310 acquires the detection result information 510 and the attack filter 500 from the abnormality detection external function unit 200 (S2).

異常分析実行部320は、フロー情報蓄積部400から、S2で取得した検知結果情報510に合致するフロー情報を取得する(S3−1)、もしくはトラヒック情報グループリスト312、313で、S2で取得した検知結果情報510と同一グループとして保持されるトラヒック情報に合致するフロー情報を取得する(S3−2)。   The abnormality analysis execution unit 320 acquires flow information that matches the detection result information 510 acquired in S2 from the flow information accumulation unit 400 (S3-1), or acquired in S2 in the traffic information group lists 312, 313. Flow information that matches the traffic information held in the same group as the detection result information 510 is acquired (S3-2).

また、異常分析実行部320は、S3−1もしくはS3−2で取得したフロー情報の内、S2で所得した攻撃フィルタ500に合致するフロー情報を取得する(S3−3)、もしくは攻撃フィルタグループリスト311でS2で取得した攻撃フィルタ500と同一グループとして保持される複合攻撃フィルタに合致するフロー情報を取得する(S3−4)。   Also, the abnormality analysis execution unit 320 acquires flow information that matches the attack filter 500 gained in S2 from the flow information acquired in S3-1 or S3-2 (S3-3), or an attack filter group list. In 311, flow information that matches the combined attack filter held as the same group as the attack filter 500 acquired in S <b> 2 is acquired (S <b> 3-4).

異常分析実行部320は、S3−1、S3−2、S3−3、S3−4で所得したフロー情報を用いて、異常分析を実行し、結果を出力する。   The abnormality analysis execution unit 320 executes abnormality analysis using the flow information obtained in S3-1, S3-2, S3-3, and S3-4, and outputs the result.

図5−1、図5−2は図4のフローチャートに従ってトラヒック量変化原因特定システム300が取得する分析対象となるフロー情報の例を示している。各グラフの横軸は時間、縦軸はトラヒック流量である。   FIGS. 5A and 5B illustrate examples of flow information to be analyzed that is acquired by the traffic amount change cause identifying system 300 according to the flowchart of FIG. The horizontal axis of each graph is time, and the vertical axis is traffic flow.

トラヒック量変化原因特定システム300は、異常検知外部機能部200が攻撃を検知した時点以降を異常区間、それ以前を正常区間として設定し、それらの区間での差分トラヒックを基に異常区間での攻撃トラヒックの分析を行う分析機能を保持する。図5−1 a)に示すように、観測される全てのトラヒックの流量について、正常区間と異常区間の差分が小さい場合、前記のような従来のトラヒック量変化原因特定システムでは攻撃を分析することができない。   The traffic amount change cause identifying system 300 sets the period after the time when the anomaly detection external function unit 200 detects an attack as an abnormal period and the period before that as a normal period, and attacks in the abnormal period based on the difference traffic in those areas Maintains the analysis function to analyze traffic. As shown in FIG. 5-1 a), when the difference between the normal section and the abnormal section is small with respect to all the observed traffic flows, the conventional traffic amount change cause identifying system as described above analyzes the attack. I can't.

そこで、図4のS2に従い、異常検知外部機能部200から、異常を検知した際に適用された攻撃フィルタ500(TCP SYN)と、図2に記載の検知結果情報510を取得する。   Therefore, the attack filter 500 (TCP SYN) applied when the abnormality is detected and the detection result information 510 illustrated in FIG. 2 are acquired from the abnormality detection external function unit 200 in accordance with S2 of FIG.

異常分析実行部320は、S3−1に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)に合致するフロー情報を取得することで、図5−1 b)に示すように異常として検出された特定のIPアドレスやAS番号向けのフロー情報のみを取得することができる。   In accordance with S3-1, the abnormality analysis execution unit 320 detects the detection result information 510 (transmission destination IP address = 150.10.1.143, transmission destination AS number = 4859) from the flow information held in the flow information accumulation unit 400. By acquiring the flow information that matches, it is possible to acquire only the flow information for a specific IP address or AS number detected as abnormal as shown in FIG.

さらに、S3−3に従い、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別のフロー情報のみを取得することができる。   Furthermore, according to S3-3, by acquiring only flow information that matches the attack filter 500 (TCP SYN) acquired from the abnormality detection external function unit 200, it is detected as an abnormality as shown in FIG. 5-1 c-1). It is possible to acquire only the flow information of the specified specific attack type.

これにより、異常として検出された送信先IPアドレスや送信先AS、攻撃種別以外のフロー情報を除外することで、正常区間と異常区間の差分を抽出することが可能となり、異常分析を実施することが可能となる。   This makes it possible to extract the difference between the normal section and the abnormal section by excluding flow information other than the transmission destination IP address, transmission destination AS, and attack type detected as abnormal, and perform abnormality analysis Is possible.

また、異常分析実行部320は、S3−2に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)とトラヒック情報グループリスト312、313で同一グループとして管理されるトラヒック情報(送信先IPアドレス=150.10.1.0/24、送信先AS番号=4024)に合致するフロー情報を取得することで、図5−2 b)に示すように異常として検出された特定のIPアドレスやAS番号と、同時に複合攻撃の標的となり得るIPアドレスやAS番号のフロー情報のみを取得することができる。   Further, the abnormality analysis execution unit 320, based on the flow information held in the flow information storage unit 400, detects the detection result information 510 (transmission destination IP address = 150.10.1.143, transmission destination AS number = S3-2). 4859) and traffic information group lists 312 and 313, the flow information matching the traffic information managed as the same group (transmission destination IP address = 15.0.10.1.0 / 24, transmission destination AS number = 4024) is acquired. Thus, as shown in FIG. 5-2 b), it is possible to acquire only the specific IP address and AS number detected as abnormal and the flow information of the IP address and AS number that can be the target of the combined attack at the same time.

さらに、S3−4に従い、攻撃フィルタグループリスト311で、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)と同一グループとして管理されている攻撃フィルタ(ICMP)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別と、同時に複合攻撃として利用されうる攻撃種別のフロー情報のみを取得することができる。   Furthermore, according to S3-4, only flow information that matches the attack filter (ICMP) managed as the same group as the attack filter 500 (TCP SYN) acquired from the abnormality detection external function unit 200 in the attack filter group list 311 is displayed. By acquiring, it is possible to acquire only the flow information of a specific attack type detected as abnormal as shown in FIG. 5-1 c-1) and an attack type that can be used as a combined attack at the same time.

これにより、異常検知外部機能部200では、図5−2 c−1)に該当する攻撃しか検出出来ない場合でも、該攻撃と同時に標的になり得る、もしくは利用されうる攻撃種別についても、図5−1 c−1)、 図5−1 c−2)、図5−2 c−2)のように差分を抽出し分析することで、検知分析が可能となる。   Thus, even when the abnormality detection external function unit 200 can detect only the attack corresponding to FIG. 5-2 c-1), the attack types that can be targeted or used simultaneously with the attack are also shown in FIG. -1 c-1), FIG. 5-1 c-2), FIG. 5-2 Extracting and analyzing the difference as shown in c-2) enables detection analysis.

このように、検知結果情報と攻撃フィルタを組み合わせてフロー取得の条件として利用することで、特定の標的(AS、サーバ、ポート)のに対する特定の攻撃に特化したフロー抽出が可能となり、その他のフローの種類や量に影響されない分析が可能となる。   In this way, by combining detection result information and attack filters and using them as conditions for flow acquisition, flow extraction specialized for a specific attack on a specific target (AS, server, port) becomes possible. Analysis that is not affected by the type and amount of flow is possible.

本実施形態のトラヒック量変化原因特定システム300は、図4−1、図4−2に示す各ステップを実行する手段を備えている。   The traffic amount change cause identification system 300 of this embodiment includes means for executing the steps shown in FIGS. 4A and 4B.

本実施形態のトラヒック量変化原因特定システム300はコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。   The traffic amount change cause identification system 300 of this embodiment can be configured by a computer and a program. Moreover, you may comprise a part or all of the program with a hardware.

以上、本発明の実施形態を具体的に説明したが、本発明の実施形態のトラヒック量変化原因特定システムは、基本的には、トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであり、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えていればよい。   Although the embodiment of the present invention has been specifically described above, the traffic amount change cause identifying system according to the embodiment of the present invention basically receives the traffic statistical information from the network device, and each of the plurality of attack types. A traffic volume change cause identification system that identifies the cause of traffic change based on the difference between normal and abnormal traffic volume, in conjunction with the abnormal detection function that detects abnormal traffic by monitoring traffic flow fluctuations And a means for extracting the difference between normal and abnormal traffic for each specific traffic using a filter group that extracts only statistical information of a specific traffic type and analyzing the cause of abnormal traffic. Just do it.

本発明の実施形態のトラヒック量変化原因特定システムは、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。   The traffic amount change cause identifying system according to the embodiment of the present invention includes: means for acquiring filter information of an attack type that detects abnormal traffic from the abnormality detection function when the abnormality detection function detects abnormality; By using the filter information of the attack type acquired from the function, it is possible to provide means for extracting the difference between the normal traffic amount and the abnormal traffic amount of the specific traffic type and analyzing the cause of the abnormal traffic.

また、前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることができる。 In addition, the cause of abnormal traffic can be determined using means for grouping and holding a plurality of attack types considered to be combined as a combined attack with the plurality of attack types, and filter information of the attack type acquired from the abnormality detection function. Simultaneously with the analysis, a means for performing cause analysis of abnormal traffic using filter information of the attack type belonging to the same group as the acquired attack type can be provided.

また、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。   In addition, when the abnormality detection function detects an abnormality, a means for acquiring detection result information of the detected abnormal traffic from the abnormality detection function, and normal traffic matching the detection result information acquired from the abnormality detection function It is possible to provide means for extracting the difference between the traffic volume at the time and the abnormal time and analyzing the cause of the abnormal traffic.

また、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。   Also, means for grouping and retaining relevant traffic information as information that can be detected as anomalous traffic, and analyzing the cause of the anomaly traffic using the detection result information obtained from the anomaly detection function, and the obtained detection Means for analyzing the cause using the traffic information belonging to the same group as the result information can be provided.

また、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別のフィルタ情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
In addition, when the abnormality detection function detects an abnormality, a filter that acquires filter information and detection result information of the attack type that detected the abnormal traffic from the abnormality detection function, and a combination of the plurality of attack types A means for grouping and holding a plurality of attack types considered to be combined as an attack, a means for grouping and holding relevant traffic information as information that can be detected as abnormal traffic, and an attack acquired from the abnormality detection function simultaneously analyzing the cause of the abnormal traffic using the filter information and the detection result information type, the acquired attack type of filter information and the detection result information and means also performs analysis of the reasons for using a traffic information belonging to the same group Can be provided.

尚、必ずしも前記実装形態に限定されるものではなく、その要旨を逸脱しない範囲において、種種の変更は可能であり、本発明の目的を達し、下記する効果を奏する範囲において、適宜変更して実装可能であることは勿論である。   It should be noted that the present invention is not necessarily limited to the above-described mounting form, and various modifications can be made without departing from the scope of the present invention. Of course, it is possible.

200…異常検知外部機能部、300…トラヒック量変化原因特定システム、310…フィルタ部、311…攻撃フィルタグループリスト、312…トラヒック情報グループリスト(送信先IPアドレス)、313…トラヒック情報グループリスト(送信先AS番号)、320…異常分析実行部、400…フロー情報蓄積部、500…攻撃フィルタ、510…検知結果情報、530…フロー情報 200 ... anomaly detection external function unit, 300 ... traffic amount change cause identification system, 310 ... filter unit, 311 ... attack filter group list, 312 ... traffic information group list (destination IP address), 313 ... traffic information group list (transmission) Destination AS number), 320 ... abnormality analysis execution unit, 400 ... flow information storage unit, 500 ... attack filter, 510 ... detection result information, 530 ... flow information

Claims (7)

トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types , A traffic amount change cause identifying system for identifying the cause of traffic change,
Using a group of filters to extract only the statistics for a specific traffic type, and extracts a difference normal state and abnormal traffic amount for each particular traffic, traffic changes caused comprising means for analyzing the cause of the abnormal traffic In a specific system,
Means for acquiring, from the abnormality detection function, filter information of an attack type that has detected abnormal traffic when the abnormality detection function detects an abnormality;
A means for extracting a difference between normal and abnormal traffic volume of a specific traffic type using the attack type filter information acquired from the abnormality detection function and analyzing the cause of the abnormal traffic is provided. Traffic volume change cause identification system. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるトラヒック量変化原因特定システムにおいて、
前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types , A traffic amount change cause identifying system for identifying the cause of traffic change,
Using a filter group that extracts only statistical information of a specific traffic type, for each specific traffic, extract the difference between normal and abnormal traffic volume and analyze the cause of abnormal traffic. In a specific system,
Means for grouping and holding a plurality of attack types considered to be combined as a combined attack with the plurality of attack types;
The cause of abnormal traffic is analyzed using the attack type filter information acquired from the abnormality detection function, and the cause of abnormal traffic is also analyzed using the filter information of the attack type belonging to the same group as the acquired attack type. A traffic volume change cause identifying system comprising: means. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるトラヒック量変化原因特定システムにおいて、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types , A traffic amount change cause identifying system for identifying the cause of traffic change,
Using a filter group that extracts only statistical information of a specific traffic type, for each specific traffic, extract the difference between normal and abnormal traffic volume and analyze the cause of abnormal traffic. In a specific system,
Means for grouping and retaining relevant traffic information as information that can be detected as anomalous traffic;
A means for analyzing the cause of abnormal traffic using the detection result information acquired from the abnormality detection function, and simultaneously analyzing the cause using traffic information belonging to the same group as the acquired detection result information. A traffic volume change cause identification system. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、
前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知機能から取得した攻撃種別のフィルタ情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別のフィルタ情報及び検出結果情報と同じグループに属するトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types , A traffic amount change cause identifying system for identifying the cause of traffic change,
Using a filter group that extracts only statistical information of a specific traffic type, for each specific traffic, extract the difference between normal and abnormal traffic volume and analyze the cause of abnormal traffic. In a specific system,
Means for acquiring filter information and detection result information of the attack type that detected the abnormal traffic from the abnormality detection function when the abnormality detection function detects an abnormality;
Means for grouping and holding a plurality of attack types considered to be combined as a compound attack among the plurality of attack types;
Means for grouping and retaining relevant traffic information as information that can be detected as anomalous traffic;
Analyzing the cause of abnormal traffic using the filter information and detection result information of the attack type acquired from the abnormality detection function, and simultaneously using the traffic information belonging to the same group as the filter information and detection result information of the acquired attack type A traffic volume change cause identification system characterized by comprising means for performing cause analysis. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムのトラヒック量変化原因特定方法であって、
前記トラヒック量変化原因特定システムが、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析するトラヒック量変化原因特定方法において、
前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得し、
該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する
ことを特徴とするトラヒック量変化原因特定方法。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types The traffic amount change cause identifying method of the traffic amount change cause identifying system for identifying the cause traffic of the traffic amount change,
The traffic volume change cause identifying system uses a filter group that extracts only statistical information of a specific traffic type, extracts a difference between normal and abnormal traffic volume for each specific traffic, and determines the cause of abnormal traffic. In the method for identifying the cause of change in traffic volume to be analyzed ,
When the abnormality detection function detects an abnormality, the filter information of the attack type that detected the abnormal traffic is acquired from the abnormality detection function,
Using the filter information of the attack type acquired from the anomaly detection function, the difference between the normal and abnormal traffic volume of a specific traffic type is extracted, and the cause of the abnormal traffic is analyzed. Cause identification method. トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定装置であって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるトラヒック量変化原因特定装置において、
前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定装置。 Based on the difference in traffic volume between normal and abnormal conditions in cooperation with anomaly detection function that detects abnormal traffic by receiving traffic statistics from network devices and monitoring traffic flow fluctuations for multiple attack types , A traffic volume change cause identifying device for identifying the cause traffic of the traffic volume change,
Using a group of filters to extract only the statistics for a specific traffic type, and extracts a difference normal state and abnormal traffic amount for each particular traffic, traffic changes caused comprising means for analyzing the cause of the abnormal traffic In a specific device,
Means for acquiring, from the abnormality detection function, filter information of an attack type that has detected abnormal traffic when the abnormality detection function detects an abnormality;
A means for extracting a difference between normal and abnormal traffic volume of a specific traffic type using the attack type filter information acquired from the abnormality detection function and analyzing the cause of the abnormal traffic is provided. Traffic volume change cause identification device. 請求項1ないしのうちいずれか1項に記載のトラヒック量変化原因特定システムとしてコンピュータを機能させるためのプログラム。 A program for causing a computer to function as the traffic amount change cause identifying system according to any one of claims 1 to 4 .
JP2010037395A 2010-02-23 2010-02-23 Cause identification system, method, apparatus, and program linked with traffic volume change detection Active JP5015279B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010037395A JP5015279B2 (en) 2010-02-23 2010-02-23 Cause identification system, method, apparatus, and program linked with traffic volume change detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010037395A JP5015279B2 (en) 2010-02-23 2010-02-23 Cause identification system, method, apparatus, and program linked with traffic volume change detection

Publications (2)

Publication Number Publication Date
JP2011176434A JP2011176434A (en) 2011-09-08
JP5015279B2 true JP5015279B2 (en) 2012-08-29

Family

ID=44688918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010037395A Active JP5015279B2 (en) 2010-02-23 2010-02-23 Cause identification system, method, apparatus, and program linked with traffic volume change detection

Country Status (1)

Country Link
JP (1) JP5015279B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7005936B2 (en) * 2017-05-19 2022-02-10 富士通株式会社 Evaluation program, evaluation method and information processing equipment
JP6652525B2 (en) * 2017-06-15 2020-02-26 日本電信電話株式会社 Blacklist setting device, blacklist setting method, and blacklist setting program
CN109522325A (en) * 2018-09-28 2019-03-26 中国平安人寿保险股份有限公司 Business impact analysis method, apparatus, electronic equipment and storage medium
JP7104201B2 (en) * 2021-03-19 2022-07-20 アラクサラネットワークス株式会社 Packet relay device and packet relay method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (en) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
JPWO2006043371A1 (en) * 2004-10-21 2008-05-22 日本電信電話株式会社 Defense device, defense method, defense program, and network attack defense system
JP4773332B2 (en) * 2006-12-28 2011-09-14 三菱電機株式会社 Security management apparatus, security management method, and program
JP4422176B2 (en) * 2007-08-09 2010-02-24 日本電信電話株式会社 Traffic amount change cause identification method, system, program, and recording medium

Also Published As

Publication number Publication date
JP2011176434A (en) 2011-09-08

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
US8422386B2 (en) Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program
CN107404400B (en) Network situation awareness implementation method and device
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
US9860278B2 (en) Log analyzing device, information processing method, and program
US10637885B2 (en) DoS detection configuration
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US20070283436A1 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
EP2629457A1 (en) Method and System For Network Monitoring Using Signature Packets
JP5015014B2 (en) Traffic analysis / diagnosis device, traffic analysis / diagnosis system, and traffic tracking system
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
JP6168977B2 (en) System and method for real-time reporting of abnormal internet protocol attacks
JP5015279B2 (en) Cause identification system, method, apparatus, and program linked with traffic volume change detection
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
Asrodia et al. Network monitoring and analysis by packet sniffing method
Zhang et al. On the impact of route monitor selection
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
JP4422176B2 (en) Traffic amount change cause identification method, system, program, and recording medium
CN107018116B (en) Method, device and server for monitoring network traffic
JP4161989B2 (en) Network monitoring system
CN108959927A (en) A kind of device and method of the safe across comparison analysis of Internet of Things
JP5752020B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
JP6325993B2 (en) Service monitoring apparatus and service monitoring method
CN114006803B (en) Burst alarm method of netflow flow based on AS and prefix

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120606

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5015279

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350