JP4987019B2 - Attack traffic detection method and attack traffic detection apparatus - Google Patents
Attack traffic detection method and attack traffic detection apparatus Download PDFInfo
- Publication number
- JP4987019B2 JP4987019B2 JP2009011475A JP2009011475A JP4987019B2 JP 4987019 B2 JP4987019 B2 JP 4987019B2 JP 2009011475 A JP2009011475 A JP 2009011475A JP 2009011475 A JP2009011475 A JP 2009011475A JP 4987019 B2 JP4987019 B2 JP 4987019B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- monitoring
- traffic
- monitoring interval
- intervals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃トラヒック検出方法および攻撃トラヒック検出装置に係り、特に、IPネットワーク上における攻撃検出技術に関する。 The present invention relates to an attack traffic detection method and an attack traffic detection apparatus, and more particularly to an attack detection technique on an IP network.
IPネットワーク上の攻撃や侵入などの異常トラヒック検出において、通常のトラヒック変動から外れた値を異常として統計的に検出する手法が知られている。
統計的異常検出としては、下記非特許文献1に開示されているように、パケット数やバイト数などのトラヒック量、あるいは、下記非特許文献2に開示されているように、トラヒックのバラツキを示すエントロピーなどのトラヒック特性などを一定間隔に測定した値の時系列を対象とした手法が提案されている。これらの手法は、時系列値が、動的もしくは静的な閾値を超過したときに、攻撃と検出するものである。
これらの手法は、通常トラヒックの変動は相対的に小さく、かつ、変動がランダムであることを仮定しているが、インターネットにおいては、通常トラヒックといえども変動が大きく、かつ、時間相関が大きいことが知られており、下記非特許文献3では、その様なトラヒックに対して統計的な異常検出を行うと、通常トラヒックにおいても確率的に発生する外れ値を攻撃と誤検出するケースが多発することが示されている。
このような課題に鑑み、非特許文献3では、単一の監視間隔による測定値を用いるのではなく、複数の監視間隔での測定値を用いてそのどれかで閾値を超過していれば異常と検出する手法を提案している。
In detecting abnormal traffic such as attacks and intrusions on an IP network, a technique for statistically detecting a value that deviates from normal traffic fluctuation as abnormal is known.
As statistical anomaly detection, the amount of traffic such as the number of packets and the number of bytes as disclosed in Non-Patent Document 1 below, or the variation in traffic as disclosed in Non-Patent
Although these methods assume that fluctuations in normal traffic are relatively small and fluctuations are random, on the Internet, fluctuations are large even for normal traffic, and time correlation is large. In the following
In view of such problems, Non-Patent
攻撃検出においては、誤検出を最小化した上で、攻撃発生時に迅速に警告が発生できるとともに長期間にわたる攻撃も見逃さないことが要求される。しかし発生しうる攻撃パターンも長期間低レートに渡るものやパルス型など多用であり、単一の監視間隔でこの条件を満たすことは容易ではない。
また、攻撃手法によっては、攻撃パケット送信レートや攻撃時間によらず、トータルの送信攻撃パケット数によって攻撃成功確率が決まるものもあり、このような場合には、高レートトラヒックを短時間送信する攻撃と、低レートトラヒックを長時間送信する攻撃双方に対して検出が可能である必要がある。
しかし、長時間間隔で監視した場合は、短時間攻撃の検出までに時間がかかるという問題点があり、一方、短時間間隔で監視した場合、長時間低レート攻撃の見逃し、あるいは誤検出が発生する。
後者は閾値を高く設定した場合に長時間低レート攻撃を見逃してしまうという問題である。しかし長時間低レート攻撃に対して、短時間間隔の監視のみでは当該監視間隔で観測した攻撃がその後持続するかどうかの情報がないため、このような攻撃を見逃さないためには、観測した攻撃レートがその後長時間続くと仮定し、その場合に攻撃が成功しうるようなレート未満に閾値を設定する必要がある。
しかし、通常トラヒックも変動により散発的に閾値を超過する可能性があり、このような場合は誤検出となる。
In attack detection, it is required that false detection is minimized, a warning can be promptly generated when an attack occurs, and an attack over a long period of time is not overlooked. However, the attack patterns that can occur are frequently used at low rates for a long period of time, such as pulse types, and it is not easy to satisfy this condition at a single monitoring interval.
Also, depending on the attack method, the attack success probability is determined by the total number of attack packets sent regardless of the attack packet transmission rate and attack time. In such cases, an attack that transmits high-rate traffic for a short time. And it is necessary to be able to detect both attacks that transmit low rate traffic for a long time.
However, when monitoring at long intervals, there is a problem that it takes time to detect short-term attacks. On the other hand, when monitoring at short intervals, low-rate attacks are missed for a long time or false detection occurs. To do.
The latter is a problem that a low rate attack is missed for a long time when the threshold is set high. However, for long-term low-rate attacks, there is no information on whether or not the attack observed at that monitoring interval will continue thereafter only by monitoring at a short interval. Assuming that the rate continues for a long time after that, the threshold needs to be set below the rate at which the attack can succeed.
However, normal traffic may also exceed the threshold sporadically due to fluctuations. In such a case, false detection occurs.
従って、複数の監視間隔で同時に攻撃監視することが有効であるが、前述の非特許文献3で提案されている手法では、攻撃パケット数による攻撃確率を勘案せず、通常トラヒック分布からの乖離のみで異常を検出しているため、効果的な閾値設定ができず、攻撃トラヒックが通常トラヒック分布から乖離しないような低レートであった場合に見逃しが発生する可能性がある。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、複数の監視間隔で攻撃を監視し、その攻撃成否確率によって監視間隔別の閾値を設定することにより、攻撃トラヒックの誤検出、見逃しを減少させることが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
Therefore, it is effective to simultaneously monitor attacks at a plurality of monitoring intervals. However, in the method proposed in Non-Patent
The present invention has been made to solve the problems of the prior art, and an object of the present invention is to monitor an attack at a plurality of monitoring intervals and set a threshold value for each monitoring interval based on the probability of success or failure of the attack. Accordingly, it is an object of the present invention to provide a technique capable of reducing false detection and oversight of attack traffic.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)監視対象ネットワークのトラヒック量を監視間隔毎にカウントし、監視間隔内のトラヒック量が閾値を超過した際に攻撃発生として検出する攻撃トラヒック検出方法であって、監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられ、また、a i ,が予め定められた安全係数、e i が予め定められた確率であるときに、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算し、複数の監視間隔のいずれかの監視間隔において、前記計算した攻撃成功確率が、F(Ri,Ti+1×ai)<eiを満たさないときに攻撃トラヒックとして検出する。
(2)監視対象ネットワークのトラヒック量を監視間隔毎にカウントし、監視間隔内のトラヒック量が閾値を超過した際に攻撃発生として検出する攻撃トラヒック検出方法であって、監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられるときに、監視間隔Tiに対する閾値riとして、予め定められた安全係数a i と予め定められた確率e i に対して、F(ri,Ti+1×ai)<eiを満たすriを設定しておくとともに、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、複数の監視間隔のいずれかの監視間隔において、監視間隔内のレート数Riが閾値riを超過したときに攻撃トラヒックとして検出する。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) An attack traffic detection method that counts the traffic volume of a monitoring target network at every monitoring interval and detects an occurrence of an attack when the traffic volume within the monitoring interval exceeds a threshold, and holds a plurality of monitoring intervals; The monitoring interval is set to T 1 , T 2 ,..., T n in the short order, and the attack success probability is given by F (R, T) with respect to the attack packet rate number R and the attack duration T. , a i, but predetermined safety factor, when e i is the probability that a predetermined, for each monitoring interval Ti, the division to rate the number of R i the number of acquired packets monitoring interval T i The attack success probability F (R i , T i + 1 × a i ) based on the rate number R i is calculated, and the calculated attack success probability is F ( R i, T i + 1 × a i) < It is detected as an attack traffic at the time that do not meet the i.
(2) An attack traffic detection method that counts the traffic volume of the monitored network at every monitoring interval and detects as an attack occurrence when the traffic volume within the monitoring interval exceeds a threshold, and holds a plurality of monitoring intervals; When the monitoring interval is set to T 1 , T 2 ,..., T n in the short order, the attack success probability is given by F (R, T) with respect to the attack packet rate number R and the attack duration T. , as the threshold r i for the monitoring interval T i, for a predetermined probability e i and the safety factor a i to a predetermined, F a (r i, T i + 1 × a i) < meet e i r i together is set, calculates the rate number R i by dividing the number of acquired packets at the monitoring interval T i, in any of the monitoring interval of the plurality of monitoring interval, rate number R i in the monitoring interval threshold r Attack when i is exceeded Detect as traffic.
(3)監視対象ネットワークのトラヒック量を監視間隔毎にカウントし、監視間隔内のトラヒック量が閾値を超過した際に攻撃発生として検出する攻撃トラヒック検出装置であって、複数の監視間隔毎に監視対象のトラヒックを取得するトラヒック取得部と、監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられ、また、a i ,が予め定められた安全係数、e i が予め定められた確率であるときに、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算する攻撃成功確率計算部と、複数の監視間隔のいずれかの監視間隔において、前記計算した攻撃成功確率が、F(Ri,Ti+1×ai)<eiを満たさないときに攻撃トラヒックとして検出する攻撃検出部とを有する。
(4)監視対象ネットワークのトラヒック量を監視間隔毎にカウントし、監視間隔内のトラヒック量が閾値を超過した際に攻撃発生として検出する攻撃トラヒック検出装置であって、複数の監視間隔毎に監視対象のトラヒックを取得するトラヒック取得部と、前記複数の監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられるときに、監視間隔Tiに対する閾値riとして、予め定められた安全係数a i と予め定められた確率e i に対して、F(ri,Ti+1×ai)<eiを満たすriを設定しておくとともに、前記各監視間隔毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算する攻撃成功確率計算部と、複数の監視間隔のいずれかの監視間隔において、監視間隔内のレート数Riが閾値riを超過したときに攻撃トラヒックとして検出する攻撃検出部とを有する。
(3) An attack traffic detection device that counts the traffic volume of the monitoring target network at every monitoring interval and detects as an attack occurrence when the traffic volume within the monitoring interval exceeds a threshold, and monitors at every monitoring interval A traffic acquisition unit for acquiring the target traffic, and a plurality of monitoring intervals are held, and the monitoring intervals are set to T 1 , T 2 ,..., T n in ascending order, and the attack packet rate number R and attack duration T are set. On the other hand, when the attack success probability is given by F (R, T), a i , is a predetermined safety factor, and e i is a predetermined probability , for each monitoring interval Ti, The attack success probability calculation unit that calculates the rate number R i by dividing the acquired number of packets by the monitoring interval T i and calculates the attack success probability F (R i , T i + 1 × a i ) based on the rate number R i. And multiple monitoring intervals The attack detection unit detects the attack traffic when the calculated attack success probability does not satisfy F (R i , T i + 1 × a i ) <e i .
(4) An attack traffic detection device that counts the traffic volume of the monitored network at every monitoring interval and detects as an attack occurrence when the traffic volume within the monitoring interval exceeds a threshold, and monitors at every monitoring interval Successful attack with respect to a traffic acquisition unit for acquiring the target traffic and the plurality of monitoring intervals in the shortest order T 1 , T 2 ,..., T n with respect to the attack packet rate number R and the attack duration T When the probability is given by F (R, T), as a threshold r i for the monitoring interval T i , F (r i , T) for a predetermined safety factor a i and a predetermined probability e i i + 1 × a i) with setting the r i that satisfies <e i, wherein each monitoring interval, acquired packet number division to rate the number of attack success probability calculation for calculating the R i in the monitoring interval T i Part and multiple In any of the monitoring interval of the monitoring interval, and an attack detection section for detecting as an attack traffic when the rate number R i in the monitoring interval exceeds the threshold value r i.
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、複数の監視間隔で攻撃を監視し、その攻撃成否確率によって監視間隔別の閾値を設定することにより、攻撃トラヒックの誤検出、見逃しを減少させることが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, it is possible to monitor attacks at a plurality of monitoring intervals and to set a threshold value for each monitoring interval according to the probability of success or failure of the attack, thereby reducing false detection and oversight of attack traffic.
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例の攻撃トラヒック検出装置の概略構成を示すブロック図である。本実施例の攻撃トラヒック検出装置は、トラヒック取得部10と、攻撃成功確率計算部11と、攻撃検出部12とで構成される。
トラヒック取得部10では、監視対象のトラヒックを取得する。ここで、攻撃とは無関係なトラヒックをフィルタリングしてもよい。
本実施例では、監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとするとき、攻撃成功確率計算部11では、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算する。但し、1≦i≦n−1である。
ここで、攻撃持続時間は、当該監視間隔Tiでなく、Ti+1を用いる。これはある監視間隔Tiでは、それより長い監視間隔Ti+1以前に成功するようなレート数の攻撃を検出できればよく、十分小さい確率eiに対して、F(Ri,Ti+1×ai)<eiとなるレート数の攻撃を検出すればよいためである。なおaiは安全係数である。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
FIG. 1 is a block diagram showing a schematic configuration of an attack traffic detection apparatus according to an embodiment of the present invention. The attack traffic detection apparatus according to the present embodiment includes a
The
In this embodiment, when a plurality of monitoring intervals are held, and the monitoring intervals are set to T 1 , T 2 ,..., T n in order of shortness, the attack success probability calculation unit 11 performs every monitoring interval T i . Then, the rate number R i is calculated by dividing the acquired number of packets by the monitoring interval T i , and the attack success probability F (R i , T i + 1 × a i ) based on the rate number R i is calculated. However, 1 ≦ i ≦ n−1.
Here, as the attack duration, T i + 1 is used instead of the monitoring interval T i . This is because it is only necessary to detect an attack with a rate that is successful before a longer monitoring interval T i + 1 at a certain monitoring interval T i. For a sufficiently small probability e i , F (R i , T i + 1 × a i This is because it is only necessary to detect attacks with the number of rates satisfying <e i . A i is a safety factor.
攻撃パケットレート数Rと攻撃持続時間Tで攻撃成功確率が求まる代表的な攻撃として、DNSキャッシュポイズニング攻撃が挙げられる。
この攻撃の成功確率F(R,T)は、前述の非特許文献4で述べられており、下記(1)式で与えられる。
なお、(1)式において、Wはキャッシュサーバと権威サーバの往復時間、Pはキャッシュサーバが用いるポート番号数、IはトランザクションIDの空間サイズ、Oは従来型攻撃ではキャッシュのタイムアウト時間、Kaminsky型攻撃ではWとなる。
As a typical attack in which the attack success probability is obtained by the attack packet rate number R and the attack duration time T, there is a DNS cache poisoning attack.
The success probability F (R, T) of this attack is described in the aforementioned Non-Patent Document 4, and is given by the following equation (1).
In Equation (1), W is the round trip time between the cache server and the authoritative server, P is the number of port numbers used by the cache server, I is the space size of the transaction ID, O is the cache timeout time in the conventional attack, and Kaminsky type W for attack.
図2に、キャッシュ汚染攻撃において、複数の攻撃レートに対する攻撃成功確率の計算例の一例を示す。この図2において、Aが攻撃レートが100pps、Bが攻撃レートが10000ppsである。
図2から分かるように、長時間間隔以前に攻撃成立するような高レート攻撃は、短時間間隔(例えば、数秒以下)の監視で検出でき、低レート長期間攻撃は、長時間間隔(例えば、数分)の監視で検出することができる。
攻撃検出部12では、複数の監視間隔のいずれか1つで、レート数Riが、前述の(1)式を満たすかどうかをチェックし、前述の(1)式を満たさない場合は攻撃と判定する。
なお、本実施例において、攻撃成功確率計算部11において、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算する代わりに、攻撃成功確率計算部11において、予め、十分小さい確率eiに対して、F(ri,Ti+1×ai)<eiを満足する閾値riを計算しておくとともに、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、攻撃検出部12において、複数の監視間隔Tiのいずれか1つで、レート数Riが、前述の(1)式を満たす閾値ri以上となっていないかどうかをチェックし、そうであれば攻撃と判定するようにしてもよい。
FIG. 2 shows an example of calculation examples of attack success probabilities for a plurality of attack rates in a cache pollution attack. In FIG. 2, A has an attack rate of 100 pps and B has an attack rate of 10,000 pps.
As can be seen from FIG. 2, a high rate attack that is established before a long time interval can be detected by monitoring at a short time interval (for example, several seconds or less), and a low rate long time attack is detected at a long time interval (for example, It can be detected by monitoring several minutes).
The
In the present embodiment, the attack success probability calculation unit 11, for each monitoring interval T i, and calculate a rate number R i by dividing the number of acquired packets at the monitoring interval T i, to the rate number R i Instead of calculating the attack success probability F (R i , T i + 1 × a i ) based on the attack success probability calculation unit 11, F (r i , T i + 1 × a i) with respect to a sufficiently small probability e i in advance. ) <together keep calculating the threshold r i which satisfies e i, for each monitoring interval T i, and calculate a rate number R i by dividing the number of acquired packets at the monitoring interval T i,
以上説明したように、本実施例では、複数の監視時間(T1,T2,...,Tn)において、それぞれ攻撃と見なすレート数(あるいは、閾値ri)を変え、それぞれ並列に攻撃を検出する。
例えば、短時間間隔(例えば、1分)の監視においては、長時間間隔以前に攻撃成立するような高レート攻撃(例えば、監視間隔が1分間隔で、攻撃成功確率が1時間以内に5%を超えるような攻撃)のみを検出の対象となし、長時間間隔(例えば、1時間)の監視においては、そのような高レート攻撃用閾値では見逃すような低レート長期間攻撃(例えば、監視間隔が1時間間隔で、攻撃成功確率が1日以内に5%を超えるような攻撃)を対象とする。これにより、攻撃トラヒックの誤検出、見逃しを減少させることが可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本
発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
As described above, in the present embodiment, the number of rates (or the threshold r i ) considered as an attack is changed in each of a plurality of monitoring times (T 1 , T 2 ,..., T n ), Detect attacks.
For example, in monitoring at a short time interval (for example, 1 minute), a high-rate attack (for example, the monitoring interval is 1 minute and the attack success probability is 5% within 1 hour) before the long time interval is established. In the case of monitoring over a long time interval (for example, 1 hour), a low rate long-term attack (for example, a monitoring interval) that is overlooked by such a high-rate attack threshold is not detected. Is an attack with an attack success probability exceeding 5% within one day). As a result, it is possible to reduce false detection and oversight of attack traffic.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.
10 トラヒック取得部
11 攻撃成功確率計算部
12 攻撃検出部
10 Traffic acquisition unit 11 Attack success
Claims (4)
監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられ、また、a i ,が予め定められた安全係数、e i が予め定められた確率であるときに、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算し、
複数の監視間隔のいずれかの監視間隔において、前記計算した攻撃成功確率が、F(Ri,Ti+1×ai)<eiを満たさないときに攻撃トラヒックとして検出することを特徴とする攻撃トラヒック検出方法。 An attack traffic detection method that counts the traffic volume of a monitored network at every monitoring interval and detects an attack when the traffic volume within the monitoring interval exceeds a threshold,
A plurality of monitoring intervals are held, and the monitoring intervals are set to T 1 , T 2 ,..., T n in ascending order, and the attack success probability is F (R, T), and when a i is a predetermined safety factor and e i is a predetermined probability , the number of acquired packets is divided by the monitoring interval T i for each monitoring interval Ti. Then, the rate number R i is calculated, and the attack success probability F (R i , T i + 1 × a i ) based on the rate number R i is calculated,
An attack characterized in that it is detected as attack traffic when the calculated attack success probability does not satisfy F (R i , T i + 1 × a i ) <e i at any one of a plurality of monitoring intervals. Traffic detection method.
監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられるときに、監視間隔Tiに対する閾値riとして、予め定められた安全係数a i と予め定められた確率e i に対して、F(ri,Ti+1×ai)<eiを満たすriを設定しておくとともに、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、
複数の監視間隔のいずれかの監視間隔において、監視間隔内のレート数Riが閾値riを超過したときに攻撃トラヒックとして検出することを特徴とする攻撃トラヒック検出方法。 An attack traffic detection method that counts the traffic volume of a monitored network at every monitoring interval and detects an attack when the traffic volume within the monitoring interval exceeds a threshold,
A plurality of monitoring intervals are held, and the monitoring intervals are set to T 1 , T 2 ,..., T n in ascending order, and the attack success probability is F (R, when given by T), as the threshold r i for the monitoring interval T i, with respect to the probability e i a predetermined safe coefficient a i a predetermined, F (r i, T i + 1 × a i) < with setting the r i that satisfies e i, to calculate the rate number R i by dividing the number of acquired packets at the monitoring interval T i,
An attack traffic detection method comprising: detecting an attack traffic when a rate number R i within a monitoring interval exceeds a threshold r i in any one of a plurality of monitoring intervals.
複数の監視間隔毎に監視対象のトラヒックを取得するトラヒック取得部と、
監視間隔を複数保持し、当該監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられ、また、a i ,が予め定められた安全係数、e i が予め定められた確率であるときに、各監視間隔Ti毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算し、当該レート数Riに基づく攻撃成功確率F(Ri,Ti+1×ai)を計算する攻撃成功確率計算部と、
複数の監視間隔のいずれかの監視間隔において、前記計算した攻撃成功確率が、F(Ri,Ti+1×ai)<eiを満たさないときに攻撃トラヒックとして検出する攻撃検出部とを有することを特徴とする攻撃トラヒック検出装置。 An attack traffic detection device that counts the traffic volume of a monitored network at every monitoring interval and detects an attack occurrence when the traffic volume within the monitoring interval exceeds a threshold,
A traffic acquisition unit that acquires traffic to be monitored at a plurality of monitoring intervals;
A plurality of monitoring intervals are held, and the monitoring intervals are set to T 1 , T 2 ,..., T n in ascending order, and the attack success probability is F (R, T), and when a i is a predetermined safety factor and e i is a predetermined probability , the number of acquired packets is divided by the monitoring interval T i for each monitoring interval Ti. An attack success probability calculation unit that calculates a rate number R i and calculates an attack success probability F (R i , T i + 1 × a i ) based on the rate number R i ;
An attack detection unit for detecting as attack traffic when the calculated attack success probability does not satisfy F (R i , T i + 1 × a i ) <e i at any one of a plurality of monitoring intervals. An attack traffic detection apparatus characterized by the above.
複数の監視間隔毎に監視対象のトラヒックを取得するトラヒック取得部と、
前記複数の監視間隔を短い順に、T1,T2,...,Tnとし、攻撃パケットレート数Rと攻撃持続時間Tに対して、攻撃成功確率がF(R,T)で与えられるときに、監視間隔Tiに対する閾値riとして、予め定められた安全係数a i と予め定められた確率e i に対して、F(ri,Ti+1×ai)<eiを満たすriを設定しておくとともに、前記各監視間隔毎に、取得したパケット数を監視間隔Tiで除算してレート数Riを計算する攻撃成功確率計算部と、
複数の監視間隔のいずれかの監視間隔において、監視間隔内のレート数Riが閾値riを超過したときに攻撃トラヒックとして検出する攻撃検出部とを有することを特徴とする攻撃トラヒック検出装置。 An attack traffic detection device that counts the traffic volume of a monitored network at every monitoring interval and detects an attack occurrence when the traffic volume within the monitoring interval exceeds a threshold,
A traffic acquisition unit that acquires traffic to be monitored at a plurality of monitoring intervals;
The plurality of monitoring intervals are set to T 1 , T 2 ,..., T n in ascending order, and the attack success probability is given by F (R, T) with respect to the attack packet rate number R and the attack duration T. when, as the threshold r i for the monitoring interval T i, satisfying the relative probability e i a predetermined safe coefficient a i a predetermined, F (r i, T i + 1 × a i) <e i r with setting the i, and the each monitoring interval, acquired attack success probability calculation unit that the number of packets is divided by monitoring interval T i to calculate the rate number R i,
An attack traffic detection apparatus comprising: an attack detection unit configured to detect as attack traffic when the number of rates R i in the monitoring interval exceeds a threshold r i at any one of a plurality of monitoring intervals.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009011475A JP4987019B2 (en) | 2009-01-22 | 2009-01-22 | Attack traffic detection method and attack traffic detection apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009011475A JP4987019B2 (en) | 2009-01-22 | 2009-01-22 | Attack traffic detection method and attack traffic detection apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010171669A JP2010171669A (en) | 2010-08-05 |
| JP4987019B2 true JP4987019B2 (en) | 2012-07-25 |
Family
ID=42703369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009011475A Expired - Fee Related JP4987019B2 (en) | 2009-01-22 | 2009-01-22 | Attack traffic detection method and attack traffic detection apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4987019B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6030456B2 (en) * | 2013-01-18 | 2016-11-24 | Kddi株式会社 | Communication device |
| KR101698274B1 (en) | 2015-09-03 | 2017-02-01 | 엘에스산전 주식회사 | Apparatus and method for data synchronizing of energy management system |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4170301B2 (en) * | 2005-02-23 | 2008-10-22 | 日本電信電話株式会社 | DoS attack detection method, DoS attack detection system, and DoS attack detection program |
| JP2007074219A (en) * | 2005-09-06 | 2007-03-22 | Tohoku Univ | Unauthorized access tracking method and unauthorized access tracking system |
-
2009
- 2009-01-22 JP JP2009011475A patent/JP4987019B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010171669A (en) | 2010-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11089041B2 (en) | Method and system for confident anomaly detection in computer network traffic | |
| KR101077135B1 (en) | Apparatus for detecting and filtering application layer DDoS Attack of web service | |
| US8874763B2 (en) | Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates | |
| US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| CN101355463B (en) | Method, system and equipment for judging network attack | |
| US20050197792A1 (en) | Sliding window for alert generation | |
| KR101187023B1 (en) | A network abnormal traffic analysis system | |
| CN118337512B (en) | A network information intrusion detection and early warning system and method based on deep learning | |
| KR20110048112A (en) | JR type based DDoS attack detection and response device | |
| KR20130030086A (en) | Method and apparatus for defending distributed denial of service attack through abnomal terminated session | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN113518057A (en) | Detection method and device for distributed denial of service attack and computer equipment thereof | |
| CN102447707A (en) | A DDoS Detection and Response Method Based on Mapping Request | |
| CN101150586A (en) | CC attack prevention method and device | |
| CN112738238A (en) | Method, device and system for health check in load balancing | |
| US7996544B2 (en) | Technique of detecting denial of service attacks | |
| US11522876B2 (en) | Method and device for detecting an attack on a serial communications system | |
| JP4987019B2 (en) | Attack traffic detection method and attack traffic detection apparatus | |
| CN113612647B (en) | Alarm processing method and device | |
| CN101056199B (en) | An uplink burst performance monitoring method of point-to-multipoint access network, head device and access network system | |
| JP4559500B2 (en) | Abnormal traffic detection method and apparatus | |
| JP6792532B2 (en) | Anomaly detection device and abnormality detection method | |
| JP2011130238A (en) | Abnormal traffic monitoring method, and abnormal traffic monitoring device | |
| CN114285633B (en) | Computer network security monitoring method and system | |
| JP7211084B2 (en) | Information processing device, information processing method and information processing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120214 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120404 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120424 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120424 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |