JP6715751B2 - Communication monitoring device, communication monitoring method, and communication monitoring program - Google Patents

Communication monitoring device, communication monitoring method, and communication monitoring program Download PDF

Info

Publication number
JP6715751B2
JP6715751B2 JP2016232480A JP2016232480A JP6715751B2 JP 6715751 B2 JP6715751 B2 JP 6715751B2 JP 2016232480 A JP2016232480 A JP 2016232480A JP 2016232480 A JP2016232480 A JP 2016232480A JP 6715751 B2 JP6715751 B2 JP 6715751B2
Authority
JP
Japan
Prior art keywords
host
communication
destination address
candidate
damage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016232480A
Other languages
Japanese (ja)
Other versions
JP2018093268A (en
Inventor
山田 明
山田  明
順平 浦川
順平 浦川
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016232480A priority Critical patent/JP6715751B2/en
Publication of JP2018093268A publication Critical patent/JP2018093268A/en
Application granted granted Critical
Publication of JP6715751B2 publication Critical patent/JP6715751B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、大量通信による攻撃を検知する通信監視装置、通信監視方法及び通信監視プログラムに関する。 The present invention relates to a communication monitoring device, a communication monitoring method, and a communication monitoring program that detect an attack due to mass communication.

従来、複数の端末から大量の通信パケットを送信してサービスを妨害するDDoS(Distributed Denial of Service)攻撃が課題となっている。このような攻撃を検知し対処するためには、ネットワーク上のルータ等に監視装置を設置し、通信量が著しく大きい場合に攻撃と判定して、問題の原因となっている通信を廃棄するという方法が取られる。 Conventionally, a DDoS (Distributed Denial of Service) attack in which a large number of communication packets are transmitted from a plurality of terminals to interfere with a service has been a problem. In order to detect and deal with such attacks, a monitoring device is installed in a router on the network, and if the communication volume is extremely large, it is judged as an attack and the communication causing the problem is discarded. The method is taken.

このような監視装置は、IPパケットのヘッダ情報であるNetFlow又はsFlowと呼ばれるフロー情報を監視して、攻撃を判定している(例えば、非特許文献1及び2参照)。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。 Such a monitoring device monitors the flow information called NetFlow or sFlow, which is the header information of the IP packet, to determine the attack (for example, see Non-Patent Documents 1 and 2).
Further, the following judgment conditions are used for detecting an attack.
(Condition 1) The amount of communication exceeds a predetermined threshold.
(Condition 2) The traffic volume exceeds the past level.
(Condition 3) An abnormality is found in the protocol included in the communication.
(Condition 4) As a result of analyzing the payload of the packet, there is an abnormality in the application layer.
(Condition 5) An unused IP address called dark IP is the transmission source.
(Condition 6) The transmission source is a predetermined IP address that is considered to be misused by a virus or the like.

Arbor Networks社、Arbor SP、インターネット<https://www.arbornetworks.com/images/documents/Data%20Sheets/DS_SP_EN.pdf>Arbor Networks, Arbor SP, Internet <https://www.arbornetworks.com/images/documents/Data%20Sheets/DS_SP_EN.pdf> GenieNetworks社、GenieATM、インターネット<http://www.genie-networks.com/images/Download_Files/GenieATM_ServiceWhitepaper_v5.6_ENG.pdf>Genie Networks, Genie ATM, Internet <http://www.genie-networks.com/images/Download_Files/GenieATM_ServiceWhitepaper_v5.6_ENG.pdf>

しかしながら、従来の監視方法では、攻撃の発生から検知までの時間を短縮しつつ、検知精度を向上させることが困難であった。
例えば、前述の条件2〜6では、ある程度の誤検知も発生するため、単独の条件で攻撃を検知することが難しく、条件1と組み合わせる必要がある。条件2〜6を条件1と組み合わせずに用いる場合、攻撃を受けている被害IPアドレスの候補の絞り込みが効率的にできないため、候補の数が爆発的に膨れ上がり、計算量が大きくなり過ぎる。
また、条件1では、攻撃の発生から検知までの時間を短縮すると、攻撃対象ではないIPアドレスを抽出してしまう可能性が高まってしまう。一方、攻撃の検知精度を上げるために十分に通信パケットが蓄積されるまで待つと、検知までの応答速度が遅くなってしまう。 However, with the conventional monitoring method, it is difficult to improve the detection accuracy while shortening the time from the occurrence of an attack to the detection.
For example, under the above-mentioned Conditions 2 to 6, some degree of erroneous detection occurs, so it is difficult to detect an attack under a single condition, and it is necessary to combine with Condition 1. When Conditions 2 to 6 are used without being combined with Condition 1, it is not possible to efficiently narrow down the candidates of the victim IP address under attack, so the number of candidates expands explosively and the amount of calculation becomes too large.
Further, in the condition 1, if the time from the occurrence of an attack to the detection is shortened, the possibility of extracting an IP address that is not the attack target increases. On the other hand, when waiting until enough communication packets are accumulated in order to improve the accuracy of attack detection, the response speed until detection becomes slow.

本発明は、大量通信による攻撃を迅速に、かつ、高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供することを目的とする。 An object of the present invention is to provide a communication monitoring device, a communication monitoring method, and a communication monitoring program capable of detecting an attack due to a large amount of communication quickly and with high accuracy.

本発明に係る通信監視装置は、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタ部と、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタ部により再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタ部と、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積部と、を備える。 The communication monitoring apparatus according to the present invention, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value based on the flow information of the communication packet, the destination address As a victim host candidate, and a first filter unit that extracts the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again by the first filter unit, the destination address is determined to be a damaged end host, and the second filter unit is deleted from the damaged host candidate, A storage unit that stores the flow information addressed to a host candidate.

前記第1フィルタ部は、前記被害ホスト候補をデータベースに登録し、前記第2フィルタ部は、前記被害終了ホストを前記データベースから削除し、前記蓄積部は、前記データベースの被害ホスト候補に対応付けて、前記フロー情報を蓄積してもよい。 The first filter unit registers the damaged host candidate in a database, the second filter unit deletes the damaged end host from the database, and the storage unit associates with the damaged host candidate in the database. The flow information may be accumulated.

前記第1フィルタ部は、前記通信パケットをサンプリングしたフロー情報に基づいて、前記通信量を算出してもよい。 The first filter unit may calculate the communication amount based on flow information obtained by sampling the communication packet.

本発明に係る通信監視方法は、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタステップと、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積ステップと、をコンピュータが実行する。 The communication monitoring method according to the present invention, based on the flow information of the communication packet, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value, the destination address As a victim host candidate, and a first filtering step of extracting the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again in the first filter step, the destination address is determined to be a damage end host, and the second filter step is deleted from the damaged host candidate. The computer executes an accumulation step of accumulating the flow information addressed to the host candidate.

本発明に係る通信監視プログラムは、通信パケットのフロー情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量が前記閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第1フィルタステップと、前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、前記被害ホスト候補を宛先とする前記フロー情報を蓄積する蓄積ステップと、をコンピュータに実行させる。 The communication monitoring program according to the present invention, based on the flow information of the communication packet, when the communication amount per unit time for each destination address in the sliding window of the first time reaches a preset threshold value, the destination address As a victim host candidate, and a first filtering step of extracting the destination address as a damage end host candidate when the communication volume falls below the threshold, and after the destination address is extracted as the damage end host candidate. If the second time elapses without being extracted as a damaged host candidate again in the first filter step, the destination address is determined to be a damage end host, and the second filter step is deleted from the damaged host candidate. A computer executes a storage step of storing the flow information addressed to a host candidate.

本発明によれば、大量通信による攻撃を迅速に、かつ、高精度に検知できる。 According to the present invention, an attack due to a large amount of communication can be detected quickly and with high accuracy.

実施形態に係る通信監視装置の機能構成を示す図である。It is a figure which shows the function structure of the communication monitoring apparatus which concerns on embodiment. 実施形態に係る第1フィルタ部の動作を例示する図である。It is a figure which illustrates operation|movement of the 1st filter part which concerns on embodiment. 実施形態に係る第2フィルタ部の動作を例示する図である。It is a figure which illustrates operation|movement of the 2nd filter part which concerns on embodiment. 実施形態に係る第1フィルタ部の処理を示すフローチャートである。It is a flow chart which shows processing of the 1st filter part concerning an embodiment. 実施形態に係る第2フィルタ部の処理を示すフローチャートである。It is a flow chart which shows processing of the 2nd filter part concerning an embodiment.

以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、ネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、被害ホスト候補を宛先とする通信パケットのフロー情報をルータから取得し蓄積する。蓄積情報は、ホスト毎の重み付けがされて被害ホスト情報として出力され、被害ホストの検知及び対処に利用される。 Hereinafter, an example of the embodiment of the present invention will be described.
FIG. 1 is a diagram showing a functional configuration of a communication monitoring device 1 according to this embodiment.
The communication monitoring device 1 is arranged in a higher-layer router (core router) in the network. The communication monitoring device 1 acquires flow information of communication packets destined for the victim host candidate from the router and stores the flow information. The accumulated information is weighted for each host and output as damaged host information, which is used to detect and deal with damaged hosts.

通信監視装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。 The communication monitoring device 1 is an information processing device (computer) such as a server device or a personal computer, and includes an input/output device for various data or a communication device in addition to the control unit 10 and the storage unit 20.

制御部10は、通信監視装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。 The control unit 10 is a unit that controls the entire communication monitoring apparatus 1, and implements various functions in the present embodiment by appropriately reading and executing various programs stored in the storage unit 20. The control unit 10 may be a CPU.

記憶部20は、ハードウェア群を通信監視装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信監視プログラムを記憶する。 The storage unit 20 is a storage area for storing various programs and various data for causing the hardware group to function as the communication monitoring device 1, and may be a ROM, a RAM, a flash memory, a hard disk (HDD), or the like. Specifically, the storage unit 20 stores a communication monitoring program that causes the control unit 10 to execute each function of this embodiment.

制御部10は、第1フィルタ部11と、第2フィルタ部12と、蓄積部13と、出力部14とを備える。また、記憶部20は、被害ホストデータベース(DB)21を備える。 The control unit 10 includes a first filter unit 11, a second filter unit 12, a storage unit 13, and an output unit 14. The storage unit 20 also includes a damaged host database (DB) 21.

第1フィルタ部11は、通信パケットのフロー情報に基づいて、第1時間(例えば、20秒間)のスライディングウィンドウにおける、宛先IPアドレス毎の単位時間当たりの通信量を算出する。通信量は、例えば、bps(bit per second)又はpps(packet per second)等である。
フロー情報は、所定の割合でサンプリングした通信パケットのヘッダ情報の要約であってよい。 The first filter unit 11 calculates the communication amount per unit time for each destination IP address in the sliding window of the first time (for example, 20 seconds) based on the flow information of the communication packet. The communication amount is, for example, bps (bit per second) or pps (packet per second).
The flow information may be a summary of header information of communication packets sampled at a predetermined rate.

第1フィルタ部11は、宛先IPアドレス毎に算出した通信量が予め設定された閾値(例えば、70Mbps)に達した時に、この宛先IPアドレスを被害ホスト候補として抽出する。その後、通信量が閾値を下回った時に、第1フィルタ部11は、この宛先IPアドレスを被害終了ホスト候補として抽出する。
第1フィルタ部11は、被害ホスト候補を被害ホストデータベース21に登録する。また、第1フィルタ部11は、被害ホスト候補及び被害終了ホスト候補を、第2フィルタ部12へ通知する。このとき、第1フィルタ部11は、被害終了ホスト候補を被害ホストデータベース21からは削除しない。 When the communication amount calculated for each destination IP address reaches a preset threshold value (for example, 70 Mbps), the first filter unit 11 extracts this destination IP address as a damaged host candidate. After that, when the communication volume falls below the threshold value, the first filter unit 11 extracts this destination IP address as a damage end host candidate.
The first filter unit 11 registers the victim host candidate in the victim host database 21. The first filter unit 11 also notifies the second filter unit 12 of the damaged host candidate and the damaged end host candidate. At this time, the first filter unit 11 does not delete the damage end host candidate from the damage host database 21.

図2は、本実施形態に係る第1フィルタ部11の動作を例示する図である。
スライディングウィンドウを用いた本実施形態の手法(a)の場合、時刻t1においては、過去20秒間の通信量(網掛け部分)は閾値に達していないが、その後にフロー情報を取得した時刻t1+Δt(Δt<20秒)において、過去20秒間の通信量が閾値に達している。
したがって、20秒ずつの各期間で順に通信量を算出する従来手法(b)では、時刻t1+20秒で算出される通信量(網掛け部分)が閾値に達するのに比べて、本実施形態の手法(a)により迅速に被害ホスト候補が検出される。 FIG. 2 is a diagram illustrating an operation of the first filter unit 11 according to the present embodiment.
In the case of the method (a) of the present embodiment using the sliding window, at the time t1, the communication amount (shaded portion) for the past 20 seconds has not reached the threshold value, but at the time t1+Δt( At Δt<20 seconds), the communication amount for the past 20 seconds has reached the threshold.
Therefore, in the conventional method (b) in which the communication amount is sequentially calculated in each period of 20 seconds, the communication amount (shaded portion) calculated at the time t1+20 seconds reaches the threshold, as compared with the method of the present embodiment. Due to (a), the damaged host candidate is promptly detected.

このように、第1フィルタ部11は、通信量が大きい宛先IPアドレスを抽出する際に、過去の一定時間(第1時間)を連続的に移動しながら監視の対象にするスライディングウィンドウを用いたフィルタによって、攻撃の発生から検知までの時間を短縮する。
なお、被害ホスト候補を抽出するための通信量の閾値は、監視対象のネットワーク内で、最も攻撃に対する耐性が低い箇所に合わせて設定されることが望ましい。 As described above, the first filter unit 11 uses a sliding window to be monitored while continuously moving a past fixed time (first time) when extracting a destination IP address having a large communication amount. Filters reduce the time from attack occurrence to detection.
In addition, it is desirable that the threshold value of the communication amount for extracting the damaged host candidate is set in accordance with the location in the monitored network having the lowest resistance to the attack.

第2フィルタ部12は、LRU(Least Recently Used)の考えに基づくフィルタによって、攻撃の可能性が低いものを効率的に監視の対象である被害ホスト候補から除外する。すなわち、第2フィルタ部12は、宛先IPアドレスが被害終了ホスト候補として抽出された後、第1フィルタ部11により再度、被害ホスト候補として抽出されないまま第2時間(例えば、1時間)が経過した場合、この宛先IPアドレスを被害終了ホストと判定し、被害ホストデータベース21から削除する。
また、第2フィルタ部12は、被害ホスト候補及び被害終了ホストを、蓄積部13へ通知する。 The second filter unit 12 efficiently excludes those having a low attack probability from candidates of a damaged host to be monitored by a filter based on the concept of LRU (Least Recently Used). That is, in the second filter unit 12, after the destination IP address is extracted as the damage end host candidate, the second time (for example, 1 hour) elapses without being extracted again as the damage host candidate by the first filter unit 11. In this case, this destination IP address is determined as the damage end host and deleted from the damage host database 21.
Further, the second filter unit 12 notifies the storage unit 13 of the damaged host candidate and the damaged end host.

図3は、本実施形態に係る第2フィルタ部12の動作を例示する図である。
この例では、時刻t2において被害ホスト候補が登録された後、時刻t3で同一の宛先IPアドレスが被害終了ホスト候補として登録されている。 FIG. 3 is a diagram illustrating an operation of the second filter unit 12 according to this embodiment.
In this example, after the victim host candidate is registered at time t2, the same destination IP address is registered as the damage end host candidate at time t3.

時刻t3の後、1時間の間、同一の宛先IPアドレスが被害ホスト候補として登録されなかった場合(a)、時刻t4において、この宛先IPアドレスは被害終了ホストと判定され、被害ホスト候補から削除される。
一方、時刻t3の後、時刻t5において同一の宛先IPアドレスが再度、被害ホスト候補として登録された場合(b)、時刻t3での被害終了ホスト候補としての登録はキャンセルされる。その後、時刻t6において同一の宛先IPアドレスが被害終了ホスト候補として登録されると、さらに1時間後の時刻t7において、この宛先IPアドレスは被害終了ホストと判定され、被害ホスト候補から削除される。 If the same destination IP address is not registered as a victim host candidate for one hour after time t3 (a), this destination IP address is determined to be a victim end host at time t4 and deleted from the victim host candidates. To be done.
On the other hand, after the time t3, when the same destination IP address is registered again as a damaged host candidate at time t5 (b), the registration as the damaged end host candidate at time t3 is canceled. After that, when the same destination IP address is registered as a damage end host candidate at time t6, this destination IP address is determined to be a damage end host and deleted from the damage host candidate at time t7 one hour later.

蓄積部13は、被害ホスト候補を宛先IPアドレスとするフロー情報を抽出し、同宛先IPアドレスが被害終了ホストとして通知されるまで、被害ホストデータベース21に被害ホスト候補に対応付けて蓄積する。 The storage unit 13 extracts flow information having the victim host candidate as the destination IP address, and stores the flow information in the victim host database 21 in association with the victim host candidate until the destination IP address is notified as the victim end host.

出力部14は、被害ホストデータベース21に蓄積された被害ホスト候補を宛先とするフロー情報に基づいて、通信パケットの特徴を解析し攻撃検知処理を行う。そして、出力部14は、定期的に(例えば、毎秒)被害ホスト情報を出力する。
このとき、出力部14は、宛先IPアドレス毎の通信環境に応じた攻撃耐性に関する重み付けにより、攻撃と判定するための条件を設定してよい。第1フィルタ部11では、共通の閾値により処理負荷を低減して被害ホスト候補の絞り込みが行われたが、出力部14では、より精度の高い判定処理が行われる。 The output unit 14 analyzes the characteristics of the communication packet based on the flow information destined for the victim host candidate stored in the victim host database 21 and performs the attack detection process. Then, the output unit 14 periodically (for example, every second) outputs the damaged host information.
At this time, the output unit 14 may set the condition for determining an attack by weighting the attack resistance according to the communication environment for each destination IP address. In the first filter unit 11, the processing load is reduced by a common threshold value and the damaged host candidates are narrowed down, but in the output unit 14, a more accurate determination process is performed.

図4は、本実施形態に係る第1フィルタ部11の処理を示すフローチャートである。
本処理は、フロー情報を取得する毎に繰り返し実行される。 FIG. 4 is a flowchart showing the process of the first filter unit 11 according to this embodiment.
This process is repeatedly executed each time the flow information is acquired.

ステップS1において、第1フィルタ部11は、スライディングウィンドウ内での宛先IPアドレス毎の通信量を算出する。 In step S1, the first filter unit 11 calculates the amount of communication for each destination IP address within the sliding window.

ステップS2において、第1フィルタ部11は、ステップS1で算出された宛先IPアドレス毎の通信量のうち、閾値に達した(閾値未満から閾値以上になった)宛先IPアドレスがあるか否かを判定する。この判定がYESの場合、処理はステップS3に移り、判定がNOの場合、処理はステップS5に移る。 In step S2, the first filter unit 11 determines whether or not there is a destination IP address that has reached the threshold value (from less than the threshold value to more than the threshold value) in the communication traffic for each destination IP address calculated in step S1. judge. If this determination is YES, the process proceeds to step S3, and if the determination is NO, the process proceeds to step S5.

ステップS3において、第1フィルタ部11は、通信量が閾値に達した宛先IPアドレスを、被害ホスト候補として被害ホストデータベース21に登録する。 In step S3, the first filter unit 11 registers the destination IP address whose communication amount has reached the threshold value in the damaged host database 21 as a damaged host candidate.

ステップS4において、第1フィルタ部11は、被害ホスト候補を第2フィルタ部12へ通知する。 In step S4, the first filter unit 11 notifies the second filter unit 12 of the damaged host candidates.

ステップS5において、第1フィルタ部11は、ステップS1で算出された宛先IPアドレス毎の通信量のうち、閾値を下回った(閾値以上から閾値未満になった)宛先IPアドレスがあるか否かを判定する。この判定がYESの場合、処理はステップS6に移り、判定がNOの場合、処理は終了する。 In step S5, the first filter unit 11 determines whether or not there is a destination IP address that is below the threshold value (from the threshold value or more to the threshold value or less) in the communication traffic for each destination IP address calculated in step S1. judge. If the determination is YES, the process proceeds to step S6, and if the determination is NO, the process ends.

ステップS6において、第1フィルタ部11は、通信量が閾値を下回った宛先IPアドレスを、被害終了ホスト候補として第2フィルタ部12へ通知する。 In step S6, the first filter unit 11 notifies the second filter unit 12 of the destination IP address for which the communication amount has fallen below the threshold value as a damage end host candidate.

図5は、本実施形態に係る第2フィルタ部12の処理を示すフローチャートである。
本処理は、定期的に繰り返し実行される。 FIG. 5 is a flowchart showing the process of the second filter unit 12 according to this embodiment.
This process is repeatedly executed on a regular basis.

ステップS11において、第2フィルタ部12は、第1フィルタ部11から被害ホスト候補が通知されたか否かを判定する。この判定がYESの場合、処理はステップS12に移り、判定がNOの場合、処理はステップS14に移る。 In step S11, the second filter unit 12 determines whether the first filter unit 11 has notified the damaged host candidate. If this determination is YES, the process proceeds to step S12, and if the determination is NO, the process proceeds to step S14.

ステップS12において、第2フィルタ部12は、後述の第2時間の計時(ステップS17)をリセットする。 In step S12, the second filter unit 12 resets a second time measurement (step S17) described later.

ステップS13において、第2フィルタ部12は、被害ホスト候補を蓄積部13へ通知する。 In step S13, the second filter unit 12 notifies the storage unit 13 of the damaged host candidates.

ステップS14において、第2フィルタ部12は、被害終了ホスト候補の通知を受けてから第2時間が経過したか否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理はステップS16に移る。 In step S14, the second filter unit 12 determines whether or not the second time has elapsed after receiving the notification of the damage end host candidate. If this determination is YES, the process proceeds to step S15, and if the determination is NO, the process proceeds to step S16.

ステップS15において、第2フィルタ部12は、ステップS14で第2時間が経過した被害終了ホスト候補を被害終了ホストと判定し、蓄積部13へ通知する。 In step S15, the second filter unit 12 determines the damage end host candidate whose second time has elapsed in step S14 as a damage end host and notifies the storage unit 13 of the damage end host.

ステップS16において、第2フィルタ部12は、第1フィルタ部11から被害終了ホスト候補が通知されたか否かを判定する。この判定がYESの場合、処理はステップS17に移り、判定がNOの場合、処理は終了する。 In step S16, the second filter unit 12 determines whether the damage end host candidate is notified from the first filter unit 11. If the determination is YES, the process proceeds to step S17, and if the determination is NO, the process ends.

ステップS17において、第2フィルタ部12は、宛先IPアドレス毎に、被害終了ホスト候補として通知されてから第2時間の計時を開始する。 In step S17, the second filter unit 12 starts counting the second time after being notified as a damage end host candidate for each destination IP address.

本実施形態によれば、通信監視装置1は、スライディングウィンドウを用いた第1フィルタ部11により被害ホスト候補を絞り込み、さらに、LRUを用いた第2フィルタ部12により誤検知に関わる被害終了ホストを効率的に除外することで、大量通信による攻撃を迅速に、かつ、高精度に検知できる。
第1フィルタ部11では、同一の宛先IPアドレスが被害ホスト候補及び被害終了ホスト候補として交互に頻繁に抽出される場合もあるが、第2フィルタ部12により被害終了ホストと判定されるまで蓄積部13がフロー情報を蓄積し、検知処理が継続される。 According to the present embodiment, the communication monitoring device 1 narrows down the damaged host candidates by the first filter unit 11 using the sliding window, and further detects the damaged end host related to the false detection by the second filter unit 12 using the LRU. Efficient exclusion enables rapid and highly accurate detection of attacks due to mass communication.
In the first filter unit 11, the same destination IP address may be frequently extracted alternately as a damaged host candidate and a damage end host candidate. However, the storage unit is stored until the second filter unit 12 determines that the damage end host. 13 accumulates the flow information, and the detection process is continued.

通信監視装置1は、被害ホストデータベース21に対して被害ホスト候補を登録し、ここから被害終了ホストを削除しつつ、関係するフロー情報を蓄積する。
したがって、通信監視装置1は、任意のタイミングで、環境に応じた解析手法及び判定条件により、被害ホストデータベース21から被害ホスト情報を適切に出力できる。 The communication monitoring device 1 registers the damage host candidate in the damage host database 21, deletes the damage end host from here, and accumulates related flow information.
Therefore, the communication monitoring device 1 can appropriately output the damaged host information from the damaged host database 21 at an arbitrary timing and according to the analysis method and the determination condition according to the environment.

通信監視装置1は、通信パケットをサンプリングしたフロー情報を用いることにより、大規模なネットワークのコアルータにおいて、大量に観測される通信パケットを効率的に処理し、処理負荷を低減できる。 By using the flow information obtained by sampling the communication packets, the communication monitoring device 1 can efficiently process a large number of observed communication packets in the core router of a large-scale network and reduce the processing load.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. In addition, the effects described in the present embodiment are merely enumeration of the most suitable effects produced by the present invention, and the effects according to the present invention are not limited to those described in the present embodiment.

通信監視装置1による通信監視方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The communication monitoring method by the communication monitoring device 1 is realized by software. When implemented by software, a program forming the software is installed in an information processing device (computer). Further, these programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Further, these programs may be provided to the user's computer as a Web service via the network without being downloaded.

1 通信監視装置
10 制御部
11 第1フィルタ部
12 第2フィルタ部
13 蓄積部
14 出力部
20 記憶部
21 被害ホストデータベース 1 Communication Monitoring Device 10 Control Section 11 First Filter Section 12 Second Filter Section 13 Storage Section 14 Output Section 20 Storage Section 21 Damaged Host Database

Claims (5)

通信パケットのヘッダ情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の通信量の合計が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量の合計が前記閾値を下回った時に、当該宛先アドレスを、被害ホスト候補としたまま被害終了ホスト候補として抽出する第1フィルタ部と、
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタ部により再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタ部と、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積部と、を備える通信監視装置。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filter unit for extracting the destination address as a damage end host candidate with the damage host candidate remaining when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time elapses without being extracted as the damage host candidate again by the first filter unit, the destination address is determined to be the damage end host, A second filter part to be deleted from the victim host candidates,
A communication monitoring device, comprising: a storage unit that stores the header information addressed to the victim host candidate. 前記第1フィルタ部は、前記被害ホスト候補をデータベースに登録し、
前記第2フィルタ部は、前記被害終了ホストを前記データベースから削除し、
前記蓄積部は、前記データベースの被害ホスト候補に対応付けて、前記ヘッダ情報を蓄積する請求項1に記載の通信監視装置。 The first filter unit registers the victim host candidate in a database,
The second filter unit deletes the damage end host from the database,
The communication monitoring device according to claim 1, wherein the storage unit stores the header information in association with a damaged host candidate in the database. 前記第1フィルタ部は、前記通信パケットをサンプリングしたヘッダ情報に基づいて、前記通信量を算出する請求項1又は請求項2に記載の通信監視装置。 The communication monitoring device according to claim 1, wherein the first filter unit calculates the communication amount based on header information obtained by sampling the communication packet. 通信パケットのヘッダ情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の通信量の合計が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量の合計が前記閾値を下回った時に、当該宛先アドレスを、被害ホスト候補としたまま被害終了ホスト候補として抽出する第1フィルタステップと、
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積ステップと、をコンピュータが実行する通信監視方法。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filter step of extracting the destination address as a damage end host candidate while leaving the destination address as a damage host candidate when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time passes again without being extracted as the damage host candidate in the first filtering step, the destination address is determined to be the damage end host, and A second filtering step to remove from the victim host candidates,
A communication monitoring method, wherein a computer executes a storage step of storing the header information addressed to the victim host candidate. 通信パケットのヘッダ情報に基づいて、第1時間のスライディングウィンドウにおける、宛先アドレス毎の通信量の合計が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、前記通信量の合計が前記閾値を下回った時に、当該宛先アドレスを、被害ホスト候補としたまま被害終了ホスト候補として抽出する第1フィルタステップと、
前記宛先アドレスが前記被害終了ホスト候補として抽出された後、前記第1フィルタステップにおいて再度、被害ホスト候補として抽出されないまま第2時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、前記被害ホスト候補から削除する第2フィルタステップと、
前記被害ホスト候補を宛先とする前記ヘッダ情報を蓄積する蓄積ステップと、をコンピュータに実行させるための通信監視プログラム。 Based on the header information of the communication packet, in the sliding window of the first time, when the total communication amount for each destination address has reached a preset threshold, it extracts the destination address as the victim host candidates, the communication A first filtering step of extracting the destination address as a candidate for ending the damage , while leaving the destination address as a candidate for the damaged host when the total amount falls below the threshold value;
After the destination address is extracted as the damage end host candidate, if the second time passes again without being extracted as the damage host candidate in the first filtering step, the destination address is determined to be the damage end host, and A second filtering step to remove from the victim host candidates,
A communication monitoring program for causing a computer to execute a storage step of storing the header information destined for the victim host candidate.
JP2016232480A 2016-11-30 2016-11-30 Communication monitoring device, communication monitoring method, and communication monitoring program Active JP6715751B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016232480A JP6715751B2 (en) 2016-11-30 2016-11-30 Communication monitoring device, communication monitoring method, and communication monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016232480A JP6715751B2 (en) 2016-11-30 2016-11-30 Communication monitoring device, communication monitoring method, and communication monitoring program

Publications (2)

Publication Number Publication Date
JP2018093268A JP2018093268A (en) 2018-06-14
JP6715751B2 true JP6715751B2 (en) 2020-07-01

Family

ID=62566417

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016232480A Active JP6715751B2 (en) 2016-11-30 2016-11-30 Communication monitoring device, communication monitoring method, and communication monitoring program

Country Status (1)

Country Link
JP (1) JP6715751B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100777752B1 (en) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 Denial-of-service attack detecting system, and denial-of-service attack detecting method
JP2008278272A (en) * 2007-04-27 2008-11-13 Kddi Corp Electronic system, electronic equipment, central apparatus, program, and recording medium
JP2010239392A (en) * 2009-03-31 2010-10-21 Nec Corp System, device and program for controlling service disabling attack
JP6081386B2 (en) * 2014-01-30 2017-02-15 日本電信電話株式会社 Information sharing apparatus, information sharing method, and information sharing program

Also Published As

Publication number Publication date
JP2018093268A (en) 2018-06-14

Similar Documents

Publication Publication Date Title
KR101077135B1 (en) Apparatus for detecting and filtering application layer DDoS Attack of web service
KR101061375B1 (en) JR type based DDoS attack detection and response device
JP5947838B2 (en) Attack detection apparatus, attack detection method, and attack detection program
CN110166480B (en) Data packet analysis method and device
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
JP5963974B2 (en) Information processing apparatus, information processing method, and program
JP2010092236A (en) Information processing apparatus, program, and recording medium
JP6441748B2 (en) Detection system, detection method and detection program
JP7045949B2 (en) Information processing equipment, communication inspection method and program
JP6317685B2 (en) Communication monitoring system, communication monitoring method and program
JP6715751B2 (en) Communication monitoring device, communication monitoring method, and communication monitoring program
JP6325993B2 (en) Service monitoring apparatus and service monitoring method
JP6629174B2 (en) Communication monitoring device, communication monitoring method, and communication monitoring program
JP6712944B2 (en) Communication prediction device, communication prediction method, and communication prediction program
JP6698507B2 (en) Communication monitoring device, communication monitoring method, and communication monitoring program
CN108347447B (en) P2P botnet detection method and system based on periodic communication behavior analysis
JP4777366B2 (en) Worm countermeasure program, worm countermeasure device, worm countermeasure method
JP4898648B2 (en) High packet rate flow online detection method, system therefor, and program therefor
RU2713759C1 (en) Method of detecting network attacks based on analyzing fractal traffic characteristics in an information computer network
WO2024013884A1 (en) DDoS DETECTION DEVICE AND METHOD
Papadogiannakis et al. RRDtrace: long-term raw network traffic recording using fixed-size storage
Tseung et al. Forensic-Aware Anti-DDoS Device
WO2023112173A1 (en) Traffic monitoring device, traffic monitoring method, and program
JP6883535B2 (en) Attack prediction device, attack prediction method and attack prediction program
JP6228262B2 (en) Attack detection apparatus, attack detection method, and attack detection program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191126

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200609

R150 Certificate of patent or registration of utility model

Ref document number: 6715751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150