JP6834768B2 - 攻撃検知方法、攻撃検知プログラムおよび中継装置 - Google Patents

攻撃検知方法、攻撃検知プログラムおよび中継装置 Download PDF

Info

Publication number
JP6834768B2
JP6834768B2 JP2017098005A JP2017098005A JP6834768B2 JP 6834768 B2 JP6834768 B2 JP 6834768B2 JP 2017098005 A JP2017098005 A JP 2017098005A JP 2017098005 A JP2017098005 A JP 2017098005A JP 6834768 B2 JP6834768 B2 JP 6834768B2
Authority
JP
Japan
Prior art keywords
port
relay device
packets
threshold value
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017098005A
Other languages
English (en)
Other versions
JP2018195969A (ja
Inventor
義浩 ▲高▼部
義浩 ▲高▼部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017098005A priority Critical patent/JP6834768B2/ja
Priority to US15/979,022 priority patent/US10897481B2/en
Publication of JP2018195969A publication Critical patent/JP2018195969A/ja
Application granted granted Critical
Publication of JP6834768B2 publication Critical patent/JP6834768B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク攻撃の検知技術に関する。
SSDP(Simple Service Discovery Protocol)は、UPnP(Universal Plug and Play)による機器検出に用いられるプロトコルの一つである。SSDPにおいては、ネットワークにおけるコントロールポイントがマルチキャストでM−SEARCHリクエストを送信し、M−SEARCHリクエストへの応答として、ネットワーク内のUPnPデバイスが自身の機器情報をユニキャストで送信する。
リフレクタ攻撃は、多数のデバイスから一斉に大量のデータを送りつけてネットワーク帯域を占有するDDoS(Distributed Denial of Service)攻撃の一種である。SSDPは、(1)UPnPが有効化された全デバイスがM−SEARCHリクエストに対して応答を返すこと、(2)リクエストパケットに比べて応答パケットのサイズが大きいことから、リフレクタ攻撃に利用されやすい。
ネットワーク攻撃の検知に関する従来技術は存在するが、従来技術はリフレクタ攻撃以外の攻撃を想定した技術であり、必ずしもリフレクタ攻撃の検知には適していない。
特開2006−352669号公報 特開2006−157601号公報
本発明の目的は、1つの側面では、リフレクタ攻撃の発生を検知するための技術を提供することである。
一態様に係る中継装置は、中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、ポートに接続された情報処理装置が送信した所定プロトコルのパケットの数である第2の数とを計数する計数部と、第1の数と第2の数とに基づき算出された指標値と、中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、中継装置または他の中継装置に接続された情報処理装置による攻撃が発生したか判定する判定部とを有する。
1つの側面では、リフレクタ攻撃の発生を検知できるようになる。
図1は、第1の実施の形態のシステム概要を示す図である。 図2は、L2スイッチの機能ブロック図である。 図3は、ポート監視部が実行する処理の処理フローを示す図である。 図4は、ポート監視部が実行する処理の処理フローを示す図である。 図5は、ポート監視部が管理するデータの一例を示す図である。 図6は、ポート監視部が管理するデータの一例を示す図である。 図7は、ポート監視部が管理するデータの一例を示す図である。 図8は、判定部が実行する処理の処理フローを示す図である。 図9は、集計データ格納部に格納されるデータの一例を示す図である。 図10は、集計データ格納部に格納されるデータの一例を示す図である。 図11は、集計データ格納部に格納されるデータの一例を示す図である。 図12は、判定部が実行する処理の処理フローを示す図である。 図13は、閾値αおよび閾値βについて説明するための図である。 図14は、閾値αおよび閾値βについて説明するための図である。 図15は、閾値αおよび閾値βについて説明するための図である。 図16は、デバイス総数に対応するパケット比の分布を示す図である。 図17は、ポート監視部が計数したSSDPパケット数を示す図である。 図18は、ポート監視部が計数したSSDPパケット数を示す図である。 図19は、ポート監視部が計数したSSDPパケット数を示す図である。 図20は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図21は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図22は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図23は、パケット比と閾値との関係を示す図である。 図24は、パケット比と閾値との関係を示す図である。 図25は、パケット比と閾値との関係を示す図である。 図26は、第1の実施の形態のシステムにおける攻撃者および被攻撃者を示す図である。 図27は、ポート監視部が計数したSSDPパケット数を示す図である。 図28は、ポート監視部が計数したSSDPパケット数を示す図である。 図29は、ポート監視部が計数したSSDPパケット数を示す図である。 図30は、パケット比と閾値との関係を示す図である。 図31は、パケット比と閾値との関係を示す図である。 図32は、パケット比と閾値との関係を示す図である。 図33は、第1の実施の形態のシステムにおける攻撃者および被攻撃者を示す図である。 図34は、第2の実施の形態のシステム概要を示す図である。 図35は、ポート監視部が計数したSSDPパケット数を示す図である。 図36は、ポート監視部が計数したSSDPパケット数を示す図である。 図37は、ポート監視部が計数したSSDPパケット数を示す図である。 図38は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図39は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図40は、ポート監視部が計数したSSDPパケット数に基づき生成されたデータである。 図41は、ポート監視部が計数したSSDPパケット数を示す図である。 図42は、ポート監視部が計数したSSDPパケット数を示す図である。 図43は、ポート監視部が計数したSSDPパケット数を示す図である。 図44は、第2の実施の形態のシステムにおける攻撃者および被攻撃者を示す図である。 図45は、第3の実施の形態のシステム概要を示す図である。 図46は、ポート監視部が計数したSSDPパケット数を示す図である。 図47は、ポート監視部が計数したSSDPパケット数を示す図である。 図48は、ポート監視部が計数したSSDPパケット数を示す図である。 図49は、第3の実施の形態のシステムにおける攻撃者および被攻撃者を示す図である。 図50は、L2スイッチのハードウエア構成図である。
[実施の形態1]
図1は、第1の実施の形態のシステム概要を示す図である。本実施の形態の主要な処理を実行するL(Layer)2スイッチ1aは、LAN(Local Area Network)等のネットワークを介して、ルータ5と、SSDPのコントロールポイントの機能を有するサーバ等であるコントロールポイント31aと、例えばパーソナルコンピュータ、サーバ或いはプリンタ等であるUPnPデバイス32a乃至34aとに接続される。より具体的には、L2スイッチ1aは、ポート11aを介してルータ5に接続され、ポート12aを介してコントロールポイント31aに接続され、ポート13aを介してUPnPデバイス32aに接続され、ポート14aを介してUPnPデバイス33aに接続され、ポート15aを介してUPnPデバイス34aに接続される。
図2は、L2スイッチ1aの機能ブロック図である。L2スイッチ1aは、ポート監視部1011乃至1019と、集計データ格納部103と、集計部105と、中継部107とを有する。集計部105は、判定部1051と、算出部1053とを含む。ポート監視部1011乃至1019の各々は、1つのポートを監視する。
ポート監視部1011乃至1019の各々は、監視対象のポートにて接続された装置を宛先とするSSDPパケットの数および監視対象のポートに接続された装置が送信したSSDPパケットの数を計数する。SSDPパケットとは、1900/UDP(User Datagram Protocol)宛のパケット(すなわち、宛先ポート番号が1900番であるUDPパケット)である。算出部1053は、ポート監視部1011乃至1019から取得した計数結果に基づき、リフレクタ攻撃が発生したか否かの判定に用いられる閾値を算出する。判定部1051は、ポート監視部1011乃至1019から受け取った計数結果と、算出部1053により算出された閾値とに基づき、リフレクタ攻撃が発生したか判定する。集計部105による処理に利用されるデータは、集計データ格納部103に格納される。中継部107は、L2スイッチ1aが受信したパケットを中継する処理を実行する。
次に、図3乃至図33を用いて、L2スイッチ1aが実行する処理について説明する。
図3は、L2スイッチ1aのポート監視部1011乃至1019が実行する処理の処理フローを示す図である。ここでは、ポート12aを監視するポート監視部1013が実行する処理を例として説明する。
ポート監視部1013は、ポート12aが中継部107またはポート12aに接続されている装置からパケットを受信したことを検出する(図3:ステップS1)。
ポート監視部1013は、ポート12aが受信したパケット(以下、受信パケットと呼ぶ)が1900/UDP宛のパケット(すなわち、宛先ポート番号が1900番であるUDPパケット)であるか判定する(ステップS3)。
受信パケットが1900/UDP宛のパケットではない場合(ステップS3:Noルート)、受信パケットはSSDPパケットではないので、処理はステップS15に移行する。
一方、受信パケットが1900/UDP宛のパケットである場合(ステップS3:Yesルート)、ポート監視部1013は、以下の処理を実行する。具体的には、ポート監視部1013は、受信パケットの宛先MAC(Media Access Control)アドレスが、ポート12aに接続されている装置のMACアドレスであるか判定する(ステップS5)。
受信パケットの宛先MACアドレスが、ポート12aに接続されている装置のMACアドレスではない場合(ステップS5:Noルート)、処理は端子Aを介して図4のステップS21に移行する。
一方、受信パケットの宛先MACアドレスが、ポート12aに接続されている装置のMACアドレスである場合(ステップS5:Yesルート)、ポート監視部1013は、受信パケットがユニキャストパケットであるか判定する(ステップS7)。
受信パケットがユニキャストパケットではない場合(ステップS7:Noルート)、処理はステップS15に移行する。
受信パケットがユニキャストパケットである場合(ステップS7:Yesルート)、ポート監視部1013は、受信ポートに被攻撃者である装置が接続されているか判定する(ステップS9)。被攻撃者である装置が接続されている場合には、後述のステップS55の通知を判定部1051から受け取るので、ステップS55の通知を受け取ったか否かに基づきステップS9の判定が行われる。
受信ポートに被攻撃者である装置が接続されている場合(ステップS9:Yesルート)、ポート監視部1013は、受信パケットを廃棄する(ステップS11)。
一方、受信ポートに被攻撃者である装置が接続されていない場合(ステップS9:Noルート)、ポート監視部1013は、ポート監視部1013が管理する受信SSDPユニキャストパケット数を1インクリメントする(ステップS13)。
ポート監視部1013は、中継部107に受信パケットの処理を指示する。これに応じ、中継部107は、中継処理を実行する(ステップS15)。具体的には、中継部107は、受信パケットがポート12aに接続されている装置からのパケットである場合には受信パケットを宛先のUPnPデバイスまたは当該UPnPデバイスに接続されたL2スイッチに転送し、受信パケットが中継部107からのパケットである場合にはポート12aから受信パケットを出力する。
なお、本実施の形態においては、所定時間(例えば1分)内の受信SSDPユニキャストパケット数および送信SSDPマルチキャストパケット数が計数されるため、受信SSDPユニキャストパケット数および送信SSDPマルチキャストパケット数は、所定時間毎に判定部1051によりリセットされる。
図4は、端子A以降の処理の処理フローを示す図である。ポート監視部1013は、受信パケットの送信元MACアドレスが、ポート12aに接続されている装置のMACアドレスであるか判定する(図4:ステップS21)。
受信パケットの送信元MACアドレスが、ポート12aに接続されている装置のMACアドレスではない場合(ステップS21:Noルート)、処理は端子Bを介して図3のステップS15に移行する。
一方、受信パケットの送信元MACアドレスは、ポート12aに接続されている装置のMACアドレスである場合(ステップS21:Yesルート)、ポート監視部1013は、受信パケットはマルチキャストパケットであるか判定する(ステップS23)。
受信パケットはマルチキャストパケットではない場合(ステップS23:Noルート)、処理は端子Bを介して図3のステップS15に移行する。
一方、受信パケットはマルチキャストパケットである場合(ステップS23:Yesルート)、ポート監視部1013は、ポート監視部1013が管理する送信SSDPマルチキャストパケット数を1インクリメントする(ステップS25)。そして処理は端子Bを介して図3のステップS15に移行する。
以上のような処理をポート監視部1011乃至1019が実行すると、各ポートについて、所定時間内の送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数が計数されるようになる。図5は、ポート監視部1013が管理するデータの一例を示す図である。図6は、ポート監視部1017が管理するデータの一例を示す図である。図7は、ポート監視部1019が管理するデータの一例を示す図である。図5乃至図7においては、所定時間内の送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数の履歴が含まれる。
次に、図8乃至図16を用いて、集計部105の判定部1051が実行する処理について説明する。
図8は、判定部1051が実行する処理の処理フローを示す図である。
判定部1051は、前回の処理から上記所定時間が経過した場合、各ポート監視部から、最新の送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数を取得する(図8:ステップS31)。
判定部1051は、各ポート監視部が管理する送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数をリセットする(ステップS33)。具体的には、判定部1051は、各ポート監視部が管理する送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数に0を設定する。
判定部1051は、ポート11a乃至15aのうち未処理のポートを1つ特定する(ステップS35)。以下では、ステップS35において特定されたポートを対象ポートと呼ぶ。
判定部1051は、1900/UDP宛のパケット(すなわち、宛先ポート番号が1900番であるUDPパケット)が対象ポートを通過したか判定する(ステップS37)。1900/UDP宛のパケットが対象ポートを通過したか否かは、例えば、対象ポートについて計数されたSSDPパケット数が0であるか否かにより判定される。
1900/UDP宛のパケットが対象ポートを通過していない場合(ステップS37:Noルート)、処理はステップS41に移行する。一方、1900/UDP宛のパケットが対象ポートを通過した場合(ステップS37:Yesルート)、判定部1051は、L2スイッチ1aの配下にあるUPnPデバイスの数の情報を1インクリメントする(ステップS39)。
判定部1051は、未処理のポートが有るか判定する(ステップS41)。未処理のポートが有る場合(ステップS41:Yesルート)、処理はステップS35に戻る。
一方、未処理のポートが無い場合(ステップS41:Noルート)、判定部1051は、他のL2スイッチとの間でUPnPデバイスの数の情報を共有し、ネットワーク内のUPnPデバイスの総数を算出する(ステップS43)。ステップS43においては、例えばLLDP(Link Layer Discovery Protocol)等のプロトコルに従った通信によりUPnPデバイスの数の情報が共有される。そして、各L2スイッチ配下のUPnPデバイス数の総和によりネットワーク内のUPnPデバイスの総数が算出される。
判定部1051は、ステップS43において算出したUPnPデバイスの総数と、最新の送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数と、パケット比とを集計データ格納部103に格納する(ステップS45)。そして処理は端子Cを介して図12のステップS47に移行する。パケット比は、例えば、(受信SSDPユニキャストパケット数)/(送信SSDPマルチキャストパケット数)により算出される。
図9乃至図11に、集計データ格納部103に格納されるデータの一例を示す。図9は、ポート監視部1013から取得した送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数に基づくデータの一例を示す図である。図10は、ポート監視部1017から取得した送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数に基づくデータの一例を示す図である。図11は、ポート監視部1019から取得した送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数に基づくデータの一例を示す図である。
図12の説明に移行し、判定部1051は、ポート11a乃至ポート15aのうち未処理のポートを1つ特定する(図12:ステップS47)。以下では、ステップS47において特定されたポートを対象ポートと呼ぶ。
判定部1051は、ステップS47において特定されたポートについてのデータを集計データ格納部103から読み出す(ステップS49)。
判定部1051は、算出部1053に閾値の算出を指示する。これに応じ、算出部1053は、ステップS49において読み出されたデータに含まれるパケット比の統計量に基づき閾値αおよび閾値βを算出する(ステップS51)。統計量とは、例えば、平均および標準偏差である。
図13乃至図15を用いて、閾値αおよび閾値βについて説明する。
図13は、ポート12aについてのデータから求めた閾値αおよび閾値βを示す図である。図13において、横軸はデバイス総数を表し、縦軸はパケット比を表す。ハッチングされていない円形図形はデバイス総数が4であるときのパケット比を表し、ハッチングされた円形図形はデバイス総数が4であるときのパケット比の平均を表す。本実施の形態においては、パケット比の平均に所定値を加えた値が閾値αとして算出され、パケット比の平均から所定値を引いた値が閾値βとして算出される。所定値は、例えば2.58*標準偏差であるが、その他の値であってもよい。
図14は、ポート14aについてのデータから求めた閾値αおよび閾値βを示す図であり、図15は、ポート15aについてのデータから求めた閾値αおよび閾値βを示す図である。このように、閾値αおよび閾値βはポート毎に異なる。また、閾値αおよび閾値βは、デバイス総数毎に算出される。
図16は、デバイス総数に対応するパケット比の分布を示す図である。図16において、横軸はデバイス総数を表し、縦軸はパケット比を表す。直線1601は閾値αの近似直線であり、直線1602はパケット比の平均の近似直線であり、直線1603は閾値βの近似直線である。点1701はデバイス総数がn2であるときに算出されたパケット比であり、点1702はデバイス総数がn3であるときに算出されたパケット比である。図16から明らかなように、閾値αおよび閾値βはデバイス総数が増えるほど値が大きくなる。そのため、デバイス総数がn2であるときは点1701に対応するパケット比は閾値αより大きいが、デバイス総数がn4であるときは点1701に対応するパケット比は閾値αより小さい。また、デバイス総数がn3であるときは点1702に対応するパケット比は閾値βより小さいが、デバイス総数がn1であるときは点1702に対応するパケット比は閾値βより大きい。従って、パケット比の絶対値と固定的な閾値とを比較したとしてもリフレクタ攻撃の発生を適切に検知することはできないが、デバイス総数に応じて動的に閾値が設定されるようになれば、リフレクタ攻撃の発生を適切に検知することができるようになる。
図12の説明に戻り、判定部1051は、ステップS45において集計データ格納部103に格納したパケット比が閾値αより大きいか判定する(ステップS53)。
ステップS45において集計データ格納部103に格納したパケット比が閾値αより大きい場合(ステップS53:Yesルート)、判定部1051は、以下の処理を実行する。具体的には、判定部1051は、対象ポートのポート監視部に対して、被攻撃者であるコントロールポイント31aが対象ポートに接続されていることを通知する(ステップS55)。そして処理はステップS61に移行する。これにより、被攻撃者であるコントロールポイント31aにパケットが到達することを止めることができるようになる。
一方、ステップS45において集計データ格納部103に格納したパケット比が閾値αより大きくない場合(ステップS53:Noルート)、判定部1051は、ステップS45において集計データ格納部103に格納したパケット比が閾値βより小さいか判定する(ステップS57)。
ステップS45において集計データ格納部103に格納したパケット比が閾値βより小さくない場合(ステップS57:Noルート)、処理はステップS61に移行する。
一方、ステップS45において集計データ格納部103に格納したパケット比が閾値βより小さい場合(ステップS57:Yesルート)、対象ポートには攻撃者であるUPnPデバイスが接続されている。従って、判定部1051は、対象ポートを閉塞する(ステップS59)。これにより、攻撃者であるUPnPデバイスからのパケットがネットワーク上を転送されなくなるので、ネットワークトラフィックを減らすことができる。
判定部1051は、未処理のポートが有るか判定する(ステップS61)。未処理のポートが有る場合(ステップS61:Yesルート)、処理はステップS47に戻る。一方、未処理のポートが無い場合(ステップS61:Noルート)、処理は終了する。
以上のように、本実施の形態においてはネットワーク内のデバイスの総数に対応する閾値とパケット比とが比較されるので、リフレクタ攻撃の発生を誤りなく検知することができるようになる。
以下では、第1の実施の形態におけるリフレクタ攻撃の検知並びに攻撃者及び被攻撃者の特定について、具体例を用いて説明する。
ここでは、図17乃至図19に示すようにSSDPパケット数が計数されたとする。図17は、ポート監視部1013が計数したSSDPパケット数を示す図である。図18は、ポート監視部1017が計数したSSDPパケット数を示す図である。図19は、ポート監視部1019が計数したSSDPパケット数を示す図である。
図17と図5とを比較すると、図17の例における受信SSDPユニキャストパケット数は、図5の例における受信SSDPユニキャストパケット数の約100倍である。図18と図6とを比較すると、図18の例における送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数は、図6の例における送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数と同程度である。図19と図7とを比較すると、図19の例における送信SSDPマルチキャストパケット数は、図7の例における送信SSDPマルチキャストパケット数の約100倍である。
そして、図20乃至図22に示すようなデータが集計データ格納部103に格納されたとする。図20は、ポート監視部1013が計数したSSDPパケット数に基づき生成されたデータである。図21は、ポート監視部1017が計数したSSDPパケット数に基づき生成されたデータである。図22は、ポート監視部1019が計数したSSDPパケット数に基づき生成されたデータである。
図20と図9とを比較すると、図20の例においてはパケット比が約1000であるのに対して、図9の例においてはパケット比が約10である。図21と図10とを比較すると、図21の例においてはパケット比が約10であり、図10の例においてもパケット比は約10である。図22と図11とを比較すると、図22の例においてはパケット比が約0.1であり、図11の例においてはパケット比が約10である。
図23は、ポート12aについてパケット比と閾値との関係を示す図である。図24は、ポート14aについてパケット比と閾値との関係を示す図である。図25は、ポート15aについてパケット比と閾値との関係を示す図である。
図23に示すように、ポート12aについては、パケット比が閾値αより大きい。図24に示すように、ポート14aについては、パケット比が閾値βより大きく且つ閾値αより小さい。図25に示すように、ポート15aについては、パケット比が閾値βより小さい。以上から、図26に示すように、ポート12aには被攻撃者であるコントロールポイント31aが接続されており、ポート14aには被攻撃者ではなく且つ攻撃者でもないUPnPデバイス33aが接続されており、ポート15aには攻撃者であるUPnPデバイス34aが接続されていると判定される。
第1の実施の形態におけるリフレクタ攻撃の検知並びに攻撃者及び被攻撃者の特定について、別の具体例を用いて説明する。
ここでは、図27乃至図29に示すようにSSDPパケット数が計数されたとする。図27は、ポート監視部1013が計数したSSDPパケット数を示す図である。図28は、ポート監視部1017が計数したSSDPパケット数を示す図である。図29は、ポート監視部1019が計数したSSDPパケット数を示す図である。
図27と図5とを比較すると、図27の例における受信SSDPユニキャストパケット数は、図5の例における受信SSDPユニキャストパケット数の約100倍である。図28と図6とを比較すると、図28の例における送信SSDPマルチキャストパケット数は、図6の例における送信SSDPマルチキャストパケット数の約50倍である。図29と図7とを比較すると、図29の例における送信SSDPマルチキャストパケット数は、図7の例における送信SSDPマルチキャストパケット数の約50倍である。
図30は、ポート12aについてパケット比と閾値との関係を示す図である。図31は、ポート14aについてパケット比と閾値との関係を示す図である。図32は、ポート15aについてパケット比と閾値との関係を示す図である。
図30に示すように、ポート12aについては、パケット比が閾値αより大きい。図31に示すように、ポート14aについては、パケット比が閾値βより小さい。図32に示すように、ポート15aについては、パケット比が閾値βより小さい。以上から、図33に示すように、ポート12aには被攻撃者であるコントロールポイント31aが接続されており、ポート14aには攻撃者であるUPnPデバイス33aが接続されており、ポート15aには攻撃者であるUPnPデバイス34aが接続されていると判定される。
ネットワーク内でリフレクタ攻撃が発生している場合、異常な数のSSDPパケットをマルチキャストで送信しているUPnPデバイスが存在し、また、異常な数のSSDPパケットを受信しているUPnPデバイスが存在する。しかし、ネットワークの占有に十分な、1台のUPnPデバイスが送信するSSDPパケットの数は、ネットワーク内のUPnPデバイスの総数によって増減する。
そこで、ネットワーク内のUPnPデバイスの総数に応じて閾値を設定することで、リフレクタ攻撃を検知できるようになる。閾値は自動で設定されるので、ネットワーク管理者の作業負担は発生しない。
また、攻撃者であるUPnPデバイスおよび被攻撃者であるコントロールポイントを特定し、リフレクタ攻撃に関係するポートについて対策を実行することで、リフレクタ攻撃に関係するパケットによってネットワークが占有されることを抑止できるようになる。
[実施の形態2]
図34は、第2の実施の形態のシステム概要を示す図である。L2スイッチ1a乃至1cは、同一のネットワーク(例えばLAN)に接続される。L2スイッチ1aは、ポート11aを介してルータ5に接続され、ポート12aを介してL2スイッチ1bのポート11bに接続され、ポート13aを介してL2スイッチ1cのポート11cに接続される。L2スイッチ1bは、ポート12bを介してコントロールポイント31bに接続され、ポート13bを介してUPnPデバイス32bに接続され、ポート14bを介してUPnPデバイス33bに接続され、ポート15bを介してUPnPデバイス34bに接続される。L2スイッチ1cは、ポート12cを介してUPnPデバイス31cに接続され、ポート13cを介してUPnPデバイス32cに接続され、ポート14cを介してUPnPデバイス33cに接続され、ポート15cを介してUPnPデバイス34cに接続される。
L2スイッチ1a乃至1cの機能ブロック構成は、第1の実施の形態のL2スイッチ1aの機能ブロック構成と同じである。
以下では、第2の実施の形態におけるリフレクタ攻撃の検知並びに攻撃者及び被攻撃者の特定について、具体例を用いて説明する。
リフレクタ攻撃が発生していない状況において、図35乃至図37に示すようにSSDPパケット数が計数されたとする。図35は、L2スイッチ1bのポート12bについて計数されたたSSDPパケット数を示す図である。図36は、L2スイッチ1cのポート12cについて計数されたSSDPパケット数を示す図である。図37は、L2スイッチ1cのポート15cについて計数されたSSDPパケット数を示す図である。
そして、図38乃至図40に示すようなデータが集計データ格納部103に格納されたとする。図38は、L2スイッチ1bのポート12bについて計数されたたSSDPパケット数に基づき生成されたデータである。図39は、L2スイッチ1cのポート12cについて計数されたSSDPパケット数に基づき生成されたデータである。図40は、L2スイッチ1cのポート15cについて計数されたSSDPパケット数に基づき生成されたデータである。
ここで、リフレクタ攻撃の発生によって、図41乃至図43に示すようにSSDPパケット数が計数されたとする。図41は、L2スイッチ1bのポート12bについて計数されたSSDPパケット数を示す図である。図42は、L2スイッチ1cのポート12cについて計数されたSSDPパケット数を示す図である。図43は、L2スイッチ1cのポート15cについて計数されたSSDPパケット数を示す図である。
図41と図35とを比較すると、図41の例における受信SSDPユニキャストパケット数は、図35の例における受信SSDPユニキャストパケット数の約100倍である。図42と図36とを比較すると、図42の例における送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数は、図36の例における送信SSDPマルチキャストパケット数および受信SSDPユニキャストパケット数と同程度である。図43と図37とを比較すると、図43の例における送信SSDPマルチキャストパケット数は、図37の例における送信SSDPマルチキャストパケット数の約100倍である。
以上から、図44に示すように、L2スイッチ1bのポート12bには被攻撃者であるコントロールポイント31bが接続されており、L2スイッチ1cのポート12cには被攻撃者ではなく且つ攻撃者でもないUPnPデバイス31cが接続されており、L2スイッチ1cのポート15cには攻撃者であるUPnPデバイス34cが接続されていると判定される。
以上のように、L2スイッチが多段で接続されている場合においても、本実施の形態の方法を利用すればリフレクタ攻撃の検知が可能である。また、攻撃者であるUPnPデバイスおよび被攻撃者であるコントロールポイントを特定することが可能である。
[実施の形態3]
図45は、第3の実施の形態のシステム概要を示す図である。L2スイッチ1a乃至1eは、同一のネットワーク(例えばLAN)に接続される。L2スイッチ1aは、ポート11aを介してルータ5に接続され、ポート12aを介してL2スイッチ1bのポート11bに接続され、ポート13aを介してL2スイッチ1cのポート11cに接続され、ポート14aを介してL2スイッチ1dのポート11dに接続され、ポート15aを介してL2スイッチ1eのポート11eに接続される。
L2スイッチ1b乃至1eの各々はN(Nは2以上の自然数)個のポートを有しており、N個のポートのうち(N−1)個にはL2スイッチ1a以外の装置(具体的には、コントロールポイント又はUPnPデバイス)が接続される。L2スイッチ1bには、コントロールポイント31bと、(N−2)台のUPnPデバイスとが接続される。L2スイッチ1c乃至L2スイッチ1eには、(N−1)台のUPnPデバイスが接続される。
第3の実施の形態のシステムにおいても、リフレクタ攻撃が発生していない場合におけるコントロールポイントのパケット比およびUPnPデバイスのパケット比は、約10であるとする。
L2スイッチ1a乃至1eの機能ブロック構成は、第1の実施の形態のL2スイッチ1aの機能ブロック構成と同じである。
ここで、リフレクタ攻撃の発生によって、図46乃至図48に示すようにSSDPパケット数が計数されたとする。図46は、L2スイッチ1bのポート12bについて計数されたSSDPパケット数を示す図である。図47は、L2スイッチ1cのポート13cについて計数されたSSDPパケット数を示す図である。図48は、L2スイッチ1dのポート13dについて計数されたSSDPパケット数を示す図である。また、UPnPデバイス32c及びUPnPデバイス32d以外のUPnPデバイスが接続されたポートについても、図47及び図48に示した計数結果と同様の計数結果が得られたとする。
図46の計数結果から、L2スイッチ1bのポート12bに接続されたコントロールポイント31bが被攻撃者であると推定される。しかしながら、図47及び図48に示したような計数結果からは、攻撃者であるUPnPデバイスを特定することができない。
例えば図49に示すように、L2スイッチ1b乃至1eの各々の配下における2以上のUPnPデバイスが攻撃者であるケースを考える。このように、ネットワーク内の多数のUPnPデバイスが攻撃者である場合には、UPnPデバイスあたりのM−SEARCHリクエスト数が少なくてもネットワークを占有できるので、図47及び図48に示したような計数結果が得られることがある。従って、ネットワーク内に多数の攻撃者が存在するような場合には攻撃者を特定することができないことがあるが、被攻撃者を特定することはできるので、被攻撃者宛のパケットを廃棄することは可能である。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明したL2スイッチ1a乃至1eの機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明した各テーブル構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
上記の閾値算出方法は一例であり、他の方法によって閾値を算出してもよい。
閾値の算出に使用する複数のパケット比から、リフレクタ攻撃の発生時のパケット比を除外してもよい。
なお、上で述べたL2スイッチ1a乃至1eは、図50に示すように、メモリ2601とCPU2603とハードディスク・ドライブ(HDD)2605と表示装置2609に接続される表示制御部2607とリムーバブル・ディスク2611用のドライブ装置2613と入力装置2615とネットワークに接続するための通信制御部2617(図50では、2617a乃至2617c)とがバス2619で接続されている構成の場合もある。なお、場合によっては、表示制御部2607、表示装置2609、ドライブ装置2613、入力装置2615は含まれない場合もある。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実施するためのアプリケーション・プログラムは、HDD2605に格納されており、CPU2603により実行される際にはHDD2605からメモリ2601に読み出される。必要に応じてCPU2603は、表示制御部2607、通信制御部2617、ドライブ装置2613を制御して、必要な動作を行わせる。なお、通信制御部2617のいずれかを介して入力されたデータは、他の通信制御部2617を介して出力される。CPU2603は、通信制御部2617を制御して、適切に出力先を切り替える。また、処理途中のデータについては、メモリ2601に格納され、必要があればHDD2605に格納される。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2611に格納されて頒布され、ドライブ装置2613からHDD2605にインストールされる。インターネットなどのネットワーク及び通信制御部2617を経由して、HDD2605にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2603、メモリ2601などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態の第1の態様に係る中継装置は、(A)中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、ポートに接続された情報処理装置が送信した所定プロトコルのパケットの数である第2の数とを計数する計数部(実施の形態におけるポート監視部は計数部の一例である)と、(B)第1の数と第2の数とに基づき算出された指標値と、中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、中継装置または他の中継装置に接続された情報処理装置による攻撃が発生したか判定する判定部(実施の形態における判定部1051は判定部の一例である)とを有する。
ネットワーク内の情報処理装置の数によって適切な閾値の数が変わるため、上記のような閾値を利用することで、リフレクタ攻撃の発生を適切に検知することができるようになる。
また、閾値は、第1の閾値と第1の閾値より小さい第2の閾値とを含んでもよい。そして、本中継装置は、(C)中継装置または他の中継装置に接続されている情報処理装置の数を、情報処理装置の接続情報と他の中継装置から受信した接続情報とに基づき特定し、第1の閾値および第2の閾値を指標値の統計量に基づき算出する算出部(実施の形態における算出部1053は算出部の一例である)をさらに有してもよい。
統計量を利用することで適切な第1の閾値および第2の閾値を算出できるようになる。
また、計数部は、(a1)指標値が第1の閾値より大きい場合にポートへのパケットを廃棄してもよい。そして、判定部は、(b1)指標値が第2の閾値より小さい場合にポートを閉塞してもよい。
攻撃者に該当する情報処理装置が例えばM−SEARCH等のメッセージを送信すること及び被攻撃者に該当する情報処理装置が多数のパケットを受信することを抑止できるようになる。
また、指標値は、第2の数に対する第1の数の比であってもよい。
パケットの絶対数だけで判定を行うことは適切ではない。上記のような比を利用すれば、適切に判定を行えるようになる。
また、第1の数は、ポートに接続された情報処理装置を宛先とする所定プロトコルのユニキャストパケットの数であり、第2の数は、ポートに接続された情報処理装置が送信した所定プロトコルのマルチキャストパケットの数であってもよい。
また、所定のプロトコルは、ネットワーク内の情報処理装置の検出および接続に関する通信プロトコルであってもよい。
本実施の形態の第2の態様に係る攻撃検知方法は、(D)中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、ポートに接続された情報処理装置が送信した所定プロトコルのパケットの数である第2の数とを計数し、(E)第1の数と第2の数とに基づき算出された指標値と、中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、中継装置または他の中継装置に接続された情報処理装置による攻撃が発生したか判定する処理を含む。
なお、上記方法による処理をプロセッサに行わせるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
中継装置であって、
前記中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数する計数部と、
前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する判定部と、
を有する中継装置。
(付記2)
前記閾値は、第1の閾値と前記第1の閾値より小さい第2の閾値とを含み、
前記中継装置または他の中継装置に接続されている情報処理装置の数を、前記情報処理装置の接続情報と前記他の中継装置から受信した接続情報とに基づき特定し、前記第1の閾値および前記第2の閾値を前記指標値の統計量に基づき算出する算出部
をさらに有する付記1記載の中継装置。
(付記3)
前記計数部は、
前記指標値が前記第1の閾値より大きい場合に前記ポートへのパケットを廃棄し、
前記判定部は、
前記指標値が前記第2の閾値より小さい場合に前記ポートを閉塞する、
付記2記載の中継装置。
(付記4)
前記指標値は、前記第2の数に対する前記第1の数の比である、
付記1乃至3のいずれか1つ記載の中継装置。
(付記5)
前記第1の数は、前記ポートに接続された情報処理装置を宛先とする前記所定プロトコルのユニキャストパケットの数であり、前記第2の数は、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのマルチキャストパケットの数である、
付記1乃至4のいずれか1つ記載の中継装置。
(付記6)
前記所定のプロトコルは、ネットワーク内の情報処理装置の検出および接続に関する通信プロトコルである、
付記1乃至5のいずれか1つ記載の中継装置。
(付記7)
プロセッサが、
中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数し、
前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する、
処理を実行する攻撃検知方法。
(付記8)
プロセッサに、
中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数し、
前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する、
処理を実行させる攻撃検知プログラム。
1a,1b,1c,1d,1e L2スイッチ 5 ルータ
31a コントロールポイント
32a,33a,34a,35a UPnPデバイス
31b,32b,33b,34b,35b UPnPデバイス
31c,32c,33c,34c,35c UPnPデバイス
31d,32d UPnPデバイス 31e,32e UPnPデバイス
1011,1013,1015,1017,1019 ポート監視部
103 集計データ格納部
105 集計部
1051 判定部 1053 算出部
107 中継部

Claims (6)

  1. 中継装置であって、
    前記中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数する計数部と、
    前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する判定部と、
    を有する中継装置。
  2. 前記閾値は、第1の閾値と前記第1の閾値より小さい第2の閾値とを含み、
    前記中継装置または他の中継装置に接続されている情報処理装置の数を、前記情報処理装置の接続情報と前記他の中継装置から受信した接続情報とに基づき特定し、前記第1の閾値および前記第2の閾値を前記指標値の統計量に基づき算出する算出部
    をさらに有する請求項1記載の中継装置。
  3. 前記計数部は、
    前記指標値が前記第1の閾値より大きい場合に前記ポートへのパケットを廃棄し、
    前記判定部は、
    前記指標値が前記第2の閾値より小さい場合に前記ポートを閉塞する、
    請求項2記載の中継装置。
  4. 前記指標値は、前記第2の数に対する前記第1の数の比である、
    請求項1乃至3のいずれか1つ記載の中継装置。
  5. プロセッサが、
    中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数し、
    前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する、
    処理を実行する攻撃検知方法。
  6. プロセッサに、
    中継装置のポートに接続された情報処理装置を宛先とする所定プロトコルのパケットの数である第1の数と、前記ポートに接続された情報処理装置が送信した前記所定プロトコルのパケットの数である第2の数とを計数し、
    前記第1の数と前記第2の数とに基づき算出された指標値と、前記中継装置または他の中継装置に接続されている情報処理装置の数に対応する閾値との比較に基づき、前記中継装置または前記他の中継装置に接続された情報処理装置による攻撃が発生したか判定する、
    処理を実行させる攻撃検知プログラム。
JP2017098005A 2017-05-17 2017-05-17 攻撃検知方法、攻撃検知プログラムおよび中継装置 Active JP6834768B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017098005A JP6834768B2 (ja) 2017-05-17 2017-05-17 攻撃検知方法、攻撃検知プログラムおよび中継装置
US15/979,022 US10897481B2 (en) 2017-05-17 2018-05-14 Relay device, method and non-transitory computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017098005A JP6834768B2 (ja) 2017-05-17 2017-05-17 攻撃検知方法、攻撃検知プログラムおよび中継装置

Publications (2)

Publication Number Publication Date
JP2018195969A JP2018195969A (ja) 2018-12-06
JP6834768B2 true JP6834768B2 (ja) 2021-02-24

Family

ID=64272105

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017098005A Active JP6834768B2 (ja) 2017-05-17 2017-05-17 攻撃検知方法、攻撃検知プログラムおよび中継装置

Country Status (2)

Country Link
US (1) US10897481B2 (ja)
JP (1) JP6834768B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置
JP6923809B2 (ja) * 2018-08-23 2021-08-25 日本電信電話株式会社 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
WO2021018440A1 (en) * 2019-07-26 2021-02-04 Sony Corporation METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
US11876790B2 (en) * 2020-01-21 2024-01-16 The Boeing Company Authenticating computing devices based on a dynamic port punching sequence
US20240179043A1 (en) * 2022-11-29 2024-05-30 Sophos Limited Misconfigured mirror port detection

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
KR100525384B1 (ko) * 2000-10-31 2005-11-02 엘지전자 주식회사 무선 통신 시스템에서의 패킷 재전송 제어 방법
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
TWI250741B (en) * 2003-02-26 2006-03-01 Realtek Semiconductor Corp Method for automatically and dynamically adjusting packet transmission speed of wireless communication network system
US20060031888A1 (en) * 2004-04-30 2006-02-09 Sparrell Carlton J Centralized resource management and un-managed device support
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
JP4636864B2 (ja) 2004-11-30 2011-02-23 株式会社エヌ・ティ・ティ・ドコモ 中継機器
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
JP4334534B2 (ja) * 2005-11-29 2009-09-30 株式会社東芝 ブリッジ装置及びブリッジシステム
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
JP2007249579A (ja) * 2006-03-15 2007-09-27 Fujitsu Ltd ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム
US7739211B2 (en) * 2006-11-08 2010-06-15 21St Century Technologies, Inc. Dynamic SNA-based anomaly detection using unsupervised learning
US8117657B1 (en) * 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
CN101267313B (zh) * 2008-04-23 2010-10-27 成都市华为赛门铁克科技有限公司 泛洪攻击检测方法及检测装置
US8000253B2 (en) * 2008-06-03 2011-08-16 Fujitsu Limited Detection program, relay device, and detecting method
JP4475602B2 (ja) * 2008-07-24 2010-06-09 パナソニック株式会社 中継器及び中継方法
CN101686235B (zh) * 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
US8514715B2 (en) * 2010-04-22 2013-08-20 Akamai Technologies, Inc. Congestion window control based on queuing delay and packet loss
JP5928040B2 (ja) * 2012-03-19 2016-06-01 富士通株式会社 中継装置、情報処理システム、中継プログラム、中継方法
US9531615B2 (en) * 2012-07-27 2016-12-27 Nec Corporation Available bandwidth estimating system, method, and program
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
US8973139B2 (en) * 2012-11-29 2015-03-03 At&T Intellectual Property I, L.P. Detecting altered applications using network traffic data
US8997224B1 (en) * 2013-03-14 2015-03-31 Hrl Laboratories, Llc Explosive network attack and mitigation strategies
US9282113B2 (en) * 2013-06-27 2016-03-08 Cellco Partnership Denial of service (DoS) attack detection systems and methods
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
US9749420B2 (en) * 2015-06-24 2017-08-29 Qualcomm Incorporated Controlling an IoT device using a remote control device via an infrastructure device
TW201733308A (zh) * 2016-03-07 2017-09-16 Luxul Tech Incorporation 智慧開關控制系統與方法
US20170272979A1 (en) * 2016-03-15 2017-09-21 Comcast Cable Communications, Llc Network based control of wireless communications
JP6670782B2 (ja) * 2016-09-16 2020-03-25 株式会社東芝 通信装置、通信方法、機器およびコンピュータプログラム
US10728261B2 (en) * 2017-03-02 2020-07-28 ResponSight Pty Ltd System and method for cyber security threat detection
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置

Also Published As

Publication number Publication date
US20180337945A1 (en) 2018-11-22
JP2018195969A (ja) 2018-12-06
US10897481B2 (en) 2021-01-19

Similar Documents

Publication Publication Date Title
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
US20180331965A1 (en) Control channel usage monitoring in a software-defined network
US11140198B2 (en) System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array
US10187422B2 (en) Mitigation of computer network attacks
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
US10986021B2 (en) Flow management in networks
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
WO2017025021A1 (zh) 一种处理流表的方法及装置
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
WO2020040027A1 (ja) 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
CA2983429C (en) Network security analysis for smart appliances
EP3266174B1 (en) Uplink port oversubscription determination
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR100756462B1 (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
CN113676408A (zh) 虚拟专用网络的选路方法、系统、设备及存储介质
KR20210066432A (ko) 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법
KR20180015959A (ko) 스위칭 망에서의 데이터 패킷 전송 경로 제어 장치, 및 이를 이용한 보안 통신 방법
US20190394143A1 (en) Forwarding data based on data patterns
JP2015029207A (ja) 制御装置、通信システム、および、通信制御方法
Wei et al. Optimal control of DDoS defense with multi-resource max-min fairness
KR20170090125A (ko) 댁내망 관리 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210118

R150 Certificate of patent or registration of utility model

Ref document number: 6834768

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150