JP6502902B2 - 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 - Google Patents
攻撃検知装置、攻撃検知システムおよび攻撃検知方法 Download PDFInfo
- Publication number
- JP6502902B2 JP6502902B2 JP2016158578A JP2016158578A JP6502902B2 JP 6502902 B2 JP6502902 B2 JP 6502902B2 JP 2016158578 A JP2016158578 A JP 2016158578A JP 2016158578 A JP2016158578 A JP 2016158578A JP 6502902 B2 JP6502902 B2 JP 6502902B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- flow
- unit
- request packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
実施の形態に係る攻撃検知システムについて、攻撃検知システム全体の概略構成、攻撃検知システムを構成する各装置の概略構成、攻撃検知システムにおける処理の流れ及び具体例を説明する。なお、以降で説明する転送装置の台数等は、あくまで例示であり、これに限定されるものではない。
この実施の形態では、監視対象のフローの帯域が閾値を超えた場合に攻撃を検知するのではなく、検知対象のサーバに対するTCP(Transmission Control Protocol) SYN(Synchronize)パケット(接続要求パケット)が到達してから、このTCP SYNパケットに対応するフローでのTCP FIN(Finish)パケット(切断要求パケット)が到達するまでの期間と、所定の閾値とを比較することによって、低通信量で長期間にわたり攻撃を行うSlow Dos攻撃を検知する。
次に、TCP SYNパケット及びTCP FINパケットのコピーを生成する転送装置2A〜2Dの構成について説明する。図2は、図1に示す転送装置2Aの構成の一例を示すブロック図である。図2に示すように、転送装置2Aは、記憶部21、通信部22及び制御部23を有する。なお、他の転送装置2B〜2Dも転送装置2Aと同様の構成を有する。
図4は、図1に示すサーバ装置3の構成の一例を示すブロック図である。図4に示すように、サーバ装置3は、記憶部31、通信部32及び制御部33を有する。
次に、セキュリティ装置4の構成について説明する。図8は、図1に示すセキュリティ装置4の構成の一例を示す図である。図8に示すように、セキュリティ装置4は、記憶部41、通信部42及び制御部43を有する。
図10は、図1に示す攻撃検知システムによる攻撃検知処理の流れを説明するシーケンス図である。図10では、説明の簡易化のために、ある一つのフローを監視対象フローとした場合の処理手順について示す。
このように、本実施の形態に係る攻撃検知システムでは、攻撃検知対象の所定サーバへのTCP SYNパケットが到達してから、TCP SYNパケットに対応するフローでのTCP FINパケットが到達するまでの期間を、所定の閾値と比較することによって、所定サーバに対する攻撃を検知する。言い換えると、本実施の形態では、TCP SYNパケットが到達してからTCP FINパケットが到達するまでの期間が所定の閾値を超えていた場合に、該TCP SYNパケットに対応するフローに攻撃が流れていることを検知する。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図11は、プログラムが実行されることにより、攻撃検知システムのサーバ装置3が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
3 サーバ装置
4 セキュリティ装置
5 Webサーバ
6A 通常ユーザ端末
6B 攻撃者端末
10 ネットワーク
21,31,41 記憶部
22,32,42 通信部
23,33,43 制御部
211 抽出パケット設定テーブル
231 抽出部
232 パケットコピー部
233 転送制御部
331 パケット取得部
332 タイマ
333 計測部
334 攻撃検知部
335 通信制御部
336 閾値設定部
411 解析用テーブル
431 攻撃解析部
Claims (5)
- 通過するパケットの中から所定サーバへの接続要求パケット及び前記所定サーバへの切断要求パケットを抽出する転送装置から、該転送装置が抽出したパケットのコピーを取得する取得部と、
前記取得部が取得したパケットのコピーを基に、前記接続要求パケットが到達してから、前記接続要求パケットに対応するフローでの切断要求パケットが到達するまでの期間を計測する計測部と、
前記計測部が計測した期間と所定の閾値とを比較し、比較結果に基づいて、前記接続要求パケットに対応するフローに対する攻撃の疑いを検知し、該フローについて攻撃の疑いを検知した場合には、該フローのパケットを、攻撃被疑フローのパケットとして、攻撃の解析を行う攻撃解析装置に転送するように前記転送装置に指示する攻撃検知部と、
を有することを特徴とする攻撃検知装置。 - 前記攻撃検知部は、前記計測部によって計測された期間が前記所定の閾値を超えている場合に、前記接続要求パケットに対応するフローに対する攻撃の疑いがあることを検知することを特徴とする請求項1に記載の攻撃検知装置。
- 前記接続要求パケットが到達してから、前記接続要求パケットに対応するフローでの切断要求パケットが到達するまでの期間の度数分布を一定期間作成し、該作成した度数分布を基に前記所定の閾値を設定する設定部をさらに有することを特徴とする請求項1または2に記載の攻撃検知装置。
- 複数の転送装置を含むネットワークへの攻撃の疑いを検知する攻撃検知装置と、前記ネットワークへの攻撃を解析する攻撃解析装置と、を有する攻撃検知システムであって、
前記転送装置は、
当該転送装置を通過するパケットの中から、所定サーバへの接続要求パケット及び前記所定サーバへの切断要求パケットを抽出する抽出部と、
前記抽出部が抽出したパケットのコピーを前記攻撃検知装置に送信する送信部と、
を有し、
前記攻撃検知装置は、
前記転送装置から、該転送装置が抽出したパケットのコピーを取得する取得部と、
前記取得部が取得したパケットのコピーを基に、前記接続要求パケットが到達してから、前記接続要求パケットに対応するフローでの切断要求パケットが到達するまでの期間を計測する計測部と、
前記計測部が計測した期間と所定の閾値とを比較し、比較結果に基づいて、前記接続要求パケットに対応するフローに対する攻撃の疑いを検知し、該フローについて攻撃の疑いを検知した場合には、該フローのパケットを、攻撃被疑フローのパケットとして、前記攻撃解析装置に転送するように前記転送装置に指示する攻撃検知部と、
を有し、
前記攻撃解析装置は、
前記攻撃被疑フローのパケットを受信した場合に、該攻撃被疑フローの内容を解析する解析部
を有することを特徴とする攻撃検知システム。 - パケットの抽出機能を有する複数の転送装置を含むネットワークのトラフィックへの攻撃の疑いを検知する攻撃検知装置が行う攻撃検知方法であって、
前記攻撃検知装置が、前記転送装置によって抽出された該転送装置を通過するパケットの中から所定サーバへの接続要求パケット及び前記所定サーバへの切断要求パケットのコピーを取得する取得工程と、
前記攻撃検知装置が、前記取得工程において取得したパケットのコピーを基に、前記接続要求パケットが到達してから、前記接続要求パケットに対応するフローでの切断要求パケットが到達するまでの期間を計測する計測工程と、
前記攻撃検知装置が、前記計測工程において計測した期間と所定の閾値とを比較し、比較結果に基づいて、前記接続要求パケットに対応するフローに対する攻撃の疑いを検知する検知工程と、
前記攻撃検知装置が、前記検知工程において、前記接続要求パケットに対応するフローについて攻撃の疑いを検知した場合には、該フローのパケットを、攻撃被疑フローのパケットとして、攻撃の解析を行う攻撃解析装置に転送するように前記転送装置に指示する指示工程と、
を含んだことを特徴とする攻撃検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016158578A JP6502902B2 (ja) | 2016-08-12 | 2016-08-12 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016158578A JP6502902B2 (ja) | 2016-08-12 | 2016-08-12 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018026747A JP2018026747A (ja) | 2018-02-15 |
JP6502902B2 true JP6502902B2 (ja) | 2019-04-17 |
Family
ID=61194349
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016158578A Active JP6502902B2 (ja) | 2016-08-12 | 2016-08-12 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6502902B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6923809B2 (ja) * | 2018-08-23 | 2021-08-25 | 日本電信電話株式会社 | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム |
WO2020060231A1 (ko) * | 2018-09-19 | 2020-03-26 | 주식회사 맥데이타 | 네트워크 보안 모니터링 방법, 네트워크 보안 모니터링 장치 및 시스템 |
KR102163280B1 (ko) | 2018-09-19 | 2020-10-08 | 주식회사 맥데이타 | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 |
JP6825610B2 (ja) * | 2018-10-02 | 2021-02-03 | セイコーエプソン株式会社 | 偏光素子、液晶装置、および電子機器 |
JP2020136888A (ja) | 2019-02-19 | 2020-08-31 | 日本電信電話株式会社 | 検知装置および検知方法 |
CN114244786B (zh) * | 2021-11-30 | 2024-05-10 | 深圳市飞速创新技术股份有限公司 | 安全防护方法、装置、设备和存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10240687A (ja) * | 1997-02-28 | 1998-09-11 | Tec Corp | ネットワークシステム |
JP2007072738A (ja) * | 2005-09-07 | 2007-03-22 | Junko Takeuchi | 健康管理支援システム及び健康管理支援方法 |
US9614853B2 (en) * | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
-
2016
- 2016-08-12 JP JP2016158578A patent/JP6502902B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018026747A (ja) | 2018-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
EP3144839A1 (en) | Detection device, detection method and detection program | |
EP2289221B1 (en) | Network intrusion protection | |
US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
EP2961111A1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
JP2011035932A (ja) | ネットワーク制御装置およびその制御方法 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
WO2019159989A1 (ja) | 監視システム、監視方法及び監視プログラム | |
US20230318956A1 (en) | Testing device, testing method, and testing program | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
JP6563872B2 (ja) | 通信システム、および、通信方法 | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
US9742699B2 (en) | Network apparatus and selective information monitoring method using the same | |
Tesliuk | Monitoring network traffic and detecting attacks using eBPF | |
JPWO2018143096A1 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180620 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190306 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190322 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6502902 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |