WO2020075459A1 - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
WO2020075459A1
WO2020075459A1 PCT/JP2019/036551 JP2019036551W WO2020075459A1 WO 2020075459 A1 WO2020075459 A1 WO 2020075459A1 JP 2019036551 W JP2019036551 W JP 2019036551W WO 2020075459 A1 WO2020075459 A1 WO 2020075459A1
Authority
WO
WIPO (PCT)
Prior art keywords
attack
detection
information
ddos
attack information
Prior art date
Application number
PCT/JP2019/036551
Other languages
English (en)
French (fr)
Inventor
和憲 神谷
弘 倉上
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to US17/276,487 priority Critical patent/US20220046040A1/en
Publication of WO2020075459A1 publication Critical patent/WO2020075459A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Definitions

  • the multi-vector type DDoS attack detection information 14b will be described later.
  • FIGS. 7 to 9 are flowcharts showing the detection processing procedure.
  • the flowcharts of the respective drawings are started at the timing, for example, at which the user inputs an operation instructing the start of processing.
  • FIG. 9 shows a detection processing procedure of the same target attack.
  • the process of FIG. 9 differs from that of FIG. 7 in that the process of step S2 is performed instead of the process of step S2.
  • the other processing is the same as that in FIG. 7, and thus the description is omitted.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

記憶部(14)が、DDoS攻撃の検知時刻と検知手法と攻撃属性と通信先とを含む攻撃情報を記憶する。抽出部(15a)が、攻撃情報の集合から、検知時刻、検知手法、攻撃属性および通信先に応じた攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。抽出部(15a)は、攻撃情報の集合から、検知時刻の差が所定時間以内である、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。抽出部(15a)は、検知時刻の差が所定時間より長い、同一または異なる検知手法の同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。抽出部(15a)は、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。

Description

検知装置、検知方法および検知プログラム
 本発明は、検知装置、検知方法および検知プログラムに関する。
 従来、DDoS攻撃(Distributed Denial of Service)の検知手法が知られている。例えば、送信元詐称攻撃を検知するBackScatter(非特許文献1参照)、リフレクション攻撃を検知するHoneyPot(非特許文献2参照)、ボリューム型攻撃を検知するxFlow(非特許文献3参照)等が知られている。
 近年は、複数のDDoS攻撃を組み合わせたマルチベクタ型のDDoS攻撃が脅威となっている。
"Worldwide Detection of Denial of Service (DoS) Attack"、[online]、2001年8月、[2018年9月7日検索]、インターネット<URL:https://www.caida.org/publications/presentations/usenix0108/dos/dos.pdf> "AmpPot: Monitoring and Defending Against Amplification DDoS Attacks"、[online]、[2018年9月7日検索]、インターネット<URL:https://christian-rossow.de/publications/amppot-raid2015.pdf> "DDoS対策最新動向"、[online]、2017年11月、NTT Communications Corpration、[2018年9月7日検索]、インターネット<URL:https://www.nic.ad.jp/ja/materials/iw/2017/proceedings/s06/s6-nishizuka.pdf>
 しかしながら、単一のDDos攻撃を検知する従来の技術では、マルチベクタ型のDDoS攻撃を検知することが困難であった。そのため、マルチベクタ型のDDoS攻撃の実態を把握できず、適切に防御することが困難であった。
 本発明は、上記に鑑みてなされたものであって、マルチベクタ型のDDoS攻撃を検知することを目的とする。
 上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部と、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出部と、を備えることを特徴とする。
 本発明によれば、マルチベクタ型のDDoS攻撃を検知することができる。
図1は、本実施形態の検知装置の処理概要を説明するための図である。 図2は、本実施形態の検知装置の処理概要を説明するための図である。 図3は、本実施形態の検知装置の概略構成を例示する模式図である。 図4は、単一DDoS攻撃検知情報のデータ構成を例示する図である。 図5は、抽出部の処理を説明するための図である。 図6は、抽出部の処理を説明するための図である。 図7は、検知処理手順を示すフローチャートである。 図8は、検知処理手順を示すフローチャートである。 図9は、検知処理手順を示すフローチャートである。 図10は、検知プログラムを実行するコンピュータの一例を示す図である。
 以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[処理概要]
 図1および図2は、本実施形態の検知装置の処理概要を説明するための図である。本実施形態の検知装置は、検知された単一のDDoS攻撃の情報を用いて、マルチベクタ型のDDoS攻撃の検知を行なう。
 図1に示す単一DDoS攻撃検知情報14aは、各種の検知手法で検知された単一のDDoS攻撃の情報の集合である。単一のDDoS攻撃の検知手法には、図1に示すように、DDoS攻撃背景トラヒック検知とDDoS攻撃検知とがある。
 DDoS攻撃背景トラヒック検知とは、例えばスパムメール等のような、DDoS攻撃の背景となるトラヒックを検知する手法であり、BackScatterやHoneypot等が例示される。BackScatterは、送信元を詐称してリターンメールを発信させる送信元詐称攻撃を検知する。Honeypotは、要求に対する応答を標的のサーバに反射させるリフレクション攻撃を検知する。
 DDoS攻撃検知とは、DDoS攻撃そのものを検知する手法であり、xFlow等が例示される。xFlowは、大量のトラヒックにより標的のサーバ等を停止に追い込むボリューム型攻撃を検知する。
 また、図2に示すように、検知手法ごとに検知する攻撃の攻撃属性が異なる。例えば、図2(a)に示すように、BackScatterで検知する攻撃の攻撃属性には、TCP SYN Spoofed、TCP RST Spoofed、TCP FIN Spoofed、UDP Spoofed等と呼ばれるものがある。なお、これらの攻撃属性には、攻撃先ポート番号が付帯される。
 また、Honeyptで検知する攻撃の攻撃属性には、NTP Reflection、SNMP Reflection、DNS Reflection等と呼ばれるものがある。
 また、図2(b)に示すように、xFlowで検知する攻撃の攻撃属性には、TCP SYN、TCP RST、TCP FIN等と呼ばれるものがある。なお、これらの攻撃属性には、攻撃先ポート番号が付帯される。
 本実施形態の検知装置10は、上記のような各種の検知手法により検知された単一のDDoS攻撃の複数の攻撃情報を、検知時刻、攻撃属性、通信先(攻撃先)等に応じて組み合わせることにより、マルチベクタ型のDDoS攻撃の発生を検知する。
 例えば、検知装置10は、同時発生攻撃、間欠攻撃、あるいは同一標的攻撃のいずれかの発生を検知する。同時発生攻撃とは、同一の通信先に属性の異なる攻撃が同時に発生するマルチベクタ型DDoS攻撃である。間欠攻撃とは、同一の通信先に属性の異なる攻撃が間欠的に発生するマルチベクタ型DDoS攻撃である。また、同一標的攻撃とは、同一のWebアプリケーション等の同一の標的に対する属性の異なる攻撃が発生するマルチベクタ型DDoS攻撃である。
 また、検知装置10は、各攻撃情報の攻撃規模や継続時間等を用いて、検知したマルチベクタ型DDoS攻撃の危険度を算出する。検知装置は、検知したマルチベクタ型のDDoS攻撃の実態を、マルチベクタ型DDoS攻撃検知情報14bとして蓄積する。
[検知装置の構成]
 図3は、本実施形態の検知装置の概略構成を例示する模式図である。図3に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
 入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
 通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。
 記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する検知処理により作成されたバッチ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
 本実施形態において、記憶部14には、単一DDoS攻撃検知情報14aと、マルチベクタ型DDoS攻撃検知情報14bとが記憶される。単一DDoS攻撃検知情報14aの各レコードは、単一のDDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報である。
 具体的には、図4は、単一DDoS攻撃検知情報14aのデータ構成を例示する図である。図4に示すように、単一DDoS攻撃検知情報14aの各攻撃情報は、DDoS攻撃を識別するSID、検知時刻、検知手法、攻撃属性、通信先、攻撃規模、継続時間およびステータスを含む。図4には、ステータスが終了である、終了した単一のDDoS攻撃の攻撃情報と、ステータスが継続である、継続中の単一のDDoS攻撃の攻撃情報が例示されている。
 ここで、攻撃規模は、攻撃に用いられたリンクの太さ等に応じて推定されるDDoS攻撃の規模を表し、平均値(avg pps)と想定される最大値(max pps)とが特定されている。また、継続時間は、ステータスが終了の場合は、検知時刻から終了時刻までの時間であり、ステータスが継続の場合は、検知時刻から現在時刻までの時間である。
 マルチベクタ型DDoS攻撃検知情報14bについては後述する。
 制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図3に例示するように、抽出部15aおよび算出部15bとして機能する。なお、これらの機能部は、異なるハードウェアに実装されてもよい。
 抽出部15aは、攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた単一DDoS攻撃検知情報14aの攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。
 具体的には、抽出部15aは、攻撃情報の集合である単一DDoS攻撃検知情報14aから、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。
 なお、抽出部15aは、検知手法が異なっていても、攻撃属性が同一の攻撃情報は、組み合わせの対象とはしない。また、検知手法が同一でも、攻撃属性が異なる攻撃情報は、組み合わせの対象とする。
 ここで、図5および図6は、抽出部15aの処理を説明するための図である。例えば、抽出部15aは、図4に示したSIDがS1001~S1004の攻撃情報について、通信先が同一であって、検知時刻の差が例えば30秒以内の互いに異なる攻撃属性の攻撃情報であることから、同時発生攻撃として抽出する。
 抽出部15aは、抽出したマルチベクタ型DDoS攻撃を、図5に示すように、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。図5に例示するマルチベクタ型DDoS攻撃検知情報14bは、マルチベクタ型DDoS攻撃を構成する単一のDDoS攻撃の攻撃情報(図4参照)に、マルチベクタ型DDoS攻撃の情報を追加したものである。
 図5に示す例において、マルチベクタ型DDoS攻撃の情報としては、MID、マルチベクタ型攻撃タイプ、通信先、標的、攻撃規模、継続時間、ステータスおよび危険度を含む。MIDはマルチベクタ型DDoS攻撃を識別する情報であり、マルチベクタ型攻撃タイプは、同時発生攻撃、間欠攻撃、または同一標的攻撃のいずれかを表す。標的については後述する。
 マルチベクタ型DDoS攻撃の攻撃規模は、マルチベクタ型DDoS攻撃を構成する各攻撃情報の攻撃規模の和で表される。また、マルチベクタ型DDoS攻撃の継続時間は、各攻撃情報の検知時刻のうちの最も早い検知時刻から、現在時刻までの時間、または全ての単一DDoS攻撃が終了したマルチベクタ型DDoS攻撃終了時刻までの時間である。例えば、後述する算出部15bが、攻撃規模、継続時間および後述する危険度を算出して、マルチベクタ型DDoS攻撃検知情報14bに含める。
 また、抽出部15aは、単一DDoS攻撃検知情報14aの攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。例えば、抽出部15aは、図4に示した攻撃情報のうち、SIDがS1004の継続中の攻撃情報について、通信先が同一で過去に終了した、攻撃属性の異なるSIDがS0003の攻撃情報を抽出し、これらを間欠攻撃と判定している。
 なお、間欠攻撃については、マルチベクタ型DDoS攻撃の継続時間は、マルチベクタ型DDoS攻撃を構成する各攻撃情報の継続時間のうち、最も長いものとする。
 また、抽出部15aは、単一DDoS攻撃検知情報14aの攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。例えば、通信先の異なる攻撃情報であっても、同一のWebアプリケーション等の同一の標的に属すると推定される場合に、抽出部15aが、同一標的攻撃を検知する場合がある。
 ここで、図6には、異なる通信先が同一の標的に属することを推定する手法が例示されている。例えば、抽出部15aは、Passive DNSあるいはDNS逆引きと呼ばれる手法を用いて、通信先のFQDN(Fully Qualified Domain Name)を特定し、同一のFQDNの通信先を同一の標的に属すると推定する。あるいは、抽出部15aは、BGP(Border Gateway Protocol)テーブルまたはGeoIPを用いて通信先のAS(Autonomous System)番号を特定し、AS番号が同一の通信先を同一の標的に属すると推定する。あるいは、抽出部15aは、GeoIPを用いて通信先の組織を特定し、同一の組織に属する通信先を同一の標的に属すると推定する。
 その場合に、抽出部15aは、同一の標的に属すると推定した通信先に対する、異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。また、抽出部15aは、図5に示したように、抽出した攻撃情報の組み合わせと標的とを、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。
 図3の説明に戻る。算出部15bは、単一DDoS攻撃検知情報14aの攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された攻撃情報の組み合わせの危険度を算出する。
 例えば、算出部15bは、抽出されたマルチベクタ型DDoS攻撃ごとに、上記のとおり、攻撃規模として、マルチベクタ型DDoS攻撃を構成する各攻撃情報の攻撃規模の和を算出する。また、算出部15bは、マルチベクタ型DDoS攻撃の継続時間として、各攻撃情報の検知時刻のうちの最も早い検知時刻から、現在時刻までの時間、または全ての単一DDoS攻撃が終了した時刻すなわちマルチベクタ型DDoS攻撃終了時刻までの時間を算出する。
 そして、算出部15bは、マルチベクタ型DDoS攻撃の危険度として、例えば、抽出されたマルチベクタ型DDoS攻撃ごとに、次の項目A~Dを算出し、各項目A~Dの算出値の和を算出する。
 A=検知手法数/全検知手法
 B=攻撃規模/予め想定される最大攻撃規模
 C=継続時間/予め想定される最大継続時間
 D=M_D1(同時発生攻撃の場合)、M_D2(間欠攻撃の場合)、M_D3(同一標的攻撃の場合)
 ここで、項目Dの各値M_D1、M_D2、M_D3は、各攻撃タイプの想定される危険度に応じて予め設定された値である。また、項目A、BおよびCの値は、それぞれ所定の最大値(M_A、M_B、M_C)で正規化された値である。また、M_A、M_B、およびM_Cと、M_D1、M_D2、M_D3のうちの最大値との和がN(例えば10)になるように、予め設定される。
 このように、算出部15bが危険度を算出することにより、抽出されたマルチベクタ型DDoS攻撃の危険度が、検知手法数、攻撃規模、攻撃間隔、攻撃タイプ等に応じて、Nで正規化された値で定量化される。
 算出部15bは、図5に示したように、算出したマルチベクタ型DDoS攻撃の攻撃規模、継続時間および危険度を、マルチベクタ型DDoS攻撃検知情報14bに蓄積する。
 なお、危険度の定義は上記に限定されない。例えば、算出部15bは、上記項目A~Dの一部を用いて危険度を定義して値を算出してもよい。
[検知処理]
 次に、図7~図9を参照して、本実施形態に係る検知装置10による検知処理について説明する。図7~図9は、検知処理手順を示すフローチャートである。各図のフローチャートは、例えば、ユーザが処理の開始を指示する操作入力を行ったタイミングで開始される。
 まず、図7には、同時発生攻撃の検知処理手順が示されている。まず、抽出部15aは、単一DDoS攻撃検知情報14aから、継続中または一定時間以内に終了した攻撃情報を処理対象として抽出する(ステップS1)。
 抽出部15aは、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の通信先(DstIP)に対して異なる攻撃属性の攻撃情報があるか、すなわち、同時発生攻撃が発生しているかを確認する(ステップS2)。
 ステップS2の処理において、該当する攻撃情報がない場合には(ステップS2、No)、抽出部15aは、マルチベクタ型DDoS攻撃が終了したものと判定し(ステップS3)、ステップS7に処理を進める。
 一方、ステップS2の処理において、該当する攻撃情報がある場合には(ステップS2、Yes)、抽出部15aは、継続中の攻撃情報が単一のDDoS攻撃かを確認する(ステップS4)。単一のDDoS攻撃である場合には(ステップS4、Yes)、抽出部15aは、2つのDDoS攻撃で構成されるマルチベクタ型DDoS攻撃を検知したものとして(ステップS5)、ステップS7に処理を進める。
 または、単一のDDoS攻撃ではない場合には(ステップS4、No)、抽出部15aは、継続中の攻撃情報を含む既存のマルチベクタ型DDoS攻撃に新たに追加する攻撃情報を検知したものとして(ステップS6)、ステップS7に処理を進める。
 ステップS7の処理では、抽出部15aが、マルチベクタ型DDoS攻撃検知情報14bの更新を行う。その後、抽出部15aは、全ての継続中の攻撃情報について、上記の処理を行ったかを確認する(ステップS8)。全ての継続中の攻撃情報について上記の処理を行っていない場合には(ステップS8、No)、抽出部15aは、ステップS2に処理を戻す。一方、全ての継続中の攻撃情報についての処理を行った場合には(ステップS8、Yes)、抽出部15aは、一連の検知処理を終了し、一定時間のスリープ(ステップS9)の後にステップS1に処理を戻す。
 これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、同時発生攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
 また、図8には、間欠攻撃の検知処理手順が示されている。図8の処理は、図7とは、ステップS2の処理に置き換えてステップS21の処理を行う点が異なる。その他の処理は図7と同様であるので、説明を省略する。
 ステップS21の処理では、抽出部15aが、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の通信先(DstIP)に対して、一定時間以上の過去に異なる攻撃属性の攻撃情報があるか、すなわち、間欠攻撃が発生しているかを確認する。
 これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、間欠攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
 また、図9には、同一標的攻撃の検知処理手順が示されている。図9の処理は、図7とは、ステップS2の処理に置き換えてステップS22の処理を行う点が異なる。その他の処理は図7と同様であるので、説明を省略する。
 ステップS22の処理では、抽出部15aが、継続中の攻撃情報を選択し、選択した継続中の攻撃情報と同一の標的に属する通信先(DstIP)に対して、異なる攻撃属性の攻撃情報があるか、すなわち、同一標的攻撃が発生しているかを確認する。
 これにより、抽出部15aは、マルチベクタ型DDoS攻撃のうち、同一標的攻撃を検知して、検知した情報をマルチベクタ型DDoS攻撃検知情報14bに蓄積する。
 以上、説明したように、本実施形態の検知装置10において、記憶部14が、DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する。抽出部15aが、攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する。
 例えば、抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出する。また、抽出部15aは、攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出する。また、抽出部15aは、攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出する。
 これにより、検知装置10は、検知された単一のDDoS攻撃の攻撃情報を用いて、マルチベクタ型のDDoS攻撃を検知することができる。したがって、マルチベクタ型のDDoS攻撃の実態を把握して、適切に防御することが可能となる。
 また、記憶部14の攻撃情報は、攻撃規模および継続時間をさらに含み、算出部15bが、攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された前記攻撃情報の組み合わせの危険度を算出する。これにより、検知装置10は、マルチベクタ型DDoS攻撃の危険度を、検知手法数、攻撃規模、攻撃間隔、攻撃タイプ等に応じて定量化することができる。したがって、マルチベクタ型DDoS攻撃の実態をより具体的に把握して、より適切に防御することが可能となる。
[プログラム]
 上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
 図10は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
 メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
 ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
 また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
 また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
 なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
 以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
 10 検知装置
 11 入力部
 12 出力部
 13 通信制御部
 14 記憶部
 14a 単一DDoS攻撃検知情報
 14b マルチベクタ型DDoS攻撃検知情報
 15 制御部
 15a 抽出部
 15b 算出部

Claims (7)

  1.  DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部と、
     前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出部と、
     を備えることを特徴とする検知装置。
  2.  前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間以内である、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同時発生攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  3.  前記抽出部は、前記攻撃情報の集合から、検知時刻の差が所定時間より長い、同一の通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、間欠攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  4.  前記抽出部は、前記攻撃情報の集合から、同一の標的に属する通信先に対する異なる攻撃属性の攻撃情報の組み合わせを、同一標的攻撃として抽出することを特徴とする請求項1に記載の検知装置。
  5.  前記攻撃情報は、検知手法、攻撃規模および継続時間をさらに含み、
     前記攻撃情報の検知手法、攻撃規模または継続時間を用いて、抽出された前記攻撃情報の組み合わせの危険度を算出する算出部をさらに備えることを特徴とする請求項1に記載の検知装置。
  6.  DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を備える検知装置で実行される検知方法であって、
     前記記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出工程を含んだことを特徴とする検知方法。
  7.  DDoS攻撃の検知時刻と攻撃属性と通信先とを含む攻撃情報を記憶する記憶部を参照し、前記攻撃情報の集合から、検知時刻、攻撃属性および通信先に応じた前記攻撃情報の組み合わせを、同時発生攻撃、間欠攻撃、または同一標的攻撃として抽出する抽出ステップをコンピュータに実行させるための検知プログラム。
PCT/JP2019/036551 2018-10-12 2019-09-18 検知装置、検知方法および検知プログラム WO2020075459A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/276,487 US20220046040A1 (en) 2018-10-12 2019-09-18 Detection device, detection method, and detection program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018193385A JP7014125B2 (ja) 2018-10-12 2018-10-12 検知装置、検知方法および検知プログラム
JP2018-193385 2018-10-12

Publications (1)

Publication Number Publication Date
WO2020075459A1 true WO2020075459A1 (ja) 2020-04-16

Family

ID=70163791

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/036551 WO2020075459A1 (ja) 2018-10-12 2019-09-18 検知装置、検知方法および検知プログラム

Country Status (3)

Country Link
US (1) US20220046040A1 (ja)
JP (1) JP7014125B2 (ja)
WO (1) WO2020075459A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086880A (ja) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018037962A (ja) * 2016-09-01 2018-03-08 日本電信電話株式会社 セキュリティ対処システム及びセキュリティ対処方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2959658A1 (en) * 2013-02-22 2015-12-30 Adaptive Mobile Security Limited Dynamic traffic steering system and method in a network
US9794274B2 (en) * 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
US10887347B2 (en) * 2016-10-27 2021-01-05 Radware, Ltd. Network-based perimeter defense system and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086880A (ja) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018037962A (ja) * 2016-09-01 2018-03-08 日本電信電話株式会社 セキュリティ対処システム及びセキュリティ対処方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KAMATANI, TAKEMASA ET AL.: "Quick response activity against DRDoS attacks utilizing AmpPot", PROCEEDINGS OF COMPUTER SECURITY SYMPOSIUM 2016, vol. 2016, no. 2, 4 October 2016 (2016-10-04), pages 1169 - 1174, ISSN: 1882-0840 *
KURAKAMI, HIROSHI: "You can do it too!, Technology to read logs [Security edition], The footprint of the attack remains like this", SOFTWARE DESIGN, 18 July 2015 (2015-07-18), pages 53 - 62, ISSN: 0916-6297 *
URAKAWA, JUNPEI ET AL.: "Trend Analysis of DDoS Attacks in Japan", PREPRINTS OF 2017 SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY (SCIS2017) [USB, pages 1 - 8 *

Also Published As

Publication number Publication date
JP7014125B2 (ja) 2022-02-01
US20220046040A1 (en) 2022-02-10
JP2020061705A (ja) 2020-04-16

Similar Documents

Publication Publication Date Title
EP3229407B1 (en) Application signature generation and distribution
US8813236B1 (en) Detecting malicious endpoints using network connectivity and flow information
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US20150033343A1 (en) Method, Apparatus, and Device for Detecting E-Mail Attack
US20180152468A1 (en) Processing network data using a graph data structure
EP2615793A1 (en) Methods and systems for protecting network devices from intrusion
CN107547507B (zh) 一种防攻击方法、装置、路由器设备及机器可读存储介质
US10505952B2 (en) Attack detection device, attack detection method, and attack detection program
US20170223035A1 (en) Scaling method and management device
CN112055956B (zh) 用于网络安全性的装置和方法
WO2013097475A1 (zh) 防火墙的数据检测方法及装置
CN110266650B (zh) Conpot工控蜜罐的识别方法
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
WO2018186242A1 (ja) 監視装置、監視方法および監視プログラム
Cambiaso et al. Mobile executions of slow DoS attacks
Zhauniarovich et al. Sorting the garbage: Filtering out DRDoS amplification traffic in ISP networks
US10721148B2 (en) System and method for botnet identification
JP6053561B2 (ja) 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法
JP5607513B2 (ja) 検知装置、検知方法及び検知プログラム
WO2020075459A1 (ja) 検知装置、検知方法および検知プログラム
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
JP6740264B2 (ja) 監視システム、監視方法及び監視プログラム
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
Surisetty et al. Apple's Leopard Versus Microsoft's Windows XP: Experimental Evaluation of Apple's Leopard Operating System with Windows XP-SP2 under Distributed Denial of Service Security Attacks
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19870910

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19870910

Country of ref document: EP

Kind code of ref document: A1