WO2006046345A1 - サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 - Google Patents

Abstract

　サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこなう攻撃判断装置とを備え、監視装置は通信機器宛のパケットによるトラフィックの異常性を表すトラフィック異常性情報を検出し、性能測定装置は通信機器の性能の異常性を表す性能異常性情報を検出し、攻撃判断装置は、トラフィック異常性情報および性能異常性情報に基づいてサービス不能攻撃であるか否かを判断する。

Description

明 細 書

サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 技術分野

[0001] この発明は、サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視 する監視装置と、この通信機器の性能を測定する性能測定装置と、監視装置および 性能測定装置と通信をおこなう攻撃判断装置とによってかかる通信機器に対するサ 一ビス不能攻撃を検知するサービス不能攻撃検知システムおよびサービス不能攻撃 検知方法に関し、特に、サービス不能攻撃の検知精度を向上させることにより対処の 必要なサービス不能攻撃のみを検知することができるサービス不能攻撃検知システ ムおよびサービス不能攻撃検知方法に関する。

背景技術

[0002] 従来、ネットワークを介した攻撃として、多量のパケットを送付することによりネットヮ ークゃサーバマシン (以下「通信機器」と言う）を麻痺させるサービス不能攻撃 (分散 型サービス不能攻撃を含む）が知られている。力かるサービス不能攻撃は、パケット の特徴量を用いた方法では検知しにくいことから、トラフィック（量)の異常性を用いた 方法によるサービス不能攻撃検知システムが広く用いられて 、る。

[0003] このサービス不能攻撃検知システムは、攻撃対象となる通信機器宛のトラフィックを 所定の期間にわたって測定することにより求められる定常トラフィックを、手動または 自動であらかじめ算出する。そして、監視しているトラフィックが、かかる定常トラフイツ タカも乖離した場合に攻撃とみなすこととして、サービス不能攻撃を検知している（例 えば、特許文献 1参照)。

[0004] 特許文献 1：特開 2003— 283555号公報

発明の開示

発明が解決しょうとする課題

[0005] し力しながら、かかるサービス不能攻撃においては、攻撃規模と、ネットワークおよ び通信機器の処理能力との関係から、トラフィックが異常性を示したとしても通信機器 が提供するサービスに実害がない場合が多々存在する。このような場合には、上述し たサービス不能攻撃検知システムが攻撃として検知しても、具体的な対処を行う必要 がな！/、ために、誤検知したことと何らかわりがな！、ことになつてしまう。

[0006] サービス不能攻撃検知システムの主たる用途が通信機器をサービス不能にする攻 撃から防御することであるとの考えに基づけば、トラフィックの異常性が攻撃であるか 否かを見極める精度を向上させることより、パフォーマンスの劣化を引き起こしている トラフィックの異常性を早急に見つけることが重要である。しかし、従来のサービス不 能攻撃検知システムでは、通信機器の処理能力等を考慮することなぐトラフィックの 異常性のみに基づいて攻撃を検知しょうとしており、パフォーマンスの劣化と関連の ないトラフィックの異常性の検知、言い換えれば、対処の必要がない状況の検知（広 い意味での誤検知）が多くなるという課題があった。

[0007] 本発明は、上述した従来技術による問題点を解消するためになされたものであり、 サービス不能攻撃の検知精度を向上させることにより対処を必要とするサービス不能 攻撃のみを検知することができるサービス不能攻撃検知システムおよびサービス不 能攻撃検知方法を提供することを目的とする。

課題を解決するための手段

[0008] 上述した課題を解決し、目的を達成するため、本発明は、サービス不能攻撃対象と なる通信機器宛に送信されたパケットを監視する監視装置と、前記通信機器の性能 を測定する性能測定装置と、前記監視装置および前記性能測定装置と通信をおこ なう攻撃判断装置とによって前記通信機器に対するサービス不能攻撃を検知するサ 一ビス不能攻撃検知システムであって、前記監視装置は、前記通信機器に対する前 記パケットによるトラフィックの異常性を表すトラフィック異常性情報を検知するトラフィ ック異常性検知手段を備え、前記性能測定装置は、前記通信機器の処理能力の異 常性を表す性能異常性情報を検知する性能異常性検知手段を備え、前記攻撃判断 装置は、前記トラフィック異常性情報および前記性能異常性情報に基づ!、てサービ ス不能攻撃であるか否かを判断する影響判断手段を備えたことを特徴とする。

[0009] この発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常 性を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の 異常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報お よび性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとし たので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性 情報の関連によってサービス不能攻撃である力否かを判断することにより、サービス 不能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知するこ とがでさる。

[0010] また、本発明は、上記発明において、前記監視装置は、前記トラフィック異常性情 報を前記攻撃判断装置に送信するトラフィック異常性情報送信手段をさらに備えたこ とを特徴とする。

[0011] この発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信する こととしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照することな くトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検知精 度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。

[0012] また、本発明は、上記発明において、前記性能測定装置は、前記性能異常性情報 を前記攻撃判断装置に送信する性能異常性情報送信手段をさらに備えたことを特 徴とする。

[0013] この発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信する こととしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照することなく 性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向 上させ対処の必要なサービス不能攻撃のみを検知することができる。

[0014] また、本発明は、上記発明において、前記トラフィック異常性検知手段は、あらかじ め設定された所定の攻撃検知条件に基づいて前記トラフィック異常性情報を検知す ることを特徴とする。

[0015] この発明によれば、あら力じめ設定された所定の攻撃検知条件に基づ 、てトラフィ ック異常性情報を検知することとしたので、監視装置が効率的にトラフィック異常性情 報を検知することができるとともに、攻撃検知条件を変更することにより、攻撃パター ンが異なるあらたな攻撃に容易に対処することができる。

[0016] また、本発明は、上記発明において、前記トラフィック異常性検知手段は、前記攻 撃検知条件に基づいて前記通信機器に対する攻撃をおこなうパケットの特徴を表す シグネチヤを生成し、前記シグネチヤを含む前記トラフィック異常性情報を生成するこ とを特徴とする。

[0017] この発明によれば、攻撃検知条件に基づいて通信機器に対する攻撃をおこなうパ ケットの特徴を表すシグネチヤを生成し、力かるシグネチヤを含むトラフィック異常性 情報を生成することとしたので、攻撃をおこなうパケットの特徴を反映したトラフィック 異常性情報を生成することにより、トラフィック異常性情報の信頼性を向上させること ができる。

[0018] また、本発明は、上記発明において、前記トラフィック異常性検知手段は、前記通 信機器宛の前記パケットの平均的なトラフィックを表す定常トラフィックに基づいて前 記トラフィック異常性情報を検知することを特徴とする。

[0019] この発明によれば、通信機器宛のパケットの平均的なトラフィックを表す定常トラフィ ックに基づいてトラフィック異常性情報を検知することとしたので、検知されたトラフイツ クと定常トラフィックとの乖離状況に基づいて簡便にトラフィック異常性情報を生成す ることがでさる。

[0020] また、本発明は、上記発明において、前記性能異常性検知手段は、あらかじめ設 定された所定の性能異常性検知条件に基づいて前記性能異常性情報を検知するこ とを特徴とする。

[0021] この発明によれば、あら力じめ設定された所定の性能異常性検知条件に基づいて 性能異常性情報を検知することとしたので、性能測定装置が効率的に性能異常性情 報を検知することができるとともに、性能異常性検知条件を変更することにより、検知 対象となる通信機器の性能の差異や性能の変化に容易に対処することができる。

[0022] また、本発明は、上記発明において、前記性能異常性検知条件は、前記通信機器 に応答要求メッセージを送信して力 前記応答要求メッセージに対応する応答メッセ ージを受信するまでの応答時間と、前記応答時間が所定の閾値を上回る回数とを含 んだことを特徴とする。

[0023] この発明によれば、通信機器に応答要求メッセージを送信して力 応答要求メッセ ージに対応する応答メッセージを受信するまでの応答時間と、応答時間が所定の閾 値を上回る回数とを含むこととしたので、通信機器の応答時間に基づいて簡便に性 能異常性情報を生成することができる。

[0024] また、本発明は、上記発明において、前記性能異常性検知手段は、前記通信機器 の平均的な性能特性を表す定常性能に基づいて前記性能異常性情報を検知するこ とを特徴とする。

[0025] この発明によれば、通信機器の平均的な性能特性を表す定常性能に基づ 、て性 能異常性情報を検知することとしたので、検知された性能と定常性能特性との乖離 状況に基づいて簡便に性能異常性情報を生成することができる。

[0026] また、本発明は、上記発明において、前記攻撃判断手段は、前記トラフィック異常 性情報および前記性能異常性情報に含まれる異常発生時刻に基づいて該トラフイツ ク異常性情報または該性能異常性情報のいずれか一方の異常性情報に起因して他 方の異常性情報が発生したと判断した場合にサービス不能攻撃であると判断するこ とを特徴とする。

[0027] この発明によれば、トラフィック異常性情報および性能異常性情報に含まれる異常 発生時刻に基づ 、てトラフィック異常性情報または性能異常性情報の 、ずれか一方 の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサービス 不能攻撃であると判断することとしたので、トラフィック異常性情報のみならず性能異 常性情報を用いてこれらの異常性情報の関連によってサービス不能攻撃である力否 かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要なサ 一ビス不能攻撃のみを検知することができる。

[0028] また、本発明は、上記発明において、前記影響判断手段がサービス不能攻撃であ ると判断した場合に、該判断に用いた前記トラフィック異常性情報および前記性能異 常性情報を前記攻撃判断装置がオペレータ通知用装置に送信することを特徴とする

[0029] この発明によれば、攻撃判断装置がサービス不能攻撃であると判断した場合に、判 断に用いたトラフィック異常性情報および性能異常性情報をオペレータ通知用装置 に送信することとしたので、これらの性能異常性情報に基づ 、てオペレータが適切な 対処をすることができる。

[0030] また、本発明は、上記発明において、前記影響判断手段は、前記トラフィック異常 性情報および前記性能異常性情報に含まれる証明書に基づいた認証を行ったうえ で、サービス不能攻撃であるカゝ否かを判断することを特徴とする。

[0031] この発明によれば、トラフィック異常性情報および性能異常性情報に含まれる証明 書に基づいた認証を行ったうえで、サービス不能攻撃であるカゝ否かを判断することと したので、非正規な装置を用いたなりすましを効果的に防止することができる。

[0032] また、本発明は、サービス不能攻撃対象となる通信機器宛に送信されたパケットを 監視する監視装置と、前記通信機器の性能を測定する性能測定装置と、前記監視 装置および前記性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機 器に対するサービス不能攻撃を検知するサービス不能攻撃検知方法であって、前記 通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異常性情 報を前記監視装置が検知するトラフィック異常性検知工程と、前記通信機器の処理 能力の異常性を表す性能異常性情報を前記性能測定装置が検知する性能異常性 検知工程と、前記トラフィック異常性情報および前記性能異常性情報に基づ!、てサ 一ビス不能攻撃であるか否かを前記攻撃判断装置が判断する影響判断工程とを含 んだことを特徴とする。

[0033] この発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常 性を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の 異常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報お よび性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとし たので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性 情報の関連によりサービス不能攻撃である力否かを判断することにより、サービス不 能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知すること ができる。

[0034] また、本発明は、上記発明において、前記トラフィック異常性情報を前記監視装置 が前記攻撃判断装置に送信するトラフィック異常性情報送信工程をさらに含んだこと を特徴とする。

[0035] この発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信する こととしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照することな くトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検知精 度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。

[0036] また、本発明は、上記発明にお!/、て、前記性能異常性情報を前記性能測定装置 が前記攻撃判断装置に送信する性能異常性情報送信工程をさらに含んだことを特 徴とする。

[0037] この発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信する こととしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照することなく 性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度を向 上させ対処の必要なサービス不能攻撃のみを検知することができる。

発明の効果

[0038] 本発明によれば、監視装置が通信機器に対するパケットによるトラフィックの異常性 を表すトラフィック異常性情報を検知し、性能測定装置が通信機器の処理能力の異 常性を表す性能異常性情報を検知し、攻撃判断装置がトラフィック異常性情報およ び性能異常性情報に基づいてサービス不能攻撃であるか否かを判断することとした ので、トラフィック異常性情報のみならず性能異常性情報を用いてこれらの異常性情 報の関連によってサービス不能攻撃である力否かを判断することにより、サービス不 能攻撃の検知精度を向上させ対処の必要なサービス不能攻撃のみを検知すること ができる。

[0039] また、本発明によれば、監視装置がトラフィック異常性情報を攻撃判断装置に送信 することとしたので、攻撃判断装置が監視装置のトラフィック異常性情報を参照するこ となくトラフィック異常性情報を効率的に取得することにより、サービス不能攻撃の検 知精度を向上させ対処の必要なサービス不能攻撃のみを検知することができる。

[0040] また、本発明によれば、性能測定装置が性能異常性情報を攻撃判断装置に送信 することとしたので、攻撃判断装置が性能測定装置の性能異常性情報を参照するこ となく性能異常性情報を効率的に取得することにより、サービス不能攻撃の検知精度 を向上させ対処の必要なサービス不能攻撃のみを検知することができる。

[0041] また、本発明によれば、あら力じめ設定された所定の攻撃検知条件に基づ 、てトラ フィック異常性情報を検知することとしたので、監視装置が効率的にトラフィック異常 性情報を検知することができるとともに、攻撃検知条件を変更することにより、攻撃パ ターンが異なるあらたな攻撃に容易に対処することができる。

[0042] また、本発明によれば、攻撃検知条件に基づいて通信機器に対する攻撃をおこな うパケットの特徴を表すシグネチヤを生成し、力かるシグネチヤを含むトラフィック異常 性情報を生成することとしたので、攻撃をおこなうパケットの特徴を反映したトラフイツ ク異常性情報を生成することにより、トラフィック異常性情報の信頼性を向上させるこ とがでさる。

[0043] また、本発明によれば、通信機器宛のパケットの平均的なトラフィックを表す定常ト ラフィックに基づいてトラフィック異常性情報を検知することとしたので、検知されたトラ フィックと定常トラフィックとの乖離状況に基づいて簡便にトラフィック異常性情報を生 成することができる。

[0044] また、本発明によれば、あらかじめ設定された所定の性能異常性検知条件に基づ いて性能異常性情報を検知することとしたので、性能測定装置が効率的に性能異常 性情報を検知することができるとともに、性能異常性検知条件を変更することにより、 検知対象となる通信機器の性能の差異や性能の変化に容易に対処することができる

[0045] また、本発明によれば、通信機器に応答要求メッセージを送信して力も応答要求メ ッセージに対応する応答メッセージを受信するまでの応答時間と、応答時間が所定 の閾値を上回る回数とを含むこととしたので、通信機器の応答時間に基づいて簡便 に性能異常性情報を生成することができる。

[0046] また、本発明によれば、通信機器の平均的な性能特性を表す定常性能に基づ!/、て 性能異常性情報を検知することとしたので、検知された性能と定常性能との乖離状 況に基づいて簡便に性能異常性情報を生成することができる。

[0047] また、本発明によれば、トラフィック異常性情報および性能異常性情報に含まれる 異常発生時刻に基づ 、てトラフィック異常性情報または性能異常性情報の 、ずれか 一方の異常性情報に起因して他方の異常性情報が発生したと判断した場合にサー ビス不能攻撃であると判断することとしたので、トラフィック異常性情報のみならず性 能異常性情報を用いてこれらの異常性情報の関連によりサービス不能攻撃であるか 否かを判断することにより、サービス不能攻撃の検知精度を向上させ対処の必要な サービス不能攻撃のみを検知することができる。

[0048] また、本発明によれば、攻撃判断装置がサービス不能攻撃であると判断した場合 に、判断に用いたトラフィック異常性情報および性能異常性情報をオペレータ通知 用装置に送信することとしたので、これらの性能異常性情報に基づいてオペレータが 適切な対処をすることができる。

[0049] また、本発明によれば、トラフィック異常性情報および性能異常性情報に含まれる 証明書に基づいた認証を行ったうえで、サービス不能攻撃であるカゝ否かを判断する こととしたので、非正規な装置を用いたなりすましを効果的に防止することができる。 図面の簡単な説明

[0050] [図 1]図 1は、本実施例に係るサービス不能攻撃検知システムの構成を示すブロック 図である。

[図 2]図 2は、図 1に示した監視装置の構成を示すブロック図である。

[図 3]図 3は、攻撃検知条件の一例を示す図である。

[図 4]図 4は、図 1に示した性能測定装置の構成を示すブロック図である。

[図 5]図 5は、性能異常性検知条件の一例を示す図である。

[図 6]図 6は、図 1に示した攻撃判断装置の構成を示すブロック図である。

[図 7]図 7は、図 2に示した監視装置の動作を示すフローチャートである。

[図 8]図 8は、図 4に示した性能測定装置の動作を示すフローチャートである。

[図 9]図 9は、図 6に示した攻撃判断装置の動作を示すフローチャートである。

符号の説明

[0051] 1 サービス不能攻撃検知システム

2 LAN

3 通信機器

4 WAN

5 監視装置

6、 9 通信回線

7 性能測定装置 8 攻撃判断装置

10 トラフィック異常'性検知部

11 トラフィック異常性情報送信部

12 シグネチヤ生成部

13、 14、 18、 19、 22 通信インタフェイス

15 スィッチ

16 性能異常性検知部

17 性能異常性情報送信部

20 影響判断部

21 ァラート送信部

発明を実施するための最良の形態

[0052] 以下に添付図面を参照して、この発明に係るサービス不能攻撃検知システムおよ びサービス不能攻撃検知方法の好適な実施の形態を詳細に説明する。

実施例

[0053] 図 1は、本実施例に係るサービス不能攻撃検知システム 1の構成を示すブロック図 である。同図に示すサービス不能攻撃検知システム 1は、通信機器 3へのサービス不 能攻撃を監視装置 5、性能測定装置 7および攻撃判断装置 8を用いて検知するシス テムである。具体的には、 LAN (LocalAreaNetwork) 2上の監視装置 5が通信機器 3 宛のパケットによるトラフィック異常を検知したならば（図 1のステップ 1)、かかるトラフ イツク異常の内容を表すトラフィック異常性情報を攻撃判断装置 8に送信する（図 1の ステップ 2)。

[0054] また、 WAN (WideAreaNetwork) 4上の性能測定装置 7が通信機器 3の性能異常を 検知したならば（図 1のステップ 3)、かかる性能異常の内容を表す性能異常性情報を 攻撃判断装置 8に送信する (図 1のステップ 4)。そして、 LAN2上の攻撃判断装置 8が トラフィック異常性情報および性能異常性情報を受信したならば、これらの異常性情 報に基づいて通信機器 3に対するサービス不能攻撃である力否かを判断する（図 1 のステップ 5)こととして!/、る。

[0055] 従来、通信機器 3を攻撃対象とするサービス不能攻撃を検知する場合には、攻撃 対象となる通信機器 3宛のトラフィックを所定の期間にわたって測定することにより定 常トラフィックをあら力じめ算出し、監視しているトラフィックが、かかる定常トラフィック 力も乖離した場合に攻撃とみなすこととしてサービス不能攻撃を検知して 、た。しか しながら、サービス不能攻撃の攻撃規模と、ネットワークおよび通信機器の処理能力 との関係から、トラフィックが異常性を示したとしても通信機器 3が提供するサービスに 実害がない場合が多々存在した。このため、サービス不能攻撃として検知された場 合であっても、実際には何ら対処の必要がないことも多ぐ実質的に誤検知したことと 何らかわりがな 、状況が発生して!/、た。

[0056] 本実施例では、トラフィック異常性の検知を監視装置 5が行 、、通信装置 3の性能 異常性の検知を性能測定装置 7が行うこととし、さらに、トラフィック異常性および性能 異常性に基づいた攻撃判断を攻撃判断装置 8が行うこととしている。したがって、本 実施例によれば、トラフィック異常性のみならず通信機器 3の性能異常性に基づいた 攻撃判断をすることができるので、サービス不能攻撃の検知精度向上により、対処を 必要とするサービス不能攻撃のみを効果的に検知することができる。

[0057] なお、図 1においては、監視装置 5および攻撃判断装置 8が通信機器 3と同一の L AN2に接続され、性能測定装置 7が WAN4に接続された場合について図示してい るが、各装置 (監視装置 5、性能測定装置 7および攻撃判断装置 8)が接続される回 線を限定するものではな 、。

[0058] 次に、このサービス不能攻撃検知システム 1のシステム構成について説明する。図 1に示すように、このサービス不能攻撃検知システム 1は、中小企業内の LAN2に設 けられ、 LAN2に接続された少なくとも 1つの通信機器 3に基幹回線網等の WAN4 を介して送信されたパケットを監視する監視装置 5と、 WAN4に設けられ、 WAN4を 介して通信機器 3の性能を測定する性能測定装置 7と、 LAN2に設けられ、監視装 置 5および性能測定装置 7と通信回線 9により接続された攻撃判断装置 8とを備えて いる。なお、図 1に示したサービス不能攻撃検知システム 1の構成は一例を示すもの であり、本発明のサービス不能攻撃検知システムは、複数の性能測定装置 7を備え てもよく、これらの性能測定装置 6の一部またはすベてを、他者が提供する Web (Wo rldWideWeb)サイト性能測定サービスを使うように構成してもよ!/、。 [0059] 監視装置 5は、 LAN2を構成するルータによって構成されている。なお、監視装置 5は、 LAN2に設けられたファイアウォール等によって構成してもよい。

[0060] 図 2は、図 1に示した監視装置 5の構成を示すブロック図である。監視装置 5は、通 信機器 3に送信されるパケットによるトラフィックの異常性を検知するトラフィック異常 性検知部 10と、検知したトラフィック異常性情報を攻撃判断装置 8に送信するトラフィ ック異常性情報送信部 11と、通信機器 3に対する攻撃を行うパケットの特徴を表すシ グネチヤを生成するシグネチヤ生成部 12と、 WAN4および LAN2に設けられた攻撃 判断装置 8を含む各装置とそれぞれ通信を行うための通信インタフェイス 13、 14と、 パケットをルーティングするためのスィッチ 15とを備えている。

[0061] トラフィック異常性検知部 10は、あら力じめ設定された攻撃検知条件に基づいて攻 撃を検知する処理部である。図 3は、攻撃検知条件の一例を示す図である。図 3にお いて、攻撃検知条件は、検知属性、検知閾値および検知時間の組からなる 2組のレ コードで構成される。検知属性は、検知対象とするパケットの属性を示し、検知閾値 は、検知対象となるパケットの伝送レートの閾値を示し、検知時間は、検知対象となる パケットの伝送レートが検知閾値を超える時間の閾値を示している。

[0062] 例えば、 1番目の検知条件は、宛先のアドレス情報が 192. 168. 1. 1であり（Dst

= 192. 168. 1. 1Z32)、トランスポート層のプロトコルが TCP (TransmissionContro lProtocol)であり (Protocol=TCP)、 TCPポート番号が 80である（Port= 80)パケ ットが検知対象となり、この検知対象のパケットの伝送レートが 300kbpsを超えた状 態が 10秒以上続いた場合には、検知対象のパケットによるトラフィック異常性として 検知される。

[0063] 同様に、 2番目の検知条件は、宛先のアドレス情報が 192. 168. 1. 2 (Dst= 192 . 168. 1. 2Z32)であるパケットが検知対象となり、この検知対象のパケットの伝送 レートが 100kbpsを超えた状態が 10秒以上続いた場合には、検知対象のパケットに よるトラフィック異常性として検知される。

[0064] このように、検知対象のパケットによる攻撃がトラフィック異常性検知部 10によって 検知されると、シグネチヤ生成部 12は、検知対象のパケットの特徴を表すシグネチヤ を生成する。例えば、図 3における攻撃検知条件の 1番目の検知条件に合う攻撃が 検知された場合には、シグネチヤ生成部 12は、宛先のアドレス情報が 192. 168. 1 . 1であり、トランスポート層のプロトコルが TCPであり、 TCPポート番号が 80であるパ ケットを示すシグネチヤを生成する。

[0065] 上述した方法は、あら力じめ攻撃と判断するための条件を設定しておく方法である 力 平均的なトラフィックを測定して定常トラフィックとして記憶しておき、かかる定常ト ラフィックとの乖離力も攻撃と判断する方法を用いることとしてもよい。

[0066] トラフィック異常性情報送信部 11は、シグネチヤ生成部 12によって生成されたシグ ネチヤを含み、トラフィックの異常性が検出されたことを表すトラフィック異常性情報を 攻撃判断装置 8に送信する処理部である。また、このトラフィック異常性情報送信部 1 1は、自装置が正規な監視装置 5であることを示す証明書を上記したトラフィック異常 性情報に含めて送信する。このように、トラフィック異常性情報に証明書を含めること で、非正規な装置によるなりすましを防止することができる。

[0067] なお、トラフィック異常性情報送信部 11は、パケットが送受信される伝送路 6とは異 なる経路でトラフィック異常性情報を送信するようにしてもよい。また、本実施例にお いては、トラフィック異常性情報を攻撃判断装置 8に送信することとしたが、攻撃判断 装置 8が監視装置 5のトラフィック異常性情報を参照するようにしてもょ ヽ。

[0068] 図 1に示した性能測定装置 7は、インターネットサイトの応答時間を測定するプログ ラムを実行するコンピュータによって構成されて 、る。

[0069] 図 4は、図 1に示した性能測定装置 7の構成を示すブロック図である。この性能測定 装置 7は、あらかじめ設定された性能異常性検知条件に基づいて性能の異常性を検 出する性能異常性検知部 16と、検出された性能異常性情報を攻撃判断装置 8に送 信する性能異常性情報送信部 17と、攻撃判断装置 8および性能を測定するための 通信をそれぞれ行うための通信インタフェイス 18、 19とを備えている。

[0070] 図 5は、性能異常性検知条件の一例を示す図である。図 5において、性能異常性 検知条件は、性能属性、検知閾値および検知回数の組からなる 2組のレコードで構 成される。性能属性は、性能を測定する手順を示し、検知閾値は、通信装置 3からの 応答時間の閾値を示し、検知回数は、測定回数と、測定回数のうち応答時間の閾値 を上回った回数とを示して!/ヽる。 [0071] 例えば、 1番目の性能異常性検知条件は、 HTTPで、 www. abc. comにアクセス し、 "hello"という文字列が返ってくるまでの応答時間を測定するものである。そして、 3回の測定のうち 2回以上が 5秒以上の応答時間であった場合に通信装置 3の性能 異常として検出する。

[0072] 同様に、 2番目の性能異常性検知条件は、 HTTPで、 www. def. comにパラメ一 タ" search ? hl=ja&ie = UTF— 8&q = x+Y&lr = "でアクセスし、 "検索結果，，と いう文字列が返ってくるまでの応答時間が 1回でも 5秒以上であった場合に通信装置 3の性能異常として検出する。

[0073] このようにして、性能異常性検知部 16が通信装置 3の性能異常を検出すると、性能 異常性情報送信部 17は、性能の異常性が検出されたことを表す性能異常性情報を 攻撃判断装置 8に送信する。また、この性能異常性情報送信部 17は、自装置が正規 な性能測定装置 7であることを示す証明書を上記した性能異常性情報に含めて送信 する。このように、性能異常性情報に証明書を含めることで、非正規な装置によるなり すましを防止することができる。なお、本実施例においては、性能異常性情報を攻撃 判断装置 8に送信することとしたが、攻撃判断装置 8が性能測定装置 7の性能異常性 情報を参照するようにしてもょ 、。

[0074] 上述した方法は、あらかじめ性能異常性を検出するための条件を設定しておく方法 であるが、平均的な性能特性を測定して定常性能として記憶しておき、かかる定常性 能との乖離力 性能異常性を検出する方法を用いることとしてもよい。

[0075] 図 6は、図 1に示した攻撃判断装置 8の構成を示すブロック図である。この攻撃判断 装置 8は、監視装置 5から送られてきたトラフィック異常性情報と、性能測定装置 7か ら送られてきた性能異常性情報とに基づいて、検出されたトラフィックの異常が、検出 された性能異常を引き起こしているカゝ否かを判断する影響判断部 20と、判断結果を オペレータなどに通知するァラート送信部 21と、監視装置 5、性能測定装置 7および オペレータ通知用装置とそれぞれ通信を行うための通信インタフェイス 22とを備えて いる。

[0076] 例えば、 www. abc. comのホストアドレスが 192. 168. 1. 1であったとする。そし て、ある時間 tに、 192. 168. 1. 1宛の TCPポート番号が 80のトラフィックが異常で あることを表すトラフィック異常性情報を受け取り、続いて、時刻 t+ αの時点で www . abc. comの通信装置 3のレスポンスタイム異常が発生したことを表す性能異常性 情報を受け取ったとする。このような状況において、各異常性情報に係る異常が発生 した時間が近い場合 (例えば αが 1分以内）には、トラフィックの異常性が www. abc . comのレスポンス悪ィ匕を引き起こしている可能性が高いと判断し、ァラート送信部 2 1を通してオペレータにその旨を伝え対処を促す。

[0077] このようにして、影響判断部 20がサービス不能攻撃であると判断すると、ァラート送 信部 21は、かかる判断に用いたトラフィック異常性情報および性能異常性情報をォ ペレータ通知用装置に送信する。なお、本実施例においては、力かるトラフィック異 常性情報および性能異常性情報をオペレータ通知用装置に送信することとしたが、 攻撃判断装置 8が表示装置などを備えることによりこれらの異常性情報をオペレータ に通知するようにしてもよい。

[0078] また、力かる影響判断部 20は、監視装置 5から送られてきたトラフィック異常性情報 および性能測定装置 7から送られてきた性能異常性情報に含まれる証明書に基づい た認証をおこなったうえで、サービス不能攻撃である力否かを判断することとしてもよ い。このようにすることで、偽造されたトラフィック異常性情報や性能異常性情報によ る影響を排除することができる。

[0079] 以上のように構成されたサービス不能攻撃検知システム 1について、図 7〜図 9を用 いてその動作を説明する。図 7は、図 2に示した監視装置 5の動作を示すフローチヤ ートである。

[0080] まず、通信機器 3に送信されるパケットによる攻撃がトラフィック異常性検知部 10に よって攻撃検知条件に基づいて検知されると (ステップ S1)、攻撃が検知されたパケ ットの特徴を表すシグネチヤがシグネチヤ生成部 12によって生成され (ステップ S2)、 生成されたシグネチヤを含むトラフィック異常性情報が異常性情報送信部 11によつ て攻撃判断装置 8に送信される (ステップ S3)。

[0081] 図 8は、図 4に示した性能測定装置 7の動作を示すフローチャートである。まず、性 能異常性検知部 16によって性能異常検知条件に基づいて通信機器 3の応答時間 の異常性が検知されると (ステップ S 11)、検知された情報を含む性能異常性情報を 生成し (ステップ S12)、生成された性能異常性情報が性能異常性情報送信部 17に よって攻撃判断装置 8に送信される (ステップ S 13)。

[0082] 図 9は、図 6に示した攻撃判断装置 8の動作を示すフローチャートである。監視装置 5からトラフィック異常性情報が送られてくると (ステップ S21)、それまでに受け取って いる性能異常性情報の中から、そのトラフィック異常性が原因になっていると思われ るものを検索し (ステップ S22)、見つ力つた場合には力かるトラフィック異常性情報お よび性能異常性情報をオペレータ通知用装置に送信する (ステップ S23)。

[0083] また、性能測定装置 7から性能異常性情報が送られてきた場合には (ステップ S24) 、それまでに受け取つているトラフィック異常性情報の中から、その性能異常性の原 因になっていると思われるものを検索し (ステップ S25)、見つかった場合にはかかる トラフィック異常性情報および性能異常性情報をオペレータ通知用装置に送信する（ ステップ S23)。

[0084] 上述してきたように、サービス不能攻撃検知システム 1によれば、トラフィック異常性 および性能異常性を検知して、これらの異常性の関連を判断することにより、性能異 常を引き起こしているトラフィック異常のみを検出することができるので、サービス不能 攻撃の検知精度を向上させることによって運用者の対処を必要とするサービス不能 攻撃のみを検出することができる。

[0085] なお、上記実施例に示した監視装置、性能測定装置および攻撃判断装置は、コン ピュータにプログラムをロードして実行することにより機能発揮する。具体的には、監 視装置のコンピュータの ROM (ReadOnlyMemory)等に通信機器宛パケットのトラフィ ック異常性を検知するルーチンを含むプログラムを記憶し、また、性能測定装置のコ ンピュータの ROM等に通信機器の性能異常性を検知するルーチンを含むプロダラ ムを記憶し、また、攻撃判断装置のコンピュータの ROM等にトラフィック異常性情報 および性能異常性情報の関連を判断するルーチンを含むプログラムを記憶しておき 、各装置がこれらのプログラムを CPUにロードして実行することにより、本発明に係る 監視装置、性能測定装置および攻撃判断装置を形成することができる。

産業上の利用可能性

[0086] 以上のように、本発明に力かるサービス不能攻撃検知システムおよびサービス不能 攻撃検知方法は、通信機器へのサービス不能攻撃を検知する場合に適して ヽる

Claims

請求の範囲

[1] サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装 置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記 性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサー ビス不能攻撃を検知するサービス不能攻撃検知システムであって、

前記監視装置は、

前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異 常性情報を検知するトラフィック異常性検知手段

を備え、

前記性能測定装置は、

前記通信機器の処理能力の異常性を表す性能異常性情報を検知する性能異常 性検知手段

を備え、

前記攻撃判断装置は、

前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能 攻撃であるか否かを判断する影響判断手段

を備えたことを特徴とするサービス不能攻撃検知システム。

[2] 前記監視装置は、前記トラフィック異常性情報を前記攻撃判断装置に送信するトラ フィック異常性情報送信手段をさらに備えたことを特徴とする請求項 1に記載のサー ビス不能攻撃検知システム。

[3] 前記性能測定装置は、前記性能異常性情報を前記攻撃判断装置に送信する性能 異常性情報送信手段をさらに備えたことを特徴とする請求項 1または 2に記載のサー ビス不能攻撃検知システム。

[4] 前記トラフィック異常性検知手段は、あらかじめ設定された所定の攻撃検知条件に 基づ 、て前記トラフィック異常性情報を検知することを特徴とする請求項 1に記載の サービス不能攻撃検知システム。

[5] 前記トラフィック異常性検知手段は、前記攻撃検知条件に基づ！ヽて前記通信機器 に対する攻撃をおこなうパケットの特徴を表すシグネチヤを生成し、前記シグネチヤを 含む前記トラフィック異常性情報を生成することを特徴とする請求項 4に記載のサー ビス不能攻撃検知システム。

[6] 前記トラフィック異常性検知手段は、前記通信機器宛の前記パケットの平均的なト ラフィックを表す定常トラフィックに基づいて前記トラフィック異常性情報を検知するこ とを特徴とする請求項 1に記載のサービス不能攻撃検知システム。

[7] 前記性能異常性検知手段は、あらかじめ設定された所定の性能異常性検知条件 に基づ!/、て前記性能異常性情報を検知することを特徴とする請求項 1に記載のサー ビス不能攻撃検知システム。

[8] 前記性能異常性検知条件は、前記通信機器に応答要求メッセージを送信してから 前記応答要求メッセージに対応する応答メッセージを受信するまでの応答時間と、前 記応答時間が所定の閾値を上回る回数とを含んだことを特徴とする請求項 7に記載 のサービス不能攻撃検知システム。

[9] 前記性能異常性検知手段は、前記通信機器の平均的な性能特性を表す定常性 能に基づ 、て前記性能異常性情報を検知することを特徴とする請求項 1に記載のサ 一ビス不能攻撃検知システム。

[10] 前記影響判断手段は、前記トラフィック異常性情報および前記性能異常性情報に 含まれる異常発生時刻に基づ 、て該トラフィック異常性情報または該性能異常性情 報のいずれか一方の異常性情報に起因して他方の異常性情報が発生したと判断し た場合にサービス不能攻撃であると判断することを特徴とする請求項 1に記載のサー ビス不能攻撃検知システム。

[11] 前記影響判断手段がサービス不能攻撃であると判断した場合に、該判断に用いた 前記トラフィック異常性情報および前記性能異常性情報を前記攻撃判断装置がオペ レータ通知用装置に送信することを特徴とする請求項 1に記載のサービス不能攻撃 検知システム。

[12] 前記影響判断手段は、前記トラフィック異常性情報および前記性能異常性情報に 含まれる証明書に基づいた認証を行ったうえで、サービス不能攻撃である力否かを 判断することを特徴とする請求項 1に記載のサービス不能攻撃検知システム。

[13] サービス不能攻撃対象となる通信機器宛に送信されたパケットを監視する監視装 置と、前記通信機器の性能を測定する性能測定装置と、前記監視装置および前記 性能測定装置と通信をおこなう攻撃判断装置とによって前記通信機器に対するサー ビス不能攻撃を検知するサービス不能攻撃検知方法であって、

前記通信機器に対する前記パケットによるトラフィックの異常性を表すトラフィック異 常性情報を前記監視装置が検知するトラフィック異常性検知工程と、

前記通信機器の処理能力の異常性を表す性能異常性情報を前記性能測定装置 が検知する性能異常性検知工程と、

前記トラフィック異常性情報および前記性能異常性情報に基づいてサービス不能 攻撃であるか否かを前記攻撃判断装置が判断する影響判断工程と

を含んだことを特徴とするサービス不能攻撃検知方法。

[14] 前記トラフィック異常性情報を前記監視装置が前記攻撃判断装置に送信するトラフ イツク異常性情報送信工程をさらに含んだことを特徴とする請求項 13に記載のサー ビス不能攻撃検知方法。

[15] 前記性能異常性情報を前記性能測定装置が前記攻撃判断装置に送信する性能 異常性情報送信工程をさらに含んだことを特徴とする請求項 13または 14に記載の サービス不能攻撃検知方法。