JP5752020B2 - Attack countermeasure device, attack countermeasure method, and attack countermeasure program - Google Patents
Attack countermeasure device, attack countermeasure method, and attack countermeasure program Download PDFInfo
- Publication number
- JP5752020B2 JP5752020B2 JP2011267242A JP2011267242A JP5752020B2 JP 5752020 B2 JP5752020 B2 JP 5752020B2 JP 2011267242 A JP2011267242 A JP 2011267242A JP 2011267242 A JP2011267242 A JP 2011267242A JP 5752020 B2 JP5752020 B2 JP 5752020B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- communication
- class
- feature amount
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置、攻撃対策方法及び攻撃対策プログラムに関する。 The present invention relates to an attack countermeasure device, an attack countermeasure method, and an attack countermeasure program that support a countermeasure performed by an administrator of a network when an attack on a host belonging to a predetermined network is detected.
従来、DoS(Denial of Service attack)攻撃に対処するサービスが存在する(例えば、非特許文献1乃至4参照)。これらのサービスは、インターネットサービスプロバイダが一元管理するネットワーク上で、DoS攻撃を検知した際に、攻撃対象のホスト宛の通信の中から、異常と判定される通信を取り除き、正常と判定される通信のみを攻撃対象ホストへ届ける仕組みである。なお、これらのサービスは、攻撃対象となり得るホストの管理者が任意にインターネットサービスプロバイダと契約するものである。
Conventionally, there are services that deal with DoS (Denial of Service attack) attacks (see, for example, Non-Patent
また、バックボーンネットワークにおいて、ネットワーク運用者は、自社の設備を保守するためにトラフィックを監視する。ところが、例えば数百Gbpsの大量のトラフィックを管理するインターネットサービスプロバイダでは、運用コストが高額になるため、上述のサービス等の仕組みは利用されない場合が多い。この場合、DoS攻撃が発生すると、ブラックホールルータ等に攻撃パケットを迂回させる方式等が採用される。 In the backbone network, network operators monitor traffic to maintain their facilities. However, for example, an Internet service provider that manages a large amount of traffic of several hundred Gbps, for example, has a high operation cost, and thus the above-described service mechanism is often not used. In this case, when a DoS attack occurs, a method for causing the black hole router or the like to bypass the attack packet is adopted.
しかしながら、例えば、攻撃パケットを迂回させる方式の場合、正常なパケットも大きく影響を受ける。これらの正常なパケットを分別するためには、攻撃を解析する必要があるため、対処に時間が掛かる。また、リンク容量又はルータの許容パケット数等によって、通信機器を保護するための緊急度も異なるため、攻撃に対して画一的な対処が実行されることは適切ではなかった。 However, for example, in the case of a method of bypassing attack packets, normal packets are also greatly affected. In order to sort out these normal packets, it is necessary to analyze the attack, so that it takes time to deal with it. Further, since the urgency for protecting the communication device varies depending on the link capacity or the number of allowable packets of the router, it is not appropriate to perform a uniform countermeasure against the attack.
本発明は、攻撃を検知した際の対処を管理者がより適切に行うための情報を取得できる攻撃対策装置、攻撃対策方法及び攻撃対策プログラムを提供することを目的とする。 It is an object of the present invention to provide an attack countermeasure device, an attack countermeasure method, and an attack countermeasure program that can acquire information for an administrator to more appropriately take action when an attack is detected.
本発明では、以下のような解決手段を提供する。 The present invention provides the following solutions.
(1)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部と、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部と、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類部と、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類部により分類されたいずれのクラスに該当するかを判定するクラス判定部と、前記クラス判定部により判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知部と、を備える攻撃対策装置。 (1) When an attack on a host belonging to a predetermined network is detected, the attack countermeasure device assists a countermeasure performed by an administrator of the network, and includes at least one network including the predetermined network. For each host to which it belongs, a configuration storage unit that stores a predetermined type of configuration feature amount indicating the scale of a communication path to the host, and communication data related to the attack are acquired, and the characteristics of the communication are indicated from the data When a new attack is detected, a communication extraction unit that extracts a predetermined type of communication feature amount, a class classification unit that classifies a combination of the configuration feature amount and the communication feature amount related to a plurality of past attack cases, and a new attack A class determination unit for determining which class the new attack is classified by the class classification unit; and The class determined by the Department, attack countermeasure device; and a notification unit for notifying together with the communication path of the new attack.
このような構成によれば、攻撃対策装置は、過去の攻撃事例に関する構成特徴量及び通信特徴量の組み合わせをクラス分類することにより、新たな攻撃の特徴量がいずれのクラスに該当するかを判定する。したがって、攻撃対策装置は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
このとき、特徴量の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
According to such a configuration, the attack countermeasure device classifies the combination of the configuration feature amount and the communication feature amount related to the past attack case to determine which class the feature amount of the new attack corresponds to. To do. Therefore, the attack countermeasure device can provide information for the administrator to more appropriately take action when an attack is detected.
At this time, the number of combinations of feature amounts can be enormous, but the number of classes generated from actual attack cases is greatly reduced. Therefore, since the attack countermeasure device can easily identify similar classes, the processing efficiency is reduced and the administrator can appropriately cope with the attack.
(2)前記構成記憶部は、前記構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又は当該エッジルータの収容ホスト数のうち、少なくともいずれかを含む(1)に記載の攻撃対策装置。 (2) The attack according to (1), wherein the configuration storage unit includes at least one of a link capacity for an edge router connected to each host or the number of accommodated hosts of the edge router as the configuration feature amount. Countermeasure device.
このような構成によれば、攻撃対策装置は、構成特徴量として、各ホストに接続されるエッジルータに対するリンク容量、又はエッジルータの収容ホスト数のうち、少なくともいずれかを用いる。したがって、エッジルータの規模に応じた緊急度が構成特徴量に表されるので、管理者は、適切な対処を行うことができる。 According to such a configuration, the attack countermeasure device uses at least one of the link capacity for the edge router connected to each host and the number of hosts accommodated by the edge router as the configuration feature amount. Therefore, since the urgency level corresponding to the size of the edge router is represented in the configuration feature quantity, the administrator can take appropriate measures.
(3)前記通信抽出部は、前記通信特徴量として、前記攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを含む(1)又は(2)に記載の攻撃対策装置。 (3) The communication extraction unit, as the communication feature amount, includes the number of transmission source hosts, the protocol type, the ratio of a predetermined TCP flag, the number of packets per predetermined time, the number of bytes, or the number of flows as the communication related to the attack The attack countermeasure device according to (1) or (2), including at least one of them.
このような構成によれば、攻撃対策装置は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、又はフロー数のうち、少なくともいずれかを用いる。したがって、攻撃の種類及び規模が通信特徴量に表されるので、管理者は、適切な対処を行うことができる。 According to such a configuration, the attack countermeasure device has, as the communication feature amount, the number of transmission source hosts of the communication related to the attack, the protocol type, the ratio of the predetermined TCP flag, the number of packets per predetermined time, the number of bytes, or At least one of the numbers of flows is used. Therefore, since the type and scale of the attack are represented in the communication feature amount, the administrator can take appropriate measures.
(4)前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせに対応して、対処方法に関するデータを予め記憶する対処情報記憶部と、前記クラス分類部により分類された各クラスについて、当該クラスに含まれる前記構成特徴量及び前記通信特徴量の組み合わせと、前記対処情報記憶部に記憶されている前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせとを比較することにより、当該クラスに対して前記対処方法に関するデータのいずれかを紐付けて当該クラスを定義するクラス定義部と、を備える(1)から(3)のいずれかに記載の攻撃対策装置。 (4) For each class classified by the class classification unit, a handling information storage unit that preliminarily stores data relating to a handling method corresponding to any one or combination of the configuration feature amount or the communication feature amount, the class By comparing the combination of the configuration feature amount and the communication feature amount included in the information with the configuration feature amount or the communication feature amount or the combination stored in the handling information storage unit, An attack countermeasure device according to any one of (1) to (3), further comprising: a class definition unit that associates any of the data relating to the countermeasure method and defines the class.
このような構成によれば、攻撃対策装置は、対処情報記憶部と照合することにより、各クラスに属する攻撃への対処方法に関するデータを提供できる。したがって、管理者は、攻撃に対する対処をより適切に行える。 According to such a configuration, the attack countermeasure device can provide data related to a countermeasure method against an attack belonging to each class by collating with the countermeasure information storage unit. Therefore, the administrator can more appropriately cope with the attack.
(5)前記対処方法に関するデータは、前記攻撃の悪性度、規模、又は対処の緊急度を示すデータである(4)に記載の攻撃対策装置。 (5) The attack countermeasure device according to (4), wherein the data relating to the countermeasure method is data indicating a malignancy level, a scale, or an emergency level of the attack.
このような構成によれば、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。 According to such a configuration, the data relating to the countermeasure method is data indicating the malignancy level, scale, or urgency level of the attack, so that the administrator can take appropriate measures in a timely manner.
(6)前記クラス定義部により紐付けられた前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える(4)又は(5)に記載の攻撃対策装置。 (6) The attack countermeasure device according to (4) or (5), further including a countermeasure execution unit that executes a predetermined process set in advance based on data relating to the countermeasure method linked by the class definition unit .
このような構成によれば、攻撃対策装置は、クラスに紐付けて記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。 According to such a configuration, the attack countermeasure device can automatically execute a predetermined process that is set in advance based on data relating to a countermeasure that is stored in association with a class. Can be reduced, and the accuracy of countermeasures can be improved.
(7)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を含む攻撃対策方法。 (7) An attack countermeasure method in which a computer supports a countermeasure performed by an administrator of a network when an attack on a host belonging to the predetermined network is detected, wherein the computer includes at least the predetermined network For each host belonging to one or a plurality of networks, a configuration storage unit that stores a predetermined type of configuration feature amount indicating the scale of a communication path to the host is obtained, and communication data related to the attack is acquired, and from the data A communication extraction step for extracting a predetermined type of communication feature amount indicating the feature of the communication, a class classification step for classifying a combination of the configuration feature amount and the communication feature amount according to a plurality of past attack cases, and a new If a new attack is detected, any of the new attacks classified in the classification step And class determination step of determining whether corresponding to the class, the class that is determined in the class determination step, attack countermeasure method comprising a notification step, the notifying together with the communication path of the new attack.
このような構成によれば、攻撃対策方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。 According to such a configuration, the same effect as in (1) can be expected when the attack countermeasure method is executed by the computer.
(8)所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。 (8) An attack countermeasure program for causing a computer to support a countermeasure performed by an administrator of the network when an attack on a host belonging to the predetermined network is detected, the computer including at least the predetermined network Each of the hosts belonging to one or a plurality of networks including a configuration storage unit that stores a predetermined type of configuration feature amount indicating the scale of a communication path to the host, and obtains communication data related to the attack, A communication extraction step for extracting a predetermined type of communication feature amount indicating the feature of the communication from data, and a class classification step for classifying the combination of the configuration feature amount and the communication feature amount according to a plurality of past attack cases; When a new attack is detected, the new attack is classified in the classification step. For causing the computer to execute a class determination step for determining which class is determined, and a notification step for notifying the class determined in the class determination step together with the communication path of the new attack Anti-attack program.
このような構成によれば、攻撃対策プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。 According to such a configuration, the same effect as in (1) can be expected by causing the computer to execute the attack countermeasure program.
本発明によれば、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。 ADVANTAGE OF THE INVENTION According to this invention, the information for an administrator to perform the countermeasure at the time of detecting an attack more appropriately can be provided.
以下、本発明の実施形態の一例について説明する。
本実施形態に係る攻撃対策装置1は、インターネットサービスプロバイダ等の所定のネットワークに属するホストへの攻撃が検知された場合に、このネットワークの管理者が行う対処を支援するサーバ装置である。なお、攻撃対策装置1は、ネットワーク内の少なくともコアルータを含む各種ルータと通信可能であり、ルータからネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得すると共に、攻撃対処のために通信経路を制御したり、フィルタリング機能の実行を指示したりできる。
Hereinafter, an example of an embodiment of the present invention will be described.
The
図1は、本実施形態に係る攻撃対策装置1の機能構成を示す図である。
攻撃対策装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
FIG. 1 is a diagram illustrating a functional configuration of an
The
制御部10は、攻撃対策装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
The
記憶部20は、ハードウェア群を攻撃対策装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が備える各種データは後述する。
The
通信部30は、攻撃対策装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、ネットワーク内のコアルータにアクセスし、ネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得して制御部10へ提供する。また、通信部30は、制御部10からの指示に従ってルータに制御信号を送信する。
The
入力部40は、攻撃対策装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部やタッチパネルにより構成される。
The
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、攻撃対策装置1による処理結果の画面を表示したりするものである。ユーザは、表示部50に表示された画面により、攻撃が検知されたこと、及び対処方法に関する情報を確認する。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
The
前述の制御部10は、構成収集部11と、事例収集部12と、通信抽出部13と、攻撃検知部14と、クラス分類部15と、クラス定義部16と、クラス判定部17と、報知部18と、対処実行部19とを備える。また、記憶部20は、ネットワーク構成DB21(構成記憶部)と、クラス定義DB22と、対処情報DB23(対処情報記憶部)とを有する。
The
構成収集部11は、監視対象である所定のネットワークと、攻撃事例の収集のためのネットワークとに属するホストそれぞれについて、このホストへ至る通信経路の規模を示す所定種類の構成特徴量を取得し、ネットワーク構成DB21に記憶する。
具体的には、構成収集部11は、構成特徴量の1つとして、「pchar」又は「pathchar」等のコマンドを利用して、各ホストに接続されるエッジルータに対する直前の回線のリンク容量を取得する。また、構成収集部11は、構成特徴量の1つとして、「traceroute」コマンドを利用してトポロジを把握することにより、エッジルータの収容ホスト数を取得する。
The
Specifically, the
図2は、本実施形態に係る監視対象ネットワークにおける攻撃対象ホストへ至る通信経路を示す図である。
攻撃対象ホストを宛先とするデータパケットは、コアルータを基点に配下のルータを経由して、ホストに隣接するエッジルータに至る。このとき、エッジルータに対するリンク容量、又はエッジルータの収容ホスト数は、間接的にエッジルータが処理可能な通信量、すなわち規模を表している。
FIG. 2 is a diagram illustrating a communication path to the attack target host in the monitoring target network according to the present embodiment.
A data packet destined for the attack target host reaches an edge router adjacent to the host via a router under the core router. At this time, the link capacity with respect to the edge router or the number of hosts accommodated by the edge router represents the amount of communication that can be indirectly processed by the edge router, that is, the scale.
事例収集部12は、監視対象である所定のネットワーク、又は攻撃事例の収集のためのネットワークにおけるコアルータから、攻撃事例に係る通信のネットワークフローデータ(例えば、NetFlow又はsFlow)又はパケットキャプチャデータ等、通信のデータを取得する。
The
通信抽出部13は、事例収集部12により取得された通信のデータから、通信の特徴を示す所定種類の通信特徴量を抽出する。
具体的には、通信抽出部13は、通信特徴量として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数、及びフロー数を取得する。
The
Specifically, the
攻撃検知部14は、監視対象である所定のネットワークにおいて、トラフィックを監視し、DoS攻撃を受けたことを検知する。
The
クラス分類部15は、過去の複数の攻撃事例に係る構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルをクラス分類し、クラス定義DB22に各特徴ベクトル及び分類情報を記憶する。なお、分類手法は、既存のクラスタリング技術が利用可能である。
The
ここで、特徴ベクトルの一例を以下に示す。
特徴ベクトルx=(x1,x2,x3,x4,x5,x6,x7,x8)は、0又は1の2値を取り得る8つの要素x1〜x8からなる。
Here, an example of the feature vector is shown below.
The feature vector x = (x 1 , x 2 , x 3 , x 4 , x 5 , x 6 , x 7 , x 8 ) is composed of 8 elements x 1 to x 8 that can take binary values of 0 or 1. .
x1:送信元ホストの数。
送信元ホストが所定数以上の場合は1、それ以外の場合は0である。
x2:プロトコルタイプ。
プロトコルがTCP又はUDPの場合は1、それ以外の場合は0である。
x3:TCPフラグの割合。
TCPフラグのうちSYNフラグを有するパケットが全体の所定割合を超える場合1、それ以外の場合は0である。
x4:パケット数。
単位時間当たりのパケット数の平均が所定値を超える場合は1、それ以外の場合は0である。
x5:バイト数。
単位時間当たりのバイト数の平均が所定値を超える場合は1、それ以外の場合は0である。
x6:フロー数。
単位時間当たりのフロー数の平均が所定値を超える場合は1、それ以外の場合は0である。
x7:直前のエッジルータ周辺のリンク容量。
リンク容量が所定値[bps]以下の場合は1、それ以外の場合は0である。
x8:直前のエッジルータの規模。
エッジルータの規模(収容ホスト数)が所定値以下の場合は1、それ以外の場合は0である。
x 1 : Number of transmission source hosts.
It is 1 when the number of transmission source hosts is a predetermined number or more, and 0 otherwise.
x 2 : Protocol type.
It is 1 when the protocol is TCP or UDP, and 0 otherwise.
x 3 : ratio of TCP flag.
It is 1 when the number of packets having the SYN flag out of the TCP flags exceeds a predetermined ratio, and 0 otherwise.
x 4 : number of packets.
It is 1 when the average number of packets per unit time exceeds a predetermined value, and 0 otherwise.
x 5 : number of bytes.
It is 1 when the average number of bytes per unit time exceeds a predetermined value, and 0 otherwise.
x 6 : number of flows.
1 if the average number of flows per unit time exceeds a predetermined value, 0 otherwise.
x 7 : Link capacity around the immediately preceding edge router.
1 when the link capacity is equal to or less than the predetermined value [bps], and 0 otherwise.
x 8 : The size of the immediately preceding edge router.
1 when the size of the edge router (the number of accommodated hosts) is less than or equal to a predetermined value, and 0 otherwise.
クラス定義部16は、クラス分類部15により分類された各クラスについて、当該クラスの特徴ベクトルと、対処情報DB23に記憶されている要素とを比較することにより、当該クラスに対して対処方法に関するデータのいずれかを紐付けて当該クラスを定義する。
For each class classified by the
ここで、対処情報DB23は、構成特徴量若しくは通信特徴量のいずれか又は組み合わせに対応して、攻撃の悪性度、規模、又は対処の緊急度を示す対処方法に関するデータを予め記憶している。
例えば、上述の特徴ベクトルの要素x1=1(分散DoS攻撃)、x4=1(パケット数が多い)、x7=1(リンク容量が小さい)の場合、悪性度、規模及び緊急度がいずれも高い攻撃として、対処方法に関するデータが記憶される。
Here, the
For example, when the above-described feature vector elements x 1 = 1 (distributed DoS attack), x 4 = 1 (the number of packets is large), and x 7 = 1 (the link capacity is small), the malignancy, scale, and urgency are In any case, data relating to a countermeasure is stored as a high attack.
具体的には、例えば、x1=1、x4=1、x7=1を共通項とするクラスに属する攻撃は、緊急性が高いため、早急に攻撃を軽減する必要がある。ところが、攻撃ホストが多数であるため、特定の攻撃元のトラフィックを遮断したとしても攻撃は収まらない。したがって、ブラックホールルータへトラフィックを迂回させる等の対処法によりネットワーク設備を保守する。
また、例えば、共通項がx1=1、x4=1、x7=0(リンク容量が大きい)であるクラスに属する攻撃は、直ちにネットワークを逼迫する可能性が低いため、所定のフィルタリングルール(ICMP等の所定のプロトコルを排除する、又はSYNFlood攻撃者を排除する等)を適用して、攻撃を低減する。
Specifically, for example, an attack that belongs to a class having x 1 = 1, x 4 = 1, and x 7 = 1 as common terms is highly urgent, so it is necessary to reduce the attack immediately. However, since there are many attacking hosts, even if the traffic of a specific attack source is blocked, the attack cannot be stopped. Therefore, the network equipment is maintained by a countermeasure such as diverting traffic to the black hole router.
Further, for example, an attack belonging to a class whose common terms are x 1 = 1, x 4 = 1, x 7 = 0 (large link capacity) is unlikely to immediately strain the network, and therefore, a predetermined filtering rule Applying (such as eliminating a predetermined protocol such as ICMP or eliminating a SYNFlod attacker) reduces the attack.
クラス判定部17は、新たな攻撃が検知された場合に、この新たな攻撃に係る構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルを生成し、この特徴ベクトルがクラス分類部15により分類されたいずれのクラスに該当するかを判定する。
When a new attack is detected, the
報知部18は、クラス判定部17により判定されたクラスを、攻撃検知部14によって検知された新たな攻撃の通信経路と共に表示部50に表示させて報知する。
The
対処実行部19は、クラス定義部16により紐付けられた対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する。このとき、対処実行部19は、表示部50を介して、実行の可否を管理者に問い合わせ、入力部40を介して、指示入力を受け付けてもよい。
The coping
図3は、本実施形態に係るクラス定義DB22を生成する処理を示すフローチャートである。
FIG. 3 is a flowchart showing processing for generating the
ステップS1において、構成収集部11は、監視対象ネットワーク、及び攻撃事例の収集対象であるネットワークの構成に関する情報として、構成特徴量を収集し、ネットワーク構成DB21に記憶する。
In step S <b> 1, the
ステップS2において、事例収集部12は、攻撃事例の収集対象であるネットワークから、攻撃事例のネットワークフローデータ又はパケットキャプチャデータ等、攻撃事例に係る通信のデータを収集する。
In step S2, the
ステップS3において、通信抽出部13は、ステップS2で収集された攻撃事例に係る通信のデータから、通信特徴量を抽出する。
In step S3, the
ステップS4において、クラス分類部15は、攻撃事例それぞれについて、ステップS3で抽出された通信特徴量、及びステップS1で記憶された構成特徴量からなる特徴ベクトルを生成し、これらをクラス分類して、クラス定義DB22に記憶する。
In step S4, the
ステップS5において、クラス定義部16は、ステップS4で分類されたクラスのそれぞれを、対処情報DB23と照合することにより、各クラスに対して対処方法に関するデータを紐付けて記憶する。
In step S <b> 5, the
図4は、本実施形態に係る監視対象ネットワークへの攻撃が検知された場合の処理を示すフローチャートである。 FIG. 4 is a flowchart showing processing when an attack on the monitored network according to the present embodiment is detected.
ステップS11において、通信抽出部13は、検知された攻撃に関するネットワークフローデータ又はパケットキャプチャデータ等、通信のデータから、通信特徴量を抽出する。
In step S11, the
ステップS12において、クラス判定部17は、ステップS11で抽出された通信特徴量、及びネットワーク構成DB21に記憶されている構成特徴量からなる特徴ベクトルを生成し、クラス定義DB22に記憶されているクラスのいずれに該当するかを判定する。
In step S12, the
ステップS13において、報知部18は、ステップS12で判定されたクラスに紐付けられている対処方法に関するデータ(悪性度、規模、緊急度、及び対処方法等)を、表示部50に出力する。
In step S <b> 13, the
ステップS14において、対処実行部19は、入力部40を介して指示入力を受け付け、攻撃に対する対処を実行するか否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理は終了する。
In step S <b> 14, the
ステップS15において、対処実行部19は、監視対象ネットワークのルータを制御して、ステップS13で出力された対処方法を実行する。
In step S15, the
以上のように、本実施形態によれば、攻撃対策装置1は、過去の攻撃事例に関する構成特徴量及び通信特徴量の組み合わせからなる特徴ベクトルをクラス分類することにより、新たな攻撃の特徴ベクトルがいずれのクラスに該当するかを判定する。したがって、攻撃対策装置1は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
As described above, according to the present embodiment, the
このとき、特徴ベクトルの各要素値の組み合わせは、膨大な数になり得るが、実際の攻撃事例から生成されるクラスの数は大幅に低減される。したがって、攻撃対策装置1は、容易に類似するクラスを特定できるので、処理効率が低減されると共に、管理者が攻撃に対する対処を適切に行える。
At this time, the number of combinations of element values of feature vectors can be enormous, but the number of classes generated from actual attack cases is greatly reduced. Therefore, since the
また、攻撃対策装置1は、特徴ベクトルの要素として、各ホストに接続されるエッジルータに対するリンク容量及びエッジルータの収容ホスト数を用いる。したがって、エッジルータの規模に応じた緊急度が特徴ベクトルに表されるので、管理者は、適切な対処を行うことができる。
Further, the
また、攻撃対策装置1は、特徴ベクトルの要素として、攻撃に係る通信の送信元ホストの数、プロトコルタイプ、所定のTCPフラグの割合、所定時間当たりのパケット数、バイト数及びフロー数を用いる。したがって、攻撃の種類及び規模が特徴ベクトルに表されるので、管理者は、適切な対処を行うことができる。
Further, the
また、攻撃対策装置1は、対処情報DBに23と照合することにより、各クラスに属する攻撃への対処方法に関するデータを提供できる。したがって、管理者は、攻撃に対する対処をより適切に行える。
さらに、対処方法に関するデータは、攻撃の悪性度、規模、又は対処の緊急度を示すデータであるので、管理者は、適時に適切な対処を行うことができる。
Further, the
Furthermore, since the data related to the countermeasure method is data indicating the malignancy level, scale, or urgency level of the attack, the administrator can take an appropriate countermeasure in a timely manner.
また、攻撃対策装置1は、クラス定義DB22に記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。
Further, the
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.
例えば、前述した実施形態の特徴ベクトルは、攻撃の特徴を定量化して示す一例であり、特徴量の種類及び値の範囲は適宜設計できる。 For example, the feature vector of the above-described embodiment is an example of quantifying the feature of an attack, and the type of feature amount and the value range can be designed as appropriate.
また、攻撃対策装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
The
1 攻撃対策装置
10 制御部
11 構成収集部
12 事例収集部
13 通信抽出部
14 攻撃検知部
15 クラス分類部
16 クラス定義部
17 クラス判定部
18 報知部
19 対処実行部
20 記憶部
21 ネットワーク構成DB(構成記憶部)
22 クラス定義DB
23 対処情報DB(対処情報記憶部)
DESCRIPTION OF
22 Class definition DB
23 Handling Information DB (Handling Information Storage Unit)
Claims (8)
少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部と、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出部と、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類部と、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類部により分類されたいずれのクラスに該当するかを判定するクラス判定部と、
前記クラス判定部により判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知部と、を備える攻撃対策装置。 An attack countermeasure device that supports a countermeasure performed by an administrator of a network when an attack on a host belonging to a predetermined network is detected,
A configuration storage unit that stores, for each host belonging to at least one network including the predetermined network, a predetermined type of configuration feature amount indicating the scale of a communication path to the host;
A communication extraction unit that acquires communication data related to the attack, and extracts a predetermined type of communication feature amount indicating the characteristic of the communication from the data;
A class classification unit that classifies the combination of the configuration feature amount and the communication feature amount according to a plurality of past attack cases;
A class determination unit that determines which class classified by the class classification unit the new attack corresponds to when a new attack is detected;
An attack countermeasure device comprising: a notification unit that notifies the class determined by the class determination unit together with the communication path of the new attack.
前記クラス分類部により分類された各クラスについて、当該クラスに含まれる前記構成特徴量及び前記通信特徴量の組み合わせと、前記対処情報記憶部に記憶されている前記構成特徴量若しくは前記通信特徴量のいずれか又は組み合わせとを比較することにより、当該クラスに対して前記対処方法に関するデータのいずれかを紐付けて当該クラスを定義するクラス定義部と、を備える請求項1から請求項3のいずれかに記載の攻撃対策装置。 A handling information storage unit that stores data related to a handling method in advance corresponding to any one or combination of the configuration feature quantity or the communication feature quantity,
For each class classified by the class classification unit, a combination of the configuration feature amount and the communication feature amount included in the class, and the configuration feature amount or the communication feature amount stored in the handling information storage unit The class definition part which defines the said class by associating any one of the data regarding the said coping method with the said class by comparing either or a combination, Either of Claims 1-3 Attack countermeasure device as described in 1.
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を含む攻撃対策方法。 An attack countermeasure method in which a computer supports a countermeasure performed by an administrator of a network when an attack on a host belonging to a predetermined network is detected,
The computer includes a configuration storage unit that stores, for each host belonging to at least one network including the predetermined network, a predetermined type of configuration feature amount indicating the scale of a communication path to the host,
A communication extraction step of acquiring data of communication related to the attack and extracting a predetermined type of communication feature amount indicating the characteristic of the communication from the data;
A class classification step for classifying a combination of the configuration feature amount and the communication feature amount according to a plurality of past attack cases;
A class determination step for determining, when a new attack is detected, which class classified in the class classification step the new attack corresponds to;
An attack countermeasure method comprising: a notifying step of notifying the class determined in the class determining step together with the communication path of the new attack.
前記コンピュータは、少なくとも前記所定のネットワークを含む1又は複数のネットワークに属するホストそれぞれについて、当該ホストへ至る通信経路の規模を示す所定種類の構成特徴量を記憶する構成記憶部を備え、
前記攻撃に係る通信のデータを取得し、当該データから、当該通信の特徴を示す所定種類の通信特徴量を抽出する通信抽出ステップと、
過去の複数の攻撃事例に係る前記構成特徴量及び前記通信特徴量の組み合わせをクラス分類するクラス分類ステップと、
新たな攻撃が検知された場合に、当該新たな攻撃が前記クラス分類ステップにおいて分類されたいずれのクラスに該当するかを判定するクラス判定ステップと、
前記クラス判定ステップにおいて判定されたクラスを、前記新たな攻撃の通信経路と共に報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。 An attack countermeasure program for causing a computer to support a countermeasure performed by an administrator of a network when an attack on a host belonging to a predetermined network is detected,
The computer includes a configuration storage unit that stores, for each host belonging to at least one network including the predetermined network, a predetermined type of configuration feature amount indicating the scale of a communication path to the host,
A communication extraction step of acquiring data of communication related to the attack and extracting a predetermined type of communication feature amount indicating the characteristic of the communication from the data;
A class classification step for classifying a combination of the configuration feature amount and the communication feature amount according to a plurality of past attack cases;
A class determination step for determining, when a new attack is detected, which class classified in the class classification step the new attack corresponds to;
An attack countermeasure program for causing the computer to execute a notification step of notifying the class determined in the class determination step together with the communication path of the new attack.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267242A JP5752020B2 (en) | 2011-12-06 | 2011-12-06 | Attack countermeasure device, attack countermeasure method, and attack countermeasure program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011267242A JP5752020B2 (en) | 2011-12-06 | 2011-12-06 | Attack countermeasure device, attack countermeasure method, and attack countermeasure program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013121008A JP2013121008A (en) | 2013-06-17 |
JP5752020B2 true JP5752020B2 (en) | 2015-07-22 |
Family
ID=48773476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011267242A Expired - Fee Related JP5752020B2 (en) | 2011-12-06 | 2011-12-06 | Attack countermeasure device, attack countermeasure method, and attack countermeasure program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5752020B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015140987A1 (en) * | 2014-03-20 | 2015-09-24 | 株式会社日立システムズ | Incident response assistance apparatus, incident response assistance method, and program |
CN107645478B (en) | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | Network attack defense system, method and device |
JP6684243B2 (en) * | 2017-03-30 | 2020-04-22 | Kddi株式会社 | Failure recovery procedure optimization system and failure recovery procedure optimization method |
KR102045844B1 (en) | 2018-04-18 | 2019-11-18 | 한국전자통신연구원 | Method and apparatus for analyzing traffic based on flow in cloud system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7150043B2 (en) * | 2001-12-12 | 2006-12-12 | International Business Machines Corporation | Intrusion detection method and signature table |
JP3609382B2 (en) * | 2002-03-22 | 2005-01-12 | 日本電信電話株式会社 | Distributed denial of service attack prevention method, gate device, communication device, and program |
US7394763B2 (en) * | 2004-05-21 | 2008-07-01 | Lucent Technologies Inc. | Routing for networks with content filtering |
JP4677569B2 (en) * | 2005-11-08 | 2011-04-27 | 国立大学法人東北大学 | Network abnormality detection method and network abnormality detection system |
-
2011
- 2011-12-06 JP JP2011267242A patent/JP5752020B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013121008A (en) | 2013-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
KR100942456B1 (en) | Method for detecting and protecting ddos attack by using cloud computing and server thereof | |
US9479532B1 (en) | Mitigating denial of service attacks | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
US11956208B2 (en) | Graphical representation of security threats in a network | |
JP2015076863A (en) | Log analyzing device, method and program | |
Alsafi et al. | Idps: An integrated intrusion handling model for cloud | |
CN113839935B (en) | Network situation awareness method, device and system | |
JP2016508353A (en) | Improved streaming method and system for processing network metadata | |
Nitin et al. | Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas) | |
JP5752020B2 (en) | Attack countermeasure device, attack countermeasure method, and attack countermeasure program | |
JP6233414B2 (en) | Information processing apparatus, filtering system, filtering method, and filtering program | |
JP6970344B2 (en) | Infection spread attack detection device, attack source identification method and program | |
KR20120043466A (en) | Method and apparatus for managing enterprise security based on information provided by intrusion detection system | |
JP4161989B2 (en) | Network monitoring system | |
KR100651749B1 (en) | Method for detection of unknown malicious traffic and apparatus thereof | |
KR20220086402A (en) | Cloud-based Integrated Security Service Providing System | |
WO2020136009A1 (en) | Threat forecasting | |
JP7290168B2 (en) | Management device, network monitoring system, determination method, communication method, and program | |
CN114006720B (en) | Network security situation awareness method, device and system | |
US20240039939A1 (en) | Computer-readable recording medium storing attack situation output program, attack situation output device, and attack situation output system | |
KR20100041533A (en) | Network management method | |
Ghosh et al. | Managing high volume data for network attack detection using real-time flow filtering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140725 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150414 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150519 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5752020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |