トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム
【課題】正常時と異常時のトラヒック量の差分を用いて攻撃分析する異常トラヒックの分析技術において、トラヒック総量に占める異常トラヒックの割合が小さい場合に、異常トラヒック量の正常時と異常時の差分が総量の変動に埋もれてしまい分析ができない課題を解決する。
【解決手段】トラヒック量変化原因特定システム300は、異常検知外部機能部200と連携し、検知した異常トラヒックの攻撃種別(プロトコル)及びトラヒック情報(IPアドレスやAS番号等)をフィルタとして分析対象フローの抽出に利用し、且つ、それら攻撃種別やトラヒック情報毎に、複合攻撃として利用もしくは標的になり得る情報を保持して、分析対象フローの抽出に利用する。これにより、異常トラヒック量の正常時と異常時の差分が総量の変動に埋もれてしまう場合に、差分の抽出を可能とすると同時に、複合攻撃も同時に検知分析することが可能となる。
【解決手段】トラヒック量変化原因特定システム300は、異常検知外部機能部200と連携し、検知した異常トラヒックの攻撃種別(プロトコル)及びトラヒック情報(IPアドレスやAS番号等)をフィルタとして分析対象フローの抽出に利用し、且つ、それら攻撃種別やトラヒック情報毎に、複合攻撃として利用もしくは標的になり得る情報を保持して、分析対象フローの抽出に利用する。これにより、異常トラヒック量の正常時と異常時の差分が総量の変動に埋もれてしまう場合に、差分の抽出を可能とすると同時に、複合攻撃も同時に検知分析することが可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラヒック量変化が外部装置によって検知、もしくは手動で指定された際に、ネットワーク上を流れるトラヒックから得るトラヒック情報、もしくは、蓄積されたトラヒック情報をもとに、そのトラヒック量変化の原因となったトラヒックを特定する技術に関するものである。
【背景技術】
【0002】
ISP(Internet Service Provider)などのネットワークのオペレータは、通常ネットワークトラヒック状況をトラヒック量(秒間バイト数、秒間パケット数)の時系列で監視しており、DDoS(Distributed Denail of Service)攻撃、トラヒック集中、装置故障などの異常を時系列の変化によって検出している。
【0003】
しかし、トラヒック量の変化を発見するだけでは、どのような原因でその変化が生じているのか分からず、現状把握・対策を行うことができない。トラヒック変化に対する対策を実行するには、トラヒック量変化を起こした原因トラヒックを特定する手法が必要である。
【0004】
そこで、特許文献1では、トラヒック量変化の原因となったトラヒックを、トラヒック量変化の発生以前のトラヒックと、変化発生中のトラヒックとを比較することで、変化を引き起こしたトラヒックだけをフロー識別子として抽出する。このフロー識別子決定の際に、フロー識別子に該当するトラヒックのトラヒック量変化への寄与度と、変化以前からの存在度と、フロー識別子数の3つの要素間のトレードオフ関係を評価式に従って最適化することで、最小のフロー識別子数で、トラヒック量変化への寄与度を最大化し、変化以前からの存在度を最小化したフロー識別子を決定する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−44501号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、トラヒック量の変化に着目する従来の異常トラヒックの原因特定システムでは、観測される全てのトラヒックの総量に対して、トラヒック量変化の発生以前と発生中の流量差分が大きい場合に分析を実施する。そのため、総トラヒック量の変化量が小さい場合には、分析が実行されない。
【0007】
総トラヒック量の変化量は少ない場合、総トラヒック量に占める割合が小さいが急激なトラヒック量増加が発生しているトラヒックが存在しても、原因の分析が実行できないといった課題があった。
【0008】
これを解決するためには、特定のトラヒック種別でフィルタし、差分抽出した上で分析することが考えられるが、一般的に攻撃としては様々な種別が存在し、それらを一つ一つ適用し分析する方法は、大規模なネットワークに適用するには処理時間が長くなるという課題が生じる。また、攻撃種別が特定できたとしても、攻撃先のAS(Autonomous system)や、サーバなどを特定することが困難であり、攻撃種別でフィルタしても必ずしも異常トラヒックを特定できるとは限らない課題があった。
【0009】
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみである場合、該攻撃に付随して実施される複合攻撃は分析できないという課題もあった。
【課題を解決するための手段】
【0010】
本発明では、以下の手段を備えることで前記の課題を解決する。
【0011】
第1の発明は、トラヒック量変化原因特定システムが、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるものである。これにより、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
【0012】
第2の発明は、前記トラヒック量変化特定システムが、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するため、分析時間の短縮化が可能となる。
【0013】
第3の発明は、前記トラヒック量変化特定システムが、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段を備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として起こりうる他の攻撃の分析を行うことが可能となる。
【0014】
第4の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全てのトラヒック情報(送信元アドレス、送信先アドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、送信元AS番号、送信先AS番号、経由ルータのインターフェースなどの内、全てもしくは何れか)を個別に実施するのではなく、異常検出手段によって検出された異常トラヒックと合致するトラヒックの攻撃対象(IPアドレスやAS番号、ポートなど)についてのみ分析するため、分析時間の短縮化が可能となる。
【0015】
第5の発明は、前記トラヒック量変化原因特定システムが、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段とを備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した標的に対する攻撃と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
【0016】
第6の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えるものである。これにより、特定の攻撃でフィルタしてもネットワーク上で観測される該攻撃に関するフロー情報が膨大で、正常時と異常時の差分が抽出できない場合に、特定の攻撃対象のフィルタを併用することで、攻撃種別及び標的を絞り込むことができ、結果、差分の抽出と分析が可能となる。
【0017】
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として実施されうる攻撃種別及び標的に関わる他の攻撃の分析を行うことが可能となる。
【発明の効果】
【0018】
第一の効果は、トラヒック量の変化に着目する異常トラヒックの原因特定システムにおいて、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
【0019】
その理由は、トラヒック量変化原因特定システムが異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出するためである。
【0020】
第二の効果は、攻撃のトラヒック種別が多い場合にも、分析時間の短縮化が可能となる。
【0021】
その理由は、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するためである。
【0022】
第三の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、該複合攻撃の分析を行うことが可能となる。
【0023】
その理由は、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持し、取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も併せて実施するためである。
【0024】
第四の効果は、攻撃の送信元/先であるアドレス、ポート番号、AS番号や経由ルータが多岐に渡る場合、分析時間の短縮化が可能となる。
【0025】
その理由は、観測されるトラヒックの全ての送信元/先の組み合わせについて個別に分析するのではなく、異常検出手段によって検出された攻撃の送信元/先の組み合わせのみを分析するためである。
【0026】
第五の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、検知した攻撃先(標的)と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
【0027】
その理由は、複合攻撃として標的になりやすい攻撃先の組など、関連のある送信元/先、経由ルータなどの情報をグループ化して保持し、取得した攻撃の送信元/先、経由ルータと同じグループに属す送信元/先、経由ルータのトラヒックの分析も実施するため。
【0028】
第六の効果は、第一から第五の効果を併せて実現することが可能となる。
【0029】
その理由は、トラヒック量変化原因特定システムが、異常検知機能が異常を検知した際に、検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得し、異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施するためである。
【図面の簡単な説明】
【0030】
【図1】本発明の一実施形態であるトラヒック量変化原因特定システム300の適用場面を示した説明図。
【図2】異常検知外部機能部200が保持する攻撃フィルタ500のリスト及び、異常検知外部機能部200の検知結果情報510を示した説明図。
【図3】トラヒック量変化原因特定システム300のフィルタ部310が保持するグループリスト(攻撃フィルタグループリスト311、トラヒック情報グループリスト312、313)を示した説明図。
【図4−1】トラヒック量変化原因特定システム300の分析動作のフローチャート図(その1)である。
【図4−2】トラヒック量変化原因特定システム300の分析動作のフローチャート図(その2)である。
【図5−1】トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その1)である。
【図5−2】トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その2)である。
【発明を実施するための形態】
【0031】
以下、本発明の実施形態のトラヒック量変化原因特定システムを図を参照して詳細に説明する。
【0032】
[構成の説明]
図1は本発明の一実施形態であるトラヒック量変化原因特定システムの適用場面を示した説明図である。
【0033】
図中において、トラヒック量変化原因特定システム300は、少なくともフィルタ部310と異常分析実行部320から構成される。フィルタ部310は、異常検知外部機能部200との間に、攻撃フィルタ500及び検知結果情報510を取得するインターフェースを備える。また、フロー情報蓄積部400は、ネットワーク上で観測されたトラヒック情報を保持する記憶機能である。
【0034】
異常検知外部機能部200は、フロー情報蓄積部400から取得したフロー情報520を用いて、DDoS攻撃等の異常状態を検知することが可能な外部機能であり、その実現方法としては、あるトラヒック種別(プロトコル、送信先IPアドレスなど)毎に、設定された閾値を超えるトラヒック量を検知した場合に攻撃として検出する方法が考えられるが、それ以外の実現方法でも構わない。
【0035】
また、フロー情報蓄積部400については、トラヒック情報を保持する仕組み、保持形式に制限は無い。
【0036】
異常分析実行部320は、フロー情報蓄積部400からフロー情報530を取得する際に、フィルタ部310が異常検知外部機能部200から取得したフィルタ条件(攻撃フィルタ、検知結果情報)及びフィルタ部310が保持するフィルタ条件により、フロー情報の選別を行い、フィルタ条件に合致したフロー情報のみ取得する。
【0037】
なお、これらの構成部は必ずしも同一の装置に共存する必要は無く、ネットワーク上に分散して配置される構成も取り得る。
【0038】
図2は、フィルタ部310が異常検知外部機能部200から取得する攻撃フィルタ500のリスト及び検知結果情報510の例を示した説明図である。
【0039】
攻撃フィルタ500のリストは、フィルタ部310が異常検知外部機能部200から取得する攻撃種別毎のフィルタ情報であり、検知結果情報510は、送信元IPアドレス、送信先IPアドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、ルータインターフェース、送信元AS番号、送信先AS番号を保持する。なお、攻撃フィルタ500のリストは例であり、これら以外の攻撃フィルタを取得することも可能である。さらに、検知結果情報510として通知される値の数は限定されず、例えば送信元IPアドレスが複数個通知されることも可能である。また、これら以外の種別の情報を通知することも可能である。
【0040】
図3は、フィルタ部310が保持する攻撃フィルタグループのリスト311及びトラヒック情報グループのリスト312、313を示した説明図である。
【0041】
攻撃フィルタグループリスト311は、攻撃毎のフィルタ情報と、その攻撃との複合攻撃として同時に実行されうる攻撃フィルタをグループ化して管理するリストであり、攻撃フィルタに対し、複合攻撃フィルタ1及び2を保持する。また、トラヒック情報グループリスト(送信先IPアドレス)312は、同時に攻撃される可能性が高いIPアドレスのグループのリストであり、保持するアドレスのプレフィックス長は可変長である。さらに、トラヒック情報グループリスト(送信先AS番号)313は、同時に攻撃される可能性が高いAS番号のグループリストである。
【0042】
なお、図3に記載している攻撃フィルタグループリスト311のグループは例であり、複合攻撃フィルタの数は2に限定されず、これら以外の攻撃フィルタグループを適用することも可能である。さらに、トラヒック情報グループのリスト312、313は例であり、グループメンバの数に制限はなく、また、これら以外の種別の情報(送信元IPアドレス、送信元ポート番号、送信先ポート番号、ルータ情報など)をグループリストとして保持することも可能である。
【0043】
[動作の説明]
図4−1、図4−2は、トラヒック量変化原因特定システム300が、異常分析を実行する場合の動作を示すフローチャートである。図4−1の(1)−(1)’、(2)−(2)’、(3)−(3)’、(4)−(4)’の詳細を図4―2に示す。
【0044】
異常検知外部機能部200が異常を検知したことを契機に(S1)、フィルタ部310が異常検知外部機能部200から、検知結果情報510及び攻撃フィルタ500を取得する(S2)。
【0045】
異常分析実行部320は、フロー情報蓄積部400から、S2で取得した検知結果情報510に合致するフロー情報を取得する(S3−1)、もしくはトラヒック情報グループリスト312、313で、S2で取得した検知結果情報510と同一グループとして保持されるトラヒック情報に合致するフロー情報を取得する(S3−2)。
【0046】
また、異常分析実行部320は、S3−1もしくはS3−2で取得したフロー情報の内、S2で所得した攻撃フィルタ500に合致するフロー情報を取得する(S3−3)、もしくは攻撃フィルタグループリスト311でS2で取得した攻撃フィルタ500と同一グループとして保持される複合攻撃フィルタに合致するフロー情報を取得する(S3−4)。
【0047】
異常分析実行部320は、S3−1、S3−2、S3−3、S3−4で所得したフロー情報を用いて、異常分析を実行し、結果を出力する。
【0048】
図5−1、図5−2は図4のフローチャートに従ってトラヒック量変化原因特定システム300が取得する分析対象となるフロー情報の例を示している。各グラフの横軸は時間、縦軸はトラヒック流量である。
【0049】
トラヒック量変化原因特定システム300は、異常検知外部機能部200が攻撃を検知した時点以降を異常区間、それ以前を正常区間として設定し、それらの区間での差分トラヒックを基に異常区間での攻撃トラヒックの分析を行う分析機能を保持する。図5−1 a)に示すように、観測される全てのトラヒックの流量について、正常区間と異常区間の差分が小さい場合、前記のような従来のトラヒック量変化原因特定システムでは攻撃を分析することができない。
【0050】
そこで、図4のS2に従い、異常検知外部機能部200から、異常を検知した際に適用された攻撃フィルタ500(TCP SYN)と、図2に記載の検知結果情報510を取得する。
【0051】
異常分析実行部320は、S3−1に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)に合致するフロー情報を取得することで、図5−1 b)に示すように異常として検出された特定のIPアドレスやAS番号向けのフロー情報のみを取得することができる。
【0052】
さらに、S3−3に従い、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別のフロー情報のみを取得することができる。
【0053】
これにより、異常として検出された送信先IPアドレスや送信先AS、攻撃種別以外のフロー情報を除外することで、正常区間と異常区間の差分を抽出することが可能となり、異常分析を実施することが可能となる。
【0054】
また、異常分析実行部320は、S3−2に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)とトラヒック情報グループリスト312、313で同一グループとして管理されるトラヒック情報(送信先IPアドレス=150.10.1.0/24、送信先AS番号=4024)に合致するフロー情報を取得することで、図5−2 b)に示すように異常として検出された特定のIPアドレスやAS番号と、同時に複合攻撃の標的となり得るIPアドレスやAS番号のフロー情報のみを取得することができる。
【0055】
さらに、S3−4に従い、攻撃フィルタグループリスト311で、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)と同一グループとして管理されている攻撃フィルタ(ICMP)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別と、同時に複合攻撃として利用されうる攻撃種別のフロー情報のみを取得することができる。
【0056】
これにより、異常検知外部機能部200では、図5−2 c−1)に該当する攻撃しか検出出来ない場合でも、該攻撃と同時に標的になり得る、もしくは利用されうる攻撃種別についても、図5−1 c−1)、 図5−1 c−2)、図5−2 c−2)のように差分を抽出し分析することで、検知分析が可能となる。
【0057】
このように、検知結果情報と攻撃フィルタを組み合わせてフロー取得の条件として利用することで、特定の標的(AS、サーバ、ポート)のに対する特定の攻撃に特化したフロー抽出が可能となり、その他のフローの種類や量に影響されない分析が可能となる。
【0058】
本実施形態のトラヒック量変化原因特定システム300は、図4−1、図4−2に示す各ステップを実行する手段を備えている。
【0059】
本実施形態のトラヒック量変化原因特定システム300はコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
【0060】
以上、本発明の実施形態を具体的に説明したが、本発明の実施形態のトラヒック量変化原因特定システムは、基本的には、トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであり、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えていればよい。
【0061】
本発明の実施形態のトラヒック量変化原因特定システムは、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
【0062】
また、前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることができる。
【0063】
また、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
【0064】
また、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
【0065】
また、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
【0066】
尚、必ずしも前記実装形態に限定されるものではなく、その要旨を逸脱しない範囲において、種種の変更は可能であり、本発明の目的を達し、下記する効果を奏する範囲において、適宜変更して実装可能であることは勿論である。
【符号の説明】
【0067】
200…異常検知外部機能部、300…トラヒック量変化原因特定システム、310…フィルタ部、311…攻撃フィルタグループリスト、312…トラヒック情報グループリスト(送信先IPアドレス)、313…トラヒック情報グループリスト(送信先AS番号)、320…異常分析実行部、400…フロー情報蓄積部、500…攻撃フィルタ、510…検知結果情報、530…フロー情報
【技術分野】
【0001】
本発明は、トラヒック量変化が外部装置によって検知、もしくは手動で指定された際に、ネットワーク上を流れるトラヒックから得るトラヒック情報、もしくは、蓄積されたトラヒック情報をもとに、そのトラヒック量変化の原因となったトラヒックを特定する技術に関するものである。
【背景技術】
【0002】
ISP(Internet Service Provider)などのネットワークのオペレータは、通常ネットワークトラヒック状況をトラヒック量(秒間バイト数、秒間パケット数)の時系列で監視しており、DDoS(Distributed Denail of Service)攻撃、トラヒック集中、装置故障などの異常を時系列の変化によって検出している。
【0003】
しかし、トラヒック量の変化を発見するだけでは、どのような原因でその変化が生じているのか分からず、現状把握・対策を行うことができない。トラヒック変化に対する対策を実行するには、トラヒック量変化を起こした原因トラヒックを特定する手法が必要である。
【0004】
そこで、特許文献1では、トラヒック量変化の原因となったトラヒックを、トラヒック量変化の発生以前のトラヒックと、変化発生中のトラヒックとを比較することで、変化を引き起こしたトラヒックだけをフロー識別子として抽出する。このフロー識別子決定の際に、フロー識別子に該当するトラヒックのトラヒック量変化への寄与度と、変化以前からの存在度と、フロー識別子数の3つの要素間のトレードオフ関係を評価式に従って最適化することで、最小のフロー識別子数で、トラヒック量変化への寄与度を最大化し、変化以前からの存在度を最小化したフロー識別子を決定する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−44501号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、トラヒック量の変化に着目する従来の異常トラヒックの原因特定システムでは、観測される全てのトラヒックの総量に対して、トラヒック量変化の発生以前と発生中の流量差分が大きい場合に分析を実施する。そのため、総トラヒック量の変化量が小さい場合には、分析が実行されない。
【0007】
総トラヒック量の変化量は少ない場合、総トラヒック量に占める割合が小さいが急激なトラヒック量増加が発生しているトラヒックが存在しても、原因の分析が実行できないといった課題があった。
【0008】
これを解決するためには、特定のトラヒック種別でフィルタし、差分抽出した上で分析することが考えられるが、一般的に攻撃としては様々な種別が存在し、それらを一つ一つ適用し分析する方法は、大規模なネットワークに適用するには処理時間が長くなるという課題が生じる。また、攻撃種別が特定できたとしても、攻撃先のAS(Autonomous system)や、サーバなどを特定することが困難であり、攻撃種別でフィルタしても必ずしも異常トラヒックを特定できるとは限らない課題があった。
【0009】
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみである場合、該攻撃に付随して実施される複合攻撃は分析できないという課題もあった。
【課題を解決するための手段】
【0010】
本発明では、以下の手段を備えることで前記の課題を解決する。
【0011】
第1の発明は、トラヒック量変化原因特定システムが、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えるものである。これにより、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
【0012】
第2の発明は、前記トラヒック量変化特定システムが、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するため、分析時間の短縮化が可能となる。
【0013】
第3の発明は、前記トラヒック量変化特定システムが、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段を備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として起こりうる他の攻撃の分析を行うことが可能となる。
【0014】
第4の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段とを備えるものである。これにより、全てのトラヒック情報(送信元アドレス、送信先アドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、送信元AS番号、送信先AS番号、経由ルータのインターフェースなどの内、全てもしくは何れか)を個別に実施するのではなく、異常検出手段によって検出された異常トラヒックと合致するトラヒックの攻撃対象(IPアドレスやAS番号、ポートなど)についてのみ分析するため、分析時間の短縮化が可能となる。
【0015】
第5の発明は、前記トラヒック量変化原因特定システムが、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段とを備えるものである。これにより、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した標的に対する攻撃と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
【0016】
第6の発明は、前記トラヒック量変化原因特定システムが、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えるものである。これにより、特定の攻撃でフィルタしてもネットワーク上で観測される該攻撃に関するフロー情報が膨大で、正常時と異常時の差分が抽出できない場合に、特定の攻撃対象のフィルタを併用することで、攻撃種別及び標的を絞り込むことができ、結果、差分の抽出と分析が可能となる。
【0017】
また、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、前記トラヒック量変化特定システムにて、異常検知手段が検知した攻撃と併せて複合攻撃として実施されうる攻撃種別及び標的に関わる他の攻撃の分析を行うことが可能となる。
【発明の効果】
【0018】
第一の効果は、トラヒック量の変化に着目する異常トラヒックの原因特定システムにおいて、総トラヒック量の変化量が少ない場合でも、特定のトラヒックのみの差分量を抽出し、原因の分析を行うことが可能となる。
【0019】
その理由は、トラヒック量変化原因特定システムが異常検知機能と連携し、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出するためである。
【0020】
第二の効果は、攻撃のトラヒック種別が多い場合にも、分析時間の短縮化が可能となる。
【0021】
その理由は、全ての攻撃種別のフィルタを個別に実施するのではなく、異常検出手段によって検出されたフィルタのみを使って分析するためである。
【0022】
第三の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃は検知できない場合に、該複合攻撃の分析を行うことが可能となる。
【0023】
その理由は、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持し、取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も併せて実施するためである。
【0024】
第四の効果は、攻撃の送信元/先であるアドレス、ポート番号、AS番号や経由ルータが多岐に渡る場合、分析時間の短縮化が可能となる。
【0025】
その理由は、観測されるトラヒックの全ての送信元/先の組み合わせについて個別に分析するのではなく、異常検出手段によって検出された攻撃の送信元/先の組み合わせのみを分析するためである。
【0026】
第五の効果は、異常検知機能が検知できる攻撃が、全体のネットワークに占める割合の大きい特徴的な攻撃のみであり、該攻撃に付随して実施される複合攻撃が検知できない場合に、検知した攻撃先(標的)と併せて複合攻撃として標的になり得る他の攻撃の分析を行うことが可能となる。
【0027】
その理由は、複合攻撃として標的になりやすい攻撃先の組など、関連のある送信元/先、経由ルータなどの情報をグループ化して保持し、取得した攻撃の送信元/先、経由ルータと同じグループに属す送信元/先、経由ルータのトラヒックの分析も実施するため。
【0028】
第六の効果は、第一から第五の効果を併せて実現することが可能となる。
【0029】
その理由は、トラヒック量変化原因特定システムが、異常検知機能が異常を検知した際に、検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得し、異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施するためである。
【図面の簡単な説明】
【0030】
【図1】本発明の一実施形態であるトラヒック量変化原因特定システム300の適用場面を示した説明図。
【図2】異常検知外部機能部200が保持する攻撃フィルタ500のリスト及び、異常検知外部機能部200の検知結果情報510を示した説明図。
【図3】トラヒック量変化原因特定システム300のフィルタ部310が保持するグループリスト(攻撃フィルタグループリスト311、トラヒック情報グループリスト312、313)を示した説明図。
【図4−1】トラヒック量変化原因特定システム300の分析動作のフローチャート図(その1)である。
【図4−2】トラヒック量変化原因特定システム300の分析動作のフローチャート図(その2)である。
【図5−1】トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その1)である。
【図5−2】トラヒック量変化原因特定システム300が分析する際に抽出するフローのトラヒック流量グラフを示した説明図(その2)である。
【発明を実施するための形態】
【0031】
以下、本発明の実施形態のトラヒック量変化原因特定システムを図を参照して詳細に説明する。
【0032】
[構成の説明]
図1は本発明の一実施形態であるトラヒック量変化原因特定システムの適用場面を示した説明図である。
【0033】
図中において、トラヒック量変化原因特定システム300は、少なくともフィルタ部310と異常分析実行部320から構成される。フィルタ部310は、異常検知外部機能部200との間に、攻撃フィルタ500及び検知結果情報510を取得するインターフェースを備える。また、フロー情報蓄積部400は、ネットワーク上で観測されたトラヒック情報を保持する記憶機能である。
【0034】
異常検知外部機能部200は、フロー情報蓄積部400から取得したフロー情報520を用いて、DDoS攻撃等の異常状態を検知することが可能な外部機能であり、その実現方法としては、あるトラヒック種別(プロトコル、送信先IPアドレスなど)毎に、設定された閾値を超えるトラヒック量を検知した場合に攻撃として検出する方法が考えられるが、それ以外の実現方法でも構わない。
【0035】
また、フロー情報蓄積部400については、トラヒック情報を保持する仕組み、保持形式に制限は無い。
【0036】
異常分析実行部320は、フロー情報蓄積部400からフロー情報530を取得する際に、フィルタ部310が異常検知外部機能部200から取得したフィルタ条件(攻撃フィルタ、検知結果情報)及びフィルタ部310が保持するフィルタ条件により、フロー情報の選別を行い、フィルタ条件に合致したフロー情報のみ取得する。
【0037】
なお、これらの構成部は必ずしも同一の装置に共存する必要は無く、ネットワーク上に分散して配置される構成も取り得る。
【0038】
図2は、フィルタ部310が異常検知外部機能部200から取得する攻撃フィルタ500のリスト及び検知結果情報510の例を示した説明図である。
【0039】
攻撃フィルタ500のリストは、フィルタ部310が異常検知外部機能部200から取得する攻撃種別毎のフィルタ情報であり、検知結果情報510は、送信元IPアドレス、送信先IPアドレス、プロトコル番号、送信元ポート番号、送信先ポート番号、ルータインターフェース、送信元AS番号、送信先AS番号を保持する。なお、攻撃フィルタ500のリストは例であり、これら以外の攻撃フィルタを取得することも可能である。さらに、検知結果情報510として通知される値の数は限定されず、例えば送信元IPアドレスが複数個通知されることも可能である。また、これら以外の種別の情報を通知することも可能である。
【0040】
図3は、フィルタ部310が保持する攻撃フィルタグループのリスト311及びトラヒック情報グループのリスト312、313を示した説明図である。
【0041】
攻撃フィルタグループリスト311は、攻撃毎のフィルタ情報と、その攻撃との複合攻撃として同時に実行されうる攻撃フィルタをグループ化して管理するリストであり、攻撃フィルタに対し、複合攻撃フィルタ1及び2を保持する。また、トラヒック情報グループリスト(送信先IPアドレス)312は、同時に攻撃される可能性が高いIPアドレスのグループのリストであり、保持するアドレスのプレフィックス長は可変長である。さらに、トラヒック情報グループリスト(送信先AS番号)313は、同時に攻撃される可能性が高いAS番号のグループリストである。
【0042】
なお、図3に記載している攻撃フィルタグループリスト311のグループは例であり、複合攻撃フィルタの数は2に限定されず、これら以外の攻撃フィルタグループを適用することも可能である。さらに、トラヒック情報グループのリスト312、313は例であり、グループメンバの数に制限はなく、また、これら以外の種別の情報(送信元IPアドレス、送信元ポート番号、送信先ポート番号、ルータ情報など)をグループリストとして保持することも可能である。
【0043】
[動作の説明]
図4−1、図4−2は、トラヒック量変化原因特定システム300が、異常分析を実行する場合の動作を示すフローチャートである。図4−1の(1)−(1)’、(2)−(2)’、(3)−(3)’、(4)−(4)’の詳細を図4―2に示す。
【0044】
異常検知外部機能部200が異常を検知したことを契機に(S1)、フィルタ部310が異常検知外部機能部200から、検知結果情報510及び攻撃フィルタ500を取得する(S2)。
【0045】
異常分析実行部320は、フロー情報蓄積部400から、S2で取得した検知結果情報510に合致するフロー情報を取得する(S3−1)、もしくはトラヒック情報グループリスト312、313で、S2で取得した検知結果情報510と同一グループとして保持されるトラヒック情報に合致するフロー情報を取得する(S3−2)。
【0046】
また、異常分析実行部320は、S3−1もしくはS3−2で取得したフロー情報の内、S2で所得した攻撃フィルタ500に合致するフロー情報を取得する(S3−3)、もしくは攻撃フィルタグループリスト311でS2で取得した攻撃フィルタ500と同一グループとして保持される複合攻撃フィルタに合致するフロー情報を取得する(S3−4)。
【0047】
異常分析実行部320は、S3−1、S3−2、S3−3、S3−4で所得したフロー情報を用いて、異常分析を実行し、結果を出力する。
【0048】
図5−1、図5−2は図4のフローチャートに従ってトラヒック量変化原因特定システム300が取得する分析対象となるフロー情報の例を示している。各グラフの横軸は時間、縦軸はトラヒック流量である。
【0049】
トラヒック量変化原因特定システム300は、異常検知外部機能部200が攻撃を検知した時点以降を異常区間、それ以前を正常区間として設定し、それらの区間での差分トラヒックを基に異常区間での攻撃トラヒックの分析を行う分析機能を保持する。図5−1 a)に示すように、観測される全てのトラヒックの流量について、正常区間と異常区間の差分が小さい場合、前記のような従来のトラヒック量変化原因特定システムでは攻撃を分析することができない。
【0050】
そこで、図4のS2に従い、異常検知外部機能部200から、異常を検知した際に適用された攻撃フィルタ500(TCP SYN)と、図2に記載の検知結果情報510を取得する。
【0051】
異常分析実行部320は、S3−1に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)に合致するフロー情報を取得することで、図5−1 b)に示すように異常として検出された特定のIPアドレスやAS番号向けのフロー情報のみを取得することができる。
【0052】
さらに、S3−3に従い、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別のフロー情報のみを取得することができる。
【0053】
これにより、異常として検出された送信先IPアドレスや送信先AS、攻撃種別以外のフロー情報を除外することで、正常区間と異常区間の差分を抽出することが可能となり、異常分析を実施することが可能となる。
【0054】
また、異常分析実行部320は、S3−2に従い、フロー情報蓄積部400に保持されるフロー情報から、検知結果情報510(送信先IPアドレス=150.10.1.143、送信先AS番号=4859)とトラヒック情報グループリスト312、313で同一グループとして管理されるトラヒック情報(送信先IPアドレス=150.10.1.0/24、送信先AS番号=4024)に合致するフロー情報を取得することで、図5−2 b)に示すように異常として検出された特定のIPアドレスやAS番号と、同時に複合攻撃の標的となり得るIPアドレスやAS番号のフロー情報のみを取得することができる。
【0055】
さらに、S3−4に従い、攻撃フィルタグループリスト311で、異常検知外部機能部200から取得した攻撃フィルタ500(TCP SYN)と同一グループとして管理されている攻撃フィルタ(ICMP)に合致するフロー情報のみを取得することで、図5−1 c−1)に示すように異常として検出された特定の攻撃種別と、同時に複合攻撃として利用されうる攻撃種別のフロー情報のみを取得することができる。
【0056】
これにより、異常検知外部機能部200では、図5−2 c−1)に該当する攻撃しか検出出来ない場合でも、該攻撃と同時に標的になり得る、もしくは利用されうる攻撃種別についても、図5−1 c−1)、 図5−1 c−2)、図5−2 c−2)のように差分を抽出し分析することで、検知分析が可能となる。
【0057】
このように、検知結果情報と攻撃フィルタを組み合わせてフロー取得の条件として利用することで、特定の標的(AS、サーバ、ポート)のに対する特定の攻撃に特化したフロー抽出が可能となり、その他のフローの種類や量に影響されない分析が可能となる。
【0058】
本実施形態のトラヒック量変化原因特定システム300は、図4−1、図4−2に示す各ステップを実行する手段を備えている。
【0059】
本実施形態のトラヒック量変化原因特定システム300はコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
【0060】
以上、本発明の実施形態を具体的に説明したが、本発明の実施形態のトラヒック量変化原因特定システムは、基本的には、トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであり、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えていればよい。
【0061】
本発明の実施形態のトラヒック量変化原因特定システムは、前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
【0062】
また、前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることができる。
【0063】
また、前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段を備えることができる。
【0064】
また、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
【0065】
また、前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段を備えることができる。
【0066】
尚、必ずしも前記実装形態に限定されるものではなく、その要旨を逸脱しない範囲において、種種の変更は可能であり、本発明の目的を達し、下記する効果を奏する範囲において、適宜変更して実装可能であることは勿論である。
【符号の説明】
【0067】
200…異常検知外部機能部、300…トラヒック量変化原因特定システム、310…フィルタ部、311…攻撃フィルタグループリスト、312…トラヒック情報グループリスト(送信先IPアドレス)、313…トラヒック情報グループリスト(送信先AS番号)、320…異常分析実行部、400…フロー情報蓄積部、500…攻撃フィルタ、510…検知結果情報、530…フロー情報
【特許請求の範囲】
【請求項1】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項2】
請求項1に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項3】
請求項1または2に記載のトラヒック量変化原因特定システムにおいて、
前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項4】
請求項1に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項5】
請求項1ないし4のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項6】
請求項1ないし5のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、
前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属するトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項7】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムのトラヒック量変化原因特定方法であって、
前記トラヒック量変化原因特定システムが、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する
ことを特徴とするトラヒック量変化原因特定方法。
【請求項8】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定装置であって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定装置。
【請求項9】
請求項1ないし6のうちいずれか1項に記載のトラヒック量変化原因特定システムとしてコンピュータを機能させるためのプログラム。
【請求項1】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムであって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項2】
請求項1に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、異常トラヒックを検出した攻撃種別のフィルタ情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した攻撃種別のフィルタ情報を用いて、特定のトラヒック種別の正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項3】
請求項1または2に記載のトラヒック量変化原因特定システムにおいて、
前記複数の攻撃種別で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
前記異常検知機能から取得した攻撃種別のフィルタ情報を用いて異常トラヒックの原因を分析すると同時に、該取得した攻撃種別と同じグループに属す攻撃種別のフィルタ情報を用いた異常トラヒックの原因分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項4】
請求項1に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、検出された異常トラヒックの検知結果情報を該異常検知機能から取得する手段と、
該異常検知機能から取得した検知結果情報に合致するトラヒックの正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項5】
請求項1ないし4のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知機能から取得した検知結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した検知結果情報と同じグループに属すトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項6】
請求項1ないし5のうちいずれか1項に記載のトラヒック量変化原因特定システムにおいて、
前記異常検知機能が異常を検知した際に、前記異常トラヒックを検出した攻撃種別のフィルタ情報及び検出結果情報を該異常検知機能から取得する手段と、
前記複数の攻撃種別の中で、複合攻撃として組み合わせられると考えられる複数の攻撃種別をグループ化して保持する手段と、
異常トラヒックとして検出されうる情報として関連のあるトラヒック情報をグループ化して保持する手段と、
前記異常検知手段から取得した異常トラヒック情報及び検出結果情報を用いて異常トラヒックの原因を分析すると同時に、該取得した異常トラヒック情報及び検出結果情報と同じグループに属するトラヒック情報を用いた原因の分析も実施する手段
を備えることを特徴とするトラヒック量変化原因特定システム。
【請求項7】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定システムのトラヒック量変化原因特定方法であって、
前記トラヒック量変化原因特定システムが、特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する
ことを特徴とするトラヒック量変化原因特定方法。
【請求項8】
トラヒックの統計情報をネットワーク装置から受信し、複数の攻撃種別毎のトラヒック流量変動を監視することで異常トラヒックを検出する異常検知機能と連携し、正常時と異常時のトラヒック量の差分を基に、トラヒック量変化の原因トラヒックを特定するトラヒック量変化原因特定装置であって、
特定のトラヒック種別の統計情報のみを抽出するフィルタ群を用いて、特定のトラヒック毎に正常時と異常時のトラヒック量の差分を抽出し、異常トラヒックの原因を分析する手段
を備えることを特徴とするトラヒック量変化原因特定装置。
【請求項9】
請求項1ないし6のうちいずれか1項に記載のトラヒック量変化原因特定システムとしてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4−1】
【図4−2】
【図5−1】
【図5−2】
【図2】
【図3】
【図4−1】
【図4−2】
【図5−1】
【図5−2】
【公開番号】特開2011−176434(P2011−176434A)
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2010−37395(P2010−37395)
【出願日】平成22年2月23日(2010.2.23)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成22年2月23日(2010.2.23)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]