特許 6894860 優先度算出装置、優先度算出方法及び優先度算出プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6894860

(24)【登録日】2021年6月8日

(45)【発行日】2021年6月30日

(54)【発明の名称】優先度算出装置、優先度算出方法及び優先度算出プログラム

(51)【国際特許分類】

   H04L 12/26 20060101AFI20210621BHJP

   H04L 12/70 20130101ALI20210621BHJP

【ＦＩ】

   H04L12/26

   H04L12/70 100Z

【請求項の数】10

【全頁数】9

(21)【出願番号】特願2018-23485(P2018-23485)

(22)【出願日】2018年2月13日

(65)【公開番号】特開2019-140578(P2019-140578A)

(43)【公開日】2019年8月22日

【審査請求日】2020年1月8日

(73)【特許権者】

【識別番号】000208891

【氏名又は名称】ＫＤＤＩ株式会社

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】浦川 順平

(72)【発明者】

【氏名】窪田 歩

【審査官】 羽岡 さやか

(56)【参考文献】

【文献】 特開２００８−０１７１７９（ＪＰ，Ａ）

【文献】 特開２００９−０２１６５４（ＪＰ，Ａ）

【文献】 国際公開第２０１６／０８０４４６（ＷＯ，Ａ１）

【文献】 特開２００４−０７８６０２（ＪＰ，Ａ）

【文献】 特開２００４−２６６４８３（ＪＰ，Ａ）

【文献】 特開２０１３−１６８７６３（ＪＰ，Ａ）

【文献】 国際公開第２０１４／１５５６５０（ＷＯ，Ａ１）

【文献】 川口 英俊 Hidetoshi KAWAGUCHI，異常通信遮断リソースの動的制御方式 Dynamic resource control scheme for anomal traffic prevention.，電子情報通信学会技術研究報告 Ｖｏｌ．１１６ Ｎｏ．４８５ IEICE Technical Report，日本，一般社団法人電子情報通信学会 The Institute of Electronics,Information and Communication Engineers，２０１７年 ２月２３日，第116巻，P.329-334

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／００−１２／９５５

(57)【特許請求の範囲】

【請求項1】

ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出部と、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出部と、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出部と、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出部と、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出部と、を備える優先度算出装置。

【請求項2】

前記危険度算出部は、前記攻撃通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項１に記載の優先度算出装置。

【請求項3】

前記危険度算出部は、同一の前記攻撃元ホストからの攻撃通信の回数に応じて前記危険度に重み付けする請求項１又は請求項２に記載の優先度算出装置。

【請求項4】

前記危険度算出部は、前記攻撃元ホストの種別に応じて前記危険度に重み付けする請求項１から請求項３のいずれかに記載の優先度算出装置。

【請求項5】

前記危険度算出部は、攻撃の種類に応じて前記危険度に重み付けする請求項１から請求項４のいずれかに記載の優先度算出装置。

【請求項6】

前記影響度算出部は、前記正常通信データの発生日時に応じて出力トラフィック量に重み付けをする請求項１から請求項５のいずれかに記載の優先度算出装置。

【請求項7】

前記影響度算出部は、前記攻撃元ホスト毎に、前記防御対象ホストの数及び前記出力トラフィック量に基づく前記正常通信影響度を算出する請求項１から請求項６のいずれかに記載の優先度算出装置。

【請求項8】

前記影響度算出部は、前記攻撃元ホストの種別に応じて前記正常通信影響度に重み付けする請求項１から請求項７のいずれかに記載の優先度算出装置。

【請求項9】

ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出ステップと、
前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの危険度を算出する危険度算出ステップと、
防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出ステップと、
前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の前記防御対象ホストからの出力トラフィック量を抽出し、当該出力トラフィック量に基づく前記攻撃元ホストの正常通信影響度を算出する影響度算出ステップと、
前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出ステップと、をコンピュータが実行する優先度算出方法。

【請求項10】

請求項１から請求項８のいずれかに記載の優先度算出装置としてコンピュータを機能させるための優先度算出プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、通信による攻撃を防御するための装置、方法及びプログラムに関する。

【背景技術】

【0002】

従来、送信元の情報、又はフロー若しくはパケットの情報を用いて、ＤＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）攻撃を判定する方法が提案されている。例えば、非特許文献１及び２の方法では、通信のパケットレベルの情報を特徴ベクトルとして、機械学習によりＤＤｏＳ攻撃か正常通信かが判定される。
また、例えば、非特許文献３のように、攻撃対策の対象とは異なる観測地点に攻撃観測用のハニーポットを設置し、観測された情報と通信の宛先とを紐付けて攻撃判定する方法も提案されている。

【先行技術文献】

【非特許文献】

【0003】

【非特許文献1】Ｓ． Ｓｅｕｆｅｒｔ， Ｄ． Ｏ’Ｂｒｉｅｎ， “Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ ｆｏｒ Ａｕｔｏｍａｔｉｃ Ｄｅｆｅｎｃｅ ａｇａｉｎｓｔ Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ Ａｔｔａｃｋｓ”， ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ， ｐｐ． １２１７−１２２２， ２００７．

【非特許文献2】Ｘｉａｏｙｏｎｇ Ｙｕａｎ， Ｃｈｕａｎｈｕａｎｇ Ｌｉ， Ｘｉａｏｌｉｎ Ｌｉ， “ＤｅｅｐＤｅｆｅｎｓｅ： Ｉｄｅｎｔｉｆｙｉｎｇ ＤＤｏＳ Ａｔｔａｃｋ ｖｉａ Ｄｅｅｐ Ｌｅａｒｎｉｎｇ”， ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｓｍａｒｔ Ｃｏｎｐｕｔｉｎｇ （ＳＭＡＲＴＣＯＭＰ）， ｐｐ． １−８， ２０１７．

【非特許文献3】牧田大佑，吉岡克成，松本勉，中里純二，島村隼平，井上大介，ＤＮＳアンプ攻撃の事前対策へ向けたＤＮＳハニーポットとダークネットの相関分析，情報処理学会論文誌，５６巻，３号，ｐｐ． ９２１−９３１，２０１５．

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、従来の攻撃判定方法は、誤検知率が０％ではないため、攻撃と判定された全ての通信を遮断した場合、正常通信も遮断される可能性があった。また、遮断を実行するルータ又はサーバの性能によっては、攻撃と判定された全ての通信を遮断リストに加えることは困難な場合があった。

【0005】

本発明は、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる優先度算出装置、優先度算出方法及び優先度算出プログラムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明に係る優先度算出装置は、ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出部と、前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく危険度を算出する危険度算出部と、防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出部と、前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく正常通信影響度を算出する影響度算出部と、前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出部と、を備える。

【0007】

前記危険度算出部は、前記攻撃通信データの発生日時に応じて出力トラフィック量に重み付けをしてもよい。

【0008】

前記危険度算出部は、攻撃通信の回数に応じて前記危険度に重み付けをしてもよい。

【0009】

前記危険度算出部は、前記攻撃元ホストの種別に応じて前記危険度に重み付けをしてもよい。

【0010】

前記危険度算出部は、攻撃の種類に応じて前記危険度に重み付けをしてもよい。

【0011】

前記影響度算出部は、前記正常通信データの発生日時に応じて出力トラフィック量に重み付けをしてもよい。

【0012】

前記影響度算出部は、前記攻撃元ホスト毎に、前記防御対象ホストの数及び前記出力トラフィック量に基づく前記正常通信影響度を算出してもよい。

【0013】

前記影響度算出部は、前記攻撃元ホストの種別に応じて前記正常通信影響度に重み付けをしてもよい。

【0014】

本発明に係る優先度算出方法は、ネットワークで観測された攻撃通信データを抽出する攻撃通信抽出ステップと、前記攻撃通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく危険度を算出する危険度算出ステップと、防御対象ホストから前記攻撃元ホストへの通信を正常通信とみなし、前記ネットワークで観測された正常通信データを抽出する正常通信抽出ステップと、前記正常通信データから、前記攻撃元ホスト毎に前記所定期間の出力トラフィック量を抽出し、当該出力トラフィック量に基づく正常通信影響度を算出する影響度算出ステップと、前記攻撃元ホスト毎に、前記危険度及び前記正常通信影響度に基づいて、通信遮断の優先度を算出する優先度算出ステップと、をコンピュータが実行する。

【0015】

本発明に係る優先度算出プログラムは、前記優先度算出装置としてコンピュータを機能させるためのものである。

【発明の効果】

【0016】

本発明によれば、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる。

【図面の簡単な説明】

【0017】

【図1】実施形態に係る優先度算出装置の機能構成を示すブロック図である。

【図2】実施形態に係る優先度の算出処理を示すフローチャートである。

【発明を実施するための形態】

【0018】

以下、本発明の実施形態の一例について説明する。
図１は、本実施形態に係る優先度算出装置１の機能構成を示すブロック図である。

【0019】

優先度算出装置１は、サーバ装置又はパーソナルコンピュータ等の情報処理装置（コンピュータ）であり、制御部１０及び記憶部２０を備える。さらに、優先度算出装置１は、各種データの入出力デバイス及び通信デバイス等を備え、ネットワークで観測された通信データを入力として、攻撃元ホストを抽出すると共に、これらのホスト毎に通信を遮断すべき優先度を算出して出力する。

【0020】

制御部１０は、優先度算出装置１の全体を制御する部分であり、記憶部２０に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部１０は、ＣＰＵであってよい。

【0021】

記憶部２０は、ハードウェア群を優先度算出装置１として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ＲＯＭ、ＲＡＭ、フラッシュメモリ又はハードディスク（ＨＤＤ）等であってよい。具体的には、記憶部２０は、本実施形態の各機能を制御部１０に実行させるための優先度算出プログラムの他、ネットワークで観測された通信データ等を記憶する。

【0022】

制御部１０は、攻撃通信抽出部１１と、危険度算出部１２と、正常通信抽出部１３と、影響度算出部１４と、優先度算出部１５とを備える。

【0023】

攻撃通信抽出部１１は、監視対象のネットワークにおける上位階層のルータ（コアルータ）等からフロー情報又はパケット情報を取得し、攻撃通信データを抽出する。
攻撃通信は、既存の手法により判定可能である。例えば、宛先単位のトラフィック量が閾値以上である、又は送信元ポートが既知の攻撃ポートである等、所定の特徴を有する通信が攻撃通信と判定される。
攻撃通信抽出部１１は、攻撃通信と判定された一連の通信のフロー情報又はパケット情報から、攻撃通信データとして、攻撃元ホストのＩＰアドレス、攻撃発生日時、及び１秒当たりのビット数（ｂｐｓ）若しくは１秒当たりのパケット数（ｐｐｓ）等の出力トラフィック量を抽出し、リスト化して記憶する。

【0024】

危険度算出部１２は、リスト化された攻撃通信データから、攻撃元ホスト毎に所定期間（例えば、直近の１ヶ月）の出力トラフィック量を抽出し、この出力トラフィック量に基づく危険度を算出する。
例えば、危険度算出部１２は、全攻撃元ホストそれぞれについて、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの危険度とする。

【0025】

このとき、危険度算出部１２は、攻撃通信データの発生日時に応じて、出力トラフィック量に重み付けをしてもよい。
また、危険度算出部１２は、攻撃通信の回数、攻撃元ホストの種別、攻撃の種類等に応じて、攻撃元ホストの危険度に重み付けをしてもよい。

【0026】

発生日時については、例えば、直近の情報ほど信頼度が高いため、現在から２週間前まで、２週間前から４週間前まで、４週間前から８週間前までの出力トラフィック量に、それぞれ０．５、０．３、０．２のように異なる重みが付与されてもよい。
また、例えば、曜日、時間帯等で異なる重みが付与されてもよい。

【0027】

攻撃通信の回数については、所定期間内に同一の攻撃元ホストから何回の攻撃事例があったかによって、例えば回数が多いほど危険度に大きな重みが付与されてもよい。

【0028】

攻撃元ホストの種別については、不特定多数のユーザへサービスを提供するＷｅｂ、ＤＮＳ（Ｄｏｍａｉｎ Ｎａｍｅ Ｓｙｓｔｅｍ）、ＮＴＰ（Ｎｅｔｗｏｒｋ Ｔｉｍｅ Ｐｒｏｔｏｃｏｌ）等のサーバなのか、サービス提供を行わない個人端末等の一般ホストなのかによって、危険度に異なる重みが付与されてもよい。例えば、一般ホストの場合、ＩＰアドレスがすぐに変更される可能性が高いため、攻撃元ホストとして検出されたＩＰアドレス自体の危険度は、ＩＰアドレスが固定されることの多いサーバの場合よりも低くてよい。

【0029】

攻撃の種類については、例えば、ＤＲＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ Ｒｅｆｌｅｃｔｉｏｎ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）攻撃では、ＤＮＳよりもＮＴＰを利用した手法の方が、パケット数の増幅量が大きいため、高い危険度となるように重みが付与される。

【0030】

正常通信抽出部１３は、攻撃通信抽出部１１と同様にフロー情報又はパケット情報を取得し、防御対象ホストから攻撃元ホストへの通信を正常通信とみなし、ネットワークで観測された正常通信データを抽出する。
このとき、正常通信抽出部１３は、例えば、送信元ＩＰアドレスの偽装が容易なＵＤＰによる通信を除外し、ＴＣＰ通信のみを対象としてもよい。さらに、ｓｙｎフラグが有効となっているパケットのみを対象としてもよい。
また、正常通信抽出部１３は、ＴＣＰの接続が確立された後、一定以上の通信実績がある場合を正常通信と判断したり、ルータのインタフェース情報と送信元のＩＰアドレスとが対応しない場合に送信元が偽装されていると判断したりすることで、正常通信データをより確実に抽出できる。

【0031】

正常通信抽出部１３は、抽出した正常通信のフロー情報又はパケット情報から、正常通信データとして、観測日時、正常通信の送信元である防御対象ホストのＩＰアドレス、正常通信の送信先である攻撃元ホストのＩＰアドレス、及び１秒当たりのビット数（ｂｐｓ）若しくは１秒当たりのパケット数（ｐｐｓ）等の出力トラフィック量を抽出し、リスト化して記憶する。

【0032】

影響度算出部１４は、リスト化された正常通信データから、攻撃元ホスト毎に所定期間の出力トラフィック量を抽出し、この出力トラフィック量に基づく正常通信影響度を算出する。
例えば、影響度算出部１４は、攻撃元ホスト毎に、防御対象ホストの数と、出力トラフィック量の平均値又は最大値を算出し、全体に対する攻撃元ホスト毎の防御対象ホスト数及び／又は出力トラフィック量の度合い、例えば全体の平均に対する比率を、この攻撃元ホストの正常通信影響度とする。

【0033】

このとき、影響度算出部１４は、正常通信データの発生日時に応じて、危険度算出部１２と同様に、出力トラフィック量に重み付けをしてもよい。
また、影響度算出部１４は、攻撃元ホストの種別に応じて、攻撃元ホストの正常通信影響度に重み付けをしてもよい。例えば、多数のユーザへサービスを提供するサーバの場合、通信を遮断すると、多数のユーザからのアクセスを遮断することになるため、正常通信影響度は、一般ホストの場合よりも高くてよい。

【0034】

優先度算出部１５は、攻撃元ホスト毎に、危険度及び正常通信影響度に基づいて、通信遮断の優先度を算出する。
攻撃元ホストは、自分の意図に反して、反射型ＤＤｏＳ攻撃又はＢｏｔによる攻撃等に加担している場合があるため、攻撃通信だけでなく防御対象ホストと正常通信を行っている可能性もある。すると、攻撃元ホストの全ての通信を遮断した場合、防御対象ホストとの正常通信にも影響がでるため、通信遮断の優先度を下げる必要がある。

【0035】

そこで、優先度算出部１５は、攻撃元ホストと防御対象ホストとの間の正常通信を加味し、遮断した場合の影響度を優先度に反映する。
すなわち、危険度が高いほど、正常通信影響度が低いほど、優先度が高く設定される。例えば、優先度＝危険度／正常通信影響度としてもよい。また、危険度又は正常通信影響度のいずれか一方を重視する利用者の場合、いずれかに重みを付けて優先度が算出されてもよい。

【0036】

図２は、本実施形態に係る優先度の算出処理を示すフローチャートである。
なお、本処理に先立って、防御対象ホストを含むネットワークのフロー情報又はパケット情報が通信ログとして継続的に収集されていることとする。

【0037】

ステップＳ１において、攻撃通信抽出部１１は、通信ログから攻撃通信を抽出し、攻撃通信データをリスト化して記憶する。

【0038】

ステップＳ２において、危険度算出部１２は、攻撃通信データから、所定期間の情報を抜き出し、攻撃元ホスト毎に、出力トラフィック量に基づく危険度を算出する。

【0039】

ステップＳ３において、正常通信抽出部１３は、攻撃通信データにおける防御対象ホストを送信元とし、攻撃元ホストを宛先とする通信を通信ログから抽出し、正常通信データをリスト化して記憶する。

【0040】

ステップＳ４において、影響度算出部１４は、正常通信データから、所定期間の情報を抜き出し、攻撃元ホスト毎に、防御対象ホスト数及び出力トラフィック量に基づく正常通信影響度を算出する。

【0041】

ステップＳ５において、優先度算出部１５は、危険度及び正常通信影響度に基づいて、通信を遮断すべき攻撃元ホストの優先度を算出する。

【0042】

本実施形態によれば、優先度算出装置１は、攻撃通信の実績に基づいて、各攻撃元ホストからのトラフィックがネットワークに与える影響の度合いである危険度を算出する。また、優先度算出装置１は、防御対象ホストから攻撃元ホストへの通信を正常通信とみなすことで、攻撃元ホストの通信を遮断することによる正常通信への影響度を、ホスト毎に算出する。そして、優先度算出装置１は、危険度及び正常通信影響度に基づいて、通信を遮断すべき優先度を算出して出力する。

【0043】

しがたって、優先度算出装置１は、攻撃元ホストにおける攻撃通信を遮断した場合の正常通信への影響、及び過去の攻撃実績に基づく危険度を考慮して、攻撃と判定された通信のうち、優先的に遮断すべき通信を選定できる。この結果、優先度算出装置１は、攻撃対策の一つとして該当ホストに関連する通信を遮断する際に、正常通信への影響が少なく、かつ、遮断量の多い攻撃防御を実施できる。

【0044】

優先度算出装置１は、攻撃通信の発生日時に応じて出力トラフィック量に重み付けをして危険度を算出し、また、攻撃通信の回数、攻撃元ホストの種別、又は攻撃の種類に応じて危険度に重み付けをする。
したがって、優先度算出装置１は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に攻撃の規模を詳細に分析することで、危険度をより正確に見積もることができる。

【0045】

優先度算出装置１は、攻撃元ホスト毎に、正常通信を行った防御対象ホストの数及び出力トラフィック量を用いて、通信を遮断した場合の正常通信影響度を算出する。
したがって、優先度算出装置１は、複数の指標を用いて精度良く正常通信影響度を算出できる。

【0046】

優先度算出装置１は、正常通信データの発生日時に応じて出力トラフィック量に重み付けをして正常通信影響度を算出し、また、攻撃元ホストの種別に応じて正常通信影響度に重み付けをする。
したがって、優先度算出装置１は、信頼度の高い直近の通信データを優先し、さらに、攻撃元ホスト毎に正常通信の規模を詳細に分析することで、正常通信影響度をより正確に見積もることができる。

【0047】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。

【0048】

優先度算出装置１による優先度算出方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置（コンピュータ）にインストールされる。また、これらのプログラムは、ＣＤ−ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したＷｅｂサービスとしてユーザのコンピュータに提供されてもよい。

【符号の説明】

【0049】

１ 優先度算出装置
１０ 制御部
１１ 攻撃通信抽出部
１２ 危険度算出部
１３ 正常通信抽出部
１４ 影響度算出部
１５ 優先度算出部
２０ 記憶部

【図1】

【図2】