不正情報検知システム及び不正攻撃元探索システム
【課題】(D)DoS攻撃であるか否かの判定基準を容易化することができる(D)DoS攻撃検知および追跡、攻撃先特定システムを提供すること。
【解決手段】インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われていると判定することを特徴とする。
【解決手段】インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、該フィールドの値の数が一定時間内で所定数、若しくは所定率に達した場合には不正攻撃が行われていると判定することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット回線を通じて送信されてきた情報が適正な情報であるかあるいは(D)DoSなどの不正な情報であるかを判定する不正情報検知システム及び不正攻撃元探索システムに関するものである。
【背景技術】
【0002】
近年、ある企業や組織をターゲットにし、大量の不正な通信(パケット)を送信するサービス妨害攻撃が問題となっている。このような(D)DoS攻撃は、一般にはサーバの処理能力を超える大量の接続要求を一度に送りつけることや、通信回線の容量を不要な通信で埋め尽くすことで他の必要な通信を妨害し、通常業務を妨害したり、課金制ユーザーに対するプロバイダへのアクセス時間並びに通信会社への通信時間を延長させて納付料金を高騰させるといった弊害を与えるものである。いわゆる(D)DoS攻撃といわれるものである。
【0003】
(D)DoS攻撃とは、攻撃対象機器およびネットワークの処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
【0004】
そこで、各パケットのヘッダ部分に含まれるSourceアドレス(送信元アドレス)を管理し、このような(D)DoS攻撃を送りつけたアドレスからの通信を2度と受信しないと共にその送信元に通信の終了を示すパケットを送り返すといった防止機能を付加したサービスが見受けられる。
【0005】
しかしながら、このような防止サービスは、異なったSourceアドレスから(D)DoS攻撃を送りつけてきた場合には、その(D)DoS攻撃の受信を拒否することができないといった問題が生じていた。
【0006】
一方、このような(D)DoS攻撃を送りつける送信元では、受信拒否された(D)DoS攻撃が送り返されてしまうと、自身のサーバおよびネットワークが容量オーバーとなってしまう。従って、送信元では、Sourceアドレスをランダムに偽造作成し、大量のパケットの各アドレスを異ならせたうえで特定宛先アドレスに(D)DoS攻撃を送信するといった対応で対抗してきているのが実情である。
【0007】
これに対し、例えば、特許文献1では、不特定多数の電子メールに対し、電子メールのデータフォーマットのヘッダ部分に含まれるToアドレス(送信先アドレス)を事前設定されたアカウント別メールヘッダ・コンテンツ書き換え定義にしたがい、受信した電子メールを書き換えた上でその書き換えメールアドレスに再送信(転送)し、特定メールサーバーヘの負荷を分散させている。
【0008】
また、特許文献2では、同時に送信されてきた電子メールのFromアドレスに不明なものを大量に含むか否かを判定し、Fromアドレスに不明なものが大量に含まれている場合には、その送信されてきた大量の電子メールのFromアドレスに送信メールを返信し、返信できた電子メールのみを適正な電子メールとして受信している。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2003−318987号公報
【特許文献2】特開2003−234784号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
ところで、送信元アドレスは容易に偽造し変更することが可能であるため、大量の送信元アドレスを事前に予測し、対応することは非常に困難である。
【0011】
また、(D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難なことから、なんらかの閾値を用いた検知が検討されているが、それらは対象となるネットワークの特性や利用状況によって大きく変化するものであるため、高い検知精度は期待できない。
【0012】
また、(D)DoS攻撃は正常な通信との識別が困難なことから、間違った判断により正常な通信の送受信をも遮断してしまう可能性があった。
【0013】
このように、従来技術では、(D)DoS攻撃の判定基準が複雑となっているため、検知が困難な小規模の(D)DoS攻撃の受信を余儀なくされたり、必要な通信をも受信拒否してしまうといった問題が生じていた。
【0014】
本発明は、上記問題を解決するため、(D)DoS攻撃などの不正攻撃かあるか否かの判定基準を容易に行うことが可能な不正攻撃検知およびその追跡システムを提供することを目的とする。
【課題を解決するための手段】
【0015】
請求項1に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する手段を備えたことを特徴とする不正情報検知システムである。フィールドの値としては、例えば、次のものが上げられる。
バージョン
ヘッダ長
ToS
全長
アイデンティフィケーション
フラグ
フラグメントオフセット
Time to Live
プロトコル
ヘッダチェックサム
発信元アドレス
到達先アドレス
オプション
ポート
【0016】
あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があった場合、フィールドの値の数はnである。
【0017】
また、フィールドの値の2つ以上の任意の組合せとして、例えば、フィールドの値として「発信元アドレス」と「到達先アドレス」との組合せによりフィールドの値を構成する。
まず前記同様、発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があったとする。ak(k=1〜n)について、到達アドレスの種類がmk個あるとすると、この場合における複数のフィールドの組合せにより構成されるフィールドの値の数はΣmk(k=1〜n)となる。
【0018】
請求項2に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項4に記載の不正情報検知システムである。
【0019】
前記パケットのヘッダ内にある送信元アドレスが詐称されたものではなく正規のものである場合、ホップ数はほぼ決まった値となることから、所定の値の範囲を予め設定しておくことで、ホップ数が前記所定の値の範囲から外れた場合に不正攻撃が行われていると判定することができる。
【0020】
請求項3に係る発明は、請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システムである。
【0021】
インターネットの複数個所に不正情報検知システムを設置して、各箇所で不正攻撃が行われているか判定する。例えば、2つの観測点で不正攻撃を検知した場合、2つの観測点を結ぶ経路を不正攻撃が通過したと判定することができるため、複数の観測点で不正攻撃が行われているか判定することで、不正攻撃の通過した経路を追跡することができ、不正攻撃の送信元を探索することができる。
【発明の効果】
【0022】
本発明の不正情報検知システムによれば、同時に大量に送信されてきたパケットに対し、該パケットのヘッダ内のあるフィールド値の数が一定時間内に所定率に達した時に、略同期して送信元アドレス件数が所定率に達した場合には、その大量のパケットを(D)DoS攻撃パケットと判定することにより、特定の送信元アドレスに対して受信許可設定若しくは受信拒否設定をするといった細かく煩わしい設定をすることなく(D)DoS攻撃が送信されてきたことを認識および追跡することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の(D)DoS攻撃検知およびその追跡システムの概念図である。
【図2】(A)はパケットデータフォーマットの説明図、(B)は通信量の一例を時系列で示したグラフ図、(C)はパケットのアドレス件数の一例を時系列で示したグラフ図である。
【図3】パケット探索を示す概念図である。
【図4】インターネットのシステムを示す概念図である。
【発明を実施するための形態】
【0024】
前述した通り、DoS攻撃とは、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
このDoS攻撃は次のような特徴を有している。
【0025】
例えば、ヘッダ内のフィールドの値の一つである発信元アドレスは偽造されている(偽のアドレスが用いられている)攻撃元の発信元
アドレスであるパケットをフィルタすることにより、DoS攻撃をブロックされないように、DoS攻撃の発信元アドレスはランダムに選択されていることが一般的である。
【0026】
DoSは非常に莫大なパケットが送信されるので、次のような方法で検知される。
【0027】
第1の方法は、攻撃パケットもしくは、不正なパケットの数を数える方法である。どのようなパケットが不正であるかを判断することはむずかしい。なぜなら、DoS攻撃に使われるパケット一つ一つは正常なパケットであるからである。
【0028】
第2の方法は、検知したパケット全て(攻撃パケットも含む)を数える方法である。ネットワークトラフィックは時々刻々動的に変化する。従って、単にネットワークトラフィック量が増大したからといって、その現象はDoS攻撃によるものだと指摘することはできない。また、既にトラフィック量が飽和状態である場合は、DoS攻撃があったとしても、トラフィック量は増加しない。
【0029】
それに対して、本形態における方法は、DoS攻撃の検知方法は、トラフィックの発信元アドレスを数える方法である。もし攻撃者がランダムに発信元アドレスを選択しているならば、観測される発信元アドレスの数も増加しているはずである。ある一定時間間隔では、1個の発信元アドレスに対して、そのような発信元アドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に1個の(偽造された)発信元アドレスに対して、攻撃パケットは1個しか観測されない。このようにDoS攻撃を検知することができる。
【0030】
発信元アドレス、到達先アドレスとその他の情報・データから構成されている。時間間隔でパケットを数える。例えば、図3に示すように、ネットワーク(Net1)と攻撃先(Target)との間の経路にパケットを観測するための手段を設けておき、そこで、パケットを観測すればよい。かかる手段としては、例えばスニファー(Sniffer)やパッシブ型プローブなどの機器がある。
【0031】
スニファー(Sniffer)や、パッシブ型プローブなどの機器は全てのパケットを観測でき、それらの機器は以下の値を数えあげることができる。
パケットの全数
ある特定の発信元アドレスを持つパケット数
ある特定の到達先アドレスを持つパケット数
発信元アドレス毎のパケット数
到達先アドレス毎のパケット数
特定のタイプのパケット数
これらの値は、一定時間間隔毎に収集可能である。
【0032】
次にDos攻撃の追跡方法について述べる。
【0033】
DoS攻撃元の追跡方法としては、第1に、不正なパケットの経路をチェックする(パケット追跡)方法がある。しかし、どのようなパケットが不正なのかを知る必要がある。
【0034】
第2に、トラフィックパターンをチェックする方法がある。しかし、この方法は、不正確である。
【0035】
それに対して、本発明の実施の形態においては、経路上において観測されるアドレス数の変化をチェックする方法である。全ての経由地で同様な現象が観測されると推測される以下のようなパターンが観測される。
【0036】
時間(任意単位) パケット数 発信元アドレス数
1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
上記において、時間6、7、8においては、パケット数とともに発信元アドレス数が増加している。そこでは、DoS攻撃がなされている。
【0037】
一方、図4に示すように、インターネットの各経路にスニファーSn(n=1,2,3,・・・)を置いておき、そこでの観測結果同士を比較すればどの経路でDoS攻撃がなされているかを知ることができる。その経路を遮断すればDoS攻撃元を追跡することができ、必要に応じてその経路を遮断すればよい。また、その経路からの所定のパケットを遮断すればよい。
【0038】
なお、本発明において、フィールドの値としては、IPv4 プロトコルパケットを例にした場合、次のものが例示される。
バージョン領域
ヘッダ長領域
ToS 領域
全長領域
アイデンティフィケーション領域
フラグ領域
フラグメントオフセット領域
Time to Live 領域
プロトコル領域
ヘッダチェックサム領域
発信元アドレス領域
到達先アドレス領域
オプション領域
ポート領域
【0039】
本発明においては、これらのフィールドの個々の値の件数を検知してもよい。また、これらの個々のフィールドの値の2以上の任意の組合せをフィールドの値としてその件数を検知してもよい。
【0040】
以下に例を示す。
カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。
(カテゴリの例) プロトコル領域がTCPであるパケット全て
便宜上“Total カテゴリ”というカテゴリを定義する。全てのパケットはこのカテゴリに属する。
【0041】
今までの統計分析手法は、モニタや探査装置により観測されたパケットから、全ての観測パケット数や、あるカテゴリに対するパケット観測数などの標本値を元にしてきた。
【0042】
【表1】
Etc…
【0043】
カテゴリ変換 (C-Transform) における統計分析では、検知したパケットが属するカテゴリの数に着目する。上記の例において、プロトコル領域ごとのカテゴリの数を見た場合以下の通りになる。
【表2】
このようにパケットの数の分布からカテゴリの数の分布を作成する方法のことをカテゴリ変換“C-Transform” と呼ぶ。
【0044】
いくつかのヘッダ領域の和によって作成されたカテゴリがとる事が可能な最大のカテゴリの数はその領域の合わせた幅による。例えば幅が合わせて4ビットの領域で作成されるカテゴリの場合、最大のカテゴリの数は16個(2の4乗)である。
【0045】
しかし、IPヘッダにおけるVersion領域とProtocol領域のように、予め定義された以外の値を持つことができないヘッダ領域がある(ASSIGNED NUMBERS, RFC
790 参照)。そのためこのような領域から作成できる意味のあるカテゴリは限定される。
【0046】
また、32ビット(4294967296)の幅を持つ発信元アドレス、到達先アドレスのように非常に大きな値を取り得る領域からのカテゴリ変換 (C-Transform) は特に興味深い統計を提供することになる。
【0047】
本発明においては、インターネット回線上における、前記情報のカテゴリ数が所定の値となった場合に当該情報を不正情報と認定する。またホップ数を効果的に活用することで検知および追跡の効率を向上する。
【0048】
(検知方法)
カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。1...iは時系列に並んだ値とする。
カテゴリ数 : C1, .... Ci, ....
パケット数 : P1, .... Pi, ....
通信量 : O1, .... Oi, ....
このとき、以下の条件で検知する。
a. Ci >T
b. Ci / Ci+1 >T
c. Ci / {Pi|Oi} >T
ここで、T は閾値である。Tは固定値もしくはトラフィックデータから算出される値である。例えば、T = F X
movingAverageOfStatistic ( in a, b, c above)のように上記のa,b,cの値の移動平均になんらかの数Fを乗じて差出されたものである。
また、Fは固定あるいはトラフィックデータから算出される値である。例えば、F = A X
standardDeviationOfStatistic のように標準偏差を用いて算出されることもある。
Aは定数である
【0049】
インターネットにおいては、情報の無限循環を防止するために、ヘッダのTTL(Time to Live)のフィールドの値に基づきHOP(ホップ)の数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、実際に送られた来た詐称情報の場合のHOP数が異なる場合その情報は不正情報と判断することができる。
【実施例】
【0050】
次に、本発明の(D)DoS攻撃検知およびその追跡システムの実施例を図面に基づいて説明する。
【0051】
図1は本発明の(D)DoS攻撃検知およびその追跡システムを示す図である。図1において、1はインターネット回線、2はインターネット回線1に接続された送信元のコンピュータ本体、3はインターネット回線1に接続された受信側コンピュータ、4はインターネット回線1と受信側コ
ンピュータ3との間に接続された通信監視装置である。
【0052】
尚、この通信監視装置4はネットワークに接続されるが、受信側コンピュータ3がサーバ等であった場合には、そのサーバを通信監視装置4としても良い。
この場合、受信とはサーバで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末(例えば、パーソナルコンピュータ等)が接続されることとなる。
【0053】
通常、送信側コンピュータ2から送信されるパケットは、図2(A)に示すように、その通信を構成するパケットのパケットデータフォーマット10のヘッダ部11に、送信元アドレスに相当するSourceアドレス12と送信先アドレス(受信側アドレス)に相当するDestinationアドレス13とが含まれている。
【0054】
通信監視装置4は、送信された値の数若しくはパケット数と、Sourceアドレス12の件数とを監視する。
【0055】
例えば、通常の送受信を想定した場合、送信元コンピュータ2から受信側コンピュータ3に送信される値の数は1件であり、例え、他の送信側コンピュータ(図示せず)から略同時期に他の通信が受信側コンピュータ3に送信されたとしても、その値の数とSourceアドレス12とは1対1で比例して増える。
【0056】
また、例えば、特定の通常の通信が偶然大容量となることがあり得る。この場合、従来の通信量に基づく検知では、その量だけを問題として、不正であると誤って判断されることがある。
【0057】
この問題は、多くの通信が集まる人気のあるコンテンツを運用するサーバでは特に顕著な問題となり、通常の通信と(D)DoS攻撃を識別することが非常に困難となる。
【0058】
このような場合、メール監視装置4では、図2(B)のピークP1に示すように、通信量としては通常の通信量よりも多い件数のパケットが送信されてきた判定する。
【0059】
しかしながら、各パケットのSourceアドレス12は共通、あるいは特定のグループで占められることから、そのパケットを正式に受信する。尚、カテゴリ数が所定数以内であった場合(例えば、10件未満)に、その受信を許容するようにしても良い。
【0060】
一方、実際には1台の送信側コンピュータ2から送信されたパケットでありながら、送信元アドレス(Sourceアドレス12)をランダムに偽装して大量のパケットを受信側コンピュータ3に送信してきた場合、通信監視装置4では、図2(B)及び図2(C)のピークP2,P3に示すように、通信量(若しくはパケット数)が通常の通信の送受信のときよりも多くなると同時に、その各パケットのSourceアドレス12も略同時期に増大することになる。
【0061】
従って、通信量(若しくはパケット数)が所定数(例えば、100件)を越えた際、Sourceアドレス12の数も略同時期に所定数(例えば、90件)若しくは所定率(例えば、パケットの数に対して90%)を超えた場合には、その受信を拒否する。
【0062】
尚、このような一斉同時送信に対応した一定時間内に送信されてきた通信の件数(若しくはパケット数)の所定数並びにSourceアドレス数の所定数の設定は、サーバーの処理能力やネットワークの容量に応じたり、受信側コンピュータ3の所有者の業種等に応じたりして設定することができる。
【0063】
例えば、受信側コンピュータ3の所有者の業種がインターネット検索サービスやチケット販売等であった場合、多くの人の検索要求や人気のある旅行プランやイベント内容に対するアクセスが殺到するといったことが想定される。
【0064】
従って、これらの業種等では、日常的に通信量も多いことが想定できるため、その平均的な受信件数を考慮して所定値(件数等)を設定すればよい。
【0065】
また、このようなアクセスが殺到した場合であっても、(D)DoS攻撃に相当するような全く同じ時間(瞬間的)に大量の情報が送信されてくることは想定されるが、判定のための一定時間の設定を短くするといった設定変更でも対応は可能である。
【0066】
また、不正攻撃元探索もできる。
【0067】
また、特定のサーバが近隣にない、ネットワークの中間点であっても判定された不正攻撃先を割りだすことができる。
【符号の説明】
【0068】
1…インターネット回線
2…送信側コンピュータ
3…受信側コンピュータ
4…通信監視装置(判定手段)
【技術分野】
【0001】
本発明は、インターネット回線を通じて送信されてきた情報が適正な情報であるかあるいは(D)DoSなどの不正な情報であるかを判定する不正情報検知システム及び不正攻撃元探索システムに関するものである。
【背景技術】
【0002】
近年、ある企業や組織をターゲットにし、大量の不正な通信(パケット)を送信するサービス妨害攻撃が問題となっている。このような(D)DoS攻撃は、一般にはサーバの処理能力を超える大量の接続要求を一度に送りつけることや、通信回線の容量を不要な通信で埋め尽くすことで他の必要な通信を妨害し、通常業務を妨害したり、課金制ユーザーに対するプロバイダへのアクセス時間並びに通信会社への通信時間を延長させて納付料金を高騰させるといった弊害を与えるものである。いわゆる(D)DoS攻撃といわれるものである。
【0003】
(D)DoS攻撃とは、攻撃対象機器およびネットワークの処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
【0004】
そこで、各パケットのヘッダ部分に含まれるSourceアドレス(送信元アドレス)を管理し、このような(D)DoS攻撃を送りつけたアドレスからの通信を2度と受信しないと共にその送信元に通信の終了を示すパケットを送り返すといった防止機能を付加したサービスが見受けられる。
【0005】
しかしながら、このような防止サービスは、異なったSourceアドレスから(D)DoS攻撃を送りつけてきた場合には、その(D)DoS攻撃の受信を拒否することができないといった問題が生じていた。
【0006】
一方、このような(D)DoS攻撃を送りつける送信元では、受信拒否された(D)DoS攻撃が送り返されてしまうと、自身のサーバおよびネットワークが容量オーバーとなってしまう。従って、送信元では、Sourceアドレスをランダムに偽造作成し、大量のパケットの各アドレスを異ならせたうえで特定宛先アドレスに(D)DoS攻撃を送信するといった対応で対抗してきているのが実情である。
【0007】
これに対し、例えば、特許文献1では、不特定多数の電子メールに対し、電子メールのデータフォーマットのヘッダ部分に含まれるToアドレス(送信先アドレス)を事前設定されたアカウント別メールヘッダ・コンテンツ書き換え定義にしたがい、受信した電子メールを書き換えた上でその書き換えメールアドレスに再送信(転送)し、特定メールサーバーヘの負荷を分散させている。
【0008】
また、特許文献2では、同時に送信されてきた電子メールのFromアドレスに不明なものを大量に含むか否かを判定し、Fromアドレスに不明なものが大量に含まれている場合には、その送信されてきた大量の電子メールのFromアドレスに送信メールを返信し、返信できた電子メールのみを適正な電子メールとして受信している。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2003−318987号公報
【特許文献2】特開2003−234784号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
ところで、送信元アドレスは容易に偽造し変更することが可能であるため、大量の送信元アドレスを事前に予測し、対応することは非常に困難である。
【0011】
また、(D)DoS攻撃は個々のパケットレベルでは正常な通信との区別が困難なことから、なんらかの閾値を用いた検知が検討されているが、それらは対象となるネットワークの特性や利用状況によって大きく変化するものであるため、高い検知精度は期待できない。
【0012】
また、(D)DoS攻撃は正常な通信との識別が困難なことから、間違った判断により正常な通信の送受信をも遮断してしまう可能性があった。
【0013】
このように、従来技術では、(D)DoS攻撃の判定基準が複雑となっているため、検知が困難な小規模の(D)DoS攻撃の受信を余儀なくされたり、必要な通信をも受信拒否してしまうといった問題が生じていた。
【0014】
本発明は、上記問題を解決するため、(D)DoS攻撃などの不正攻撃かあるか否かの判定基準を容易に行うことが可能な不正攻撃検知およびその追跡システムを提供することを目的とする。
【課題を解決するための手段】
【0015】
請求項1に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する手段を備えたことを特徴とする不正情報検知システムである。フィールドの値としては、例えば、次のものが上げられる。
バージョン
ヘッダ長
ToS
全長
アイデンティフィケーション
フラグ
フラグメントオフセット
Time to Live
プロトコル
ヘッダチェックサム
発信元アドレス
到達先アドレス
オプション
ポート
【0016】
あるフィールドの値の数は、例えば、フィールドの値が「発信元アドレス」として、区別できる発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があった場合、フィールドの値の数はnである。
【0017】
また、フィールドの値の2つ以上の任意の組合せとして、例えば、フィールドの値として「発信元アドレス」と「到達先アドレス」との組合せによりフィールドの値を構成する。
まず前記同様、発信元アドレスとして、a1(=一郎)、a2(=二郎)、a3(=三郎)、・・・・an(=n郎)があったとする。ak(k=1〜n)について、到達アドレスの種類がmk個あるとすると、この場合における複数のフィールドの組合せにより構成されるフィールドの値の数はΣmk(k=1〜n)となる。
【0018】
請求項2に係る発明は、インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項4に記載の不正情報検知システムである。
【0019】
前記パケットのヘッダ内にある送信元アドレスが詐称されたものではなく正規のものである場合、ホップ数はほぼ決まった値となることから、所定の値の範囲を予め設定しておくことで、ホップ数が前記所定の値の範囲から外れた場合に不正攻撃が行われていると判定することができる。
【0020】
請求項3に係る発明は、請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システムである。
【0021】
インターネットの複数個所に不正情報検知システムを設置して、各箇所で不正攻撃が行われているか判定する。例えば、2つの観測点で不正攻撃を検知した場合、2つの観測点を結ぶ経路を不正攻撃が通過したと判定することができるため、複数の観測点で不正攻撃が行われているか判定することで、不正攻撃の通過した経路を追跡することができ、不正攻撃の送信元を探索することができる。
【発明の効果】
【0022】
本発明の不正情報検知システムによれば、同時に大量に送信されてきたパケットに対し、該パケットのヘッダ内のあるフィールド値の数が一定時間内に所定率に達した時に、略同期して送信元アドレス件数が所定率に達した場合には、その大量のパケットを(D)DoS攻撃パケットと判定することにより、特定の送信元アドレスに対して受信許可設定若しくは受信拒否設定をするといった細かく煩わしい設定をすることなく(D)DoS攻撃が送信されてきたことを認識および追跡することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の(D)DoS攻撃検知およびその追跡システムの概念図である。
【図2】(A)はパケットデータフォーマットの説明図、(B)は通信量の一例を時系列で示したグラフ図、(C)はパケットのアドレス件数の一例を時系列で示したグラフ図である。
【図3】パケット探索を示す概念図である。
【図4】インターネットのシステムを示す概念図である。
【発明を実施するための形態】
【0024】
前述した通り、DoS攻撃とは、攻撃対象機器に処理能力を上回る非常に甚大な数のパケットを送りつけ、対象のサービスを不能にしてしまう攻撃方法である。
このDoS攻撃は次のような特徴を有している。
【0025】
例えば、ヘッダ内のフィールドの値の一つである発信元アドレスは偽造されている(偽のアドレスが用いられている)攻撃元の発信元
アドレスであるパケットをフィルタすることにより、DoS攻撃をブロックされないように、DoS攻撃の発信元アドレスはランダムに選択されていることが一般的である。
【0026】
DoSは非常に莫大なパケットが送信されるので、次のような方法で検知される。
【0027】
第1の方法は、攻撃パケットもしくは、不正なパケットの数を数える方法である。どのようなパケットが不正であるかを判断することはむずかしい。なぜなら、DoS攻撃に使われるパケット一つ一つは正常なパケットであるからである。
【0028】
第2の方法は、検知したパケット全て(攻撃パケットも含む)を数える方法である。ネットワークトラフィックは時々刻々動的に変化する。従って、単にネットワークトラフィック量が増大したからといって、その現象はDoS攻撃によるものだと指摘することはできない。また、既にトラフィック量が飽和状態である場合は、DoS攻撃があったとしても、トラフィック量は増加しない。
【0029】
それに対して、本形態における方法は、DoS攻撃の検知方法は、トラフィックの発信元アドレスを数える方法である。もし攻撃者がランダムに発信元アドレスを選択しているならば、観測される発信元アドレスの数も増加しているはずである。ある一定時間間隔では、1個の発信元アドレスに対して、そのような発信元アドレスを持つパケットは複数観測されるのが通常である。しかし、攻撃の最中では一般的に1個の(偽造された)発信元アドレスに対して、攻撃パケットは1個しか観測されない。このようにDoS攻撃を検知することができる。
【0030】
発信元アドレス、到達先アドレスとその他の情報・データから構成されている。時間間隔でパケットを数える。例えば、図3に示すように、ネットワーク(Net1)と攻撃先(Target)との間の経路にパケットを観測するための手段を設けておき、そこで、パケットを観測すればよい。かかる手段としては、例えばスニファー(Sniffer)やパッシブ型プローブなどの機器がある。
【0031】
スニファー(Sniffer)や、パッシブ型プローブなどの機器は全てのパケットを観測でき、それらの機器は以下の値を数えあげることができる。
パケットの全数
ある特定の発信元アドレスを持つパケット数
ある特定の到達先アドレスを持つパケット数
発信元アドレス毎のパケット数
到達先アドレス毎のパケット数
特定のタイプのパケット数
これらの値は、一定時間間隔毎に収集可能である。
【0032】
次にDos攻撃の追跡方法について述べる。
【0033】
DoS攻撃元の追跡方法としては、第1に、不正なパケットの経路をチェックする(パケット追跡)方法がある。しかし、どのようなパケットが不正なのかを知る必要がある。
【0034】
第2に、トラフィックパターンをチェックする方法がある。しかし、この方法は、不正確である。
【0035】
それに対して、本発明の実施の形態においては、経路上において観測されるアドレス数の変化をチェックする方法である。全ての経由地で同様な現象が観測されると推測される以下のようなパターンが観測される。
【0036】
時間(任意単位) パケット数 発信元アドレス数
1 1000 50
2 800 60
3 900 57
4 1200 64
5 50 30
6 1500 530
7 1800 550
8 1700 570
9 800 80
10 900 65
上記において、時間6、7、8においては、パケット数とともに発信元アドレス数が増加している。そこでは、DoS攻撃がなされている。
【0037】
一方、図4に示すように、インターネットの各経路にスニファーSn(n=1,2,3,・・・)を置いておき、そこでの観測結果同士を比較すればどの経路でDoS攻撃がなされているかを知ることができる。その経路を遮断すればDoS攻撃元を追跡することができ、必要に応じてその経路を遮断すればよい。また、その経路からの所定のパケットを遮断すればよい。
【0038】
なお、本発明において、フィールドの値としては、IPv4 プロトコルパケットを例にした場合、次のものが例示される。
バージョン領域
ヘッダ長領域
ToS 領域
全長領域
アイデンティフィケーション領域
フラグ領域
フラグメントオフセット領域
Time to Live 領域
プロトコル領域
ヘッダチェックサム領域
発信元アドレス領域
到達先アドレス領域
オプション領域
ポート領域
【0039】
本発明においては、これらのフィールドの個々の値の件数を検知してもよい。また、これらの個々のフィールドの値の2以上の任意の組合せをフィールドの値としてその件数を検知してもよい。
【0040】
以下に例を示す。
カテゴリは一つ、ないしは複数のヘッダ領域によって定められるパケットを分類できる性質のことである。
(カテゴリの例) プロトコル領域がTCPであるパケット全て
便宜上“Total カテゴリ”というカテゴリを定義する。全てのパケットはこのカテゴリに属する。
【0041】
今までの統計分析手法は、モニタや探査装置により観測されたパケットから、全ての観測パケット数や、あるカテゴリに対するパケット観測数などの標本値を元にしてきた。
【0042】
【表1】
Etc…
【0043】
カテゴリ変換 (C-Transform) における統計分析では、検知したパケットが属するカテゴリの数に着目する。上記の例において、プロトコル領域ごとのカテゴリの数を見た場合以下の通りになる。
【表2】
このようにパケットの数の分布からカテゴリの数の分布を作成する方法のことをカテゴリ変換“C-Transform” と呼ぶ。
【0044】
いくつかのヘッダ領域の和によって作成されたカテゴリがとる事が可能な最大のカテゴリの数はその領域の合わせた幅による。例えば幅が合わせて4ビットの領域で作成されるカテゴリの場合、最大のカテゴリの数は16個(2の4乗)である。
【0045】
しかし、IPヘッダにおけるVersion領域とProtocol領域のように、予め定義された以外の値を持つことができないヘッダ領域がある(ASSIGNED NUMBERS, RFC
790 参照)。そのためこのような領域から作成できる意味のあるカテゴリは限定される。
【0046】
また、32ビット(4294967296)の幅を持つ発信元アドレス、到達先アドレスのように非常に大きな値を取り得る領域からのカテゴリ変換 (C-Transform) は特に興味深い統計を提供することになる。
【0047】
本発明においては、インターネット回線上における、前記情報のカテゴリ数が所定の値となった場合に当該情報を不正情報と認定する。またホップ数を効果的に活用することで検知および追跡の効率を向上する。
【0048】
(検知方法)
カテゴリ数、パケット数、通信量をそれぞれ以下のように定義する。1...iは時系列に並んだ値とする。
カテゴリ数 : C1, .... Ci, ....
パケット数 : P1, .... Pi, ....
通信量 : O1, .... Oi, ....
このとき、以下の条件で検知する。
a. Ci >T
b. Ci / Ci+1 >T
c. Ci / {Pi|Oi} >T
ここで、T は閾値である。Tは固定値もしくはトラフィックデータから算出される値である。例えば、T = F X
movingAverageOfStatistic ( in a, b, c above)のように上記のa,b,cの値の移動平均になんらかの数Fを乗じて差出されたものである。
また、Fは固定あるいはトラフィックデータから算出される値である。例えば、F = A X
standardDeviationOfStatistic のように標準偏差を用いて算出されることもある。
Aは定数である
【0049】
インターネットにおいては、情報の無限循環を防止するために、ヘッダのTTL(Time to Live)のフィールドの値に基づきHOP(ホップ)の数が0となったらその情報をインターネット上から落とすことが行われている。ところで、ある送信元情報が示された場合、それが詐称されたものではなく正規の場合HOP数はほぼ決まっている。したがって、その決まっているHOP数と比較して、実際に送られた来た詐称情報の場合のHOP数が異なる場合その情報は不正情報と判断することができる。
【実施例】
【0050】
次に、本発明の(D)DoS攻撃検知およびその追跡システムの実施例を図面に基づいて説明する。
【0051】
図1は本発明の(D)DoS攻撃検知およびその追跡システムを示す図である。図1において、1はインターネット回線、2はインターネット回線1に接続された送信元のコンピュータ本体、3はインターネット回線1に接続された受信側コンピュータ、4はインターネット回線1と受信側コ
ンピュータ3との間に接続された通信監視装置である。
【0052】
尚、この通信監視装置4はネットワークに接続されるが、受信側コンピュータ3がサーバ等であった場合には、そのサーバを通信監視装置4としても良い。
この場合、受信とはサーバで割り当てたポートに対する通信の受信を意味、判定のための受信は含まないものとする。また、受信側コンピュータ3がプロバイダ所有のメールサーバーであった場合には、他のインターネット回線を通じてメール受信端末(例えば、パーソナルコンピュータ等)が接続されることとなる。
【0053】
通常、送信側コンピュータ2から送信されるパケットは、図2(A)に示すように、その通信を構成するパケットのパケットデータフォーマット10のヘッダ部11に、送信元アドレスに相当するSourceアドレス12と送信先アドレス(受信側アドレス)に相当するDestinationアドレス13とが含まれている。
【0054】
通信監視装置4は、送信された値の数若しくはパケット数と、Sourceアドレス12の件数とを監視する。
【0055】
例えば、通常の送受信を想定した場合、送信元コンピュータ2から受信側コンピュータ3に送信される値の数は1件であり、例え、他の送信側コンピュータ(図示せず)から略同時期に他の通信が受信側コンピュータ3に送信されたとしても、その値の数とSourceアドレス12とは1対1で比例して増える。
【0056】
また、例えば、特定の通常の通信が偶然大容量となることがあり得る。この場合、従来の通信量に基づく検知では、その量だけを問題として、不正であると誤って判断されることがある。
【0057】
この問題は、多くの通信が集まる人気のあるコンテンツを運用するサーバでは特に顕著な問題となり、通常の通信と(D)DoS攻撃を識別することが非常に困難となる。
【0058】
このような場合、メール監視装置4では、図2(B)のピークP1に示すように、通信量としては通常の通信量よりも多い件数のパケットが送信されてきた判定する。
【0059】
しかしながら、各パケットのSourceアドレス12は共通、あるいは特定のグループで占められることから、そのパケットを正式に受信する。尚、カテゴリ数が所定数以内であった場合(例えば、10件未満)に、その受信を許容するようにしても良い。
【0060】
一方、実際には1台の送信側コンピュータ2から送信されたパケットでありながら、送信元アドレス(Sourceアドレス12)をランダムに偽装して大量のパケットを受信側コンピュータ3に送信してきた場合、通信監視装置4では、図2(B)及び図2(C)のピークP2,P3に示すように、通信量(若しくはパケット数)が通常の通信の送受信のときよりも多くなると同時に、その各パケットのSourceアドレス12も略同時期に増大することになる。
【0061】
従って、通信量(若しくはパケット数)が所定数(例えば、100件)を越えた際、Sourceアドレス12の数も略同時期に所定数(例えば、90件)若しくは所定率(例えば、パケットの数に対して90%)を超えた場合には、その受信を拒否する。
【0062】
尚、このような一斉同時送信に対応した一定時間内に送信されてきた通信の件数(若しくはパケット数)の所定数並びにSourceアドレス数の所定数の設定は、サーバーの処理能力やネットワークの容量に応じたり、受信側コンピュータ3の所有者の業種等に応じたりして設定することができる。
【0063】
例えば、受信側コンピュータ3の所有者の業種がインターネット検索サービスやチケット販売等であった場合、多くの人の検索要求や人気のある旅行プランやイベント内容に対するアクセスが殺到するといったことが想定される。
【0064】
従って、これらの業種等では、日常的に通信量も多いことが想定できるため、その平均的な受信件数を考慮して所定値(件数等)を設定すればよい。
【0065】
また、このようなアクセスが殺到した場合であっても、(D)DoS攻撃に相当するような全く同じ時間(瞬間的)に大量の情報が送信されてくることは想定されるが、判定のための一定時間の設定を短くするといった設定変更でも対応は可能である。
【0066】
また、不正攻撃元探索もできる。
【0067】
また、特定のサーバが近隣にない、ネットワークの中間点であっても判定された不正攻撃先を割りだすことができる。
【符号の説明】
【0068】
1…インターネット回線
2…送信側コンピュータ
3…受信側コンピュータ
4…通信監視装置(判定手段)
【特許請求の範囲】
【請求項1】
インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する手段を備えたことを特徴とする不正情報検知システム。
【請求項2】
インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システム。
【請求項3】
請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。
【請求項1】
インターネット回線を通じて送信されてきたパケットのヘッダ内のあるフィールドの値の数を監視し、個々のフィールドの値の2つ以上の任意の組合せをフィールドの値として構成し、該フィールドの値の数が一定時間内で所定数に達した場合には不正攻撃が行われていると判定する手段を備えたことを特徴とする不正情報検知システム。
【請求項2】
インターネット回線を通じて送信されてきたパケットのヘッダ内にあるTTL値に基づいたホップ数が、予め定めた所定の値の範囲から外れた場合には不正攻撃が行われていると判定することを特徴とする請求項1に記載の不正情報検知システム。
【請求項3】
請求項1乃至2に記載の不正情報検知システムを、インターネットの複数個所に設置することで不正攻撃の送信元を探索するようにしたことを特徴とする不正攻撃元探索システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−4552(P2010−4552A)
【公開日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願番号】特願2009−185173(P2009−185173)
【出願日】平成21年8月7日(2009.8.7)
【分割の表示】特願2004−307953(P2004−307953)の分割
【原出願日】平成16年10月22日(2004.10.22)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
【公開日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願日】平成21年8月7日(2009.8.7)
【分割の表示】特願2004−307953(P2004−307953)の分割
【原出願日】平成16年10月22日(2004.10.22)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
[ Back to top ]