JP6629174B2 - 通信監視装置、通信監視方法及び通信監視プログラム - Google Patents
通信監視装置、通信監視方法及び通信監視プログラム Download PDFInfo
- Publication number
- JP6629174B2 JP6629174B2 JP2016235842A JP2016235842A JP6629174B2 JP 6629174 B2 JP6629174 B2 JP 6629174B2 JP 2016235842 A JP2016235842 A JP 2016235842A JP 2016235842 A JP2016235842 A JP 2016235842A JP 6629174 B2 JP6629174 B2 JP 6629174B2
- Authority
- JP
- Japan
- Prior art keywords
- router
- communication
- candidate
- network
- victim host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、大量通信による攻撃を検知する通信監視装置、通信監視方法及び通信監視プログラムに関する。
従来、複数の端末から大量の通信パケットを送信してサービスを妨害するDDoS(Distributed Denial of Service)攻撃が課題となっている。このような攻撃を検知し対処するためには、ネットワーク上のルータ等に監視装置を設置し、通信量が著しく大きい場合に攻撃と判定して、問題の原因となっている通信を廃棄するという方法が取られる。
このような監視装置は、IPパケットのヘッダ情報であるNetFlow又はsFlowと呼ばれるフロー情報を監視して、攻撃を判定している(例えば、非特許文献1及び2参照)。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
Arbor Networks社、Arbor SP、インターネット<https://www.arbornetworks.com/images/documents/Data%20Sheets/DS_SP_EN.pdf>
GenieNetworks社、GenieATM、インターネット<http://www.genie-networks.com/images/Download_Files/GenieATM_ServiceWhitepaper_v5.6_ENG.pdf>
ネットワーク運用の観点では、大量通信が不正に実施されたか否かという観点での検知精度が求められず、運用に影響を及ぼす又は障害につながる可能性が高いか否かという観点での検知精度が求められる。しかしながら、従来の攻撃検知方法では、不正に発生させた通信か否かという観点に基づいて攻撃検知を行っているため、ネットワーク運用の観点から検知する必要がない攻撃を検知してしまったり、検知すべき攻撃を見逃してしまったりする場合があり、実被害又は実影響に基づいた高い検知精度を得られなかった。
本発明は、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供することを目的とする。
本発明に係る通信監視装置は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定部と、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定部と、を備える。
前記通信監視装置は、監視対象のネットワークから通信経路を抽出し、ルータのトポロジを導出する構成推定部を備え、前記状態推定部は、前記トポロジに基づいて、前記対象ルータを選定し、前記判定部は、前記トポロジに基づいて、前記障害ルータが前記被害ホスト候補の上位のルータであることを判定してもよい。
前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定してもよい。
本発明に係る通信監視方法は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータが実行する。
本発明に係る通信監視プログラムは、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータに実行させる。
本発明によれば、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
通信監視装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。
制御部10は、通信監視装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を通信監視装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信監視プログラムを記憶する。
制御部10は、検知部11と、構成推定部12と、状態推定部13と、判定部14とを備える。また、記憶部20は、ネットワーク構成データベース(DB)21と、ネットワーク状態データベース(DB)22とを備える。
検知部11は、通信パケット、又は通信パケットのフロー情報に基づいて宛先IPアドレス毎の通信量を測定し、測定した宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補を検知し、判定部14へ通知する。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、判定部14に参照させてもよい。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、判定部14に参照させてもよい。
構成推定部12は、保護すべき監視対象のネットワークのIPアドレス群に対して、traceroute等のネットワーク診断を実施し、ルータのパス(通信経路)を抽出することにより、このネットワーク全体のルータのトポロジを導出する。
このトポロジは、ネットワーク内の複数のルータの接続関係と、それぞれのルータに対する配下のIPアドレス群とを含む情報である。トポロジは、ネットワーク構成データベース21に格納され、状態推定部13及び判定部14により利用される。
このトポロジは、ネットワーク内の複数のルータの接続関係と、それぞれのルータに対する配下のIPアドレス群とを含む情報である。トポロジは、ネットワーク構成データベース21に格納され、状態推定部13及び判定部14により利用される。
状態推定部13は、推定されたトポロジに基づいて、監視対象のネットワークから選定された主要な対象ルータに対して、定期的にICMP(Internet Control Message Protocol)のエコー要求を行い、通常の応答を得られない障害ルータを特定する。エコー要求による検診結果は、ネットワーク状態データベース22に格納され、例えば、応答までの時間が長くなった、又は応答頻度が低下したルータは、障害が発生していると推定される。特定された障害ルータは、判定部14に直接、又はネットワーク状態データベース22を介して通知される。
判定部14は、推定されたトポロジに基づいて、障害ルータの下位のIPアドレスを参照し、これら下位のIPアドレスに被害ホスト候補のIPアドレスが含まれるか否かを判定する。あるいは、判定部14は、推定されたトポロジに基づいて、被害ホスト候補の上位のルータを参照し、これら上位のルータに障害ルータが含まれるか否かを判定する。障害ルータが被害ホスト候補の上位のルータである場合、判定部14は、被害ホスト候補に対する通信パケットを障害の原因と判定し、フロー情報を出力する。
図2は、本実施形態に係る被害ホスト候補と障害ルータとの関係を示す図である。
計測された通信量に基づいて大量通信の被害ホスト候補として検知されたホストHには、推定されたトポロジから、上位にルータA、B、Cが通信経路として存在することが確認される。
このとき、通信経路上のルータ、例えばルータBが障害ルータとして特定されている場合、同時期に検知された大量通信がこの障害の原因である可能性が高いと判定される。
計測された通信量に基づいて大量通信の被害ホスト候補として検知されたホストHには、推定されたトポロジから、上位にルータA、B、Cが通信経路として存在することが確認される。
このとき、通信経路上のルータ、例えばルータBが障害ルータとして特定されている場合、同時期に検知された大量通信がこの障害の原因である可能性が高いと判定される。
図3は、本実施形態に係る通信監視装置1によるネットワーク構成推定処理を示すフローチャートである。
本処理は、定期的に、又はネットワーク設備の変更があったとき等の所定のタイミングで実行される。
本処理は、定期的に、又はネットワーク設備の変更があったとき等の所定のタイミングで実行される。
ステップS1において、制御部10(構成推定部12)は、監視対象のネットワーク内のIPアドレス群に対して、traceroute等のネットワーク診断を実施し、ルータのパスを取得する。
ステップS2において、制御部10(構成推定部12)は、ステップS1で取得したルータのパスから、ネットワーク全体のトポロジを導出する。
ステップS3において、制御部10(構成推定部12)は、ステップS2で導出したトポロジを、ネットワーク構成データベース21に格納する。
ステップS3において、制御部10(構成推定部12)は、ステップS2で導出したトポロジを、ネットワーク構成データベース21に格納する。
図4は、本実施形態に係る通信監視装置1によるネットワーク状態推定処理を示すフローチャートである。
本処理は、定期的に繰り返し実行される。
本処理は、定期的に繰り返し実行される。
ステップS11において、制御部10(状態推定部13)は、ネットワーク構成データベース21から監視対象のネットワークのトポロジを読み込む。
ステップS12において、制御部10(状態推定部13)は、ステップS11で読み込んだトポロジから、所定の規則に従って主要なルータを選択する。例えば、上位階層のルータ、又は配下のIPアドレスの数が多いルータが優先的に選択されてもよい。
ステップS13において、制御部10(状態推定部13)は、ステップS12で選択したルータに対して、ICMPのエコー要求を行う。
ステップS14において、制御部10(状態推定部13)は、ステップS13の検診結果としてエコー応答の状況(応答の有無、応答までの時間等)を、ネットワーク状態データベース22に格納する。
ステップS15において、制御部10(状態推定部13)は、選択すべきルータが他にあるか否かを判定する。この判定がYESの場合、処理はステップS12に移り、判定がNOの場合、処理は終了する。
図5は、本実施形態に係る通信監視装置1による通信監視処理を示すフローチャートである。
本処理は、通信の監視を実施している間、繰り返し実行される。
なお、本処理に先立って、構成推定部12により監視対象のネットワークのトポロジが導出され、ネットワーク構成データベース21に格納されているものとする。
本処理は、通信の監視を実施している間、繰り返し実行される。
なお、本処理に先立って、構成推定部12により監視対象のネットワークのトポロジが導出され、ネットワーク構成データベース21に格納されているものとする。
ステップS21において、制御部10(判定部14)は、検知部11により測定された宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補が検知されたか否かを判定する。この判定がYESの場合、処理はステップS22に移り、判定がNOの場合、処理は終了する。
ステップS22において、制御部10(判定部14)は、ネットワーク状態データベース22を参照し、又は状態推定部13からの通知に基づいて、状態推定部13により障害ルータが検知されているか否かを判定する。この判定がYESの場合、処理はステップS23に移り、判定がNOの場合、処理は終了する。
ステップS23において、制御部10(判定部14)は、ネットワーク構成データベース21から監視対象のネットワークのトポロジを読み込む。
ステップS24において、制御部10(判定部14)は、ステップS23で読み込んだトポロジを参照し、被害ホスト候補の上位に障害ルータがあるか否かを判定する。この判定がYESの場合、処理はステップS25に移り、判定がNOの場合、処理は終了する。
ステップS25において、制御部10(判定部14)は、被害ホスト候補を宛先とする通信パケットを障害の原因と判定し、この通信パケットの情報、例えばフロー情報を出力する。
本実施形態によれば、通信監視装置1は、エコー要求に対する応答の状況からネットワーク内の障害ルータを特定し、この障害ルータの配下に大量通信による被害ホスト候補が存在する場合、この被害ホスト候補を宛先とする通信パケットを障害の原因と判定する。
したがって、通信監視装置1は、ルータに障害が発生した同時期に、このルータの配下を宛先とする大量通信が発生していることを検知でき、実際の宛先とは異なるネットワーク設備(ルータ)に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
したがって、通信監視装置1は、ルータに障害が発生した同時期に、このルータの配下を宛先とする大量通信が発生していることを検知でき、実際の宛先とは異なるネットワーク設備(ルータ)に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
通信監視装置1は、ネットワーク診断によりルータのトポロジを導出するので、監視対象のネットワークの構成が不明な場合であっても、トポロジを推定し、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる。
通信監視装置1は、通信パケットをサンプリングしたフロー情報を用いることにより、大規模なネットワークにおいて大量に観測される通信パケットを効率的に処理し、処理負荷を低減できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
通信監視装置1による通信監視方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 通信監視装置
10 制御部
11 検知部
12 構成推定部
13 状態推定部
14 判定部
20 記憶部
21 ネットワーク構成データベース
22 ネットワーク状態データベース
10 制御部
11 検知部
12 構成推定部
13 状態推定部
14 判定部
20 記憶部
21 ネットワーク構成データベース
22 ネットワーク状態データベース
Claims (5)
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定部と、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定部と、を備える通信監視装置。 - 監視対象のネットワークから通信経路を抽出し、ルータのトポロジを導出する構成推定部を備え、
前記状態推定部は、前記トポロジに基づいて、前記対象ルータを選定し、
前記判定部は、前記トポロジに基づいて、前記障害ルータが前記被害ホスト候補の上位のルータであることを判定する請求項1に記載の通信監視装置。 - 前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定する請求項1又は請求項2に記載の通信監視装置。
- 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータが実行する通信監視方法。 - 通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータに実行させるための通信監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016235842A JP6629174B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016235842A JP6629174B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018093383A JP2018093383A (ja) | 2018-06-14 |
| JP6629174B2 true JP6629174B2 (ja) | 2020-01-15 |
Family
ID=62565759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016235842A Active JP6629174B2 (ja) | 2016-12-05 | 2016-12-05 | 通信監視装置、通信監視方法及び通信監視プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6629174B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102778B (zh) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006046345A1 (ja) * | 2004-10-28 | 2006-05-04 | Nippon Telegraph And Telephone Corporation | サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 |
| JP4464256B2 (ja) * | 2004-11-18 | 2010-05-19 | 三菱電機株式会社 | ネットワーク上位監視装置 |
| JP4313779B2 (ja) * | 2005-05-13 | 2009-08-12 | 日本電信電話株式会社 | 輻輳制御方法、輻輳制御プログラム、および、輻輳制御装置 |
| JP2016146581A (ja) * | 2015-02-09 | 2016-08-12 | 日本電信電話株式会社 | トラヒック情報収集装置およびトラヒック情報収集方法 |
-
2016
- 2016-12-05 JP JP2016235842A patent/JP6629174B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018093383A (ja) | 2018-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
| US10027694B1 (en) | Detecting denial of service attacks on communication networks | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| JP5207082B2 (ja) | コンピュータシステム、及びコンピュータシステムの監視方法 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| EP2629457A1 (en) | Method and System For Network Monitoring Using Signature Packets | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
| JP2010088031A (ja) | アンダーレイネットワーク障害検知方法及びネットワークシステム | |
| WO2017055227A1 (en) | Analysis of network performance | |
| EP3718260A1 (en) | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
| JP6740264B2 (ja) | 監視システム、監視方法及び監視プログラム | |
| JP2008085819A (ja) | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP2016144153A (ja) | サービス監視装置、および、サービス監視方法 | |
| CN118233111A (zh) | 攻击检测方法、系统及存储介质 | |
| JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| CN120584473A (zh) | 检测高级应用层洪水攻击工具的技术 | |
| JP4980396B2 (ja) | トラヒック特性計測方法および装置 | |
| JP4222567B2 (ja) | 輻輳制御方法および輻輳制御装置 | |
| JP4777366B2 (ja) | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 | |
| Anbar et al. | Connection failure message-based approach for detecting sequential and random TCP scanning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6629174 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |