JP2006350561A - Attack detection device - Google Patents

Attack detection device Download PDF

Info

Publication number
JP2006350561A
JP2006350561A JP2005174279A JP2005174279A JP2006350561A JP 2006350561 A JP2006350561 A JP 2006350561A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2006350561 A JP2006350561 A JP 2006350561A
Authority
JP
Japan
Prior art keywords
destination
attack
unauthorized access
devices
log information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005174279A
Other languages
Japanese (ja)
Inventor
Yukiko Ito
由起子 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2005174279A priority Critical patent/JP2006350561A/en
Publication of JP2006350561A publication Critical patent/JP2006350561A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an attack detection device for detecting whether or not equipment or a system on a network becomes the step device of a DoS attack or DDoS attack. <P>SOLUTION: An attack detection device is provided with a log collecting means 301 for collecting destination log information showing destination to which information has been transmitted by each equipment from a plurality of registration equipment 104 to 107 and an illegal access judging means 302 for detecting whether or not the number of information to be transmitted from the plurality of registration equipment 104 to 107 to the same destination exceeds a predetermined threshold based on the collected destination log information, and for judging that any illegal access to the destination has occurred when detecting that the information whose number exceeds the threshold has been transmitted to the same destination. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、通信ネットワーク上の機器やシステムに対する不正アクセスに対処する技術に関し、特に、通信ネットワーク上の機器やシステムに対する分散型サービス拒否攻撃を検出する攻撃検出装置に関する。   The present invention relates to a technique for dealing with unauthorized access to devices and systems on a communication network, and more particularly to an attack detection device that detects a distributed denial of service attack on devices and systems on a communication network.

近年、インターネットの普及に伴い、Webアクセスや、電子メールをはじめとするネットワークを利用したサービスがますます増加しつつある。しかし、その一方で、ネットワークを介した不正アクセスやウィルスによって、サービスの正常運用が妨げられる危険性も増し、その対策が必要となってきている。   In recent years, with the spread of the Internet, services using a network such as Web access and electronic mail are increasing more and more. On the other hand, however, there is an increased risk that unauthorized operation via a network or a virus may interfere with the normal operation of the service, and countermeasures are required.

例えば、ファイアウォールや侵入検知システム(IDS:Intrusion Detection System)をネットワークに設置するといった対策がその代表的なものである。IDSでは、攻撃検出対象の攻撃パターンを記述した「シグネチャ」と呼ばれるルールに照らし合わせて攻撃を検出する。   For example, measures such as installing a firewall or an intrusion detection system (IDS: Intrusion Detection System) on the network are typical. In IDS, an attack is detected in light of a rule called “signature” that describes an attack pattern to be attack-detected.

しかし、故意に大量の処理要求を送信することで攻撃先のシステムの正常運用を妨げるサービス拒否攻撃(DoS:Denial of Services)の場合、1つ1つの処理要求は正常時に用いられるものであるため、IDSは、この攻撃をシグネチャによって検出することは困難であった。特に、攻撃元がネットワーク上に多数分散している分散型サービス拒否攻撃(DDoS:Distributed Denial of Services)の場合、攻撃者はネットワーク上で多数の踏み台装置を作成し、踏み台装置となった攻撃元は同時に同一宛先への処理要求を発行する。このため、踏み台装置の1つ1つが発行する処理要求を量的にも正常時のものと区別するのは困難であった。   However, in the case of a denial of service (DoS: Denial of Services) that prevents the normal operation of the attacked system by intentionally sending a large number of processing requests, each processing request is used normally. IDS was difficult to detect this attack by signature. In particular, in the case of a distributed denial of services (DDoS) in which a large number of attack sources are distributed on the network, the attacker creates a large number of platform devices on the network, and the attack source that has become the platform device Simultaneously issues a processing request to the same destination. For this reason, it has been difficult to distinguish the processing requests issued by each of the stepping platform devices from those at normal times.

図2は、DDoS攻撃が実行された状態のネットワークのイメージ図である。図2において、攻撃者201は、機器に侵入したり、機器にウィルスを感染させるなどして、ネットワーク202を介して踏み台装置を多数作成する。例えば、図2に示すように、攻撃者201は踏み台装置203〜206を作成する。踏み台装置203〜206は、攻撃者が作成した仕掛けにしたがって、例えば、被攻撃機器207に対して同時に処理要求を送出する。被攻撃機器207は、多数の踏み台装置(踏み台装置203〜206)から同時に処理要求を受けることになるので、正常な運用が妨げられることになる。   FIG. 2 is an image diagram of a network in a state where a DDoS attack is executed. In FIG. 2, the attacker 201 creates a number of platform devices via the network 202 by intruding into the device or infecting the device with a virus. For example, as shown in FIG. 2, the attacker 201 creates the platform devices 203 to 206. The platform devices 203 to 206 simultaneously send processing requests to the attacked device 207, for example, according to the device created by the attacker. The attacked device 207 receives processing requests from a number of step devices (step devices 203 to 206) at the same time, which hinders normal operation.

従来、DoS攻撃やDDoS攻撃への対処方法としては、以下のような技術が提案されている。
例えば、攻撃の兆候を被攻撃側のエッジルータで検出し、このエッジルータで攻撃防御サーバにより決定された攻撃防御処理を行うシステム(例えば、特許文献1)や、防御側ネットワークの状況を監視し、攻撃を検出した際には、不正アクセス側ネットワークの機器に通信制御を指示して、踏み台装置の通信を制御するシステム(例えば、特許文献2)や、ネットワークにより公開されているサービスに対する不正アクセスの流入路を探索して、流入路のルータで不正アクセスを防ぐシステム(例えば、特許文献3)が提案されている。 Conventionally, the following techniques have been proposed as a method for dealing with DoS attacks and DDoS attacks.
For example, a system (for example, Patent Document 1) that detects an attack sign at an attacked edge router and performs an attack defense process determined by an attack defense server at this edge router, or a situation of a defending network is monitored. When an attack is detected, an unauthorized access side network device is instructed to perform communication control to control the communication of the platform device (for example, Patent Document 2), or unauthorized access to a service published by the network A system (for example, Patent Document 3) that searches for the inflow path of the network and prevents unauthorized access by the router of the inflow path has been proposed.

このような従来のシステムは、ネットワークに存在するルータ208〜216の単体処理又は連携処理によって、DoS攻撃やDDoS攻撃に対する攻撃防御処理を行うことを特徴とする。
特開2004−328307号公報 特開2002−158660号公報 特開2004−280724号公報 Such a conventional system is characterized in that it performs attack defense processing against a DoS attack or a DDoS attack by a single processing or cooperation processing of routers 208 to 216 existing in the network.
JP 2004-328307 A JP 2002-158660 A Japanese Patent Laid-Open No. 2004-280724

従来、DoS攻撃やDDoS攻撃に対処する技術として、攻撃を受ける被攻撃機器近くのエッジルータやネットワークで攻撃の兆候を検出し、検出した兆候に対して攻撃防御処理を行うシステムが提案されている。   Conventionally, as a technique for dealing with a DoS attack or a DDoS attack, a system has been proposed in which an attack sign is detected by an edge router or a network near an attacked device under attack, and an attack defense process is performed on the detected sign. .

例えば、エッジルータで攻撃を検出して攻撃防御処理を行うシステム(特許文献1)や、防御側ネットワークで攻撃を検出して、不正アクセス側ネットワークの機器により攻撃防御処理を行うシステム(特許文献2)や、不正アクセスの流入路を探索して、流入路のルータで不正アクセスに対する防御処理を行うシステムが提案されている。   For example, a system that detects an attack by an edge router and performs attack defense processing (Patent Document 1), or a system that detects an attack by a defense network and performs attack defense processing by a device on an unauthorized access network (Patent Document 2) In addition, a system has been proposed in which an inflow path of unauthorized access is searched and a router on the inflow path protects against unauthorized access.

これらのシステムは、ネットワーク上に存在するルータなどの機器間で連携をとり、被攻撃機器がDoS攻撃やDDoS攻撃されたことを検出して、被攻撃機器がシステムダウンしないように防御処理をすることはできる。しかし、攻撃元を特定したり、攻撃元付近で防御処理をするためには、被攻撃機器近くのルータから順に探索して攻撃元機器を特定する必要があり、探索のための手間や負荷がかかる。このため、攻撃元機器に対して、セキュリティパッチをあてたり、攻撃元機器に近いルータに対して攻撃防御処理を行うなどの対処処理が遅れたり、できない場合がある。セキュリティパッチをあてる処理とは、攻撃を受けた機器のソフトウェアを修正する処理である。また、攻撃防御処理とはルータから異常パケットや異常メッセージが送出されないようにする処理である。   These systems cooperate between devices such as routers that exist on the network, detect that the attacked device has been subjected to a DoS attack or DDoS attack, and perform defense processing to prevent the attacked device from going down the system. I can. However, in order to specify the attack source or to perform defense processing near the attack source, it is necessary to search from the router near the attacked device in order to identify the attack source device, and the time and effort for searching are reduced. Take it. For this reason, there are cases where countermeasure processing such as applying a security patch to the attack source device or performing attack defense processing on a router close to the attack source device is delayed or impossible. The process of applying a security patch is a process of correcting the software of an attacked device. The attack defense process is a process for preventing an abnormal packet or an abnormal message from being transmitted from the router.

また、従来のシステムでは、送信元を偽装された攻撃パケットについては、その攻撃元を特定することができないため、DoS攻撃やDDoS攻撃により踏み台装置になった機器を特定することはできない。   Moreover, in the conventional system, since the attack source cannot be specified for an attack packet whose transmission source is camouflaged, it is not possible to specify a device that has become a platform device due to a DoS attack or a DDoS attack.

また、従来のシステムは、被攻撃機器近くのルータで攻撃防御処理を行う場合があり、この場合、攻撃パケットがネットワークのリソースを消費することを防止できない。   In addition, the conventional system may perform attack defense processing in a router near the attacked device, and in this case, it is not possible to prevent attack packets from consuming network resources.

以上のことから、本発明では、ネットワーク上の機器やシステムが、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台装置になっているかを検出して、踏み台装置に対するメンテナンス処理や、踏み台装置又は踏み台装置近くのルータに対する攻撃防御処理を指示する攻撃検出装置を提供することを目的とする。   From the above, in the present invention, it is detected whether a device or system on the network has been subjected to a DoS attack or a DDoS attack to become a platform device for the attack, and the maintenance process for the platform device, the platform device or the platform It is an object of the present invention to provide an attack detection apparatus that instructs an attack defense process for a router near the apparatus.

本発明の攻撃検出装置は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、を備えることを特徴とする。   The attack detection apparatus according to the present invention includes a log collection unit that collects and aggregates destination log information that is transmitted from each of a plurality of devices and indicates a destination to which each device has transmitted information, and the log collection unit performs aggregation When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the destination log information, the unauthorized access is determined to have occurred for the destination. And a judging means.

また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段が、前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とする。   Further, the attack detection device of the present invention is characterized in that in the attack detection device, the unauthorized access determining means transmits a device that transmits information to a destination determined as being illegally accessed among the plurality of devices. It is specified from the destination log information indicating a destination.

また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備えることを特徴とする。   The attack detection apparatus of the present invention may perform maintenance processing on a plurality of devices that have transmitted the destination log information when the attack detection apparatus detects that unauthorized access is being performed by the unauthorized access determination means. Maintenance processing instruction means for instructing is provided.

また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備えることを特徴とする。   The attack detection apparatus according to the present invention may be configured such that when the unauthorized access determination unit detects that unauthorized access is being performed in the attack detection apparatus, the plurality of devices that have transmitted the destination log information, or the unauthorized It is characterized by comprising attack defense processing instruction means for instructing attack defense processing for a router on a route from the accessed destination to the plurality of devices.

また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記ログ収集手段が前記宛先ログ情報を前記機器の種別毎に集計し、前記閾値が前記機器の種別毎に設定されていることを特徴とする。   Further, in the attack detection device of the present invention, in the attack detection device, the log collection unit totals the destination log information for each type of the device, and the threshold is set for each type of the device. Features.

また、本発明の攻撃防御システムは、情報を送信した宛先を示す宛先ログ情報を収集する宛先ログ収集手段と、前記宛先ログ収集手段が収集した宛先ログ情報を送信するログ送信手段とを各々有する複数の機器と、前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置とを備えることを特徴とする。   The attack defense system of the present invention further includes destination log collection means for collecting destination log information indicating a destination to which information is transmitted, and log transmission means for transmitting destination log information collected by the destination log collection means. Collecting the destination log information transmitted from the log transmission means of each of the plurality of devices and the plurality of devices, based on the log collection means for summing up, and the destination log information tabulated by the log collection means, An attack detection device having unauthorized access determination means for determining that unauthorized access to a destination has occurred when it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold It is characterized by providing.

本発明の攻撃検出方法は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集するステップと、前記収集した宛先ログ情報を集計するステップと、前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、を含むことを特徴とする。   The attack detection method according to the present invention includes a step of collecting destination log information indicating a destination to which each device has transmitted information transmitted from each of a plurality of devices, a step of counting the collected destination log information, When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the aggregated destination log information, it is determined that an unauthorized access to the destination has occurred. And a step.

本発明の攻撃検出装置によれば、予め決められた複数の機器から、前記機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計し、前記宛先ログ情報に基づいて、前記複数の機器から同一の宛先へ送信される情報の数が、予め設定された閾値を超えているかを検出して、該宛先が不正アクセスされているかを判断するようにしたことから、前記複数の機器が、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台となり、不正アクセスを行っているかを検出することができる。   According to the attack detection device of the present invention, destination log information indicating a destination to which the device has transmitted information is collected from a plurality of predetermined devices, aggregated, and based on the destination log information, the plurality of Since the number of pieces of information transmitted from one device to the same destination exceeds a preset threshold value to determine whether the destination is illegally accessed, the plurality of devices However, when a DoS attack or a DDoS attack is received, it becomes a stepping stone for the attack, and it is possible to detect whether unauthorized access is being performed.

また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示する手段を備えるようにしたことから、複数の機器にメンテナンス処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器に対してセキュリティパッチをあてるといったメンテナンス処理を行うように指示することができる。   In addition, according to the attack detection device of the present invention, when the unauthorized access is detected in the attack detection device, the attack detection device includes means for instructing maintenance processing for a plurality of devices that have transmitted the destination log information. It is possible to instruct the means for performing maintenance processing on a plurality of devices to perform maintenance processing such as applying a security patch to a device that has been stepped on by DoS attack or DDoS attack.

また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したときに、前記宛先ログ情報を送信した複数の機器、又は不正アクセスの攻撃先である宛先から前記複数の機器への経路上にあるルータに対する攻撃防御処理を指示する手段を備えるようにしたことから、機器やルータに攻撃防御処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器又はそれに近いルータに対して異常パケットや異常メッセージの送信を制限するといった攻撃防御処理を行うように指示することができる。その結果、異常パケットや異常メッセージの送信によるネットワークのリソースの消費を攻撃元に近いところで早急に抑えることができる。   Further, according to the attack detection device of the present invention, when unauthorized access is detected in the attack detection device, the plurality of devices that have transmitted the destination log information, or the plurality of destinations that are attack destinations of unauthorized access, Since the means for instructing the attack defense processing for the router on the route to the device is provided, the device that is used as a stepping stone by the DoS attack or the DDoS attack is close to the device that performs the attack defense processing for the device or router. The router can be instructed to perform attack defense processing such as restricting transmission of abnormal packets and abnormal messages. As a result, it is possible to quickly suppress the consumption of network resources due to the transmission of abnormal packets and abnormal messages near the attack source.

また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、前記宛先ログ情報を前記機器の種別毎に集計し、不正アクセスの判断に用いる前記閾値を前記機器の種別毎に管理するようにしたことから、前記機器の用途や機能に応じて、前記機器の宛先に対する閾値を容易に設定することできる。   Further, according to the attack detection device of the present invention, in the attack detection device, the destination log information is aggregated for each type of the device, and the threshold value used for determination of unauthorized access is managed for each type of the device. Therefore, the threshold value for the destination of the device can be easily set according to the use and function of the device.

以下、本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1に係る攻撃検出装置を適用したネットワークのイメージ図である。図1に示すように、攻撃検出装置101は複数の登録機器を管理し、登録機器が攻撃者201からDoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台になっているかを検出する。そして、登録機器による不正アクセスを検出すると、登録機器にセキュリティパッチをあてるなどのメンテナンス処理を行うようメンテナンス処理手段102に指示する。さらに、登録機器、又は登録機器に近いルータに対して、異常パケットや異常メッセージの送出を制限するなどの攻撃防御処理を行うよう攻撃防御処理手段103に指示する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(Embodiment 1)
FIG. 1 is an image diagram of a network to which an attack detection apparatus according to Embodiment 1 of the present invention is applied. As shown in FIG. 1, the attack detection apparatus 101 manages a plurality of registered devices, and detects whether the registered device is subjected to a DoS attack or a DDoS attack from the attacker 201 and is a stepping stone for the attack. When unauthorized access by a registered device is detected, the maintenance processing unit 102 is instructed to perform maintenance processing such as applying a security patch to the registered device. Further, the attack defense processing unit 103 is instructed to perform attack defense processing such as restricting transmission of abnormal packets and abnormal messages to the registered device or a router close to the registered device.

図3に、本実施の形態1に係る攻撃検出装置101、及び攻撃検出装置101を含むネットワークシステムの構成例を示す。
図3に示すシステムは、攻撃検出装置101と、攻撃検出装置101が管理する登録機器104〜107と、メンテナンス処理手段102と、攻撃防御処理手段103とを有する。なお、図3において、登録機器104〜107は同一種類の機器であることとする。 FIG. 3 shows a configuration example of a network system including the attack detection apparatus 101 and the attack detection apparatus 101 according to the first embodiment.
The system shown in FIG. 3 includes an attack detection device 101, registered devices 104 to 107 managed by the attack detection device 101, maintenance processing means 102, and attack defense processing means 103. In FIG. 3, it is assumed that the registered devices 104 to 107 are the same type of device.

攻撃検出装置101は、登録機器104〜107から、各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段301と、宛先ログ情報を元に登録機器104〜107が被攻撃機器に不正アクセスしているかを判断する不正アクセス判断手段302と、不正アクセス判断手段302が不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303と、不正アクセス判断手段302が不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304とを備える。   The attack detection apparatus 101 collects destination log information indicating destinations to which each device has transmitted information from the registered devices 104 to 107, and collects the log information, and the registered devices 104 to 107 based on the destination log information. An unauthorized access determining unit 302 that determines whether or not an unauthorized device has accessed the attacked device, and a maintenance process instructing unit 303 that instructs the maintenance processing unit 102 to perform a maintenance process when the unauthorized access determining unit 302 detects unauthorized access. And an attack defense processing instruction means 304 that instructs the attack defense processing means 103 when the unauthorized access determination means 302 detects unauthorized access.

メンテナンス処理手段102は、メンテナンス処理指示手段303からの指示に基づいて、予め登録されている同一種類の登録機器全てに対してメンテナンス処理を行う。図3では、登録機器104〜107が同一種類の機器であるので、登録機器104〜107にセキュリティパッチをあてるなどのメンテナンス処理を行う。   The maintenance processing unit 102 performs maintenance processing for all registered devices of the same type registered in advance based on an instruction from the maintenance processing instruction unit 303. In FIG. 3, since the registered devices 104 to 107 are of the same type, maintenance processing such as applying a security patch to the registered devices 104 to 107 is performed.

攻撃防御処理手段103は、攻撃防御処理指示手段304からの指示に基づいて、登録機器又は登録機器から被攻撃機器への経路上に存在するルータに対して攻撃防御処理を行う。例えば、図1に示すように、登録機器105が踏み台装置となった場合には、登録機器105に問い合わせを行うなどして、被攻撃機器207への経路上で、登録機器105に近いルータ210を特定し、ルータ210に対して攻撃防御処理を行う。さらに、ルータ210に攻撃防御処理が行えない場合には、ルータ209など、経路上の他のルータに対して攻撃防御処理を行うようにする。また、予め登録されている同一種類の登録機器(登録機器104,106,107)から被攻撃機器207への経路上のルータに対しても、同様の攻撃防御処理を行う。これにより、攻撃元に近いところで、踏み台装置から異常パケットや異常メッセージなどがネットワークへ送出されるのを制限して、ネットワークリソースの無駄な消費を回避できる。   Based on the instruction from the attack defense processing instruction unit 304, the attack defense processing unit 103 performs attack defense processing on a registered device or a router existing on the route from the registered device to the attacked device. For example, as shown in FIG. 1, when the registered device 105 becomes a stepping-stand device, an inquiry is made to the registered device 105 and the router 210 close to the registered device 105 on the route to the attacked device 207. And the router 210 performs attack defense processing. Furthermore, when the router 210 cannot perform the attack defense processing, the attack defense processing is performed on another router on the route such as the router 209. The same attack defense processing is also performed on a router on the path from the same type of registered device (registered devices 104, 106, 107) registered in advance to the attacked device 207. As a result, it is possible to limit the sending of abnormal packets, abnormal messages, and the like from the platform device to the network near the attack source, thereby avoiding unnecessary consumption of network resources.

登録機器104〜107は、情報を送信した宛先(例えば、他の機器や端末やサーバ)を示す宛先ログ情報を収集する宛先ログ収集手段305と、宛先ログ収集手段305が収集した宛先ログ情報を攻撃検出装置101のログ収集手段301に送信するログ送信手段306とを備える。   The registered devices 104 to 107 include destination log collection means 305 that collects destination log information indicating a destination (for example, another device, terminal, or server) that transmitted the information, and destination log information collected by the destination log collection unit 305. Log transmission means 306 for transmitting to the log collection means 301 of the attack detection apparatus 101.

なお、登録機器104〜107は、宛先ログ収集手段305及びログ送信手段306を備えるようにしても、収集するログの種類は限定されており、また、重複するログ情報を1まとめにしたりできるので、宛先ログ情報を収集する処理の負荷や、宛先ログ情報を通信する負荷が大きくなることはない。   Even if the registered devices 104 to 107 include the destination log collection unit 305 and the log transmission unit 306, the types of logs to be collected are limited, and duplicate log information can be grouped together. The processing load for collecting the destination log information and the load for communicating the destination log information do not increase.

また、登録機器104〜107は、メンテナンス処理実行手段を備えるようにしても良い。メンテナンス処理実行手段は、メンテナンス処理手段102からの指示に基づいて、セキュリティパッチをあてるなどのメンテナンス処理を行い、さらに、セキュリティパッチの適用に伴いソフトウェアをバージョンアップして攻撃に対処する。   Further, the registered devices 104 to 107 may include a maintenance process execution unit. The maintenance processing execution means performs maintenance processing such as applying a security patch based on an instruction from the maintenance processing means 102, and further upgrades the software in response to application of the security patch to cope with the attack.

また、登録機器104〜107は、攻撃防御処理実行手段を備えるようにしても良い。攻撃防御処理実行手段は、攻撃防御処理手段103の指示に基づいて、ファイアウォールの設定を変更したり、異常パケットや異常メッセージの送出を制限したりする。また、このような攻撃防御処理実行手段を、図1に示す各ルータが備えるようにしても良い。   The registered devices 104 to 107 may include attack defense processing execution means. The attack defense processing execution means changes the firewall settings or restricts sending of abnormal packets and abnormal messages based on instructions from the attack defense processing means 103. Further, each of the routers shown in FIG. 1 may be provided with such attack defense processing execution means.

次に、攻撃検出装置101の動作について図4〜図8を用いて説明する。
図4は攻撃検出装置101が行う処理内容を示すフロー図である。図5、図6は、それぞれ登録機器104、登録機器105が送信する宛先ログ情報を示す図である。図5、図6に示す宛先ログ情報はそれぞれ、登録機器104、登録機器105が情報を送信した宛先IPアドレスと各宛先に送信した情報の数を組にしたリストである。「AA.AA.AA.AA」、「BB.BB.BB.BB」、「XX.XX.XX.XX」、「YY.YY.YY.YY」、及び「ZZ.ZZ.ZZ.ZZ」はそれぞれ宛先IPアドレスを示す文字列である。また、「数」とは、例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」であり、どの数にするかは予め決めておく。図7は宛先IPアドレスと宛先ログ情報の集計結果である宛先集計値とを組したリストである。図8は宛先IPアドレスと攻撃検出装置101が管理している閾値とを組したリストである。 Next, operation | movement of the attack detection apparatus 101 is demonstrated using FIGS.
FIG. 4 is a flowchart showing the processing contents performed by the attack detection apparatus 101. 5 and 6 are diagrams showing destination log information transmitted by the registered device 104 and the registered device 105, respectively. The destination log information shown in FIGS. 5 and 6 is a list in which the registered device 104 and the registered device 105 each set a destination IP address to which information is transmitted and the number of pieces of information transmitted to each destination. “AA.AA.AA.AA”, “BB.BB.BB.BB”, “XX.XX.XX.XX”, “YY.YY.YY.YY”, and “ZZ.ZZ.ZZ.ZZ” Is a character string indicating the destination IP address. The “number” is, for example, “number of transmitted packets”, “number of transmitted messages”, or “number of session settings”, and the number to be determined is determined in advance. FIG. 7 is a list in which the destination IP address and the destination total value that is the total result of the destination log information are combined. FIG. 8 is a list in which a destination IP address and a threshold value managed by the attack detection apparatus 101 are combined.

まず、ログ収集手段301は、一定時間おきに登録機器104〜107から宛先ログ情報を取得する(ステップS401)。
次に、ログ収集手段301は収集した宛先ログ情報を集計する(ステップS402)。図7に示すように、ログ収集手段301は同一の宛先IP毎に「数」を集計する。例えば、宛先IP「ZZ.ZZ.ZZ.ZZ」については、登録機器104が情報を送信した数「1」と登録機器105が情報を送信した数「1」とが加算され、宛先集計値は「2」となる。他の宛先IPについても同様に集計される。 First, the log collection unit 301 acquires destination log information from the registered devices 104 to 107 at regular intervals (step S401).
Next, the log collection unit 301 aggregates the collected destination log information (step S402). As illustrated in FIG. 7, the log collection unit 301 counts “number” for each identical destination IP. For example, for the destination IP “ZZ.ZZ.ZZ.ZZ”, the number “1” that the registered device 104 transmitted information and the number “1” that the registered device 105 transmitted information are added, and the destination aggregate value is “2”. The same calculation is performed for other destination IPs.

次に、不正アクセス判断手段302は、未参照の宛先集計値が存在するかどうかを判断し(ステップS403)、順次、宛先IP毎に宛先集計値と閾値との比較を行う(ステップS404)。不正アクセス判断手段302は、宛先集計値のうち、宛先IP「XX.XX.XX.XX」、「AA.AA.AA.AA」、及び「BB.BB.BB.BB」については閾値を超えていないため、正常と判断する(ステップS405)。また、宛先IP「YY.YY.YY.YY」については、閾値が設定されていないため、正常と判断する。一方、宛先IP「ZZ.ZZ.ZZ.ZZ」については、宛先集計値が「2」となっており、閾値「1」を超えているため、宛先IP「ZZ.ZZ.ZZ.ZZ」に対する不正アクセスが発生したと判断する(ステップS406)。   Next, the unauthorized access determination unit 302 determines whether there is an unreferenced destination aggregate value (step S403), and sequentially compares the destination aggregate value with a threshold value for each destination IP (step S404). The unauthorized access determination means 302 exceeds the threshold for the destination IPs “XX.XX.XX.XX”, “AA.AA.AA.AA”, and “BB.BB.BB.BB” among the destination total values. Therefore, it is determined as normal (step S405). Further, the destination IP “YY.YY.YY.YY” is determined to be normal because no threshold is set. On the other hand, for the destination IP “ZZ.ZZ.ZZ.ZZ”, the destination aggregate value is “2”, which exceeds the threshold value “1”, so that the destination IP “ZZ.ZZ.ZZ.ZZ” It is determined that unauthorized access has occurred (step S406).

次に、不正アクセスが検出されると、メンテナンス処理指示手段303はメンテナンス処理手段102にメンテナンス処理を、攻撃防御処理指示手段304は攻撃防御処理手段103に攻撃防御処理を指示する。すなわち、攻撃検出装置101はメンテナンス処理手段102及び攻撃防御処理手段103に不正アクセス対処処理の指示をする(ステップS407)。   Next, when unauthorized access is detected, the maintenance processing instruction unit 303 instructs the maintenance processing unit 102 to perform maintenance processing, and the attack defense processing instruction unit 304 instructs the attack defense processing unit 103 to perform attack defense processing. That is, the attack detection apparatus 101 instructs the maintenance processing unit 102 and the attack defense processing unit 103 to handle unauthorized access (step S407).

以上のようにして、宛先集計値と閾値とを順次比較し、全ての比較が終了すると、一連の攻撃検出動作は終了となる(ステップS408)。そして、次のログ取得タイミングで再び同様の動作が行われる。   As described above, the destination total value and the threshold value are sequentially compared, and when all the comparisons are completed, a series of attack detection operations are completed (step S408). Then, the same operation is performed again at the next log acquisition timing.

なお、図5、6で、登録機器104〜107が送信する宛先ログ情報の例として、宛先IPアドレスと各宛先へ送信される情報数とのリストを示したが、宛先ログ情報はこれに限るものではなく、送信先を示す情報であれば良い。例えば、宛先として、「宛先URL」や「メールアドレス」を示すものでも良い。   5 and 6 show a list of the destination IP address and the number of information transmitted to each destination as an example of the destination log information transmitted by the registered devices 104 to 107. However, the destination log information is limited to this. It may be information indicating a transmission destination, not a thing. For example, “destination URL” or “mail address” may be indicated as the destination.

また、図5〜図8では、「数」が1種類として示されているが、閾値は1種類に限定されるものではない。例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」といった数を組み合わせて閾値として定めることでも良い。   5 to 8, “number” is shown as one type, but the threshold is not limited to one type. For example, the threshold value may be determined by combining numbers such as “number of transmitted packets”, “number of transmitted messages”, and “number of set sessions”.

また、登録機器が送信する宛先ログ情報は図5、図6に示すリストに限るものではなく、宛先のみを示すリストでも良い。図9は宛先(宛先URL)のみを示す宛先ログ情報の一例を示す図である。図9に示す宛先ログ情報を受信した攻撃検出装置101は、1台の登録機器が送信した宛先の個数については検査せず、複数の登録機器から同一宛先に同時に情報が送信されているかどうかを検査することになる。宛先ログ情報が図9に示すリストの場合、ログ収集手段301は、図10に示すように、「登録機器数」を集計することになる。この場合、1つの登録機器から同一宛先へ情報が複数送信されても、1とみなし、集計を行う。そして、不正アクセス判断手段302が集計値と比較する閾値は、図11に示すように、宛先毎に設定された「登録機器数の閾値」となる。この場合、不正アクセス判断手段302は、「http://www.bbbb」の宛先URLに情報を送信した登録機器の数が閾値を超えるので、「http://www.bbbb」に対する不正アクセスが発生したと判断する。   Further, the destination log information transmitted by the registered device is not limited to the list shown in FIGS. 5 and 6, but may be a list showing only the destination. FIG. 9 is a diagram illustrating an example of destination log information indicating only a destination (destination URL). The attack detection apparatus 101 that has received the destination log information illustrated in FIG. 9 does not check the number of destinations transmitted by one registered device, and determines whether information is simultaneously transmitted from a plurality of registered devices to the same destination. Will be inspected. When the destination log information is the list shown in FIG. 9, the log collection unit 301 adds up the “number of registered devices” as shown in FIG. In this case, even if a plurality of pieces of information are transmitted from one registered device to the same destination, it is regarded as 1 and totalization is performed. Then, as shown in FIG. 11, the threshold value that the unauthorized access determination unit 302 compares with the total value is a “threshold value for the number of registered devices” set for each destination. In this case, since the number of registered devices that have transmitted information to the destination URL of “http: //www.bbbb” exceeds the threshold, the unauthorized access determination unit 302 does not access the “http: //www.bbbb”. Judge that it occurred.

また、攻撃検出装置101で管理する閾値については、登録機器の種別毎に設定するようにしても良い。この場合、宛先ログ情報の集計処理は登録機器の種別毎に行われる。ここでいう「登録機器の種別」とは、例えば、「電話」や「ネットワークカメラ」や「PC」や「DVDレコーダ」などの機器の用途やその機能を特定する種別を意味する。登録機器の用途や機能が特定されれば、その送信先に対する閾値を容易に定めることが可能となる。例えば、2者間通信を行う機能のみを有する「電話」であれば、呼制御等の特別な処理を行うサーバ以外への通信先が複数の機器で重複することはない。このため、複数の機器から同一の宛先に情報が送信された場合には、不正アクセスと判断することができる。また、サーバへのアクセスについても、仕様上、送信される限度の数を超える場合には、不正アクセスと判断することとして、閾値を設定することもできる。   The threshold managed by the attack detection apparatus 101 may be set for each type of registered device. In this case, the destination log information aggregation process is performed for each type of registered device. Here, “type of registered device” means a type that specifies the use and function of a device such as “telephone”, “network camera”, “PC”, or “DVD recorder”. If the use and function of the registered device are specified, it is possible to easily determine a threshold value for the transmission destination. For example, in the case of a “telephone” having only a function of performing communication between two parties, communication destinations other than a server that performs special processing such as call control do not overlap among a plurality of devices. For this reason, when information is transmitted from a plurality of devices to the same destination, it can be determined that the access is unauthorized. In addition, regarding the access to the server, if the number of transmitted limits is exceeded due to the specification, it is possible to set a threshold as determining that the access is unauthorized.

以上のように、本実施の形態1に係る攻撃検出装置によれば、管理している複数の登録機器(登録機器104〜107)から、各登録機器が情報を送信した宛先を示す宛先ログ情報を取得して、該宛先ログ情報に基づいて登録機器が不正アクセスを行っているかを判断するようにしたことから、登録機器が、DoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台となっているかを検出することができる。   As described above, according to the attack detection apparatus according to the first embodiment, destination log information indicating a destination to which each registered device has transmitted information from a plurality of managed registered devices (registered devices 104 to 107). And the registered device determines whether or not the registered device is performing unauthorized access based on the destination log information. Therefore, the registered device is subjected to a DoS attack or a DDoS attack and becomes a stepping stone for the attack. It can be detected.

さらに、本実施の形態1に係る攻撃検出装置によれば、不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器に対するメンテナンス処理の指示を行うことができる。   Furthermore, the attack detection apparatus according to the first embodiment includes the maintenance processing instruction unit 303 that instructs the maintenance processing unit 102 to perform maintenance processing when an unauthorized access is detected. Therefore, the DoS attack or DDoS attack is performed. In response to this, it is possible to instruct maintenance processing for the registered device that is the source of the attack.

さらに、本実施の形態1に係る攻撃検出装置は、不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器や該登録機器に近いルータに対する攻撃防御処理の指示を行うことができる。その結果、異常パケットや異常メッセージがネットワークリソースを消費するのを、攻撃元となった登録機器に近いところで抑えることができる。   Furthermore, since the attack detection apparatus according to the first embodiment includes the attack defense processing instruction unit 304 that instructs the attack defense processing unit 103 to perform attack defense processing when unauthorized access is detected, a DoS attack or DDoS It is possible to instruct an attack defense process for a registered device that has been attacked and a router close to the registered device. As a result, it is possible to suppress abnormal packets and abnormal messages from consuming network resources near the registered device that is the source of the attack.

(実施の形態2)
本発明の実施の形態2に係る攻撃検出装置は、不正アクセスを行っている登録機器を特定することを特徴とする。
本実施の形態2で、攻撃検出装置101は、まず、図4に示すステップS401〜ステップS406の処理を行う。そして、不正アクセス判断手段302が、不正アクセスの発生を検出したとき、不正アクセスをしている登録機器を特定する。図12は、不正アクセス判断手段302が不正アクセスをしている登録機器を特定する処理内容を示すフロー図である。 (Embodiment 2)
The attack detection apparatus according to the second embodiment of the present invention is characterized by specifying a registered device that performs unauthorized access.
In the second embodiment, the attack detection apparatus 101 first performs the processes of steps S401 to S406 shown in FIG. Then, when the unauthorized access determination unit 302 detects the occurrence of unauthorized access, it identifies the registered device that is performing unauthorized access. FIG. 12 is a flowchart showing the processing contents for the unauthorized access determining means 302 to specify the registered device that has made unauthorized access.

まず、不正アクセス判断手段302は、宛先ログ情報を参照していない登録機器があるかを判断し(ステップS1201)、未参照の登録機器の宛先ログ情報を参照する(ステップS1202)。そして、閾値を超える数の情報が送信された宛先が宛先ログ情報に含まれるかを判断し(ステップS1203)、登録機器が不正アクセスをしているかを判定する(ステップS1204、ステップS1205)。不正アクセスをしている登録機器を検出すると、不正アクセス判断手段302は、メンテナンス処理指示手段303と攻撃防御処理指示手段304に、その登録機器の情報を通知する。その後、メンテナンス処理指示手段303は、メンテナンス処理手段102に対して、メンテナンス処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。また、攻撃防御処理指示手段304は、攻撃防御処理手段103に対して、攻撃防御処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。   First, the unauthorized access determination unit 302 determines whether there is a registered device that does not refer to destination log information (step S1201), and refers to destination log information of an unreferenced registered device (step S1202). Then, it is determined whether or not the destination log information includes the destination to which the number of information exceeding the threshold is transmitted (step S1203), and it is determined whether the registered device is illegally accessed (step S1204 and step S1205). When the unauthorized device is detected, the unauthorized access determination unit 302 notifies the maintenance processing instruction unit 303 and the attack defense processing instruction unit 304 of the registered device information. Thereafter, the maintenance processing instruction unit 303 instructs the maintenance processing unit 102 to perform maintenance processing and notifies information on the registered device that has been illegally accessed. Further, the attack defense processing instruction unit 304 instructs the attack defense processing unit 103 to perform attack defense processing, and notifies information on a registered device that is illegally accessed.

例えば、登録機器104が図4に示す宛先ログ情報を、登録機器105が図5に示す宛先ログ情報を攻撃検出装置101に送信する場合、図7、8に示すように、宛先IP「ZZ.ZZ.ZZ.ZZ」の「数」が閾値を超えることから、不正アクセス判断手段302は、宛先IP「ZZ.ZZ.ZZ.ZZ」に不正アクセスが行われていると判断し、宛先IP「ZZ.ZZ.ZZ.ZZ」に情報を送信している登録機器104と登録機器105とが、不正アクセスをしている登録機器であることを特定する。   For example, when the registered device 104 transmits the destination log information shown in FIG. 4 and the registered device 105 sends the destination log information shown in FIG. 5 to the attack detection device 101, as shown in FIGS. Since the “number” of “ZZ.ZZ.ZZ” exceeds the threshold value, the unauthorized access determination means 302 determines that the destination IP “ZZ.ZZ.ZZ.ZZ” has been accessed illegally, and the destination IP “ It is specified that the registered device 104 and the registered device 105 that are transmitting information to “ZZ.ZZ.ZZ.ZZ” are unauthorized devices.

また、登録機器104〜107が図9に示すような宛先URLのみを含む宛先ログ情報を攻撃検出装置101に送信する場合、図10、図11に示すように、宛先URL「http://wwww.bbbb」に情報を送信する登録機器の数が閾値を超えることから、この宛先URLに情報を送信している登録機器が不正アクセスをしている登録機器であることを特定する。   When the registered devices 104 to 107 transmit destination log information including only the destination URL as shown in FIG. 9 to the attack detection apparatus 101, as shown in FIGS. 10 and 11, the destination URL “http: // www” is used. Since the number of registered devices that transmit information to “.bbbb” exceeds the threshold value, it is specified that the registered device that transmits information to the destination URL is a registered device that has made unauthorized access.

以上のように、本実施の形態2に係る攻撃検出装置によれば、管理する登録機器が不正アクセスをしていることを検出したときに、宛先ログ情報から不正アクセスしている登録機器を特定して、該登録機器の情報をメンテナンス処理手段102と攻撃防御処理手段103とに通知するようにしたことから、メンテナンス処理手段102は、不正アクセスをしている登録機器のみにメンテナンス処理をしたり、不正アクセスをしている登録機器から順にメンテナンス処理をすることができる。また、攻撃防御処理手段103は、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータのみに攻撃防御処理をしたり、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータから順に攻撃防御処理をすることができる。   As described above, according to the attack detection apparatus according to the second embodiment, when it is detected that the registered device to be managed is illegally accessed, the registered device that is illegally accessed is identified from the destination log information. Thus, since the information on the registered device is notified to the maintenance processing unit 102 and the attack defense processing unit 103, the maintenance processing unit 102 can perform maintenance processing only on the registered device that has made unauthorized access. Maintenance processing can be performed in order from the registered device that has made unauthorized access. Further, the attack defense processing means 103 performs attack defense processing only on a registered device that is illegally accessed or a router on the route from the registered device to the attacked device, or a registered device that is illegally accessed. Attack defense processing can be performed in order from the router on the path from the registered device to the attacked device.

本発明は、ネットワーク上で、ネットワーク家電やIP電話等の機器がDoS攻撃やDDoS攻撃を受けたことを検出して、機器がDoS攻撃やDDoS攻撃の踏み台装置となることを防ぐ、攻撃検出装置として有用である。   The present invention detects an attack of a device such as a network home appliance or an IP phone on a network and has received a DoS attack or a DDoS attack, and prevents the device from becoming a platform device for a DoS attack or a DDoS attack. Useful as.

本発明の実施の形態1に係る攻撃検出装置を含むネットワークのイメージ図である。It is an image figure of the network containing the attack detection apparatus which concerns on Embodiment 1 of this invention. DDoS攻撃が実行された状態のネットワークのイメージ図である。It is an image figure of the network in the state where the DDoS attack was executed. 本発明の実施の形態1に係る攻撃検出装置を有するネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system which has the attack detection apparatus which concerns on Embodiment 1 of this invention. 本発明の実施の形態1に係る攻撃検出装置が行う処理内容を示すフロー図である。It is a flowchart which shows the processing content which the attack detection apparatus which concerns on Embodiment 1 of this invention performs. 本発明の実施の形態1に係る攻撃検出装置が登録機器から受信する宛先ログ情報の一例を示す図である。It is a figure which shows an example of the destination log information which the attack detection apparatus which concerns on Embodiment 1 of this invention receives from a registration apparatus. 本発明の実施の形態1に係る攻撃検出装置が登録機器から受信する宛先ログ情報の一例を示す図である。It is a figure which shows an example of the destination log information which the attack detection apparatus which concerns on Embodiment 1 of this invention receives from a registration apparatus. 本発明の実施の形態1に係る攻撃検出装置が、登録機器から受信した宛先ログ情報を集計した結果の一例を示す図である。It is a figure which shows an example of the result which the attack detection apparatus which concerns on Embodiment 1 of this invention totaled the destination log information received from the registration apparatus. 本発明の実施の形態1に係る攻撃検出装置が管理している閾値の一例を示す図である。It is a figure which shows an example of the threshold value which the attack detection apparatus which concerns on Embodiment 1 of this invention manages. 本発明の実施の形態1に係る攻撃検出装置が登録機器から受信する宛先ログ情報の一例を示す図である。It is a figure which shows an example of the destination log information which the attack detection apparatus which concerns on Embodiment 1 of this invention receives from a registration apparatus. 本発明の実施の形態1に係る攻撃検出装置が、登録機器から受信した宛先ログ情報を集計した結果の一例を示す図である。It is a figure which shows an example of the result which the attack detection apparatus which concerns on Embodiment 1 of this invention totaled the destination log information received from the registration apparatus. 本発明の実施の形態1に係る攻撃検出装置が管理している閾値の一例を示す図である。It is a figure which shows an example of the threshold value which the attack detection apparatus which concerns on Embodiment 1 of this invention manages. 本発明の実施の形態2に係る攻撃検出装置が行う処理内容を示すフロー図である。It is a flowchart which shows the processing content which the attack detection apparatus which concerns on Embodiment 2 of this invention performs.

符号の説明Explanation of symbols

101 攻撃検出装置
102 メンテナンス処理手段
103 攻撃防御処理手段
104〜107 登録機器
201 攻撃者
202 ネットワーク
203〜206 踏み台装置
207 被攻撃機器
208〜216 ルータ
301 ログ収集手段
302 不正アクセス判断手段
303 メンテナンス処理指示手段
304 攻撃防御処理指示手段
305 宛先ログ収集手段
306 ログ送信手段 DESCRIPTION OF SYMBOLS 101 Attack detection apparatus 102 Maintenance processing means 103 Attack defense processing means 104-107 Registered device 201 Attacker 202 Network 203-206 Stepping device 207 Attacked device 208-216 Router 301 Log collection means 302 Unauthorized access judgment means 303 Maintenance processing instruction means 304 Attack defense processing instruction means 305 Destination log collection means 306 Log transmission means

Claims (7)

複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段と、
前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、
を備えることを特徴とした攻撃検出装置。 Log collection means that collects destination log information indicating a destination to which each device has transmitted information transmitted from each of a plurality of devices, and totalizes the log information;
When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the destination log information compiled by the log collection unit, unauthorized access to the destination occurs. Unauthorized access determination means to determine that,
An attack detection device comprising: 請求項1に記載の攻撃検出装置において、
前記不正アクセス判断手段は、
前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とした攻撃検出装置。 The attack detection apparatus according to claim 1,
The unauthorized access judging means
An attack detection apparatus characterized in that, among the plurality of devices, a device that transmits information to a destination determined to be unauthorized access is specified from the destination log information indicating the destination. 請求項1または2に記載の攻撃検出装置において、
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備える、
ことを特徴とした攻撃検出装置。 In the attack detection device according to claim 1 or 2,
A maintenance process instruction means for instructing a maintenance process for a plurality of devices that have transmitted the destination log information when the unauthorized access determination means detects that unauthorized access is being performed;
An attack detection device characterized by that. 請求項1から3のいずれかに記載の攻撃検出装置において、
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備える、
ことを特徴とした攻撃検出装置。 In the attack detection device according to any one of claims 1 to 3,
When it is detected by the unauthorized access judging means that unauthorized access is being performed, the plurality of devices that have transmitted the destination log information, or on the route from the unauthorized access destination to the plurality of devices An attack defense processing instruction means for instructing an attack defense process for the router,
An attack detection device characterized by that. 請求項1記載の攻撃検出装置において、
前記ログ収集手段は、前記宛先ログ情報を前記機器の種別毎に集計し、
前記閾値は、前記機器の種別毎に設定されている、
ことを特徴とした攻撃検出装置。 The attack detection device according to claim 1,
The log collecting means totals the destination log information for each type of the device,
The threshold is set for each type of the device,
An attack detection device characterized by that. 情報を送信した宛先を示す宛先ログ情報を収集する宛先ログ収集手段と、前記宛先ログ収集手段が収集した宛先ログ情報を送信するログ送信手段とを各々有する複数の機器と、
前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置と、
を備えることを特徴とした攻撃検出システム。 A plurality of devices each having destination log collection means for collecting destination log information indicating a destination to which information has been sent, and log transmission means for sending destination log information collected by the destination log collection means;
Collecting the destination log information transmitted from the log transmission means of each of the plurality of devices and collecting the log information from the plurality of devices based on the log collection means for collecting and collecting the destination log information collected by the log collection unit An attack detection device having unauthorized access determination means for determining that unauthorized access to the destination has occurred when it is detected that the number of pieces of information transmitted to the same destination exceeds a predetermined threshold;
An attack detection system comprising: 複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集するステップと、
前記収集した宛先ログ情報を集計するステップと、
前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、
を含むことを特徴とした攻撃検出方法。 Collecting destination log information transmitted from each of a plurality of devices and indicating a destination to which each device has transmitted information;
Totalizing the collected destination log information; and
Based on the aggregated destination log information, when it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold, it is determined that an unauthorized access to the destination has occurred. Steps,
The attack detection method characterized by including.
JP2005174279A 2005-06-14 2005-06-14 Attack detection device Pending JP2006350561A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005174279A JP2006350561A (en) 2005-06-14 2005-06-14 Attack detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005174279A JP2006350561A (en) 2005-06-14 2005-06-14 Attack detection device

Publications (1)

Publication Number Publication Date
JP2006350561A true JP2006350561A (en) 2006-12-28

Family

ID=37646351

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005174279A Pending JP2006350561A (en) 2005-06-14 2005-06-14 Attack detection device

Country Status (1)

Country Link
JP (1) JP2006350561A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110270A (en) * 2007-10-30 2009-05-21 Fujitsu Ltd Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP2009193409A (en) * 2008-02-15 2009-08-27 Nec Corp Electronic document processing system, electronic document processing method, its program and its recording medium
JP2010009185A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2010009186A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2010009187A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2016502340A (en) * 2012-11-22 2016-01-21 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior in communication networks
WO2016076207A1 (en) * 2014-11-10 2016-05-19 日本電信電話株式会社 Optimization device, optimization method, and optimization program
JP2016144217A (en) * 2016-05-12 2016-08-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 Repeating device, repeating method, and repeating program
JP2018160170A (en) * 2017-03-23 2018-10-11 富士通株式会社 Output program, information processing apparatus, output method, generating program, and generating method
US10542082B2 (en) 2015-01-29 2020-01-21 Ntt Communications Corporation Communication control apparatus, communication control method and communication control program
US20210273952A1 (en) * 2018-07-17 2021-09-02 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2009110270A (en) * 2007-10-30 2009-05-21 Fujitsu Ltd Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
US8375445B2 (en) 2007-10-30 2013-02-12 Fujitsu Limited Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP2009193409A (en) * 2008-02-15 2009-08-27 Nec Corp Electronic document processing system, electronic document processing method, its program and its recording medium
JP4645657B2 (en) * 2008-02-15 2011-03-09 日本電気株式会社 Telegram processing system, telegram processing method, program thereof, and recording medium thereof
JP2010009185A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2010009186A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2010009187A (en) * 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2016502340A (en) * 2012-11-22 2016-01-21 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior in communication networks
JP2018033144A (en) * 2012-11-22 2018-03-01 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ System for detecting behavior on communication network
US10924500B2 (en) 2012-11-22 2021-02-16 Koninklijke Kpn N.V. System to detect behaviour in a telecommunications network
WO2016076207A1 (en) * 2014-11-10 2016-05-19 日本電信電話株式会社 Optimization device, optimization method, and optimization program
CN107077433B (en) * 2014-11-10 2020-03-03 日本电信电话株式会社 Optimization device and optimization method
US10616270B2 (en) 2014-11-10 2020-04-07 Nippon Telegraph And Telephone Corporation Optimization apparatus, optimization method, and optimization program
US10542082B2 (en) 2015-01-29 2020-01-21 Ntt Communications Corporation Communication control apparatus, communication control method and communication control program
JP2016144217A (en) * 2016-05-12 2016-08-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 Repeating device, repeating method, and repeating program
JP2018160170A (en) * 2017-03-23 2018-10-11 富士通株式会社 Output program, information processing apparatus, output method, generating program, and generating method
US20210273952A1 (en) * 2018-07-17 2021-09-02 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method
US11843615B2 (en) * 2018-07-17 2023-12-12 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method

Similar Documents

Publication Publication Date Title
JP2006350561A (en) Attack detection device
US9781157B1 (en) Mitigating denial of service attacks
CN108289088B (en) Abnormal flow detection system and method based on business model
US9306964B2 (en) Using trust profiles for network breach detection
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
US20210112091A1 (en) Denial-of-service detection and mitigation solution
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
KR101111433B1 (en) Active network defense system and method
EP1817685B1 (en) Intrusion detection in a data center environment
Manavi Defense mechanisms against distributed denial of service attacks: A survey
US20060143709A1 (en) Network intrusion prevention
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
KR20060013491A (en) Network attack signature generation
US11483339B1 (en) Detecting attacks and quarantining malware infected devices
KR20130124692A (en) System and method for managing filtering information of attack traffic
CN114124516B (en) Situation awareness prediction method, device and system
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN114301647B (en) Method, device and system for predicting and defending vulnerability information in situation awareness
KR101380015B1 (en) Collaborative Protection Method and Apparatus for Distributed Denial of Service
US20080295153A1 (en) System and method for detection and communication of computer infection status in a networked environment
SHAAR et al. DDoS attacks and impacts on various cloud computing components
JP2008022498A (en) Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system
JP7060800B2 (en) Infection spread attack detection system and method, and program