JP6698507B2 - 通信監視装置、通信監視方法及び通信監視プログラム - Google Patents
通信監視装置、通信監視方法及び通信監視プログラム Download PDFInfo
- Publication number
- JP6698507B2 JP6698507B2 JP2016235845A JP2016235845A JP6698507B2 JP 6698507 B2 JP6698507 B2 JP 6698507B2 JP 2016235845 A JP2016235845 A JP 2016235845A JP 2016235845 A JP2016235845 A JP 2016235845A JP 6698507 B2 JP6698507 B2 JP 6698507B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- service
- address
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、評価部14に参照させてもよい。
また、サービスホスト推定部12は、推定した提供サービスの情報を通信プロファイル部13により取得された情報とマッチングさせ、この提供サービスの情報のうち確度の高い情報を抽出する。
具体的には、評価部14は、検知部11により検知された被害ホスト候補を宛先とする通信パケットについて、宛先ポート番号及び通信パターンを記録する。そして、評価部14は、サービスホスト推定部12により推定された該当のIPアドレスでの提供サービスと、観測した宛先ポート及び通信パターンとを比較する。評価部14は、比較の結果、両者に著しく相違がある場合に影響が大きい通信であると評価する。
本処理は、例えば攻撃が想定されるサーバ群等、指定されたIPアドレスを対象として、このIPアドレスが被害ホスト候補として検知されていない通常時の所定のタイミングで実行される。
本処理は、通信の監視を実施している間、繰り返し実行される。
なお、評価部14は、宛先ポート番号及び通信パターンで示される通信パケットの特徴が通常と異なる点及び相違量に基づく評価値を算出して出力してもよい。
したがって、通信監視装置1は、提供サービスに合致する通常に観測される通信と大きく相違する通信がネットワーク設備への影響度が高いと判定でき、ネットワーク設備に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
10 制御部
11 検知部
12 サービスホスト推定部
13 通信プロファイル部
14 評価部
20 記憶部
21 サービスホストデータベース
Claims (5)
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定部と、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価部と、を備える通信監視装置。 - 通信パケットの宛先アドレス毎に、宛先ポート番号及び通信パターンに基づいて、当該宛先アドレスでの利用サービスの情報を取得する通信プロファイル部を備え、
前記サービスホスト推定部は、前記提供サービスの情報を前記通信プロファイル部により取得された情報とマッチングさせ、当該提供サービスの情報のうち確度の高い情報を抽出する請求項1に記載の通信監視装置。 - 前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定する請求項1又は請求項2に記載の通信監視装置。
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価ステップと、をコンピュータが実行する通信監視方法。 - 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価ステップと、をコンピュータに実行させるための通信監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235845A JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016235845A JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018093384A JP2018093384A (ja) | 2018-06-14 |
JP6698507B2 true JP6698507B2 (ja) | 2020-05-27 |
Family
ID=62566472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016235845A Active JP6698507B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6698507B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100777752B1 (ko) * | 2004-10-28 | 2007-11-19 | 니폰덴신뎅와 가부시키가이샤 | 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법 |
JP2008278272A (ja) * | 2007-04-27 | 2008-11-13 | Kddi Corp | 電子システム、電子機器、中央装置、プログラム、および記録媒体 |
JP2010239392A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | サービス不能攻撃制御システム、装置、および、プログラム |
JP6081386B2 (ja) * | 2014-01-30 | 2017-02-15 | 日本電信電話株式会社 | 情報共有装置、情報共有方法、および、情報共有プログラム |
-
2016
- 2016-12-05 JP JP2016235845A patent/JP6698507B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018093384A (ja) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019136953A1 (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
US7958559B2 (en) | Method, device and computer program product for determining a malicious workload pattern | |
TW201703465A (zh) | 網路異常偵測技術 | |
JP2016146192A5 (ja) | ||
JP2008176753A (ja) | データ類似性検査方法及び装置 | |
JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US11050771B2 (en) | Information processing apparatus, communication inspecting method and medium | |
JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
JP6698507B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
JP4777366B2 (ja) | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 | |
TW201947442A (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
JP6712944B2 (ja) | 通信予測装置、通信予測方法及び通信予測プログラム | |
JP4980396B2 (ja) | トラヒック特性計測方法および装置 | |
JP6715751B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200428 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6698507 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |