JP6740264B2 - 監視システム、監視方法及び監視プログラム - Google Patents
監視システム、監視方法及び監視プログラム Download PDFInfo
- Publication number
- JP6740264B2 JP6740264B2 JP2018023363A JP2018023363A JP6740264B2 JP 6740264 B2 JP6740264 B2 JP 6740264B2 JP 2018023363 A JP2018023363 A JP 2018023363A JP 2018023363 A JP2018023363 A JP 2018023363A JP 6740264 B2 JP6740264 B2 JP 6740264B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- monitoring
- address
- unit
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
まず、図1を用いて、第1の実施形態に係る監視システムの構成について説明する。図1は、第1の実施形態に係る監視システムの構成の一例を示す図である。図1に示すように、監視システム1は、監視装置10、ルータ21、22及び23を有する。
図4から6を用いて、監視装置10による収集処理及び判定処理について説明する。例えば、第1の収集部132及び第2の収集部133による収集処理が行われ、各収集情報が提供された後に、判定部134による判定処理が行われる。
監視装置10は、ネットワークのトラフィックを監視する。また、監視装置10は、インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及びおとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する。また、監視装置10は、監視装置10によって監視されたトラフィックの情報及び監視装置10によって収集された情報を基に、攻撃が発生しているか否かを判定する。このように、本実施形態では、DDoS攻撃の発生を、トラフィックの面だけでなく、バックスキャッターパケット及びリフレクション攻撃の少なくとも一方の発生状況を考慮して判定することができる。そのため、本実施形態によれば、DDoS攻撃を精度良く検出することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
一実施形態として、監視装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の監視を実行する監視プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の監視プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
2 インターネット
3 ユーザネットワーク
10 監視装置
11 通信部
12 記憶部
13 制御部
21、22、23 ルータ
125 攻撃情報
131 監視部
132 第1の収集部
133 第2の収集部
134 判定部
Claims (8)
- ネットワークのトラフィックを監視する監視部と、
インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集部と、
前記監視部によって監視されたトラフィックの情報及び前記収集部によって収集された情報を基に、攻撃が発生しているか否かを判定する判定部と、
を有し、
前記判定部は、前記収集部で収集した第1の情報と、前記監視部で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第1の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、送信元IPアドレスを詐称する攻撃を検出したと判定することを特徴とする監視システム。 - ネットワークのトラフィックを監視する監視部と、
インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集部と、
前記監視部によって監視されたトラフィックの情報及び前記収集部によって収集された情報を基に、攻撃が発生しているか否かを判定する判定部と、
を有し、
前記判定部は、前記収集部で収集した第2の情報と、前記監視部で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第2の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、リフレクション攻撃を検出したと判定することを特徴とする監視システム。 - 前記収集部は、前記第1のパケットとして受信した送信元IPアドレスを詐称する攻撃パケットに対する応答パケットの情報を前記第1の情報として収集することを特徴とする請求項1又は2に記載の監視システム。
- 前記収集部は、前記第2のパケットとして受信したリフレクション攻撃パケットの情報を前記第2の情報として収集することを特徴とする請求項1又は2に記載の監視システム。
- 前記収集部は、同一ネットワーク内の異なる複数のアドレスを送信元とするパケットのそれぞれについて、前記第1の情報及び前記第2の情報のうち少なくとも一方を収集し、前記監視部へ通知し、
前記判定部は、前記監視部によって監視されたトラフィックの量であって、前記複数のアドレスを宛先とするトラフィックの量の合計を基に、攻撃が発生しているか否かを判定することを特徴とする請求項1から4のいずれか1項に記載の監視システム。 - 監視システムで実行される監視方法であって、
ネットワークのトラフィックを監視する監視工程と、
インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集工程と、
前記監視工程によって監視されたトラフィックの情報及び前記収集工程によって収集された情報を基に、攻撃が発生しているか否かを判定する判定工程と、
を含み、
前記判定工程は、前記収集工程で収集した第1の情報と、前記監視工程で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第1の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、送信元IPアドレスを詐称する攻撃を検出したと判定することを特徴とする監視方法。 - 監視システムで実行される監視方法であって、
ネットワークのトラフィックを監視する監視工程と、
インターネットで使用されていないアドレスに対して送信されてきた第1のパケットに関する情報である第1の情報、及び、おとりとして設定された特定の宛先に対して送信されてきた第2のパケットに関する情報である第2の情報のうち、少なくとも一方を収集する収集工程と、
前記監視工程によって監視されたトラフィックの情報及び前記収集工程によって収集された情報を基に、攻撃が発生しているか否かを判定する判定工程と、
を含み、
前記判定工程は、前記収集工程で収集した第2の情報と、前記監視工程で監視されたトラフィック情報を比較し、受信時刻が同一時間帯、かつ、第2の情報の送信元IPアドレスがトラフィック情報の宛先IPアドレスと同一であった場合、リフレクション攻撃を検出したと判定することを特徴とする監視方法。 - コンピュータを、請求項1から5のいずれか1項に記載の監視システムとして機能させるための監視プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023363A JP6740264B2 (ja) | 2018-02-13 | 2018-02-13 | 監視システム、監視方法及び監視プログラム |
| PCT/JP2019/005170 WO2019159989A1 (ja) | 2018-02-13 | 2019-02-13 | 監視システム、監視方法及び監視プログラム |
| US16/962,855 US20200351304A1 (en) | 2018-02-13 | 2019-02-13 | Monitoring system, monitoring method, and monitoring program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023363A JP6740264B2 (ja) | 2018-02-13 | 2018-02-13 | 監視システム、監視方法及び監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019140573A JP2019140573A (ja) | 2019-08-22 |
| JP6740264B2 true JP6740264B2 (ja) | 2020-08-12 |
Family
ID=67618657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018023363A Active JP6740264B2 (ja) | 2018-02-13 | 2018-02-13 | 監視システム、監視方法及び監視プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20200351304A1 (ja) |
| JP (1) | JP6740264B2 (ja) |
| WO (1) | WO2019159989A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102608382B1 (ko) * | 2018-10-18 | 2023-12-01 | 삼성전자주식회사 | 데이터를 처리하는 방법 및 이를 수행하는 전자 장치 |
| JP7222260B2 (ja) * | 2019-02-07 | 2023-02-15 | 日本電信電話株式会社 | 試験装置 |
| CN116055126A (zh) * | 2022-12-22 | 2023-05-02 | 北京航天智造科技发展有限公司 | 一种基于人工智能的云平台安全监测方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007142841A (ja) * | 2005-11-18 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
-
2018
- 2018-02-13 JP JP2018023363A patent/JP6740264B2/ja active Active
-
2019
- 2019-02-13 US US16/962,855 patent/US20200351304A1/en not_active Abandoned
- 2019-02-13 WO PCT/JP2019/005170 patent/WO2019159989A1/ja not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019140573A (ja) | 2019-08-22 |
| US20200351304A1 (en) | 2020-11-05 |
| WO2019159989A1 (ja) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114830112B (zh) | 通过QUIC通信协议执行的检测和缓解DDoS攻击 | |
| CN110249603B (zh) | 用于检测无线网络中的分布式攻击的方法和装置 | |
| US10027694B1 (en) | Detecting denial of service attacks on communication networks | |
| US7936682B2 (en) | Detecting malicious attacks using network behavior and header analysis | |
| CN102210133B (zh) | 网络入侵保护 | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| Hugelshofer et al. | OpenLIDS: a lightweight intrusion detection system for wireless mesh networks | |
| US20070115850A1 (en) | Detection method for abnormal traffic and packet relay apparatus | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN114338120B (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
| US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
| WO2008090531A2 (en) | A containment mechanism for potentially contaminated end systems | |
| US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| François et al. | Network security through software defined networking: a survey | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| KR20180052324A (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
| Scholz et al. | Me love (SYN-) cookies: SYN flood mitigation in programmable data planes | |
| JP6740264B2 (ja) | 監視システム、監視方法及び監視プログラム | |
| KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| CN103269337B (zh) | 数据处理方法及装置 | |
| CN114938308B (zh) | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 | |
| CN107689967A (zh) | 一种DDoS攻击检测方法和装置 | |
| Yang et al. | Leveraging active decremental TTL measuring for flexible and efficient NAT identification | |
| JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190801 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200519 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6740264 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |