JP2006350561A - 攻撃検出装置 - Google Patents
攻撃検出装置 Download PDFInfo
- Publication number
- JP2006350561A JP2006350561A JP2005174279A JP2005174279A JP2006350561A JP 2006350561 A JP2006350561 A JP 2006350561A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2006350561 A JP2006350561 A JP 2006350561A
- Authority
- JP
- Japan
- Prior art keywords
- destination
- attack
- unauthorized access
- devices
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワーク上の機器やシステムが、DoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台装置になっているかを検出する攻撃検出装置を提供する。
【解決手段】 本発明の攻撃検出装置は、複数の登録機器104〜107から、各機器が情報を送信した宛先を示す宛先ログ情報を収集するログ収集手段301と、収集した宛先ログ情報に基づいて、複数の登録機器104〜107から同一の宛先へ送信される情報の数が、予め設定された閾値を超えているかを検出し、同一の宛先に前記閾値を超える数の情報が送信されていることを検出したときに、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段302とを有する。
【選択図】 図3
【解決手段】 本発明の攻撃検出装置は、複数の登録機器104〜107から、各機器が情報を送信した宛先を示す宛先ログ情報を収集するログ収集手段301と、収集した宛先ログ情報に基づいて、複数の登録機器104〜107から同一の宛先へ送信される情報の数が、予め設定された閾値を超えているかを検出し、同一の宛先に前記閾値を超える数の情報が送信されていることを検出したときに、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段302とを有する。
【選択図】 図3
Description
本発明は、通信ネットワーク上の機器やシステムに対する不正アクセスに対処する技術に関し、特に、通信ネットワーク上の機器やシステムに対する分散型サービス拒否攻撃を検出する攻撃検出装置に関する。
近年、インターネットの普及に伴い、Webアクセスや、電子メールをはじめとするネットワークを利用したサービスがますます増加しつつある。しかし、その一方で、ネットワークを介した不正アクセスやウィルスによって、サービスの正常運用が妨げられる危険性も増し、その対策が必要となってきている。
例えば、ファイアウォールや侵入検知システム(IDS:Intrusion Detection System)をネットワークに設置するといった対策がその代表的なものである。IDSでは、攻撃検出対象の攻撃パターンを記述した「シグネチャ」と呼ばれるルールに照らし合わせて攻撃を検出する。
しかし、故意に大量の処理要求を送信することで攻撃先のシステムの正常運用を妨げるサービス拒否攻撃(DoS:Denial of Services)の場合、1つ1つの処理要求は正常時に用いられるものであるため、IDSは、この攻撃をシグネチャによって検出することは困難であった。特に、攻撃元がネットワーク上に多数分散している分散型サービス拒否攻撃(DDoS:Distributed Denial of Services)の場合、攻撃者はネットワーク上で多数の踏み台装置を作成し、踏み台装置となった攻撃元は同時に同一宛先への処理要求を発行する。このため、踏み台装置の1つ1つが発行する処理要求を量的にも正常時のものと区別するのは困難であった。
図2は、DDoS攻撃が実行された状態のネットワークのイメージ図である。図2において、攻撃者201は、機器に侵入したり、機器にウィルスを感染させるなどして、ネットワーク202を介して踏み台装置を多数作成する。例えば、図2に示すように、攻撃者201は踏み台装置203〜206を作成する。踏み台装置203〜206は、攻撃者が作成した仕掛けにしたがって、例えば、被攻撃機器207に対して同時に処理要求を送出する。被攻撃機器207は、多数の踏み台装置(踏み台装置203〜206)から同時に処理要求を受けることになるので、正常な運用が妨げられることになる。
従来、DoS攻撃やDDoS攻撃への対処方法としては、以下のような技術が提案されている。
例えば、攻撃の兆候を被攻撃側のエッジルータで検出し、このエッジルータで攻撃防御サーバにより決定された攻撃防御処理を行うシステム(例えば、特許文献1)や、防御側ネットワークの状況を監視し、攻撃を検出した際には、不正アクセス側ネットワークの機器に通信制御を指示して、踏み台装置の通信を制御するシステム(例えば、特許文献2)や、ネットワークにより公開されているサービスに対する不正アクセスの流入路を探索して、流入路のルータで不正アクセスを防ぐシステム(例えば、特許文献3)が提案されている。
例えば、攻撃の兆候を被攻撃側のエッジルータで検出し、このエッジルータで攻撃防御サーバにより決定された攻撃防御処理を行うシステム(例えば、特許文献1)や、防御側ネットワークの状況を監視し、攻撃を検出した際には、不正アクセス側ネットワークの機器に通信制御を指示して、踏み台装置の通信を制御するシステム(例えば、特許文献2)や、ネットワークにより公開されているサービスに対する不正アクセスの流入路を探索して、流入路のルータで不正アクセスを防ぐシステム(例えば、特許文献3)が提案されている。
このような従来のシステムは、ネットワークに存在するルータ208〜216の単体処理又は連携処理によって、DoS攻撃やDDoS攻撃に対する攻撃防御処理を行うことを特徴とする。
特開2004−328307号公報
特開2002−158660号公報
特開2004−280724号公報
従来、DoS攻撃やDDoS攻撃に対処する技術として、攻撃を受ける被攻撃機器近くのエッジルータやネットワークで攻撃の兆候を検出し、検出した兆候に対して攻撃防御処理を行うシステムが提案されている。
例えば、エッジルータで攻撃を検出して攻撃防御処理を行うシステム(特許文献1)や、防御側ネットワークで攻撃を検出して、不正アクセス側ネットワークの機器により攻撃防御処理を行うシステム(特許文献2)や、不正アクセスの流入路を探索して、流入路のルータで不正アクセスに対する防御処理を行うシステムが提案されている。
これらのシステムは、ネットワーク上に存在するルータなどの機器間で連携をとり、被攻撃機器がDoS攻撃やDDoS攻撃されたことを検出して、被攻撃機器がシステムダウンしないように防御処理をすることはできる。しかし、攻撃元を特定したり、攻撃元付近で防御処理をするためには、被攻撃機器近くのルータから順に探索して攻撃元機器を特定する必要があり、探索のための手間や負荷がかかる。このため、攻撃元機器に対して、セキュリティパッチをあてたり、攻撃元機器に近いルータに対して攻撃防御処理を行うなどの対処処理が遅れたり、できない場合がある。セキュリティパッチをあてる処理とは、攻撃を受けた機器のソフトウェアを修正する処理である。また、攻撃防御処理とはルータから異常パケットや異常メッセージが送出されないようにする処理である。
また、従来のシステムでは、送信元を偽装された攻撃パケットについては、その攻撃元を特定することができないため、DoS攻撃やDDoS攻撃により踏み台装置になった機器を特定することはできない。
また、従来のシステムは、被攻撃機器近くのルータで攻撃防御処理を行う場合があり、この場合、攻撃パケットがネットワークのリソースを消費することを防止できない。
以上のことから、本発明では、ネットワーク上の機器やシステムが、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台装置になっているかを検出して、踏み台装置に対するメンテナンス処理や、踏み台装置又は踏み台装置近くのルータに対する攻撃防御処理を指示する攻撃検出装置を提供することを目的とする。
本発明の攻撃検出装置は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、を備えることを特徴とする。
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段が、前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とする。
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備えることを特徴とする。
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備えることを特徴とする。
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記ログ収集手段が前記宛先ログ情報を前記機器の種別毎に集計し、前記閾値が前記機器の種別毎に設定されていることを特徴とする。
また、本発明の攻撃防御システムは、情報を送信した宛先を示す宛先ログ情報を収集する宛先ログ収集手段と、前記宛先ログ収集手段が収集した宛先ログ情報を送信するログ送信手段とを各々有する複数の機器と、前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置とを備えることを特徴とする。
本発明の攻撃検出方法は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集するステップと、前記収集した宛先ログ情報を集計するステップと、前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、を含むことを特徴とする。
本発明の攻撃検出装置によれば、予め決められた複数の機器から、前記機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計し、前記宛先ログ情報に基づいて、前記複数の機器から同一の宛先へ送信される情報の数が、予め設定された閾値を超えているかを検出して、該宛先が不正アクセスされているかを判断するようにしたことから、前記複数の機器が、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台となり、不正アクセスを行っているかを検出することができる。
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示する手段を備えるようにしたことから、複数の機器にメンテナンス処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器に対してセキュリティパッチをあてるといったメンテナンス処理を行うように指示することができる。
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したときに、前記宛先ログ情報を送信した複数の機器、又は不正アクセスの攻撃先である宛先から前記複数の機器への経路上にあるルータに対する攻撃防御処理を指示する手段を備えるようにしたことから、機器やルータに攻撃防御処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器又はそれに近いルータに対して異常パケットや異常メッセージの送信を制限するといった攻撃防御処理を行うように指示することができる。その結果、異常パケットや異常メッセージの送信によるネットワークのリソースの消費を攻撃元に近いところで早急に抑えることができる。
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、前記宛先ログ情報を前記機器の種別毎に集計し、不正アクセスの判断に用いる前記閾値を前記機器の種別毎に管理するようにしたことから、前記機器の用途や機能に応じて、前記機器の宛先に対する閾値を容易に設定することできる。
以下、本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1に係る攻撃検出装置を適用したネットワークのイメージ図である。図1に示すように、攻撃検出装置101は複数の登録機器を管理し、登録機器が攻撃者201からDoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台になっているかを検出する。そして、登録機器による不正アクセスを検出すると、登録機器にセキュリティパッチをあてるなどのメンテナンス処理を行うようメンテナンス処理手段102に指示する。さらに、登録機器、又は登録機器に近いルータに対して、異常パケットや異常メッセージの送出を制限するなどの攻撃防御処理を行うよう攻撃防御処理手段103に指示する。
(実施の形態1)
図1は、本発明の実施の形態1に係る攻撃検出装置を適用したネットワークのイメージ図である。図1に示すように、攻撃検出装置101は複数の登録機器を管理し、登録機器が攻撃者201からDoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台になっているかを検出する。そして、登録機器による不正アクセスを検出すると、登録機器にセキュリティパッチをあてるなどのメンテナンス処理を行うようメンテナンス処理手段102に指示する。さらに、登録機器、又は登録機器に近いルータに対して、異常パケットや異常メッセージの送出を制限するなどの攻撃防御処理を行うよう攻撃防御処理手段103に指示する。
図3に、本実施の形態1に係る攻撃検出装置101、及び攻撃検出装置101を含むネットワークシステムの構成例を示す。
図3に示すシステムは、攻撃検出装置101と、攻撃検出装置101が管理する登録機器104〜107と、メンテナンス処理手段102と、攻撃防御処理手段103とを有する。なお、図3において、登録機器104〜107は同一種類の機器であることとする。
図3に示すシステムは、攻撃検出装置101と、攻撃検出装置101が管理する登録機器104〜107と、メンテナンス処理手段102と、攻撃防御処理手段103とを有する。なお、図3において、登録機器104〜107は同一種類の機器であることとする。
攻撃検出装置101は、登録機器104〜107から、各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段301と、宛先ログ情報を元に登録機器104〜107が被攻撃機器に不正アクセスしているかを判断する不正アクセス判断手段302と、不正アクセス判断手段302が不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303と、不正アクセス判断手段302が不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304とを備える。
メンテナンス処理手段102は、メンテナンス処理指示手段303からの指示に基づいて、予め登録されている同一種類の登録機器全てに対してメンテナンス処理を行う。図3では、登録機器104〜107が同一種類の機器であるので、登録機器104〜107にセキュリティパッチをあてるなどのメンテナンス処理を行う。
攻撃防御処理手段103は、攻撃防御処理指示手段304からの指示に基づいて、登録機器又は登録機器から被攻撃機器への経路上に存在するルータに対して攻撃防御処理を行う。例えば、図1に示すように、登録機器105が踏み台装置となった場合には、登録機器105に問い合わせを行うなどして、被攻撃機器207への経路上で、登録機器105に近いルータ210を特定し、ルータ210に対して攻撃防御処理を行う。さらに、ルータ210に攻撃防御処理が行えない場合には、ルータ209など、経路上の他のルータに対して攻撃防御処理を行うようにする。また、予め登録されている同一種類の登録機器(登録機器104,106,107)から被攻撃機器207への経路上のルータに対しても、同様の攻撃防御処理を行う。これにより、攻撃元に近いところで、踏み台装置から異常パケットや異常メッセージなどがネットワークへ送出されるのを制限して、ネットワークリソースの無駄な消費を回避できる。
登録機器104〜107は、情報を送信した宛先(例えば、他の機器や端末やサーバ)を示す宛先ログ情報を収集する宛先ログ収集手段305と、宛先ログ収集手段305が収集した宛先ログ情報を攻撃検出装置101のログ収集手段301に送信するログ送信手段306とを備える。
なお、登録機器104〜107は、宛先ログ収集手段305及びログ送信手段306を備えるようにしても、収集するログの種類は限定されており、また、重複するログ情報を1まとめにしたりできるので、宛先ログ情報を収集する処理の負荷や、宛先ログ情報を通信する負荷が大きくなることはない。
また、登録機器104〜107は、メンテナンス処理実行手段を備えるようにしても良い。メンテナンス処理実行手段は、メンテナンス処理手段102からの指示に基づいて、セキュリティパッチをあてるなどのメンテナンス処理を行い、さらに、セキュリティパッチの適用に伴いソフトウェアをバージョンアップして攻撃に対処する。
また、登録機器104〜107は、攻撃防御処理実行手段を備えるようにしても良い。攻撃防御処理実行手段は、攻撃防御処理手段103の指示に基づいて、ファイアウォールの設定を変更したり、異常パケットや異常メッセージの送出を制限したりする。また、このような攻撃防御処理実行手段を、図1に示す各ルータが備えるようにしても良い。
次に、攻撃検出装置101の動作について図4〜図8を用いて説明する。
図4は攻撃検出装置101が行う処理内容を示すフロー図である。図5、図6は、それぞれ登録機器104、登録機器105が送信する宛先ログ情報を示す図である。図5、図6に示す宛先ログ情報はそれぞれ、登録機器104、登録機器105が情報を送信した宛先IPアドレスと各宛先に送信した情報の数を組にしたリストである。「AA.AA.AA.AA」、「BB.BB.BB.BB」、「XX.XX.XX.XX」、「YY.YY.YY.YY」、及び「ZZ.ZZ.ZZ.ZZ」はそれぞれ宛先IPアドレスを示す文字列である。また、「数」とは、例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」であり、どの数にするかは予め決めておく。図7は宛先IPアドレスと宛先ログ情報の集計結果である宛先集計値とを組したリストである。図8は宛先IPアドレスと攻撃検出装置101が管理している閾値とを組したリストである。
図4は攻撃検出装置101が行う処理内容を示すフロー図である。図5、図6は、それぞれ登録機器104、登録機器105が送信する宛先ログ情報を示す図である。図5、図6に示す宛先ログ情報はそれぞれ、登録機器104、登録機器105が情報を送信した宛先IPアドレスと各宛先に送信した情報の数を組にしたリストである。「AA.AA.AA.AA」、「BB.BB.BB.BB」、「XX.XX.XX.XX」、「YY.YY.YY.YY」、及び「ZZ.ZZ.ZZ.ZZ」はそれぞれ宛先IPアドレスを示す文字列である。また、「数」とは、例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」であり、どの数にするかは予め決めておく。図7は宛先IPアドレスと宛先ログ情報の集計結果である宛先集計値とを組したリストである。図8は宛先IPアドレスと攻撃検出装置101が管理している閾値とを組したリストである。
まず、ログ収集手段301は、一定時間おきに登録機器104〜107から宛先ログ情報を取得する(ステップS401)。
次に、ログ収集手段301は収集した宛先ログ情報を集計する(ステップS402)。図7に示すように、ログ収集手段301は同一の宛先IP毎に「数」を集計する。例えば、宛先IP「ZZ.ZZ.ZZ.ZZ」については、登録機器104が情報を送信した数「1」と登録機器105が情報を送信した数「1」とが加算され、宛先集計値は「2」となる。他の宛先IPについても同様に集計される。
次に、ログ収集手段301は収集した宛先ログ情報を集計する(ステップS402)。図7に示すように、ログ収集手段301は同一の宛先IP毎に「数」を集計する。例えば、宛先IP「ZZ.ZZ.ZZ.ZZ」については、登録機器104が情報を送信した数「1」と登録機器105が情報を送信した数「1」とが加算され、宛先集計値は「2」となる。他の宛先IPについても同様に集計される。
次に、不正アクセス判断手段302は、未参照の宛先集計値が存在するかどうかを判断し(ステップS403)、順次、宛先IP毎に宛先集計値と閾値との比較を行う(ステップS404)。不正アクセス判断手段302は、宛先集計値のうち、宛先IP「XX.XX.XX.XX」、「AA.AA.AA.AA」、及び「BB.BB.BB.BB」については閾値を超えていないため、正常と判断する(ステップS405)。また、宛先IP「YY.YY.YY.YY」については、閾値が設定されていないため、正常と判断する。一方、宛先IP「ZZ.ZZ.ZZ.ZZ」については、宛先集計値が「2」となっており、閾値「1」を超えているため、宛先IP「ZZ.ZZ.ZZ.ZZ」に対する不正アクセスが発生したと判断する(ステップS406)。
次に、不正アクセスが検出されると、メンテナンス処理指示手段303はメンテナンス処理手段102にメンテナンス処理を、攻撃防御処理指示手段304は攻撃防御処理手段103に攻撃防御処理を指示する。すなわち、攻撃検出装置101はメンテナンス処理手段102及び攻撃防御処理手段103に不正アクセス対処処理の指示をする(ステップS407)。
以上のようにして、宛先集計値と閾値とを順次比較し、全ての比較が終了すると、一連の攻撃検出動作は終了となる(ステップS408)。そして、次のログ取得タイミングで再び同様の動作が行われる。
なお、図5、6で、登録機器104〜107が送信する宛先ログ情報の例として、宛先IPアドレスと各宛先へ送信される情報数とのリストを示したが、宛先ログ情報はこれに限るものではなく、送信先を示す情報であれば良い。例えば、宛先として、「宛先URL」や「メールアドレス」を示すものでも良い。
また、図5〜図8では、「数」が1種類として示されているが、閾値は1種類に限定されるものではない。例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」といった数を組み合わせて閾値として定めることでも良い。
また、登録機器が送信する宛先ログ情報は図5、図6に示すリストに限るものではなく、宛先のみを示すリストでも良い。図9は宛先(宛先URL)のみを示す宛先ログ情報の一例を示す図である。図9に示す宛先ログ情報を受信した攻撃検出装置101は、1台の登録機器が送信した宛先の個数については検査せず、複数の登録機器から同一宛先に同時に情報が送信されているかどうかを検査することになる。宛先ログ情報が図9に示すリストの場合、ログ収集手段301は、図10に示すように、「登録機器数」を集計することになる。この場合、1つの登録機器から同一宛先へ情報が複数送信されても、1とみなし、集計を行う。そして、不正アクセス判断手段302が集計値と比較する閾値は、図11に示すように、宛先毎に設定された「登録機器数の閾値」となる。この場合、不正アクセス判断手段302は、「http://www.bbbb」の宛先URLに情報を送信した登録機器の数が閾値を超えるので、「http://www.bbbb」に対する不正アクセスが発生したと判断する。
また、攻撃検出装置101で管理する閾値については、登録機器の種別毎に設定するようにしても良い。この場合、宛先ログ情報の集計処理は登録機器の種別毎に行われる。ここでいう「登録機器の種別」とは、例えば、「電話」や「ネットワークカメラ」や「PC」や「DVDレコーダ」などの機器の用途やその機能を特定する種別を意味する。登録機器の用途や機能が特定されれば、その送信先に対する閾値を容易に定めることが可能となる。例えば、2者間通信を行う機能のみを有する「電話」であれば、呼制御等の特別な処理を行うサーバ以外への通信先が複数の機器で重複することはない。このため、複数の機器から同一の宛先に情報が送信された場合には、不正アクセスと判断することができる。また、サーバへのアクセスについても、仕様上、送信される限度の数を超える場合には、不正アクセスと判断することとして、閾値を設定することもできる。
以上のように、本実施の形態1に係る攻撃検出装置によれば、管理している複数の登録機器(登録機器104〜107)から、各登録機器が情報を送信した宛先を示す宛先ログ情報を取得して、該宛先ログ情報に基づいて登録機器が不正アクセスを行っているかを判断するようにしたことから、登録機器が、DoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台となっているかを検出することができる。
さらに、本実施の形態1に係る攻撃検出装置によれば、不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器に対するメンテナンス処理の指示を行うことができる。
さらに、本実施の形態1に係る攻撃検出装置は、不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器や該登録機器に近いルータに対する攻撃防御処理の指示を行うことができる。その結果、異常パケットや異常メッセージがネットワークリソースを消費するのを、攻撃元となった登録機器に近いところで抑えることができる。
(実施の形態2)
本発明の実施の形態2に係る攻撃検出装置は、不正アクセスを行っている登録機器を特定することを特徴とする。
本実施の形態2で、攻撃検出装置101は、まず、図4に示すステップS401〜ステップS406の処理を行う。そして、不正アクセス判断手段302が、不正アクセスの発生を検出したとき、不正アクセスをしている登録機器を特定する。図12は、不正アクセス判断手段302が不正アクセスをしている登録機器を特定する処理内容を示すフロー図である。
本発明の実施の形態2に係る攻撃検出装置は、不正アクセスを行っている登録機器を特定することを特徴とする。
本実施の形態2で、攻撃検出装置101は、まず、図4に示すステップS401〜ステップS406の処理を行う。そして、不正アクセス判断手段302が、不正アクセスの発生を検出したとき、不正アクセスをしている登録機器を特定する。図12は、不正アクセス判断手段302が不正アクセスをしている登録機器を特定する処理内容を示すフロー図である。
まず、不正アクセス判断手段302は、宛先ログ情報を参照していない登録機器があるかを判断し(ステップS1201)、未参照の登録機器の宛先ログ情報を参照する(ステップS1202)。そして、閾値を超える数の情報が送信された宛先が宛先ログ情報に含まれるかを判断し(ステップS1203)、登録機器が不正アクセスをしているかを判定する(ステップS1204、ステップS1205)。不正アクセスをしている登録機器を検出すると、不正アクセス判断手段302は、メンテナンス処理指示手段303と攻撃防御処理指示手段304に、その登録機器の情報を通知する。その後、メンテナンス処理指示手段303は、メンテナンス処理手段102に対して、メンテナンス処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。また、攻撃防御処理指示手段304は、攻撃防御処理手段103に対して、攻撃防御処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。
例えば、登録機器104が図4に示す宛先ログ情報を、登録機器105が図5に示す宛先ログ情報を攻撃検出装置101に送信する場合、図7、8に示すように、宛先IP「ZZ.ZZ.ZZ.ZZ」の「数」が閾値を超えることから、不正アクセス判断手段302は、宛先IP「ZZ.ZZ.ZZ.ZZ」に不正アクセスが行われていると判断し、宛先IP「ZZ.ZZ.ZZ.ZZ」に情報を送信している登録機器104と登録機器105とが、不正アクセスをしている登録機器であることを特定する。
また、登録機器104〜107が図9に示すような宛先URLのみを含む宛先ログ情報を攻撃検出装置101に送信する場合、図10、図11に示すように、宛先URL「http://wwww.bbbb」に情報を送信する登録機器の数が閾値を超えることから、この宛先URLに情報を送信している登録機器が不正アクセスをしている登録機器であることを特定する。
以上のように、本実施の形態2に係る攻撃検出装置によれば、管理する登録機器が不正アクセスをしていることを検出したときに、宛先ログ情報から不正アクセスしている登録機器を特定して、該登録機器の情報をメンテナンス処理手段102と攻撃防御処理手段103とに通知するようにしたことから、メンテナンス処理手段102は、不正アクセスをしている登録機器のみにメンテナンス処理をしたり、不正アクセスをしている登録機器から順にメンテナンス処理をすることができる。また、攻撃防御処理手段103は、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータのみに攻撃防御処理をしたり、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータから順に攻撃防御処理をすることができる。
本発明は、ネットワーク上で、ネットワーク家電やIP電話等の機器がDoS攻撃やDDoS攻撃を受けたことを検出して、機器がDoS攻撃やDDoS攻撃の踏み台装置となることを防ぐ、攻撃検出装置として有用である。
101 攻撃検出装置
102 メンテナンス処理手段
103 攻撃防御処理手段
104〜107 登録機器
201 攻撃者
202 ネットワーク
203〜206 踏み台装置
207 被攻撃機器
208〜216 ルータ
301 ログ収集手段
302 不正アクセス判断手段
303 メンテナンス処理指示手段
304 攻撃防御処理指示手段
305 宛先ログ収集手段
306 ログ送信手段
102 メンテナンス処理手段
103 攻撃防御処理手段
104〜107 登録機器
201 攻撃者
202 ネットワーク
203〜206 踏み台装置
207 被攻撃機器
208〜216 ルータ
301 ログ収集手段
302 不正アクセス判断手段
303 メンテナンス処理指示手段
304 攻撃防御処理指示手段
305 宛先ログ収集手段
306 ログ送信手段
Claims (7)
- 複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段と、
前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、
を備えることを特徴とした攻撃検出装置。 - 請求項1に記載の攻撃検出装置において、
前記不正アクセス判断手段は、
前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とした攻撃検出装置。 - 請求項1または2に記載の攻撃検出装置において、
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備える、
ことを特徴とした攻撃検出装置。 - 請求項1から3のいずれかに記載の攻撃検出装置において、
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備える、
ことを特徴とした攻撃検出装置。 - 請求項1記載の攻撃検出装置において、
前記ログ収集手段は、前記宛先ログ情報を前記機器の種別毎に集計し、
前記閾値は、前記機器の種別毎に設定されている、
ことを特徴とした攻撃検出装置。 - 情報を送信した宛先を示す宛先ログ情報を収集する宛先ログ収集手段と、前記宛先ログ収集手段が収集した宛先ログ情報を送信するログ送信手段とを各々有する複数の機器と、
前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置と、
を備えることを特徴とした攻撃検出システム。 - 複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集するステップと、
前記収集した宛先ログ情報を集計するステップと、
前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、
を含むことを特徴とした攻撃検出方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005174279A JP2006350561A (ja) | 2005-06-14 | 2005-06-14 | 攻撃検出装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005174279A JP2006350561A (ja) | 2005-06-14 | 2005-06-14 | 攻撃検出装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006350561A true JP2006350561A (ja) | 2006-12-28 |
Family
ID=37646351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005174279A Pending JP2006350561A (ja) | 2005-06-14 | 2005-06-14 | 攻撃検出装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006350561A (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009110270A (ja) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
| JP2009193409A (ja) * | 2008-02-15 | 2009-08-27 | Nec Corp | 電文処理システム、電文処理方法、そのプログラム及びその記録媒体 |
| JP2010009187A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| JP2010009185A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| JP2010009186A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
| JP2016502340A (ja) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| JP2016144217A (ja) * | 2016-05-12 | 2016-08-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 中継装置、中継方法及び中継プログラム |
| JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
| US10542082B2 (en) | 2015-01-29 | 2020-01-21 | Ntt Communications Corporation | Communication control apparatus, communication control method and communication control program |
| US20210273952A1 (en) * | 2018-07-17 | 2021-09-02 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
-
2005
- 2005-06-14 JP JP2005174279A patent/JP2006350561A/ja active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
| JP2009110270A (ja) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
| US8375445B2 (en) | 2007-10-30 | 2013-02-12 | Fujitsu Limited | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
| JP2009193409A (ja) * | 2008-02-15 | 2009-08-27 | Nec Corp | 電文処理システム、電文処理方法、そのプログラム及びその記録媒体 |
| JP4645657B2 (ja) * | 2008-02-15 | 2011-03-09 | 日本電気株式会社 | 電文処理システム、電文処理方法、そのプログラム及びその記録媒体 |
| JP2010009187A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| JP2010009185A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| JP2010009186A (ja) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
| JP2016502340A (ja) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
| JP2018033144A (ja) * | 2012-11-22 | 2018-03-01 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
| US10924500B2 (en) | 2012-11-22 | 2021-02-16 | Koninklijke Kpn N.V. | System to detect behaviour in a telecommunications network |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| CN107077433B (zh) * | 2014-11-10 | 2020-03-03 | 日本电信电话株式会社 | 优化装置、优化方法 |
| US10616270B2 (en) | 2014-11-10 | 2020-04-07 | Nippon Telegraph And Telephone Corporation | Optimization apparatus, optimization method, and optimization program |
| US10542082B2 (en) | 2015-01-29 | 2020-01-21 | Ntt Communications Corporation | Communication control apparatus, communication control method and communication control program |
| JP2016144217A (ja) * | 2016-05-12 | 2016-08-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 中継装置、中継方法及び中継プログラム |
| JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
| US20210273952A1 (en) * | 2018-07-17 | 2021-09-02 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
| US11843615B2 (en) * | 2018-07-17 | 2023-12-12 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9781157B1 (en) | Mitigating denial of service attacks | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| US9306964B2 (en) | Using trust profiles for network breach detection | |
| US20210112091A1 (en) | Denial-of-service detection and mitigation solution | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| Manavi | Defense mechanisms against distributed denial of service attacks: A survey | |
| US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
| US20060143709A1 (en) | Network intrusion prevention | |
| US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
| US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| JP2005252808A (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
| KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN110769007B (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
| JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| KR20130124692A (ko) | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 | |
| CN114301647B (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
| JP2006350561A (ja) | 攻撃検出装置 | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| US20080295153A1 (en) | System and method for detection and communication of computer infection status in a networked environment | |
| KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
| Shaar et al. | DDoS attacks and impacts on various cloud computing components | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム |