JP6377261B2 - DDoS攻撃検出のための方法および装置 - Google Patents
DDoS攻撃検出のための方法および装置 Download PDFInfo
- Publication number
- JP6377261B2 JP6377261B2 JP2017513493A JP2017513493A JP6377261B2 JP 6377261 B2 JP6377261 B2 JP 6377261B2 JP 2017513493 A JP2017513493 A JP 2017513493A JP 2017513493 A JP2017513493 A JP 2017513493A JP 6377261 B2 JP6377261 B2 JP 6377261B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- period
- time
- predicted
- variation curve
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 33
- 238000000034 method Methods 0.000 title claims description 25
- 238000005070 sampling Methods 0.000 claims description 33
- 230000000737 periodic effect Effects 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 17
- 230000009467 reduction Effects 0.000 claims description 7
- 238000009499 grossing Methods 0.000 claims description 6
- 238000012937 correction Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 2
- 230000008859 change Effects 0.000 description 15
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012806 monitoring device Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、ネットワークセキュリティ技術に関し、より詳細にはDDoS攻撃検出のための方法および装置に関する。
分散型サービス拒否(DDoS)攻撃とは、正当なサービス要求を装って1または複数のターゲットサーバ上で膨大な量のサービスリソースを引き込む攻撃プラットフォームへと複数のコンピュータを統合することによって、正当なユーザがサーバからのサービス応答を得ることを妨げることを意味する。
DDoS攻撃を防御する場合、通常、現在のネットワークトラフィックを調べてDDoS攻撃を検出するために、バイパスネットワーク監視装置が使用される。特に、バイパスネットワーク監視装置は、ネットワークトラフィックをサンプリングし、サンプリング結果を現在の閾値と比較し、そして、その結果が現在の時点に対応する予測トラフィックよりも高い場合、DDoS攻撃が検出されたと判定する。
従来技術では、最新の多数のサンプリングから得られた履歴ネットワークトラフィックに区間推定アルゴリズムまたは累積可変アルゴリズムを適用することによって、DDoS攻撃を検出する前に現在の時点に対応する予測トラフィックが得られる。したがって、従来技術では、DDoS攻撃検出が行われるたびに現在の時点の予測トラフィックが計算される必要があるが、これは事前に保存された広範な履歴トラフィックデータを必要とし、多量の計算を要求する。
本開示は、DDoS攻撃検出が実行されるたびその前に、現在の時点における予測トラフィックを計算するのに多量の計算が必要となるという技術的課題を解決するための、DDoS攻撃検出のための方法および装置を提供する。
本開示の第1の側面は、DDoS攻撃検出のための方法であって、以下を含む方法を提供する:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程であって、前記トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる工程;そして
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される工程。
本開示の別の側面は、DDoS攻撃検出のための装置であって、以下を含む装置を提供する:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成された、サンプリングユニット;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会するように構成された決定ユニットであって、前記トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる、決定ユニット;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成された、検出ユニット。
本開示において提供されるDDoS攻撃検出のための方法および装置によれば、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって得られる。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時点に対応する予測トラフィックを決定することができ、それによって関係する計算の量を減らすことができる。DDoS攻撃の検出が、トラフィックの周期的な変化パターンに依拠するため、突発的なトラフィック増加が発生した場合、そのパターンに基づいてDDoS攻撃を正しく識別することができ、それによって誤報を減らすことができる。
図1は、本開示の一実施形態に従うDDoS攻撃検出のための方法を示すフローチャートである。この実施形態によって提供される方法は、図1に示すように、バイパスネットワーク監視装置によって実行されてもよく、それは以下を含む:
101:サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
102:ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程。
この場合、トラフィック周期変動曲線は、予測トラフィックの周期的な変化パターン、特に、少なくとも1つの期間における個々の時点と予測トラフィック、すなわち、少なくとも1つの期間内の各時点における予測トラフィックとの間のマッピングを示すことが意図されている。
任意選択的に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングされた後に、トラフィック周期変動曲線が得られているかどうかが判定され、そして、トラフィック周期変動曲線が得られている場合、ターゲット時点に対応する予測トラフィックが曲線に従って決定される。そうでない場合は、第1の期間より前の第2の期間内のn個の時点におけるネットワークトラフィックSiが取得されるが、ここでi=1,2,・・・,nであり、nは自然数である。それから、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算が行われるが、ここでαは0<α<1の範囲、典型的には0.2から0.4の範囲における平滑化のための所定の減衰係数であり、TEiは第1の期間内のi番目の時点における予測トラフィックである。こうして、予め獲得されたトラフィック周期変動曲線が照会され、ターゲット時点tcurにおける予測トラフィックはTEcurであると決定され、ここで
である。第2の期間にはDDoS攻撃がないことが確認されている。
である。第2の期間にはDDoS攻撃がないことが確認されている。
すなわち、本実施形態により提供される方法は、単に1つの期間で得られるネットワークトラフィックを計算することによってトラフィック周期変動曲線を得ることができ、そして、トラフィック周期変動曲線を再び計算しなければならないのではなく、既に得られているトラフィック周期変動曲線を活用することによって、次のDDoS攻撃検出を達成することができ、こうして、システムリソースの消費を回避しながら、必要とされる計算量を減らすことができる。得られたトラフィック周期変動曲線を用いてDDoSを検出することにより、トラフィックの突発的な増加が通常のトラフィックに起因するものであるか否かを判定することができ、それにより誤報を減らすことができる。
第2の期間内のn個の時点におけるネットワークトラフィックSiの取得は、n個の均等または不均等な間隔の時点でトラフィックSiをサンプリングすることによって達成されうることに留意すべきである。
また、得られるトラフィック周期変動曲線{TEi|i=1,2,・・・,n}は、本実施形態では離散点の集合であり、連続的なトラフィック周期変動曲線は、従来技術の曲線当てはめアルゴリズムのいずれかを参照することによって、さらに得られうることにも留意すべきである。
103:サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。
特に、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かが判定され、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される;そうでない場合、ネットワークトラフィックは正常であると判定される。
本実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変化曲線が、予測トラフィックの周期変化パターンを示すために用いられるため、各ターゲット時期においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変化曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、得られたトラフィック周期変動曲線を活用してDDoSを検出することにより、トラフィックの突発的な増加が通常のトラフィックに起因するものであるか否かを判定することができ、それにより誤報を減らすことができる。
図2は、本開示の一実施形態に従うDDoS攻撃検出のための方法を示す別のフローチャートであり、図2に示されるように、本方法は以下を含む:
201:トラフィック周期変動曲線を得るための計算を実行する工程。
任意選択的に、データパケットが受信され、その内容が分析されて、データベースに保存される。それから、第2の期間内の各時点におけるネットワークトラフィックがデータベースから抽出されるが、ここで1つの期間は1日または1週間であり、第2の期間内の時点は持続期間Gによって隔てられている。抽出されたネットワークトラフィックはSiとして表され、ここでi=1,2,・・・nであり、nは抽出されたネットワークトラフィックの数に等しい自然数である。トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算が行われるが、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時期の予測トラフィックである。
202:トラフィック周期変動曲線を補正する工程。
特に、i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行う;トラフィック周期変動曲線は、補正トラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために式THi=TEi+MAX(Di)に従って補正されるが、ここでTHiはi番目の時点における補正された予測トラフィックである。
i番目の時点における残差Diが得られた後、第2の期間内のn個の時点におけるネットワークトラフィックSiの突発的な増加の潜在的誤差が検定されることを理解すべきである。すなわち、式Di=|{Si−TEi}|に従って計算を行い、i番目の時点における残差Diを得た後、以下の手順に従って、異常値がもしあれば、残差から取り除かれる:
まず、中央値Dmed=(Dmax−Dmin)/2が決定され、ここでDmaxは計算された最大の残差を表し、Dminは計算された最小の残差を表す。
それから、順番に以下を調べる:下部四分位数D1=(Dmed−Dmin)/2;
上部四分位数D2=(Dmax−Dmed)/2;および
四分位範囲ΔQ=D2−D1。
最後に、範囲[D1−1.5ΔQ,D2+1.5ΔQ]が確立され、残差Diは、もしそれが範囲内に収まれば、保持されるべき有効な値であり、または、もしそれが範囲外の場合には、取り除かれるべき無効または「異常」な値である。
203:ターゲット時点における予測トラフィックを決定するために、トラフィック周期変動曲線に照会する工程。
特に、ターゲット時点における予測トラフィックtcurはTHcurであると決定され、ここで
である。
である。
204:所定のタイミングルールに従って、ターゲット時点における予測トラフィックを調整する工程。
特に、1年などの期間中の特別な日の特別な時点においてネットワークトラフィックが突発的に増加することが予想される状況に対処するため。つまり、このような状況が発生すると、ネットワークトラフィックの周期パターンが乱される。異なるサービスを提供する異なるサーバを考慮すれば、ネットワークトラフィックが変化する大きさと時間区間もまた異なりうる。しかし、そのようなネットワークトラフィックの増加は、DDoS攻撃の結果ではなく、予想されるものである。そのような状況を考慮するため、動的調整機構が設けられる。すなわち、第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックは引き上げられうる;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックは引き下げられうる。予測トラフィックが特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的変化パターンは精度の点でさらに改善され、運用および保守要員の作業負荷が軽減されうる。
205:ターゲット時点における調整された予測トラフィックに従ってDDoS攻撃を検出する工程。
特に、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かが判定され、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。そうでない場合、ネットワークトラフィックは正常であると決定される。
工程203から205は、予め定められた期間、例えば、前述の持続期間Gで反復されてもよいことに留意すべきである。
この実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時点に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、履歴トラフィック動向を活用してDDoSを検出することは、トラフィックの突発的な増加が、予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助ける。また、予測トラフィックが特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的な変化パターンを精度の点でさらに向上させることができる。
図3は、本開示の一実施形態に従うDDoS攻撃検出のための装置を示す概略構成図である。本実施形態で提供される装置は、バイパスネットワーク監視装置中に配置されてもよく、図3に示されるように、サンプリングユニット31、決定ユニット32、および検出ユニット33を含んでいてもよい。
サンプリングユニット31は、サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成される。
決定ユニット32は、サンプリングユニット31に接続され、予め獲得されたトラフィック周期変動曲線に照会して、ターゲット時期における予測トラフィックを決定するように構成される。
この場合、トラフィック周期変動曲線は、予測トラフィックの周期的な変化パターン、そして特に、少なくとも1つの期間における個々の時点と予測トラフィック、すなわち、少なくとも1つの期間内の各時期における予測トラフィックとの間のマッピングを示すことが意図されている。
任意選択的に、サンプリングユニット31が第1の期間内のターゲット時点におけるネットワークトラフィックをサンプリングした後、決定ユニット32が、トラフィック周期変動曲線が得られているかどうかを判定し、トラフィック周期変動曲線が得られている場合、その曲線に従ってターゲット時点に対応する予測トラフィックを決定する。そうでない場合、DDoS攻撃検出デバイス内の他のユニットが、第1の期間よりも前の第2の期間内のn個の時点におけるネットワークトラフィックSiを取得するように誘発され、ここでi=1,2,・・・nであり、nは自然数であり、そして、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように誘発されるが、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時期における予測トラフィックである。よって、予め獲得されたトラフィック周期変動曲線が照会され、ターゲット時点tcurにおける予測トラフィックがTEcurであると決定され、ここで
である。第2の期間にはDDoS攻撃がないことが確認されている。
である。第2の期間にはDDoS攻撃がないことが確認されている。
第2の期間内のn個の時点におけるネットワークトラフィックSiの取得は、n個の均等または不均等な間隔の時点でトラフィックSiをサンプリングすることによって達成されうることに留意すべきである。
また、得られるトラフィック周期変動曲線{TEi|i=1,2,・・・,n}は、本実施形態では離散点の集合であり、連続的なトラフィック周期変動曲線は、従来技術の曲線当てはめアルゴリズムのいずれかを参照することによって、さらに得られうることにも留意すべきである。
検出ユニット33は、決定ユニット32に接続され、そして、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成される。
特に、検出ユニット33は、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かを判定し、そして、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合にはDDoS攻撃を報告し、そうでない場合は正常なネットワークトラフィックを報告する。
この実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、履歴トラフィック動向を活用してDDoSを検出することは、突発的なトラフィックの増加が予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助ける。
図4は、本開示の別の実施形態に従うDDoS攻撃検出のための装置を示す概略構成図である。先の実施形態を基礎として、この実施形態の装置は、取得ユニット41、計算ユニット42、および補正ユニット43をさらに含む。
取得ユニット41は、第1の期間よりも前の第2の期間内のn個の時点におけるネットワークトラフィックSiを取得するように構成され、
ここでi=1,2,・・・nであり、nは自然数である。
計算ユニット42は、取得ユニット41に接続され、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように構成される。
この場合、αは0<α<1の範囲に収まる平滑化のための所定の減衰係数であり、TEiはi番目の時点における予測トラフィックである。
補正ユニット43は、計算ユニット42および決定ユニット32に接続され、以下を行うように構成される:i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行う;そして、補正されたトラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正する。
この場合、THiはi番目の時点における補正された予測トラフィックである。
i番目の時点における残差Diが得られた後、第2の期間内のn個の時点におけるネットワークトラフィックSiの突発的な増加の潜在的誤差が検定されることを理解すべきである。すなわち、式Di=|{Si−TEi}|に従って計算を行い、i番目の時点における残差Diを得た後、補正ユニット43は、以下の手順に従って、異常値がもしあれば、残差Diから取り除く処理を行うことができる:
まず、中央値Dmed=(Dmax−Dmin)/2が決定されるが、ここでDmaxは計算された最大の残差を表し、Dminは計算された最小の残差を表す。
それから、順番に以下を調べる:下部四分位数D1=(Dmed−Dmin)/2;
上部四分位数D2=(Dmax−Dmed)/2;および
四分位範囲ΔQ=D2−D1。
最後に、範囲[D1−1.5ΔQ,D2+1.5ΔQ]が決定され、残差Diは、もしそれが範囲内に収まれば保持されるべき有効な値であり、または、もしそれが範囲外の場合には取り除かれるべき無効な値である。
あるいは、i番目の時点における残差Diを計算により取得した後、前述の異常値を取り除くための処理を行うことなく、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正するために、処置を直接先へ進めてもよい。
これに基づき、決定ユニット32は、ターゲット時点tcurの予測トラフィックがTHcurであると決定するように特に構成され、ここで
である。
である。
さらに、DDoS攻撃検出のための装置は、調整ユニット44をさらに含む。
調整ユニット44は、決定ユニット32に接続され、以下を行うように構成される:第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げる;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げる。
この実施形態によると、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時期においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。また、予測トラフィックは、特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的な変化パターンを精度の点でさらに向上させることができる。さらに、履歴トラフィックデータを活用することは、突発的なトラフィックの増加が予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助けることができ、こうして誤報を減らすことができる。
当業者は、前述の方法の実施形態の工程の全てまたは一部が、関連するハードウェアに指示を送るプログラムによって実装されてもよいことを理解することができる。前述のプログラムは、コンピュータ可読記憶媒体に格納されていてもよい。プログラムが実行されると、前述の実施形態の方法の工程が実行される。上記記憶媒体は、ROM、RAM、磁気ディスク、または光ディスクなどのプログラムコードを格納可能な各種メディアを含む。
最後に、前述の実施形態は、本開示の技術的解決法を限定するものではなく、単に説明することを意図したものであることに留意すべきである。本開示は、前述の実施形態を参照して詳細に説明されているが、当業者は、前述の実施形態において記載された技術的解決法をなお改変してもよいし、または、一部もしくは全ての技術的特徴を等価なものに置換してもよいことを理解すべきである;しかしながら、これらの改変または置換は、本開示の実施形態における技術的解決法の範囲から、対応する技術的解決法の本質を逸脱させるものではない。
Claims (6)
- 分散型サービス拒否(DDoS)攻撃検出のための方法であって:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程であって、該トラフィック周期変動曲線が予測トラフィックの周期変化パターンを示すために用いられる工程;
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される工程
を含み、
ここで、ターゲット時点における予測トラフィックを決定するために予め獲得されたトラフィック周期変動曲線に照会する前に、該方法がさらに:
第1の期間よりも前の第2の期間内におけるn個の時点におけるネットワークトラフィックS i を得る工程であって、ここでi=1,2,・・・nであり、nは自然数である工程;
トラフィック周期変動曲線{TE i |i=1,2,・・・,n}を得るために、式TE i =αS i−1 +(1−α)TE i−1 に従って計算を行う工程であって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時点の予測トラフィックである工程
を含み、
トラフィック周期変動曲線{TE i |i=1,2,・・・,n}を得るために、式TE i =αS i−1 +(1−α)TE i−1 に従って計算を行う工程の後に、該方法がさらに:
i番目の時点における残差D i を得るために、式D i =|{S i −TE i }|に従って計算を行う工程;および
補正されたトラフィック周期変動曲線{TH i |i=1,2,・・・,n}を得るために、式TH i =TE i +MAX(D i )に従ってトラフィック周期変動曲線を補正する工程であって、ここでTH i はi番目の時点における補正された予測トラフィックである工程
を含む方法。 - 第2の期間内のn個の時点が持続期間Gによって隔てられており、そして、ターゲット時点における予測トラフィックを決定する工程が:
ターゲット時点tcurにおける予測トラフィックがTHcurであると決定する工程であって、ここで
を含む、請求項1記載のDDoS攻撃検出のための方法。 - ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会した後に、さらに:
第1の期間が予め定められたタイミングルールによって示されるトラフィック増加期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック増加時点である場合、決定された予測トラフィックを引き上げる工程;
第1の期間が予め定められたタイミングルールによって示されるトラフィック減少期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック減少時点である場合、決定された予測トラフィックを引き下げる工程
を含む、請求項1または2に記載のDDoS攻撃検出のための方法。 - 分散型サービス拒否(DDoS)攻撃検出のための装置であって:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成された、サンプリングユニット;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会するように構成された決定ユニットであって、該トラフィック周期変動曲線が予測トラフィックの周期変化パターンを示すために用いられる、決定ユニット;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成された、検出ユニット;
第1の期間よりも前の第2の期間内におけるn個の時点におけるネットワークトラフィックS i を得るように構成された取得ユニットであって、ここでi=1,2,・・・nであり、nは自然数である、取得ユニット;
トラフィック周期変動曲線{TE i |i=1,2,・・・,n}を得るために、式TE i =αS i−1 +(1−α)TE i−1 に従って計算を行うように構成された計算ユニットであって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTE i はi番目の時点の予測トラフィックである、計算ユニット;および
i番目の時点における残差D i を得るために、式D i =|{S i −TE i }|に従って計算を行い;そして、補正トラフィック周期変動曲線{TH i |i=1,2,・・・,n}を得るために、式TH i =TE i +MAX(D i )に従ってトラフィック周期変動曲線を補正するように構成された補正ユニットであって、ここでTH i はi番目の時点における補正された予測トラフィックである、補正ユニット
を含む装置。 - 第2の期間内のn個の時点が、持続期間Gによって隔てられており、そして
決定ユニットが、ターゲット時点tcurにおける予測トラフィックがTHcurであると決定するように特に構成されており、ここで
- さらに:
第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げ;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げるように構成された、調整ユニット
を含む、請求項4または5に記載のDDoS攻撃検出のための装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410465475.8 | 2014-09-12 | ||
| CN201410465475.8A CN104202329B (zh) | 2014-09-12 | 2014-09-12 | DDoS攻击检测方法和装置 |
| PCT/CN2015/089334 WO2016037579A1 (zh) | 2014-09-12 | 2015-09-10 | DDoS攻击检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017528996A JP2017528996A (ja) | 2017-09-28 |
| JP6377261B2 true JP6377261B2 (ja) | 2018-08-22 |
Family
ID=52087554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017513493A Active JP6377261B2 (ja) | 2014-09-12 | 2015-09-10 | DDoS攻撃検出のための方法および装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11140197B2 (ja) |
| JP (1) | JP6377261B2 (ja) |
| CN (1) | CN104202329B (ja) |
| WO (1) | WO2016037579A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202329B (zh) | 2014-09-12 | 2018-01-26 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
| CN105471835A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 提升防火墙处理性能的方法及系统 |
| US9860268B2 (en) * | 2016-02-09 | 2018-01-02 | International Business Machines Corporation | Detecting and predicting cyber-attack phases in data processing environment regions |
| US9866580B2 (en) * | 2016-02-09 | 2018-01-09 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings |
| CN106411947B (zh) * | 2016-11-24 | 2019-07-09 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
| CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
| JP6891671B2 (ja) | 2017-06-29 | 2021-06-18 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
| CN107508815B (zh) * | 2017-08-30 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于网站流量分析预警方法及装置 |
| CN107579981A (zh) * | 2017-09-08 | 2018-01-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量监控方法及系统 |
| CN107689967B (zh) * | 2017-10-23 | 2020-03-03 | 中国联合网络通信集团有限公司 | 一种DDoS攻击检测方法和装置 |
| JP7172043B2 (ja) * | 2018-01-19 | 2022-11-16 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
| RU2679219C1 (ru) * | 2018-02-07 | 2019-02-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК |
| RU2684575C1 (ru) * | 2018-05-14 | 2019-04-09 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ управления потоками данных распределенной информационной системы при ddos атаках |
| CN108803565B (zh) * | 2018-06-05 | 2020-05-19 | 北京科技大学 | 一种工控系统隐蔽攻击实时检测方法及装置 |
| CN109413071B (zh) * | 2018-10-31 | 2021-08-06 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
| US10880329B1 (en) * | 2019-08-26 | 2020-12-29 | Nanning Fugui Precision Industrial Co., Ltd. | Method for preventing distributed denial of service attack and related equipment |
| RU2718650C1 (ru) * | 2019-12-26 | 2020-04-10 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты серверов услуг сети связи от компьютерных атак |
| CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN113794696B (zh) * | 2021-08-27 | 2023-04-28 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
| CN115499251B (zh) * | 2022-11-18 | 2023-03-28 | 广州信泽信息科技有限公司 | 一种边缘IoT设备的异常流量及攻击检测方法及系统 |
| CN117440382B (zh) * | 2023-12-20 | 2024-03-26 | 深圳市友恺通信技术有限公司 | 基于物联网的无线设备运行分析方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149648A1 (en) * | 2000-05-01 | 2003-08-07 | Olsen Richard B. | Method and system for measuring market conditions |
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| JP4688083B2 (ja) * | 2007-06-12 | 2011-05-25 | 日本電信電話株式会社 | 基準値予測方法とシステムおよびプログラム |
| CN101355463B (zh) * | 2008-08-27 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
| CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
| CN101534305A (zh) * | 2009-04-24 | 2009-09-16 | 中国科学院计算技术研究所 | 网络流量异常检测方法和系统 |
| CN102111307B (zh) * | 2009-12-29 | 2013-09-04 | 亿阳信通股份有限公司 | 网络风险监控方法和装置 |
| CN102118272A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种网络边界异常监控方法 |
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| US10241887B2 (en) * | 2013-03-29 | 2019-03-26 | Vmware, Inc. | Data-agnostic anomaly detection |
| CN103546319B (zh) * | 2013-10-18 | 2017-03-29 | 中国南方电网有限责任公司 | 网络设备的流量告警方法和系统 |
| CN104202329B (zh) * | 2014-09-12 | 2018-01-26 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
-
2014
- 2014-09-12 CN CN201410465475.8A patent/CN104202329B/zh active Active
-
2015
- 2015-09-10 JP JP2017513493A patent/JP6377261B2/ja active Active
- 2015-09-10 WO PCT/CN2015/089334 patent/WO2016037579A1/zh active Application Filing
-
2017
- 2017-02-22 US US15/439,901 patent/US11140197B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104202329A (zh) | 2014-12-10 |
| WO2016037579A1 (zh) | 2016-03-17 |
| US11140197B2 (en) | 2021-10-05 |
| US20170163680A1 (en) | 2017-06-08 |
| CN104202329B (zh) | 2018-01-26 |
| JP2017528996A (ja) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6377261B2 (ja) | DDoS攻撃検出のための方法および装置 | |
| US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
| US9544321B2 (en) | Anomaly detection using adaptive behavioral profiles | |
| US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| US20180069883A1 (en) | Detection of Known and Unknown Malicious Domains | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| US11423143B1 (en) | Anomaly detection based on processes executed within a network | |
| CN107360188B (zh) | 基于云防护和云监测系统的网站风险值评估方法及装置 | |
| CN107508815B (zh) | 基于网站流量分析预警方法及装置 | |
| CN109413071B (zh) | 一种异常流量检测方法及装置 | |
| EP3215955B1 (en) | Identifying a potential ddos attack using statistical analysis | |
| WO2013105991A3 (en) | Methods and systems for detecting and mitigating a high-rate distributed denial of service (ddos) attack | |
| US20130318609A1 (en) | Method and apparatus for quantifying threat situations to recognize network threat in advance | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| US20180314834A1 (en) | Threat score determination | |
| US8806313B1 (en) | Amplitude-based anomaly detection | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN113518057A (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN114157442A (zh) | 异常流量检测方法、DDoS攻击检测方法、装置和电子设备 | |
| CN104598361A (zh) | 一种性能监控方法和装置 | |
| CN107786524B (zh) | 高级持续性威胁的检测方法和装置 | |
| KR20230039977A (ko) | 네트워크 공격 탐지 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170309 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180426 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180625 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180710 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180724 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6377261 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |