JP5607513B2 - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP5607513B2 JP5607513B2 JP2010262487A JP2010262487A JP5607513B2 JP 5607513 B2 JP5607513 B2 JP 5607513B2 JP 2010262487 A JP2010262487 A JP 2010262487A JP 2010262487 A JP2010262487 A JP 2010262487A JP 5607513 B2 JP5607513 B2 JP 5607513B2
- Authority
- JP
- Japan
- Prior art keywords
- host
- attack
- feature vector
- predetermined
- unknown
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims description 44
- 239000013598 vector Substances 0.000 claims description 116
- 230000002159 abnormal effect Effects 0.000 description 29
- 238000000034 method Methods 0.000 description 12
- 239000000284 extract Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000000605 extraction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃ホストを検知する検知装置、検知方法及び検知プログラムに関する。
従来、ルータ上で悪意のあるホスト、すなわち攻撃ホストを検知するための情報として、DNSBL(DNS Blacklist)が運用されている(例えば、非特許文献1参照)。DNSBLは、スパム送信ホスト等の攻撃ホストのIPアドレスが記録されているブラックリストである。DNS(Domain Name System)サーバに対して、IPアドレスの情報を問い合わせると、このDNSBLが参照されて、記録されている攻撃ホストであるか否かが判断される。
ところで、攻撃ホストを精度良く検知するためには、このDNSBLをローカルで拡張、更新することが有効である。そこで、ネットワークのフローデータからスパムホストを推定することが試みられており、例えば、ブラックリストのフロー及びホワイトリスト(非攻撃ホストのリスト)のフローを利用して、教師付き学習を行い、攻撃ホストを推定する方法が提案されている(例えば、非特許文献2参照)。
また、ネットワークを流れるパケットを解析し、抽出した情報に基づいて攻撃を検知する方法も提案されている(例えば、特許文献1参照)。
「The Spamhaus Project」、[online]、[平成22年11月12日検索]、インターネット<http://www.spamhaus.org/>
"Detection of Spam Hosts and Spam Bots Using Network Flow Traffic Modeling," Willa K. Ehrlich, Anestis Karasaridis, Danielle Liu, and David Hoeflin (AT&T Labs, Middletown, NJ, USA), 2010
しかしながら、DNSBLによる攻撃ホストの検知では、既知の有限のブラックリストに基づくため、検知率が十分でない場合がある。さらに、データベースを利用するためには、問い合わせ数に応じて高額料金が掛かってしまい、また、問い合わせのために外部に通信相手を知らしめることとなっていた。
また、教師付き学習により攻撃ホストを推定する場合、処理負荷が大きい上に、ブラックリストとホワイトリストの両方を必要とするため効率が低下する。さらに、パケットを解析する場合には、通信量が多くなると処理負荷が増大してしまう。
本発明は、処理負荷を抑制し、効率良く攻撃ホストを検知できる検知装置、検知方法及び検知プログラムを提供することを目的とする。
本発明では、以下のような解決手段を提供する。
(1)所定のポート番号に対して攻撃フローを送出する攻撃ホストを検知する検知装置であって、既知の攻撃ホストのリストを記憶する記憶部と、あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成部と、ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定部と、を備える検知装置。
このような構成によれば、検知装置は、統計値のみを利用した簡易な演算により、処理負荷を抑制し、既知の攻撃ホストのリストから効率良く攻撃ホストを検知できる。
また、DNSBLのような外部のデータベースを利用しないため、利用料金が発生せず、さらに、外部に通信相手を知らしめることがない。
また、DNSBLのような外部のデータベースを利用しないため、利用料金が発生せず、さらに、外部に通信相手を知らしめることがない。
(2)前記生成部は、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化して、前記特徴ベクトルを生成する(1)に記載の検知装置。
このような構成によれば、検知装置は、統計値を正規化して特徴ベクトルを生成するので、特徴ベクトルを構成する各要素値の重要度が統一され、近似の判定における精度の向上が期待できる。
(3)前記生成部は、前記統計値のうち分散が最も低い統計値を第1の要素とし、当該第1の要素及び当該第1の要素と相関係数が所定未満の統計値のみを要素とする前記特徴ベクトルを生成する(2)に記載の検知装置。
このような構成によれば、検知装置は、冗長な要素を排除して、特徴ベクトルの次元を減らすことができるので、処理負荷が低減される。また、このとき、検知装置は、分散が最も低く、すなわち攻撃ホストの特徴を如実に表している要素を優先し、さらに、相関が低い要素のみを選択するので、冗長性が効果的に排除され、検知精度の向上が期待できる。
(4)前記判定部は、前記既知の攻撃ホストに関して生成された特徴ベクトルの中心を示す中心ベクトルを求め、前記未知のホストに関して生成された前記特徴ベクトルと、当該中心ベクトルとの距離が所定の閾値未満である場合、当該未知のホストを攻撃ホストと判定する(2)又は(3)に記載の検知装置。
このような構成によれば、検知装置は、既知の攻撃ホストに関する特徴ベクトルを代表する中心ベクトルを求め、この中心ベクトルとの距離が十分に近い特徴ベクトルが生成されるホストを攻撃ホストと判定する。したがって、検知装置は、簡易な数値演算により、既知の攻撃ホストとの近似性、すなわち攻撃ホストであるか否かを精度良く判定できる。
(5)前記判定部は、前記既知の攻撃ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる前記中心ベクトルからの距離を、前記閾値として設定する(4)に記載の検知装置。
このような構成によれば、検知装置は、攻撃ホストか否かの判定基準である距離の閾値を、既知の攻撃ホストが含まれる割合に基づいて設定する。したがって、検知装置は、既存情報に基づいて効率的に判断基準を設定できる。
(6)接続要求パケットを所定以上の割合で含み、かつ、最もパケットを多く受信しているポート番号を選択する選択部と、前記選択部により選択されたポート番号に対してフローを送信しているホストを抽出し、前記既知の攻撃ホストとして前記記憶部に記憶させる抽出部と、を備える(1)から(5)のいずれかに記載の検知装置。
このような構成によれば、検知装置は、攻撃ホストのサンプルとなるブラックリストを、パケットの種類(接続要求パケット)、すなわちヘッダ情報における特定フラグ(SYNフラグ)の出現率に基づいて抽出する。したがって、検知装置は、送信されるパケットのヘッダ情報を統計処理するのみで、効率的にブラックリストを自作することができる。
(7)前記選択部は、使用が推奨されるポート番号のリストを取得し、当該リストに含まれていないポート番号を優先して選択する(6)に記載の検知装置。
このような構成によれば、検知装置は、使用が推奨される、正常なフローが多いポート番号のリストを予め取得できる場合、これらと異なるポート番号、すなわち正常ではないフローが含まれる可能性が高いポート番号を優先して選択できる。したがって、検知装置は、効率的に精度良くブラックリストを生成することができる。
(8)所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータが検知する検知方法であって、既知の攻撃ホストのリストを記憶する記憶ステップと、あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を含む検知方法。
(9)所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータに検知させるための検知プログラムであって、既知の攻撃ホストのリストを記憶する記憶ステップと、あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を実行させるための検知プログラム。
本発明によれば、処理負荷を抑制し効率良く攻撃ホストを検知できる。
以下、本発明の実施形態について説明する。
本実施形態は、インターネット上に配置されているルータ1(検知装置)において、ネットワークを流れるフローの統計情報に基づいて、あるポート番号に対して攻撃フローを送出している送信元である攻撃ホストを検知する。
本実施形態は、インターネット上に配置されているルータ1(検知装置)において、ネットワークを流れるフローの統計情報に基づいて、あるポート番号に対して攻撃フローを送出している送信元である攻撃ホストを検知する。
なお、検知装置は、本実施形態のルータ1には限られず、ネットワークのフローを収集可能な下記構成を備える情報処理装置(コンピュータ)であればよい。そして、検知装置における各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
図1は、本実施形態に係るルータ1の機能構成を示すブロック図である。
ルータ1は、制御部10と、記憶部20と、通信部30とを備える。そして、制御部10は、選択部11と、抽出部12と、生成部13と、判定部14とを備える。また、記憶部20は、異常ホストDB21を備える。
ルータ1は、制御部10と、記憶部20と、通信部30とを備える。そして、制御部10は、選択部11と、抽出部12と、生成部13と、判定部14とを備える。また、記憶部20は、異常ホストDB21を備える。
制御部10は、ルータ1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
記憶部20は、ハードウェア群をルータ1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)であってよい。具体的には、記憶部20には、ルータ1の基本機能であるルーティングのためのプログラムや、ルーティングテーブル等の設定データを記憶する。また、記憶部20は、本実施形態の各種機能を制御部10に実行させるプログラムと、抽出部12により抽出された異常ホスト(既知の攻撃ホスト)のリストを格納するための異常ホストDB21を記憶する。
通信部30は、制御部10の制御に従って、ネットワーク間でパケットの送受信を行う。このとき、通信部30は、送受信されるネットワーク上のフローの情報を、制御部10へ提供する。
選択部11は、TCPヘッダにSYNフラグのみを含む接続要求パケットを所定以上の割合(例えば、90%以上)で含み、かつ、最もパケットを多く受信しているポート番号を選択する。
通常、グローバルネットワークで頻繁に使用されるポート(以下、正常ポートという)は、SYNフラグ以外にも、ACKやRESET等のフラグが含まれるパケットを受信することが多い。一方、通常使用されないポート(以下、異常ポートという)は、ウィルスに感染したPC等から異常な通信、すなわち一方的な攻撃フローを受信するため、SYNフラグのみが含まれるパケットの割合が大きい傾向にある。
そこで、選択部11は、異常ポートを特定するために、SYNフラグのみを含むパケットを最も多く受信しているポート番号を選択する。
そこで、選択部11は、異常ポートを特定するために、SYNフラグのみを含むパケットを最も多く受信しているポート番号を選択する。
さらに、選択部11は、使用が推奨されるポート番号(例えば、WELL KNOWN PORT NUMBERや、その一部)のリストを取得し、このリストに含まれていないポート番号を優先して選択する。このことにより、異常な通信の多いポート番号が精度良く選択される。
抽出部12は、選択部11により選択されたポート番号に対してフローを送信しているホストを抽出し、異常ホスト(既知の攻撃ホスト)として異常ホストDB21に記憶させる。
生成部13は、あるホストから、指定されたポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する。なお、フローは1又は複数のパケットからなり、パケットはバイト数の上限が規定されている。
ここで、特徴ベクトルの要素には、以下の6種類の統計値を採用する。
・FL=log(fl)
・PKT=log(pkt)
・BYT=log(byt)
・PPF=log(pkt/fl)
・BPF=log(byt/fl)
・BPP=log(byt/pkt)
なお、fl、pkt、bytは、それぞれ、指定されたポート番号を宛先にしてホストから送信されるフロー数、パケット数、バイト数である。
・FL=log(fl)
・PKT=log(pkt)
・BYT=log(byt)
・PPF=log(pkt/fl)
・BPF=log(byt/fl)
・BPP=log(byt/pkt)
なお、fl、pkt、bytは、それぞれ、指定されたポート番号を宛先にしてホストから送信されるフロー数、パケット数、バイト数である。
また、生成部13は、異常ホストに関する統計値のそれぞれが所定の範囲内の値(0以上、1以下)となるように、各ホストに関する統計値のそれぞれを正規化して、特徴ベクトルを生成する。具体的には、生成部13は、各統計値を以下のように正規化する。
・FLN=(FL−FLmin)/(FLmax−FLmin)
・PKTN=(PKT−PKTmin)/(PKTmax−PKTmin)
・BYTN=(BYT−BYTmin)/(BYTmax−BYTmin)
・PPFN=(PPF−PPFmin)/(PPFmax−PPFmin)
・BPFN=(BPF−BPFmin)/(BPFmax−BPFmin)
・BPPN=(BPP−BPPmin)/(BPPmax−BPPmin)
なお、FLmin、PKTmin、BYTmin、PPFmin、BPFmin、BPPminは、それぞれN個の異常ホストに関するFLi、PKTi、BYTi、PPFi、BPFi、BPPi(1≦i≦N)の最小値である。また、FLmax、PKTmax、BYTmax、PPFmax、BPFmax、BPPmaxは、それぞれN個の異常ホストに関するFLi、PKTi、BYTi、PPFi、BPFi、BPPi(1≦i≦N)の最大値である。
・FLN=(FL−FLmin)/(FLmax−FLmin)
・PKTN=(PKT−PKTmin)/(PKTmax−PKTmin)
・BYTN=(BYT−BYTmin)/(BYTmax−BYTmin)
・PPFN=(PPF−PPFmin)/(PPFmax−PPFmin)
・BPFN=(BPF−BPFmin)/(BPFmax−BPFmin)
・BPPN=(BPP−BPPmin)/(BPPmax−BPPmin)
なお、FLmin、PKTmin、BYTmin、PPFmin、BPFmin、BPPminは、それぞれN個の異常ホストに関するFLi、PKTi、BYTi、PPFi、BPFi、BPPi(1≦i≦N)の最小値である。また、FLmax、PKTmax、BYTmax、PPFmax、BPFmax、BPPmaxは、それぞれN個の異常ホストに関するFLi、PKTi、BYTi、PPFi、BPFi、BPPi(1≦i≦N)の最大値である。
ところで、これらの統計値は、全て3つの値(fl、pkt、byt)から算出されるため、互いに相関が高い組み合わせが存在し得る。
そこで、生成部13は、冗長な次元を減らすために、まず、正規化された統計値のうち分散が最も低い統計値を第1の要素(x)として選択する。次に、この第1の要素と相関が低い、すなわち相関係数が所定未満の統計値(yk、1≦k≦n、n<6)のみを選択し、選択された統計値(x、yk)を要素とする特徴ベクトル(G)を生成する。
そこで、生成部13は、冗長な次元を減らすために、まず、正規化された統計値のうち分散が最も低い統計値を第1の要素(x)として選択する。次に、この第1の要素と相関が低い、すなわち相関係数が所定未満の統計値(yk、1≦k≦n、n<6)のみを選択し、選択された統計値(x、yk)を要素とする特徴ベクトル(G)を生成する。
判定部14は、ある未知のホストに関して生成された特徴ベクトル(Gj)が既知の異常ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、この未知のホストを攻撃ホストと判定する。
具体的には、判定部14は、まず、異常ホストに関して生成されたN個の特徴ベクトル(Gi)の中心を示す中心ベクトル(Gcenter)を求める。
図2は、本実施形態に係る中心ベクトルの例を示す図である。
簡略化のため、特徴ベクトルの要素数を2(2次元)又は3(3次元)とし、特徴ベクトルの数(N)を3として図示する。特徴ベクトルは、始点Oから、それぞれ点A、B、Cに至るベクトルである。そして、中心ベクトルは、始点Oから3点A、B、Cの重心Dへ至るベクトルとなる。
簡略化のため、特徴ベクトルの要素数を2(2次元)又は3(3次元)とし、特徴ベクトルの数(N)を3として図示する。特徴ベクトルは、始点Oから、それぞれ点A、B、Cに至るベクトルである。そして、中心ベクトルは、始点Oから3点A、B、Cの重心Dへ至るベクトルとなる。
次に、判定部14は、未知のホストに関して生成された特徴ベクトル(Gj)と、中心ベクトル(Gcenter)とのユークリッド距離(dj)を算出する。
そして、判定部14は、このユークリッド距離(dj)が所定の閾値(dth)未満である場合、この未知のホストを攻撃ホストと判定する。ここで、閾値(dth)は、例えば、異常ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる中心ベクトルからの距離として設定される。
図3は、本実施形態に係る特徴ベクトルに基づいて攻撃ホストを判定する方法を示す図である。
まず、判定部14は、中心ベクトル(Gcenter)の終点からの距離が閾値(dth)である球面(円)を設定する。そして、判定部14は、この球面(円)の内部を終点とする特徴ベクトル(Ga)が得られるホストは、攻撃ホストと判定し、球面(円)の外部を終点とする特徴ベクトル(Gb)が得られるホストは、攻撃ホストではないと判定する。
まず、判定部14は、中心ベクトル(Gcenter)の終点からの距離が閾値(dth)である球面(円)を設定する。そして、判定部14は、この球面(円)の内部を終点とする特徴ベクトル(Ga)が得られるホストは、攻撃ホストと判定し、球面(円)の外部を終点とする特徴ベクトル(Gb)が得られるホストは、攻撃ホストではないと判定する。
なお、判定部14は、距離(dj)と閾値(dth)との比較の際、二乗値(dj 2及びdth 2)を用い、平方根の演算を省略してもよい。
図4は、本実施形態に係るルータ1において、異常ホストのリストを生成する処理の流れを示すフローチャートである。
本処理は、攻撃ホストの検知に先立って予め実行され、攻撃ホストのサンプルとしてリストが蓄積される。
本処理は、攻撃ホストの検知に先立って予め実行され、攻撃ホストのサンプルとしてリストが蓄積される。
ステップS1において、選択部11は、TCPポートの中で、SYNフラグのみを含む異常パケットを多数受信しているポート番号を選択する。
ステップS2において、抽出部12は、ステップS1で選択されたポート番号を宛先とするフローを送出しているホストを抽出し、これらを異常ホストとしてリストを異常ホストDB21に記憶する。
図5は、本実施形態に係るルータ1において、攻撃ホストを検知する基準を設定する処理の流れを示すフローチャートである。
本処理は、攻撃を検知したい宛先ポート番号(P)が指定された後に実行され、このポート番号に関しての検知処理の判断基準が設定される。
本処理は、攻撃を検知したい宛先ポート番号(P)が指定された後に実行され、このポート番号に関しての検知処理の判断基準が設定される。
ステップS11において、生成部13は、異常ホストが送信元であり、指定されたポート番号(P)を宛先とするフローを抽出し、異常ホストそれぞれについて、特徴ベクトル(Gi)を生成する。
ステップS12において、判定部14は、ステップS11で生成された複数の特徴ベクトルの中心を示す中心ベクトル(Gcenter)を算出する。
ステップS13において、判定部14は、ステップS12で算出された中心ベクトル(Gcenter)との距離に関して、所定の割合の特徴ベクトルが含まれるように、閾値(dth)を算出する。
図6は、本実施形態に係るルータ1において、攻撃ホストを検知する処理の流れを示すフローチャートである。
本処理は、攻撃ホストか否かを判定したいホストが指定されたことにより実行される。
本処理は、攻撃ホストか否かを判定したいホストが指定されたことにより実行される。
ステップS21において、判定部14は、指定されたホストから、判断基準が設定されているポート番号(P)を宛先とするフローを抽出し、この特徴ベクトルを生成する。
ステップS22において、判定部14は、ステップS21で生成された特徴ベクトルと中心ベクトル(Gcenter)とのユークリッド距離を算出する。
ステップS23において、判定部14は、ステップS22で算出されたユークリッド距離が設定されている閾値(dth)未満であるか否かを判定する。この判定がYESの場合、処理はステップS24に移り、判定がNOの場合、処理はステップS25に移る。
ステップS24において、判定部14は、特徴ベクトルが中心ベクトルから十分に近いので、指定されたホストが攻撃ホストであると判定する。
ステップS25において、判定部14は、特徴ベクトルが中心ベクトルから十分に離れているので、指定されたホストが攻撃ホストではないと判定する。
以上のように、本実施形態によれば、ルータ1は、統計値のみを利用した特徴ベクトルの簡易な演算により、処理負荷を抑制し、異常ホストのリストから効率良く攻撃ホストを検知できる。
このとき、特徴ベクトルの要素が正規化されることにより各要素値の重要度が統一され、また、冗長な要素を排除して特徴ベクトルの次元を減らすことにより近似の判定における精度の向上が期待できる。
このとき、特徴ベクトルの要素が正規化されることにより各要素値の重要度が統一され、また、冗長な要素を排除して特徴ベクトルの次元を減らすことにより近似の判定における精度の向上が期待できる。
また、ルータ1は、異常ホストに関する特徴ベクトルを代表する中心ベクトルを求め、この中心ベクトルとの距離が十分に近い特徴ベクトルが生成されるホストを攻撃ホストと判定するので、簡易な数値演算により、異常ホストとの近似性、すなわち攻撃ホストであるか否かを精度良く判定できる。
このとき、攻撃ホストか否かの判定基準である距離の閾値は、既知の異常ホストが含まれる割合に基づいて効率的に設定される。
このとき、攻撃ホストか否かの判定基準である距離の閾値は、既知の異常ホストが含まれる割合に基づいて効率的に設定される。
また、ルータ1は、攻撃ホストのサンプルとなる異常ホストのリスト(ブラックリスト)を、ヘッダ情報におけるSYNフラグの出現率に基づいて抽出するので、送信されるパケットのヘッダ情報を統計処理するのみで、効率的にブラックリストを自作することができる。
このとき、ルータ1は、使用が推奨される、正常なフローが多いポート番号のリストを予め取得できる場合、これらと異なるポート番号、すなわち正常ではないフローが含まれる可能性が高いポート番号を優先して選択できるので、効率的に精度良くブラックリストを生成できる。
このとき、ルータ1は、使用が推奨される、正常なフローが多いポート番号のリストを予め取得できる場合、これらと異なるポート番号、すなわち正常ではないフローが含まれる可能性が高いポート番号を優先して選択できるので、効率的に精度良くブラックリストを生成できる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
1 ルータ(検知装置)
10 制御部
11 選択部
12 抽出部
13 生成部
14 判定部
20 記憶部
21 異常ホストDB
30 通信部
10 制御部
11 選択部
12 抽出部
13 生成部
14 判定部
20 記憶部
21 異常ホストDB
30 通信部
Claims (8)
- 所定のポート番号に対して攻撃フローを送出する攻撃ホストを検知する検知装置であって、
既知の攻撃ホストのリストを記憶する記憶部と、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成部と、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定部と、を備え、
前記生成部は、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化し、当該統計値のうち分散が最も低い統計値を第1の要素とし、当該第1の要素及び当該第1の要素と相関係数が所定未満の統計値のみを要素とする前記特徴ベクトルを生成する検知装置。 - 前記判定部は、前記既知の攻撃ホストに関して生成された特徴ベクトルの中心を示す中心ベクトルを求め、前記未知のホストに関して生成された前記特徴ベクトルと、当該中心ベクトルとの距離が所定の閾値未満である場合、当該未知のホストを攻撃ホストと判定する請求項1に記載の検知装置。
- 前記判定部は、前記既知の攻撃ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる前記中心ベクトルからの距離を、前記閾値として設定する請求項2に記載の検知装置。
- 所定のポート番号に対して攻撃フローを送出する攻撃ホストを検知する検知装置であって、
既知の攻撃ホストのリストを記憶する記憶部と、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成部と、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定部と、を備え、
前記生成部は、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化して、前記特徴ベクトルを生成し、
前記判定部は、前記既知の攻撃ホストに関して生成された特徴ベクトルの中心を示す中心ベクトルを求め、前記既知の攻撃ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる前記中心ベクトルからの距離を閾値として設定し、前記未知のホストに関して生成された前記特徴ベクトルと、前記中心ベクトルとの距離が前記閾値未満である場合、当該未知のホストを攻撃ホストと判定する検知装置。 - 所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータが検知する検知方法であって、
既知の攻撃ホストのリストを記憶する記憶ステップと、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を含み、
前記生成ステップにおいて、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化し、当該統計値のうち分散が最も低い統計値を第1の要素とし、当該第1の要素及び当該第1の要素と相関係数が所定未満の統計値のみを要素とする前記特徴ベクトルを生成する検知方法。 - 所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータが検知する検知方法であって、
既知の攻撃ホストのリストを記憶する記憶ステップと、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を含み、
前記生成ステップにおいて、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化して、前記特徴ベクトルを生成し、
前記判定ステップにおいて、前記既知の攻撃ホストに関して生成された特徴ベクトルの中心を示す中心ベクトルを求め、前記既知の攻撃ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる前記中心ベクトルからの距離を閾値として設定し、前記未知のホストに関して生成された前記特徴ベクトルと、前記中心ベクトルとの距離が前記閾値未満である場合、当該未知のホストを攻撃ホストと判定する検知方法。 - 所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータに検知させるための検知プログラムであって、
既知の攻撃ホストのリストを記憶する記憶ステップと、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を実行させ、
前記生成ステップにおいて、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化し、当該統計値のうち分散が最も低い統計値を第1の要素とし、当該第1の要素及び当該第1の要素と相関係数が所定未満の統計値のみを要素とする前記特徴ベクトルを生成させるための検知プログラム。 - 所定のポート番号に対して攻撃フローを送出する攻撃ホストをコンピュータに検知させるための検知プログラムであって、
既知の攻撃ホストのリストを記憶する記憶ステップと、
あるホストから前記ポート番号に対して送信されたフローについて、フロー数、パケット数、バイト数、及びこれら相互の比率からなる統計値を要素とする特徴ベクトルを生成する生成ステップと、
ある未知のホストに関して生成された特徴ベクトルが前記既知の攻撃ホストに関して生成された特徴ベクトルの群と所定以内に近似する場合、当該未知のホストを攻撃ホストと判定する判定ステップと、を実行させ、
前記生成ステップにおいて、前記既知の攻撃ホストに関する統計値のそれぞれが所定の範囲内の値となるように、前記統計値のそれぞれを正規化して、前記特徴ベクトルを生成させ、
前記判定ステップにおいて、前記既知の攻撃ホストに関して生成された特徴ベクトルの中心を示す中心ベクトルを求め、前記既知の攻撃ホストに関して生成された特徴ベクトルのうち所定の割合が含まれる前記中心ベクトルからの距離を閾値として設定し、前記未知のホストに関して生成された前記特徴ベクトルと、前記中心ベクトルとの距離が前記閾値未満である場合、当該未知のホストを攻撃ホストと判定させるための検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010262487A JP5607513B2 (ja) | 2010-11-25 | 2010-11-25 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010262487A JP5607513B2 (ja) | 2010-11-25 | 2010-11-25 | 検知装置、検知方法及び検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012114719A JP2012114719A (ja) | 2012-06-14 |
| JP5607513B2 true JP5607513B2 (ja) | 2014-10-15 |
Family
ID=46498434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010262487A Expired - Fee Related JP5607513B2 (ja) | 2010-11-25 | 2010-11-25 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5607513B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5882852B2 (ja) * | 2012-07-18 | 2016-03-09 | Kddi株式会社 | 攻撃ホスト検知装置、方法及びプログラム |
| JP5885631B2 (ja) * | 2012-09-21 | 2016-03-15 | 株式会社Kddi研究所 | 攻撃ホストの挙動解析装置、方法及びプログラム |
| JP6916112B2 (ja) * | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
| CN106817472B (zh) * | 2015-12-02 | 2020-03-10 | 华为技术有限公司 | 一种通讯账号确定方法、终端设备及服务器 |
| JP6602799B2 (ja) * | 2017-01-26 | 2019-11-06 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2007157059A (ja) * | 2005-12-08 | 2007-06-21 | Securebrain Corp | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム |
| JP4887081B2 (ja) * | 2006-06-12 | 2012-02-29 | 株式会社Kddi研究所 | 通信監視装置、通信監視方法およびプログラム |
-
2010
- 2010-11-25 JP JP2010262487A patent/JP5607513B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012114719A (ja) | 2012-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US8959643B1 (en) | Detecting malware infestations in large-scale networks | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| JP4373306B2 (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| CN107682470B (zh) | 一种检测nat地址池中公网ip可用性的方法及装置 | |
| US10397225B2 (en) | System and method for network access control | |
| US20210185083A1 (en) | Packet fingerprinting for enhanced distributed denial of service protection | |
| JP2013201747A (ja) | ネットワークシステム、ネットワーク中継方法及び装置 | |
| JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| JP6392985B2 (ja) | 検知システム、検知装置、検知方法及び検知プログラム | |
| EP2109282A1 (en) | Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation | |
| JP6053561B2 (ja) | 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 | |
| Devi et al. | Detection of DDoS attack using optimized hop count filtering technique | |
| US20190068635A1 (en) | Data processing method, apparatus, and system | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN114338120A (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
| CN106506270B (zh) | 一种ping报文处理方法及装置 | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
| CN114679320A (zh) | 一种服务器防护方法、装置及可读存储介质 | |
| WO2016106718A1 (zh) | 一种网络控制方法与虚拟交换机 | |
| JP4777366B2 (ja) | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120803 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130822 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140411 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140702 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140805 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140828 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5607513 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |