JP2008306706A - シグナリングフローの異常を検知する方法及び装置 - Google Patents

シグナリングフローの異常を検知する方法及び装置 Download PDF

Info

Publication number
JP2008306706A
JP2008306706A JP2008110373A JP2008110373A JP2008306706A JP 2008306706 A JP2008306706 A JP 2008306706A JP 2008110373 A JP2008110373 A JP 2008110373A JP 2008110373 A JP2008110373 A JP 2008110373A JP 2008306706 A JP2008306706 A JP 2008306706A
Authority
JP
Japan
Prior art keywords
signaling flow
signaling
flow
flows
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008110373A
Other languages
English (en)
Inventor
Yacine Bouzida
ヤシーヌ・ブズィダ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MITSUBISHI ELECTRIC INFORMATION TECHNOLOGY CENTRE EUROPE BV
Mitsubishi Electric Information Technology Corp
Mitsubishi Electric R&D Centre Europe BV Netherlands
Original Assignee
MITSUBISHI ELECTRIC INFORMATION TECHNOLOGY CENTRE EUROPE BV
Mitsubishi Electric Information Technology Corp
Mitsubishi Electric Information Technology Center Europe BV Nederlands
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MITSUBISHI ELECTRIC INFORMATION TECHNOLOGY CENTRE EUROPE BV, Mitsubishi Electric Information Technology Corp, Mitsubishi Electric Information Technology Center Europe BV Nederlands filed Critical MITSUBISHI ELECTRIC INFORMATION TECHNOLOGY CENTRE EUROPE BV
Publication of JP2008306706A publication Critical patent/JP2008306706A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】VoIPネットワークにおいてもシグナリング異常を有効に検知できる新規の技法を導入する。
【解決手段】通信装置は、ラベル付き学習シグナリングフローを受信し(301)、データベースに供給する。これらのフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローとしてラベル付けされている。次に、データベースに格納されている学習シグナリングフローを使用することにより、プロファイル固有分類モデルを構築する(307)。ここで、プロファイルは、シグナリングフローを特徴付けるモデルであり、シグナリングフローは、パケット、トランザクション、又はダイアログのいずれかに対応する。次に、学習シグナリングフローを分類する(309)。これにより、シグナリングフローは正常シグナリングフロー又は攻撃を示す種々のシグナリングフローのいずれかに分類され、分類は分類モデルに基づく。
【選択図】図3A

Description

本発明は、通信ネットワークでのシグナリングフローの異常を検知する方法に関する。より詳細には、本発明は、通信装置が攻撃下にあるか否かを検知する方法に関する。本発明は、この方法を実施するように構成される通信装置及びコンピュータプログラムにも等しく関する。
侵入検知システム(IDS)が、商業情報システム及び政府情報システムで広く使用されている。様々なIDSは、パターンマッチング技法又は何等かのエンティティ挙動学習(entity behavior learning)のいずれかにフォーカスしていた。パターンマッチング技法は、パケットヘッダ又はペイロードのパターンを認識しようとする。エンティティ挙動学習に基づく方法は、統計学的測定を考慮する何等かの分類技法を用いる。初期の形態では、これらの測定は、保護対象リソースへのトラフィックの監視、又は特定のインターネットプロトコル(IP)アドレスからのトラフィックの監視から成っていた。しかし、ボイスオーバインターネットプロトコル(VoIP)システムに対しての侵入検知作業はほとんど行われていない。この分野で行われる研究活動は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)トラフィックに実施される方法と同じ方法を使用している。
パターンマッチング方法に関しては、Wu他著「SCIDIVE: A Stateful and Cross Protocol Intrusion Detection Architecture for Voice-over-IP Environments」(Purdue University)と題する発行物に、シグナリングイベントとメディアストリームプロトコルイベントとの簡易相関エンジンに基づいて数種類の攻撃を検知する方法が開示されている。この方法はさらに、VoIP IDSの2つの抽象概念、すなわちクロスプロトコル検知及びステートフル検知に基づく。後者は、同じセッションに属する異なるパケットを組み立て、その結果を規則照合エンジンに送ることを含む。クロスプロトコル検知は、複数のプロトコルに跨る異常を検知する照合規則の機能にフォーカスする。例えば、セッション開始プロトコル(SIP)の異常及びリアルタイムトランスポートプロトコル(RTP)の異常を検知する。
統計学的測定を考慮する分類技法に基づく方法に関しては、Festor他著「Intrusion detection mechanisms for VoIP applications」(LORIA-INRIA Lorraine France)と題する発行物に、TCP EBayesと呼ばれるベイズモデルを使用するすでに公開されている研究に基づく方法が開示されている。従って、TCP EBayesで行われているように、ポートスキャン及びIPスウィーピング(IP sweeping)を検知するために、開いているTCPコネクション数、一意のIPアドレス数、及び一意のポート数を使用することに代えて、開いているRTPポート数、待機中ダイアログの最大数等が使用される。ダイアログは、或る時間にわたって存在する2つのユーザエージェント間のピアツーピアのSIP関係である。ダイアログは、ユーザエージェント間のメッセージの順序付け及び要求の適切なルーティングに役立つ。INVITEメソッドは、リクエストフォーコメント(RFC)3261で規定される、ダイアログを確立する唯一の方法である。
しかし、この方法に関連する幾つかの欠点がある。一例として、トラフィックバーストのみが異常の証拠として考慮される。従って、フラッド攻撃しか検知されないであろう。これに加えて、実際の試験台がないため、システムはVoIPネットワークの場合について実験されなかった。TCP EBayesの元々の目標は異常を検知することである。すなわち、検知はバイナリである。これは、特に、適切な対抗手段の起動を含む次の段階のために、攻撃の種類について管理者又は操作者に通知すべきオーバーレイネットワークに適用する場合には良好な方法ではない。
SIPはVoIPシステムで広く使用されており、SIPシグナリングプロトコルに対して実行できる多くの攻撃がある。攻撃は、RFC3261により提供されるSIP文法に従わない攻撃であるシンタックス攻撃から、オーバーレイネットワークでの種々のサービス拒否(DoS)攻撃までの多岐にわたる。他の攻撃は、サーバに対するバッファオーバーフロー等の既知の欠陥を利用するものと同じである。シンタックス攻撃及びプログラミングエラーが原因の種々の欠陥は広く調査されており、現在のIDSはこのような種々の攻撃を検知する。そのため、シグナリングプロトコルに直接影響する攻撃のみが調査される。以下において、SIP攻撃シナリオに対応する様々な攻撃の種類について考察する。これらの攻撃は、3つのカテゴリ、すなわち情報収集、サービス窃盗、及びDoSに分けることができる。
一般に、攻撃者は、悪意のある目標を達成するために多くの動作を実行する必要がある。これらの動作は、多くの基本的な攻撃で構成される攻撃シナリオに相当する。情報収集は攻撃の一種であり、攻撃者はまず、標的サーバについての情報を収集してそのバージョンを獲得し、利用できる任意の既知の脆弱性があるか否かを調べ得る。攻撃者は、この攻撃シナリオの第2のステップがリプレイ攻撃であり得る場合、nonce変更等の何等かのセキュリティの信用を保証する変数の変動も探し得る。パスワード推測及びディレクトリスキャンは、他の種類の情報収集攻撃に相当する。例えば、登録データベース内の既存の有効ユーザIDを調べることを含むディレクトリスキャン攻撃の後には、有効ユーザ名が見つかるため、パスワード推測攻撃を行い得る。
RFC3261によれば、SIPは、RFC2617により提供されるハイパーテキスト転送プロトコル(HTTP)認証からもたらされる、認証のステートレスなチャレンジベースのメカニズムを提供する。「ダイジェスト」認証は、メッセージ認証及びリプレイ保護のためだけにSIPに導入されており、メッセージ保全性又は機密性を考慮していない。このメカニズムの信用を保証する1つの変数が、認証される応答メッセージのハッシュ値を計算するために使用される「nonce」である。ハッシュ値は、例えばMD5ハッシュアルゴリズムを使用して計算される。攻撃者はリプレイ攻撃が可能であるか否かを調べるために、nonceが認証されたメッセージ毎に変更されているか、それとも定期的に、例えば1秒毎に1回更新されるのかを調べる。nonceが定期的に変更される場合、リプレイ攻撃が可能である。
リプレイ攻撃を実行するには、攻撃者は短時間の間に、例えば1秒間に多くの要求を送信する。攻撃者は、REGISTER要求バースト、例えば毎秒20個のREGISTER要求を標的サーバに送信し、サーバメッセージ内のWWW認証ヘッダフィールドに対応するnonce値を調べることにより、nonce値のランダム性を見つけようとする。この攻撃は、INVITE等の他の要求メソッドを使用して実行することもできる。この攻撃は、認証チャレンジがプロキシ認証ヘッダフィールドから抽出されるプロキシに対しても可能である。
ディレクトリスキャンは、操作者データベース内にある正当なクライアントに対応する有効IDを収集することから成る。これは、種々のSIPメッセージフローを使用して行われ得る。攻撃者は、さらに悪意のある目的のために有効な統一資源識別子(URI)を見つけようとするだけであるため、これは情報収集と見なされる。ディレクトリスキャンは、辞書を使用してディレクトリスキャン中に発見されたIDに対応するパスワードを推測するID窃盗等の別の基本的な攻撃に先行するステップであると考え得る。この攻撃は、特に、レッドリストに載っているIDの場合には省かれ得る。実際には、対応する操作者はこのようなリストに適切なメカニズムを追加し得る。しかし、この攻撃は種々の操作者の多くのプラットフォームに対して試験され、実験は成功している。
上記の攻撃は、ユーザ及びサーバについての情報の収集を含むが、ID窃盗攻撃及びサービス窃盗攻撃は、様々な理由により誤ってパスワードを保護しない状態のままにしている正当なユーザのIDを盗むこと、若しくは、攻撃者が辞書に基づく攻撃等の何等かの攻撃又は総当たり技法を使用することにより、パスワードを意図的にクラッキングした正当なユーザのIDを盗むことを含む。別の種類のID窃盗及びサービス窃盗のたぐいの攻撃は、ユーザが認可されていない又は加入していないサービスを使用することを含む。
パスワード推測は、辞書を使用してユーザパスワードを見つけるか、又は多数の可能性を探査することによる総当たり技法を使用する。従って、攻撃者は、ID窃盗中に発見された特定のIDに対して一連のパスワードを使用し得る。攻撃者は続いて、対応するユーザが適切なパスワードを選択していなかった場合は特に、このエンティティの正しいパスワードを発見し得る。
DoS攻撃は、コンピュータの導入時から広く使用されている技法である。これは、正当なユーザが論理的又は物理的なリソースを利用できないようにすることを含む。この種の攻撃は2つのカテゴリに分けることができる。第1のカテゴリはフラッディングDoSに基づく。一方、第2のカテゴリは、エンドポイントをクラッシュさせる不正な形式のパケットを送信することを含む。
DoS攻撃を実行する場合、攻撃者は、登録サーバ(registrar)に対する膨大な数の連続したREGISTER要求を送信するか、又は多数のINVITE要求を標的クライアントに送信する。一方、攻撃者は、INVITEを正当なクライアントに送信する場合、ダイアログに従い、標的クライアントからOK応答を受信した直後にBYE要求を送信することで、SIPシグナリングフローを停止させることができる。
サーバに対するDoS攻撃は、無制限の数の要求を登録サーバ等のサーバに対して送信することを含むフラッド攻撃である。この種の攻撃はまた、攻撃者がインターネットを介して多数のゾンビを集め、侵害された各マシンが膨大な数のこのような正当な要求を送信する分散DoS(DDoS)攻撃に拡張され得る。
DoS攻撃を正当なクライアントに対して実行する場合、攻撃者はユーザが要求に応える都度、呼び出しをキャンセルする。すなわち、呼び出しを確立しない連続したINVITE要求に基づいて正当なクライアントを妨害しようとする。
今まで実施されている様々な侵入検知技法は、現行のVoIPシステムを標的とする様々な攻撃の検知に適切ではないため、VoIPネットワークにおいてもシグナリング異常を有効に検知できる新規の技法を導入することが必要とされる。
従って、本発明の第1の態様によれば、データベースに接続される通信装置においてシグナリングフローの異常を検知する方法であって、通信装置により実行される以下のステップを含む方法が提案される。
− ラベル付き学習シグナリングフロー(learning signaling flow)を受信し、これらのフローをデータベースに供給するステップ。ここで、シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローとしてラベル付けされている。
− データベースに格納されている学習シグナリングフローを使用することにより、プロファイル固有分類モデル(profile specific classification model)を構築するステップ。ここで、プロファイルは、シグナリングフローを特徴付けるモデルであり、シグナリングフローは、パケット、トランザクション、又はダイアログのいずれかに対応する。
− 学習シグナリングフローを分類するステップ。ここで、シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローのいずれかに分類され、分類は分類モデルに基づく。
− 新しいシグナリングフローを受信するステップ。
− 受信されたシグナリングフローから、受信されたシグナリングフローを特徴付ける少なくとも1つの属性を抽出するステップ。
− 受信されたシグナリングフローを正常シグナリングフロー又は攻撃を示すシグナリングフローのいずれかに分類するために、少なくとも1つの抽出された属性を使用するステップ。ここで、分類は分類モデルに基づく。
提案する方法により提供される種々の利点がある。第1に、自動学習により事前に既知の攻撃全体(whole a priori known attacks)を検知する。第2に、様々な攻撃と安全なVoIPトラフィックとを容易に区別する。第3に、分類モデルの構築フェーズ中に学習されない新しい異常を認識する。これは、新しい脆弱性が発見され、潜在的な攻撃者がこれらの脆弱性を様々な様式で利用して情報システムを攻撃するため、現実の生活では、すべての既存の攻撃に気付かないことを理由とする。
これに加えて、この方法は、攻撃を検知するのみならず、攻撃検知目標を達成するために考慮すべき関連するVoIP属性にもフォーカスするため、完全なものである。この方法の別の目的は、ステートフル検知技法のみを使用するのではなく、VoIP通信を確立して維持するために使用される様々なプロトコルにも注視することである。
さらに、VoIP侵入検知目標のために、現在のパケット(又は同様に現在のトランザクション若しくはダイアログ)と最後のパケット(又は同様にトランザクション若しくはダイアログ)との間の統計学的測定を生成する。
最後に、種々のクラスのトラフィック(正常又は攻撃)を学習し、単純な更新により新しい攻撃及び新しい正常形態を適応的に考慮することから、拡張可能な方法である。また、IPスプーフィングに影響を受けず、クライアントの移動に対応することもできる。この方法は、一旦攻撃を検知した後、対抗手段を起動させる前の最初のステップとして使用することができる。一旦攻撃を検知すると、対応する反応メカニズムに、侵入を引き起こしたトラフィックを特徴付ける種々の特徴を送信し、それにより、適切な対抗手段をとることができる。
本発明の第2の態様によれば、シグナリングフローでの異常を検知可能な装置のコンピュータ手段にロードされて実行されると、第1の態様による方法を実施する命令を含むコンピュータプログラム製品又はハードウェア装置がさらに提供される。
本発明の第3の態様によれば、データベースに接続され、シグナリングフローの異常を検知するための通信装置が提供される。この通信装置は、以下を備える。
− ラベル付き学習シグナリングフローを受信し、これらのフローをデータベースに供給する受信装置。ここで、シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローとしてラベル付けされている。受信装置はさらに、新しいシグナリングフローを受信するように構成される。
− データベースに格納されている学習シグナリングフローを使用することにより、プロファイル固有分類モデルを構築する手段。ここで、プロファイルは、シグナリングフローを特徴付けるモデルである。
− 学習シグナリングフローを分類する手段。ここで、シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローのいずれかに分類され、分類は分類モデルに基づく。分類する手段はさらに、少なくとも1つの抽出された属性を使用することにより、受信された新しいシグナリングフローを、正常シグナリングフロー又は攻撃を示すシグナリングフローのいずれかに分類するように構成され、分類は分類モデルに基づく。
− 受信されたシグナリングフローから、受信された新しいシグナリングフローを特徴付ける少なくとも1つの属性を抽出する手段。
本発明の他の特徴及び利点が、添付図面を参照して非限定的で例示的な実施形態の以下の説明から明らかになるであろう。
これより、本発明のいくつかの実施形態を、添付図面を参照してより詳細に説明する。以下の説明では、本発明の実施形態はSIPシグナリングプロトコルの文脈の中で説明される。
図1は、本発明の教示を適用することができる一環境を示す。図1には、この場合、デスクトップコンピュータであるクライアント装置101が示される。これは同等に、他のネットワーク要素にアクセスすることができる任意の他の装置であってもよい。以下の説明では、提案する侵入検知方法は、SIPサーバ103の前にある装置又は論理モジュールで実施される。この装置は侵入検知装置(IDD)102と呼ばれる。IDD102に課せられる唯一の条件は、監視対象のSIPサーバ103のインバウンド及びアウトバウンドのトラフィックをすべて捕捉可能なことである。IDD102は、トランスペアレントなネットワークアドレス変換(NAT)有り又は無しのファイアウォールの背後又は前で実施してもよい。従って、この例では、IDD102は、SIPサーバ103とは異なる場所に配置される物理的な装置である。代替的には、IDD102は単にソフトウェアにより実施してもよく、SIPサーバ103に物理的に統合される。
図2は、本発明の教示が関わる限り関係するIDD102の幾つかのブロックを示すブロック図である。図2には、入力SIPシグナリングフローをバッファリングするバッファ201が示される。抽出ブロック203は、入力シグナリングフローから属性を抽出するように構成される。この目的のために、第1の攻撃ブロック205及び第2の攻撃ブロック206が利用され、抽出ブロック203に接続される。IDSツール208の目的は、入力シグナリングフローが異常を含むか否か、すなわち攻撃が検知されるか否かを検知することである。本発明の方法を実施するために、データベース209が提供される。データベース209は、IDSツール208による攻撃の検知を支援するための各種のラベル付きシグナリングフローを含む。データベース209に含まれるシグナリングフローは、学習シグナリングフローと呼ぶこともできる。学習シグナリングフローの目的については、以下により詳細に説明する。シグナリングフローにラベルを付けることにより、シグナリングフローを、正常なシグナリングフロー又はSIPサーバ103に対する攻撃の可能性を示す異常なシグナリングフローのいずれかと見なし得ることに留意されたい。IDSツール及び抽出ブロック203にフィードバックを提供するために、アラートブロック211も提供される。アラートブロック211はまた、起こり得る攻撃についてSIPサーバ103に通知することができる。これらのブロックの動作については、次に、図3A及び図3Bのフローチャートを参照してより詳細に説明する。
ステップ301において、IDD102は、IDD102が配置されている通信ネットワークから多数の学習シグナリングフローを受信し、受信した学習シグナリングフローをバッファ201にバッファリングし、これらの学習シグナリングフローをデータベース209に供給する。従って、この段階において、データベース209はラベル付き学習シグナリングフローを格納する。フローはラベル付けされ、それによって、正常フロー又は様々な種類の攻撃を示すフローのいずれかであるように分類される。
次に、ステップ303において、受信したシグナリングフローが関連するプロファイルを判断する。プロファイルは1組の属性に対応し、これらの属性は、順にVoIPフローを要約すると共に正常である証拠及び異常である証拠を捕捉する。SIPシグナリングプロファイルは、パケットプロファイル、トランザクションプロファイル、又はダイアログプロファイルであり、対応するフロー(パケット、トランザクション、又はダイアログ)を正確に特徴付けるモデルである。このモデルは、値が連続しているか、又は離散している1組の属性に要約される。
VoIPトラフィックを特徴付けると共にVoIP侵入証拠を捕捉するという目標のために、3つのプロファイルが定義される。第1のプロファイルは、以下により詳細に説明するように、パケットから抽出される1組の属性と、現在のパケットに前のパケットを相関付ける種々の測定とに対応する。
第2のプロファイルはトランザクションに基づく。トランザクションは、サーバにおいて、特定のメソッド又は関数を呼び出す要求、及び少なくとも1つの応答から成る。SIPは、HTTPのような要求/応答トランザクションモデルに基づく。
第3のプロファイルはダイアログに基づく。ダイアログは、或る時間にわたって存続する2つのユーザエージェント間のピアツーピアのSIP関係である。ダイアログは、ユーザエージェント間のメッセージの順序付け及び要求の適切なルーティングに役立つ。INVITEメソッドは、ダイアログを確立するためのRFC3261で規定される唯一の方法である。ダイアログに基づくプロファイルは、シグナリング及び記述プロトコルのみならず、メディア転送に使用されるRTP及び他のプロトコルも考慮されるセッションベースのプロファイルに対応する。第3のプロファイルは、「SCIDIVE」により使用されるクロスプロトコルを補完するものである。
次に、ステップ305において、各学習シグナリングフローから、少なくとも1つの属性が抽出される。シグナリングフローが幾つかの属性を含む場合、有利には、これらの属性はすべて抽出される。属性の抽出は、有利には、論理的な発信元アドレスから独立(すなわち、「From_URI」属性から独立)している、又はシグナリングフローの物理的なインターネットプロトコル(IP)発信元アドレスから独立している。これにより、方法がクライアントの移動及びスプーフィングに影響されないようになる。これは、論理的又は物理的な発信元アドレスが、抽出された属性に属さないことを意味する。
2つの異なる種類の属性が定義される。第1の属性の組は、SIPに関連するRFC3261において規定されるような属性を含む。さらに、これらの属性は、上述したような既知の攻撃種類に基づいて抽出される。これらの攻撃種類は、第1の攻撃ブロック205に格納されている。第1の属性の組は、セキュリティ専門家、すなわち人間により手動で、RFC3261から直接抽出されるため、第1の組の属性は、固有の属性(intrinsic attributes)と呼ぶことができる。
第2の属性の組は、第1の属性の組から自動的に抽出される。このために、第2の攻撃ブロック206が提供される。この後者の組は、現在のネットワークフローと過去のフローとの間の種々の統計学的測定に対応する。ここで、過去のフローは、長さNを有する時間窓又はM個のフローの窓に従って測定される。但し、Nは正の値であり、Mは正の整数である。第2の組は、現在フローの属性とN秒の窓に含まれる最後のフローの属性との間の固有の統計学的測定を考慮することにより、又は単に最後のM個のフローを考慮することにより、第1の組から自動的に構築される。N及びMの値は経験により固定される。例えば、時間窓に2秒の期間が使用され、他方の窓には現在のフローの前の200個のフローが使用される。固有の属性は第1のクラスに属するものと定義することができ、時間窓に関連する属性は第2のクラスに属するものと定義され、M個のフローの窓に関連する属性は第3のクラスに属するものと定義される。従って、第1のクラスの属性は第1の組に属するのに対して、第2及び第3のクラスの属性は第2の組に属する。第2の属性の組は、セキュリティ専門家がこの組に属する属性を判断するため、専門家知識属性(expert knowledge attributes)と呼ぶこともできる。
以下に、各クラスの様々な属性をより詳細に説明する。第1及び第2のクラスに関して属性のリストが与えられるが、VoIPパケットプロファイルに対応する属性のリストのみであることに留意されたい。本発明の教示は、通信に使用される各プロトコルに、RFC3261等の適切なプロトコル規格で規定される対応する状態機械を使用することにより、その他のプロファイルにも等しく適用される。
第1のクラスの属性は、VoIPプロトコル、特にSIPに固有の様々な属性に対応する。表1は、このクラスの属性の非網羅的なリストを提示する。各フローにおいて、発生時刻に対応するタイムスタンプが、その他の2つのクラスの計算に考慮される。
Figure 2008306706
一例として、表1の最後の3つの属性「UserName」、「Nonce」、及び「Response」は、2つの攻撃、すなわちnonce変更及びパスワード推測に基づいて抽出される。従って、このリストは、他の脆弱性及び攻撃が発見される限り、開かれたものである。このリストを、他のフローから独立して各フローに使用することは、最適な解決策ではない場合がある。一解決策は、現在フローに先行する近い過去における最後の幾つかのフローを使用して統計学的特徴を見つけることである。これについてはクラス2及びクラス3に関連して説明する。さらに、シグナリングトラフィックの正常フローは、種々の電話通信モデルにおける統計学的法則に大いに従うことにさらに留意されたい。したがって、属性クラス2及び3は、正常フローの挙動の特徴付けに大いに寄与する。
第2のクラスの属性は、第1のクラスで示される属性の種々の値を使用して、現在のフローに先行する種々のシグナリングフロー間の相関測定を計算することにより得られる。表2は、このクラスの様々な攻撃及びその説明を提示する。
Figure 2008306706
Figure 2008306706
図4は、クラス2の属性を計算するために使用される概念を示す。N秒、例えば2秒の時間窓がこのために使用される。これらの攻撃は、VoIP DoSフラッド攻撃、並びにパスワード推測又はnonce変更等の異なる値を有する同一の要求を送信するその他の攻撃に関連する。このクラスの各種属性は自動的に構築され、現在のフローと同じ論理受信者を有する最後のN秒内のフローを調べる「Same_To−URI」属性に要約される。攻撃者が「From_URI」を偽造し得るURIスプーフィングにより各種属性を計算する際、論理発信者は考慮されない。しかしながら、サービスの提供者は、「From_URI」のヘッダフィールドにわたるイングレスフィルタリング(ingress filtering)を使用することができる。この場合、フローの論理発信者を考慮することができる。
攻撃の初心者は、多数の要求を短時間窓内で送信する。第2のクラスの属性は、対応する攻撃を検知するのに十分である。しかしながら、他の攻撃者は時間を掛けて、この手法を迂回するステルス技法を使用するであろう。従って、これらの攻撃を検知するためのより大きな時間窓が必要である。このために、表2の属性と同じ属性を計算する際に現在のフローに先行する最後のM個のフロー、例えばM=200を考慮する第3のクラスの属性が導入される。このクラスの属性は、現在のフローに先行する最後のM個のフローに従って計算される。従って、これらの属性はこの文脈の中で報告されない。図5において、「dst_uri_XXX」属性が第3のクラスの属性に対応することに留意されたい。例えば、「dst_uri_count」は、過去のM個のフロー中での、現在フローのURIと同一のURIへのフローの数に対応する。
属性が抽出されると、VoIPシグナリングフローを特徴付ける属性が、IDSツール208に提供される。一般に、このツールは2つのステップを有する。第1に、ステップ307において、IDSツール208は、データベース209に格納されているラベル付き学習シグナリングフローを使用することにより、分類モデルを構築する。
VoIPシグナリングフローを特徴付け、個々を区別するために各種属性が定義されている。そのため、適切な分類という目標のために、データベース209に存在するすべてのラベル付き学習シグナリングフローを要約できるようなモデルを、データベース209を使用して構築するようなメカニズムを見つける必要がある。専門家は、例えば、各ラベル付きフローを特徴付ける規則を書くことができるかもしれない。しかしながら、この解決策は、多くの理由により非現実的である。第1に、各フローには多数の属性がある。第2に、各カテゴリ、すなわち攻撃フロー又は正常フローが、データベース209内に多数発生する。従って、特にギガバイトサイズの学習データセットを扱う場合に、人間はこのような規則を書くことができない。
従って、本発明によれば、この問題は、種々のフローを区別可能にするようなモデルを自動的に構築するデータマイニング手法を使用することにより解決される。データベース209のようなラベル付きデータベースから学習した後、新しいインスタンスを分類することができる多数の教師あり技法が存在する。例として、プロファイル(パケット、トランザクション、又はダイアログ)においては、各属性の値付きインスタンスが作成されることが理解される。従って、通信ネットワークからスニッフ(sniff)される各プロファイルはインスタンスである。これらの種類の技法の例は、ニューラルネットワーク、K最近傍(Kは正の整数)、ベイズネットワーク、単純ベイズツリー、決定木等である。決定木から構築されるモデルには表現力があるので、この技法を後に詳細に説明し、完結した実験から得られた種々の結果が与えられる。
この説明では、検知技法は、種々のサンプル、すなわちデータベース209に存在するラベル付き学習シグナリングフローを自動的に学習し、学習ステップの結果として、新しいラベル無しシグナリングフローを適切なカテゴリ、すなわち攻撃フロー又は正常フローに分類することができるような分類モデルが構築される方法と呼ばれる。対応するクラスが攻撃である場合には、後で説明するようにアラートが生成される。そうでない場合には、フローは正常と見なされる。
次に、ステップ309において、データベース209に格納されている各種ラベル付きシグナリングフローが適切なクラスに分類される。この分類は、ステップ307において構築された分類モデルに基づく。
学習ステップ中に、分類器とも呼ばれる分類モデルが構築され、学習シグナリングフローが分類された後、ステップ311において、分類モデルがデータベース209に格納されているラベル付きシグナリングフローと突き合わせられてテストされ、分類モデルの正確性が評価される。正確性は、正しく分類されたフロー例の数に基づく。換言すれば、攻撃があるのにアラートがない(偽陰性:false negative)場合や、攻撃がないのに少なくとも1つのアラートがある(偽陽性:false positive)場合や、或いは特定の攻撃種類に対応するフローが別の攻撃クラスに分類された場合、例えばパスワード推測攻撃がDoSとして分類された場合には、データベース209の分類モデルとデータベース209のラベル付きモデルとの間に不整合があると結論付けることができる。従って、分類器が正確であるか否かを知るためには、分類の結果とデータベース209に含まれるラベル付きシグナリングフローとを比較することで十分である。
分類モデルが十分に正確ではないと見なされる場合、すなわち、検知成功率が低すぎる場合には、ステップ313において、後ろ向き調整(backward tuning)が行われる。3つの解決策が可能である。第1の解決策は、これらの技法の各種パラメータを調整することにより、又は新しい分類技法を導入することにより、分類技法を改良することを含む。他の解決策は、属性のリストを拡張することを含む。この拡張は、考慮される属性が、プロファイルを特徴付ける元の情報をすべて十分に保持しているとは限らない可能性があるため有用である。この状況は、元のフローを上記に提示した1組の属性により要約されるプロファイルに変形した後、幾らかの情報が失われ、異なるクラスを区別できなくなることがあるため、発生し得る。入念な選択を用いて、専門家は、異なる種類のフローを区別できる他の属性を見つけることができる。属性の専門的知識なしでの自動抽出は、侵入検知の分野では難題であることに留意されたい。第3の解決策は、安定した高い検知成功率が見つかるまで、2つの解決策を組み合わせることを含む。このステップは、検知率が許容値、一般には99.99%に収束するまで繰り返される。後ろ向き調整が行われた後、手続きはステップ303に続く。
分類モデルが正確である場合、手続きはステップ317に続く。ステップ317において、新しいシグナリングフローが受信される。次に、ステップ319において、受信されたシグナリングフローから属性が抽出される。この抽出は、ステップ305に関連して上記で説明したように行われる。ここでも、受け取られたシグナリングフローの論理的又は物理的な発信元アドレスは、抽出された属性に属さない。
属性が抽出されると、ステップ321において、受信されたシグナリングフローは、先のステップ307において構築された分類モデルに基づいて分類される。
次に、ステップ323において、分類結果が既知の攻撃に対応するか否かが判断される。これが当てはまる場合、ステップ325において、アラートが生成される。このモデルは、疑い(攻撃)が検知された場合にアラートを生成する。これらは基本的な攻撃であるため、通信ネットワークの管理者に通知、すなわちアラートされ、管理者はこのアラートを受け取る。侵入検知プラットフォームでは、管理者はセキュリティサイトオフィサー(SSO)であり得る。しかしながら、数千ものアラートが1秒間に生成される場合、管理者は、さらなる調査、例えば攻撃シナリオを構築するか又はアラートを集計するために、これらのアラートを収集してSSOに送信するプロセスであってもよい。
一方、分類結果が既知の攻撃に対応しない場合、ステップ327において、分類結果が正常シグナリングフローに対応するか否かを判断する。これが当てはまる場合、手続きはステップ329において終了する。しかしながら、分類結果が正常フローに対応しない場合、ステップ331において、アラートが再び生成され、新種の攻撃を検知するために診断が行われる。新種の攻撃が検知されると、この新種の攻撃が含められるようにデータベース209を更新することができる。データベースの更新は、新しい正常フローが検知される場合にも推奨される。それにより、新しい正常フローを再び新しいフローとして分類せず、既知の正常フローとして分類するようになる。
すべてのフローが適切なクラスでラベル付けされているデータベース209が使用されるため、分類モデルを構築するタスクに種々の教師あり分類技法を使用することができる。データマイニング文献で利用可能な多数の候補技法がある。以下において、検知を目標として、ラベル付きフローを学習して新しいフローを分類する技法としての決定木帰納アルゴリズムの一例についてより詳細に説明する。
しかしながら、任意の他の教師あり技法、又は教師なし技法をこの目標のために使用してもよい。これは、決定木に加えて、任意の教師あり技法を分類(又は検知)タスクに使用してもよいことを意味する。教師あり方法と教師なし方法との間には相違がある。決定木等の教師あり分類技法は、種々のインスタンスがラベル付けされるデータベースを使用する。このラベル付きデータベースを使用して、モデルが構築される。すなわち、決定木の場合には1組の規則(シグネチャ)が構築される。この分類モデルは、観察データ、すなわちラベル付きシグナリングフローを超えて首尾良く一般化すべきである。
分類モデルの有効性は、分類器の構築に使用されるトレーニングデータセットに対する分類モデルの分類精度、及び新しい未知のデータセットにわたる一般化精度に対応する。
教師なし学習については本明細書において考察しないが、このメカニズムはまた、学習データベースを使用しない教師なし方法と併せて使用してもよい。教師なし方法では、幾つかの仮定に従って、すべてのインスタンス間の関係のみが調べられる(この場合、ラベル付きではない)ため、データベースを使用しない。従って、これらのインスタンス間で区別可能なのは二項分類(攻撃又は非攻撃)だけである。この技法の主な問題は、現実の世界で常に現実であるとは限らない、事前に立てられる仮定である。
決定木分類器は、「分割統治」戦略に基づいて、ラベル付きインスタンスの有限で空ではない集合を含む所与の学習集合Sから適切なツリーを構築する。決定木は学習ステップ中に構築される。その後、決定木を使用して、新しいインスタンスのクラスを予測する。最新の決定木アルゴリズムは、「トップダウン戦略」、すなわち根から葉への戦略を使用する。決定木を使用するには、2つの主要なプロセス、すなわち構築プロセス及び分離プロセスが必要である。
構築プロセスは、ラベル付きトレーニングデータセット、すなわちラベル付きシグナリングフローを使用することにより、ツリーを構築することを含む。属性が他の属性よりもどの程度多くの情報を提供するかに基づいて、各ノードに属性が選択される。また、このプロセス中に、葉が対応するクラスに割り当てられる。
ノードがどの程度の情報を提供するかを測定するために、シャノンエントロピーを使用して、決定木を構築する。この分割戦略は、主要な目標として、最良の非分類的な属性を再帰的に選択することにより、考慮されるトレーニング例を分割するツリーを構築するために使用される。
第1のクラスの「Method」属性のように離散値属性の場合、この戦略は、考慮されている属性のすべての可能な値をテストする。しかしながら、第2及び最後のクラスでのように連続値属性の場合、変換技法が導入される。これは、連続属性を離散した間隔セットに分割する新しい離散値属性を定義することを含む。このアルゴリズムは、A<tの場合に真であり、その他の場合に偽である新しいブール属性Atを動的に作成する。閾値tの選択は情報利得に基づく。閾値tは、最大の情報利得を生成するものが選択される。連続属性Aに従って、種々のアイテムがソートされる。その後、Aの対応する値間にある1組の閾値候補が生成される。これらの閾値候補は、各閾値候補に関連する情報利得を計算することにより評価される。次に、動的に作成されるブール属性を、ツリーを成長させるために利用できる他の離散値属性候補と比較することもできる。以下において、連続値を有する属性の評価にこの分割技法を使用する。
決定木は、すでに何が分かっているか、すなわちトレーニングセット(この場合、ラベル付き学習シグナリングフロー)を要約するためではなく、新しいインスタンスの正しい分類を助けるために重要である。従って、分類モデルを構築する場合、実際にどの程度良好に働くかを検証するために、モデルの構築に使用されるトレーニングデータ及びテストデータの両方を有するべきである。新しいインスタンスは、新しいインスタンスのクラスに対応する1つの葉に達するまで、属性値及びノード値に基づいてツリーを上から下にトラバースすることにより分類される。
構築及び分類の各ステップの他に、多数の決定木アルゴリズムは、別のオプションステップを使用する。このステップは、分類ステップにおいてツリー性能の向上に役立たないと考えられる幾つかのエッジを除去することを含む。多数の無用なエッジが除去されて、複雑なツリーがより解釈しやすいものになるので、ツリーの枝刈りはツリーを単純化する。さらに、すでに構築されているツリーは、枝刈り前よりも良好な分類結果を提供する場合にのみ枝刈りされる。
構築プロセスは、通常オフラインで行われる。それに対して、検知プロセスは、情報システムのセキュリティポリシーに応じてオンライン又はオフラインで行うことができる。
次に、学習データセットから構築されたツリーの幾つかの枝の幾つかの例を、図5を参照して示す。
図5は、実際のSIPサーバでの種々の実験から構築された決定木の一部を示す。ツリーは、種々の登録サーバ、プロキシ、及びクライアント(ハードフォン及びソフトフォン)を有する実際のVoIPインフラを有する実際のネットワークで行われる攻撃から構築される。図5に提示されるツリーは、4つのシグネチャを提供する。すなわち、ディレクトリスキャン、フラッディングに基づくDoS、及びパスワード推測という3つの攻撃の属性セットを提供する。シグネチャの一例として、ツリーを根から「guesspassword」に対応する攻撃までトラバースする。その結果として得られる規則は、
IF(Resp_Req=REQUEST)AND(same_method_rate≧0.35)AND(method=REGISTER)AND(dst_uri_username_diff_To−uri>0.1)AND(dst_uri_count>67)THEN attack_class="guesspassword".
である。
同じステップをたどって、種々の攻撃のすべてに、学習ステップ中に構築された決定木から自動的に抽出される適切な規則が割り当てられる。従うべき条件の1つは、学習ステップが一般的でなければならないということである。すなわち、既知の各攻撃の各種形態を示す最大数の例及び最大数の正常フロー挙動発生を含むべきであるということである。データベース209が十分に網羅的である場合、各種攻撃は、学習ステップから自動的に生成される正確なシグネチャを有することになり、誤検知及び検知漏れは少なくなる。
学習プロセス後、種々の既知の攻撃の種々のシグネチャを含むツリーが、自動的に抽出される。これらのシグネチャを有効に使用するために、枝刈り技法を使用することにより、規則がツリーから抽出される。まず、根から葉までのパスに沿った各属性テストが規則の条件部(rule antecedent)になり、葉での分類が規則の帰結部(rule consequence)になる。規則枝刈りを示すために、上記ツリーから生成される以下の規則を考える。
IF(Resp_Req=Request)AND(same_method_rate>0.35)AND(method=INVITE)THEN attack_class=DoS
次に、このような各規則は、除去により推定精度が悪化しない任意の条件部を除去することにより枝刈りされる。上記規則の場合、規則の枝刈りは条件部(Resp_Req=Request)、(same_method_rate>0.35)、及び(method=INVITE)の除去を検討する。最初の条件部を第1の枝刈りステップとして選択した後、この除去後の推定規則精度を検討して、このステップが推定精度を低減させないか否かを調べる。それから、第2の前提条件(precondition)をさらなる枝刈りステップとみなし、以下同様である。推定規則精度が低減する場合、枝刈りステップが実行されないことに留意されたい。枝刈りの結果として、検知モデルは、順次解析される規則セットに対応するようになる。表3は、上述した種々の攻撃から生成されるトラフィックを使用して構築されるこのような規則の一例を提供する。
Figure 2008306706
表3によれば、新しいフローが受信される都度、受信されたフローは種々の属性に従って解析される。種々の属性は、種々の規則を使用して新しいフローを特徴付ける。規則のいずれも合致しない場合、しばらくの間、新しい攻撃に対応する新しいフローと見なされる。しかしながら、対応するフローを査定して適切なクラス(安全であるか、又は新しい攻撃に対応するか)を判定するために、診断が推奨される。このメカニズムはプログラム化することができる。しかしながら、規則マッチング手続きに、3値連想メモリ(ternary content-addressable memory)(TCAM)を使用するハードウェア実施も可能である。
本発明は、IDD102のコンピュータ手段にロードされて実行されると、本発明の実施形態の方法ステップのうちの任意の方法ステップを実施することができるコンピュータプログラム製品にも等しく関連する。
本発明は、上述した方法ステップを実施するように構成されるIDD102にも等しく関連する。コンピュータプログラムは、IDD102により実行されるように構成することができる。
本発明を図面及び上記説明において詳細に図示し説明したが、このような図及び説明は説明的又は例示的なものとみなされるべきであり、制限的とみなされるべきではなく、本発明は開示される実施形態に制限されない。
特許請求される本発明を実施する際に、当業者は、図面の研究、本開示、及び添付の特許請求の範囲から、開示される実施形態に対する他の変形を理解し、実施することができる。例えば、図3A及び図3Bを参照して説明した方法は、各種のプロファイルに対して別個に実施されるべきであることに留意されたい。特許請求の範囲では、「含む(comprising:備える)」なる言葉は他の要素又はステップを除外せず、不定冠詞「a」又は「an」は複数を除外しない。単一のプロセッサ又は他のユニットが、特許請求の範囲に記されるいくつかのアイテムの機能を満たすことができる。異なる特徴が相互に異なり相互に従属するクレームに記されるという単なる事実は、これらの特徴の組み合わせを有利に使用することができないことを示すものではない。特許請求の範囲内の任意の参照符号は、本発明の範囲を制限するものとして解釈されるべきではない。
本発明の教示を適用することができる一環境を示すブロック図である。 本発明の一実施形態によるシグナリングフローの異常を検知することが可能な通信装置のブロック図である。 本発明の一実施形態による方法を示すフローチャートである。 本発明の一実施形態による方法を示すフローチャートである。 パケットを示し、且つ特定のパケットが所定のウィンドウにどのように属するかを示す図である。 本発明の一実施形態による決定木構造の一例を示す図である。

Claims (17)

  1. データベース(209)に接続される通信装置(102)においてシグナリングフローの異常を検知する方法であって、前記通信装置(102)により実行される、以下のステップ:
    − ラベル付き学習シグナリングフローを受信し、これらのフローを前記データベース(209)に供給するステップ(301)であって、該シグナリングフローは正常シグナリングフロー又は攻撃を示す種々のシグナリングフローとしてラベル付けされている、ラベル付き学習シグナリングフローを受信及び供給するステップ(301)と、
    − 前記データベース(209)に格納されている前記学習シグナリングフローを使用することにより、プロファイル固有分類モデルを構築するステップ(307)であって、該プロファイルは、シグナリングフローを特徴付けるモデルであり、該シグナリングフローは、パケット、トランザクション、又はダイアログのいずれかに対応する、プロファイル固有分類モデルを構築するステップ(307)と、
    − 前記学習シグナリングフローを分類するステップ(309)であって、該シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローのいずれかに分類され、該分類は前記分類モデルに基づく、学習シグナリングフローを分類するステップ(309)と、
    − 新しいシグナリングフローを受信するステップ(317)と、
    − 前記受信されたシグナリングフローから、該受信されたシグナリングフローを特徴付ける少なくとも1つの属性を抽出するステップ(319)と、
    − 前記少なくとも1つの抽出された属性を使用するステップ(321)であって、それにより、前記受信されたシグナリングフローを正常シグナリングフロー又は攻撃を示すシグナリングフローのいずれかに分類し、該分類は前記分類モデルに基づく、
    抽出された属性を使用するステップ(321)と
    を含む、シグナリングフローの異常を検知する方法。
  2. 前記学習シグナリングフローから属性を抽出すること(305)、及び
    前記分類モデルを構築するために、該抽出された属性を前記学習シグナリングフローと共に使用すること
    をさらに含む、請求項1に記載の方法。
  3. 前記学習シグナリングフロー又は前記新しいシグナリングフローにおける論理的又は物理的な発信元アドレスは、前記抽出される属性に属さない、請求項1又は2に記載の方法。
  4. 前記分類モデルを構築するために、
    前記学習シグナリングフローに関連するプロトコル規格から固有の属性を抽出すること(305)、及び
    前記学習シグナリングフローに含まれる既知の攻撃からの知識ベースの属性を抽出すること
    をさらに含む、請求項1に記載の方法。
  5. 前記学習シグナリングフローのラベル付きの値と、前記分類モデルを使用することにより分類される前記シグナリングフローの対応する値とを比較することにより、前記分類モデルの精度を判断すること(311)をさらに含む、請求項1〜4のいずれか一項に記載の方法。
  6. 前記分類モデルが正確ではないと判断される場合、前記属性の抽出及び/又は前記分類ステップを改良すること(313)をさらに含む、請求項2に従属する場合における請求項5に記載の方法。
  7. 前記分類モデルが正確ではないと判断される場合、前記分類ステップを改良すること(313)をさらに含む、請求項5に記載の方法。
  8. 前記受信された新しいシグナリングフローが、既知の攻撃種類に対応するものとして分類される場合、アラートを生成すること(325)をさらに含む、請求項1〜7のいずれか一項に記載の方法。
  9. 前記受信された信号が既知の攻撃種類に対応せず、且つ正常シグナリングフローにも対応しないものとして分類される場合、アラートを生成すること(331)、及び前記受信された新しいシグナリングフローの診断を行うことをさらに含む、請求項1〜8のいずれか一項に記載の方法。
  10. 前記診断に基づいて、新しい学習シグナリングフローを前記データベース(209)に追加することを含み、
    該新しいシグナリング学習フローは、新しい攻撃の種類又は正常シグナリングフローを示す、
    請求項9に記載の方法。
  11. 前記抽出することは、第1の抽出ステップ及び第2の抽出ステップを含み、
    該第2の抽出ステップは、
    該第1の抽出ステップの結果に基づいて第2の属性の組を自動的に抽出すること、及び
    前記受信された新しいシグナリングフローと、前記受信された新しいシグナリングフローに先行するシグナリングフローとの間の相関測定に基づいて、前記第2の属性の組を得ること
    を含む、請求項1又は2に記載の方法。
  12. 前記分類モデルは、データマイニング手法に基づいて構築され、
    該データマイニングは、ニューラルネットワーク、K最近傍、但しKは正の整数、ベイズネットワーク、単純ベイズツリー、決定木のうちの少なくとも1つに基づく、
    請求項1〜11のいずれか一項に記載の方法。
  13. 前記通信装置(102)のコンピュータ手段にロードされて実行されると、請求項1〜12のいずれか一項に記載の方法のステップを実施する命令を含むコンピュータプログラム製品。
  14. データベース(209)に接続され、シグナリングフローの異常を検知する装置(102)であって、
    − ラベル付き学習シグナリングフローを受信し、これらのフローを前記データベース(209)に供給する受信装置であって、該シグナリングフローは、正常シグナリングフロー又は攻撃を示す種々のシグナリングフローとしてラベル付けされており、前記受信装置はさらに、新しいシグナリングフローを受信するように構成される、受信装置と、
    − 前記データベース(209)に含まれる前記学習シグナリングフローを使用することにより、プロファイル固有分類モデルを構築する手段(208)であって、該プロファイルは、シグナリングフローを特徴付けるモデルである、プロファイル固有分類モデルを構築する手段(208)と、
    − 前記学習シグナリングフローを分類する手段(208)であって、該シグナリングフローは正常シグナリングフロー又は攻撃を示す種々のシグナリングフローのいずれかに分類され、該分類は前記分類モデルに基づき、
    該分類する手段(208)はさらに、前記少なくとも1つの抽出された属性を使用することにより、前記受信された新しいシグナリングフローを、正常シグナリングフロー又は攻撃を示すシグナリングフローのいずれかに分類し、該分類は前記分類モデルに基づく、
    ように構成されるシグナリングフローを分類する手段(208)と、
    − 前記受信されたシグナリングフローから、該受信された新しいシグナリングフローを特徴付ける少なくとも1つの属性を抽出する手段(203)と
    を備える、装置。
  15. 装置(102)であって、前記分類する手段(208)はさらに、前記新しいシグナリングフローが既知の攻撃又は正常シグナリングフローを示すものと見なされない場合、該新しいシグナリングフローを新しい攻撃を示すシグナリングフローとして分類するように構成される、請求項14に記載の装置。
  16. 装置(102)であって、前記新しいシグナリングフローが既知の攻撃又は正常トラフィックを示すものと見なされない場合、該新しいシグナリングフローを診断する手段(208)をさらに備える、請求項14又は15に記載の装置。
  17. 装置(102)であって、前記診断後に、新しい攻撃又は新しい正常シグナリングフローを示すものとして分類される前記新しいシグナリングフローを前記データベース(209)に再入力することによって前記分類モデルを更新する手段(208)をさらに備える、請求項14〜16のいずれか一項に記載の装置。
JP2008110373A 2007-04-23 2008-04-21 シグナリングフローの異常を検知する方法及び装置 Withdrawn JP2008306706A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP07290501A EP1986391A1 (en) 2007-04-23 2007-04-23 Detecting anomalies in signalling flows

Publications (1)

Publication Number Publication Date
JP2008306706A true JP2008306706A (ja) 2008-12-18

Family

ID=38566906

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008110373A Withdrawn JP2008306706A (ja) 2007-04-23 2008-04-21 シグナリングフローの異常を検知する方法及び装置

Country Status (3)

Country Link
US (1) US20080263661A1 (ja)
EP (1) EP1986391A1 (ja)
JP (1) JP2008306706A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019185183A (ja) * 2018-04-03 2019-10-24 積水ハウス株式会社 通信装置保護管理サーバおよび通信装置保護システム
WO2020170802A1 (ja) * 2019-02-19 2020-08-27 日本電信電話株式会社 検知装置および検知方法

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
EP2134057B1 (en) * 2008-06-12 2013-05-01 Alcatel Lucent Method for protecting a packet-based network from attacks, as well as security border node
US7894350B2 (en) * 2008-07-24 2011-02-22 Zscaler, Inc. Global network monitoring
US8325749B2 (en) 2008-12-24 2012-12-04 Juniper Networks, Inc. Methods and apparatus for transmission of groups of cells via a switch fabric
US8213308B2 (en) * 2008-09-11 2012-07-03 Juniper Networks, Inc. Methods and apparatus for defining a flow control signal related to a transmit queue
US8154996B2 (en) * 2008-09-11 2012-04-10 Juniper Networks, Inc. Methods and apparatus for flow control associated with multi-staged queues
US8526306B2 (en) * 2008-12-05 2013-09-03 Cloudshield Technologies, Inc. Identification of patterns in stateful transactions
US9258217B2 (en) * 2008-12-16 2016-02-09 At&T Intellectual Property I, L.P. Systems and methods for rule-based anomaly detection on IP network flow
US8254255B2 (en) * 2008-12-29 2012-08-28 Juniper Networks, Inc. Flow-control in a switch fabric
US9264321B2 (en) 2009-12-23 2016-02-16 Juniper Networks, Inc. Methods and apparatus for tracking data flow based on flow state values
US9602439B2 (en) 2010-04-30 2017-03-21 Juniper Networks, Inc. Methods and apparatus for flow control associated with a switch fabric
US9065773B2 (en) 2010-06-22 2015-06-23 Juniper Networks, Inc. Methods and apparatus for virtual channel flow control associated with a switch fabric
US8553710B1 (en) 2010-08-18 2013-10-08 Juniper Networks, Inc. Fibre channel credit-based link flow control overlay onto fibre channel over ethernet
KR101107741B1 (ko) * 2010-09-02 2012-01-20 한국인터넷진흥원 Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법
US9660940B2 (en) 2010-12-01 2017-05-23 Juniper Networks, Inc. Methods and apparatus for flow control associated with a switch fabric
US8955090B2 (en) * 2011-01-10 2015-02-10 Alcatel Lucent Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core
US9032089B2 (en) 2011-03-09 2015-05-12 Juniper Networks, Inc. Methods and apparatus for path selection within a network based on flow duration
US8811183B1 (en) 2011-10-04 2014-08-19 Juniper Networks, Inc. Methods and apparatus for multi-path flow control within a multi-stage switch fabric
US9292690B2 (en) * 2011-12-12 2016-03-22 International Business Machines Corporation Anomaly, association and clustering detection
KR101436874B1 (ko) * 2013-10-18 2014-09-11 한국전자통신연구원 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법
US9876804B2 (en) 2013-10-20 2018-01-23 Cyber-Ark Software Ltd. Method and system for detecting unauthorized access to and use of network resources
US9712548B2 (en) 2013-10-27 2017-07-18 Cyber-Ark Software Ltd. Privileged analytics system
US9497206B2 (en) * 2014-04-16 2016-11-15 Cyber-Ark Software Ltd. Anomaly detection in groups of network addresses
US10230747B2 (en) * 2014-07-15 2019-03-12 Cisco Technology, Inc. Explaining network anomalies using decision trees
US9674207B2 (en) * 2014-07-23 2017-06-06 Cisco Technology, Inc. Hierarchical attack detection in a network
US9900342B2 (en) * 2014-07-23 2018-02-20 Cisco Technology, Inc. Behavioral white labeling
US9565203B2 (en) * 2014-11-13 2017-02-07 Cyber-Ark Software Ltd. Systems and methods for detection of anomalous network behavior
CN105791039B (zh) * 2014-12-22 2019-02-26 北京启明星辰信息安全技术有限公司 一种基于特征片段自发现的可疑隧道检测方法与***
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
NL2020552B1 (en) * 2018-03-08 2019-09-13 Forescout Tech B V Attribute-based policies for integrity monitoring and network intrusion detection
WO2019172762A1 (en) * 2018-03-08 2019-09-12 Forescout Technologies B.V. Attribute-based policies for integrity monitoring and network intrusion detection
CN110535808B (zh) 2018-05-24 2021-03-30 华为技术有限公司 一种设备监控、去注册方法及装置
US11050650B1 (en) * 2019-05-23 2021-06-29 Juniper Networks, Inc. Preventing traffic outages during address resolution protocol (ARP) storms
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
JP7004479B2 (ja) * 2020-01-23 2022-01-21 三菱電機株式会社 モデル生成装置、モデル生成方法及びモデル生成プログラム
CN112073924B (zh) * 2020-09-07 2022-01-28 Oppo(重庆)智能科技有限公司 信令识别方法、装置、终端及存储介质
US11669751B2 (en) * 2020-11-27 2023-06-06 At&T Intellectual Property I, L.P. Prediction of network events via rule set representations of machine learning models
US11997120B2 (en) * 2021-07-09 2024-05-28 VMware LLC Detecting threats to datacenter based on analysis of anomalous events
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
US11792151B2 (en) 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests
US20230130705A1 (en) * 2021-10-27 2023-04-27 Hewlett Packard Enterprise Development Lp Platform for privacy preserving decentralized learning and network event monitoring
US12015591B2 (en) 2021-12-06 2024-06-18 VMware LLC Reuse of groups in security policy
US20230403289A1 (en) * 2022-06-14 2023-12-14 Microsoft Technology Licensing, Llc Machine learning approach for solving the cold start problem in stateful models

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
FR2706652B1 (fr) * 1993-06-09 1995-08-18 Alsthom Cge Alcatel Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif.
US6769066B1 (en) * 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection
WO2002048959A2 (en) 2000-12-13 2002-06-20 The Johns Hopkins University A hierarchial neural network intrusion detector
US20040054505A1 (en) * 2001-12-12 2004-03-18 Lee Susan C. Hierarchial neural network intrusion detector
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
WO2005036339A2 (en) * 2003-10-03 2005-04-21 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
GB2411313B (en) * 2004-02-21 2006-07-26 Hewlett Packard Development Co Network connection control
US20060037075A1 (en) * 2004-03-10 2006-02-16 Frattura David E Dynamic network detection system and method
US7849506B1 (en) * 2004-10-12 2010-12-07 Avaya Inc. Switching device, method, and computer program for efficient intrusion detection
US7941856B2 (en) * 2004-12-06 2011-05-10 Wisconsin Alumni Research Foundation Systems and methods for testing and evaluating an intrusion detection system
US20060242706A1 (en) 2005-03-11 2006-10-26 Ross Robert B Methods and systems for evaluating and generating anomaly detectors
JP4509904B2 (ja) * 2005-09-29 2010-07-21 富士通株式会社 ネットワークセキュリティ装置
US20070150949A1 (en) * 2005-12-28 2007-06-28 At&T Corp. Anomaly detection methods for a computer network
US8856920B2 (en) * 2006-09-18 2014-10-07 Alcatel Lucent System and method of securely processing lawfully intercepted network traffic

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019185183A (ja) * 2018-04-03 2019-10-24 積水ハウス株式会社 通信装置保護管理サーバおよび通信装置保護システム
WO2020170802A1 (ja) * 2019-02-19 2020-08-27 日本電信電話株式会社 検知装置および検知方法
JP2020136888A (ja) * 2019-02-19 2020-08-31 日本電信電話株式会社 検知装置および検知方法

Also Published As

Publication number Publication date
US20080263661A1 (en) 2008-10-23
EP1986391A1 (en) 2008-10-29

Similar Documents

Publication Publication Date Title
JP2008306706A (ja) シグナリングフローの異常を検知する方法及び装置
US20220224716A1 (en) User agent inference and active endpoint fingerprinting for encrypted connections
US11463457B2 (en) Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US11330000B2 (en) Malware detector
Singh et al. Issues and challenges in DNS based botnet detection: A survey
Hoque et al. Network attacks: Taxonomy, tools and systems
Garcia et al. An empirical comparison of botnet detection methods
Stevanovic et al. Machine learning for identifying botnet network traffic
Zarras et al. Automated generation of models for fast and precise detection of HTTP-based malware
Sakib et al. Using anomaly detection based techniques to detect HTTP-based botnet C&C traffic
US11930036B2 (en) Detecting attacks and quarantining malware infected devices
US11570190B2 (en) Detection of SSL / TLS malware beacons
Bou-Harb et al. A systematic approach for detecting and clustering distributed cyber scanning
Li et al. A general framework of trojan communication detection based on network traces
Hsu et al. Detecting Web‐Based Botnets Using Bot Communication Traffic Features
Tyagi et al. A novel HTTP botnet traffic detection method
Bouzida et al. A framework for detecting anomalies in VoIP networks
Webb et al. Finding proxy users at the service using anomaly detection
Abaid et al. Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study
McLaren et al. Mining malware command and control traces
Asgharian et al. Feature engineering for detection of Denial of Service attacks in session initiation protocol
Miao et al. Automated big traffic analytics for cyber security
Raheja et al. Rule‐Based Approach for Botnet Behavior Analysis
Zeidanloo et al. New approach for detection of irc and p2pbotnets
Naik et al. Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110325

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20120409