WO2005074215A1

WO2005074215A1 - 不正情報検知システム及び不正攻撃元探索システム

Info

Publication number: WO2005074215A1
Application number: PCT/JP2005/001524
Authority: WO
Inventors: Glenn Mansfield Keeni
Original assignee: Cyber Solutions Inc.
Priority date: 2004-02-02
Filing date: 2005-02-02
Publication date: 2005-08-11
Also published as: JP4484663B2; JP2006115432A; US8020205B2; US20080016562A1

Description

明細書

不正情報検知システム及び不正攻撃元探索システム

技術分野

[0001] 本発明は、インターネット回線を通じて送信されてきた情報が適正な情報であるかあるいは (D)DoSなどの不正な情報であるかを判定する不正情報検知システム及び不正攻撃元探索システムに関するものである。

背景技術

[0002] 特許文献 1：特開 2003— 318987号公報

特許文献 2：特開 2003— 234784号公報

[0003] 近年、ある企業や組織をターゲットにし、大量の不正な通信 (パケット）を送信するサ一ビス妨害攻撃が問題となっている。このような (D)DoS攻撃は、一般にはサーバの処理能力を超える大量の接続要求を一度に送りつけることや、通信回線の容量を不要な通信で埋め尽くすことで他の必要な通信を妨害し、通常業務を妨害したり、課金制ユーザーに対するプロバイダへのアクセス時間並びに通信会社への通信時間を延長させて納付料金を高騰させると、つた弊害を与えるものである。 V、わゆる (D)DoS攻撃といわれるものである。

[0004] (D)DoS攻撃とは、攻撃対象機器およびネットワークの処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。

[0005] そこで、各パケットのヘッダ部分に含まれる Sourceアドレス（送信元アドレス）を管理し、このような (D)DoS攻撃を送りつけたアドレスからの通信を 2度と受信しないと共にその送信元に通信の終了を示すパケットを送り返すといった防止機能を付加したサ一ビスが見受けられる。

[0006] しかしながら、このような防止サービスは、異なった Sourceアドレスから（D) DoS攻撃を送りつけてきた場合には、その (D)DoS攻撃の受信を拒否することができな、と、つた問題が生じていた。

[0007] 一方、このような (D)DoS攻撃を送りつける送信元では、受信拒否された (D)DoS攻撃が送り返されてしまうと、自身のサーバおよびネットワークが容量オーバーとなってしまう。

従って、送信元では、 Sourceアドレスをランダムに偽造作成し、大量のパケットの各ァドレスを異ならせたうえで特定宛先アドレスに (D)DoS攻撃を送信するといつた対応で対抗してきて、るのが実情である。

[0008] これに対し、例えば、特許文献 1では、不特定多数の電子メールに対し、電子メールのデータフォーマットのヘッダ部分に含まれる Toアドレス（送信先アドレス）を事前設定されたアカウント別メールヘッダ'コンテンツ書き換え定義にした力 ^、、受信した電子メールを書き換えた上でその書き換えメールアドレスに再送信 (転送)し、特定メールサーバーへの負荷を分散させて、る。

[0009] また、特許文献 2では、同時に送信されてきた電子メールの Fromアドレスに不明なものを大量に含むか否かを判定し、 Fromアドレスに不明なものが大量に含まれている場合には、その送信されてきた大量の電子メールの Fromアドレスに送信メールを返信し、返信できた電子メールのみを適正な電子メールとして受信してヽる。

発明の開示

発明が解決しょうとする課題

[0010] ところで、送信元アドレスは容易に偽造し変更することが可能であるため、大量の送信元アドレスを事前に予測し、対応することは非常に困難である。

[0011] また、（D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難なことから、なんらかの閾値を用いた検知が検討されているが、それらは対象となるネットヮークの特性や利用状況によって大きく変化するものであるため、高い検知精度は期待できない。

[0012] また、（D)DoS攻撃は正常な通信との識別が困難なことから、間違った判断により正常な通信の送受信をも遮断してしまう可能性があった。

[0013] このように、従来技術では、（D)DoS攻撃の判定基準が複雑となって、るため、検知が困難な小規模の (D)DoS攻撃の受信を余儀なくされたり、必要な通信をも受信拒否してしまうと、つた問題が生じて!/ヽた。

[0014] 本発明は、上記問題を解決するため、（D)DoS攻撃などの不正攻撃かあるか否かの判定基準を容易に行うことが可能な不正攻撃検知およびその追跡システムを提供することを目的とする。

課題を解決するための手段

[0015] 請求項 1に係る発明は、インターネット回線を通じて送信されてきたパケットのへッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われていると判定することを特徴とする不正情報検知システムである。

フィールドの値としては、例えば、次のものが上げられる。

バージョン

ヘッダ長

ToS

全長

アイデンティフィケーション

フラグ

フラグメントオフセット

Time to Live

プロ卜: πル

へッタチェックサム

発信元アドレス

到達先アドレス

オプション

ポート

あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、 al ( =一郎)、 a2 ( =ニ郎)、 a3 ( =三郎)ゝ… · an ( = n郎）があった場合、フィールドの値の数は nである。

[0016] フィールドの値の数力任意に決めた値の数以上になった場合に不正攻撃が行われていると判断する。任意の決めた値は、例えば、ある時点における数 ntlに比較して他の時点における数 nt2が k倍以上 (kは例えば 2以上の数）となったときに不正攻撃が存在すると決めてもよい。なお、フィールドの値の数が減少する場合にも不正攻撃の存在があると判断する場合もある。

[0017] 請求項 2に係る発明は、前記あるフィールド値のパケット数を監視することを特徴とする請求項 1記載の不正情報検地システム。

[0018] フィールドの値の数 fnとともにパケット数 pmを監視し、その比で判断してもよい。

ある時点における比 (fnZpm) tlがある任意に決めた値以上になった場合に不正攻撃が存在すると設定してもよ、。 (fn/pm) tlと (fnZpm) t2との比がある値以上になったときに不正攻撃と判断してもよい。

[0019] 請求項 3に係る発明は、前記フィールドの値は、複数のフィールドの組合せにより構成されていることを特徴とする請求項 1又は 2記載の不正情報検知システムである。

[0020] フィールドの値として「発信元アドレス」と「到達先アドレス」との組合せによりフィールドの値を構成する。

[0021] まず、前記同様、発信元アドレスとして、 _&1 (=ー郎）、&2 ( =ニ郎）、&3 (=三郎）、

• · · 'an (=n郎）があったとする。

[0022] ak (k= l-n)について、到達アドレスの種類が mk個あるとすると、この場合における複数のフィールドの組合せにより構成されるフィールドの値の数は∑mk (k= 1— n

)となる。

[0023] 請求項 4に係る発明は、インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組合せに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする請求項 1一 3のいずれ力 1項記載の不正情報検知システムである。

[0024] 請求項 5に係る発明は、インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組合せに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする不正情報検知システムである。

[0025] 請求項 6に係る発明は、インターネット回線を通じて送信されてきたパケットのへッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われていると判定し、インターネットの複数個所で前記フィールドの値の数を監視することにより不正な送信元を探索するようにしたことを特徴とする不正攻撃元探索システムである。

[0026] 請求項 7に係る発明は、前記フィールドの値は、ヘッダ内の複数のフィールドの個々の組合せにより構成されていることを特徴とする請求項 6記載の不正攻撃元探索システム。

[0027] 請求項 8に係る発明は、インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組み合わせに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする請求項 7記載の不正攻撃元探索システムである。

発明の効果

[0028] 本発明の不正情報検知システムによれば、同時に大量に送信されてきたパケットに対し、その大量のパケットの値の数又はパケット数が一定時間内に所定数に達した時に、略同期して送信元アドレス件数が所定数若しくは所定率に達した場合には、その大量の電子メールを (D)DoS攻撃メールと判定することにより、特定の送信元アドレスに対して受信許可設定若しくは受信拒否設定をすると、つた細力べ煩わ U、設定をすることなく (D)DoS攻撃が送信されてきたことを認識および追跡することができる図面の簡単な説明

[0029] [図 1]本発明の (D)DoS攻撃検知およびその追跡システムの概念図である。

[図 2] (A)はパケットデータフォーマットの説明図、（B)は通信量の一例を時系列で示したグラフ図、（C)はパケットのアドレス件数の一例を時系列で示したグラフ図である

[図 3]パケット探索を示す概念図である。

[図 4]インターネットのシステムを示す概念図である。

符号の説明

[0030] 1· ··インターネット回線

2…送信側コンピュータ

3…受信側コンピュータ

4…通信監視装置 (判定手段）発明を実施するための最良の形態

[0031] 前述した通り、 DoS攻撃とは、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。

この DoS攻撃は次のような特徴を有して、る。

[0032] 例えば、ヘッダ内のフィールドの値の一つである発信元アドレスは偽造されている

(偽のアドレスが用いられて、る）攻撃元の発信元

アドレスであるパケットをフィルタすることにより、 DoS攻撃をブロックされないように、 DoS攻撃の発信元アドレスはランダムに選択されていることが一般的である。

[0033] DoSは非常に莫大なパケットが送信されるので、次のような方法で検知される。

[0034] 第 1の方法は、攻撃パケットもしくは、不正なパケットの数を数える方法である。どのようなパケットが不正であるかを判断することはむず力しい。なぜなら、 DoS攻撃に使われるパケット一つ一つは正常なパケットである力である。

[0035] 第 2の方法は、検知したパケット全て (攻撃パケットも含む）を数える方法である。ネットワークトラフィックは時々刻々動的に変化する。従って、単にネットワークトラフイツク量が増大したからといって、その現象は DoS攻撃によるものだと指摘することはできない。また、既にトラフィック量が飽和状態である場合は、 DoS攻撃があつたとしても、トラフィック量は増加しない。

[0036] それに対して、本形態における方法は、 DoS攻撃の検知方法は、トラフィックの発信元アドレスを数える方法である。もし攻撃者がランダムに発信元アドレスを選択しているならば、観測される発信元アドレスの数も増加しているはずである。ある一定時間間隔では、 1個の発信元アドレスに対して、そのような発信元アドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に 1個の (偽造された)発信元アドレスに対して、攻撃パケットは 1個し力観測されない。このように DoS 攻撃を検知することができる。

[0037] 発信元アドレス、到達先アドレスとその他の情報 ·データから構成されてヽる。時間間隔でパケットを数える。例えば、図 3に示すように、ネットワーク (Netl)と攻撃先 (T arget)との間の経路にパケットを観測するための手段を設けておき、そこで、ノケットを観測すればよい。かかる手段としては、例えばス-ファー（Sniffer)やパッシブ型プローブなどの機器がある。

[0038] ス-ファー (Sniffer)や、パッシブ型プローブなどの機器は全てのパケットを観測でき、それらの機器は以下の値を数えあげることができる。

パケットの全数

ある特定の発信元アドレスを持つパケット数

ある特定の到達先アドレスを持つパケット数

発信元アドレス毎のパケット数

到達先アドレス毎のパケット数

特定のタイプのパケット数

これらの値は、一定時間間隔毎に収集可能である。

[0039] 次に Dos攻撃の追跡方法について述べる。

[0040] DoS攻撃元の追跡方法としては、第 1に、不正なパケットの経路をチェックする（パケット追跡）方法がある。しかし、どのようなパケットが不正なのかを知る必要がある。

[0041] 第 2に、トラフィックパターンをチェックする方法がある。しかし、この方法は、不正確である。

[0042] それに対して、本発明の実施の形態においては、経路上において観測されるァドレス数の変化をチェックする方法である。全ての経由地で同様な現象が観測されると推測される以下のようなパターンが観測される。

[0043] 時間 (任意単位）パケット数発信元アドレス数

1 1000 50

2 800 60

3 900 57

4 1200 64

5 50 30

6 1500 530

7 1800 550

8 1700 570

9 800 80 10 900 65

上記において、時間 6、 7、 8においては、パケット数とともに発信元アドレス数が増加している。そこでは、 DoS攻撃がなされている。

[0044] 一方、図 4に示すように、インターネットの各経路にス-ファー Sn (n= l, 2, 3, · · · )を置、ておき、そこでの観測結果同士を比較すればどの経路で DoS攻撃がなされて!、るかを知ることができる。その経路を遮断すれば DoS攻撃元を追跡することができ、必要に応じてその経路を遮断すればよい。また、その経路力もの所定のパケットを遮断すればよい。

[0045] なお、本発明にお、て、フィールドの値としては、 IPv4プロトコルパケットを例にした場合、次のものが例示される。

バージョン領域

ヘッダ長領域

ToS領域

全長領域

アイデンティフィケーション領域

フラグ領域

フラグメントオフセット領域

Time to Live

プロトコル領域

ヘッダチェックサム領域

発信元アドレス領域

到達先アドレス領域

オプション領域

ポート領域

[0046] 本発明においては、これらのフィールドの個々の値の件数を検知してもよい。また、これらの個々のフィールドの値の 2以上の任意の組合せをフィールドの値としてその件数を検知してもよい。

[0047] 以下に例を示す。カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。

(カテゴリの例）プロトコル領域力 STCPであるパケット全て

便宜上" Totalカテゴリ"というカテゴリを定義する。全てのパケットはこのカテゴリに属する。

[0048] 今までの統計分析手法は、モニタや探査装置により観測されたパケットから、全ての観測パケット数や、あるカテゴリに対するパケット観測数などの標本値を元にしてきた。

[0049] [表 1]

(例）プロトコル領域毎のパケット数

カテゴリ変換 (C-Transform)における統計分析では、検知したパケットが属する力テゴリの数に着目する。上記の例において、プロトコル領域ごとのカテゴリの数を見た場合以下の通りになる。

[表 2]

このようにパケットの数の分布力もカテゴリの数の分布を作成する方法のことをカテゴリ変換" C- Transform"と呼ぶ。

[0050] いくつかのヘッダ領域の和によって作成されたカテゴリがとる事が可能な最大の力テゴリの数はその領域の合わせた幅による。例えば幅が合わせて 4ビットの領域で作成される彼ごりの場合、最大のカテゴリの数は 16個（2の 4乗)である。

[0051] し力し、 IPヘッダにおける Version領域と Protocol領域のように、予め定義された以外の値を持つことができないヘッダ領域がある (ASSIGNED NUMBERS, RFC 790参照）。そのためこのような領域力作成できる意味のあるカテゴリは限定される。

[0052] また、 32ビット（4294967296)の幅を持つ発信元アドレス、到達先アドレスのように非常に大きな値を取り得る領域からのカテゴリ変換（C-Transform)は特に興味深い統計を提供することになる。

[0053] 本発明においては、インターネット回線上における、前記情報のカテゴリ数が所定の値となった場合に当該情報を不正情報と認定する。またホップ数を効果的に活用することで検知および追跡の効率を向上する。

[0054] (検知方法）

カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。 l...iは時系列に並んだ値とする。

カテゴリ数： C1, .... Ci, ....

パケット数： P1, .... Pi, ....

通信量： 01, .... Oi, ....

このとき、以下の条件で検知する。

a. Ci >T

b. Ci I Ci+1 >T

c. Ci I {Pi|Oi} >T

Tは閾値である

Tは固定値もしくはトラフィックデータ力も算出される値である

例えば、 Τ = F X movingAverageO!Statistic、 in a, b, c above)

のように上記の a,b,cの値の移動平均になんらかの数 Fを乗じて差出されたものである。

Fは固定あるいはトラフィックデータ力も算出される値である

例えば、 F = A X standardDeviationO!Statistic

のように標準偏差を用いて算出されることもある。

Aは定数である

インターネットにおいては、情報の無限循環を防止するために、ヘッダの TTL ( Time to Live)のフィールドの値に基づき HOP (ホップ）の数が 0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合 HOP数はほぼ決まっている。したがって、その決まっている HOP数と比較して、実際に送られた来た詐称情報の場合の HOP数が異なる場合その情報は不正情報と判断することができる。

実施例

[0055] 次に、本発明の (D)DoS攻撃検知およびその追跡システムの実施の形態を図面に基づいて説明する。

[0056] 図 1は本発明の (D)DoS攻撃検知およびその追跡システムを示す図である。図 1において、 1はインターネット回線、 2はインターネット回線 1に接続された送信元のコンピュータ本体、 3はインターネット回線 1に接続された受信側コンピュータ、 4はインタ一ネット回線 1と受信側コンピュータ 3との間に接続された通信監視装置である。

[0057] 尚、この通信監視装置 4はネットワークに接続される力受信側コンピュータ 3がサ一バー等であった場合には、そのサーバーを通信監視装置 4としても良い。

この場合、受信とはサーバーで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ 3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末

(例えば、パーソナルコンピュータ等）力 S接続されることとなる。

[0058] 通常、送信側コンピュータ 2から送信されるパケットは、図 2 (A)に示すように、その通信を構成するパケットのパケットデータフォーマット 10のヘッダ部 11に、送信元アドレスに相当する Sourceアドレス 12と送信先アドレス（受信側アドレス）に相当する

Destinationアドレス 13とが含まれている。

[0059] 通信監視装置 4は、送信された値の数若しくはパケット数と、 Sourceアドレス 12の件数とを監視する。

[0060] 例えば、通常の送受信を想定した場合、送信元コンピュータ 2から受信側コンビュータ 3に送信される値の数は 1件であり、例え、他の送信側コンピュータ（図示せず）力略同時期に他の通信が受信側コンピュータ 3に送信されたとしても、その値の数と Sourceアドレス 12とは 1対 1で比例して増える。

[0061] また、例えば、特定の通常の通信が偶然大容量となることがあり得る。この場合、従来の通信量に基づく検知では、その量だけを問題として、不正であると誤って判断されることがある。

[0062] この問題は、多くの通信が集まる人気のあるコンテンツを運用するサーバでは特に顕著な問題となり、通常の通信と (D)DoS攻撃を識別することが非常に困難となる。

[0063] このような場合、メール監視装置 4では、図 2 (B)のピーク P1に示すように、通信量としては通常の通信量よりも多い件数のパケットが送信されてきた判定する。

[0064] しかしながら、各パケットの Sourceアドレス 12は共通、あるいは特定のグループで占められることから、そのパケットを正式に受信する。尚、カテゴリ数が所定数以内であつた場合 (例えば、 10件未満）に、その受信を許容するようにしても良い。

[0065] 一方、実際には 1台の送信側コンピュータ 2から送信されたパケットでありながら、送信元アドレス（Sourceアドレス 12)をランダムに偽装して大量のパケットを受信側コンビユータ 3に送信してきた場合、通信監視装置 4では、図 2 (B)及び図 2 (C)のピーク P2 , P3に示すように、通信量 (若しくはパケット数)が通常の通信の送受信のときよりも多くなると同時に、その各パケットの Sourceアドレス 12も略同時期に増大することになる。

[0066] 従って、通信量 (若しくはパケット数)が所定数 (例えば、 100件)を越えた際、

Sourceアドレス 12の数も略同時期に所定数 (例えば、 90件)若しくは所定率 (例えば、パケットの数に対して 90%)を超えた場合には、その受信を拒否する。

[0067] 尚、このような一斉同時送信に対応した一定時間内に送信されてきた通信の件数（若しくはパケット数)の所定数並びに Sourceアドレス数の所定数の設定は、サーバーの処理能力やネットワークの容量に応じたり、受信側コンピュータ 3の所有者の業種等に応じたりして設定することができる。

[0068] 例えば、受信側コンピュータ 3の所有者の業種力インターネット検索サービスゃチケット販売等であった場合、多くの人の検索要求や人気のある旅行プランやイベント内容に対するアクセスが殺到するといつたことが想定される。

[0069] 従って、これらの業種等では、日常的に通信量も多いことが想定できるため、その平均的な受信件数を考慮して所定値 (件数等)を設定すればょヽ。

[0070] また、このようなアクセスが殺到した場合であっても、（D)DoS攻撃に相当するような全く同じ時間（瞬間的）に大量の情報が送信されてくることは想定されるが、判定のための一定時間の設定を短くするといつた設定変更でも対応は可能である。

[0071] また、不正攻撃元探索もできる。

[0072] また、特定のサーバが近隣にない、ネットワークの中間点であっても判定された不正攻撃先を割りだすことができる。（請求項 9)

Claims

請求の範囲

[1] インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われていると判定することを特徴とする不正情報検知システム。

[2] 前記フィールド値の値の数とパケット数を監視することを特徴とする請求項 1記載の不正情報検知システム。

[3] 前期フィールドの値の数と通信量 (オクテット数 Zビット数)を監視することを特徴とする請求項 1記載の不正情報検知システム。

[4] 前記フィールドの値は、複数のフィールドの組合せにより構成されていることを特徴とする請求項 1又は 2記載の不正情報検知システム。

[5] インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組合せに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする請求項 1乃至 4の

V、ずれか 1項記載の不正情報検知システム。

[6] インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組合せに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする不正情報検知システム。

[7] インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われて、ると判定し、

インターネットの複数個所で前記フィールドの値の数を監視することにより不正な送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。

[8] 前記フィールドの値は、ヘッダ内の複数のフィールドの個々の組合せにより構成されていることを特徴とする請求項 7記載の不正攻撃元探索システム。

[9] インターネット回線上における、前記情報のホップ数が所定の値となった場合、若しくは特定のフィールドあるいはフィールドの組み合わせに該当するパケットの持つホップ数が変化した場合に当該情報を不正情報と認定することを特徴とする請求項 8記載の不正攻撃元探索システム。