JP6894860B2 - 優先度算出装置、優先度算出方法及び優先度算出プログラム - Google Patents
優先度算出装置、優先度算出方法及び優先度算出プログラム Download PDFInfo
- Publication number
- JP6894860B2 JP6894860B2 JP2018023485A JP2018023485A JP6894860B2 JP 6894860 B2 JP6894860 B2 JP 6894860B2 JP 2018023485 A JP2018023485 A JP 2018023485A JP 2018023485 A JP2018023485 A JP 2018023485A JP 6894860 B2 JP6894860 B2 JP 6894860B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- source host
- communication
- normal communication
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、例えば、非特許文献3のように、攻撃対策の対象とは異なる観測地点に攻撃観測用のハニーポットを設置し、観測された情報と通信の宛先とを紐付けて攻撃判定する方法も提案されている。
図1は、本実施形態に係る優先度算出装置1の機能構成を示すブロック図である。
攻撃通信は、既存の手法により判定可能である。例えば、宛先単位のトラフィック量が閾値以上である、又は送信元ポートが既知の攻撃ポートである等、所定の特徴を有する通信が攻撃通信と判定される。
攻撃通信抽出部11は、攻撃通信と判定された一連の通信のフロー情報又はパケット情報から、攻撃通信データとして、攻撃元ホストのIPアドレス、攻撃発生日時、及び1秒当たりのビット数(bps)若しくは1秒当たりのパケット数(pps)等の出力トラフィック量を抽出し、リスト化して記憶する。
例えば、危険度算出部12は、全攻撃元ホストそれぞれについて、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの危険度とする。
また、危険度算出部12は、攻撃通信の回数、攻撃元ホストの種別、攻撃の種類等に応じて、攻撃元ホストの危険度に重み付けをしてもよい。
また、例えば、曜日、時間帯等で異なる重みが付与されてもよい。
このとき、正常通信抽出部13は、例えば、送信元IPアドレスの偽装が容易なUDPによる通信を除外し、TCP通信のみを対象としてもよい。さらに、synフラグが有効となっているパケットのみを対象としてもよい。
また、正常通信抽出部13は、TCPの接続が確立された後、一定以上の通信実績がある場合を正常通信と判断したり、ルータのインタフェース情報と送信元のIPアドレスとが対応しない場合に送信元が偽装されていると判断したりすることで、正常通信データをより確実に抽出できる。
例えば、影響度算出部14は、攻撃元ホスト毎に、防御対象ホストの数と、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の防御対象ホスト数及び/又は出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの正常通信影響度とする。
また、影響度算出部14は、攻撃元ホストの種別に応じて、攻撃元ホストの正常通信影響度に重み付けをしてもよい。例えば、多数のユーザへサービスを提供するサーバの場合、通信を遮断すると、多数のユーザからのアクセスを遮断することになるため、正常通信影響度は、一般ホストの場合よりも高くてよい。
攻撃元ホストは、自分の意図に反して、反射型DDoS攻撃又はBotによる攻撃等に加担している場合があるため、攻撃通信だけでなく防御対象ホストと正常通信を行っている可能性もある。すると、攻撃元ホストの全ての通信を遮断した場合、防御対象ホストとの正常通信にも影響がでるため、通信遮断の優先度を下げる必要がある。
すなわち、危険度が高いほど、正常通信影響度が低いほど、優先度が高く設定される。例えば、優先度=危険度/正常通信影響度としてもよい。また、危険度又は正常通信影響度のいずれか一方を重視する利用者の場合、いずれかに重みを付けて優先度が算出されてもよい。
なお、本処理に先立って、防御対象ホストを含むネットワークのフロー情報又はパケット情報が通信ログとして継続的に収集されていることとする。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に攻撃の規模を詳細に分析することで、危険度をより正確に見積もることができる。
したがって、優先度算出装置1は、複数の指標を用いて精度良く正常通信影響度を算出できる。
したがって、優先度算出装置1は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に正常通信の規模を詳細に分析することで、正常通信影響度をより正確に見積もることができる。
10 制御部
11 攻撃通信抽出部
12 危険度算出部
13 正常通信抽出部
14 影響度算出部
15 優先度算出部
20 記憶部
Claims (10)
- ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出部と、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出部と、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出部と、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出部と、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出部と、を備える優先度算出装置。 - 前記危険度算出部は、前記攻撃通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項1に記載の優先度算出装置。
- 前記危険度算出部は、同一の前記攻撃元ホストからの攻撃通信の回数に応じて前記危険度に重み付けする請求項1又は請求項2に記載の優先度算出装置。
- 前記危険度算出部は、前記攻撃元ホストの種別に応じて前記危険度に重み付けする請求項1から請求項3のいずれかに記載の優先度算出装置。
- 前記危険度算出部は、攻撃の種類に応じて前記危険度に重み付けする請求項1から請求項4のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記正常通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項1から請求項5のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記攻撃元ホスト毎に、前記防御対象ホストの数及び前記出力トラフィック量に基づく前記正常通信影響度を算出する請求項1から請求項6のいずれかに記載の優先度算出装置。
- 前記影響度算出部は、前記攻撃元ホストの種別に応じて前記正常通信影響度に重み付けする請求項1から請求項7のいずれかに記載の優先度算出装置。
- ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出ステップと、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出ステップと、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出ステップと、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出ステップと、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出ステップと、をコンピュータが実行する優先度算出方法。 - 請求項1から請求項8のいずれかに記載の優先度算出装置としてコンピュータを機能させるための優先度算出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018023485A JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018023485A JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019140578A JP2019140578A (ja) | 2019-08-22 |
JP6894860B2 true JP6894860B2 (ja) | 2021-06-30 |
Family
ID=67694496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018023485A Active JP6894860B2 (ja) | 2018-02-13 | 2018-02-13 | 優先度算出装置、優先度算出方法及び優先度算出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6894860B2 (ja) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004078602A (ja) * | 2002-08-19 | 2004-03-11 | Nec Corp | データ処理装置 |
JP3760919B2 (ja) * | 2003-02-28 | 2006-03-29 | 日本電気株式会社 | 不正アクセス防止方法、装置、プログラム |
JP2008017179A (ja) * | 2006-07-06 | 2008-01-24 | Nec Corp | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム |
JP2009021654A (ja) * | 2007-07-10 | 2009-01-29 | Panasonic Corp | 無線通信装置及びその通信負荷算出方法 |
JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
US9874869B2 (en) * | 2013-03-29 | 2018-01-23 | Hitachi, Ltd. | Information controller, information control system, and information control method |
US10652211B2 (en) * | 2014-11-19 | 2020-05-12 | Nippon Telegraph And Telephone Corporation | Control device, border router, control method, and control program |
-
2018
- 2018-02-13 JP JP2018023485A patent/JP6894860B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019140578A (ja) | 2019-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Smys | DDOS attack detection in telecommunication network using machine learning | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
US10171491B2 (en) | Near real-time detection of denial-of-service attacks | |
US8151341B1 (en) | System and method for reducing false positives during detection of network attacks | |
US10270792B1 (en) | Methods for detecting malicious smart bots to improve network security and devices thereof | |
US20080104702A1 (en) | Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling | |
US20170013004A1 (en) | Device and method for detecting command and control channel | |
US20120167161A1 (en) | Apparatus and method for controlling security condition of global network | |
US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
JP6750457B2 (ja) | ネットワーク監視装置、プログラム及び方法 | |
JP2015222471A (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
US20220141252A1 (en) | System and method for data filtering in machine learning model to detect impersonation attacks | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Devi et al. | Detection of DDoS attack using optimized hop count filtering technique | |
JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
US10171492B2 (en) | Denial-of-service (DoS) mitigation based on health of protected network device | |
WO2016195090A1 (ja) | 検知システム、検知装置、検知方法及び検知プログラム | |
JP6894860B2 (ja) | 優先度算出装置、優先度算出方法及び優先度算出プログラム | |
CN111478860A (zh) | 一种网络控制方法、装置、设备及机器可读存储介质 | |
JP6712944B2 (ja) | 通信予測装置、通信予測方法及び通信予測プログラム | |
EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
CN110162969B (zh) | 一种流量的分析方法和装置 | |
JP6883535B2 (ja) | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム | |
Prakash et al. | A DDOS prevention system designed using machine learning for cloud computing environ-ment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200108 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201023 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210604 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6894860 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |