JP6470201B2 - 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 - Google Patents
攻撃検知装置、攻撃検知システムおよび攻撃検知方法 Download PDFInfo
- Publication number
- JP6470201B2 JP6470201B2 JP2016027082A JP2016027082A JP6470201B2 JP 6470201 B2 JP6470201 B2 JP 6470201B2 JP 2016027082 A JP2016027082 A JP 2016027082A JP 2016027082 A JP2016027082 A JP 2016027082A JP 6470201 B2 JP6470201 B2 JP 6470201B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- monitoring target
- flow
- unit
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃検知装置、攻撃検知システムおよび攻撃検知方法に関する。
近年、サービスプロバイダが提供するネットワークを妨害するネットワーク攻撃が問題となっている。このネットワーク攻撃としては、たとえば、悪意のある攻撃者がネットワークに対して大量のパケットを送信することでネットワークに負荷をかけ、これによりネットワークサービス提供者のサービスを妨害するDoS攻撃(Denial of Service)やDDoS攻撃(Distributed Denial of Service)が知られている。
これらの攻撃からネットワークに接続された通信機器(サーバ装置など)を防御するために、種々の攻撃検知方法が提案されている。たとえば、攻撃を仕掛ける通信端末とサーバ装置とを結ぶ通信経路上に、パケットのカウント機能を有する転送装置を設け、この転送装置が、特定のフローで送信されたパケット数をカウントし、カウント数が所定の閾値以上である場合に攻撃検知をおこなう技術が提案されている(例えば、非特許文献1参照)。
ISPにおけるDoS/DDoS攻撃の検知・対策技術、[online]、[平成28年1月29日検索]、インターネット<URL:https://www.nic.ad.jp/ja/materials/iw/2013/proceedings/s2/s2-nishizuka.pdf>
ところで、Http Get Flooding(HyperText Transfer Protocol)といったアプリケーションレイヤを対象とした攻撃は、低通信量でも攻撃対象を攻撃することが可能である。しかしながら,非特許文献1に開示されている技術従来では、パケットカウント数といったトラフィック量で攻撃検知を行うため、Http Get Floodingといったアプリケーションレイヤを対象とする攻撃であって、通信が継続して発生するものの低通信量で発生する攻撃に対しては、検知が難しいことが問題であった。なお、Http Get Flooding攻撃は、HTTPのGETコマンドを多数回にわたって大量に送ることによって、対象サーバのリソースを消費させ、対象サーバの正常な運用を妨害する攻撃である。
本発明は、上記に鑑みてなされたものであって、フローのパケットカウント数を閾値と比較するだけでは検知が難しいネットワーク攻撃を適切に検知することができる攻撃検知装置、攻撃検知システムおよび攻撃検知方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る攻撃検知装置は、パケットのカウント機能を有する転送装置から、該転送装置を通過した監視対象フローのパケットのカウント数と、カウントされた前記監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報を取得する取得部と、前記パケットカウント情報を基に前記監視対象フローのパケット間隔が一定時間間隔以下である状態が継続した継続期間を計測する計測部と、前記計測部によって計測された監視対象フローの前記継続期間と所定の閾値との比較結果に基づいて前記監視対象フローに対する攻撃を検知する攻撃検知部と、を有することを特徴とする。
本発明によれば、フローのパケットカウント数を閾値と比較するだけでは検知が難しいネットワーク攻撃を適切に検知することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態1]
実施の形態1に係る攻撃検知システムについて、攻撃検知システム全体の概略構成、攻撃検知システムを構成する各装置の概略構成、攻撃検知システムにおける処理の流れ及び具体例を説明する。なお、以降で説明する転送装置の台数等は、あくまで例示であり、これに限定されるものではない。
実施の形態1に係る攻撃検知システムについて、攻撃検知システム全体の概略構成、攻撃検知システムを構成する各装置の概略構成、攻撃検知システムにおける処理の流れ及び具体例を説明する。なお、以降で説明する転送装置の台数等は、あくまで例示であり、これに限定されるものではない。
[攻撃検知システムの構成]
この実施の形態1では、監視対象フローのパケットカウント数が所定の閾値以上である場合に該監視対象フローに攻撃があると検知するのではなく、監視対象フローのパケット間隔が一定時間間隔以下である状態(バースト状態)が連続して続く時間が所定の閾値を超えて継続した場合に該監視対象フローにHttp Get Flooding攻撃等の攻撃があると検知する。
この実施の形態1では、監視対象フローのパケットカウント数が所定の閾値以上である場合に該監視対象フローに攻撃があると検知するのではなく、監視対象フローのパケット間隔が一定時間間隔以下である状態(バースト状態)が連続して続く時間が所定の閾値を超えて継続した場合に該監視対象フローにHttp Get Flooding攻撃等の攻撃があると検知する。
まず、図1を参照して、実施の形態1に係る攻撃検知システムの構成について説明する。図1は、実施の形態1に係る攻撃検知システムの構成の一例を説明するための図である。
図1に示すように、実施の形態1に係る攻撃検知システムは、複数の転送装置2A〜2Dを含むネットワーク10に対して、該ネットワーク10を流れるトラフィックを監視するとともにネットワーク10を流れる攻撃を検知するサーバ装置3(攻撃検知装置)と、ネットワーク10を流れる攻撃があった場合に該攻撃を解析するセキュリティ装置4(攻撃解析装置)とを有する。図1の例では、転送装置2Cの接続先にWebサーバ5が位置する。また、図1の例では、転送装置2A,2Dは、インターネット等を介して、外部の端末6A,6Bと接続する。また、図1では、ネットワーク10内を流れるトラフィックフローとして、フローA,B,Cを例示している。
転送装置2A〜2Dは、ネットワーク10の通信経路上に設けられたパケット転送装置である。転送装置2A〜2Dは、それぞれ、転送先の装置の識別情報と転送先の装置のアドレスとをそれぞれ対応付けた転送テーブルに従って、到着したパケットを転送先に転送する。
また、転送装置2A〜2Dは、転送装置2A〜2Dをそれぞれ通過するパケットのフローを判別する機能と、所定の監視対象フローのパケット数をフローごとにカウントするカウント機能とを有する。そして、転送装置2A〜2Dは、カウントした監視対象フローのパケット数と、該監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報をサーバ装置3に送信する機能を有する。本実施の形態1では、ネットワーク10におけるフローA,B,Cのうち、フローAを監視対象フローとして説明する。転送装置2は、仮想スイッチ、仮想ソフトウェアスイッチ、物理スイッチ或いはゲートウェイ等である。
サーバ装置3は、例えば、各装置との間で通信を行い、各種サービスを提供する。また、サーバ装置3は、ネットワーク10のトラフィックを監視し、監視状況に基づいてネットワーク10を流れる攻撃を検知する。本実施の形態1では、サーバ装置3は、転送装置2A〜2Cから送信されたパケットカウント情報を基にネットワーク10を流れる攻撃を検知する。
具体的には、サーバ装置3は、転送装置2A〜2Cから送信されたパケットカウント情報を基に監視対象フローのバースト継続期間を計測し、該計測した監視対象フローのバースト状態の継続期間(バースト継続期間)と所定の閾値との比較結果に基づいて監視対象フローに対する攻撃を検知する。バースト状態とは、監視対象フローのパケット間隔が一定時間間隔以下である状態であり、バースト継続期間とは、このバースト状態が継続した継続期間のことをいう。
セキュリティ装置4は、サーバ装置3がネットワーク10を流れる攻撃を検知した場合、サーバ装置3が攻撃を検知した監視対象フローを攻撃被疑フローとして、攻撃被疑フローの内容を解析する。例えば、セキュリティ装置4は、転送装置2A〜2Dから論理的に接続できる場所に設けられ、転送装置2A〜2Dを介して、サーバ装置3と通信可能に接続される。或いは、セキュリティ装置4は、ネットワーク10の外部に設けられ、各種通信装置を介してサーバ装置3と通信可能に接続される。
Webサーバ5は、各装置との間で通信を行い、各種サービスを提供する。例えば、Webサーバ5は、転送装置2A〜2Dのいずれかを経由して、端末6A或いは端末6BからHTTPリクエストを受信した場合に、HTML(HyperText Markup Language)ファイル等をリクエスト元の端末に返信する。
端末6A,6Bは、転送装置2A〜2Dやインターネットを介して、Webサーバ5などの他の端末と通信を行う通信装置である。例えば、PC(Personal Computer)やPDA(Personal Digital Assistant)等である。図1に示す例では、端末6A,6Bは、転送装置2A〜2Dと通信可能に接続される。
このように、本実施の形態1に係る攻撃検知システムは、監視対象フローのパケットカウント情報を用いて計測した監視対象フローのバースト継続期間に基づいて、監視対象フローに対する攻撃を検知する。まず、パケットカウント情報を生成する転送装置2A〜2Dの構成について説明する。
[転送装置の構成]
図2は、図1に示す転送装置2Aの構成の一例を示すブロック図である。図2に示すように、転送装置2Aは、記憶部21、通信部22及び制御部23を有する。なお、他の転送装置2B〜2Dも転送装置2Aと同様の構成を有する。
図2は、図1に示す転送装置2Aの構成の一例を示すブロック図である。図2に示すように、転送装置2Aは、記憶部21、通信部22及び制御部23を有する。なお、他の転送装置2B〜2Dも転送装置2Aと同様の構成を有する。
記憶部21は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、転送装置2を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部21は、転送先の装置の識別情報と転送先の装置のアドレスとをそれぞれ対応付けた転送テーブルを記憶する。また、記憶部21は、パケット数のカウント対象となる監視対象フローをエントリしたエントリテーブル211を記憶する。この監視対象フローのエントリは、他の装置(例えば、サーバ装置3)からの通知に従い行われる。また、監視対象フローのエントリ方法として、転送装置に静的に設定する方法や、通過するフロー情報から動的に設定する方法等が考えられる。
図3は、図2に示すエントリテーブル211のデータ構成の一例を示す図である。エントリテーブル211は、図3に示すテーブルT1のように、各エントリされたフローA〜Cのそれぞれに、パケットカウント開始時間、パケットカウント終了時間、及び、カウントしたパケット数の記録欄が設けられている。また、各フローA〜Cを識別するための識別情報として、送信元IP(src IP)アドレス、宛先IP(dst IP)アドレス、宛先ポート(src port)、送信ポート(dst port)及びプロトコル(protocol)の組み合わせがフローA〜Cごとに示されている。
例えば、src IP=端末6A、dst IP=Webサーバ5、src port=500001、dst port=80、及び、protocol=tcpであるフローが、フローAとして判別できる。また、src IP=端末6B、dst IP=Webサーバ5、src port=500002、dst port=8080、及び、protocol=tcpであるフローが、フローBであることが判別できる。また、このフローAについては、「2016.02.16 09:00:00」から「2016.02.16 09:00:10」までの10秒間にパケットのカウントを実行し、カウントしたパケット数が「1000」であることが示されている。
通信部22は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。例えば、通信部22は、他の装置から送信されたパケットを受信したり、転送対象のパケットを転送先に送信したりする。
制御部23は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部23は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部23は、フロー判別部231、パケットカウント部232(カウント部)、タイマ部233、パケットカウント情報生成部234及び転送制御部235を有する。
フロー判別部231は、転送装置2Aを通過するパケットのうち所定の監視対象フローのパケットを判別し、判別した監視対象フローのパケットをパケットカウント部232に出力する。フロー判別部231は、通信部22が受信したパケットのうち、送信元のIPアドレス及び宛先のIPアドレスの組み合わせが、エントリテーブル211に示された監視対象フローに対応する送信元のIPアドレス及び宛先のIPアドレスの組み合わせに一致したパケットを、監視対象フローのパケットとして判別する。或いは、フロー判別部231は、通信部22が受信したパケットのうち、ポート番号の組み合わせが、エントリテーブル211に示された監視対象フローに対応するポート番号の組み合わせに一致したパケットを、監視対象フローのパケットとして判別する。
パケットカウント部232は、カウンターを有し、転送装置2Aを通過するパケットのうち所定の監視対象フローのパケットをカウントする。パケットカウント部232は、フロー判別部231から出力された監視対象フローのパケットを受信すると、カウンターのカウント値に1を加算する。そして、パケットカウント部232は、パケットをカウントすると、エントリテーブル211にカウント数を保存し、定期的にエントリテーブル211のパケットカウント数をサーバ装置3にエクスポートする(図1の矢印Y1参照)。なお、パケットカウント部232は、パケットカウント情報生成部234へのカウント数の出力後、カウンターをリセットする。
タイマ部233は、エントリテーブル211に時刻情報を保存する。
パケットカウント情報生成部234は、パケットカウント部232がカウントした監視対象フローのパケット数と、タイマ部233による通過時間情報とを受信し、パケットカウント部232がカウントした監視対象フローのパケット数と、パケットカウント部232にカウントされた監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報を生成する。
転送制御部235は、通信部22におけるパケットの転送処理を制御する。転送制御部235は、サーバ装置3で攻撃被疑フローを決定した後に、サーバ装置3から転送装置2Aに対して転送指示が送信される(図1の矢印Y2参照)と、攻撃被疑フローをセキュリティ装置4に転送する(図1の矢印Y3参照)。
サーバ装置3は、このパケットカウント情報を用いて、監視対象フローに対する攻撃を検知する。さらに、サーバ装置3は、攻撃のない時間帯のパケットカウント情報を用いて、攻撃検知のために使用する閾値、すなわち、バースト継続期間との比較対象の閾値を設定する。次に、サーバ装置3の構成について説明する。
[サーバ装置の構成]
図4は、図1に示すサーバ装置3の構成の一例を示すブロック図である。図4に示すように、サーバ装置3は、記憶部31、通信部32及び制御部33を有する。
図4は、図1に示すサーバ装置3の構成の一例を示すブロック図である。図4に示すように、サーバ装置3は、記憶部31、通信部32及び制御部33を有する。
記憶部31は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、サーバ装置3を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部31は、転送装置2A〜2Dから送信された監視対象フローのパケットカウント情報や、攻撃検知に用いられるバースト継続期間に関する閾値を記憶する。
通信部32は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
制御部33は、CPUやMPUなどの電子回路であり、各種の処理手順などを規定したプログラムに従って種々の処理を実行する。制御部33は、パケットカウント情報取得部331、バースト継続期間計測部332、攻撃検知部333、通信制御部334及び閾値設定部335を有する。
パケットカウント情報取得部331は、転送装置2A〜2Dから、該転送装置2A〜2Dを通過した監視対象フローのパケットカウント情報を取得する。具体的には、パケットカウント情報取得部331は、通信部32が受信したパケットから、攻撃検知対象期間に対応するパケットカウント情報を抽出する。或いは、パケットカウント情報取得部331は、記憶部31に記憶されたパケットカウント情報から、攻撃検知対象期間に対応するパケットカウント情報を読み出す。
バースト継続期間計測部332は、パケットカウント情報取得部331が取得したパケットカウント情報を基に、監視対象フローのバースト継続期間を計測する。
具体的には、バースト継続期間計測部332は、サーバ装置3がパケットカウント情報を取得した時間、監視対象フローのパケットカウント情報におけるパケットカウント数、及び、各パケットの通過時間を用いて、パケット間の時間間隔をそれぞれ計測し、計測結果から、監視対象フローのパケット間隔が一定時間間隔以下であるバースト状態か否かを判断する。すなわち、バースト継続期間計測部332は、監視対象フローのパケット間隔が一定時間間隔以下である場合には、この監視対象フローがバースト状態であると判断し、監視対象フローのパケット間隔が一定時間間隔を超えている場合には、この監視対象フローがバースト状態でないと判断する。
続いて、バースト継続期間計測部332は、この監視対象フローがバースト状態であると判断した場合には、該バースト状態が継続するバースト継続期間を計測する。なお、バースト状態の可否を判断するための一定の時間間隔は、予め設定されており、サーバ装置3等から通知され、記憶部31に記憶されたものである。
図5は、通常時における監視対象フローのパケット到達タイミングを示す図である。図6は、攻撃時における監視対象フローのパケット到達タイミングを示す図である。ここで、サーバ装置3では、転送装置2A〜2Dに流れるフローの到着タイミングを正確に把握することができないため、転送装置2A〜2Dからサーバ装置3に送出されるパケットカウント情報を基に、サーバ装置2で転送装置2A〜2Dに流れるフローの到着タイミングを推測する。
具体的には、ある監視対象フローに着目した際、サーバ装置3では、パケット到着を認識した時間スロットに到着フラグを立てて、フラグが連続して立つ時間をバースト継続時間と推測する方法が考えられる。そこで、バースト継続期間計測部332は、フラグが連続して立つ時間をバースト継続時間として判断する。
例えば、バースト継続期間計測部332は、図5に示す時間t1及び時間t2にフラグが立てられたときには、フラグ間の時間間隔D0が時間間隔Dtより大きいため、時間t1及び時間t2の間は、バースト状態でないと判断する(図5の矢印Y10参照)。
また、バースト継続期間計測部332は、図5に示す時間t3〜時間t7にそれぞれフラグが立てられたときには、フラグ間の各時間間隔D1が、所定の時間間隔Dtよりも小さいため、時間t3〜時間t7の間は、バースト状態であると判断する(図5の矢印Y11参照)。この場合には、バースト継続期間計測部332は、このバースト状態が継続する時間t3〜時間t7までのバースト継続期間P1を計測して、後段の攻撃検知部333に計測結果を出力する。
また、バースト継続期間計測部332は、図6に示す時間t10〜時間t27にそれぞれフラグが立てられたときには、フラグ間の各時間間隔D2が時間間隔Dtより小さいため、時間t10〜時間t27の間は、バースト状態であると判断する(図6の矢印Y13参照)。この場合には、バースト継続期間計測部332は、このバースト状態が継続する時間t10〜時間t27までのバースト継続期間P2を計測して、後段の攻撃検知部333に計測結果を出力する。
攻撃検知部333は、バースト継続期間計測部332によって計測された監視対象フローのバースト継続期間と所定の閾値との比較結果に基づいて監視対象フローに対する攻撃を検知する。すなわち、攻撃検知部333は、バースト継続期間計測部332によって計測された監視対象フローのバースト継続期間が所定の閾値を超えている場合に、監視対象フローに対する攻撃があることを検知し、該監視対象フローが攻撃被疑フローであると判断する。
具体的に、図5及び図6に示すバースト継続期間P1,P2を例に説明する。ここで、所定の閾値をPtとした場合、図5に示すバースト継続期間P1については、閾値Ptよりも短いため、攻撃検知部333は、バースト継続期間P1において、監視対象フローAに対する攻撃はないと判断する(図5の矢印Y12参照)。これに対し、バースト継続期間P2については、閾値Ptよりも長いため、攻撃検知部333は、バースト継続期間P2において監視対象フローAに対する攻撃があると検知する(図6の矢印Y14参照)。
通信制御部334は、通信部32における通信処理を制御し、他の装置との間で各種情報を通信する。そして、通信制御部334は、攻撃検知部333が監視対象フローに対する攻撃を検知した場合には、該監視対象フローを攻撃被疑フローとして、通信部32を介して、転送装置2A〜2D及びセキュリティ装置4に通知する。言い換えると、通信制御部334は、攻撃を検知した監視対象フローが攻撃被疑フローであることを示す攻撃フロー情報(攻撃検知情報)をセキュリティ装置4に通知する。
具体的には、通信制御部334は、監視対象フローAに対して攻撃が検知された場合には、監視対象フローAを攻撃被疑フローとしてコピー、ステアリングし、攻撃被疑フローAを、セキュリティ装置4を経由するフローA´(図1参照)に変更するよう転送装置2A〜2D及びセキュリティ装置4に通知する。なお、サーバ装置3は、転送装置2Bを介してセキュリティ装置4と通信する場合には、転送装置2Bに攻撃被疑フローを送信し、これによって、転送装置2Bがセキュリティ装置4にU−Planeのトラフィックを転送する。
閾値設定部335は、監視対象フローごとに、該監視対象フローのバースト継続期間の閾値を設定する。
具体的には、閾値設定部335は、閾値の設定対象である監視対象フローのパケットカウント情報の中から、攻撃のない時間帯のパケットカウント情報を収集して、該監視対象フローのバースト継続期間を計測する。例えば、閾値設定部335は、攻撃のない時間帯に、パケットカウント情報取得部331を介して、監視対象フローのパケットカウント情報の収集を行ってもよいし、記憶部31に記憶された監視対象フローのパケットカウント情報であって攻撃のない時間帯に対応する情報を読み出すことによってパケットカウント情報の収集を行ってもよい。閾値設定部335は、この処理を複数回繰り返すことによって、閾値の設定対象である監視対象フローのバースト継続期間の度数分布を一定期間作成する。
続いて、閾値設定部335は、該作成した監視対象フローのバースト継続期間の度数分布を基に、バースト継続期間の所定のα(例えば、99.9)パーセンタイル値を、該監視対象フローにおける閾値として設定する。閾値設定部335は、上記の閾値設定までの処理を、サーバ装置3における攻撃検知処理を開始する前に行う他、攻撃のない時間帯に適宜行って閾値を更新してもよい。閾値設定部335は、設定した閾値を、対応する監視対象フローの識別情報に対応付けて記憶部31に記憶する。
[セキュリティ装置の構成]
次に、セキュリティ装置4の構成について説明する。図7は、図1に示すセキュリティ装置4の構成の一例を示すブロック図である。図7に示すように、セキュリティ装置4は、記憶部41、通信部42及び制御部43を有する。
次に、セキュリティ装置4の構成について説明する。図7は、図1に示すセキュリティ装置4の構成の一例を示すブロック図である。図7に示すように、セキュリティ装置4は、記憶部41、通信部42及び制御部43を有する。
記憶部41は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、セキュリティ装置4を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部41は、攻撃解析のために用いるテーブル411を記憶する。
図8は、記憶部41が記憶する攻撃解析用のテーブル411の一例を示す図である。図8のテーブルT2は、DDos攻撃を解析するためのものであり、攻撃内容と、攻撃のトラフィックパターンとを対応付けている。例えば、テーブルT2には、大量のクエリーなどによるDNSの攻撃トラフィックが検出できる場合には、DNS(Domain Name System)サーバが攻撃の標的となっていることが示されている。
通信部42は、ネットワークを介して接続された装置と各種情報を送受信する通信インターフェースである。
制御部43は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、セキュリティ装置4を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。制御部43は、攻撃解析部431を有する。
攻撃解析部431は、サーバ装置3から攻撃検知情報を受信した場合に、該攻撃検知情報に示された攻撃被疑フローの内容を解析する。攻撃解析部431は、攻撃検知情報である制御信号にしたがって、攻撃検知情報に示された攻撃被疑フローをコピーし、攻撃被疑フローを、セキュリティ装置4を経由するフローに変更するよう処理を行う。
例えば、攻撃解析部431は、攻撃検知情報で示された攻撃被疑フローが、図1に示す、端末6Aから、転送装置2A,2B,2Cを経由して、Webサーバ5に到達するフローAである場合には、このフローAを、セキュリティ装置4を経由するフローA´(図1参照)に変更する。すなわち、セキュリティ装置4は、転送装置2Bを制御して、攻撃被疑フローのパケットの全てを、セキュリティ装置4に転送させる。つまり、転送装置2Bで攻撃被疑フローA自体をセキュリティ装置4に引き込んでいる。そして、セキュリティ装置4は、このように転送させた攻撃被疑フローのパケットから、攻撃被疑フローのトラフィックパターンを検出し、検出したトラフィックパターンと、テーブルT2に示されたトラフィックパターンとを比較して、攻撃内容を解析する。さらに、セキュリティ装置4は、該解析結果に基づいて攻撃対処を行う。
[攻撃検知処理の流れ]
図9は、図1に示す攻撃検知システムによる攻撃検知処理の流れを説明するシーケンス図である。図9では、説明の簡易化のために、ある一つのフローを監視対象フローとした場合の処理手順について示す。
図9は、図1に示す攻撃検知システムによる攻撃検知処理の流れを説明するシーケンス図である。図9では、説明の簡易化のために、ある一つのフローを監視対象フローとした場合の処理手順について示す。
図9に示すように、転送装置2Aは、パケットを受信すると(ステップS1)、所定の監視対象フローのパケットを判別し(ステップS2)、判別した監視対象フローのパケットをカウントする(ステップS3)。ステップS1〜ステップS3の処理は繰り返し行われている。転送装置2Aは、監視対象フローのパケットのカウント数に、カウントされた監視対象フローの各パケットの通過時間情報を付与して(ステップS4)、パケットカウント情報を生成し、生成したパケットカウント情報をサーバ装置3に送信する(ステップS5)。なお、これに伴い、転送装置2Aは、エントリテーブル211に保存された監視対象フローのカウンタリセットを行う。
サーバ装置3は、受信したパケットカウント情報を用いて、監視対象フローのバースト継続期間を計測する(ステップS6)。サーバ装置3は、計測された監視対象フローのバースト継続期間が閾値を超えているか否かを判断する(ステップS7)。サーバ装置3は、計測された監視対象フローのバースト継続期間が閾値以下であると判断した場合(ステップS7:No)、ステップS6に進み、新たに受信したパケットカウント情報を用いて、監視対象フローのバースト継続期間を計測する。
これに対し、サーバ装置3は、計測された監視対象フローのバースト継続期間が閾値を超えていると判断した場合(ステップS7:Yes)、監視対象フローに対する攻撃を検知し(ステップS8)、該監視対象フローが攻撃被疑フローであることを示す攻撃被疑フロー情報を転送装置2Bに送信する(ステップS9)。転送装置2Bは、この攻撃被疑フロー情報をセキュリティ装置4に転送する(ステップS10)。なお、転送装置2Bで攻撃被疑フロー自体をセキュリティ装置4に引き込んでいる。
セキュリティ装置4は、受信した攻撃検知情報に示された攻撃被疑フローの内容を解析して(ステップS11)、攻撃の内容を解析し、該解析結果に基づいて攻撃対処を行う。
[実施の形態1の効果]
このように、本実施の形態1に係る攻撃検知システムでは、監視対象フローのパケットカウント情報を用いて計測した監視対象フローのバースト継続期間に基づいて監視対象フローに対する攻撃を検知する。言い換えると、本実施の形態1では、監視対象フローのパケットカウント数が所定の閾値以上である場合に該監視対象フローに攻撃があると検知するのではなく、監視対象フローのバースト状態が所定の閾値以上継続した場合に該監視対象フローに攻撃があると検知する。
このように、本実施の形態1に係る攻撃検知システムでは、監視対象フローのパケットカウント情報を用いて計測した監視対象フローのバースト継続期間に基づいて監視対象フローに対する攻撃を検知する。言い換えると、本実施の形態1では、監視対象フローのパケットカウント数が所定の閾値以上である場合に該監視対象フローに攻撃があると検知するのではなく、監視対象フローのバースト状態が所定の閾値以上継続した場合に該監視対象フローに攻撃があると検知する。
したがって、本実施の形態1によれば、フローのパケットカウント数を閾値と比較する従来の技術では検知が難しかった、低い通信量でも脅威となる攻撃が行われた場合にも、攻撃を適切に検知することができる。例えば、通信が継続して発生するものの低通信量で発生する攻撃であるHttp Get Flooding、HTTP POST Flooding、HTTP HEAD Flooding、SIP INVITE Flooding、DNS Water Torture等のアプリケーションレイヤのFlooding攻撃等も検知可能であると考えられる。
[他の実施の形態]
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図10は、プログラムが実行されることにより、攻撃検知システムのサーバ装置3が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図10は、プログラムが実行されることにより、攻撃検知システムのサーバ装置3が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、サーバ装置3の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、サーバ装置3における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
2A〜2D 転送装置
3 サーバ装置
4 セキュリティ装置
5 Webサーバ
6A,6B 端末
10 ネットワーク
21,31,41 記憶部
22,32,42 通信部
23,33,43 制御部
211 エントリテーブル
231 フロー判別部
232 パケットカウント部
233 タイマ部
234 パケットカウント情報生成部
235 転送制御部
331 パケットカウント情報取得部
332 バースト継続期間計測部
333 攻撃検知部
334 通信制御部
335 閾値設定部
411 解析用テーブル
431 攻撃解析部
3 サーバ装置
4 セキュリティ装置
5 Webサーバ
6A,6B 端末
10 ネットワーク
21,31,41 記憶部
22,32,42 通信部
23,33,43 制御部
211 エントリテーブル
231 フロー判別部
232 パケットカウント部
233 タイマ部
234 パケットカウント情報生成部
235 転送制御部
331 パケットカウント情報取得部
332 バースト継続期間計測部
333 攻撃検知部
334 通信制御部
335 閾値設定部
411 解析用テーブル
431 攻撃解析部
Claims (4)
- パケットのカウント機能を有する転送装置から、該転送装置を通過した監視対象フローのパケットのカウント数と、カウントされた前記監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報を取得する取得部と、
前記パケットカウント情報を基に前記監視対象フローのパケット間隔が一定時間間隔以下である状態が継続した継続期間を計測する計測部と、
前記計測部によって計測された監視対象フローの前記継続期間と所定の閾値との比較結果に基づいて前記監視対象フローに対する攻撃を検知する攻撃検知部と、
前記監視対象フローの継続期間の度数分布を一定期間作成し、該作成した度数分布を基に前記所定の閾値を設定する設定部と、
を有することを特徴とする攻撃検知装置。 - 前記攻撃検知部は、前記計測部によって計測された監視対象フローの前記継続期間が、前記所定の閾値を超えている場合に、前記監視対象フローに対する攻撃があることを検知することを特徴とする請求項1に記載の攻撃検知装置。
- 複数の転送装置を含むネットワークへの攻撃を検知する攻撃検知装置と、前記ネットワークへの攻撃を解析する攻撃解析装置と、を有する攻撃検知システムであって、
前記転送装置は、
当該転送装置を通過するパケットのうち監視対象フローのパケット数をカウントするカウント部と、
前記カウント部がカウントした前記監視対象フローのパケット数と、前記カウント部にカウントされた前記監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報を前記攻撃検知装置に送信する送信部と、
を有し、
前記攻撃検知装置は、
前記転送装置から、該転送装置を通過した前記監視対象フローのパケットのパケットカウント情報を取得する取得部と、
前記パケットカウント情報を基に前記監視対象フローのパケット間隔が一定時間間隔以下である状態が継続した継続期間を計測する計測部と、
前記計測部によって計測された監視対象フローの前記継続期間と所定の閾値との比較結果に基づいて前記監視対象フローに対する攻撃を検知する攻撃検知部と、
前記監視対象フローの継続期間の度数分布を一定期間作成し、該作成した度数分布を基に前記所定の閾値を設定する設定部と、
前記攻撃検知部が前記監視対象フローに対する攻撃を検知した場合には、該監視対象フローが攻撃被疑フローであることを示す攻撃検知情報を前記攻撃解析装置に通知する通知部と、
を有し、
前記攻撃解析装置は、
前記攻撃検知情報を受信した場合に、該攻撃検知情報に示された前記攻撃被疑フローの内容を解析する解析部
を有することを特徴とする攻撃検知システム。 - パケットのカウント機能を有する複数の転送装置を含むネットワークのトラフィックへの攻撃を検知する攻撃検知装置が行う攻撃検知方法であって、
前記攻撃検知装置が、前記転送装置から、該転送装置を通過した監視対象フローのパケットのカウント数と、カウントされた前記監視対象フローの各パケットの通過時間とを対応付けたパケットカウント情報を取得する取得工程と、
前記攻撃検知装置が、前記パケットカウント情報を基に前記監視対象フローのパケット間隔が一定時間間隔以下である状態が継続した継続期間を計測する計測工程と、
前記攻撃検知装置が、前記計測工程において計測された監視対象フローの前記継続期間と所定の閾値との比較結果に基づいて前記監視対象フローに対する攻撃を検知する攻撃検知工程と、
前記監視対象フローの継続期間の度数分布を一定期間作成し、該作成した度数分布を基に前記所定の閾値を設定する設定工程と、
を含んだことを特徴とする攻撃検知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016027082A JP6470201B2 (ja) | 2016-02-16 | 2016-02-16 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016027082A JP6470201B2 (ja) | 2016-02-16 | 2016-02-16 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017147558A JP2017147558A (ja) | 2017-08-24 |
| JP6470201B2 true JP6470201B2 (ja) | 2019-02-13 |
Family
ID=59681582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016027082A Active JP6470201B2 (ja) | 2016-02-16 | 2016-02-16 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6470201B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6792532B2 (ja) * | 2017-09-01 | 2020-11-25 | 日本電信電話株式会社 | 異常検知装置および異常検知方法 |
| KR102617715B1 (ko) | 2019-02-01 | 2023-12-27 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 제어 방법 |
| WO2020161808A1 (ja) * | 2019-02-05 | 2020-08-13 | 日本電気株式会社 | 優先度判定装置、優先度判定方法、及びコンピュータ可読媒体 |
| JP2020136888A (ja) * | 2019-02-19 | 2020-08-31 | 日本電信電話株式会社 | 検知装置および検知方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
| JP2006164038A (ja) * | 2004-12-09 | 2006-06-22 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 |
| US20060288411A1 (en) * | 2005-06-21 | 2006-12-21 | Avaya, Inc. | System and method for mitigating denial of service attacks on communication appliances |
| CN101001249A (zh) * | 2006-12-31 | 2007-07-18 | 华为技术有限公司 | 一种防igmp报文攻击的方法和装置 |
| US8135007B2 (en) * | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
| JP4994323B2 (ja) * | 2008-07-25 | 2012-08-08 | アラクサラネットワークス株式会社 | 中継装置 |
| JP5532241B2 (ja) * | 2010-07-15 | 2014-06-25 | 日本電信電話株式会社 | 高パケットレートフロー検出装置及び高パケットレートフロー検出方法 |
| JP2012151689A (ja) * | 2011-01-19 | 2012-08-09 | Alaxala Networks Corp | トラヒック情報収集装置、ネットワーク制御装置およびトラヒック情報収集方法 |
-
2016
- 2016-02-16 JP JP2016027082A patent/JP6470201B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017147558A (ja) | 2017-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| US11316878B2 (en) | System and method for malware detection | |
| US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| KR101077135B1 (ko) | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 | |
| US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| US7440406B2 (en) | Apparatus for displaying network status | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| US20230318956A1 (en) | Testing device, testing method, and testing program | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| EP3964988B1 (en) | Sensing device, sensing method, and sensing program | |
| Bashurov et al. | Anomaly detection in network traffic using entropy-based methods: application to various types of cyberattacks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171218 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181009 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6470201 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |