知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2017-528996(P2017-528996A)
(43)【公表日】2017年9月28日
(54)【発明の名称】DDoS攻撃検出のための方法および装置
(51)【国際特許分類】
H04L 12/70 20130101AFI20170901BHJP
【FI】
H04L12/70 100Z
【審査請求】有
【予備審査請求】未請求
【全頁数】18
(21)【出願番号】特願2017-513493(P2017-513493)
(86)(22)【出願日】2015年9月10日
(85)【翻訳文提出日】2017年3月9日
(86)【国際出願番号】CN2015089334
(87)【国際公開番号】WO2016037579
(87)【国際公開日】20160317
(31)【優先権主張番号】201410465475.8
(32)【優先日】2014年9月12日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US
(71)【出願人】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(71)【出願人】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】100106297
【弁理士】
【氏名又は名称】伊藤 克博
(74)【代理人】
【識別番号】100129610
【弁理士】
【氏名又は名称】小野 暁子
(72)【発明者】
【氏名】チェン、 ハンビン
(72)【発明者】
【氏名】チェン、 ビン
(72)【発明者】
【氏名】ヘ、 クン
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030HA08
5K030JA10
5K030LE16
5K030MA04
5K030MB09
5K030MC08
(57)【要約】
DDoS攻撃の検出方法および装置が提供される。本方法は、サンプリングによって第1の期間内のターゲット時点のネットワークトラフィックを獲得する工程、それから予め獲得されたトラフィック期間変化曲線に照会する工程、ターゲット時点に対応する予測トラフィックを決定する工程、そして、サンプリングにより獲得されたネットワークトラフィックが決定された予測トラフィックよりも大きい場合、DDoS攻撃であると確定する工程を含む。各ターゲット時点においてDDoS攻撃検出が行われる前に、トラフィック期間変化曲線に従ってターゲット時点に対応する予測トラフィックを決定することのみを必要とし、大量の履歴トラフィックデータに従って各DDoS攻撃検出の前に予測トラフィックを計算することなく、計算量が削減されるように、トラフィック期間変化曲線が、予測されるトラフィックの期間変化法則を示すために用いられる。【特許請求の範囲】
【請求項1】
分散型サービス拒否(DDoS)攻撃検出のための方法であって:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程であって、該トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる工程;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される工程
を含む方法。
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程であって、該トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる工程;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される工程
を含む方法。
【請求項2】
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する前に、さらに:
第1の期間よりも前の第2の期間内におけるn個の時点におけるネットワークトラフィックSiを得る工程であって、ここでi=1,2,・・・nであり、nは自然数である工程;
トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために、式TEi=αSi−1+(1−α)TEi−1に従って計算を行う工程であって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時点における予測トラフィックである工程
を含む、請求項1記載のDDoS攻撃検出のための方法。
第1の期間よりも前の第2の期間内におけるn個の時点におけるネットワークトラフィックSiを得る工程であって、ここでi=1,2,・・・nであり、nは自然数である工程;
トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために、式TEi=αSi−1+(1−α)TEi−1に従って計算を行う工程であって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時点における予測トラフィックである工程
を含む、請求項1記載のDDoS攻撃検出のための方法。
【請求項3】
トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために、式TEi=αSi−1+(1−α)TEi−1に従って計算を行う工程の後に、さらに:
i番目の時点における残差Diを得るために、式Di=|{Si−TEi}|に従って計算を行う工程;
補正されたトラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正する工程であって、ここでTHiはi番目の時点における補正された予測トラフィックである工程
を含む、請求項2記載のDDoS攻撃検出のための方法。
i番目の時点における残差Diを得るために、式Di=|{Si−TEi}|に従って計算を行う工程;
補正されたトラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正する工程であって、ここでTHiはi番目の時点における補正された予測トラフィックである工程
を含む、請求項2記載のDDoS攻撃検出のための方法。
【請求項4】
第2の期間内のn個の時点が持続期間Gによって隔てられており、そして、ターゲット時点における予測トラフィックを決定する工程が:
ターゲット時点tcurにおける予測トラフィックがTHcurであると決定する工程であって、ここで
である工程
を含む、請求項3記載のDDoS攻撃検出のための方法。
ターゲット時点tcurにおける予測トラフィックがTHcurであると決定する工程であって、ここで
【数1】
である工程
を含む、請求項3記載のDDoS攻撃検出のための方法。
【請求項5】
ターゲット時期における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会した後に、さらに:
第1の期間が予め定められたタイミングルールによって示されるトラフィック増加期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げる工程;
第1の期間が予め定められたタイミングルールによって示されるトラフィック減少期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げる工程
を含む、請求項1から4のいずれか一項に記載のDDoS攻撃検出のための方法。
第1の期間が予め定められたタイミングルールによって示されるトラフィック増加期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げる工程;
第1の期間が予め定められたタイミングルールによって示されるトラフィック減少期間であり、かつ/またはターゲット時点がタイミングルールによって示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げる工程
を含む、請求項1から4のいずれか一項に記載のDDoS攻撃検出のための方法。
【請求項6】
分散型サービス拒否(DDoS)攻撃検出のための装置であって:
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成された、サンプリングユニット;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会するように構成された決定ユニットであって、該トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる、決定ユニット;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成された、検出ユニット
を含む装置。
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成された、サンプリングユニット;
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会するように構成された決定ユニットであって、該トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる、決定ユニット;および
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成された、検出ユニット
を含む装置。
【請求項7】
さらに:
第1の期間よりも前の第2の期間内におけるn個の時期におけるネットワークトラフィックSiを得るように構成された取得ユニットであって、ここでi=1,2,・・・nであり、nは自然数である、取得ユニット;
トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために、式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように構成された計算ユニットであって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時点における予測トラフィックである、計算ユニット
を含む、請求項6に記載のDDoS攻撃検出のための装置。
第1の期間よりも前の第2の期間内におけるn個の時期におけるネットワークトラフィックSiを得るように構成された取得ユニットであって、ここでi=1,2,・・・nであり、nは自然数である、取得ユニット;
トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために、式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように構成された計算ユニットであって、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時点における予測トラフィックである、計算ユニット
を含む、請求項6に記載のDDoS攻撃検出のための装置。
【請求項8】
さらに:
i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行い;そして、補正トラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正するように構成された補正ユニットであって、ここでTHiがi番目の時点における補正された予測トラフィックである、補正ユニット
を含む、請求項7に記載のDDoS攻撃検出のための装置。
i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行い;そして、補正トラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正するように構成された補正ユニットであって、ここでTHiがi番目の時点における補正された予測トラフィックである、補正ユニット
を含む、請求項7に記載のDDoS攻撃検出のための装置。
【請求項9】
第2の期間内のn個の時点が持続期間Gによって隔てられており、そして
決定ユニットが、ターゲット時点tcurにおける予測トラフィックがTHcurであると決定するように特に構成されており、ここで
である、請求項8に記載のDDoS攻撃検出のための装置。
決定ユニットが、ターゲット時点tcurにおける予測トラフィックがTHcurであると決定するように特に構成されており、ここで
【数2】
である、請求項8に記載のDDoS攻撃検出のための装置。
【請求項10】
さらに:
第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げ;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げるように構成された、調整ユニット
を含む、請求項6から9のいずれか一項に記載のDDoS攻撃検出のための装置。
第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げ;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げるように構成された、調整ユニット
を含む、請求項6から9のいずれか一項に記載のDDoS攻撃検出のための装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、ネットワークセキュリティ技術に関し、より詳細にはDDoS攻撃検出のための方法および装置に関する。
【背景技術】
【0002】
分散型サービス拒否(DDoS)攻撃とは、正当なサービス要求を装って1または複数のターゲットサーバ上で膨大な量のサービスリソースを引き込む攻撃プラットフォームへと複数のコンピュータを統合することによって、正当なユーザがサーバからのサービス応答を得ることを妨げることを意味する。
【0003】
DDoS攻撃を防御する場合、通常、現在のネットワークトラフィックを調べてDDoS攻撃を検出するために、バイパスネットワーク監視装置が使用される。特に、バイパスネットワーク監視装置は、ネットワークトラフィックをサンプリングし、サンプリング結果を現在の閾値と比較し、そして、その結果が現在の時点に対応する予測トラフィックよりも高い場合、DDoS攻撃が検出されたと判定する。
【0004】
従来技術では、最新の多数のサンプリングから得られた履歴ネットワークトラフィックに区間推定アルゴリズムまたは累積可変アルゴリズムを適用することによって、DDoS攻撃を検出する前に現在の時点に対応する予測トラフィックが得られる。したがって、従来技術では、DDoS攻撃検出が行われるたびに現在の時点の予測トラフィックが計算される必要があるが、これは事前に保存された広範な履歴トラフィックデータを必要とし、多量の計算を要求する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本開示は、DDoS攻撃検出が実行されるたびその前に、現在の時点における予測トラフィックを計算するのに多量の計算が必要となるという技術的課題を解決するための、DDoS攻撃検出のための方法および装置を提供する。
【課題を解決するための手段】
【0006】
本開示の第1の側面は、DDoS攻撃検出のための方法であって、以下を含む方法を提供する:
【0007】
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
【0008】
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程であって、前記トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる工程;そして
【0009】
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される工程。
【0010】
本開示の別の側面は、DDoS攻撃検出のための装置であって、以下を含む装置を提供する:
【0011】
サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成された、サンプリングユニット;
【0012】
ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会するように構成された決定ユニットであって、前記トラフィック周期変動曲線が予測トラフィックの周期的な変化パターンを示すために用いられる、決定ユニット;および
【0013】
サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成された、検出ユニット。
【0014】
本開示において提供されるDDoS攻撃検出のための方法および装置によれば、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって得られる。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時点に対応する予測トラフィックを決定することができ、それによって関係する計算の量を減らすことができる。DDoS攻撃の検出が、トラフィックの周期的な変化パターンに依拠するため、突発的なトラフィック増加が発生した場合、そのパターンに基づいてDDoS攻撃を正しく識別することができ、それによって誤報を減らすことができる。
【図面の簡単な説明】
【0015】
【発明を実施するための形態】
【0016】
図1は、本開示の一実施形態に従うDDoS攻撃検出のための方法を示すフローチャートである。この実施形態によって提供される方法は、図1に示すように、バイパスネットワーク監視装置によって実行されてもよく、それは以下を含む:
【0017】
101:サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得する工程;
【0018】
102:ターゲット時点における予測トラフィックを決定するために、予め獲得されたトラフィック周期変動曲線に照会する工程。
【0019】
この場合、トラフィック周期変動曲線は、予測トラフィックの周期的な変化パターン、特に、少なくとも1つの期間における個々の時点と予測トラフィック、すなわち、少なくとも1つの期間内の各時点における予測トラフィックとの間のマッピングを示すことが意図されている。
【0020】
任意選択的に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングされた後に、トラフィック周期変動曲線が得られているかどうかが判定され、そして、トラフィック周期変動曲線が得られている場合、ターゲット時点に対応する予測トラフィックが曲線に従って決定される。そうでない場合は、第1の期間より前の第2の期間内のn個の時点におけるネットワークトラフィックSiが取得されるが、ここでi=1,2,・・・,nであり、nは自然数である。それから、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算が行われるが、ここでαは0<α<1の範囲、典型的には0.2から0.4の範囲における平滑化のための所定の減衰係数であり、TEiは第1の期間内のi番目の時点における予測トラフィックである。こうして、予め獲得されたトラフィック周期変動曲線が照会され、ターゲット時点tcurにおける予測トラフィックはTEcurであると決定され、ここで【数1】
である。第2の期間にはDDoS攻撃がないことが確認されている。
【0021】
すなわち、本実施形態により提供される方法は、単に1つの期間で得られるネットワークトラフィックを計算することによってトラフィック周期変動曲線を得ることができ、そして、トラフィック周期変動曲線を再び計算しなければならないのではなく、既に得られているトラフィック周期変動曲線を活用することによって、次のDDoS攻撃検出を達成することができ、こうして、システムリソースの消費を回避しながら、必要とされる計算量を減らすことができる。得られたトラフィック周期変動曲線を用いてDDoSを検出することにより、トラフィックの突発的な増加が通常のトラフィックに起因するものであるか否かを判定することができ、それにより誤報を減らすことができる。
【0022】
第2の期間内のn個の時点におけるネットワークトラフィックSiの取得は、n個の均等または不均等な間隔の時点でトラフィックSiをサンプリングすることによって達成されうることに留意すべきである。
【0023】
また、得られるトラフィック周期変動曲線{TEi|i=1,2,・・・,n}は、本実施形態では離散点の集合であり、連続的なトラフィック周期変動曲線は、従来技術の曲線当てはめアルゴリズムのいずれかを参照することによって、さらに得られうることにも留意すべきである。
【0024】
103:サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。
【0025】
特に、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かが判定され、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される;そうでない場合、ネットワークトラフィックは正常であると判定される。
【0026】
本実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変化曲線が、予測トラフィックの周期変化パターンを示すために用いられるため、各ターゲット時期においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変化曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、得られたトラフィック周期変動曲線を活用してDDoSを検出することにより、トラフィックの突発的な増加が通常のトラフィックに起因するものであるか否かを判定することができ、それにより誤報を減らすことができる。
【0028】
201:トラフィック周期変動曲線を得るための計算を実行する工程。
【0029】
任意選択的に、データパケットが受信され、その内容が分析されて、データベースに保存される。それから、第2の期間内の各時点におけるネットワークトラフィックがデータベースから抽出されるが、ここで1つの期間は1日または1週間であり、第2の期間内の時点は持続期間Gによって隔てられている。抽出されたネットワークトラフィックはSiとして表され、ここでi=1,2,・・・nであり、nは抽出されたネットワークトラフィックの数に等しい自然数である。トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算が行われるが、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時期の予測トラフィックである。
【0030】
202:トラフィック周期変動曲線を補正する工程。
【0031】
特に、i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行う;トラフィック周期変動曲線は、補正トラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために式THi=TEi+MAX(Di)に従って補正されるが、ここでTHiはi番目の時点における補正された予測トラフィックである。
【0032】
i番目の時点における残差Diが得られた後、第2の期間内のn個の時点におけるネットワークトラフィックSiの突発的な増加の潜在的誤差が検定されることを理解すべきである。すなわち、式Di=|{Si−TEi}|に従って計算を行い、i番目の時点における残差Diを得た後、以下の手順に従って、異常値がもしあれば、残差から取り除かれる:
【0033】
まず、中央値Dmed=(Dmax−Dmin)/2が決定され、ここでDmaxは計算された最大の残差を表し、Dminは計算された最小の残差を表す。
【0034】
それから、順番に以下を調べる:下部四分位数D1=(Dmed−Dmin)/2;
【0035】
上部四分位数D2=(Dmax−Dmed)/2;および
【0036】
四分位範囲ΔQ=D2−D1。
【0037】
最後に、範囲[D1−1.5ΔQ,D2+1.5ΔQ]が確立され、残差Diは、もしそれが範囲内に収まれば、保持されるべき有効な値であり、または、もしそれが範囲外の場合には、取り除かれるべき無効または「異常」な値である。
【0038】
203:ターゲット時点における予測トラフィックを決定するために、トラフィック周期変動曲線に照会する工程。
【0039】
特に、ターゲット時点における予測トラフィックtcurはTHcurであると決定され、ここで【数2】
である。
【0040】
204:所定のタイミングルールに従って、ターゲット時点における予測トラフィックを調整する工程。
【0041】
特に、1年などの期間中の特別な日の特別な時点においてネットワークトラフィックが突発的に増加することが予想される状況に対処するため。つまり、このような状況が発生すると、ネットワークトラフィックの周期パターンが乱される。異なるサービスを提供する異なるサーバを考慮すれば、ネットワークトラフィックが変化する大きさと時間区間もまた異なりうる。しかし、そのようなネットワークトラフィックの増加は、DDoS攻撃の結果ではなく、予想されるものである。そのような状況を考慮するため、動的調整機構が設けられる。すなわち、第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックは引き上げられうる;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックは引き下げられうる。予測トラフィックが特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的変化パターンは精度の点でさらに改善され、運用および保守要員の作業負荷が軽減されうる。
【0042】
205:ターゲット時点における調整された予測トラフィックに従ってDDoS攻撃を検出する工程。
【0043】
特に、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かが判定され、サンプリングによって得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。そうでない場合、ネットワークトラフィックは正常であると決定される。
【0044】
工程203から205は、予め定められた期間、例えば、前述の持続期間Gで反復されてもよいことに留意すべきである。
【0045】
この実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時点に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、履歴トラフィック動向を活用してDDoSを検出することは、トラフィックの突発的な増加が、予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助ける。また、予測トラフィックが特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的な変化パターンを精度の点でさらに向上させることができる。
【0046】
図3は、本開示の一実施形態に従うDDoS攻撃検出のための装置を示す概略構成図である。本実施形態で提供される装置は、バイパスネットワーク監視装置中に配置されてもよく、図3に示されるように、サンプリングユニット31、決定ユニット32、および検出ユニット33を含んでいてもよい。
【0047】
サンプリングユニット31は、サンプリングによって第1の期間内のターゲット時点におけるネットワークトラフィックを取得するように構成される。
【0048】
決定ユニット32は、サンプリングユニット31に接続され、予め獲得されたトラフィック周期変動曲線に照会して、ターゲット時期における予測トラフィックを決定するように構成される。
【0049】
この場合、トラフィック周期変動曲線は、予測トラフィックの周期的な変化パターン、そして特に、少なくとも1つの期間における個々の時点と予測トラフィック、すなわち、少なくとも1つの期間内の各時期における予測トラフィックとの間のマッピングを示すことが意図されている。
【0050】
任意選択的に、サンプリングユニット31が第1の期間内のターゲット時点におけるネットワークトラフィックをサンプリングした後、決定ユニット32が、トラフィック周期変動曲線が得られているかどうかを判定し、トラフィック周期変動曲線が得られている場合、その曲線に従ってターゲット時点に対応する予測トラフィックを決定する。そうでない場合、DDoS攻撃検出デバイス内の他のユニットが、第1の期間よりも前の第2の期間内のn個の時点におけるネットワークトラフィックSiを取得するように誘発され、ここでi=1,2,・・・nであり、nは自然数であり、そして、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように誘発されるが、ここでαは0<α<1の範囲における平滑化のための所定の減衰係数であり、そしてTEiはi番目の時期における予測トラフィックである。よって、予め獲得されたトラフィック周期変動曲線が照会され、ターゲット時点tcurにおける予測トラフィックがTEcurであると決定され、ここで【数3】
である。第2の期間にはDDoS攻撃がないことが確認されている。
【0051】
第2の期間内のn個の時点におけるネットワークトラフィックSiの取得は、n個の均等または不均等な間隔の時点でトラフィックSiをサンプリングすることによって達成されうることに留意すべきである。
【0052】
また、得られるトラフィック周期変動曲線{TEi|i=1,2,・・・,n}は、本実施形態では離散点の集合であり、連続的なトラフィック周期変動曲線は、従来技術の曲線当てはめアルゴリズムのいずれかを参照することによって、さらに得られうることにも留意すべきである。
【0053】
検出ユニット33は、決定ユニット32に接続され、そして、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合、DDoS攻撃を検出するように構成される。
【0054】
特に、検出ユニット33は、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きいか否かを判定し、そして、サンプリングにより得られたネットワークトラフィックが、決定された予測トラフィックよりも大きい場合にはDDoS攻撃を報告し、そうでない場合は正常なネットワークトラフィックを報告する。
【0055】
この実施形態においては、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時点においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。さらに、履歴トラフィック動向を活用してDDoSを検出することは、突発的なトラフィックの増加が予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助ける。
【0056】
図4は、本開示の別の実施形態に従うDDoS攻撃検出のための装置を示す概略構成図である。先の実施形態を基礎として、この実施形態の装置は、取得ユニット41、計算ユニット42、および補正ユニット43をさらに含む。
【0057】
取得ユニット41は、第1の期間よりも前の第2の期間内のn個の時点におけるネットワークトラフィックSiを取得するように構成され、
【0058】
ここでi=1,2,・・・nであり、nは自然数である。
【0059】
計算ユニット42は、取得ユニット41に接続され、トラフィック周期変動曲線{TEi|i=1,2,・・・,n}を得るために式TEi=αSi−1+(1−α)TEi−1に従って計算を行うように構成される。
【0060】
この場合、αは0<α<1の範囲に収まる平滑化のための所定の減衰係数であり、TEiはi番目の時点における予測トラフィックである。
【0061】
補正ユニット43は、計算ユニット42および決定ユニット32に接続され、以下を行うように構成される:i番目の時点における残差Diを得るために式Di=|{Si−TEi}|に従って計算を行う;そして、補正されたトラフィック周期変動曲線{THi|i=1,2,・・・,n}を得るために、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正する。
【0062】
この場合、THiはi番目の時点における補正された予測トラフィックである。
【0063】
i番目の時点における残差Diが得られた後、第2の期間内のn個の時点におけるネットワークトラフィックSiの突発的な増加の潜在的誤差が検定されることを理解すべきである。すなわち、式Di=|{Si−TEi}|に従って計算を行い、i番目の時点における残差Diを得た後、補正ユニット43は、以下の手順に従って、異常値がもしあれば、残差Diから取り除く処理を行うことができる:
【0064】
まず、中央値Dmed=(Dmax−Dmin)/2が決定されるが、ここでDmaxは計算された最大の残差を表し、Dminは計算された最小の残差を表す。
【0065】
それから、順番に以下を調べる:下部四分位数D1=(Dmed−Dmin)/2;
【0066】
上部四分位数D2=(Dmax−Dmed)/2;および
【0067】
四分位範囲ΔQ=D2−D1。
【0068】
最後に、範囲[D1−1.5ΔQ,D2+1.5ΔQ]が決定され、残差Diは、もしそれが範囲内に収まれば保持されるべき有効な値であり、または、もしそれが範囲外の場合には取り除かれるべき無効な値である。
【0069】
あるいは、i番目の時点における残差Diを計算により取得した後、前述の異常値を取り除くための処理を行うことなく、式THi=TEi+MAX(Di)に従ってトラフィック周期変動曲線を補正するために、処置を直接先へ進めてもよい。
【0070】
これに基づき、決定ユニット32は、ターゲット時点tcurの予測トラフィックがTHcurであると決定するように特に構成され、ここで【数4】
である。
【0071】
さらに、DDoS攻撃検出のための装置は、調整ユニット44をさらに含む。
【0072】
調整ユニット44は、決定ユニット32に接続され、以下を行うように構成される:第1の期間が所定のタイミングルールにより示されるトラフィック増加期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック増加時点である場合、決定される予測トラフィックを引き上げる;そして/または、第1の期間が予め定められたタイミングルールにより示されるトラフィック減少期間である場合、および/もしくはターゲット時点がタイミングルールにより示されるトラフィック減少時点である場合、決定される予測トラフィックを引き下げる。
【0073】
この実施形態によると、ターゲット時点における予測トラフィックが予め獲得されたトラフィック周期変動曲線に照会することによって決定される前に、第1の期間内のターゲット時点におけるネットワークトラフィックがサンプリングによって取得される。このようにしてサンプリングされたネットワークトラフィックが、このようにして決定された予測トラフィックよりも大きい場合、DDoS攻撃が検出される。トラフィック周期変動曲線が、予測トラフィックの周期的な変化パターンを示すために用いられるため、各ターゲット時期においてDDoS攻撃検出を行う前に、膨大な量の履歴トラフィックデータに従って計算するのではなく、単にトラフィック周期変動曲線を利用するだけで、ターゲット時期に対応する予測トラフィックを決定することができ、それによって、関係する計算の量を減らすことができる。また、予測トラフィックは、特別なタイミングルールに基づいて調整されるため、予測トラフィックの周期的な変化パターンを精度の点でさらに向上させることができる。さらに、履歴トラフィックデータを活用することは、突発的なトラフィックの増加が予想されるトラフィックに起因するのか、DDoS攻撃に起因するのかを効果的に調べることも助けることができ、こうして誤報を減らすことができる。
【0074】
当業者は、前述の方法の実施形態の工程の全てまたは一部が、関連するハードウェアに指示を送るプログラムによって実装されてもよいことを理解することができる。前述のプログラムは、コンピュータ可読記憶媒体に格納されていてもよい。プログラムが実行されると、前述の実施形態の方法の工程が実行される。上記記憶媒体は、ROM、RAM、磁気ディスク、または光ディスクなどのプログラムコードを格納可能な各種メディアを含む。
【0075】
最後に、前述の実施形態は、本開示の技術的解決法を限定するものではなく、単に説明することを意図したものであることに留意すべきである。本開示は、前述の実施形態を参照して詳細に説明されているが、当業者は、前述の実施形態において記載された技術的解決法をなお改変してもよいし、または、一部もしくは全ての技術的特徴を等価なものに置換してもよいことを理解すべきである;しかしながら、これらの改変または置換は、本開示の実施形態における技術的解決法の範囲から、対応する技術的解決法の本質を逸脱させるものではない。【国際調査報告】