JP2006350561A - Attack detection device - Google Patents
Attack detection device Download PDFInfo
- Publication number
- JP2006350561A JP2006350561A JP2005174279A JP2005174279A JP2006350561A JP 2006350561 A JP2006350561 A JP 2006350561A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2005174279 A JP2005174279 A JP 2005174279A JP 2006350561 A JP2006350561 A JP 2006350561A
- Authority
- JP
- Japan
- Prior art keywords
- destination
- attack
- unauthorized access
- devices
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信ネットワーク上の機器やシステムに対する不正アクセスに対処する技術に関し、特に、通信ネットワーク上の機器やシステムに対する分散型サービス拒否攻撃を検出する攻撃検出装置に関する。 The present invention relates to a technique for dealing with unauthorized access to devices and systems on a communication network, and more particularly to an attack detection device that detects a distributed denial of service attack on devices and systems on a communication network.
近年、インターネットの普及に伴い、Webアクセスや、電子メールをはじめとするネットワークを利用したサービスがますます増加しつつある。しかし、その一方で、ネットワークを介した不正アクセスやウィルスによって、サービスの正常運用が妨げられる危険性も増し、その対策が必要となってきている。 In recent years, with the spread of the Internet, services using a network such as Web access and electronic mail are increasing more and more. On the other hand, however, there is an increased risk that unauthorized operation via a network or a virus may interfere with the normal operation of the service, and countermeasures are required.
例えば、ファイアウォールや侵入検知システム(IDS:Intrusion Detection System)をネットワークに設置するといった対策がその代表的なものである。IDSでは、攻撃検出対象の攻撃パターンを記述した「シグネチャ」と呼ばれるルールに照らし合わせて攻撃を検出する。 For example, measures such as installing a firewall or an intrusion detection system (IDS: Intrusion Detection System) on the network are typical. In IDS, an attack is detected in light of a rule called “signature” that describes an attack pattern to be attack-detected.
しかし、故意に大量の処理要求を送信することで攻撃先のシステムの正常運用を妨げるサービス拒否攻撃(DoS:Denial of Services)の場合、1つ1つの処理要求は正常時に用いられるものであるため、IDSは、この攻撃をシグネチャによって検出することは困難であった。特に、攻撃元がネットワーク上に多数分散している分散型サービス拒否攻撃(DDoS:Distributed Denial of Services)の場合、攻撃者はネットワーク上で多数の踏み台装置を作成し、踏み台装置となった攻撃元は同時に同一宛先への処理要求を発行する。このため、踏み台装置の1つ1つが発行する処理要求を量的にも正常時のものと区別するのは困難であった。 However, in the case of a denial of service (DoS: Denial of Services) that prevents the normal operation of the attacked system by intentionally sending a large number of processing requests, each processing request is used normally. IDS was difficult to detect this attack by signature. In particular, in the case of a distributed denial of services (DDoS) in which a large number of attack sources are distributed on the network, the attacker creates a large number of platform devices on the network, and the attack source that has become the platform device Simultaneously issues a processing request to the same destination. For this reason, it has been difficult to distinguish the processing requests issued by each of the stepping platform devices from those at normal times.
図2は、DDoS攻撃が実行された状態のネットワークのイメージ図である。図2において、攻撃者201は、機器に侵入したり、機器にウィルスを感染させるなどして、ネットワーク202を介して踏み台装置を多数作成する。例えば、図2に示すように、攻撃者201は踏み台装置203〜206を作成する。踏み台装置203〜206は、攻撃者が作成した仕掛けにしたがって、例えば、被攻撃機器207に対して同時に処理要求を送出する。被攻撃機器207は、多数の踏み台装置(踏み台装置203〜206)から同時に処理要求を受けることになるので、正常な運用が妨げられることになる。
FIG. 2 is an image diagram of a network in a state where a DDoS attack is executed. In FIG. 2, the
従来、DoS攻撃やDDoS攻撃への対処方法としては、以下のような技術が提案されている。
例えば、攻撃の兆候を被攻撃側のエッジルータで検出し、このエッジルータで攻撃防御サーバにより決定された攻撃防御処理を行うシステム(例えば、特許文献1)や、防御側ネットワークの状況を監視し、攻撃を検出した際には、不正アクセス側ネットワークの機器に通信制御を指示して、踏み台装置の通信を制御するシステム(例えば、特許文献2)や、ネットワークにより公開されているサービスに対する不正アクセスの流入路を探索して、流入路のルータで不正アクセスを防ぐシステム(例えば、特許文献3)が提案されている。
Conventionally, the following techniques have been proposed as a method for dealing with DoS attacks and DDoS attacks.
For example, a system (for example, Patent Document 1) that detects an attack sign at an attacked edge router and performs an attack defense process determined by an attack defense server at this edge router, or a situation of a defending network is monitored. When an attack is detected, an unauthorized access side network device is instructed to perform communication control to control the communication of the platform device (for example, Patent Document 2), or unauthorized access to a service published by the network A system (for example, Patent Document 3) that searches for the inflow path of the network and prevents unauthorized access by the router of the inflow path has been proposed.
このような従来のシステムは、ネットワークに存在するルータ208〜216の単体処理又は連携処理によって、DoS攻撃やDDoS攻撃に対する攻撃防御処理を行うことを特徴とする。
従来、DoS攻撃やDDoS攻撃に対処する技術として、攻撃を受ける被攻撃機器近くのエッジルータやネットワークで攻撃の兆候を検出し、検出した兆候に対して攻撃防御処理を行うシステムが提案されている。 Conventionally, as a technique for dealing with a DoS attack or a DDoS attack, a system has been proposed in which an attack sign is detected by an edge router or a network near an attacked device under attack, and an attack defense process is performed on the detected sign. .
例えば、エッジルータで攻撃を検出して攻撃防御処理を行うシステム(特許文献1)や、防御側ネットワークで攻撃を検出して、不正アクセス側ネットワークの機器により攻撃防御処理を行うシステム(特許文献2)や、不正アクセスの流入路を探索して、流入路のルータで不正アクセスに対する防御処理を行うシステムが提案されている。 For example, a system that detects an attack by an edge router and performs attack defense processing (Patent Document 1), or a system that detects an attack by a defense network and performs attack defense processing by a device on an unauthorized access network (Patent Document 2) In addition, a system has been proposed in which an inflow path of unauthorized access is searched and a router on the inflow path protects against unauthorized access.
これらのシステムは、ネットワーク上に存在するルータなどの機器間で連携をとり、被攻撃機器がDoS攻撃やDDoS攻撃されたことを検出して、被攻撃機器がシステムダウンしないように防御処理をすることはできる。しかし、攻撃元を特定したり、攻撃元付近で防御処理をするためには、被攻撃機器近くのルータから順に探索して攻撃元機器を特定する必要があり、探索のための手間や負荷がかかる。このため、攻撃元機器に対して、セキュリティパッチをあてたり、攻撃元機器に近いルータに対して攻撃防御処理を行うなどの対処処理が遅れたり、できない場合がある。セキュリティパッチをあてる処理とは、攻撃を受けた機器のソフトウェアを修正する処理である。また、攻撃防御処理とはルータから異常パケットや異常メッセージが送出されないようにする処理である。 These systems cooperate between devices such as routers that exist on the network, detect that the attacked device has been subjected to a DoS attack or DDoS attack, and perform defense processing to prevent the attacked device from going down the system. I can. However, in order to specify the attack source or to perform defense processing near the attack source, it is necessary to search from the router near the attacked device in order to identify the attack source device, and the time and effort for searching are reduced. Take it. For this reason, there are cases where countermeasure processing such as applying a security patch to the attack source device or performing attack defense processing on a router close to the attack source device is delayed or impossible. The process of applying a security patch is a process of correcting the software of an attacked device. The attack defense process is a process for preventing an abnormal packet or an abnormal message from being transmitted from the router.
また、従来のシステムでは、送信元を偽装された攻撃パケットについては、その攻撃元を特定することができないため、DoS攻撃やDDoS攻撃により踏み台装置になった機器を特定することはできない。 Moreover, in the conventional system, since the attack source cannot be specified for an attack packet whose transmission source is camouflaged, it is not possible to specify a device that has become a platform device due to a DoS attack or a DDoS attack.
また、従来のシステムは、被攻撃機器近くのルータで攻撃防御処理を行う場合があり、この場合、攻撃パケットがネットワークのリソースを消費することを防止できない。 In addition, the conventional system may perform attack defense processing in a router near the attacked device, and in this case, it is not possible to prevent attack packets from consuming network resources.
以上のことから、本発明では、ネットワーク上の機器やシステムが、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台装置になっているかを検出して、踏み台装置に対するメンテナンス処理や、踏み台装置又は踏み台装置近くのルータに対する攻撃防御処理を指示する攻撃検出装置を提供することを目的とする。 From the above, in the present invention, it is detected whether a device or system on the network has been subjected to a DoS attack or a DDoS attack to become a platform device for the attack, and the maintenance process for the platform device, the platform device or the platform It is an object of the present invention to provide an attack detection apparatus that instructs an attack defense process for a router near the apparatus.
本発明の攻撃検出装置は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、を備えることを特徴とする。 The attack detection apparatus according to the present invention includes a log collection unit that collects and aggregates destination log information that is transmitted from each of a plurality of devices and indicates a destination to which each device has transmitted information, and the log collection unit performs aggregation When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the destination log information, the unauthorized access is determined to have occurred for the destination. And a judging means.
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段が、前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とする。 Further, the attack detection device of the present invention is characterized in that in the attack detection device, the unauthorized access determining means transmits a device that transmits information to a destination determined as being illegally accessed among the plurality of devices. It is specified from the destination log information indicating a destination.
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備えることを特徴とする。 The attack detection apparatus of the present invention may perform maintenance processing on a plurality of devices that have transmitted the destination log information when the attack detection apparatus detects that unauthorized access is being performed by the unauthorized access determination means. Maintenance processing instruction means for instructing is provided.
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備えることを特徴とする。 The attack detection apparatus according to the present invention may be configured such that when the unauthorized access determination unit detects that unauthorized access is being performed in the attack detection apparatus, the plurality of devices that have transmitted the destination log information, or the unauthorized It is characterized by comprising attack defense processing instruction means for instructing attack defense processing for a router on a route from the accessed destination to the plurality of devices.
また、本発明の攻撃検出装置は、前記攻撃検出装置において、前記ログ収集手段が前記宛先ログ情報を前記機器の種別毎に集計し、前記閾値が前記機器の種別毎に設定されていることを特徴とする。 Further, in the attack detection device of the present invention, in the attack detection device, the log collection unit totals the destination log information for each type of the device, and the threshold is set for each type of the device. Features.
また、本発明の攻撃防御システムは、情報を送信した宛先を示す宛先ログ情報を収集する宛先ログ収集手段と、前記宛先ログ収集手段が収集した宛先ログ情報を送信するログ送信手段とを各々有する複数の機器と、前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置とを備えることを特徴とする。 The attack defense system of the present invention further includes destination log collection means for collecting destination log information indicating a destination to which information is transmitted, and log transmission means for transmitting destination log information collected by the destination log collection means. Collecting the destination log information transmitted from the log transmission means of each of the plurality of devices and the plurality of devices, based on the log collection means for summing up, and the destination log information tabulated by the log collection means, An attack detection device having unauthorized access determination means for determining that unauthorized access to a destination has occurred when it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold It is characterized by providing.
本発明の攻撃検出方法は、複数の機器の各々から送信される、前記各機器が情報を送信した宛先を示す宛先ログ情報を収集するステップと、前記収集した宛先ログ情報を集計するステップと、前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、を含むことを特徴とする。 The attack detection method according to the present invention includes a step of collecting destination log information indicating a destination to which each device has transmitted information transmitted from each of a plurality of devices, a step of counting the collected destination log information, When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the aggregated destination log information, it is determined that an unauthorized access to the destination has occurred. And a step.
本発明の攻撃検出装置によれば、予め決められた複数の機器から、前記機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計し、前記宛先ログ情報に基づいて、前記複数の機器から同一の宛先へ送信される情報の数が、予め設定された閾値を超えているかを検出して、該宛先が不正アクセスされているかを判断するようにしたことから、前記複数の機器が、DoS攻撃やDDoS攻撃を受けて該攻撃の踏み台となり、不正アクセスを行っているかを検出することができる。 According to the attack detection device of the present invention, destination log information indicating a destination to which the device has transmitted information is collected from a plurality of predetermined devices, aggregated, and based on the destination log information, the plurality of Since the number of pieces of information transmitted from one device to the same destination exceeds a preset threshold value to determine whether the destination is illegally accessed, the plurality of devices However, when a DoS attack or a DDoS attack is received, it becomes a stepping stone for the attack, and it is possible to detect whether unauthorized access is being performed.
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示する手段を備えるようにしたことから、複数の機器にメンテナンス処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器に対してセキュリティパッチをあてるといったメンテナンス処理を行うように指示することができる。 In addition, according to the attack detection device of the present invention, when the unauthorized access is detected in the attack detection device, the attack detection device includes means for instructing maintenance processing for a plurality of devices that have transmitted the destination log information. It is possible to instruct the means for performing maintenance processing on a plurality of devices to perform maintenance processing such as applying a security patch to a device that has been stepped on by DoS attack or DDoS attack.
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、不正アクセスを検出したときに、前記宛先ログ情報を送信した複数の機器、又は不正アクセスの攻撃先である宛先から前記複数の機器への経路上にあるルータに対する攻撃防御処理を指示する手段を備えるようにしたことから、機器やルータに攻撃防御処理を行う手段に、DoS攻撃やDDoS攻撃によって踏み台にされた機器又はそれに近いルータに対して異常パケットや異常メッセージの送信を制限するといった攻撃防御処理を行うように指示することができる。その結果、異常パケットや異常メッセージの送信によるネットワークのリソースの消費を攻撃元に近いところで早急に抑えることができる。 Further, according to the attack detection device of the present invention, when unauthorized access is detected in the attack detection device, the plurality of devices that have transmitted the destination log information, or the plurality of destinations that are attack destinations of unauthorized access, Since the means for instructing the attack defense processing for the router on the route to the device is provided, the device that is used as a stepping stone by the DoS attack or the DDoS attack is close to the device that performs the attack defense processing for the device or router. The router can be instructed to perform attack defense processing such as restricting transmission of abnormal packets and abnormal messages. As a result, it is possible to quickly suppress the consumption of network resources due to the transmission of abnormal packets and abnormal messages near the attack source.
また、本発明の攻撃検出装置によれば、前記攻撃検出装置において、前記宛先ログ情報を前記機器の種別毎に集計し、不正アクセスの判断に用いる前記閾値を前記機器の種別毎に管理するようにしたことから、前記機器の用途や機能に応じて、前記機器の宛先に対する閾値を容易に設定することできる。 Further, according to the attack detection device of the present invention, in the attack detection device, the destination log information is aggregated for each type of the device, and the threshold value used for determination of unauthorized access is managed for each type of the device. Therefore, the threshold value for the destination of the device can be easily set according to the use and function of the device.
以下、本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1に係る攻撃検出装置を適用したネットワークのイメージ図である。図1に示すように、攻撃検出装置101は複数の登録機器を管理し、登録機器が攻撃者201からDoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台になっているかを検出する。そして、登録機器による不正アクセスを検出すると、登録機器にセキュリティパッチをあてるなどのメンテナンス処理を行うようメンテナンス処理手段102に指示する。さらに、登録機器、又は登録機器に近いルータに対して、異常パケットや異常メッセージの送出を制限するなどの攻撃防御処理を行うよう攻撃防御処理手段103に指示する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(Embodiment 1)
FIG. 1 is an image diagram of a network to which an attack detection apparatus according to
図3に、本実施の形態1に係る攻撃検出装置101、及び攻撃検出装置101を含むネットワークシステムの構成例を示す。
図3に示すシステムは、攻撃検出装置101と、攻撃検出装置101が管理する登録機器104〜107と、メンテナンス処理手段102と、攻撃防御処理手段103とを有する。なお、図3において、登録機器104〜107は同一種類の機器であることとする。
FIG. 3 shows a configuration example of a network system including the
The system shown in FIG. 3 includes an
攻撃検出装置101は、登録機器104〜107から、各機器が情報を送信した宛先を示す宛先ログ情報を収集して、集計するログ収集手段301と、宛先ログ情報を元に登録機器104〜107が被攻撃機器に不正アクセスしているかを判断する不正アクセス判断手段302と、不正アクセス判断手段302が不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303と、不正アクセス判断手段302が不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304とを備える。
The
メンテナンス処理手段102は、メンテナンス処理指示手段303からの指示に基づいて、予め登録されている同一種類の登録機器全てに対してメンテナンス処理を行う。図3では、登録機器104〜107が同一種類の機器であるので、登録機器104〜107にセキュリティパッチをあてるなどのメンテナンス処理を行う。
The
攻撃防御処理手段103は、攻撃防御処理指示手段304からの指示に基づいて、登録機器又は登録機器から被攻撃機器への経路上に存在するルータに対して攻撃防御処理を行う。例えば、図1に示すように、登録機器105が踏み台装置となった場合には、登録機器105に問い合わせを行うなどして、被攻撃機器207への経路上で、登録機器105に近いルータ210を特定し、ルータ210に対して攻撃防御処理を行う。さらに、ルータ210に攻撃防御処理が行えない場合には、ルータ209など、経路上の他のルータに対して攻撃防御処理を行うようにする。また、予め登録されている同一種類の登録機器(登録機器104,106,107)から被攻撃機器207への経路上のルータに対しても、同様の攻撃防御処理を行う。これにより、攻撃元に近いところで、踏み台装置から異常パケットや異常メッセージなどがネットワークへ送出されるのを制限して、ネットワークリソースの無駄な消費を回避できる。
Based on the instruction from the attack defense
登録機器104〜107は、情報を送信した宛先(例えば、他の機器や端末やサーバ)を示す宛先ログ情報を収集する宛先ログ収集手段305と、宛先ログ収集手段305が収集した宛先ログ情報を攻撃検出装置101のログ収集手段301に送信するログ送信手段306とを備える。
The registered
なお、登録機器104〜107は、宛先ログ収集手段305及びログ送信手段306を備えるようにしても、収集するログの種類は限定されており、また、重複するログ情報を1まとめにしたりできるので、宛先ログ情報を収集する処理の負荷や、宛先ログ情報を通信する負荷が大きくなることはない。
Even if the registered
また、登録機器104〜107は、メンテナンス処理実行手段を備えるようにしても良い。メンテナンス処理実行手段は、メンテナンス処理手段102からの指示に基づいて、セキュリティパッチをあてるなどのメンテナンス処理を行い、さらに、セキュリティパッチの適用に伴いソフトウェアをバージョンアップして攻撃に対処する。
Further, the registered
また、登録機器104〜107は、攻撃防御処理実行手段を備えるようにしても良い。攻撃防御処理実行手段は、攻撃防御処理手段103の指示に基づいて、ファイアウォールの設定を変更したり、異常パケットや異常メッセージの送出を制限したりする。また、このような攻撃防御処理実行手段を、図1に示す各ルータが備えるようにしても良い。
The registered
次に、攻撃検出装置101の動作について図4〜図8を用いて説明する。
図4は攻撃検出装置101が行う処理内容を示すフロー図である。図5、図6は、それぞれ登録機器104、登録機器105が送信する宛先ログ情報を示す図である。図5、図6に示す宛先ログ情報はそれぞれ、登録機器104、登録機器105が情報を送信した宛先IPアドレスと各宛先に送信した情報の数を組にしたリストである。「AA.AA.AA.AA」、「BB.BB.BB.BB」、「XX.XX.XX.XX」、「YY.YY.YY.YY」、及び「ZZ.ZZ.ZZ.ZZ」はそれぞれ宛先IPアドレスを示す文字列である。また、「数」とは、例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」であり、どの数にするかは予め決めておく。図7は宛先IPアドレスと宛先ログ情報の集計結果である宛先集計値とを組したリストである。図8は宛先IPアドレスと攻撃検出装置101が管理している閾値とを組したリストである。
Next, operation | movement of the
FIG. 4 is a flowchart showing the processing contents performed by the
まず、ログ収集手段301は、一定時間おきに登録機器104〜107から宛先ログ情報を取得する(ステップS401)。
次に、ログ収集手段301は収集した宛先ログ情報を集計する(ステップS402)。図7に示すように、ログ収集手段301は同一の宛先IP毎に「数」を集計する。例えば、宛先IP「ZZ.ZZ.ZZ.ZZ」については、登録機器104が情報を送信した数「1」と登録機器105が情報を送信した数「1」とが加算され、宛先集計値は「2」となる。他の宛先IPについても同様に集計される。
First, the
Next, the
次に、不正アクセス判断手段302は、未参照の宛先集計値が存在するかどうかを判断し(ステップS403)、順次、宛先IP毎に宛先集計値と閾値との比較を行う(ステップS404)。不正アクセス判断手段302は、宛先集計値のうち、宛先IP「XX.XX.XX.XX」、「AA.AA.AA.AA」、及び「BB.BB.BB.BB」については閾値を超えていないため、正常と判断する(ステップS405)。また、宛先IP「YY.YY.YY.YY」については、閾値が設定されていないため、正常と判断する。一方、宛先IP「ZZ.ZZ.ZZ.ZZ」については、宛先集計値が「2」となっており、閾値「1」を超えているため、宛先IP「ZZ.ZZ.ZZ.ZZ」に対する不正アクセスが発生したと判断する(ステップS406)。
Next, the unauthorized
次に、不正アクセスが検出されると、メンテナンス処理指示手段303はメンテナンス処理手段102にメンテナンス処理を、攻撃防御処理指示手段304は攻撃防御処理手段103に攻撃防御処理を指示する。すなわち、攻撃検出装置101はメンテナンス処理手段102及び攻撃防御処理手段103に不正アクセス対処処理の指示をする(ステップS407)。
Next, when unauthorized access is detected, the maintenance
以上のようにして、宛先集計値と閾値とを順次比較し、全ての比較が終了すると、一連の攻撃検出動作は終了となる(ステップS408)。そして、次のログ取得タイミングで再び同様の動作が行われる。 As described above, the destination total value and the threshold value are sequentially compared, and when all the comparisons are completed, a series of attack detection operations are completed (step S408). Then, the same operation is performed again at the next log acquisition timing.
なお、図5、6で、登録機器104〜107が送信する宛先ログ情報の例として、宛先IPアドレスと各宛先へ送信される情報数とのリストを示したが、宛先ログ情報はこれに限るものではなく、送信先を示す情報であれば良い。例えば、宛先として、「宛先URL」や「メールアドレス」を示すものでも良い。
5 and 6 show a list of the destination IP address and the number of information transmitted to each destination as an example of the destination log information transmitted by the registered
また、図5〜図8では、「数」が1種類として示されているが、閾値は1種類に限定されるものではない。例えば、「送信パケット数」や「送信メッセージ数」や「セッション設定数」といった数を組み合わせて閾値として定めることでも良い。 5 to 8, “number” is shown as one type, but the threshold is not limited to one type. For example, the threshold value may be determined by combining numbers such as “number of transmitted packets”, “number of transmitted messages”, and “number of set sessions”.
また、登録機器が送信する宛先ログ情報は図5、図6に示すリストに限るものではなく、宛先のみを示すリストでも良い。図9は宛先(宛先URL)のみを示す宛先ログ情報の一例を示す図である。図9に示す宛先ログ情報を受信した攻撃検出装置101は、1台の登録機器が送信した宛先の個数については検査せず、複数の登録機器から同一宛先に同時に情報が送信されているかどうかを検査することになる。宛先ログ情報が図9に示すリストの場合、ログ収集手段301は、図10に示すように、「登録機器数」を集計することになる。この場合、1つの登録機器から同一宛先へ情報が複数送信されても、1とみなし、集計を行う。そして、不正アクセス判断手段302が集計値と比較する閾値は、図11に示すように、宛先毎に設定された「登録機器数の閾値」となる。この場合、不正アクセス判断手段302は、「http://www.bbbb」の宛先URLに情報を送信した登録機器の数が閾値を超えるので、「http://www.bbbb」に対する不正アクセスが発生したと判断する。
Further, the destination log information transmitted by the registered device is not limited to the list shown in FIGS. 5 and 6, but may be a list showing only the destination. FIG. 9 is a diagram illustrating an example of destination log information indicating only a destination (destination URL). The
また、攻撃検出装置101で管理する閾値については、登録機器の種別毎に設定するようにしても良い。この場合、宛先ログ情報の集計処理は登録機器の種別毎に行われる。ここでいう「登録機器の種別」とは、例えば、「電話」や「ネットワークカメラ」や「PC」や「DVDレコーダ」などの機器の用途やその機能を特定する種別を意味する。登録機器の用途や機能が特定されれば、その送信先に対する閾値を容易に定めることが可能となる。例えば、2者間通信を行う機能のみを有する「電話」であれば、呼制御等の特別な処理を行うサーバ以外への通信先が複数の機器で重複することはない。このため、複数の機器から同一の宛先に情報が送信された場合には、不正アクセスと判断することができる。また、サーバへのアクセスについても、仕様上、送信される限度の数を超える場合には、不正アクセスと判断することとして、閾値を設定することもできる。
The threshold managed by the
以上のように、本実施の形態1に係る攻撃検出装置によれば、管理している複数の登録機器(登録機器104〜107)から、各登録機器が情報を送信した宛先を示す宛先ログ情報を取得して、該宛先ログ情報に基づいて登録機器が不正アクセスを行っているかを判断するようにしたことから、登録機器が、DoS攻撃やDDoS攻撃を受けて、該攻撃の踏み台となっているかを検出することができる。
As described above, according to the attack detection apparatus according to the first embodiment, destination log information indicating a destination to which each registered device has transmitted information from a plurality of managed registered devices (registered
さらに、本実施の形態1に係る攻撃検出装置によれば、不正アクセスを検出したときに、メンテナンス処理手段102にメンテナンス処理を指示するメンテナンス処理指示手段303を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器に対するメンテナンス処理の指示を行うことができる。
Furthermore, the attack detection apparatus according to the first embodiment includes the maintenance
さらに、本実施の形態1に係る攻撃検出装置は、不正アクセスを検出したときに、攻撃防御処理手段103に攻撃防御処理を指示する攻撃防御処理指示手段304を備えたことから、DoS攻撃やDDoS攻撃を受けて攻撃元となった登録機器や該登録機器に近いルータに対する攻撃防御処理の指示を行うことができる。その結果、異常パケットや異常メッセージがネットワークリソースを消費するのを、攻撃元となった登録機器に近いところで抑えることができる。
Furthermore, since the attack detection apparatus according to the first embodiment includes the attack defense
(実施の形態2)
本発明の実施の形態2に係る攻撃検出装置は、不正アクセスを行っている登録機器を特定することを特徴とする。
本実施の形態2で、攻撃検出装置101は、まず、図4に示すステップS401〜ステップS406の処理を行う。そして、不正アクセス判断手段302が、不正アクセスの発生を検出したとき、不正アクセスをしている登録機器を特定する。図12は、不正アクセス判断手段302が不正アクセスをしている登録機器を特定する処理内容を示すフロー図である。
(Embodiment 2)
The attack detection apparatus according to the second embodiment of the present invention is characterized by specifying a registered device that performs unauthorized access.
In the second embodiment, the
まず、不正アクセス判断手段302は、宛先ログ情報を参照していない登録機器があるかを判断し(ステップS1201)、未参照の登録機器の宛先ログ情報を参照する(ステップS1202)。そして、閾値を超える数の情報が送信された宛先が宛先ログ情報に含まれるかを判断し(ステップS1203)、登録機器が不正アクセスをしているかを判定する(ステップS1204、ステップS1205)。不正アクセスをしている登録機器を検出すると、不正アクセス判断手段302は、メンテナンス処理指示手段303と攻撃防御処理指示手段304に、その登録機器の情報を通知する。その後、メンテナンス処理指示手段303は、メンテナンス処理手段102に対して、メンテナンス処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。また、攻撃防御処理指示手段304は、攻撃防御処理手段103に対して、攻撃防御処理を指示すると共に、不正アクセスしている登録機器の情報を通知する。
First, the unauthorized
例えば、登録機器104が図4に示す宛先ログ情報を、登録機器105が図5に示す宛先ログ情報を攻撃検出装置101に送信する場合、図7、8に示すように、宛先IP「ZZ.ZZ.ZZ.ZZ」の「数」が閾値を超えることから、不正アクセス判断手段302は、宛先IP「ZZ.ZZ.ZZ.ZZ」に不正アクセスが行われていると判断し、宛先IP「ZZ.ZZ.ZZ.ZZ」に情報を送信している登録機器104と登録機器105とが、不正アクセスをしている登録機器であることを特定する。
For example, when the registered
また、登録機器104〜107が図9に示すような宛先URLのみを含む宛先ログ情報を攻撃検出装置101に送信する場合、図10、図11に示すように、宛先URL「http://wwww.bbbb」に情報を送信する登録機器の数が閾値を超えることから、この宛先URLに情報を送信している登録機器が不正アクセスをしている登録機器であることを特定する。
When the registered
以上のように、本実施の形態2に係る攻撃検出装置によれば、管理する登録機器が不正アクセスをしていることを検出したときに、宛先ログ情報から不正アクセスしている登録機器を特定して、該登録機器の情報をメンテナンス処理手段102と攻撃防御処理手段103とに通知するようにしたことから、メンテナンス処理手段102は、不正アクセスをしている登録機器のみにメンテナンス処理をしたり、不正アクセスをしている登録機器から順にメンテナンス処理をすることができる。また、攻撃防御処理手段103は、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータのみに攻撃防御処理をしたり、不正アクセスをしている登録機器や該登録機器から被攻撃機器への経路上にあるルータから順に攻撃防御処理をすることができる。
As described above, according to the attack detection apparatus according to the second embodiment, when it is detected that the registered device to be managed is illegally accessed, the registered device that is illegally accessed is identified from the destination log information. Thus, since the information on the registered device is notified to the
本発明は、ネットワーク上で、ネットワーク家電やIP電話等の機器がDoS攻撃やDDoS攻撃を受けたことを検出して、機器がDoS攻撃やDDoS攻撃の踏み台装置となることを防ぐ、攻撃検出装置として有用である。 The present invention detects an attack of a device such as a network home appliance or an IP phone on a network and has received a DoS attack or a DDoS attack, and prevents the device from becoming a platform device for a DoS attack or a DDoS attack. Useful as.
101 攻撃検出装置
102 メンテナンス処理手段
103 攻撃防御処理手段
104〜107 登録機器
201 攻撃者
202 ネットワーク
203〜206 踏み台装置
207 被攻撃機器
208〜216 ルータ
301 ログ収集手段
302 不正アクセス判断手段
303 メンテナンス処理指示手段
304 攻撃防御処理指示手段
305 宛先ログ収集手段
306 ログ送信手段
DESCRIPTION OF
Claims (7)
前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段と、
を備えることを特徴とした攻撃検出装置。 Log collection means that collects destination log information indicating a destination to which each device has transmitted information transmitted from each of a plurality of devices, and totalizes the log information;
When it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold based on the destination log information compiled by the log collection unit, unauthorized access to the destination occurs. Unauthorized access determination means to determine that,
An attack detection device comprising:
前記不正アクセス判断手段は、
前記複数の機器のうち、不正アクセスされていると判断した宛先に情報を送信している機器を、該宛先を示す前記宛先ログ情報から特定することを特徴とした攻撃検出装置。 The attack detection apparatus according to claim 1,
The unauthorized access judging means
An attack detection apparatus characterized in that, among the plurality of devices, a device that transmits information to a destination determined to be unauthorized access is specified from the destination log information indicating the destination.
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器に対するメンテナンス処理を指示するメンテナンス処理指示手段を備える、
ことを特徴とした攻撃検出装置。 In the attack detection device according to claim 1 or 2,
A maintenance process instruction means for instructing a maintenance process for a plurality of devices that have transmitted the destination log information when the unauthorized access determination means detects that unauthorized access is being performed;
An attack detection device characterized by that.
前記不正アクセス判断手段によって不正アクセスが行われていることが検出されたとき、前記宛先ログ情報を送信した複数の機器、又は前記不正アクセスされている宛先から前記複数の機器への経路上にあるルータ、に対する攻撃防御処理を指示する攻撃防御処理指示手段を備える、
ことを特徴とした攻撃検出装置。 In the attack detection device according to any one of claims 1 to 3,
When it is detected by the unauthorized access judging means that unauthorized access is being performed, the plurality of devices that have transmitted the destination log information, or on the route from the unauthorized access destination to the plurality of devices An attack defense processing instruction means for instructing an attack defense process for the router,
An attack detection device characterized by that.
前記ログ収集手段は、前記宛先ログ情報を前記機器の種別毎に集計し、
前記閾値は、前記機器の種別毎に設定されている、
ことを特徴とした攻撃検出装置。 The attack detection device according to claim 1,
The log collecting means totals the destination log information for each type of the device,
The threshold is set for each type of the device,
An attack detection device characterized by that.
前記複数の機器の各々の前記ログ送信手段から送信される前記宛先ログ情報を収集して、集計するログ収集手段と、前記ログ収集手段が集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断する不正アクセス判断手段とを有する攻撃検出装置と、
を備えることを特徴とした攻撃検出システム。 A plurality of devices each having destination log collection means for collecting destination log information indicating a destination to which information has been sent, and log transmission means for sending destination log information collected by the destination log collection means;
Collecting the destination log information transmitted from the log transmission means of each of the plurality of devices and collecting the log information from the plurality of devices based on the log collection means for collecting and collecting the destination log information collected by the log collection unit An attack detection device having unauthorized access determination means for determining that unauthorized access to the destination has occurred when it is detected that the number of pieces of information transmitted to the same destination exceeds a predetermined threshold;
An attack detection system comprising:
前記収集した宛先ログ情報を集計するステップと、
前記集計した宛先ログ情報に基づいて、前記複数の機器から同一の宛先に送信される情報の数が所定の閾値を超えていることを検出したとき、該宛先に対する不正アクセスが発生したと判断するステップと、
を含むことを特徴とした攻撃検出方法。 Collecting destination log information transmitted from each of a plurality of devices and indicating a destination to which each device has transmitted information;
Totalizing the collected destination log information; and
Based on the aggregated destination log information, when it is detected that the number of pieces of information transmitted from the plurality of devices to the same destination exceeds a predetermined threshold, it is determined that an unauthorized access to the destination has occurred. Steps,
The attack detection method characterized by including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005174279A JP2006350561A (en) | 2005-06-14 | 2005-06-14 | Attack detection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005174279A JP2006350561A (en) | 2005-06-14 | 2005-06-14 | Attack detection device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006350561A true JP2006350561A (en) | 2006-12-28 |
Family
ID=37646351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005174279A Pending JP2006350561A (en) | 2005-06-14 | 2005-06-14 | Attack detection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006350561A (en) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2009193409A (en) * | 2008-02-15 | 2009-08-27 | Nec Corp | Electronic document processing system, electronic document processing method, its program and its recording medium |
JP2010009185A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009186A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009187A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
JP2016502340A (en) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior in communication networks |
WO2016076207A1 (en) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | Optimization device, optimization method, and optimization program |
JP2016144217A (en) * | 2016-05-12 | 2016-08-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Repeating device, repeating method, and repeating program |
JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
US10542082B2 (en) | 2015-01-29 | 2020-01-21 | Ntt Communications Corporation | Communication control apparatus, communication control method and communication control program |
US20210273952A1 (en) * | 2018-07-17 | 2021-09-02 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
-
2005
- 2005-06-14 JP JP2005174279A patent/JP2006350561A/en active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
US8375445B2 (en) | 2007-10-30 | 2013-02-12 | Fujitsu Limited | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2009193409A (en) * | 2008-02-15 | 2009-08-27 | Nec Corp | Electronic document processing system, electronic document processing method, its program and its recording medium |
JP4645657B2 (en) * | 2008-02-15 | 2011-03-09 | 日本電気株式会社 | Telegram processing system, telegram processing method, program thereof, and recording medium thereof |
JP2010009185A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009186A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009187A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2016502340A (en) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior in communication networks |
JP2018033144A (en) * | 2012-11-22 | 2018-03-01 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | System for detecting behavior on communication network |
US10924500B2 (en) | 2012-11-22 | 2021-02-16 | Koninklijke Kpn N.V. | System to detect behaviour in a telecommunications network |
WO2016076207A1 (en) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | Optimization device, optimization method, and optimization program |
CN107077433B (en) * | 2014-11-10 | 2020-03-03 | 日本电信电话株式会社 | Optimization device and optimization method |
US10616270B2 (en) | 2014-11-10 | 2020-04-07 | Nippon Telegraph And Telephone Corporation | Optimization apparatus, optimization method, and optimization program |
US10542082B2 (en) | 2015-01-29 | 2020-01-21 | Ntt Communications Corporation | Communication control apparatus, communication control method and communication control program |
JP2016144217A (en) * | 2016-05-12 | 2016-08-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Repeating device, repeating method, and repeating program |
JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
US20210273952A1 (en) * | 2018-07-17 | 2021-09-02 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
US11843615B2 (en) * | 2018-07-17 | 2023-12-12 | Nippon Telegraph And Telephone Corporation | Attack response point selecting apparatus and attack response point selecting method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006350561A (en) | Attack detection device | |
US9781157B1 (en) | Mitigating denial of service attacks | |
CN108289088B (en) | Abnormal flow detection system and method based on business model | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
KR100942456B1 (en) | Method for detecting and protecting ddos attack by using cloud computing and server thereof | |
US20210112091A1 (en) | Denial-of-service detection and mitigation solution | |
JP4480422B2 (en) | Unauthorized access prevention method, apparatus, system, and program | |
KR101111433B1 (en) | Active network defense system and method | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
Manavi | Defense mechanisms against distributed denial of service attacks: A survey | |
US20060143709A1 (en) | Network intrusion prevention | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
KR20060013491A (en) | Network attack signature generation | |
US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
KR20130124692A (en) | System and method for managing filtering information of attack traffic | |
CN114124516B (en) | Situation awareness prediction method, device and system | |
US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
CN114301647B (en) | Method, device and system for predicting and defending vulnerability information in situation awareness | |
KR101380015B1 (en) | Collaborative Protection Method and Apparatus for Distributed Denial of Service | |
US20080295153A1 (en) | System and method for detection and communication of computer infection status in a networked environment | |
SHAAR et al. | DDoS attacks and impacts on various cloud computing components | |
JP2008022498A (en) | Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system | |
JP7060800B2 (en) | Infection spread attack detection system and method, and program |