JP6715751B2 - Communication monitoring device, communication monitoring method, and communication monitoring program - Google Patents
Communication monitoring device, communication monitoring method, and communication monitoring program Download PDFInfo
- Publication number
- JP6715751B2 JP6715751B2 JP2016232480A JP2016232480A JP6715751B2 JP 6715751 B2 JP6715751 B2 JP 6715751B2 JP 2016232480 A JP2016232480 A JP 2016232480A JP 2016232480 A JP2016232480 A JP 2016232480A JP 6715751 B2 JP6715751 B2 JP 6715751B2
- Authority
- JP
- Japan
- Prior art keywords
- host
- communication
- destination address
- candidate
- damage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、大量通信による攻撃を検知する通信監視装置、通信監視方法及び通信監視プログラムに関する。 The present invention relates to a communication monitoring device, a communication monitoring method, and a communication monitoring program that detect an attack due to mass communication.
従来、複数の端末から大量の通信パケットを送信してサービスを妨害するDDoS(Distributed Denial of Service)攻撃が課題となっている。このような攻撃を検知し対処するためには、ネットワーク上のルータ等に監視装置を設置し、通信量が著しく大きい場合に攻撃と判定して、問題の原因となっている通信を廃棄するという方法が取られる。 Conventionally, a DDoS (Distributed Denial of Service) attack in which a large number of communication packets are transmitted from a plurality of terminals to interfere with a service has been a problem. In order to detect and deal with such attacks, a monitoring device is installed in a router on the network, and if the communication volume is extremely large, it is judged as an attack and the communication causing the problem is discarded. The method is taken.
このような監視装置は、IPパケットのヘッダ情報であるNetFlow又はsFlowと呼ばれるフロー情報を監視して、攻撃を判定している(例えば、非特許文献1及び2参照)。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
Such a monitoring device monitors the flow information called NetFlow or sFlow, which is the header information of the IP packet, to determine the attack (for example, see Non-Patent Documents 1 and 2).
Further, the following judgment conditions are used for detecting an attack.
(Condition 1) The amount of communication exceeds a predetermined threshold.
(Condition 2) The traffic volume exceeds the past level.
(Condition 3) An abnormality is found in the protocol included in the communication.
(Condition 4) As a result of analyzing the payload of the packet, there is an abnormality in the application layer.
(Condition 5) An unused IP address called dark IP is the transmission source.
(Condition 6) The transmission source is a predetermined IP address that is considered to be misused by a virus or the like.
しかしながら、従来の監視方法では、攻撃の発生から検知までの時間を短縮しつつ、検知精度を向上させることが困難であった。
例えば、前述の条件2〜6では、ある程度の誤検知も発生するため、単独の条件で攻撃を検知することが難しく、条件1と組み合わせる必要がある。条件2〜6を条件1と組み合わせずに用いる場合、攻撃を受けている被害IPアドレスの候補の絞り込みが効率的にできないため、候補の数が爆発的に膨れ上がり、計算量が大きくなり過ぎる。
また、条件1では、攻撃の発生から検知までの時間を短縮すると、攻撃対象ではないIPアドレスを抽出してしまう可能性が高まってしまう。一方、攻撃の検知精度を上げるために十分に通信パケットが蓄積されるまで待つと、検知までの応答速度が遅くなってしまう。
However, with the conventional monitoring method, it is difficult to improve the detection accuracy while shortening the time from the occurrence of an attack to the detection.
For example, under the above-mentioned Conditions 2 to 6, some degree of erroneous detection occurs, so it is difficult to detect an attack under a single condition, and it is necessary to combine with Condition 1. When Conditions 2 to 6 are used without being combined with Condition 1, it is not possible to efficiently narrow down the candidates of the victim IP address under attack, so the number of candidates expands explosively and the amount of calculation becomes too large.
Further, in the condition 1, if the time from the occurrence of an attack to the detection is shortened, the possibility of extracting an IP address that is not the attack target increases. On the other hand, when waiting until enough communication packets are accumulated in order to improve the accuracy of attack detection, the response speed until detection becomes slow.
本発明は、大量通信による攻撃を迅速に、かつ、高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供することを目的とする。 An object of the present invention is to provide a communication monitoring device, a communication monitoring method, and a communication monitoring program capable of detecting an attack due to a large amount of communication quickly and with high accuracy.
本発明に係る通信監視装置は、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタ部と、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタ部により再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタ部と、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積部と、を備える。 The communication monitoring apparatus according to the present invention, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value based on the flow information of the communication packet, the destination address As a victim host candidate, and a first filter unit that extracts the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again by the first filter unit, the destination address is determined to be a damaged end host, and the second filter unit is deleted from the damaged host candidate, A storage unit that stores the flow information addressed to a host candidate.
前記第1フィルタ部は、前記被害ホスト候補をデータベースに登録し、前記第2フィルタ部は、前記被害終了ホストを前記データベースから削除し、前記蓄積部は、前記データベースの被害ホスト候補に対応付けて、前記フロー情報を蓄積してもよい。 The first filter unit registers the damaged host candidate in a database, the second filter unit deletes the damaged end host from the database, and the storage unit associates with the damaged host candidate in the database. The flow information may be accumulated.
前記第1フィルタ部は、前記通信パケットをサンプリングしたフロー情報に基づいて、前記通信量を算出してもよい。 The first filter unit may calculate the communication amount based on flow information obtained by sampling the communication packet.
本発明に係る通信監視方法は、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタステップと、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積ステップと、をコンピュータが実行する。 The communication monitoring method according to the present invention, based on the flow information of the communication packet, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value, the destination address As a victim host candidate, and a first filtering step of extracting the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again in the first filter step, the destination address is determined to be a damage end host, and the second filter step is deleted from the damaged host candidate. The computer executes an accumulation step of accumulating the flow information addressed to the host candidate.
本発明に係る通信監視プログラムは、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタステップと、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積ステップと、をコンピュータに実行させる。 The communication monitoring program according to the present invention, based on the flow information of the communication packet, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value, the destination address As a victim host candidate, and a first filtering step of extracting the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again in the first filter step, the destination address is determined to be a damage end host, and the second filter step is deleted from the damaged host candidate. A computer executes a storage step of storing the flow information addressed to a host candidate.
本発明によれば、大量通信による攻撃を迅速に、かつ、高精度に検知できる。 According to the present invention, an attack due to a large amount of communication can be detected quickly and with high accuracy.
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、ネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、被害ホスト候補を宛先とする通信パケットのフロー情報をルータから取得し蓄積する。蓄積情報は、ホスト毎の重み付けがされて被害ホスト情報として出力され、被害ホストの検知及び対処に利用される。
Hereinafter, an example of the embodiment of the present invention will be described.
FIG. 1 is a diagram showing a functional configuration of a communication monitoring device 1 according to this embodiment.
The communication monitoring device 1 is arranged in a higher-layer router (core router) in the network. The communication monitoring device 1 acquires flow information of communication packets destined for the victim host candidate from the router and stores the flow information. The accumulated information is weighted for each host and output as damaged host information, which is used to detect and deal with damaged hosts.
通信監視装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。
The communication monitoring device 1 is an information processing device (computer) such as a server device or a personal computer, and includes an input/output device for various data or a communication device in addition to the
制御部10は、通信監視装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
The
記憶部20は、ハードウェア群を通信監視装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信監視プログラムを記憶する。
The
制御部10は、第1フィルタ部11と、第2フィルタ部12と、蓄積部13と、出力部14とを備える。また、記憶部20は、被害ホストデータベース(DB)21を備える。
The
第1フィルタ部11は、通信パケットのフロー情報に基づいて、第1時間(例えば、20秒間)のスライディングウィンドウにおける、宛先IPアドレス毎の単位時間当たりの通信量を算出する。通信量は、例えば、bps(bit per second)又はpps(packet per second)等である。
フロー情報は、所定の割合でサンプリングした通信パケットのヘッダ情報の要約であってよい。
The
The flow information may be a summary of header information of communication packets sampled at a predetermined rate.
第1フィルタ部11は、宛先IPアドレス毎に算出した通信量が予め設定された閾値(例えば、70Mbps)に達した時に、この宛先IPアドレスを被害ホスト候補として抽出する。その後、通信量が閾値を下回った時に、第1フィルタ部11は、この宛先IPアドレスを被害終了ホスト候補として抽出する。
第1フィルタ部11は、被害ホスト候補を被害ホストデータベース21に登録する。また、第1フィルタ部11は、被害ホスト候補及び被害終了ホスト候補を、第2フィルタ部12へ通知する。このとき、第1フィルタ部11は、被害終了ホスト候補を被害ホストデータベース21からは削除しない。
When the communication amount calculated for each destination IP address reaches a preset threshold value (for example, 70 Mbps), the
The
図2は、本実施形態に係る第1フィルタ部11の動作を例示する図である。
スライディングウィンドウを用いた本実施形態の手法(a)の場合、時刻t1においては、過去20秒間の通信量(網掛け部分)は閾値に達していないが、その後にフロー情報を取得した時刻t1+Δt(Δt<20秒)において、過去20秒間の通信量が閾値に達している。
したがって、20秒ずつの各期間で順に通信量を算出する従来手法(b)では、時刻t1+20秒で算出される通信量(網掛け部分)が閾値に達するのに比べて、本実施形態の手法(a)により迅速に被害ホスト候補が検出される。
FIG. 2 is a diagram illustrating an operation of the
In the case of the method (a) of the present embodiment using the sliding window, at the time t1, the communication amount (shaded portion) for the past 20 seconds has not reached the threshold value, but at the time t1+Δt( At Δt<20 seconds), the communication amount for the past 20 seconds has reached the threshold.
Therefore, in the conventional method (b) in which the communication amount is sequentially calculated in each period of 20 seconds, the communication amount (shaded portion) calculated at the time t1+20 seconds reaches the threshold, as compared with the method of the present embodiment. Due to (a), the damaged host candidate is promptly detected.
このように、第1フィルタ部11は、通信量が大きい宛先IPアドレスを抽出する際に、過去の一定時間(第1時間)を連続的に移動しながら監視の対象にするスライディングウィンドウを用いたフィルタによって、攻撃の発生から検知までの時間を短縮する。
なお、被害ホスト候補を抽出するための通信量の閾値は、監視対象のネットワーク内で、最も攻撃に対する耐性が低い箇所に合わせて設定されることが望ましい。
As described above, the
In addition, it is desirable that the threshold value of the communication amount for extracting the damaged host candidate is set in accordance with the location in the monitored network having the lowest resistance to the attack.
第2フィルタ部12は、LRU(Least Recently Used)の考えに基づくフィルタによって、攻撃の可能性が低いものを効率的に監視の対象である被害ホスト候補から除外する。すなわち、第2フィルタ部12は、宛先IPアドレスが被害終了ホスト候補として抽出された後、第1フィルタ部11により再度、被害ホスト候補として抽出されないまま第2時間(例えば、1時間)が経過した場合、この宛先IPアドレスを被害終了ホストと判定し、被害ホストデータベース21から削除する。
また、第2フィルタ部12は、被害ホスト候補及び被害終了ホストを、蓄積部13へ通知する。
The
Further, the
図3は、本実施形態に係る第2フィルタ部12の動作を例示する図である。
この例では、時刻t2において被害ホスト候補が登録された後、時刻t3で同一の宛先IPアドレスが被害終了ホスト候補として登録されている。
FIG. 3 is a diagram illustrating an operation of the
In this example, after the victim host candidate is registered at time t2, the same destination IP address is registered as the damage end host candidate at time t3.
時刻t3の後、1時間の間、同一の宛先IPアドレスが被害ホスト候補として登録されなかった場合(a)、時刻t4において、この宛先IPアドレスは被害終了ホストと判定され、被害ホスト候補から削除される。
一方、時刻t3の後、時刻t5において同一の宛先IPアドレスが再度、被害ホスト候補として登録された場合(b)、時刻t3での被害終了ホスト候補としての登録はキャンセルされる。その後、時刻t6において同一の宛先IPアドレスが被害終了ホスト候補として登録されると、さらに1時間後の時刻t7において、この宛先IPアドレスは被害終了ホストと判定され、被害ホスト候補から削除される。
If the same destination IP address is not registered as a victim host candidate for one hour after time t3 (a), this destination IP address is determined to be a victim end host at time t4 and deleted from the victim host candidates. To be done.
On the other hand, after the time t3, when the same destination IP address is registered again as a damaged host candidate at time t5 (b), the registration as the damaged end host candidate at time t3 is canceled. After that, when the same destination IP address is registered as a damage end host candidate at time t6, this destination IP address is determined to be a damage end host and deleted from the damage host candidate at time t7 one hour later.
蓄積部13は、被害ホスト候補を宛先IPアドレスとするフロー情報を抽出し、同宛先IPアドレスが被害終了ホストとして通知されるまで、被害ホストデータベース21に被害ホスト候補に対応付けて蓄積する。
The
出力部14は、被害ホストデータベース21に蓄積された被害ホスト候補を宛先とするフロー情報に基づいて、通信パケットの特徴を解析し攻撃検知処理を行う。そして、出力部14は、定期的に(例えば、毎秒)被害ホスト情報を出力する。
このとき、出力部14は、宛先IPアドレス毎の通信環境に応じた攻撃耐性に関する重み付けにより、攻撃と判定するための条件を設定してよい。第1フィルタ部11では、共通の閾値により処理負荷を低減して被害ホスト候補の絞り込みが行われたが、出力部14では、より精度の高い判定処理が行われる。
The
At this time, the
図4は、本実施形態に係る第1フィルタ部11の処理を示すフローチャートである。
本処理は、フロー情報を取得する毎に繰り返し実行される。
FIG. 4 is a flowchart showing the process of the
This process is repeatedly executed each time the flow information is acquired.
ステップS1において、第1フィルタ部11は、スライディングウィンドウ内での宛先IPアドレス毎の通信量を算出する。
In step S1, the
ステップS2において、第1フィルタ部11は、ステップS1で算出された宛先IPアドレス毎の通信量のうち、閾値に達した(閾値未満から閾値以上になった)宛先IPアドレスがあるか否かを判定する。この判定がYESの場合、処理はステップS3に移り、判定がNOの場合、処理はステップS5に移る。
In step S2, the
ステップS3において、第1フィルタ部11は、通信量が閾値に達した宛先IPアドレスを、被害ホスト候補として被害ホストデータベース21に登録する。
In step S3, the
ステップS4において、第1フィルタ部11は、被害ホスト候補を第2フィルタ部12へ通知する。
In step S4, the
ステップS5において、第1フィルタ部11は、ステップS1で算出された宛先IPアドレス毎の通信量のうち、閾値を下回った(閾値以上から閾値未満になった)宛先IPアドレスがあるか否かを判定する。この判定がYESの場合、処理はステップS6に移り、判定がNOの場合、処理は終了する。
In step S5, the
ステップS6において、第1フィルタ部11は、通信量が閾値を下回った宛先IPアドレスを、被害終了ホスト候補として第2フィルタ部12へ通知する。
In step S6, the
図5は、本実施形態に係る第2フィルタ部12の処理を示すフローチャートである。
本処理は、定期的に繰り返し実行される。
FIG. 5 is a flowchart showing the process of the
This process is repeatedly executed on a regular basis.
ステップS11において、第2フィルタ部12は、第1フィルタ部11から被害ホスト候補が通知されたか否かを判定する。この判定がYESの場合、処理はステップS12に移り、判定がNOの場合、処理はステップS14に移る。
In step S11, the
ステップS12において、第2フィルタ部12は、後述の第2時間の計時(ステップS17)をリセットする。
In step S12, the
ステップS13において、第2フィルタ部12は、被害ホスト候補を蓄積部13へ通知する。
In step S13, the
ステップS14において、第2フィルタ部12は、被害終了ホスト候補の通知を受けてから第2時間が経過したか否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理はステップS16に移る。
In step S14, the
ステップS15において、第2フィルタ部12は、ステップS14で第2時間が経過した被害終了ホスト候補を被害終了ホストと判定し、蓄積部13へ通知する。
In step S15, the
ステップS16において、第2フィルタ部12は、第1フィルタ部11から被害終了ホスト候補が通知されたか否かを判定する。この判定がYESの場合、処理はステップS17に移り、判定がNOの場合、処理は終了する。
In step S16, the
ステップS17において、第2フィルタ部12は、宛先IPアドレス毎に、被害終了ホスト候補として通知されてから第2時間の計時を開始する。
In step S17, the
本実施形態によれば、通信監視装置1は、スライディングウィンドウを用いた第1フィルタ部11により被害ホスト候補を絞り込み、さらに、LRUを用いた第2フィルタ部12により誤検知に関わる被害終了ホストを効率的に除外することで、大量通信による攻撃を迅速に、かつ、高精度に検知できる。
第1フィルタ部11では、同一の宛先IPアドレスが被害ホスト候補及び被害終了ホスト候補として交互に頻繁に抽出される場合もあるが、第2フィルタ部12により被害終了ホストと判定されるまで蓄積部13がフロー情報を蓄積し、検知処理が継続される。
According to the present embodiment, the communication monitoring device 1 narrows down the damaged host candidates by the
In the
通信監視装置1は、被害ホストデータベース21に対して被害ホスト候補を登録し、ここから被害終了ホストを削除しつつ、関係するフロー情報を蓄積する。
したがって、通信監視装置1は、任意のタイミングで、環境に応じた解析手法及び判定条件により、被害ホストデータベース21から被害ホスト情報を適切に出力できる。
The communication monitoring device 1 registers the damage host candidate in the
Therefore, the communication monitoring device 1 can appropriately output the damaged host information from the damaged
通信監視装置1は、通信パケットをサンプリングしたフロー情報を用いることにより、大規模なネットワークのコアルータにおいて、大量に観測される通信パケットを効率的に処理し、処理負荷を低減できる。 By using the flow information obtained by sampling the communication packets, the communication monitoring device 1 can efficiently process a large number of observed communication packets in the core router of a large-scale network and reduce the processing load.
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. In addition, the effects described in the present embodiment are merely enumeration of the most suitable effects produced by the present invention, and the effects according to the present invention are not limited to those described in the present embodiment.
通信監視装置1による通信監視方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The communication monitoring method by the communication monitoring device 1 is realized by software. When implemented by software, a program forming the software is installed in an information processing device (computer). Further, these programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Further, these programs may be provided to the user's computer as a Web service via the network without being downloaded.
1 通信監視装置
10 制御部
11 第1フィルタ部
12 第2フィルタ部
13 蓄積部
14 出力部
20 記憶部
21 被害ホストデータベース
1
Claims (5)
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタ部により再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタ部と、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積部と、を備える通信監視装置。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filter unit for extracting the destination address as a damage end host candidate with the damage host candidate remaining when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time elapses without being extracted as the damage host candidate again by the first filter unit, the destination address is determined to be the damage end host, A second filter part to be deleted from the victim host candidates,
A communication monitoring device, comprising: a storage unit that stores the header information addressed to the victim host candidate.
前記第2フィルタ部は、前記被害終了ホストを前記データベースから削除し、
前記蓄積部は、前記データベースの被害ホスト候補に対応付けて、前記ヘッダ情報を蓄積する請求項1に記載の通信監視装置。 The first filter unit registers the victim host candidate in a database,
The second filter unit deletes the damage end host from the database,
The communication monitoring device according to claim 1, wherein the storage unit stores the header information in association with a damaged host candidate in the database.
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積ステップと、をコンピュータが実行する通信監視方法。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filter step of extracting the destination address as a damage end host candidate while leaving the destination address as a damage host candidate when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time passes again without being extracted as the damage host candidate in the first filtering step, the destination address is determined to be the damage end host, and A second filtering step to remove from the victim host candidates,
A communication monitoring method, wherein a computer executes a storage step of storing the header information addressed to the victim host candidate.
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積ステップと、をコンピュータに実行させるための通信監視プログラム。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filtering step of extracting the destination address as a candidate for ending the damage , while leaving the destination address as a candidate for the damaged host when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time passes again without being extracted as the damage host candidate in the first filtering step, the destination address is determined to be the damage end host, and A second filtering step to remove from the victim host candidates,
A communication monitoring program for causing a computer to execute a storage step of storing the header information destined for the victim host candidate.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016232480A JP6715751B2 (en) | 2016-11-30 | 2016-11-30 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016232480A JP6715751B2 (en) | 2016-11-30 | 2016-11-30 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018093268A JP2018093268A (en) | 2018-06-14 |
JP6715751B2 true JP6715751B2 (en) | 2020-07-01 |
Family
ID=62566417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016232480A Active JP6715751B2 (en) | 2016-11-30 | 2016-11-30 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6715751B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100777752B1 (en) * | 2004-10-28 | 2007-11-19 | 니폰덴신뎅와 가부시키가이샤 | Denial-of-service attack detecting system, and denial-of-service attack detecting method |
JP2008278272A (en) * | 2007-04-27 | 2008-11-13 | Kddi Corp | Electronic system, electronic equipment, central apparatus, program, and recording medium |
JP2010239392A (en) * | 2009-03-31 | 2010-10-21 | Nec Corp | System, device and program for controlling service disabling attack |
JP6081386B2 (en) * | 2014-01-30 | 2017-02-15 | 日本電信電話株式会社 | Information sharing apparatus, information sharing method, and information sharing program |
-
2016
- 2016-11-30 JP JP2016232480A patent/JP6715751B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018093268A (en) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101077135B1 (en) | Apparatus for detecting and filtering application layer DDoS Attack of web service | |
KR101061375B1 (en) | JR type based DDoS attack detection and response device | |
JP5947838B2 (en) | Attack detection apparatus, attack detection method, and attack detection program | |
CN110166480B (en) | Data packet analysis method and device | |
JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
JP5963974B2 (en) | Information processing apparatus, information processing method, and program | |
JP2010092236A (en) | Information processing apparatus, program, and recording medium | |
JP6441748B2 (en) | Detection system, detection method and detection program | |
JP7045949B2 (en) | Information processing equipment, communication inspection method and program | |
JP6317685B2 (en) | Communication monitoring system, communication monitoring method and program | |
JP6715751B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program | |
JP6325993B2 (en) | Service monitoring apparatus and service monitoring method | |
JP6629174B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program | |
JP6712944B2 (en) | Communication prediction device, communication prediction method, and communication prediction program | |
JP6698507B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program | |
CN108347447B (en) | P2P botnet detection method and system based on periodic communication behavior analysis | |
JP4777366B2 (en) | Worm countermeasure program, worm countermeasure device, worm countermeasure method | |
JP4898648B2 (en) | High packet rate flow online detection method, system therefor, and program therefor | |
RU2713759C1 (en) | Method of detecting network attacks based on analyzing fractal traffic characteristics in an information computer network | |
WO2024013884A1 (en) | DDoS DETECTION DEVICE AND METHOD | |
Papadogiannakis et al. | RRDtrace: long-term raw network traffic recording using fixed-size storage | |
Tseung et al. | Forensic-Aware Anti-DDoS Device | |
WO2023112173A1 (en) | Traffic monitoring device, traffic monitoring method, and program | |
JP6883535B2 (en) | Attack prediction device, attack prediction method and attack prediction program | |
JP6228262B2 (en) | Attack detection apparatus, attack detection method, and attack detection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200512 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200609 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6715751 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |