CN106471778A - 攻击检测装置、攻击检测方法以及攻击检测程序 - Google Patents
攻击检测装置、攻击检测方法以及攻击检测程序 Download PDFInfo
- Publication number
- CN106471778A CN106471778A CN201580033721.5A CN201580033721A CN106471778A CN 106471778 A CN106471778 A CN 106471778A CN 201580033721 A CN201580033721 A CN 201580033721A CN 106471778 A CN106471778 A CN 106471778A
- Authority
- CN
- China
- Prior art keywords
- session
- attack
- packet
- attack detecting
- window size
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
攻击检测装置(1)具有:分组收集部(11),其对从使用者终端(5)向服务提供服务器(4)发送的分组进行收集;头部信息取得部(12),其从分组取得头部信息;以及攻击检测部(14),其使用头部信息来判别各会话是否为攻击会话,攻击检测部(14)针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
Description
技术领域
本发明涉及根据客户端与服务器之间所发送接收的分组而检测客户端对服务器进行的攻击的攻击检测装置、攻击检测方法以及攻击检测程序。
背景技术
近年来,存在通过非法的通信而使因特网上的公开服务陷入服务停止状态的DoS(Denial of Service:拒绝服务)所引起的损害的增大的问题。
DoS可以大致分为2种攻击形式。第一个是具有恶意的攻击者送达非法的数据或异常的分组而使服务提供者所具有的软件进行异常的动作的攻击形式。第二个是大量地送达信息流而使服务提供者所具有的线路的频带或通信设备的处理能力瘫痪的攻击。
作为用于应对第一个攻击形式的技术,存在如下的技术:按照每个种类评估例如流入服务器的分组而发现因非法的通信引起的服务器的异常的动作(参照专利文献1)。
作为用于应对第二个攻击形式的技术,存在如下的技术:根据例如流统计信息的变化对大量信息流进行检测(参照专利文献2)。
并且,被称为Slow READ DoS的新的攻击成为问题,该新的攻击通过使向通信对方通知的自身的接收缓冲器的尺寸(窗口尺寸)极其小而限制通信对方能够一次发送的信息量,且使通信长期化而非法地持续占有会话(参照非专利文献1)。
现有技术文献
专利文献
专利文献1:日本特开2007-166154号公报
专利文献2:日本特开2008-118242号公报
非专利文献
非专利文献1:倉上弘,“DoS/DDoS攻击对策(2)~高度化的DDoS攻击与对策从网站的观点出发~”、信息处理Vol.54No.5pp475-480、信息处理学会、2013
发明内容
发明要解决的课题
在专利文献1的技术中存在如下的问题:虽然能够对攻击者在中途放弃通信这样的伴随着通信的异常结束的攻击进行检测,但无法对一边继续进行正常的通信过程一边被执行的攻击进行检测。例如,由于Slow READ DoS是通过不使通信结束而作为攻击成立的,因此利用专利文献1等以往的技术无法检测攻击。
并且,在专利文献2这样的使用流统计信息的检测方法中存在如下的问题:利用用于生成流统计信息的采样会产生通信分组的获取遗漏,无法取得具有恶意的攻击者的通信分组。
本发明是鉴于上述情况而完成的,本发明的目的在于,提供能够对一边继续进行正常的通信过程一边被执行的攻击进行检测的攻击检测装置、攻击检测方法以及攻击检测程序。
用于解决课题的手段
为了解决上述课题,本发明提供一种攻击检测装置,其具有:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
在上述攻击检测装置中,也可以是,所述其他分组是在所述任意分组之后所发送的分组。
在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。
在上述攻击检测装置中,也可以是,所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。
在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,在使用所述头部信息计算出的会话建立时间比规定的第1阈值大的情况下,将该会话检测为攻击会话。
在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,使用所述头部信息对吞吐量进行计算,在该吞吐量比规定的第2阈值小的情况下,将该会话检测为攻击会话。
在上述攻击检测装置中,也可以是,所述攻击检测单元当检测出所述攻击会话时,将包含确定该攻击会话的信息在内的攻击检测信息发送给管理者终端。
在上述攻击检测装置中,也可以是,所述攻击检测单元当检测出所述攻击会话时,将复位分组发送给所述服务器和所述客户端,将该攻击会话切断。
本发明提供由计算机进行的攻击检测方法,具有如下的步骤:收集步骤,对从客户端向服务器发送的分组进行收集;头部信息取得步骤,从所述分组取得头部信息;以及攻击检测步骤,使用所述头部信息来判别各会话是否为攻击会话,在所述攻击检测步骤中,针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
本发明提供由计算机进行的攻击检测程序,其使所述计算机作为如下的单元发挥功能:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
发明效果
根据本发明,能够提供能够对一边继续进行正常的通信过程一边被执行的攻击进行检测的攻击检测装置、攻击检测方法以及攻击检测程序。
附图说明
图1是应用了第1实施方式的攻击检测***的整体结构图。
图2是示出第1实施方式的攻击检测装置的结构的功能框图。
图3是示出分组头部信息的一例的图。
图4是示出攻击检测处理的流程图。
图5是示出会话管理表的一例的图。
图6是示出会话输出信息的一例的图。
图7是对攻击检测后的攻击防御处理进行说明的说明图。
图8是示出应用了第2实施方式的攻击检测装置的整体结构图。
图9是示出第2实施方式的攻击检测装置的结构的功能框图。
图10是对攻击检测后的攻击防御处理进行说明的说明图。
具体实施方式
以下,对本发明的实施方式进行说明。
<第1实施方式>
图1是示出作为本发明的一实施方式的攻击检测***的整体结构图。攻击检测***设置在服务提供服务器4与服务使用者所使用的使用者终端5(客户端)之间,对服务提供服务器4与使用者终端5之间的通信进行监视,对非法的使用者的攻击进行检测。服务提供服务器4经由因特网等网络向使用者终端5提供各种服务。
图示的攻击检测***具有攻击检测装置1和信息流复制装置2。信息流复制装置2设置在服务提供服务器4与使用者终端5之间,将从使用者终端5发送给服务提供服务器4的分组(信息流)传输给服务提供服务器4,并且对该分组进行复制而向攻击检测装置1输出。
攻击检测装置1使用从信息流复制装置2发送来的分组而对非法的使用者的攻击进行检测。并且,攻击检测装置1当检测出攻击时,经由管理网络向管理者终端3通知攻击检测信息。
图2是示出本实施方式的攻击检测装置1的结构的功能框图。图示的攻击检测装置1具有:分组收集部11、头部信息取得部12、合计部13、攻击检测部14、会话管理表15以及会话日志文件16。
分组收集部11对从信息流复制装置2输出的、从使用者终端5向服务提供服务器4发送的分组进行收集。头部信息取得部12从分组收集部11所收集的各分组中取得头部信息。合计部13使用所取得的头部信息按照每个会话对各分组进行分类并进行合计。
攻击检测部14使用按照每个会话所合计的头部信息来判别各会话是否为攻击会话。在本实施方式中,攻击检测部14按照每个会话对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。并且,攻击检测部14按照每个会话对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。并且,攻击检测部14当检测出攻击会话时,将包含确定该攻击会话的信息在内的攻击检测信息发送给管理者终端3。
会话管理表15对合计部13所合计的每个会话的会话信息(头部合计信息)进行存储。在会话结束时该会话的会话信息作为日志输出给会话日志文件16。
图3是示出分组的头部信息的一例的图。本实施方式的服务提供服务器4与使用者终端5之间的通信是使用TCP分组来进行的。在头部信息中存在发送源IP地址、发送源端口号、接收IP地址、接收端口号、时间戳、TCP标志、窗口尺寸、分组尺寸等。
会话可以按照发送源IP地址、发送源端口号、接收IP地址以及接收端口号这4个来进行确定(识别)。窗口尺寸是向通信对方通知的自身的接收缓冲器的尺寸。这里,使用者终端5将向作为通信对方的服务提供服务器4通知的使用者终端5自身的接收缓冲器的尺寸设定为窗口尺寸。
上述说明的攻击检测装置1例如可以使用具有CPU、存储器以及硬盘等外部存储装置等的通用的计算机***。在该计算机***中,通过CPU对加载在存储器上的攻击检测装置1用的程序进行执行,而实现攻击检测装置1的各功能。并且,攻击检测装置1用的程序可以存储于硬盘、软盘、CD-ROM、MO、DVD-ROM等计算机能够读取的记录介质,也可以经由网络进行分发。
接着,对本实施方式的处理进行说明。
图4是本实施方式的攻击检测装置1的攻击检测处理的流程图。
攻击检测装置1的分组收集部11从信息流复制装置2接收由使用者终端5发送给服务提供服务器4的分组并进行收集(S11)。并且,头部信息取得部12从在S11中所收集的分组取得头部信息,使用头部信息所包含的发送源IP地址、发送源端口号、接收IP地址以及接收端口号来确定该分组的会话(S12)。
并且,合计部13判别在会话管理表15中是否存在该分组的会话(S13)。当在会话管理表15中不存在该分组的会话(S13:否)、且头部信息的TCP标志是“SYN”(会话开设请求)的SYN分组的情况下(S14:是),合计部13在会话管理表15中注册在S11中接收到的分组的会话(S15)。并且,返回S11,进行接下来所接收的分组的处理。
图5是示出会话管理表15的一例的图。在会话管理表15中针对每个会话设定有用于对非法用户的攻击会话进行检测的会话信息(头部合计信息)。在会话管理表15中对应地存储有用于确定会话的会话确定信息与会话信息。
在图示的会话信息中包含:表示SYN分组到达的时刻的时间戳、表示最终分组到达的时刻的时间戳、任意分组的窗口尺寸、窗口尺寸的最大值、窗口尺寸的最小值、窗口尺寸的平均值、分组的窗口尺寸的平方和、到达分组数的总计、分组尺寸的总计、怪异分数、有无警告通知等。另外,任意分组的窗口尺寸例如是SYN分组、ACK分组等的窗口尺寸。
在S15的会话的注册时,合计部13使用该分组的头部信息将记录注册在会话管理表15中,该记录中设定有会话确定信息、SYN分组的时间戳、在任意分组是SYN分组的情况下SYN分组的窗口尺寸等。
在头部信息的TCP标志是“SYN”以外的情况下(S14:否),虽然在会话管理表15中不存在该会话,但由于并不是在会话开设时最初发送的SYN分组,因此视为不正常的分组,合计部13将在S11中接收到的分组的头部信息丢弃(S16)。并且,返回S11,进行接下来所接收的分组的处理。
另一方面,当在会话管理表15中已经存在S11中接收到的分组的会话的情况下(S13:是),合计部13对该会话的头部信息进行合计,并更新会话管理表15的会话信息(S17)。即,合计部13使用在S11中接收到分组的头部信息,对窗口尺寸的最大值、最小值、平均值、平方和等会话信息进行计算并进行更新。
并且,攻击检测部14使用会话管理表15对该会话进行更新后的会话信息对怪异分数进行计算(S18)。
在本实施方式中,假设使用头部信息的窗口尺寸对怪异分数进行计算。通过使自身的窗口尺寸极其小而限制通信对方能够一次发送的信息量、且使通信长期化而非法地持续占有会话的Slow READ DoS攻击具有在通信中窗口尺寸较小的特征。由于将窗口尺寸设定得小本身是TCP的正常动作,因此很难判别是攻击还是正常动作。因此,在本实施方式中,着眼于窗口尺寸的转变(动作),而以更高的精度对Slow READ DoS攻击进行检测。
这里,假设使用以下的2个方法中的至少1个。
(1)对设定于会话管理表15的任意分组的窗口尺寸与接收到的分组的窗口尺寸进行比较。并且,在比较结果满足规定的条件的情况下,判定为该会话是攻击会话,将规定的值设定成怪异分数。例如,在任意分组是SYN分组的情况下,在SYN分组的窗口尺寸比之后的分组的窗口尺寸显著大的情况下,即在之后的分组的窗口尺寸与SYN分组的窗口尺寸相比显著小的情况下(例如,在满足以下的式子的情况下),判定为该会话是攻击会话。
SYN分组的窗口尺寸-之后的分组的窗口尺寸>规定的阈值
(2)对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的条件的情况下,判定为该会话是攻击会话,将规定的值设定成怪异分数。另外,窗口尺寸的统计信息可以是设定于会话管理表15的窗口尺寸的统计信息、或者也可以是使用设定于会话管理表15的窗口尺寸的统计信息进行计算的统计信息。并且,统计信息的比较可以是统计信息彼此的比较,也可以是与规定的阈值的比较。
例如,对设定于会话管理表15的窗口尺寸的最大值与窗口尺寸的平均值进行比较,在比较结果满足规定的条件的情况下,判定为该会话是攻击会话,将规定的值设定成怪异分数。具体而言,在窗口尺寸的平均值相对于窗口尺寸的最大值的比例小于规定的阈值的情况下(例如,在满足以下的式子的情况下),判定为该会话是攻击会话。
窗口尺寸的平均值/窗口尺寸的最大值<阈值(例如,0.3等)
另外,在(2)的情况下,由于使用窗口尺寸的平均值,因此在会话开始之后,很难成为满足上述条件的状况,从会话开始起收集一定程度的数量的分组需要花费时间。另一方面,在(1)的情况下,对于最初的SYN分组的窗口尺寸与之后接收到的分组的窗口尺寸逐次进行比较,因此在会话刚开始之后,也能够进行是否是攻击会话的判定。
在怪异分数的计算只使用(1)的方法、且满足条件的情况下,攻击检测部14将规定的第1分数值设定成会话管理表15的怪异分数。并且,在怪异分数的计算只使用(2)的方法、且满足条件的情况下,攻击检测部14将规定的第2分数值设定成会话管理表15的怪异分数。并且,在怪异分数的计算使用(1)和(2)的方法、且满足(1)和(2)的条件的情况下,攻击检测部14将对第1分数值和第2分数值进行总计得到的分数值设定成会话管理表15的怪异分数。另外,第1分数值与第2分数值可以是相同的值,也可以是不同的值。
并且,攻击检测部14判别在S18中计算出的怪异分数是否超过规定的检测用阈值(S19),在超过检测用阈值的情况下(S19:是),判定为该会话是攻击会话。另外,检测用阈值根据怪异分数的计算中只使用(1)的方法的情况、只使用(2)的方法的情况、使用(1)和(2)的方法的情况而分别设定成适当的值。
并且,在判定为是攻击会话的情况下(S19:是),攻击检测部14经由管理网络将检测信息(警告)发送给管理者终端3,将会话管理表15的警告通知更新成“有”(S21)。
并且,合计部13从会话管理表15中将判定为是攻击会话的会话的记录作为日志信息向会话日志文件16输出(存储),从会话管理表15中删除该会话的记录(S22)。并且,返回S11,进行接下来所接收的分组的处理。之后,当在S11中接收到判定为是攻击会话的会话的分组时,由于在会话管理表15中不存在该会话(S13:否),且并不是SYN分组(S14:否),将该分组的头部信息丢弃(S16)。
图6是示出输出给会话日志文件16的会话日志信息的一例的图。
并且,在不超过检测用阈值(S19:否)、且在S11中接收到的分组是表示会话的结束或者复位的分组(FIN分组或者RST分组)的情况下(S20:是),合计部13将该会话视为结束,将该会话的记录作为日志信息输出给会话日志文件16,从会话管理表15中删除该会话的记录(S22)。并且,返回S11,进行接下来所接收的分组的处理。FIN分组是TCP标志为“FIN”且表示会话的结束的分组,RST分组是TCP标志为“RST”且表示会话的复位(关闭)的分组。
另外,在以上说明的图4的S18中,使用窗口尺寸对怪异分数进行计算,但也可以使用会话管理表15的其他的信息对怪异分数进行计算。
例如也可以是,攻击检测部14对作为会话管理表15的最终分组(在S11中接收到的分组)的时间戳与SYN分组的时间戳之间的差的会话建立时间进行计算,在该会话建立时间比规定的阈值(例如,30秒)大的情况下,将该会话判别为攻击会话,将规定的分数值与怪异分数相加。
并且,也可以是,攻击检测部14使用上述的会话建立时间和设定于会话管理表15的分组尺寸的总计值对吞吐量进行计算,在该吞吐量比规定的阈值(例如,300bps)小的情况下,将该会话判别为攻击会话,将规定的分数值与怪异分数相加。
接着,对攻击检测装置1在检测到攻击会话之后(图4、S19:是)的攻击防御处理进行说明。
图7是用于对攻击防御处理进行说明的说明图。攻击检测装置1的攻击检测部14使用例如邮件、SNMP TRAP等将表示检测出攻击的检测信息发送给管理者终端3(S210)。在检测信息中包含判别为攻击会话的会话的会话确定信息(发送源IP地址、发送源端口号、接收IP地址以及接收端口号)。
管理者终端3接收检测信息,向网络操作员等管理者提示。管理者将设定防火墙(FW)6的设定指示向管理者终端3输入,以对设定于检测信息中的攻击会话进行切断。管理者终端3根据所输入的设定指示来设定防火墙6(S220)。由此,防火墙6将攻击检测装置1检测出的从攻击者的使用者终端5经由CE路由器7(Customer Edge router:用户端边缘路由器)发送给服务提供服务器4的分组丢弃,对攻击会话的通信进行切断。
另外,在图7中虽然假设受理管理者的指示而由管理者终端3进行防火墙6的设定,但也可以在攻击检测装置1的攻击检测部14将检测信息发送给管理者终端3的时机设定防火墙6以将攻击会话切断。
<第2实施方式>
图8是示出作为本发明的第2实施方式的攻击检测装置1A的整体结构图。在第2实施方式中,不具有信息流复制装置2,攻击检测装置1A设置在服务提供服务器4与使用者终端5之间。
图9是示出第2实施方式的攻击检测装置1A的结构的功能框图。图示的攻击检测装置1A具有:分组传输部10、分组收集部11、头部信息取得部12、合计部13、攻击检测部14、会话管理表15以及会话日志文件16。攻击检测装置1A在具有分组传输部10的方面与第1实施方式的攻击检测装置1不同。分组传输部10将从使用者终端5发送给服务提供服务器4的分组向服务提供服务器4传输,并且对所述分组进行复制而向分组收集部11送出。
另外,关于攻击检测装置1A的分组收集部11、头部信息取得部12、合计部13、攻击检测部14、会话管理表15和会话日志文件16,由于与第1实施方式的攻击检测装置1相同,因此这里省略说明。并且,关于攻击检测装置1A的攻击检测处理,由于与第1实施方式的攻击检测处理(图4)相同,因此这里省略说明。
图10是用于对第2实施方式的攻击防御处理进行说明的说明图。攻击检测装置1A的攻击检测部14当检测出攻击会话时,向作为该攻击会话的发送源的使用者终端5(攻击者)发送TCP标志是“RST”的RST分组(S31),并且向作为该攻击会话的接收目的地的服务提供服务器4发送RST分组(S32),对该攻击会话进行复位(关闭)。并且,攻击检测部14向管理者终端3发送表示检测出攻击的检测信息(S33)。
另外,通过发送RST分组而暂时对攻击会话进行复位,即使在定期性地变更全局IP地址、再次构筑过去被判别为攻击会话的会话的情况下,只要是正常的通信也不会视为攻击会话,不会切断会话。
在以上说明的第1和第2实施方式中,服务提供服务器4为了提供服务,而对每个在服务提供服务器4与服务使用者的使用者终端5之间所展开的会话,根据从使用者终端5侧发送给服务提供服务器4的分组中所包含的头部信息的动作对非法的使用者(攻击者)的会话进行检测。
由此,在本实施方式中,在不特定多数人使用的公开的服务中,能够对妨碍向其他使用者提供服务这样的非法的使用者的攻击进行防御。
并且,在本实施方式中,使用头部信息的窗口尺寸对攻击会话进行检测。由此,在本实施方式中,能够对Slow READ DoS攻击等一边继续进行正常的通信过程一边被执行的攻击进行检测,所述Slow READ DoS攻击通过使自身的窗口尺寸极其小而限制通信对方能够一次发送的信息量,并使通信长期化而非法地持续占有会话。
即,使向通信对方通知的自身的窗口尺寸变小是用于通信的拥堵控制的正常的动作。因此,只通过简单地将阈值设定成各个参数的值,有可能会将原本的目的是正常地发挥功能的分组错误检测为攻击。因此,在本实施方式中,通过着眼于窗口尺寸的转变(动作),能够以更高的精度检测Slow READ DoS攻击等一边继续进行正常的通信过程一边被执行的攻击。
另外,本发明不限于上述的实施方,在其主旨的范围内可以进行各种变形。例如,在第1实施方式中,作为攻击防御处理设定防火墙6(图7),在第2实施方式中,作为攻击防御方法采取发送RST分组的方法(图10),但也可以在第1实施方式中发送RST分组,在第2实施方式中设定防火墙。并且,在第1和第2实施方式中,也可以进行设定防火墙6和RST分组的发送这2个攻击防御方法。
标号说明
1、1A:攻击检测装置;10:分组传输部;11:分组收集部;12:头部信息取得部;13:合计部;14:攻击检测部;15:会话管理表;16:会话日志文件;2:信息流复制装置;3:管理者终端;4:服务提供服务器;5:使用者终端;6:防火墙;7:CE路由器。
Claims (12)
1.一种攻击检测装置,其特征在于,该攻击检测装置具有:
收集单元,其对从客户端向服务器发送的分组进行收集;
头部信息取得单元,其从所述分组取得头部信息;以及
攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,
所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
2.根据权利要求1所述的攻击检测装置,其特征在于,
所述其他分组是在所述任意分组之后所发送的分组。
3.根据权利要求1所述的攻击检测装置,其特征在于,
所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。
4.根据权利要求2所述的攻击检测装置,其特征在于,
所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。
5.根据权利要求3所述的攻击检测装置,其特征在于,
所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。
6.根据权利要求4所述的攻击检测装置,其特征在于,
所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。
7.根据权利要求1至6中的任意一项所述的攻击检测装置,其特征在于,
所述攻击检测单元针对每个会话,在使用所述头部信息计算出的会话建立时间比规定的第1阈值大的情况下,将该会话检测为攻击会话。
8.根据权利要求1至6中的任意一项所述的攻击检测装置,其特征在于,
所述攻击检测单元针对每个会话,使用所述头部信息对吞吐量进行计算,在该吞吐量比规定的第2阈值小的情况下,将该会话检测为攻击会话。
9.根据权利要求1至6中的任意一项所述的攻击检测装置,其特征在于,
所述攻击检测单元在检测出所述攻击会话时,将包含确定该攻击会话的信息在内的攻击检测信息发送给管理者终端。
10.根据权利要求1至6中的任意一项所述的攻击检测装置,其特征在于,
所述攻击检测单元在检测出所述攻击会话时,将复位分组发送给所述服务器和所述客户端,将该攻击会话切断。
11.一种攻击检测方法,由计算机进行,其特征在于,该攻击检测方法进行如下的步骤:
收集步骤,对从客户端向服务器发送的分组进行收集;
头部信息取得步骤,从所述分组取得头部信息;以及
攻击检测步骤,使用所述头部信息来判别各会话是否为攻击会话,
在所述攻击检测步骤中,针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
12.一种攻击检测程序,其由计算机进行,其特征在于,该攻击检测程序使所述计算机作为如下的单元发挥功能:
收集单元,其对从客户端向服务器发送的分组进行收集;
头部信息取得单元,其从所述分组取得头部信息;以及
攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,
所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014138659A JP5947838B2 (ja) | 2014-07-04 | 2014-07-04 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
| JP2014-138659 | 2014-07-04 | ||
| PCT/JP2015/069215 WO2016002915A1 (ja) | 2014-07-04 | 2015-07-02 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106471778A true CN106471778A (zh) | 2017-03-01 |
| CN106471778B CN106471778B (zh) | 2019-12-27 |
Family
ID=55019441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580033721.5A Active CN106471778B (zh) | 2014-07-04 | 2015-07-02 | 攻击检测装置和攻击检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10505952B2 (zh) |
| EP (1) | EP3139550B1 (zh) |
| JP (1) | JP5947838B2 (zh) |
| CN (1) | CN106471778B (zh) |
| WO (1) | WO2016002915A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040140A (zh) * | 2018-10-16 | 2018-12-18 | 杭州迪普科技股份有限公司 | 一种慢速攻击检测方法及装置 |
| CN110661781A (zh) * | 2019-08-22 | 2020-01-07 | 中科创达软件股份有限公司 | 一种DDoS攻击检测方法、装置、电子设备和存储介质 |
| CN113242260A (zh) * | 2021-06-09 | 2021-08-10 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN113454623A (zh) * | 2019-02-21 | 2021-09-28 | 三菱电机株式会社 | 检测规则组调整装置和检测规则组调整程序 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6078179B1 (ja) * | 2016-01-20 | 2017-02-08 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| US10505985B1 (en) * | 2016-04-13 | 2019-12-10 | Palo Alto Networks, Inc. | Hostname validation and policy evasion prevention |
| CN106101102B (zh) * | 2016-06-15 | 2019-07-26 | 华东师范大学 | 一种基于pam聚类算法的网络异常流量检测方法 |
| JP7033733B2 (ja) | 2017-03-27 | 2022-03-11 | パナソニックIpマネジメント株式会社 | データ分析装置、方法、及びプログラム |
| TWI729320B (zh) * | 2018-11-01 | 2021-06-01 | 財團法人資訊工業策進會 | 可疑封包偵測裝置及其可疑封包偵測方法 |
| JP2020136888A (ja) * | 2019-02-19 | 2020-08-31 | 日本電信電話株式会社 | 検知装置および検知方法 |
| US20220053018A1 (en) * | 2020-08-11 | 2022-02-17 | Flipkart Internet Private Limited | System and method for detection and mitigation of a dos/ddos attack |
| US20240028494A1 (en) * | 2022-07-20 | 2024-01-25 | Zscaler, Inc. | Dynamic Applicative Session Grouping |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040233846A1 (en) * | 2003-04-17 | 2004-11-25 | Khandani Mehdi K. | Method for quantifying reponsiveness of flow aggregates to packet drops in communication network |
| CN101640594A (zh) * | 2008-07-31 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种在网络设备上提取流量攻击报文特征的方法和单元 |
| US20110131654A1 (en) * | 2009-11-30 | 2011-06-02 | Varun Taneja | Systems and methods for aggressive window probing |
| US20130042322A1 (en) * | 2011-08-10 | 2013-02-14 | Electronics And Telecommunications Research Institute | SYSTEM AND METHOD FOR DETERMINING APPLICATION LAYER-BASED SLOW DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07335753A (ja) * | 1994-06-06 | 1995-12-22 | Sharp Corp | 半導体装置及びその製造方法 |
| US7398317B2 (en) * | 2000-09-07 | 2008-07-08 | Mazu Networks, Inc. | Thwarting connection-based denial of service attacks |
| US6779033B1 (en) * | 2000-12-28 | 2004-08-17 | Networks Associates Technology, Inc. | System and method for transacting a validated application session in a networked computing environment |
| US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
| US7480940B1 (en) * | 2004-06-10 | 2009-01-20 | Symantec Corporation | Structures and methods for a low and slow network reconnaissance detector |
| US20060161816A1 (en) * | 2004-12-22 | 2006-07-20 | Gula Ronald J | System and method for managing events |
| JP2007166154A (ja) | 2005-12-13 | 2007-06-28 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
| KR100834570B1 (ko) * | 2006-06-23 | 2008-06-02 | 한국전자통신연구원 | 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치 |
| JP4324189B2 (ja) | 2006-11-01 | 2009-09-02 | 日本電信電話株式会社 | 異常トラヒック検出方法およびその装置およびプログラム |
| US8272044B2 (en) * | 2007-05-25 | 2012-09-18 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (DoS) attacks |
| DE102009033206A1 (de) | 2009-07-15 | 2011-01-27 | Brand, Guido | Polierverfahren und Poliervorrichtung zur Korrektur von geometrischen Abweichungsfehlern auf Präzisionsoberflächen |
| US8856913B2 (en) * | 2011-08-29 | 2014-10-07 | Arbor Networks, Inc. | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring |
| US9195805B1 (en) * | 2011-12-08 | 2015-11-24 | Amazon Technologies, Inc. | Adaptive responses to trickle-type denial of service attacks |
| KR20140122044A (ko) * | 2013-04-09 | 2014-10-17 | 한국전자통신연구원 | 슬로우 리드 도스 공격 탐지 장치 및 방법 |
| US9392018B2 (en) * | 2013-09-30 | 2016-07-12 | Juniper Networks, Inc | Limiting the efficacy of a denial of service attack by increasing client resource demands |
-
2014
- 2014-07-04 JP JP2014138659A patent/JP5947838B2/ja active Active
-
2015
- 2015-07-02 CN CN201580033721.5A patent/CN106471778B/zh active Active
- 2015-07-02 EP EP15814603.5A patent/EP3139550B1/en active Active
- 2015-07-02 US US15/320,171 patent/US10505952B2/en active Active
- 2015-07-02 WO PCT/JP2015/069215 patent/WO2016002915A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040233846A1 (en) * | 2003-04-17 | 2004-11-25 | Khandani Mehdi K. | Method for quantifying reponsiveness of flow aggregates to packet drops in communication network |
| CN101640594A (zh) * | 2008-07-31 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种在网络设备上提取流量攻击报文特征的方法和单元 |
| US20110131654A1 (en) * | 2009-11-30 | 2011-06-02 | Varun Taneja | Systems and methods for aggressive window probing |
| US20130042322A1 (en) * | 2011-08-10 | 2013-02-14 | Electronics And Telecommunications Research Institute | SYSTEM AND METHOD FOR DETERMINING APPLICATION LAYER-BASED SLOW DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040140A (zh) * | 2018-10-16 | 2018-12-18 | 杭州迪普科技股份有限公司 | 一种慢速攻击检测方法及装置 |
| CN109040140B (zh) * | 2018-10-16 | 2021-03-23 | 杭州迪普科技股份有限公司 | 一种慢速攻击检测方法及装置 |
| CN113454623A (zh) * | 2019-02-21 | 2021-09-28 | 三菱电机株式会社 | 检测规则组调整装置和检测规则组调整程序 |
| CN110661781A (zh) * | 2019-08-22 | 2020-01-07 | 中科创达软件股份有限公司 | 一种DDoS攻击检测方法、装置、电子设备和存储介质 |
| CN110661781B (zh) * | 2019-08-22 | 2022-05-17 | 中科创达软件股份有限公司 | 一种DDoS攻击检测方法、装置、电子设备和存储介质 |
| CN113242260A (zh) * | 2021-06-09 | 2021-08-10 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN113242260B (zh) * | 2021-06-09 | 2023-02-21 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5947838B2 (ja) | 2016-07-06 |
| EP3139550A1 (en) | 2017-03-08 |
| CN106471778B (zh) | 2019-12-27 |
| EP3139550A4 (en) | 2017-11-22 |
| JP2016019028A (ja) | 2016-02-01 |
| US10505952B2 (en) | 2019-12-10 |
| US20170126714A1 (en) | 2017-05-04 |
| WO2016002915A1 (ja) | 2016-01-07 |
| EP3139550B1 (en) | 2018-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106471778A (zh) | 攻击检测装置、攻击检测方法以及攻击检测程序 | |
| CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及*** | |
| KR101519623B1 (ko) | 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| US20090282478A1 (en) | Method and apparatus for processing network attack | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| JP3957712B2 (ja) | 通信監視システム | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| CN110266726B (zh) | 一种识别ddos攻击数据流的方法及装置 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| JP5532241B2 (ja) | 高パケットレートフロー検出装置及び高パケットレートフロー検出方法 | |
| JP4985435B2 (ja) | 監視分析装置、方法、及び、プログラム | |
| CN112995235B (zh) | 一种对DDoS攻击进行检测的方法、装置及电子设备 | |
| JP2003204358A (ja) | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム | |
| JP2020022133A (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| JP2006229701A (ja) | Tcpフロー通信品質推定装置およびその方法ならびにそのためのプログラム | |
| EP2112800A1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
| KR101338223B1 (ko) | 네트워크 트래픽 분석 시스템 및 방법 | |
| CN109309679A (zh) | 一种基于tcp流状态的网络扫描检测方法及检测*** | |
| JP2006115129A (ja) | ネットワーク異常検出システム | |
| Xu et al. | Research on detection method of interest flooding attack on content centric network | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、*** | |
| CN106656967B (zh) | 一种udp flood攻击的清洗方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |