JP6894860B2 - 優先度算出装置、優先度算出方法及び優先度算出プログラム - Google Patents
優先度算出装置、優先度算出方法及び優先度算出プログラム Download PDFInfo
- Publication number
- JP6894860B2 JP6894860B2 JP2018023485A JP2018023485A JP6894860B2 JP 6894860 B2 JP6894860 B2 JP 6894860B2 JP 2018023485 A JP2018023485 A JP 2018023485A JP 2018023485 A JP2018023485 A JP 2018023485A JP 6894860 B2 JP6894860 B2 JP 6894860B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- source host
- communication
- normal communication
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信による攻撃を防御するための装置、方法及びプログラムに関する。
従来、送信元の情報、又はフロー若しくはパケットの情報を用いて、DDoS(Distributed Denial of Service)攻撃を判定する方法が提案されている。例えば、非特許文献1及び2の方法では、通信のパケットレベルの情報を特徴ベクトルとして、機械学習によりDDoS攻撃か正常通信かが判定される。
また、例えば、非特許文献3のように、攻撃対策の対象とは異なる観測地点に攻撃観測用のハニーポットを設置し、観測された情報と通信の宛先とを紐付けて攻撃判定する方法も提案されている。
また、例えば、非特許文献3のように、攻撃対策の対象とは異なる観測地点に攻撃観測用のハニーポットを設置し、観測された情報と通信の宛先とを紐付けて攻撃判定する方法も提案されている。
S. Seufert, D. O’Brien, "Machine Learning for Automatic Defence against Distributed Denial of Service Attacks", IEEE International Conference on Communications, pp. 1217−1222, 2007.
Xiaoyong Yuan, Chuanhuang Li, Xiaolin Li, "DeepDefense: Identifying DDoS Attack via Deep Learning", IEEE International Conference on Smart Conputing (SMARTCOMP), pp. 1−8, 2017.
牧田大佑,吉岡克成,松本勉,中里純二,島村隼平,井上大介,DNSアンプ攻撃の事前対策へ向けたDNSハニーポットとダークネットの相関分析,情報処理学会論文誌,56巻,3号,pp. 921−931,2015.
しかしながら、従来の攻撃判定方法は、誤検知率が0%ではないため、攻撃と判定された全ての通信を遮断した場合、正常通信も遮断される可能性があった。また、遮断を実行するルータ又はサーバの性能によっては、攻撃と判定された全ての通信を遮断リストに加えることは困難な場合があった。
本発明は、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる優先度算出装置、優先度算出方法及び優先度算出プログラムを提供することを目的とする。
本発明に係る優先度算出装置は、ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出部と、前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく危険度を算出する危険度算出部と、防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出部と、前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく正常通信影響度を算出する影響度算出部と、前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出部と、を備える。
前記危険度算出部は、前記攻撃通信データの発生日時に応じて出力トラフィック量に重み付けをしてもよい。
前記危険度算出部は、攻撃通信の回数に応じて前記危険度に重み付けをしてもよい。
前記危険度算出部は、前記攻撃元ホストの種別に応じて前記危険度に重み付けをしてもよい。
前記危険度算出部は、攻撃の種類に応じて前記危険度に重み付けをしてもよい。
前記影響度算出部は、前記正常通信データの発生日時に応じて出力トラフィック量に重み付けをしてもよい。
前記影響度算出部は、前記攻撃元ホスト毎に、前記防御対象ホストの数及び前記出力トラフィック量に基づく前記正常通信影響度を算出してもよい。
前記影響度算出部は、前記攻撃元ホストの種別に応じて前記正常通信影響度に重み付けをしてもよい。
本発明に係る優先度算出方法は、ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出ステップと、前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく危険度を算出する危険度算出ステップと、防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出ステップと、前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく正常通信影響度を算出する影響度算出ステップと、前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出ステップと、をコンピュータが実行する。
本発明に係る優先度算出プログラムは、前記優先度算出装置としてコンピュータを機能させるためのものである。
本発明によれば、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る優先度算出装置1の機能構成を示すブロック図である。
図1は、本実施形態に係る優先度算出装置1の機能構成を示すブロック図である。
優先度算出装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20を備える。さらに、優先度算出装置1は、各種データの入出力デバイス及び通信デバイス等を備え、ネットワークで観測された通信データを入力として、攻撃元ホストを抽出すると共に、これらのホスト毎に通信を遮断すべき優先度を算出して出力する。
制御部10は、優先度算出装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を優先度算出装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるための優先度算出プログラムの他、ネットワークで観測された通信データ等を記憶する。
制御部10は、攻撃通信抽出部11と、危険度算出部12と、正常通信抽出部13と、影響度算出部14と、優先度算出部15とを備える。
攻撃通信抽出部11は、監視対象のネットワークにおける上位階層のルータ(コアルータ)等からフロー情報又はパケット情報を取得し、攻撃通信データを抽出する。
攻撃通信は、既存の手法により判定可能である。例えば、宛先単位のトラフィック量が閾値以上である、又は送信元ポートが既知の攻撃ポートである等、所定の特徴を有する通信が攻撃通信と判定される。
攻撃通信抽出部11は、攻撃通信と判定された一連の通信のフロー情報又はパケット情報から、攻撃通信データとして、攻撃元ホストのIPアドレス、攻撃発生日時、及び1秒当たりのビット数(bps)若しくは1秒当たりのパケット数(pps)等の出力トラフィック量を抽出し、リスト化して記憶する。
攻撃通信は、既存の手法により判定可能である。例えば、宛先単位のトラフィック量が閾値以上である、又は送信元ポートが既知の攻撃ポートである等、所定の特徴を有する通信が攻撃通信と判定される。
攻撃通信抽出部11は、攻撃通信と判定された一連の通信のフロー情報又はパケット情報から、攻撃通信データとして、攻撃元ホストのIPアドレス、攻撃発生日時、及び1秒当たりのビット数(bps)若しくは1秒当たりのパケット数(pps)等の出力トラフィック量を抽出し、リスト化して記憶する。
危険度算出部12は、リスト化された攻撃通信データから、攻撃元ホスト毎に所定期間(例えば、直近の1ヶ月)の出力トラフィック量を抽出し、この出力トラフィック量に基づく危険度を算出する。
例えば、危険度算出部12は、全攻撃元ホストそれぞれについて、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの危険度とする。
例えば、危険度算出部12は、全攻撃元ホストそれぞれについて、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの危険度とする。
このとき、危険度算出部12は、攻撃通信データの発生日時に応じて、出力トラフィック量に重み付けをしてもよい。
また、危険度算出部12は、攻撃通信の回数、攻撃元ホストの種別、攻撃の種類等に応じて、攻撃元ホストの危険度に重み付けをしてもよい。
また、危険度算出部12は、攻撃通信の回数、攻撃元ホストの種別、攻撃の種類等に応じて、攻撃元ホストの危険度に重み付けをしてもよい。
発生日時については、例えば、直近の情報ほど信頼度が高いため、現在から2週間前まで、2週間前から4週間前まで、4週間前から8週間前までの出力トラフィック量に、それぞれ0.5、0.3、0.2のように異なる重みが付与されてもよい。
また、例えば、曜日、時間帯等で異なる重みが付与されてもよい。
また、例えば、曜日、時間帯等で異なる重みが付与されてもよい。
攻撃通信の回数については、所定期間内に同一の攻撃元ホストから何回の攻撃事例があったかによって、例えば回数が多いほど危険度に大きな重みが付与されてもよい。
攻撃元ホストの種別については、不特定多数のユーザへサービスを提供するWeb、DNS(Domain Name System)、NTP(Network Time Protocol)等のサーバなのか、サービス提供を行わない個人端末等の一般ホストなのかによって、危険度に異なる重みが付与されてもよい。例えば、一般ホストの場合、IPアドレスがすぐに変更される可能性が高いため、攻撃元ホストとして検出されたIPアドレス自体の危険度は、IPアドレスが固定されることの多いサーバの場合よりも低くてよい。
攻撃の種類については、例えば、DRDoS(Distributed Reflection Denial of Service)攻撃では、DNSよりもNTPを利用した手法の方が、パケット数の増幅量が大きいため、高い危険度となるように重みが付与される。
正常通信抽出部13は、攻撃通信抽出部11と同様にフロー情報又はパケット情報を取得し、防御対象ホストから攻撃元ホストへの通信を正常通信とみなし、ネットワークで観測された正常通信データを抽出する。
このとき、正常通信抽出部13は、例えば、送信元IPアドレスの偽装が容易なUDPによる通信を除外し、TCP通信のみを対象としてもよい。さらに、synフラグが有効となっているパケットのみを対象としてもよい。
また、正常通信抽出部13は、TCPの接続が確立された後、一定以上の通信実績がある場合を正常通信と判断したり、ルータのインタフェース情報と送信元のIPアドレスとが対応しない場合に送信元が偽装されていると判断したりすることで、正常通信データをより確実に抽出できる。
このとき、正常通信抽出部13は、例えば、送信元IPアドレスの偽装が容易なUDPによる通信を除外し、TCP通信のみを対象としてもよい。さらに、synフラグが有効となっているパケットのみを対象としてもよい。
また、正常通信抽出部13は、TCPの接続が確立された後、一定以上の通信実績がある場合を正常通信と判断したり、ルータのインタフェース情報と送信元のIPアドレスとが対応しない場合に送信元が偽装されていると判断したりすることで、正常通信データをより確実に抽出できる。
正常通信抽出部13は、抽出した正常通信のフロー情報又はパケット情報から、正常通信データとして、観測日時、正常通信の送信元である防御対象ホストのIPアドレス、正常通信の送信先である攻撃元ホストのIPアドレス、及び1秒当たりのビット数(bps)若しくは1秒当たりのパケット数(pps)等の出力トラフィック量を抽出し、リスト化して記憶する。
影響度算出部14は、リスト化された正常通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、この出力トラフィック量に基づく正常通信影響度を算出する。
例えば、影響度算出部14は、攻撃元ホスト毎に、防御対象ホストの数と、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の防御対象ホスト数及び/又は出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの正常通信影響度とする。
例えば、影響度算出部14は、攻撃元ホスト毎に、防御対象ホストの数と、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の防御対象ホスト数及び/又は出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの正常通信影響度とする。
このとき、影響度算出部14は、正常通信データの発生日時に応じて、危険度算出部12と同様に、出力トラフィック量に重み付けをしてもよい。
また、影響度算出部14は、攻撃元ホストの種別に応じて、攻撃元ホストの正常通信影響度に重み付けをしてもよい。例えば、多数のユーザへサービスを提供するサーバの場合、通信を遮断すると、多数のユーザからのアクセスを遮断することになるため、正常通信影響度は、一般ホストの場合よりも高くてよい。
また、影響度算出部14は、攻撃元ホストの種別に応じて、攻撃元ホストの正常通信影響度に重み付けをしてもよい。例えば、多数のユーザへサービスを提供するサーバの場合、通信を遮断すると、多数のユーザからのアクセスを遮断することになるため、正常通信影響度は、一般ホストの場合よりも高くてよい。
優先度算出部15は、攻撃元ホスト毎に、危険度及び正常通信影響度に基づいて、通信遮断の優先度を算出する。
攻撃元ホストは、自分の意図に反して、反射型DDoS攻撃又はBotによる攻撃等に加担している場合があるため、攻撃通信だけでなく防御対象ホストと正常通信を行っている可能性もある。すると、攻撃元ホストの全ての通信を遮断した場合、防御対象ホストとの正常通信にも影響がでるため、通信遮断の優先度を下げる必要がある。
攻撃元ホストは、自分の意図に反して、反射型DDoS攻撃又はBotによる攻撃等に加担している場合があるため、攻撃通信だけでなく防御対象ホストと正常通信を行っている可能性もある。すると、攻撃元ホストの全ての通信を遮断した場合、防御対象ホストとの正常通信にも影響がでるため、通信遮断の優先度を下げる必要がある。
そこで、優先度算出部15は、攻撃元ホストと防御対象ホストとの間の正常通信を加味し、遮断した場合の影響度を優先度に反映する。
すなわち、危険度が高いほど、正常通信影響度が低いほど、優先度が高く設定される。例えば、優先度=危険度/正常通信影響度としてもよい。また、危険度又は正常通信影響度のいずれか一方を重視する利用者の場合、いずれかに重みを付けて優先度が算出されてもよい。
すなわち、危険度が高いほど、正常通信影響度が低いほど、優先度が高く設定される。例えば、優先度=危険度/正常通信影響度としてもよい。また、危険度又は正常通信影響度のいずれか一方を重視する利用者の場合、いずれかに重みを付けて優先度が算出されてもよい。
図2は、本実施形態に係る優先度の算出処理を示すフローチャートである。
なお、本処理に先立って、防御対象ホストを含むネットワークのフロー情報又はパケット情報が通信ログとして継続的に収集されていることとする。
なお、本処理に先立って、防御対象ホストを含むネットワークのフロー情報又はパケット情報が通信ログとして継続的に収集されていることとする。
ステップS1において、攻撃通信抽出部11は、通信ログから攻撃通信を抽出し、攻撃通信データをリスト化して記憶する。
ステップS2において、危険度算出部12は、攻撃通信データから、所定期間の情報を抜き出し、攻撃元ホスト毎に、出力トラフィック量に基づく危険度を算出する。
ステップS3において、正常通信抽出部13は、攻撃通信データにおける防御対象ホストを送信元とし、攻撃元ホストを宛先とする通信を通信ログから抽出し、正常通信データをリスト化して記憶する。
ステップS4において、影響度算出部14は、正常通信データから、所定期間の情報を抜き出し、攻撃元ホスト毎に、防御対象ホスト数及び出力トラフィック量に基づく正常通信影響度を算出する。
ステップS5において、優先度算出部15は、危険度及び正常通信影響度に基づいて、通信を遮断すべき攻撃元ホストの優先度を算出する。
本実施形態によれば、優先度算出装置1は、攻撃通信の実績に基づいて、各攻撃元ホストからのトラフィックがネットワークに与える影響の度合いである危険度を算出する。また、優先度算出装置1は、防御対象ホストから攻撃元ホストへの通信を正常通信とみなすことで、攻撃元ホストの通信を遮断することによる正常通信への影響度を、ホスト毎に算出する。そして、優先度算出装置1は、危険度及び正常通信影響度に基づいて、通信を遮断すべき優先度を算出して出力する。
しがたって、優先度算出装置1は、攻撃元ホストにおける攻撃通信を遮断した場合の正常通信への影響、及び過去の攻撃実績に基づく危険度を考慮して、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる。この結果、優先度算出装置1は、攻撃対策の一つとして該当ホストに関連する通信を遮断する際に、正常通信への影響が少なく、かつ、遮断量の多い攻撃防御を実施できる。
優先度算出装置1は、攻撃通信の発生日時に応じて出力トラフィック量に重み付けをして危険度を算出し、また、攻撃通信の回数、攻撃元ホストの種別、又は攻撃の種類に応じて危険度に重み付けをする。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に攻撃の規模を詳細に分析することで、危険度をより正確に見積もることができる。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に攻撃の規模を詳細に分析することで、危険度をより正確に見積もることができる。
優先度算出装置1は、攻撃元ホスト毎に、正常通信を行った防御対象ホストの数及び出力トラフィック量を用いて、通信を遮断した場合の正常通信影響度を算出する。
したがって、優先度算出装置1は、複数の指標を用いて精度良く正常通信影響度を算出できる。
したがって、優先度算出装置1は、複数の指標を用いて精度良く正常通信影響度を算出できる。
優先度算出装置1は、正常通信データの発生日時に応じて出力トラフィック量に重み付けをして正常通信影響度を算出し、また、攻撃元ホストの種別に応じて正常通信影響度に重み付けをする。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に正常通信の規模を詳細に分析することで、正常通信影響度をより正確に見積もることができる。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に正常通信の規模を詳細に分析することで、正常通信影響度をより正確に見積もることができる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
優先度算出装置1による優先度算出方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 優先度算出装置
10 制御部
11 攻撃通信抽出部
12 危険度算出部
13 正常通信抽出部
14 影響度算出部
15 優先度算出部
20 記憶部
10 制御部
11 攻撃通信抽出部
12 危険度算出部
13 正常通信抽出部
14 影響度算出部
15 優先度算出部
20 記憶部
Claims (10)
- ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出部と、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出部と、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出部と、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出部と、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出部と、を備える優先度算出装置。 - 前記危険度算出部は、前記攻撃通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項1に記載の優先度算出装置。
- 前記危険度算出部は、同一の前記攻撃元ホストからの攻撃通信の回数に応じて前記危険度に重み付けする請求項1又は請求項2に記載の優先度算出装置。
- 前記危険度算出部は、前記攻撃元ホストの種別に応じて前記危険度に重み付けする請求項1から請求項3のいずれかに記載の優先度算出装置。
- 前記危険度算出部は、攻撃の種類に応じて前記危険度に重み付けする請求項1から請求項4のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記正常通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項1から請求項5のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記攻撃元ホスト毎に、前記防御対象ホストの数及び前記出力トラフィック量に基づく前記正常通信影響度を算出する請求項1から請求項6のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記攻撃元ホストの種別に応じて前記正常通信影響度に重み付けする請求項1から請求項7のいずれかに記載の優先度算出装置。
- ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出ステップと、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出ステップと、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出ステップと、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出ステップと、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出ステップと、をコンピュータが実行する優先度算出方法。 - 請求項1から請求項8のいずれかに記載の優先度算出装置としてコンピュータを機能させるための優先度算出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023485A JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023485A JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019140578A JP2019140578A (ja) | 2019-08-22 |
| JP6894860B2 true JP6894860B2 (ja) | 2021-06-30 |
Family
ID=67694496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018023485A Active JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6894860B2 (ja) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004078602A (ja) * | 2002-08-19 | 2004-03-11 | Nec Corp | データ処理装置 |
| JP3760919B2 (ja) * | 2003-02-28 | 2006-03-29 | 日本電気株式会社 | 不正アクセス防止方法、装置、プログラム |
| JP2008017179A (ja) * | 2006-07-06 | 2008-01-24 | Nec Corp | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム |
| JP2009021654A (ja) * | 2007-07-10 | 2009-01-29 | Panasonic Corp | 無線通信装置及びその通信負荷算出方法 |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
| JP5844944B2 (ja) * | 2013-03-29 | 2016-01-20 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| CN107113228B (zh) * | 2014-11-19 | 2020-07-31 | 日本电信电话株式会社 | 控制装置、边界路由器、控制方法和计算机可读存储介质 |
-
2018
- 2018-02-13 JP JP2018023485A patent/JP6894860B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019140578A (ja) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Smys | DDOS attack detection in telecommunication network using machine learning | |
| US10218725B2 (en) | Device and method for detecting command and control channel | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10171491B2 (en) | Near real-time detection of denial-of-service attacks | |
| US8151341B1 (en) | System and method for reducing false positives during detection of network attacks | |
| US20080104702A1 (en) | Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling | |
| US20120167161A1 (en) | Apparatus and method for controlling security condition of global network | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| JP6750457B2 (ja) | ネットワーク監視装置、プログラム及び方法 | |
| JP2015222471A (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| US20220141252A1 (en) | System and method for data filtering in machine learning model to detect impersonation attacks | |
| Devi et al. | Detection of DDoS attack using optimized hop count filtering technique | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| JP6392985B2 (ja) | 検知システム、検知装置、検知方法及び検知プログラム | |
| JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| US20170374097A1 (en) | Denial-of-service (dos) mitigation based on health of protected network device | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP6894860B2 (ja) | 優先度算出装置、優先度算出方法及び優先度算出プログラム | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| JP2005316779A (ja) | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム | |
| CN111478860A (zh) | 一种网络控制方法、装置、设备及机器可读存储介质 | |
| JP6712944B2 (ja) | 通信予測装置、通信予測方法及び通信予測プログラム | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| CN110162969B (zh) | 一种流量的分析方法和装置 | |
| JP6883535B2 (ja) | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200108 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201023 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210518 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210604 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6894860 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |