JP6698507B2 - 通信監視装置、通信監視方法及び通信監視プログラム - Google Patents

通信監視装置、通信監視方法及び通信監視プログラム Download PDF

Info

Publication number
JP6698507B2
JP6698507B2 JP2016235845A JP2016235845A JP6698507B2 JP 6698507 B2 JP6698507 B2 JP 6698507B2 JP 2016235845 A JP2016235845 A JP 2016235845A JP 2016235845 A JP2016235845 A JP 2016235845A JP 6698507 B2 JP6698507 B2 JP 6698507B2
Authority
JP
Japan
Prior art keywords
communication
information
service
address
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016235845A
Other languages
English (en)
Other versions
JP2018093384A (ja
Inventor
山田 明
山田  明
順平 浦川
順平 浦川
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016235845A priority Critical patent/JP6698507B2/ja
Publication of JP2018093384A publication Critical patent/JP2018093384A/ja
Application granted granted Critical
Publication of JP6698507B2 publication Critical patent/JP6698507B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、大量通信による攻撃を検知する通信監視装置、通信監視方法及び通信監視プログラムに関する。
従来、複数の端末から大量の通信パケットを送信してサービスを妨害するDDoS(Distributed Denial of Service)攻撃が課題となっている。このような攻撃を検知し対処するためには、ネットワーク上のルータ等に監視装置を設置し、通信量が著しく大きい場合に攻撃と判定して、問題の原因となっている通信を廃棄するという方法が取られる。
このような監視装置は、IPパケットのヘッダ情報であるNetFlow又はsFlowと呼ばれるフロー情報を監視して、攻撃を判定している(例えば、非特許文献1及び2参照)。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
Arbor Networks社、Arbor SP、インターネット<https://www.arbornetworks.com/images/documents/Data%20Sheets/DS_SP_EN.pdf> GenieNetworks社、GenieATM、インターネット<http://www.genie-networks.com/images/Download_Files/GenieATM_ServiceWhitepaper_v5.6_ENG.pdf>
ネットワーク運用の観点では、大量通信が不正に実施されたか否かという観点での検知精度が求められず、運用に影響を及ぼす又は障害につながる可能性が高いか否かという観点での検知精度が求められる。しかしながら、従来の攻撃検知方法では、不正に発生させた通信か否かという観点に基づいて攻撃検知を行っているため、ネットワーク運用の観点から検知する必要がない攻撃を検知してしまったり、検知すべき攻撃を見逃してしまったりする場合があり、実被害又は実影響に基づいた高い検知精度を得られなかった。
本発明は、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供することを目的とする。
本発明に係る通信監視装置は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定部と、前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価部と、を備える。
前記通信監視装置は、通信パケットの宛先アドレス毎に、宛先ポート番号及び通信パターンに基づいて、当該宛先アドレスでの利用サービスの情報を取得する通信プロファイル部を備え、前記サービスホスト推定部は、前記提供サービスの情報を前記通信プロファイル部により取得された情報とマッチングさせ、当該提供サービスの情報のうち確度の高い情報を抽出してもよい。
前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定してもよい。
本発明に係る通信監視方法は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価ステップと、をコンピュータが実行する。
本発明に係る通信監視プログラムは、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスの情報と比較した結果の相違度合いに基づいて、前記通信パケットによる影響度を評価する評価ステップと、をコンピュータに実行させる。
本発明によれば、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる。
実施形態に係る通信監視装置の機能構成を示す図である。 実施形態に係るサービスホスト推定処理を示すフローチャートである。 実施形態に係る通信監視処理を示すフローチャートである。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
通信監視装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。
制御部10は、通信監視装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を通信監視装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信監視プログラムを記憶する。
制御部10は、検知部11と、サービスホスト推定部12と、通信プロファイル部13と、評価部14とを備える。また、記憶部20は、サービスホストデータベース(DB)21を備える。
検知部11は、通信パケット、又は通信パケットのフロー情報に基づいて宛先IPアドレス毎の通信量を測定し、測定した宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補を検知し、評価部14へ通知する。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、評価部14に参照させてもよい。
サービスホスト推定部12は、監視対象のネットワークに含まれるIPアドレス群に対してポートスキャン及びアプリケーション走査を行い、アドレス毎の提供サービスの情報として、オープンポート、サーバOS種別、サーバソフトウェア種別等を取得する。
また、サービスホスト推定部12は、推定した提供サービスの情報を通信プロファイル部13により取得された情報とマッチングさせ、この提供サービスの情報のうち確度の高い情報を抽出する。
通信プロファイル部13は、通信パケット又はフロー情報を監視し、通信パケットの宛先アドレス毎に、宛先ポート番号及び通信パターンに基づいて、この宛先アドレスで利用されているサービスの情報を取得する。
評価部14は、被害ホスト候補を宛先とする通信パケットの宛先ポート番号及び通信パターンを、サービスホスト推定部12により推定された提供サービスの情報と比較した結果の相違度合いに基づいて、通信パケットによる影響度を評価する。
具体的には、評価部14は、検知部11により検知された被害ホスト候補を宛先とする通信パケットについて、宛先ポート番号及び通信パターンを記録する。そして、評価部14は、サービスホスト推定部12により推定された該当のIPアドレスでの提供サービスと、観測した宛先ポート及び通信パターンとを比較する。評価部14は、比較の結果、両者に著しく相違がある場合に影響が大きい通信であると評価する。
図2は、本実施形態に係る通信監視装置1によるサービスホスト推定処理を示すフローチャートである。
本処理は、例えば攻撃が想定されるサーバ群等、指定されたIPアドレスを対象として、このIPアドレスが被害ホスト候補として検知されていない通常時の所定のタイミングで実行される。
ステップS1において、制御部10(通信プロファイル部13)は、指定されたIPアドレスを宛先とする通信パケットの宛先ポート番号及び通信パターンを取得する。
ステップS2において、制御部10(通信プロファイル部13)は、ステップS1で取得した宛先ポート番号及び通信パターンから、利用サービスの情報を取得する。
ステップS3において、制御部10(サービスホスト推定部12)は、指定されたIPアドレスに対して、ポートスキャン及びアプリケーション走査を行い、提供サービスの情報を取得する。
ステップS4において、制御部10(サービスホスト推定部12)は、ステップS3で取得した提供サービスの情報を、ステップS2で取得した利用サービスの情報とマッチングすることにより、確度の高い提供サービス情報を抽出する。
ステップS5において、制御部10(サービスホスト推定部12)は、ステップS4で抽出された確度の高い提供サービス情報を、サービスホストデータベース21に登録する。
図3は、本実施形態に係る通信監視装置1による通信監視処理を示すフローチャートである。
本処理は、通信の監視を実施している間、繰り返し実行される。
ステップS11において、制御部10(評価部14)は、検知部11により測定された宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補が検知されたか否かを判定する。この判定がYESの場合、処理はステップS12に移り、判定がNOの場合、処理は終了する。
ステップS12において、制御部10(評価部14)は、ステップS11で検知された被害ホスト候補を宛先とする通信パケットの情報(宛先ポート番号及び通信パターン)を取得する。
ステップS13において、制御部10(評価部14)は、サービスホストデータベース21から、ステップS11で検知された被害ホスト候補の提供サービス情報を抽出する。
ステップS14において、制御部10(評価部14)は、ステップS12で取得した通信パケットの情報を、ステップS13で抽出した提供サービスで想定される通信の情報と比較する。制御部10(評価部14)は、比較の結果、両者に所定の範囲を超える著しい相違があるか否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理は終了する。
ステップS15において、制御部10(評価部14)は、被害ホスト候補を宛先とする通信パケットを、ネットワークへの影響度が高い通信と評価し、この通信パケットの情報、例えばフロー情報を出力する。
なお、評価部14は、宛先ポート番号及び通信パターンで示される通信パケットの特徴が通常と異なる点及び相違量に基づく評価値を算出して出力してもよい。
本実施形態によれば、通信監視装置1は、ポートスキャンにより、アドレス毎の提供サービスを推定し、被害ホスト候補を宛先とする通信の情報を通常の提供サービス情報と比較することにより、相違の度合いに応じたネットワーク設備への影響度を評価する。
したがって、通信監視装置1は、提供サービスに合致する通常に観測される通信と大きく相違する通信がネットワーク設備への影響度が高いと判定でき、ネットワーク設備に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
通信監視装置1は、大量通信が検知されていない通常時における通信パケットの宛先ポート番号及び通信パターンに基づいて、宛先IPアドレス毎の利用サービスの情報を取得する。通信監視装置1は、この利用サービスの情報とポートスキャンに基づくIPアドレス毎の提供サービスの情報とを突き合わせることにより、確度の高い提供サービスの情報を取得し、ネットワーク設備への影響度の評価の精度を向上できる。
通信監視装置1は、通信パケットをサンプリングしたフロー情報を用いることにより、大規模なネットワークにおいて大量に観測される通信パケットを効率的に処理し、処理負荷を低減できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
通信監視装置1による通信監視方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 通信監視装置
10 制御部
11 検知部
12 サービスホスト推定部
13 通信プロファイル部
14 評価部
20 記憶部
21 サービスホストデータベース

Claims (5)

  1. 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、
    監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定部と、
    前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価部と、を備える通信監視装置。
  2. 通信パケットの宛先アドレス毎に、宛先ポート番号及び通信パターンに基づいて、当該宛先アドレスでの利用サービスの情報を取得する通信プロファイル部を備え、
    前記サービスホスト推定部は、前記提供サービスの情報を前記通信プロファイル部により取得された情報とマッチングさせ、当該提供サービスの情報のうち確度の高い情報を抽出する請求項1に記載の通信監視装置。
  3. 前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定する請求項1又は請求項2に記載の通信監視装置。
  4. 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
    監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
    前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価ステップと、をコンピュータが実行する通信監視方法。
  5. 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
    監視対象のネットワークに含まれるアドレス群に対してポートスキャンを行い、アドレス毎の提供サービスの情報を取得するサービスホスト推定ステップと、
    前記被害ホスト候補を宛先とする前記通信パケットの宛先ポート番号及び通信パターンを、前記提供サービスで想定されるポート番号及び通信パターンと比較した結果、両者に所定の範囲を超える相違がある場合、前記通信パケットによる影響が大きいと評価する評価ステップと、をコンピュータに実行させるための通信監視プログラム。
JP2016235845A 2016-12-05 2016-12-05 通信監視装置、通信監視方法及び通信監視プログラム Active JP6698507B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016235845A JP6698507B2 (ja) 2016-12-05 2016-12-05 通信監視装置、通信監視方法及び通信監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016235845A JP6698507B2 (ja) 2016-12-05 2016-12-05 通信監視装置、通信監視方法及び通信監視プログラム

Publications (2)

Publication Number Publication Date
JP2018093384A JP2018093384A (ja) 2018-06-14
JP6698507B2 true JP6698507B2 (ja) 2020-05-27

Family

ID=62566472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016235845A Active JP6698507B2 (ja) 2016-12-05 2016-12-05 通信監視装置、通信監視方法及び通信監視プログラム

Country Status (1)

Country Link
JP (1) JP6698507B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100777752B1 (ko) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
JP2008278272A (ja) * 2007-04-27 2008-11-13 Kddi Corp 電子システム、電子機器、中央装置、プログラム、および記録媒体
JP2010239392A (ja) * 2009-03-31 2010-10-21 Nec Corp サービス不能攻撃制御システム、装置、および、プログラム
JP6081386B2 (ja) * 2014-01-30 2017-02-15 日本電信電話株式会社 情報共有装置、情報共有方法、および、情報共有プログラム

Also Published As

Publication number Publication date
JP2018093384A (ja) 2018-06-14

Similar Documents

Publication Publication Date Title
WO2019136953A1 (zh) 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
US7958559B2 (en) Method, device and computer program product for determining a malicious workload pattern
TW201703465A (zh) 網路異常偵測技術
JP2016146192A5 (ja)
JP2008176753A (ja) データ類似性検査方法及び装置
JP6386593B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
JP5286018B2 (ja) 情報処理装置、プログラム、および記録媒体
JP2018026747A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP6691268B2 (ja) 監視装置、監視方法および監視プログラム
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US11050771B2 (en) Information processing apparatus, communication inspecting method and medium
JP4825767B2 (ja) 異常検知装置、プログラム、および記録媒体
JP6698507B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
JP4777366B2 (ja) ワーム対策プログラム、ワーム対策装置、ワーム対策方法
TW201947442A (zh) 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體
JP6712944B2 (ja) 通信予測装置、通信予測方法及び通信予測プログラム
JP4980396B2 (ja) トラヒック特性計測方法および装置
JP6715751B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191126

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200428

R150 Certificate of patent or registration of utility model

Ref document number: 6698507

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150