特許ウォッチ

公開番号2025089673
公報種別公開特許公報(A)
公開日2025-06-16
出願番号2023204441
出願日2023-12-04
発明の名称検知装置及び検知方法
出願人日本電信電話株式会社
代理人弁理士法人酒井国際特許事務所
主分類G06F 21/55 20130101AFI20250609BHJP(計算;計数)
要約【課題】DDoS攻撃に関する情報から、DDoS攻撃を指示している司令塔サーバを適切に検知すること。
【解決手段】本実施形態に係る検知装置100は、DDoS攻撃検知部121とボット検知部122と司令塔サーバ検知部123とを有する。DDoS攻撃検知部121は、ネットワークデータに基づき、DDoS攻撃を検知する。ボット検知部122は、DDoS攻撃検知部121によって検知された複数のDDoS攻撃に関する情報から、DDoS攻撃に参加しているボットを検知する。司令塔サーバ検知部123は、ボット検知部122によって検知されたボットに関する情報から、DDoS攻撃を指示している司令塔サーバを検知する。
【選択図】図1
特許請求の範囲【請求項１】
ネットワークデータに基づき、ＤＤｏＳ（Distributed Denial of Service）攻撃を検知するＤＤｏＳ攻撃検知部と、
前記ＤＤｏＳ攻撃検知部によって検知された複数のＤＤｏＳ攻撃に関する情報から、前記ＤＤｏＳ攻撃に参加しているボットを検知するボット検知部と、
前記ボット検知部によって検知されたボットに関する情報から、前記ＤＤｏＳ攻撃を指示している司令塔サーバを検知する司令塔サーバ検知部と、
を有することを特徴とする検知装置。
続きを表示（約 920 文字）【請求項２】
前記ボット検知部は、複数の前記ＤＤｏＳ攻撃に関する情報から、ＤＤｏＳ攻撃に参加している割合が所定の閾値よりも高い送信元をボット候補として抽出し、当該ボット候補の通信履歴に基づき、ＤＤｏＳ攻撃に参加しているボットを検知する
ことを特徴とする請求項１に記載の検知装置。
【請求項３】
前記司令塔サーバ検知部は、複数の前記ボットが共通して通信するホストを司令塔サーバ候補として抽出し、当該司令塔サーバ候補から、前記ボットと前記司令塔サーバ候補との間に双方向の通信があるかの判定と、前記司令塔サーバ候補がＤＤｏＳ攻撃の攻撃先となっていないかの判定と、前記司令塔サーバ候補と前記ボット以外のホストとの通信が、前記司令塔サーバと前記ボットとの通信と比較して少ないかの判定と、のいずれか一つまたは複数を判定し、判定結果に応じて前記司令塔サーバを検知する
ことを特徴とする請求項１に記載の検知装置。
【請求項４】
前記ボットに関する情報に基づき、特定のサーバがＤＤｏＳ攻撃に関連しているか否かを判定する司令塔サーバ判定部をさらに有する
ことを特徴とする請求項１に記載の検知装置。
【請求項５】
前記司令塔サーバ判定部は、前記特定のサーバの通信に含まれる送信元情報から抽出された装置が、前記ボット検知部によって検知されたボットと同一である場合に、前記特定のサーバがＤＤｏＳ攻撃に関連していると判定する
ことを特徴とする請求項４に記載の検知装置。
【請求項６】
検知装置によって実行される検知方法であって、
ネットワークデータに基づき、ＤＤｏＳ攻撃を検知するＤＤｏＳ攻撃検知工程と、
前記ＤＤｏＳ攻撃検知工程によって検知された複数のＤＤｏＳ攻撃に関する情報から、前記ＤＤｏＳ攻撃に参加しているボットを検知するボット検知工程と、
前記ボット検知工程によって検知されたボットに関する情報から、前記ＤＤｏＳ攻撃を指示している司令塔サーバを検知する司令塔サーバ検知工程と、
を含んだことを特徴とする検知方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、検知装置及び検知方法に関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
近年、インターネットにおいて、大量トラフィック送信などによりインターネットサービスを妨害するＤＤｏＳ（Distributed Denial of Service）攻撃が問題となっている。ＤＤｏＳ攻撃は、攻撃者がインターネット上で乗っ取りなどによりに制御下においた多数のボットに対して攻撃指示を行い、ボットから一斉に攻撃が送信されることにより、インターネットサービスを妨害に追い込む。
【０００３】
ＤＤｏＳ攻撃は頻発しており個別の攻撃を検知・防御していると、多数の攻撃に対してスケールしない。また、攻撃が大規模になった場合に、ネットワークサービスとして維持が難しくなることも想定される。頻発するＤＤｏＳ攻撃はＤＤｏＳ攻撃群とも考えられ、同一司令塔サーバから攻撃指示されている可能性がある。そのため、司令塔サーバを特定し、司令塔サーバの通信をブロックまたは司令塔サーバをテイクダウンすることでＤＤｏＳ攻撃群を防止できる可能性がある。
【０００４】
ここで、司令塔サーバを検知する手法としては、ネットワークスキャンを行うボットに関する司令塔サーバを検知する技術（例えば、特許文献１参照）や、ネットワークのトラフィックデータから機械学習を用いて司令塔サーバを検知する技術（例えば、非特許文献１参照）、マルウェアを静的解析・動的解析する手法等が知れられている。
【先行技術文献】
【特許文献】
【０００５】
国際公開第２０２０／２４５９３０号
【非特許文献】
【０００６】
B. Hu, K. Kamiya, K. Takahashi and A. Nakao, "Piper: A Unified Machine Learning Pipeline for Internet-scale Traffic Analysis," GLOBECOM 2020 ― 2020 IEEE Global Communications Conference, Taipei, Taiwan, 2020, pp. 1-6, doi: 10.1109/GLOBECOM42002.2020.9322531.
【発明の概要】
【発明が解決しようとする課題】
【０００７】
しかし、上記の従来技術では、ＤＤｏＳ攻撃に関する情報から、ＤＤｏＳ攻撃を指示している司令塔サーバを適切に検知することができない。例えば、従来技術では、ＤＤｏＳ攻撃群に関連するマルウェア検体を入手することが困難であることから、解析を十分に行うことができない場合があり、司令塔サーバを適切に検知することができない。また、多数のマルウェアの解析結果から、実際にＤＤｏＳ攻撃を指示している司令塔サーバのみを抽出することも容易ではない。
【課題を解決するための手段】
【０００８】
上述した課題を解決し、目的を達成するために、本発明の検知装置は、ネットワークデータに基づき、ＤＤｏＳ攻撃を検知するＤＤｏＳ攻撃検知部と、ＤＤｏＳ攻撃検知部によって検知された複数のＤＤｏＳ攻撃に関する情報から、ＤＤｏＳ攻撃に参加しているボットを検知するボット検知部と、ボット検知部によって検知されたボットに関する情報から、ＤＤｏＳ攻撃を指示している司令塔サーバを検知する司令塔サーバ検知部とを有することを特徴とする。
【発明の効果】
【０００９】
本発明によれば、ＤＤｏＳ攻撃に関する情報から、ＤＤｏＳ攻撃を指示している司令塔サーバを適切に検知することができるという効果を奏する。
【図面の簡単な説明】
【００１０】
図１は、システムの全体構成を示す図である。
図２は、実施形態に係る検知装置の構成例を示すブロック図である。
図３は、実施形態に係る検知装置に記憶されるデータの一例を示す図である。
図４は、実施形態に係る検知装置に記憶されるデータの一例を示す図である。
図５は、実施形態に係る検知装置に記憶されるデータの一例を示す図である。
図６は、実施形態に係る司令塔サーバ検知部が生成するグラフ構造の具体例を示す図である。
図７は、実施形態に係る検知装置の全体的な処理の流れの一例を示すフローチャートである。
図８は、実施形態に係るＤＤｏＳ攻撃検知部の処理の流れの一例を示すフローチャートである。
図９は、実施形態に係るボット検知部の処理の流れの一例を示すフローチャートである。
図１０は、実施形態に係る司令塔サーバ検知部の処理の流れの一例を示すフローチャートである。
図１１は、検知プログラムを実行するコンピュータの一例を示す図である。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許