JPWO2006046345A1 - サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 - Google Patents

サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 Download PDF

Info

Publication number
JPWO2006046345A1
JPWO2006046345A1 JP2006542260A JP2006542260A JPWO2006046345A1 JP WO2006046345 A1 JPWO2006046345 A1 JP WO2006046345A1 JP 2006542260 A JP2006542260 A JP 2006542260A JP 2006542260 A JP2006542260 A JP 2006542260A JP WO2006046345 A1 JPWO2006046345 A1 JP WO2006046345A1
Authority
JP
Japan
Prior art keywords
performance
denial
traffic
attack
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006542260A
Other languages
English (en)
Other versions
JP4709160B2 (ja
Inventor
雅樹 濱田
雅樹 濱田
仁 冨士
仁 冨士
誠 岩村
誠 岩村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006542260A priority Critical patent/JP4709160B2/ja
Publication of JPWO2006046345A1 publication Critical patent/JPWO2006046345A1/ja
Application granted granted Critical
Publication of JP4709160B2 publication Critical patent/JP4709160B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5009Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とを備え、監視装置は通信機器宛のパケットによるトラフィックの異常性を表すトラフィック異常性情報を検出し、性能測定装置は通信機器の性能の異常性を表す性能異常性情報を検出し、攻撃判断装置は、トラフィック異常性情報および性能異常性情報に基づいてサービス不能攻撃であるか否かを判断する。

Description

この発明は、サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、この通信機器の性能を測定する性能測定装置と、監視装置および性能測定装置と通信をおこなう攻撃判断装置とによってかかる通信機器に対するサービス不能攻撃を検知するサービス不能攻撃検知システムおよびサービス不能攻撃検知方法に関し、特に、サービス不能攻撃の検知精度を向上させることにより対処の必要なサービス不能攻撃のみを検知することができるサービス不能攻撃検知システムおよびサービス不能攻撃検知方法に関する。
従来、ネットワークを介した攻撃として、多量のパケットを送付することによりネットワークやサーバマシン(以下「通信機器」と言う)を麻痺させるサービス不能攻撃(分散型サービス不能攻撃を含む)が知られている。かかるサービス不能攻撃は、パケットの特徴量を用いた方法では検知しにくいことから、トラフィック(量)の異常性を用いた方法によるサービス不能攻撃検知システムが広く用いられている。
このサービス不能攻撃検知システムは、攻撃対象となる通信機器宛のトラフィックを所定の期間にわたって測定することにより求められる定常トラフィックを、手動または自動であらかじめ算出する。そして、監視しているトラフィックが、かかる定常トラフィックから乖離した場合に攻撃とみなすこととして、サービス不能攻撃を検知している(例えば、特許文献1参照)。
特開2003−283555号公報
しかしながら、かかるサービス不能攻撃においては、攻撃規模と、ネットワークおよび通信機器の処理能力との関係から、トラフィックが異常性を示したとしても通信機器が提供するサービスに実害がない場合が多々存在する。このような場合には、上述したサービス不能攻撃検知システムが攻撃として検知しても、具体的な対処を行う必要がないために、誤検知したことと何らかわりがないことになってしまう。
サービス不能攻撃検知システムの主たる用途が通信機器をサービス不能にする攻撃から防御することであるとの考えに基づけば、トラフィックの異常性が攻撃であるか否かを見極める精度を向上させることより、パフォーマンスの劣化を引き起こしているトラフィックの異常性を早急に見つけることが重要である。しかし、従来のサービス不能攻撃検知システムでは、通信機器の処理能力等を考慮することなく、トラフィックの異常性のみに基づいて攻撃を検知しようとしており、パフォーマンスの劣化と関連のないトラフィックの異常性の検知、言い換えれば、対処の必要がない状況の検知(広い意味での誤検知)が多くなるという課題があった。
本発明は、上述した従来技術による問題点を解消するためになされたものであり、サービス不能攻撃の検知精度を向上させることにより対処を必要とするサービス不能攻撃のみを検知することができるサービス不能攻撃検知システムおよびサービス不能攻撃検知方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサービス不能攻撃を検知するサービス不能攻撃検知システムであって、前記監視装置は、前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異常性情報を検知するトラフィック異常性検知手段を備え、前記性能測定装置は、前記通信機器の処理能力の異常性を表す性能異常性情報を検知する性能異常性検知手段を備え、前記攻撃判断装置は、前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能攻撃であるか否かを判断する影響判断手段を備えたことを特徴とする。
この発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常性を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の異常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報および性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとしたので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情報の関連によってサービス不能攻撃であるか否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記監視装置は、前記トラフィック異常性情報を前記攻撃判断装置に送信するトラフィック異常性情報送信手段をさらに備えたことを特徴とする。
この発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照することなくトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記性能測定装置は、前記性能異常性情報を前記攻撃判断装置に送信する性能異常性情報送信手段をさらに備えたことを特徴とする。
この発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照することなく性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記トラフィック異常性検知手段は、あらかじめ設定された所定の攻撃検知条件に基づいて前記トラフィック異常性情報を検知することを特徴とする。
この発明によれば、あらかじめ設定された所定の攻撃検知条件に基づいてトラフィック異常性情報を検知することとしたので、監視装置が効率的にトラフィック異常性情報を検知することができるとともに、攻撃検知条件を変更することにより、攻撃パターンが異なるあらたな攻撃に容易に対処することができる。
また、本発明は、上記発明において、前記トラフィック異常性検知手段は、前記攻撃検知条件に基づいて前記通信機器に対する攻撃をおこなうパケットの特徴を表すシグネチャを生成し、前記シグネチャを含む前記トラフィック異常性情報を生成することを特徴とする。
この発明によれば、攻撃検知条件に基づいて通信機器に対する攻撃をおこなうパケットの特徴を表すシグネチャを生成し、かかるシグネチャを含むトラフィック異常性情報を生成することとしたので、攻撃をおこなうパケットの特徴を反映したトラフィック異常性情報を生成することにより、トラフィック異常性情報の信頼性を向上させることができる。
また、本発明は、上記発明において、前記トラフィック異常性検知手段は、前記通信機器宛の前記パケットの平均的なトラフィックを表す定常トラフィックに基づいて前記トラフィック異常性情報を検知することを特徴とする。
この発明によれば、通信機器宛のパケットの平均的なトラフィックを表す定常トラフィックに基づいてトラフィック異常性情報を検知することとしたので、検知されたトラフィックと定常トラフィックとの乖離状況に基づいて簡便にトラフィック異常性情報を生成することができる。
また、本発明は、上記発明において、前記性能異常性検知手段は、あらかじめ設定された所定の性能異常性検知条件に基づいて前記性能異常性情報を検知することを特徴とする。
この発明によれば、あらかじめ設定された所定の性能異常性検知条件に基づいて性能異常性情報を検知することとしたので、性能測定装置が効率的に性能異常性情報を検知することができるとともに、性能異常性検知条件を変更することにより、検知対象となる通信機器の性能の差異や性能の変化に容易に対処することができる。
また、本発明は、上記発明において、前記性能異常性検知条件は、前記通信機器に応答要求メッセージを送信してから前記応答要求メッセージに対応する応答メッセージを受信するまでの応答時間と、前記応答時間が所定の閾値を上回る回数とを含んだことを特徴とする。
この発明によれば、通信機器に応答要求メッセージを送信してから応答要求メッセージに対応する応答メッセージを受信するまでの応答時間と、応答時間が所定の閾値を上回る回数とを含むこととしたので、通信機器の応答時間に基づいて簡便に性能異常性情報を生成することができる。
また、本発明は、上記発明において、前記性能異常性検知手段は、前記通信機器の平均的な性能特性を表す定常性能に基づいて前記性能異常性情報を検知することを特徴とする。
この発明によれば、通信機器の平均的な性能特性を表す定常性能に基づいて性能異常性情報を検知することとしたので、検知された性能と定常性能特性との乖離状況に基づいて簡便に性能異常性情報を生成することができる。
また、本発明は、上記発明において、前記攻撃判断手段は、前記トラフィック異常性情報および前記性能異常性情報に含まれる異常発生時刻に基づいて該トラフィック異常性情報または該性能異常性情報のいずれか一方の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサービス不能攻撃であると判断することを特徴とする。
この発明によれば、トラフィック異常性情報および性能異常性情報に含まれる異常発生時刻に基づいてトラフィック異常性情報または性能異常性情報のいずれか一方の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサービス不能攻撃であると判断することとしたので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情報の関連によってサービス不能攻撃であるか否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記影響判断手段がサービス不能攻撃であると判断した場合に、該判断に用いた前記トラフィック異常性情報および前記性能異常性情報を前記攻撃判断装置がオペレータ通知用装置に送信することを特徴とする。
この発明によれば、攻撃判断装置がサービス不能攻撃であると判断した場合に、判断に用いたトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信することとしたので、これらの性能異常性情報に基づいてオペレータが適切な対処をすることができる。
また、本発明は、上記発明において、前記影響判断手段は、前記トラフィック異常性情報および前記性能異常性情報に含まれる証明書に基づいた認証を行ったうえで、サービス不能攻撃であるか否かを判断することを特徴とする。
この発明によれば、トラフィック異常性情報および性能異常性情報に含まれる証明書に基づいた認証を行ったうえで、サービス不能攻撃であるか否かを判断することとしたので、非正規な装置を用いたなりすましを効果的に防止することができる。
また、本発明は、サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサービス不能攻撃を検知するサービス不能攻撃検知方法であって、前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異常性情報を前記監視装置が検知するトラフィック異常性検知工程と、前記通信機器の処理能力の異常性を表す性能異常性情報を前記性能測定装置が検知する性能異常性検知工程と、前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能攻撃であるか否かを前記攻撃判断装置が判断する影響判断工程とを含んだことを特徴とする。
この発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常性を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の異常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報および性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとしたので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情報の関連によりサービス不能攻撃であるか否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記トラフィック異常性情報を前記監視装置が前記攻撃判断装置に送信するトラフィック異常性情報送信工程をさらに含んだことを特徴とする。
この発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照することなくトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明は、上記発明において、前記性能異常性情報を前記性能測定装置が前記攻撃判断装置に送信する性能異常性情報送信工程をさらに含んだことを特徴とする。
この発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照することなく性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
本発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常性を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の異常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報および性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとしたので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情報の関連によってサービス不能攻撃であるか否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照することなくトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信することとしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照することなく性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明によれば、あらかじめ設定された所定の攻撃検知条件に基づいてトラフィック異常性情報を検知することとしたので、監視装置が効率的にトラフィック異常性情報を検知することができるとともに、攻撃検知条件を変更することにより、攻撃パターンが異なるあらたな攻撃に容易に対処することができる。
また、本発明によれば、攻撃検知条件に基づいて通信機器に対する攻撃をおこなうパケットの特徴を表すシグネチャを生成し、かかるシグネチャを含むトラフィック異常性情報を生成することとしたので、攻撃をおこなうパケットの特徴を反映したトラフィック異常性情報を生成することにより、トラフィック異常性情報の信頼性を向上させることができる。
また、本発明によれば、通信機器宛のパケットの平均的なトラフィックを表す定常トラフィックに基づいてトラフィック異常性情報を検知することとしたので、検知されたトラフィックと定常トラフィックとの乖離状況に基づいて簡便にトラフィック異常性情報を生成することができる。
また、本発明によれば、あらかじめ設定された所定の性能異常性検知条件に基づいて性能異常性情報を検知することとしたので、性能測定装置が効率的に性能異常性情報を検知することができるとともに、性能異常性検知条件を変更することにより、検知対象となる通信機器の性能の差異や性能の変化に容易に対処することができる。
また、本発明によれば、通信機器に応答要求メッセージを送信してから応答要求メッセージに対応する応答メッセージを受信するまでの応答時間と、応答時間が所定の閾値を上回る回数とを含むこととしたので、通信機器の応答時間に基づいて簡便に性能異常性情報を生成することができる。
また、本発明によれば、通信機器の平均的な性能特性を表す定常性能に基づいて性能異常性情報を検知することとしたので、検知された性能と定常性能との乖離状況に基づいて簡便に性能異常性情報を生成することができる。
また、本発明によれば、トラフィック異常性情報および性能異常性情報に含まれる異常発生時刻に基づいてトラフィック異常性情報または性能異常性情報のいずれか一方の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサービス不能攻撃であると判断することとしたので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情報の関連によりサービス不能攻撃であるか否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。
また、本発明によれば、攻撃判断装置がサービス不能攻撃であると判断した場合に、判断に用いたトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信することとしたので、これらの性能異常性情報に基づいてオペレータが適切な対処をすることができる。
また、本発明によれば、トラフィック異常性情報および性能異常性情報に含まれる証明書に基づいた認証を行ったうえで、サービス不能攻撃であるか否かを判断することとしたので、非正規な装置を用いたなりすましを効果的に防止することができる。
図1は、本実施例に係るサービス不能攻撃検知システムの構成を示すブロック図である。 図2は、図1に示した監視装置の構成を示すブロック図である。 図3は、攻撃検知条件の一例を示す図である。 図4は、図1に示した性能測定装置の構成を示すブロック図である。 図5は、性能異常性検知条件の一例を示す図である。 図6は、図1に示した攻撃判断装置の構成を示すブロック図である。 図7は、図2に示した監視装置の動作を示すフローチャートである。 図8は、図4に示した性能測定装置の動作を示すフローチャートである。 図9は、図6に示した攻撃判断装置の動作を示すフローチャートである。
符号の説明
1 サービス不能攻撃検知システム
2 LAN
3 通信機器
4 WAN
5 監視装置
6、9 通信回線
7 性能測定装置
8 攻撃判断装置
10 トラフィック異常性検知部
11 トラフィック異常性情報送信部
12 シグネチャ生成部
13、14、18、19、22 通信インタフェイス
15 スイッチ
16 性能異常性検知部
17 性能異常性情報送信部
20 影響判断部
21 アラート送信部
以下に添付図面を参照して、この発明に係るサービス不能攻撃検知システムおよびサービス不能攻撃検知方法の好適な実施の形態を詳細に説明する。
図1は、本実施例に係るサービス不能攻撃検知システム1の構成を示すブロック図である。同図に示すサービス不能攻撃検知システム1は、通信機器3へのサービス不能攻撃を監視装置5、性能測定装置7および攻撃判断装置8を用いて検知するシステムである。具体的には、LAN(LocalAreaNetwork)2上の監視装置5が通信機器3宛のパケットによるトラフィック異常を検知したならば(図1のステップ1)、かかるトラフィック異常の内容を表すトラフィック異常性情報を攻撃判断装置8に送信する(図1のステップ2)。
また、WAN(WideAreaNetwork)4上の性能測定装置7が通信機器3の性能異常を検知したならば(図1のステップ3)、かかる性能異常の内容を表す性能異常性情報を攻撃判断装置8に送信する(図1のステップ4)。そして、LAN2上の攻撃判断装置8がトラフィック異常性情報および性能異常性情報を受信したならば、これらの異常性情報に基づいて通信機器3に対するサービス不能攻撃であるか否かを判断する(図1のステップ5)こととしている。
従来、通信機器3を攻撃対象とするサービス不能攻撃を検知する場合には、攻撃対象となる通信機器3宛のトラフィックを所定の期間にわたって測定することにより定常トラフィックをあらかじめ算出し、監視しているトラフィックが、かかる定常トラフィックから乖離した場合に攻撃とみなすこととしてサービス不能攻撃を検知していた。しかしながら、サービス不能攻撃の攻撃規模と、ネットワークおよび通信機器の処理能力との関係から、トラフィックが異常性を示したとしても通信機器3が提供するサービスに実害がない場合が多々存在した。このため、サービス不能攻撃として検知された場合であっても、実際には何ら対処の必要がないことも多く、実質的に誤検知したことと何らかわりがない状況が発生していた。
本実施例では、トラフィック異常性の検知を監視装置5が行い、通信装置3の性能異常性の検知を性能測定装置7が行うこととし、さらに、トラフィック異常性および性能異常性に基づいた攻撃判断を攻撃判断装置8が行うこととしている。したがって、本実施例によれば、トラフィック異常性のみならず通信機器3の性能異常性に基づいた攻撃判断をすることができるので、サービス不能攻撃の検知精度向上により、対処を必要とするサービス不能攻撃のみを効果的に検知することができる。
なお、図1においては、監視装置5および攻撃判断装置8が通信機器3と同一のLAN2に接続され、性能測定装置7がWAN4に接続された場合について図示しているが、各装置(監視装置5、性能測定装置7および攻撃判断装置8)が接続される回線を限定するものではない。
次に、このサービス不能攻撃検知システム1のシステム構成について説明する。図1に示すように、このサービス不能攻撃検知システム1は、中小企業内のLAN2に設けられ、LAN2に接続された少なくとも1つの通信機器3に基幹回線網等のWAN4を介して送信されたパケットを監視する監視装置5と、WAN4に設けられ、WAN4を介して通信機器3の性能を測定する性能測定装置7と、LAN2に設けられ、監視装置5および性能測定装置7と通信回線9により接続された攻撃判断装置8とを備えている。なお、図1に示したサービス不能攻撃検知システム1の構成は一例を示すものであり、本発明のサービス不能攻撃検知システムは、複数の性能測定装置7を備えてもよく、これらの性能測定装置6の一部またはすべてを、他者が提供するWeb(WorldWideWeb)サイト性能測定サービスを使うように構成してもよい。
監視装置5は、LAN2を構成するルータによって構成されている。なお、監視装置5は、LAN2に設けられたファイアウォール等によって構成してもよい。
図2は、図1に示した監視装置5の構成を示すブロック図である。監視装置5は、通信機器3に送信されるパケットによるトラフィックの異常性を検知するトラフィック異常性検知部10と、検知したトラフィック異常性情報を攻撃判断装置8に送信するトラフィック異常性情報送信部11と、通信機器3に対する攻撃を行うパケットの特徴を表すシグネチャを生成するシグネチャ生成部12と、WAN4およびLAN2に設けられた攻撃判断装置8を含む各装置とそれぞれ通信を行うための通信インタフェイス13、14と、パケットをルーティングするためのスイッチ15とを備えている。
トラフィック異常性検知部10は、あらかじめ設定された攻撃検知条件に基づいて攻撃を検知する処理部である。図3は、攻撃検知条件の一例を示す図である。図3において、攻撃検知条件は、検知属性、検知閾値および検知時間の組からなる2組のレコードで構成される。検知属性は、検知対象とするパケットの属性を示し、検知閾値は、検知対象となるパケットの伝送レートの閾値を示し、検知時間は、検知対象となるパケットの伝送レートが検知閾値を超える時間の閾値を示している。
例えば、1番目の検知条件は、宛先のアドレス情報が192.168.1.1であり(Dst=192.168.1.1/32)、トランスポート層のプロトコルがTCP(TransmissionControlProtocol)であり(Protocol=TCP)、TCPポート番号が80である(Port=80)パケットが検知対象となり、この検知対象のパケットの伝送レートが300kbpsを超えた状態が10秒以上続いた場合には、検知対象のパケットによるトラフィック異常性として検知される。
同様に、2番目の検知条件は、宛先のアドレス情報が192.168.1.2(Dst=192.168.1.2/32)であるパケットが検知対象となり、この検知対象のパケットの伝送レートが100kbpsを超えた状態が10秒以上続いた場合には、検知対象のパケットによるトラフィック異常性として検知される。
このように、検知対象のパケットによる攻撃がトラフィック異常性検知部10によって検知されると、シグネチャ生成部12は、検知対象のパケットの特徴を表すシグネチャを生成する。例えば、図3における攻撃検知条件の1番目の検知条件に合う攻撃が検知された場合には、シグネチャ生成部12は、宛先のアドレス情報が192.168.1.1であり、トランスポート層のプロトコルがTCPであり、TCPポート番号が80であるパケットを示すシグネチャを生成する。
上述した方法は、あらかじめ攻撃と判断するための条件を設定しておく方法であるが、平均的なトラフィックを測定して定常トラフィックとして記憶しておき、かかる定常トラフィックとの乖離から攻撃と判断する方法を用いることとしてもよい。
トラフィック異常性情報送信部11は、シグネチャ生成部12によって生成されたシグネチャを含み、トラフィックの異常性が検出されたことを表すトラフィック異常性情報を攻撃判断装置8に送信する処理部である。また、このトラフィック異常性情報送信部11は、自装置が正規な監視装置5であることを示す証明書を上記したトラフィック異常性情報に含めて送信する。このように、トラフィック異常性情報に証明書を含めることで、非正規な装置によるなりすましを防止することができる。
なお、トラフィック異常性情報送信部11は、パケットが送受信される伝送路6とは異なる経路でトラフィック異常性情報を送信するようにしてもよい。また、本実施例においては、トラフィック異常性情報を攻撃判断装置8に送信することとしたが、攻撃判断装置8が監視装置5のトラフィック異常性情報を参照するようにしてもよい。
図1に示した性能測定装置7は、インターネットサイトの応答時間を測定するプログラムを実行するコンピュータによって構成されている。
図4は、図1に示した性能測定装置7の構成を示すブロック図である。この性能測定装置7は、あらかじめ設定された性能異常性検知条件に基づいて性能の異常性を検出する性能異常性検知部16と、検出された性能異常性情報を攻撃判断装置8に送信する性能異常性情報送信部17と、攻撃判断装置8および性能を測定するための通信をそれぞれ行うための通信インタフェイス18、19とを備えている。
図5は、性能異常性検知条件の一例を示す図である。図5において、性能異常性検知条件は、性能属性、検知閾値および検知回数の組からなる2組のレコードで構成される。性能属性は、性能を測定する手順を示し、検知閾値は、通信装置3からの応答時間の閾値を示し、検知回数は、測定回数と、測定回数のうち応答時間の閾値を上回った回数とを示している。
例えば、1番目の性能異常性検知条件は、HTTPで、www.abc.comにアクセスし、“hello”という文字列が返ってくるまでの応答時間を測定するものである。そして、3回の測定のうち2回以上が5秒以上の応答時間であった場合に通信装置3の性能異常として検出する。
同様に、2番目の性能異常性検知条件は、HTTPで、www.def.comにパラメータ“search?hl=ja&ie=UTF−8&q=x+Y&lr=”でアクセスし、“検索結果”という文字列が返ってくるまでの応答時間が1回でも5秒以上であった場合に通信装置3の性能異常として検出する。
このようにして、性能異常性検知部16が通信装置3の性能異常を検出すると、性能異常性情報送信部17は、性能の異常性が検出されたことを表す性能異常性情報を攻撃判断装置8に送信する。また、この性能異常性情報送信部17は、自装置が正規な性能測定装置7であることを示す証明書を上記した性能異常性情報に含めて送信する。このように、性能異常性情報に証明書を含めることで、非正規な装置によるなりすましを防止することができる。なお、本実施例においては、性能異常性情報を攻撃判断装置8に送信することとしたが、攻撃判断装置8が性能測定装置7の性能異常性情報を参照するようにしてもよい。
上述した方法は、あらかじめ性能異常性を検出するための条件を設定しておく方法であるが、平均的な性能特性を測定して定常性能として記憶しておき、かかる定常性能との乖離から性能異常性を検出する方法を用いることとしてもよい。
図6は、図1に示した攻撃判断装置8の構成を示すブロック図である。この攻撃判断装置8は、監視装置5から送られてきたトラフィック異常性情報と、性能測定装置7から送られてきた性能異常性情報とに基づいて、検出されたトラフィックの異常が、検出された性能異常を引き起こしているか否かを判断する影響判断部20と、判断結果をオペレータなどに通知するアラート送信部21と、監視装置5、性能測定装置7およびオペレータ通知用装置とそれぞれ通信を行うための通信インタフェイス22とを備えている。
例えば、www.abc.comのホストアドレスが192.168.1.1であったとする。そして、ある時間tに、192.168.1.1宛のTCPポート番号が80のトラフィックが異常であることを表すトラフィック異常性情報を受け取り、続いて、時刻t+αの時点でwww.abc.comの通信装置3のレスポンスタイム異常が発生したことを表す性能異常性情報を受け取ったとする。このような状況において、各異常性情報に係る異常が発生した時間が近い場合(例えばαが1分以内)には、トラフィックの異常性がwww.abc.comのレスポンス悪化を引き起こしている可能性が高いと判断し、アラート送信部21を通してオペレータにその旨を伝え対処を促す。
このようにして、影響判断部20がサービス不能攻撃であると判断すると、アラート送信部21は、かかる判断に用いたトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信する。なお、本実施例においては、かかるトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信することとしたが、攻撃判断装置8が表示装置などを備えることによりこれらの異常性情報をオペレータに通知するようにしてもよい。
また、かかる影響判断部20は、監視装置5から送られてきたトラフィック異常性情報および性能測定装置7から送られてきた性能異常性情報に含まれる証明書に基づいた認証をおこなったうえで、サービス不能攻撃であるか否かを判断することとしてもよい。このようにすることで、偽造されたトラフィック異常性情報や性能異常性情報による影響を排除することができる。
以上のように構成されたサービス不能攻撃検知システム1について、図7〜図9を用いてその動作を説明する。図7は、図2に示した監視装置5の動作を示すフローチャートである。
まず、通信機器3に送信されるパケットによる攻撃がトラフィック異常性検知部10によって攻撃検知条件に基づいて検知されると(ステップS1)、攻撃が検知されたパケットの特徴を表すシグネチャがシグネチャ生成部12によって生成され(ステップS2)、生成されたシグネチャを含むトラフィック異常性情報が異常性情報送信部11によって攻撃判断装置8に送信される(ステップS3)。
図8は、図4に示した性能測定装置7の動作を示すフローチャートである。まず、性能異常性検知部16によって性能異常検知条件に基づいて通信機器3の応答時間の異常性が検知されると(ステップS11)、検知された情報を含む性能異常性情報を生成し(ステップS12)、生成された性能異常性情報が性能異常性情報送信部17によって攻撃判断装置8に送信される(ステップS13)。
図9は、図6に示した攻撃判断装置8の動作を示すフローチャートである。監視装置5からトラフィック異常性情報が送られてくると(ステップS21)、それまでに受け取っている性能異常性情報の中から、そのトラフィック異常性が原因になっていると思われるものを検索し(ステップS22)、見つかった場合にはかかるトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信する(ステップS23)。
また、性能測定装置7から性能異常性情報が送られてきた場合には(ステップS24)、それまでに受け取っているトラフィック異常性情報の中から、その性能異常性の原因になっていると思われるものを検索し(ステップS25)、見つかった場合にはかかるトラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信する(ステップS23)。
上述してきたように、サービス不能攻撃検知システム1によれば、トラフィック異常性および性能異常性を検知して、これらの異常性の関連を判断することにより、性能異常を引き起こしているトラフィック異常のみを検出することができるので、サービス不能攻撃の検知精度を向上させることによって運用者の対処を必要とするサービス不能攻撃のみを検出することができる。
なお、上記実施例に示した監視装置、性能測定装置および攻撃判断装置は、コンピュータにプログラムをロードして実行することにより機能発揮する。具体的には、監視装置のコンピュータのROM(ReadOnlyMemory)等に通信機器宛パケットのトラフィック異常性を検知するルーチンを含むプログラムを記憶し、また、性能測定装置のコンピュータのROM等に通信機器の性能異常性を検知するルーチンを含むプログラムを記憶し、また、攻撃判断装置のコンピュータのROM等にトラフィック異常性情報および性能異常性情報の関連を判断するルーチンを含むプログラムを記憶しておき、各装置がこれらのプログラムをCPUにロードして実行することにより、本発明に係る監視装置、性能測定装置および攻撃判断装置を形成することができる。
以上のように、本発明にかかるサービス不能攻撃検知システムおよびサービス不能攻撃検知方法は、通信機器へのサービス不能攻撃を検知する場合に適している。

Claims (15)

  1. サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサービス不能攻撃を検知するサービス不能攻撃検知システムであって、
    前記監視装置は、
    前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異常性情報を検知するトラフィック異常性検知手段
    を備え、
    前記性能測定装置は、
    前記通信機器の処理能力の異常性を表す性能異常性情報を検知する性能異常性検知手段
    を備え、
    前記攻撃判断装置は、
    前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能攻撃であるか否かを判断する影響判断手段
    を備えたことを特徴とするサービス不能攻撃検知システム。
  2. 前記監視装置は、前記トラフィック異常性情報を前記攻撃判断装置に送信するトラフィック異常性情報送信手段をさらに備えたことを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  3. 前記性能測定装置は、前記性能異常性情報を前記攻撃判断装置に送信する性能異常性情報送信手段をさらに備えたことを特徴とする請求項1または2に記載のサービス不能攻撃検知システム。
  4. 前記トラフィック異常性検知手段は、あらかじめ設定された所定の攻撃検知条件に基づいて前記トラフィック異常性情報を検知することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  5. 前記トラフィック異常性検知手段は、前記攻撃検知条件に基づいて前記通信機器に対する攻撃をおこなうパケットの特徴を表すシグネチャを生成し、前記シグネチャを含む前記トラフィック異常性情報を生成することを特徴とする請求項4に記載のサービス不能攻撃検知システム。
  6. 前記トラフィック異常性検知手段は、前記通信機器宛の前記パケットの平均的なトラフィックを表す定常トラフィックに基づいて前記トラフィック異常性情報を検知することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  7. 前記性能異常性検知手段は、あらかじめ設定された所定の性能異常性検知条件に基づいて前記性能異常性情報を検知することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  8. 前記性能異常性検知条件は、前記通信機器に応答要求メッセージを送信してから前記応答要求メッセージに対応する応答メッセージを受信するまでの応答時間と、前記応答時間が所定の閾値を上回る回数とを含んだことを特徴とする請求項7に記載のサービス不能攻撃検知システム。
  9. 前記性能異常性検知手段は、前記通信機器の平均的な性能特性を表す定常性能に基づいて前記性能異常性情報を検知することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  10. 前記影響判断手段は、前記トラフィック異常性情報および前記性能異常性情報に含まれる異常発生時刻に基づいて該トラフィック異常性情報または該性能異常性情報のいずれか一方の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサービス不能攻撃であると判断することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  11. 前記影響判断手段がサービス不能攻撃であると判断した場合に、該判断に用いた前記トラフィック異常性情報および前記性能異常性情報を前記攻撃判断装置がオペレータ通知用装置に送信することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  12. 前記影響判断手段は、前記トラフィック異常性情報および前記性能異常性情報に含まれる証明書に基づいた認証を行ったうえで、サービス不能攻撃であるか否かを判断することを特徴とする請求項1に記載のサービス不能攻撃検知システム。
  13. サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサービス不能攻撃を検知するサービス不能攻撃検知方法であって、
    前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異常性情報を前記監視装置が検知するトラフィック異常性検知工程と、
    前記通信機器の処理能力の異常性を表す性能異常性情報を前記性能測定装置が検知する性能異常性検知工程と、
    前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能攻撃であるか否かを前記攻撃判断装置が判断する影響判断工程と
    を含んだことを特徴とするサービス不能攻撃検知方法。
  14. 前記トラフィック異常性情報を前記監視装置が前記攻撃判断装置に送信するトラフィック異常性情報送信工程をさらに含んだことを特徴とする請求項13に記載のサービス不能攻撃検知方法。
  15. 前記性能異常性情報を前記性能測定装置が前記攻撃判断装置に送信する性能異常性情報送信工程をさらに含んだことを特徴とする請求項13または14に記載のサービス不能攻撃検知方法。
JP2006542260A 2004-10-28 2005-08-19 サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 Active JP4709160B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006542260A JP4709160B2 (ja) 2004-10-28 2005-08-19 サービス不能攻撃検知システムおよびサービス不能攻撃検知方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2004313284 2004-10-28
JP2004313284 2004-10-28
JP2006542260A JP4709160B2 (ja) 2004-10-28 2005-08-19 サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
PCT/JP2005/015156 WO2006046345A1 (ja) 2004-10-28 2005-08-19 サービス不能攻撃検知システムおよびサービス不能攻撃検知方法

Publications (2)

Publication Number Publication Date
JPWO2006046345A1 true JPWO2006046345A1 (ja) 2008-05-22
JP4709160B2 JP4709160B2 (ja) 2011-06-22

Family

ID=36227597

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006542260A Active JP4709160B2 (ja) 2004-10-28 2005-08-19 サービス不能攻撃検知システムおよびサービス不能攻撃検知方法

Country Status (6)

Country Link
US (1) US7636942B2 (ja)
EP (1) EP1806888B1 (ja)
JP (1) JP4709160B2 (ja)
KR (1) KR100777752B1 (ja)
CN (1) CN1898923B (ja)
WO (1) WO2006046345A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100777751B1 (ko) 2004-10-12 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램
JP2008278272A (ja) * 2007-04-27 2008-11-13 Kddi Corp 電子システム、電子機器、中央装置、プログラム、および記録媒体
EP2040435B1 (en) * 2007-09-19 2013-11-06 Alcatel Lucent Intrusion detection method and system
US8261351B1 (en) 2008-01-22 2012-09-04 F5 Networks, Inc. DNS flood protection platform for a network
US8255997B2 (en) 2008-09-29 2012-08-28 At&T Intellectual Property I, L.P. Contextual alert of an invasion of a computer system
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US9015318B1 (en) 2009-11-18 2015-04-21 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
US9148380B2 (en) * 2009-11-23 2015-09-29 Cisco Technology, Inc. System and method for providing a sequence numbering mechanism in a network environment
US11140178B1 (en) 2009-11-23 2021-10-05 F5 Networks, Inc. Methods and system for client side analysis of responses for server purposes
US8792495B1 (en) 2009-12-19 2014-07-29 Cisco Technology, Inc. System and method for managing out of order packets in a network environment
EP2438511B1 (en) 2010-03-22 2019-07-03 LRDC Systems, LLC A method of identifying and protecting the integrity of a set of source data
CN101917445B (zh) * 2010-08-27 2013-02-13 电子科技大学 软交换平台下号码段的拒绝服务攻击检测方法
CN101917309B (zh) * 2010-08-27 2012-11-07 电子科技大学 软交换平台下公共服务号码的拒绝服务攻击检测方法
US10296653B2 (en) 2010-09-07 2019-05-21 F5 Networks, Inc. Systems and methods for accelerating web page loading
US8787303B2 (en) 2010-10-05 2014-07-22 Cisco Technology, Inc. Methods and apparatus for data traffic offloading at a router
US9003057B2 (en) 2011-01-04 2015-04-07 Cisco Technology, Inc. System and method for exchanging information in a mobile wireless network environment
US8948013B1 (en) 2011-06-14 2015-02-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8743690B1 (en) 2011-06-14 2014-06-03 Cisco Technology, Inc. Selective packet sequence acceleration in a network environment
US8737221B1 (en) 2011-06-14 2014-05-27 Cisco Technology, Inc. Accelerated processing of aggregate data flows in a network environment
US8792353B1 (en) 2011-06-14 2014-07-29 Cisco Technology, Inc. Preserving sequencing during selective packet acceleration in a network environment
US8613089B1 (en) 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US9705914B2 (en) * 2014-07-23 2017-07-11 Cisco Technology, Inc. Signature creation for unknown attacks
JP6067195B2 (ja) 2014-09-08 2017-01-25 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP6476853B2 (ja) * 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法
US10476992B1 (en) 2015-07-06 2019-11-12 F5 Networks, Inc. Methods for providing MPTCP proxy options and devices thereof
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data
CN108377670A (zh) * 2016-11-28 2018-08-07 华为技术有限公司 一种处理业务的方法、业务节点、控制节点和分布式系统
JP6715751B2 (ja) * 2016-11-30 2020-07-01 Kddi株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP6698507B2 (ja) * 2016-12-05 2020-05-27 Kddi株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP6629174B2 (ja) * 2016-12-05 2020-01-15 Kddi株式会社 通信監視装置、通信監視方法及び通信監視プログラム
US11100506B2 (en) * 2017-05-09 2021-08-24 Fair Isaac Corporation Fraud score manipulation in self-defense of adversarial artificial intelligence learning
CN109150649B (zh) * 2018-06-07 2021-04-23 武汉思普崚技术有限公司 网络性能测试方法及系统
CN111431942B (zh) * 2020-06-10 2020-09-15 杭州圆石网络安全技术有限公司 一种cc攻击的检测方法、装置及网络设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60110792T2 (de) * 2000-06-30 2006-02-23 British Telecommunications P.L.C. Paketkommunikationssystem
US7007299B2 (en) * 2000-08-30 2006-02-28 Citibank, N.A. Method and system for internet hosting and security
US7171688B2 (en) * 2001-06-25 2007-01-30 Intel Corporation System, method and computer program for the detection and restriction of the network activity of denial of service attack software
JP3609381B2 (ja) 2002-03-22 2005-01-12 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP4159814B2 (ja) 2002-06-26 2008-10-01 株式会社エヌ・ティ・ティ・データ 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
WO2004006115A1 (en) * 2002-07-02 2004-01-15 Netscaler, Inc System, method and computer program product to avoid server overload by controlling http denial of service (dos) attacks
JP4503934B2 (ja) * 2002-09-26 2010-07-14 株式会社東芝 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
KR100523483B1 (ko) 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
US7310684B2 (en) * 2004-05-21 2007-12-18 Bea Systems, Inc. Message processing in a service oriented architecture
US7634813B2 (en) * 2004-07-21 2009-12-15 Microsoft Corporation Self-certifying alert

Also Published As

Publication number Publication date
US7636942B2 (en) 2009-12-22
WO2006046345A1 (ja) 2006-05-04
JP4709160B2 (ja) 2011-06-22
EP1806888A4 (en) 2010-10-27
KR100777752B1 (ko) 2007-11-19
KR20060097036A (ko) 2006-09-13
EP1806888B1 (en) 2012-04-25
US20070067839A1 (en) 2007-03-22
CN1898923B (zh) 2010-09-29
CN1898923A (zh) 2007-01-17
EP1806888A1 (en) 2007-07-11

Similar Documents

Publication Publication Date Title
JP4709160B2 (ja) サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
TWI528761B (zh) 網路訊務處理系統
JP4051020B2 (ja) ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US8584237B2 (en) Improper communication detection system
US7440406B2 (en) Apparatus for displaying network status
US20100153537A1 (en) Method and apparatus for providing detection of internet protocol address hijacking
JP6435695B2 (ja) コントローラ,及びその攻撃者検知方法
US8925084B2 (en) Denial-of-service attack protection
Dallas et al. Hop-count monitoring: Detecting sinkhole attacks in wireless sensor networks
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
CN114244570A (zh) 终端非法外联监测方法、装置、计算机设备和存储介质
EP1754348B1 (en) Using address ranges to detect malicious activity
CN110061998B (zh) 一种攻击防御方法及装置
JP4161989B2 (ja) ネットワーク監視システム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP4014599B2 (ja) 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
WO2016038662A1 (ja) 情報処理装置及び情報処理方法及びプログラム
CN113411296B (zh) 态势感知虚拟链路防御方法、装置及系统
Kitisriworapan et al. Evil-twin detection on client-side
JP2012138727A (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
JP5028202B2 (ja) 制御ネットワークシステム
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
CN114205096B (zh) 一种ddos攻击防御方法及装置
KR102599524B1 (ko) 네트워크 보안 모니터링 장치 및 방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080219

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081202

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090203

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090212

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20090327

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090709

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090909

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110317

R150 Certificate of patent or registration of utility model

Ref document number: 4709160

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350