JP6740264B2 - 監視システム、監視方法及び監視プログラム - Google Patents

監視システム、監視方法及び監視プログラム Download PDF

Info

Publication number
JP6740264B2
JP6740264B2 JP2018023363A JP2018023363A JP6740264B2 JP 6740264 B2 JP6740264 B2 JP 6740264B2 JP 2018023363 A JP2018023363 A JP 2018023363A JP 2018023363 A JP2018023363 A JP 2018023363A JP 6740264 B2 JP6740264 B2 JP 6740264B2
Authority
JP
Japan
Prior art keywords
information
monitoring
address
unit
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018023363A
Other languages
English (en)
Other versions
JP2019140573A (ja
Inventor
弘 倉上
弘 倉上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018023363A priority Critical patent/JP6740264B2/ja
Priority to PCT/JP2019/005170 priority patent/WO2019159989A1/ja
Priority to US16/962,855 priority patent/US20200351304A1/en
Publication of JP2019140573A publication Critical patent/JP2019140573A/ja
Application granted granted Critical
Publication of JP6740264B2 publication Critical patent/JP6740264B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、監視システム、監視方法及び監視プログラムに関する。
近年、IPネットワークにおいて、DDoS(Distributed Denial of Service)攻撃に代表されるネットワークへの攻撃が大規模、巧妙化しており、ネットワーク監視の重要性が増している。
DDoS攻撃を検出する技術として、NetFlow、sFlow、IPFIX(Internet Protocol Flow Information Export)等のネットワーク機器が出力するフロー情報やパケットを用いて攻撃先IPアドレス宛のトラフィックを監視し、検出を行うものが知られている。
例えば、宛先IPアドレスごと、かつTCP SYN等の攻撃タイプごとにトラフィックを監視し、トラフィック量に基づいて攻撃を判断するDDoS攻撃検出システムが知られている。また、フロー情報に基づいて宛先IPアドレスごとにトラフィックを監視してDDoS攻撃を検出する装置が知られている(例えば、特許文献1を参照)。
特開2009−089241号公報
しかしながら、従来の技術には、DDoS攻撃を精度良く検出することができない場合があるという問題がある。例えば、従来の技術では、リフレクション型DDoS攻撃によるトラフィックの集中と、正規のトラフィックの集中とを区別することが困難な場合がある。そのような場合、DDoS攻撃を見逃してしまうこと、又は正規のトラフィックをDDoS攻撃によるものであると判断してしまうこと等により、検出精度が低下することが考えられる。
上述した課題を解決し、目的を達成するために、本発明の監視システムは、ネットワークのトラフィックを監視する監視部と、インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集部と、前記監視部によって監視されたトラフィックの情報及び前記収集部によって収集された情報を基に、攻撃が発生しているか否かを判定する判定部と、を有することを特徴とする。
本発明によれば、DDoS攻撃を精度良く検出することができる。
図1は、第1の実施形態に係る監視システムの構成の一例を示す図である。 図2は、第1の実施形態に係る監視装置の構成の一例を示す図である。 図3は、第1の実施形態に係る攻撃情報のデータ構成の一例を示す図である。 図4は、第1の実施形態に係る監視装置の収集処理の流れを示すフローチャートである。 図5は、第1の実施形態に係る監視装置の収集処理の流れを示すフローチャートである。 図6は、第1の実施形態に係る監視装置の判定処理の流れを示すフローチャートである。 図7は、監視プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る監視システム、監視方法及び監視プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る監視システムの構成について説明する。図1は、第1の実施形態に係る監視システムの構成の一例を示す図である。図1に示すように、監視システム1は、監視装置10、ルータ21、22及び23を有する。
ルータ21は、インターネット2と接続されている。また、ルータ22及び23は、ユーザネットワーク3と接続されている。また、ユーザネットワーク3には、10.0.0.0/24で示されるIPアドレスが割り当てられている。
ルータ21は、インターネット2から受信したパケットをルータ22又は23に転送する。また、ルータ22及び23は、ルータ21から受信したパケットを、ユーザネットワーク3の所定のIPアドレス宛てに転送する。また、監視装置10は、ルータ21、ルータ22及び23からトラフィックに関する情報を取得する。
ここで、図2を用いて、監視装置10の構成について説明する。図2は、第1の実施形態に係る監視装置の構成の一例を示す図である。図2に示すように、監視装置10は、通信部11、記憶部12及び制御部13を有する。
通信部11は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部11はNIC(Network Interface Card)である。通信部11は、ルータ21、22及び23との間でデータ通信を行う。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、監視装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部12は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部12は、攻撃情報125を記憶する。
制御部13は、監視装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、監視部131、第1の収集部132、第2の収集部133及び判定部134を有する。なお、第1の収集部132、第2の収集部133は、収集部の一例である。
監視部131は、ネットワークのトラフィックを監視する。監視部131は、ルータ21、ルータ22及び23からトラフィック情報を収集する。
例えば、監視部131は、トラフィック情報として、Netflow、sFlow及びIPFIX等のフロー情報を収集することができる。また、監視部131は、トラフィック情報として、各ルータが受信したパケットのコピーを収集してもよい。
例えば、トラフィック情報は、トラフィックに含まれるパケットを受信したルータインタフェースごと、又はVLAN IDごとに各情報を時系列で並べたものである。トラフィック情報には、パケットの送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号、TCPフラグ、pps(packets per second)及びbps(bits per second)等が含まれる。
さらに、監視部131は、トラフィック情報に基づいて攻撃を検出する。例えば、監視部131は、所定のトラフィック量がトラフィックパターンごとに設定された検出閾値を超えた場合に攻撃を検出する。例えば、監視部131は、TCP/SYNパケットのトラフィック量を宛先IPアドレスごとに集計し、いずれかの宛先IPアドレスについてのppsが検出閾値10000ppsを超えた場合、又は、bpsが検出閾値10Mbpsを超えた場合に攻撃を検出する。
監視部131は、攻撃を検出した場合、受信タイムスタンプ、攻撃タイプ、検出閾値、送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号、TCPフラグ、バイト数及びパケット数等の検出情報を、判定部134に提供する。
また、監視装置10は、インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及びおとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する。
第1の収集部132は、第1の情報を収集する。第1の収集部132は、インターネットで使用されていないIPアドレスを宛先としたパケット、すなわちダークネット宛てのパケットに関する情報を収集する。これは、ダークネット宛てのパケットに、バックスキャッターパケットが含まれている可能性があるためである。
バックスキャッターパケットとは、送信元のIPアドレスを詐称するタイプの攻撃において、送信元のIPアドレスを詐称した攻撃元からパケットの返送要求を受けた攻撃先サイトが、当該詐称したIPアドレスに対して送信するパケットである。このとき、詐称したIPアドレスが実際には使用されていない場合がある。さらに、正規の通信では使用されていないIPアドレスに対してパケットが送信されることは少ないと考えられるため、ダークネット宛てのパケットには、バックスキャッターパケットが含まれている可能性があると考えられる。
また、監視装置10は、インターネットで使用されていないIPアドレスの宛先を監視装置10宛てであるようにルーティングプロトコルで経路広告しておくことで、ダークネット宛てのパケットを受信することができる。
さらに、第1の収集部132は、ダークネット宛てのパケットから、バックスキャッターパケットを抽出する。例えば、第1の収集部132は、送信元IPアドレスを詐称したTCP SYN攻撃へのバックスキャッターパケットとしてSYN/ACKパケットを抽出する。また、例えば、第1の収集部132は、TCP攻撃パケットにおけるバックスキャッターパケットとしてRST/ACKパケットを抽出する。また、例えば、第1の収集部132は、サービス外ポートへのスキャンに対するバックスキャッターパケットとしてICMP Port Unreachableパケットを抽出する。
また、例えば、第1の収集部132が、バックスキャッターパケットとしてSYN/ACKパケットを抽出した場合、当該SYN/ACKパケットの送信元がTCP SYN攻撃を受けていることがわかる。また、例えば、第1の収集部132が抽出したバックスキャッターパケットの送信元IPアドレスが、10.0.0.1、10.0.0.2、10.0.0.3のように近傍のIPアドレス空間に含まれるものである場合、10.0.0.0/30に含まれる3つのIPアドレスに対して攻撃が行われていることがわかる。
第1の収集部132は、収集したバックスキャッターパケットがTCP又はUDPのパケットである場合、バックスキャッターパケットの情報として、受信タイムスタンプ、送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号、TCPフラグ及びバイト数等の収集情報を、判定部134に提供する。
また、第1の収集部132は、収集したバックスキャッターパケットがICMPパケットである場合、バックスキャッターパケットの情報として、受信タイムスタンプ、送信元IPアドレス、宛先IPアドレス、プロトコル、タイプ、コード及びバイト数等の収集情報を、判定部134に提供する。
なお、第1の収集部132が提供する収集情報のうち、送信元IPアドレスは攻撃を受けているサイトのIPアドレスであり、宛先IPアドレスは攻撃者が詐称したIPアドレスである。
第2の収集部133は、第2の情報を収集する。第2の収集部133は、おとりとして機能し、おとりとして設定された特定のIPアドレスに対して送信されてきたパケットの情報を収集する。例えば、第2の収集部133は、おとり宛に送信されてきたパケットのうち、宛先のUDPポート番号が123番であるパケットを受信する。
また、第2の収集部133は、おとりとして設定された特定のIPアドレスに対して送信されてきたパケットのうちのスキャンパケットに対して応答パケットを送信し、さらに応答パケットの送信先から送信されてきたパケットの情報を収集する。
つまり、第2の収集部133は、リフレクション型攻撃において一例としてDNS(Domain Name System)サーバ及びNPT(Network Time Protocol)サーバ等のリフレクターとして機能する。また、すべてのスキャンパケットに対して応答する場合、リフレクション型攻撃への加担することになる場合があるため、第2の収集部133は、応答パケットを送信する送信先ごとに、送信する応答パケットの数の上限を設けてもよい。
第2の収集部133は、応答パケットの送信先から送信されてきた指示パケットを、当該パケットの送信元ごとに集計し、集計値が一定時間内に設定された閾値以上になった場合、当該送信元がリフレクション型攻撃を受けていると判定し、受信タイムスタンプ、攻撃タイプ、閾値、送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号、バイト数及びパケット数等の収集情報を、判定部134に提供する。
なお、第2の収集部133は、受信した指示パケットがNTP monlistリクエストパケット等のリフレクション型攻撃で用いられるパケットである場合に、送信元が攻撃を受けていると判定してもよい。
判定部134は、監視部131によって監視されたトラフィックの情報及び第1の収集部132及び第2の収集部133のうちの少なくともいずれか一方によって収集された情報を基に、攻撃が発生しているか否かを判定する。
言い換えると、判定部134は、監視部131から提供された検出情報と、第1の収集部132及び第2の収集部133から提供された収集情報とを比較し、検出情報が示す検出結果を収集情報で裏付けることができる場合、監視部131による検出結果が高精度なものであったと判定する。
また、判定部134は、監視部131が高い精度で攻撃を検出したと判定した場合、収集情報と検出情報に基づく攻撃情報125を記憶部12に格納する。図3は、第1の実施形態に係る攻撃情報のデータ構成の一例を示す図である。
例えば、判定部134は、第1の収集部132から提供された収集情報と監視部131から提供された検出情報を比較し、受信タイムスタンプが同一時間帯かつ第1の収集部132から提供された収集情報の送信元IPアドレスが監視部131から提供された検出情報の宛先IPアドレスと同一の情報があった場合、判定部134は、監視部131が高い精度で送信元IPアドレスを詐称するタイプの攻撃を検出したと判定する。
例えば、図3に示すように、判定部134は、2018/1/22 4:48に発生した、送信元IPアドレスが10.0.0.1、宛先IPアドレスが10.0.0.101、プロトコルがUDPであるトラフィックが、IPアドレス詐称タイプの攻撃によるものであるとの検出結果が高精度なものであると判定した場合、当該情報を攻撃情報125として記憶部12に格納する。
また、例えば、判定部134は、第2の収集部133から提供された収集情報と監視部131から提供された検出情報を比較し、受信タイムスタンプが同一時間帯かつ第2の収集部133から提供された収集情報の送信元IPアドレスが監視部131から提供された検出情報の宛先IPアドレスと同一の情報があった場合、判定部134は、監視部131が高い精度でリフレクション型攻撃を検出したと判定する。
例えば、図3に示すように、判定部134は、2018/1/23 2:42に発生した、送信元IPアドレスが10.0.0.3、宛先IPアドレスが10.0.0.200、プロトコルがUDPであるトラフィックが、DNSサーバを対象としたリフレクション型攻撃によるものであるとの検出結果が高精度なものであると判定した場合、当該情報を攻撃情報125として記憶部12に格納する。
また、監視装置10は、第1の収集部132や第2の収集部133では攻撃されているIPアドレスを複数検出できることから、第1の情報及び第2の情報のうち少なくとも一方を収集して同一ネットワークに対する複数IPアドレスへの攻撃判定に利用する。また、判定部134は、監視部131によって監視されたトラフィックの量であって、第1の情報及び第2の情報が示す複数の送信元IPアドレスを宛先とするトラフィックの量の合計を基に、攻撃が発生しているか否かを判定する。
ここで、DDoS攻撃の攻撃者は、1つのネットワークへのアクセス回線を輻輳させるため、同一ネットワーク内の10.0.0.1、10.0.0.2、10.0.0.3のような複数のIPアドレスへアクセスを分散させる場合がある。このような場合、攻撃が発生していたとしても、宛先IPアドレス単位のトラフィック量が監視部131で設定された検出閾値に達しないことがあり得る。
そこで、判定部134は、監視部131に、複数のIPアドレスのトラフィック量を集計させ、集計結果を基に閾値による検出を実行させ、その結果を基に判定を行うことができる。
[第1の実施形態の処理]
図4から6を用いて、監視装置10による収集処理及び判定処理について説明する。例えば、第1の収集部132及び第2の収集部133による収集処理が行われ、各収集情報が提供された後に、判定部134による判定処理が行われる。
図4を用いて、第1の収集部132による収集処理について説明する。図4は、第1の実施形態に係る監視装置の収集処理の流れを示すフローチャートである。図4に示すように、まず、第1の収集部132は、ダークネット宛てのパケットを監視装置10宛てであるように経路広告しておく(ステップS101)。また、第1の収集部132は、受信したダークネット宛てのパケットからバックスキャッターパケットを抽出する(ステップS102)。そして、第1の収集部132は、バックスキャッターパケットの情報を判定部134に提供する(ステップS103)。
図5を用いて、第2の収集部133による収集処理について説明する。図5は、第1の実施形態に係る監視装置の収集処理の流れを示すフローチャートである。図5に示すように、まず、第2の収集部133は、リフレクター探索のスキャンパケットを受信する(ステップS201)。次に、第2の収集部133は、受信したスキャンパケットの送信元に応答パケットを返送する(ステップS202)。そして、第2の収集部133は、応答パケットの送信先から送信された指示パケットを受信し、カウントする(ステップS203)。
ここで、一定時間内のカウント数が閾値を超えた場合(ステップS204、Yes)、第2の収集部133は、リフレクション型攻撃が発生していると判定し、指示パケットの情報を判定部134に提供する(ステップS205)。一方、一定時間内のカウント数が閾値を超えていない場合(ステップS204、No)、第2の収集部133は、ステップS203に戻り、さらにカウントを続ける。
図6を用いて、判定部134による判定処理について説明する。図6は、第1の実施形態に係る監視装置の判定処理の流れを示すフローチャートである。図6に示すように、判定部134は、監視部131から提供される検出情報を取得する(ステップS301)。また、判定部134は、第1の収集部132及び第2の収集部133から提供される収集情報を取得する(ステップS302)。そして、判定部134は、収集情報を基に、検出情報が高精度なものであるか否かを判定し、実際に攻撃が発生していることがいえるか否かを判定する(ステップS303)。
[第1の実施形態の効果]
監視装置10は、ネットワークのトラフィックを監視する。また、監視装置10は、インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及びおとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する。また、監視装置10は、監視装置10によって監視されたトラフィックの情報及び監視装置10によって収集された情報を基に、攻撃が発生しているか否かを判定する。このように、本実施形態では、DDoS攻撃の発生を、トラフィックの面だけでなく、バックスキャッターパケット及びリフレクション攻撃の少なくとも一方の発生状況を考慮して判定することができる。そのため、本実施形態によれば、DDoS攻撃を精度良く検出することができる。
また、トラフィックのみに基づく検出では、ネットワーク内の特定のIPアドレスについて攻撃を検出することができない場合がある。これに対し、本実施形態によれば、バックスキャッターパケットの送信元等の特定のIPアドレスについての攻撃の検出精度を高めることができる。
監視装置10は、第1のパケットとして受信した送信元IPアドレスを詐称する攻撃パケットに対する応答パケットの情報を第1の情報として収集する。これにより、IPアドレス詐称型攻撃を受けているサイトのIPアドレスを特定し、トラフィックに基づくIPアドレス詐称型攻撃の検出精度の高低を判定することができる。
監視装置10は、第2のパケットとして受信したリフレクション攻撃パケットの情報を第2の情報として収集する。これにより、リフレクション型攻撃を受けているサイトのIPアドレスを特定し、トラフィックに基づくリフレクション型攻撃の検出精度の高低を判定することができる。
第1の収集部132で収集された収集情報と、監視部131から提供された検出情報を比較し、受信タイムスタンプが同一時間帯かつ第1の収集部132から提供された収集情報の送信元IPアドレスが監視部131から提供された検出情報の宛先IPアドレスと同一の情報があった場合、監視装置10は、送信元IPアドレスを詐称するタイプの攻撃を検出したと判定する。これにより、IPアドレスを詐称するタイプの攻撃の検出精度を高めることができる。
第2の収集部133で収集された収集情報と、監視部131から提供された検出情報を比較し、受信タイムスタンプが同一時間帯かつ第2の収集部133から提供された収集情報の送信元IPアドレスが監視部131から提供された検出情報の宛先IPアドレスと同一の情報があった場合、監視装置10は、リフレクション型攻撃を検出したと判定する。これにより、リフレクション型攻撃の検出精度を高めることができる。
監視装置10は、異なる複数のIPアドレスを送信元とするパケットのそれぞれについて、第1の情報及び第2の情報のうち少なくとも一方を収集する。また、監視装置10は、監視装置10によって監視されたトラフィックの量であって、複数のアドレスを宛先とするトラフィックの量の合計を基に、攻撃が発生しているか否かを判定する。これにより、同一ネットワーク内の複数のIPアドレスにアクセスを分散させたDDoS攻撃を検出することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、監視装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の監視を実行する監視プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の監視プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、監視装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の監視に関するサービスを提供する監視サーバ装置として実装することもできる。例えば、監視サーバ装置は、フロー情報又はパケットのコピーを入力とし、判定結果を出力とする監視サービスを提供するサーバ装置として実装される。この場合、監視サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の監視に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図7は、監視プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、監視装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、監視装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 監視システム
2 インターネット
3 ユーザネットワーク
10 監視装置
11 通信部
12 記憶部
13 制御部
21、22、23 ルータ
125 攻撃情報
131 監視部
132 第1の収集部
133 第2の収集部
134 判定部

Claims (8)

  1. ネットワークのトラフィックを監視する監視部と、
    インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集部と、
    前記監視部によって監視されたトラフィックの情報及び前記収集部によって収集された情報を基に、攻撃が発生しているか否かを判定する判定部と、
    を有し、
    前記判定部は、前記収集部で収集した第1の情報と、前記監視部で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第1の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、送信元IPアドレスを詐称する攻撃を検出したと判定することを特徴とする監視システム。
  2. ネットワークのトラフィックを監視する監視部と、
    インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集部と、
    前記監視部によって監視されたトラフィックの情報及び前記収集部によって収集された情報を基に、攻撃が発生しているか否かを判定する判定部と、
    を有し、
    前記判定部は、前記収集部で収集した第2の情報と、前記監視部で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第2の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、リフレクション攻撃を検出したと判定することを特徴とする監視システム。
  3. 前記収集部は、前記第1のパケットとして受信した送信元IPアドレスを詐称する攻撃パケットに対する応答パケットの情報を前記第1の情報として収集することを特徴とする請求項1又は2に記載の監視システム。
  4. 前記収集部は、前記第2のパケットとして受信したリフレクション攻撃パケットの情報を前記第2の情報として収集することを特徴とする請求項1又は2に記載の監視システム。
  5. 前記収集部は、同一ネットワーク内の異なる複数のアドレスを送信元とするパケットのそれぞれについて、前記第1の情報及び前記第2の情報のうち少なくとも一方を収集し、前記監視部へ通知し、
    前記判定部は、前記監視部によって監視されたトラフィックの量であって、前記複数のアドレスを宛先とするトラフィックの量の合計を基に、攻撃が発生しているか否かを判定することを特徴とする請求項1からのいずれか1項に記載の監視システム。
  6. 監視システムで実行される監視方法であって、
    ネットワークのトラフィックを監視する監視工程と、
    インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集工程と、
    前記監視工程によって監視されたトラフィックの情報及び前記収集工程によって収集された情報を基に、攻撃が発生しているか否かを判定する判定工程と、
    を含み、
    前記判定工程は、前記収集工程で収集した第1の情報と、前記監視工程で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第1の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、送信元IPアドレスを詐称する攻撃を検出したと判定することを特徴とする監視方法。
  7. 監視システムで実行される監視方法であって、
    ネットワークのトラフィックを監視する監視工程と、
    インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集工程と、
    前記監視工程によって監視されたトラフィックの情報及び前記収集工程によって収集された情報を基に、攻撃が発生しているか否かを判定する判定工程と、
    を含み、
    前記判定工程は、前記収集工程で収集した第2の情報と、前記監視工程で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第2の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、リフレクション攻撃を検出したと判定することを特徴とする監視方法。
  8. コンピュータを、請求項1から5のいずれか1項に記載の監視システムとして機能させるための監視プログラム。
JP2018023363A 2018-02-13 2018-02-13 監視システム、監視方法及び監視プログラム Active JP6740264B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018023363A JP6740264B2 (ja) 2018-02-13 2018-02-13 監視システム、監視方法及び監視プログラム
PCT/JP2019/005170 WO2019159989A1 (ja) 2018-02-13 2019-02-13 監視システム、監視方法及び監視プログラム
US16/962,855 US20200351304A1 (en) 2018-02-13 2019-02-13 Monitoring system, monitoring method, and monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018023363A JP6740264B2 (ja) 2018-02-13 2018-02-13 監視システム、監視方法及び監視プログラム

Publications (2)

Publication Number Publication Date
JP2019140573A JP2019140573A (ja) 2019-08-22
JP6740264B2 true JP6740264B2 (ja) 2020-08-12

Family

ID=67618657

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018023363A Active JP6740264B2 (ja) 2018-02-13 2018-02-13 監視システム、監視方法及び監視プログラム

Country Status (3)

Country Link
US (1) US20200351304A1 (ja)
JP (1) JP6740264B2 (ja)
WO (1) WO2019159989A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102608382B1 (ko) * 2018-10-18 2023-12-01 삼성전자주식회사 데이터를 처리하는 방법 및 이를 수행하는 전자 장치
JP7222260B2 (ja) * 2019-02-07 2023-02-15 日本電信電話株式会社 試験装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007142841A (ja) * 2005-11-18 2007-06-07 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ

Also Published As

Publication number Publication date
WO2019159989A1 (ja) 2019-08-22
US20200351304A1 (en) 2020-11-05
JP2019140573A (ja) 2019-08-22

Similar Documents

Publication Publication Date Title
US11563772B2 (en) Detection and mitigation DDoS attacks performed over QUIC communication protocol
US10027694B1 (en) Detecting denial of service attacks on communication networks
CN107710680B (zh) 网络攻击防御策略发送、网络攻击防御的方法和装置
US7936682B2 (en) Detecting malicious attacks using network behavior and header analysis
Binkley et al. An algorithm for anomaly-based botnet detection.
EP2127313B1 (en) A containment mechanism for potentially contaminated end systems
US20070115850A1 (en) Detection method for abnormal traffic and packet relay apparatus
US10505952B2 (en) Attack detection device, attack detection method, and attack detection program
Hugelshofer et al. OpenLIDS: a lightweight intrusion detection system for wireless mesh networks
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN112055956B (zh) 用于网络安全性的装置和方法
TW201242313A (en) Detecting and mitigating denial of service attacks
US9032524B2 (en) Line-rate packet filtering technique for general purpose operating systems
François et al. Network security through software defined networking: a survey
KR20180052324A (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
JP2011035932A (ja) ネットワーク制御装置およびその制御方法
CN114938308B (zh) 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置
JP6740264B2 (ja) 監視システム、監視方法及び監視プログラム
CN114338120B (zh) 一种扫段攻击检测方法、装置、介质和电子设备
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
Bala et al. Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET
JP2017200152A (ja) 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
Nguyen et al. Suspicious traffic detection based on edge gateway sampling method
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190801

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200722

R150 Certificate of patent or registration of utility model

Ref document number: 6740264

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150