JP4371905B2 - 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 - Google Patents
不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 Download PDFInfo
- Publication number
- JP4371905B2 JP4371905B2 JP2004157374A JP2004157374A JP4371905B2 JP 4371905 B2 JP4371905 B2 JP 4371905B2 JP 2004157374 A JP2004157374 A JP 2004157374A JP 2004157374 A JP2004157374 A JP 2004157374A JP 4371905 B2 JP4371905 B2 JP 4371905B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- ddos
- attack
- event
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
DDoS攻撃とは、複数の踏み台(ネットワークを介して悪者に乗っ取られた装置)から1つのターゲット・サーバに向けて一斉に大量のパケットを送りつける攻撃を言う。DDoS攻撃を受けたターゲット・サーバは、一斉に大量のパケットを送りつけられることによって過負荷状態に陥り、最悪の場合にはサーバ機能が停止してしまう。
また、上記課題を解決するために、DDoS攻撃を行うDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、を具備するDDoS攻撃検知装置が提供される。
図1は、本発明の実施の形態に適用される発明の概念図である。不正アクセス検知装置1は、イベント情報を記憶するイベント情報記憶手段1a、不正装置群を記憶する不正装置群記憶手段1b、監視情報を収集する監視情報収集手段1c、監視情報から不正装置群を導出する不正装置群導出手段1dおよび検出された不正装置群のリストを出力する出力手段1eを具備する。
監視情報収集手段1cは、各ネットワーク2a、2b、・・・を監視する監視装置3a、3b、・・・から監視情報を収集する。監視情報には、少なくとも、監視装置3a、3bが検出したイベントと、その発信元と宛先のアドレスが設定されている。
なお、上記の説明の各手段は、コンピュータに不正アクセス検知プログラムを実行させることにより実現する。
図2は、本発明の実施の形態に係るネットワークシステムの構成例を示す図である。
本発明の実施の形態が適用されるネットワークシステムは、たとえば、インターネットプロバイダにより構築されるISP(Internet Service Provider)ネットワークなど、局所的ISPネットワーク21、22、・・・の集合体で構成される。
不正アクセス検知装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、通信インタフェース106が接続されている。
まず、第1の実施の形態について説明する。図5は、第1の実施の形態のDDoS攻撃検知装置の内部構成を示すブロック図である。各機能ブロックは、コンピュータにDDoS攻撃検知プログラムを実行させることにより実現する。
出力部350は、DDoSネットワーク導出部340によって導出されたDDoSネットワークを構成する不正装置群を記したDDoSネットワークリスト400を出力する。
図9は、イベント情報DBのデータ構造例を示す図である。イベント情報DB310は、ツール種類ごとに、そのツールで実行されるイベントの種類と、そのイベントの発信元と宛先の役割およびイベントの発信元と宛先をDDoSネットワークに関連付ける際の関連付けのキーが互いに関連付けられ、登録されている。たとえば、ツール種類「Trinoo」で発生するイベントの種類「trinoo agent deploy」に関する定義311では、そのイベントの発信元は「アタッカ」、宛先は「エージェント」として機能するという定義がされている。また、関連付けキーとして「アタッカ」を用いることが定義されている。
[ステップS02] ステップS01で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS12] ステップS11で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS22] ステップS21で抽出した「検出イベント名」をキーとしてイベント情報DB310を検索し、対応するイベント情報を抽出する。そして、「ツール種類」、「宛先の役割」および「関連付けのキー」を取得する。
[ステップS28] DDoSネットワークのエントリ(「ツール種類」と「エージェント」が同一)が検出されなかった場合、新規のエントリを作成し、「エージェント」として「発信元」、宛先を「ハンドラ」に登録し、処理を終了する。
次に、第2の実施の形態について説明する。第2の実施の形態は、第1の実施の形態によって検出された不正ネットワーク(DDoSネットワーク)による攻撃規模もしくは被害規模を予測する。
本発明に係るDDoS攻撃検知装置301は、イベント情報DB310、DDoSネットワークDB320、監視ログ収集部330、DDoSネットワーク導出部340、出力部350、攻撃力情報DB361、攻撃規模予測部362、ネットワーク経路DB371、被害規模予測部372、攻撃回避策DB381、攻撃回避策実行部382および表示制御部390を有する。
ネットワーク経路DB371は、ネットワークの経路(トポロジー)と、その経路の帯域などのネットワーク経路情報が格納される。
攻撃回避策実行部382は、被害規模予測部372で予測された被害規模がどの段階に相当するかを判定し、攻撃回避策DB381より検索された攻撃回避策の処理手順を実行する。
図16は、攻撃力情報DBのデータ構造例を示す図である。攻撃力情報DB361は、ツール種類ごとに、そのツールで実行される攻撃の種類と、その攻撃力が互いに関連付けられ、登録されている。攻撃力は、1台のエージェントが浪費できるネットワーク帯域が定義されている。
被害規模予測処理について説明する。図17は、ネットワーク経路DBで定義されるインターネットマップ例を示した図である。インターネットマップとは、インターネット全体のトポロジー(形状)と帯域(太さ)に関する情報をマップ上に示したものである。たとえば、ネットワーク上の点GW5について見ると、GW2、GW3およびGW6に繋がる経路があり、それぞれの経路の帯域は200pps(パケット/秒)、100pps、300ppsであることが示されている。実際のネットワーク経路DB371では、ある任意の点をキーとして、そこへ接続する経路や帯域が検索できるように各データが関連付けられている。
上記の処理により算出された被害規模の予測をまとめ、ISPやIX単位の被害規模を算出する。そして、ネットワーク経路DB371に格納されたネットワークマップと対応付けて、ISP、IXのネットワーク構成図がモニタ11に表示する。
攻撃回避策DB381には、DDoSネットワーク、攻撃規模、被害規模などに応じた適切な攻撃回避のための処理手順が、被害規模の段階に対応付けられて、格納されている。たとえば、被害規模が小さい場合には、攻撃を起こすエージェントあるいはハンドラとなったホストの管理者(管理ホスト)に連絡するというような処理手順が設定されている。また、被害規模が甚大であると予測される場合には、その経路を一定時間遮断する処理手順が設定されている。
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段と、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段と、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とする不正アクセス検知装置。
前記不正装置群導出手段では、前記監視情報から前記発信元もしくは前記宛先のアドレスを抽出し、前記イベント情報の前記関連キーを用いて前記不正装置群記憶手段の前記不正装置群から前記監視情報から抽出された前記アドレスと一致するアドレスを検索し、一致した場合に前記監視情報から検出される前記不正装置を前記不正装置群に加えることを特徴とする付記1記載の不正アクセス検知装置。
前記不正装置群導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする付記1記載の不正アクセス検知装置。
前記不正装置群によって前記不正アクセスが行われた際の攻撃力を前記不正アクセスの種類ごとに格納する攻撃力情報記憶手段と、
前記不正装置群導出手段により導出された前記不正アクセスをキーとして前記攻撃力情報記憶手段から対応する攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記不正装置群が前記不正アクセスを行った場合の攻撃規模を算出する攻撃規模予測手段と、
を備えたことを特徴とする付記1記載の不正アクセス検知装置。
各ネットワークを監視する監視装置が検出したネットワークイベントを含む監視情報を監視情報収集手段で収集し、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を不正装置群導出手段で検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として導出し、
前記不正装置群に関する不正装置群リストを出力手段で出力する、
ことを特徴とする不正アクセス検知方法。
コンピュータを、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段、
として機能させるための不正アクセス検知プログラム。
前記DDoS攻撃を行うDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、
現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とするDDoS攻撃検知装置。
前記DDoSネットワーク導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする付記7記載のDDoS攻撃検知装置。
前記DDoSネットワーク導出手段は、前記イベント情報に基づき発信元の前記役割がエージェントと判定され、かつ前記発信元のアドレスが同一の前記ネットワークイベントの宛先をまとめ、ハンドラとして同じ前記DDoSネットワークに設定することを特徴とする付記7記載のDDoS攻撃検知装置。
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークの前記DDoS攻撃ツールの種類をキーとして前記攻撃力情報記憶手段から対応する前記攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記DDoSネットワークによる攻撃が発生した場合の攻撃規模を算出する攻撃規模予測手段と、
をさらに有することを特徴とする付記7記載のDDoS攻撃検知装置。
前記攻撃規模予測手段は、前記DDoSネットワークに属する前記エージェントの数と前記エージェントが浪費できる前記ネットワーク帯域との積をとることによって攻撃規模を算出することを特徴とする付記11記載のDDoS攻撃検知装置。
前記攻撃規模予測手段により算出された前記攻撃規模による前記DDoS攻撃が発生した場合に、前記DDoS攻撃が前記ネットワーク経路を通過して前記ネットワーク上の任意の点に及ぼす被害規模を前記ネットワーク経路情報に基づき予測する被害規模予測手段と、
を有することを特徴とする付記11記載のDDoS攻撃検知装置。
前記被害規模予測手段によって算出された前記被害規模をキーとして前記回避策情報記憶手段から前記被害規模に対応する前記攻撃回避処理手順を検索し、検索された前記回避策処理手順を実行する回避策実行手段と、
を有することを特徴とする付記13記載のDDoS攻撃検知装置。
前記DDoSネットワーク導出手段は、前記イベント情報に基づき、前記DDoS攻撃ツールの種類が同一の前記ネットワークイベントに関し、前記発信元もしくは宛先アドレスを照合することを特徴とする付記7記載のDDoS攻撃検知装置。
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を監視情報収集手段で収集し、
DDoSネットワーク導出手段で、前記DDoS攻撃を行う前記不正装置群から成るDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として導出し、
導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力手段で出力する、
ことを特徴とするDDoS攻撃検知方法。
コンピュータを、
前記DDoS攻撃を行う前記不正装置群から成るDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段、
現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する前記不正装置群を格納するDDoSネットワーク記憶手段、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段、
として機能させるためのDDoS攻撃検知プログラム。
1a イベント情報記憶手段
1b 不正装置群記憶手段
1c 監視情報収集手段
1d 不正装置群導出手段
1e 出力手段
2a、2b ネットワーク
3a、3b 監視装置
4 (不正装置群の)リスト
300 DDoS攻撃検知装置
310 イベント情報DB
320 DDoSネットワークDB
330 監視ログ収集部
340 DDoSネットワーク導出部
341 イベント情報検索部
342 DDoSネットワーク更新部
350 出力部
Claims (10)
- ネットワークを介した不正アクセスを検出するための不正アクセス検知装置において、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段と、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段と、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とする不正アクセス検知装置。 - 前記不正アクセス検知装置は、さらに、
前記不正装置群によって前記不正アクセスが行われた際の攻撃力を前記不正アクセスの種類ごとに格納する攻撃力情報記憶手段と、
前記不正装置群導出手段により導出された前記不正アクセスをキーとして前記攻撃力情報記憶手段から対応する攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記不正装置群が前記不正アクセスを行った場合の攻撃規模を算出する攻撃規模予測手段と、
を備えたことを特徴とする請求項1記載の不正アクセス検知装置。 - ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、
各ネットワークを監視する監視装置が検出したネットワークイベントを含む監視情報を監視情報収集手段で収集し、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段から収集した前記監視情報の前記ネットワークイベントをキーとして対応する前記イベント情報を不正装置群導出手段で検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として導出し、
前記不正装置群に関する不正装置群リストを出力手段で出力する、
ことを特徴とする不正アクセス検知方法。 - ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、
コンピュータを、
準備動作を経て所定の不正アクセスが実行されるまでにネットワークを介して行われるネットワークイベントを定義したイベント情報が格納されたイベント情報記憶手段、
現在進行中の前記ネットワークイベントに関わった不正装置群を格納する不正装置群記憶手段、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントを含む監視情報を収集する監視情報収集手段、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記不正アクセスの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記不正アクセスに関わった不正装置群として前記不正装置群記憶手段に格納する不正装置群導出手段、
前記不正装置群導出手段により導出された前記不正装置群のリストを出力する出力手段、
として機能させるための不正アクセス検知プログラム。 - ネットワークを介した分散型サービス不能化(DDoS:Distributed Denial of Service)攻撃を検出するためのDDoS攻撃検知装置において、
前記DDoS攻撃を行うツールであるDDos攻撃ツールによってDDoSネットワーク構築の準備動作から前記DDoS攻撃の開始までに実行されるネットワークイベントを定義したイベント情報を格納するイベント情報記憶手段と、
現在進行中の前記DDoS攻撃のための前記DDoSネットワークを構成する不正装置群を格納するDDoSネットワーク記憶手段と、
各ネットワークを監視する監視装置が検出した前記ネットワークイベントに関する監視情報を収集する監視情報収集手段と、
収集した前記監視情報の前記ネットワークイベントをキーとして前記イベント情報記憶手段から対応する前記イベント情報を検索し、検索された前記イベント情報に基づき前記ネットワークイベントに繋がる前記DDoS攻撃ツールの種類が同じでかつ前記ネットワークイベントの発信元もしくは宛先のアドレスが同じ装置を前記DDoS攻撃に繋がる不正装置群として前記DDoSネットワーク記憶手段に格納するDDoSネットワーク導出手段と、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークを構成する前記不正装置群のリストを出力する出力手段と、
を具備することを特徴とするDDoS攻撃検知装置。 - 前記イベント情報記憶手段では、前記イベント情報に前記ネットワークイベントの発信元と宛先のそれぞれの役割が定義されており、
前記DDoSネットワーク導出手段は、前記イベント情報に定義されたそれぞれの役割に基づき、導出された前記不正装置を前記役割に応じて分類することを特徴とする請求項5記載のDDoS攻撃検知装置。 - 前記DDoSネットワーク導出手段は、前記監視情報ごとに、前記イベント情報に基づき判定される前記DDoS攻撃ツールの種類をキーとして前記DDoSネットワーク記憶手段から同じDDoS攻撃ツールの種類で既に検出された前記DDoSネットワークを検索し、前記監視情報の前記発信元のアドレスと検索された前記DDoSネットワークに既にエントリされた前記発信元と同じ役割に分類されるアドレスとを照合し、一致した場合には前記監視情報の前記宛先のアドレスを前記DDoSネットワークにエントリして前記DDoSネットワーク記憶手段を更新することを特徴とする請求項6記載のDDoS攻撃検知装置。
- 前記DDoS攻撃ツールの種類に応じた攻撃力が定義された攻撃力情報記憶手段と、
前記DDoSネットワーク導出手段により導出された前記DDoSネットワークの前記DDoS攻撃ツールの種類をキーとして前記攻撃力情報記憶手段から対応する攻撃力が定義された攻撃力情報を検索し、検索された前記攻撃力情報を用いて前記DDoSネットワークによる攻撃が発生した場合の攻撃規模を算出する攻撃規模予測手段と、
をさらに有することを特徴とする請求項5記載のDDoS攻撃検知装置。 - 少なくとも前記DDoSネットワークに属しておりDDoS攻撃のターゲットに向けてパケットを送信する不正装置とネットワーク上の任意の点とを含むネットワーク経路と前記経路の帯域を含むネットワーク経路情報を記憶するネットワーク経路情報記憶手段と、
前記攻撃規模予測手段により算出された前記攻撃規模による前記DDoS攻撃が発生した場合に、前記DDoS攻撃が前記ネットワーク経路を通過して前記ネットワーク上の任意の点に及ぼす被害規模を前記ネットワーク経路情報に基づき予測する被害規模予測手段と、
を有することを特徴とする請求項8記載のDDoS攻撃検知装置。 - 前記被害規模に大きさに応じて前記DDoS攻撃を回避する攻撃回避処理手順を格納する攻撃回避策情報記憶手段と、
前記被害規模予測手段によって算出された前記被害規模をキーとして前記回避策情報記憶手段から前記被害規模に対応する前記攻撃回避処理手順を検索し、検索された前記攻撃回避処理手順を実行する回避策実行手段と、
を有することを特徴とする請求項9記載のDDoS攻撃検知装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004157374A JP4371905B2 (ja) | 2004-05-27 | 2004-05-27 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US11/042,353 US7568232B2 (en) | 2004-05-27 | 2005-01-26 | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004157374A JP4371905B2 (ja) | 2004-05-27 | 2004-05-27 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005341217A JP2005341217A (ja) | 2005-12-08 |
JP4371905B2 true JP4371905B2 (ja) | 2009-11-25 |
Family
ID=35494271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004157374A Expired - Fee Related JP4371905B2 (ja) | 2004-05-27 | 2004-05-27 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7568232B2 (ja) |
JP (1) | JP4371905B2 (ja) |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100538718C (zh) * | 2004-12-14 | 2009-09-09 | 松下电器产业株式会社 | 管理服务器装置、内容再现装置及记录介质 |
US20070022479A1 (en) * | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
US20070011744A1 (en) * | 2005-07-11 | 2007-01-11 | Cox Communications | Methods and systems for providing security from malicious software |
US8965334B2 (en) | 2005-12-19 | 2015-02-24 | Alcatel Lucent | Methods and devices for defending a 3G wireless network against malicious attacks |
US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
US7849508B2 (en) * | 2006-04-27 | 2010-12-07 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
US8151353B2 (en) * | 2006-04-27 | 2012-04-03 | The Invention Science Fund I, Llc | Multi-network virus immunization with trust aspects |
US8863285B2 (en) * | 2006-04-27 | 2014-10-14 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
US7934260B2 (en) * | 2006-04-27 | 2011-04-26 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
US7917956B2 (en) * | 2006-04-27 | 2011-03-29 | The Invention Science Fund I, Llc | Multi-network virus immunization |
US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
US8191145B2 (en) * | 2006-04-27 | 2012-05-29 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
US7877806B2 (en) * | 2006-07-28 | 2011-01-25 | Symantec Corporation | Real time malicious software detection |
US8056115B2 (en) * | 2006-12-11 | 2011-11-08 | International Business Machines Corporation | System, method and program product for identifying network-attack profiles and blocking network intrusions |
WO2008084729A1 (ja) * | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
US8955105B2 (en) * | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
US20080244742A1 (en) * | 2007-04-02 | 2008-10-02 | Microsoft Corporation | Detecting adversaries by correlating detected malware with web access logs |
US8065365B2 (en) * | 2007-05-02 | 2011-11-22 | Oracle International Corporation | Grouping event notifications in a database system |
US8448186B2 (en) * | 2007-07-13 | 2013-05-21 | Oracle International Corporation | Parallel event processing in a database system |
KR100955282B1 (ko) * | 2007-10-12 | 2010-04-30 | 한국정보보호진흥원 | 정보 계층 구조를 이용한 네트워크 위험 분석 방법 |
US9143523B2 (en) * | 2007-12-31 | 2015-09-22 | Phillip King-Wilson | Assessing threat to at least one computer network |
JP4894788B2 (ja) * | 2008-03-05 | 2012-03-14 | 沖電気工業株式会社 | パケット通信装置、パケット通信方法及びプログラム |
US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
GB0909079D0 (en) | 2009-05-27 | 2009-07-01 | Quantar Llp | Assessing threat to at least one computer network |
KR101039717B1 (ko) | 2009-07-07 | 2011-06-09 | 한국전자통신연구원 | 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법 |
US20110072515A1 (en) * | 2009-09-22 | 2011-03-24 | Electronics And Telecommunications Research Institute | Method and apparatus for collaboratively protecting against distributed denial of service attack |
US8516100B1 (en) * | 2010-02-04 | 2013-08-20 | Symantec Corporation | Method and apparatus for detecting system message misrepresentation using a keyword analysis |
WO2011119137A1 (en) | 2010-03-22 | 2011-09-29 | Lrdc Systems, Llc | A method of identifying and protecting the integrity of a set of source data |
KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
US9762605B2 (en) | 2011-12-22 | 2017-09-12 | Phillip King-Wilson | Apparatus and method for assessing financial loss from cyber threats capable of affecting at least one computer network |
US9288224B2 (en) | 2010-09-01 | 2016-03-15 | Quantar Solutions Limited | Assessing threat to at least one computer network |
EP2437429A1 (en) * | 2010-10-01 | 2012-04-04 | Mancala Networks | Network policy controller |
US8949459B1 (en) | 2011-10-06 | 2015-02-03 | Amazon Technologies, Inc. | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers |
US8863293B2 (en) | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
JP5885631B2 (ja) * | 2012-09-21 | 2016-03-15 | 株式会社Kddi研究所 | 攻撃ホストの挙動解析装置、方法及びプログラム |
US9853994B2 (en) * | 2013-01-21 | 2017-12-26 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
US9413773B2 (en) * | 2013-03-14 | 2016-08-09 | Cybereason Inc. | Method and apparatus for classifying and combining computer attack information |
KR101401168B1 (ko) * | 2013-09-27 | 2014-05-29 | 플러스기술주식회사 | Ip 주소를 이용한 네트워크 보안 방법 및 장치 |
US9213831B2 (en) | 2013-10-03 | 2015-12-15 | Qualcomm Incorporated | Malware detection and prevention by monitoring and modifying a hardware pipeline |
US9519775B2 (en) * | 2013-10-03 | 2016-12-13 | Qualcomm Incorporated | Pre-identifying probable malicious behavior based on configuration pathways |
JP6053948B2 (ja) * | 2013-10-24 | 2016-12-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
US10305758B1 (en) * | 2014-10-09 | 2019-05-28 | Splunk Inc. | Service monitoring interface reflecting by-service mode |
US9984365B2 (en) * | 2014-12-02 | 2018-05-29 | Ca, Inc. | Device identification based on deep fingerprint inspection |
JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
WO2016195090A1 (ja) * | 2015-06-05 | 2016-12-08 | 日本電信電話株式会社 | 検知システム、検知装置、検知方法及び検知プログラム |
US10341355B1 (en) * | 2015-06-23 | 2019-07-02 | Amazon Technologies, Inc. | Confidential malicious behavior analysis for virtual computing resources |
US10079842B1 (en) * | 2016-03-30 | 2018-09-18 | Amazon Technologies, Inc. | Transparent volume based intrusion detection |
US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
US10320750B1 (en) | 2016-03-30 | 2019-06-11 | Amazon Technologies, Inc. | Source specific network scanning in a distributed environment |
US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
US10142290B1 (en) | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
US11968226B1 (en) * | 2017-03-16 | 2024-04-23 | Amazon Technologies, Inc. | Targeted traffic filtering |
KR102461707B1 (ko) * | 2017-12-07 | 2022-11-02 | 삼성전자주식회사 | 서버 및 이를 이용한 악성 코드 방어 방법 |
US12034757B2 (en) | 2019-03-28 | 2024-07-09 | Nec Corporation | Analysis system, method, and program |
WO2020195229A1 (ja) * | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
WO2020195228A1 (ja) * | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
US11652818B2 (en) | 2019-07-18 | 2023-05-16 | Advanced New Technologies Co., Ltd. | Method and apparatus for accessing service system |
CN113132361B (zh) * | 2021-03-31 | 2022-11-22 | 厦门美域中央信息科技有限公司 | 一种基于博弈奖惩机制的SDN网络抗DDos方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3643087B2 (ja) | 2002-03-28 | 2005-04-27 | 日本電信電話株式会社 | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
JP4020912B2 (ja) * | 2002-05-28 | 2007-12-12 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 |
JP2004013553A (ja) * | 2002-06-07 | 2004-01-15 | Oki Electric Ind Co Ltd | 被害判別装置、被害判別方法及び被害判別システム |
JP4052983B2 (ja) * | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
JP2004046742A (ja) * | 2002-07-15 | 2004-02-12 | Ntt Data Corp | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
JP4354201B2 (ja) | 2003-03-18 | 2009-10-28 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
JP4520703B2 (ja) | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP4480422B2 (ja) | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
-
2004
- 2004-05-27 JP JP2004157374A patent/JP4371905B2/ja not_active Expired - Fee Related
-
2005
- 2005-01-26 US US11/042,353 patent/US7568232B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005341217A (ja) | 2005-12-08 |
US7568232B2 (en) | 2009-07-28 |
US20050289649A1 (en) | 2005-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4371905B2 (ja) | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
EP2056559B1 (en) | Method and system for network simulation | |
JP4020912B2 (ja) | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
US10862854B2 (en) | Systems and methods for using DNS messages to selectively collect computer forensic data | |
US10798061B2 (en) | Automated learning of externally defined network assets by a network security device | |
US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
JP2008052637A (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
US20240089174A1 (en) | Systems and methods for controlling the deployment of network configuration changes based on weighted impact | |
WO2021192587A1 (ja) | 分析システム、方法およびプログラム | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
JP2006350561A (ja) | 攻撃検出装置 | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
WO2020195230A1 (ja) | 分析システム、方法およびプログラム | |
JP2006050442A (ja) | トラヒック監視方法及びシステム | |
WO2020195229A1 (ja) | 分析システム、方法およびプログラム | |
JP4361570B2 (ja) | パケット制御命令管理方法 | |
RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
JP2004229091A (ja) | パケット転送システム、パケット転送装置、プログラム及びパケット転送方法 | |
JP4505518B2 (ja) | 障害監視装置、方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070413 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090421 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090428 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090626 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090901 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090901 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4371905 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130911 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |