攻击检测装置(1)具有:分组收集部(11),其对从使用者终端(5)向服务提供服务器(4)发送的分组进行收集;头部信息取得部(12),其从分组取得头部信息;以及攻击检测部(14),其使用头部信息来判别各会话是否为攻击会话,攻击检测部(14)针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及根据客户端与服务器之间所发送接收的分组而检测客户端对服务器进行的攻击的攻击检测装置、攻击检测方法以及攻击检测程序。
技术介绍
近年来,存在通过非法的通信而使因特网上的公开服务陷入服务停止状态的DoS(DenialofService:拒绝服务)所引起的损害的增大的问题。DoS可以大致分为2种攻击形式。第一个是具有恶意的攻击者送达非法的数据或异常的分组而使服务提供者所具有的软件进行异常的动作的攻击形式。第二个是大量地送达信息流而使服务提供者所具有的线路的频带或通信设备的处理能力瘫痪的攻击。作为用于应对第一个攻击形式的技术,存在如下的技术:按照每个种类评估例如流入服务器的分组而发现因非法的通信引起的服务器的异常的动作(参照专利文献1)。作为用于应对第二个攻击形式的技术,存在如下的技术:根据例如流统计信息的变化对大量信息流进行检测(参照专利文献2)。并且,被称为SlowREADDoS的新的攻击成为问题,该新的攻击通过使向通信对方通知的自身的接收缓冲器的尺寸(窗口尺寸)极其小而限制通信对方能够一次发送的信息量,且使通信长期化而非法地持续占有会话(参照非专利文献1)。现有技术文献专利文献专利文献1:日本特开2007-166154号公报专利文献2:日本特开2008-118242号公报非专利文献非专利文献1:倉上弘,“DoS/DDoS攻击对策(2)~高度化的DDoS攻击与对策从网站的观点出发~”、信息处理Vol.54No.5pp475-480、信息处理学会、2013
技术实现思路
专利技术要解决的课题在专利文献1的技术中存在如下的问题:虽然能够对攻击者在中途放弃通信这样的伴随着通信的异常结束的攻击进行检测,但无法对一边继续进行正常的通信过程一边被执行的攻击进行检测。例如,由于SlowREADDoS是通过不使通信结束而作为攻击成立的,因此利用专利文献1等以往的技术无法检测攻击。并且,在专利文献2这样的使用流统计信息的检测方法中存在如下的问题:利用用于生成流统计信息的采样会产生通信分组的获取遗漏,无法取得具有恶意的攻击者的通信分组。本专利技术是鉴于上述情况而完成的,本专利技术的目的在于,提供能够对一边继续进行正常的通信过程一边被执行的攻击进行检测的攻击检测装置、攻击检测方法以及攻击检测程序。用于解决课题的手段为了解决上述课题,本专利技术提供一种攻击检测装置,其具有:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。在上述攻击检测装置中,也可以是,所述其他分组是在所述任意分组之后所发送的分组。在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。在上述攻击检测装置中,也可以是,所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,在使用所述头部信息计算出的会话建立时间比规定的第1阈值大的情况下,将该会话检测为攻击会话。在上述攻击检测装置中,也可以是,所述攻击检测单元针对每个会话,使用所述头部信息对吞吐量进行计算,在该吞吐量比规定的第2阈值小的情况下,将该会话检测为攻击会话。在上述攻击检测装置中,也可以是,所述攻击检测单元当检测出所述攻击会话时,将包含确定该攻击会话的信息在内的攻击检测信息发送给管理者终端。在上述攻击检测装置中,也可以是,所述攻击检测单元当检测出所述攻击会话时,将复位分组发送给所述服务器和所述客户端,将该攻击会话切断。本专利技术提供由计算机进行的攻击检测方法,具有如下的步骤:收集步骤,对从客户端向服务器发送的分组进行收集;头部信息取得步骤,从所述分组取得头部信息;以及攻击检测步骤,使用所述头部信息来判别各会话是否为攻击会话,在所述攻击检测步骤中,针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。本专利技术提供由计算机进行的攻击检测程序,其使所述计算机作为如下的单元发挥功能:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。专利技术效果根据本专利技术,能够提供能够对一边继续进行正常的通信过程一边被执行的攻击进行检测的攻击检测装置、攻击检测方法以及攻击检测程序。附图说明图1是应用了第1实施方式的攻击检测系统的整体结构图。图2是示出第1实施方式的攻击检测装置的结构的功能框图。图3是示出分组头部信息的一例的图。图4是示出攻击检测处理的流程图。图5是示出会话管理表的一例的图。图6是示出会话输出信息的一例的图。图7是对攻击检测后的攻击防御处理进行说明的说明图。图8是示出应用了第2实施方式的攻击检测装置的整体结构图。图9是示出第2实施方式的攻击检测装置的结构的功能框图。图10是对攻击检测后的攻击防御处理进行说明的说明图。具体实施方式以下,对本专利技术的实施方式进行说明。<第1实施方式>图1是示出作为本专利技术的一实施方式的攻击检测系统的整体结构图。攻击检测系统设置在服务提供服务器4与服务使用者所使用的使用者终端5(客户端)之间,对服务提供服务器4与使用者终端5之间的通信进行监视,对非法的使用者的攻击进行检测。服务提供服务器4经由因特网等网络向使用者终端5提供各种服务。图示的攻击检测系统具有攻击检测装置1和信息流复制装置2。信息流复制装置2设置在服务提供服务器4与使用者终端5之间,将从使用者终端5发送给服务提供服务器4的分组(信息流)传输给服务提供服务器4,并且对该分组进行复制而向攻击检测装置1输出。攻击检测装置1使用从信息流复制装置2发送来的分组而对非法的使用者的攻击进行检测。并且,攻击检测装置1当检测出攻击时,经由管理网络向管理者终端3通知攻击检测信息。图2是示出本实施方式的攻击检测装置1的结构的功能框图。图示的攻击检测装置1具有:分组收集部11、头部信息取得部12、合计部13、攻击检测部14、会话管理表15以及会话日志文件16。分组收集部11对从信息流复制装置2输出的、从使用者终端5向服务提供服务器4发送的分组进行收集。头部信息取得部12从分组收集部11所收集的各分组中取得头部信息。合计部13使用所取得的头部信息按照每个会话对各分组进行分类并进行合计。攻击检测部14使用按照每个会话所合计的头部信息来判别各会话是否为攻击会话。在本实施方式中,攻击检测部14按照每个会话对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。并且,攻击检测部14按照每个会话对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况本文档来自技高网...
【技术保护点】
一种攻击检测装置,其特征在于,该攻击检测装置具有:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。
【技术特征摘要】
【国外来华专利技术】2014.07.04 JP 2014-1386591.一种攻击检测装置,其特征在于,该攻击检测装置具有:收集单元,其对从客户端向服务器发送的分组进行收集;头部信息取得单元,其从所述分组取得头部信息;以及攻击检测单元,其使用所述头部信息来判别各会话是否为攻击会话,所述攻击检测单元针对每个会话,对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较,在比较结果满足规定的第1条件的情况下,将该会话检测为攻击会话。2.根据权利要求1所述的攻击检测装置,其特征在于,所述其他分组是在所述任意分组之后所发送的分组。3.根据权利要求1所述的攻击检测装置,其特征在于,所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。4.根据权利要求2所述的攻击检测装置,其特征在于,所述攻击检测单元针对每个会话,对窗口尺寸的多个统计信息进行比较,在比较结果满足规定的第2条件的情况下,将该会话检测为攻击会话。5.根据权利要求3所述的攻击检测装置,其特征在于,所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。6.根据权利要求4所述的攻击检测装置,其特征在于,所述窗口尺寸的多个统计信息是平均窗口尺寸和最大窗口尺寸。7.根据权利要求1至6中的任意一项所述的攻击检测装置,其特征在于,所述攻击检测单元针对每个会话,在使用所述头部信息计算出的会话建立时间比规定的第1阈值大的情况下,将该会话检测为攻击会话。8.根据...
【专利技术属性】
技术研发人员:野冈弘幸,山田勇二,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。