JP4380710B2 - Traffic anomaly detection system, traffic information observation device, and traffic information observation program - Google Patents

Traffic anomaly detection system, traffic information observation device, and traffic information observation program Download PDF

Info

Publication number
JP4380710B2
JP4380710B2 JP2007045536A JP2007045536A JP4380710B2 JP 4380710 B2 JP4380710 B2 JP 4380710B2 JP 2007045536 A JP2007045536 A JP 2007045536A JP 2007045536 A JP2007045536 A JP 2007045536A JP 4380710 B2 JP4380710 B2 JP 4380710B2
Authority
JP
Japan
Prior art keywords
packet
attack
information
network
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007045536A
Other languages
Japanese (ja)
Other versions
JP2008211464A (en
Inventor
美紀 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2007045536A priority Critical patent/JP4380710B2/en
Publication of JP2008211464A publication Critical patent/JP2008211464A/en
Application granted granted Critical
Publication of JP4380710B2 publication Critical patent/JP4380710B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラムに関し、例えば、広域ネットワークにおけるトラフィック異常を検出するトラフィック異常検出システムに適用し得る。 The present invention, traffic anomaly detection system, traffic information observation equipment,及 Beauty relates traffic information observation program, for example, be applied to the traffic abnormality detection system for detecting traffic abnormalities in a wide area network.

近年、ネットワーク技術の発展に伴い、その重要性が高まり、ネットワークシステムが社会基盤として浸透している。その一方で、高度化・複雑化した新しいウィルスが日々発生しており、ウィルス感染等の脅威がネットワーク障害を引き起こし、その被害はネットワークの規模に応じて大きくなる。そこで、ネットワークのトラフィックを監視し、異常を検出するシステムが強く望まれている。   In recent years, with the development of network technology, its importance has increased, and network systems have penetrated as social infrastructure. On the other hand, new and sophisticated viruses are generated every day. Threats such as virus infections cause network failures, and the damage increases with the scale of the network. Therefore, a system that monitors network traffic and detects anomalies is strongly desired.

従来、ネットワークにおける異常を検出するシステムとして、例えば、特許文献1に示すような技術もある。   Conventionally, as a system for detecting an abnormality in a network, for example, there is a technique as shown in Patent Document 1.

特許文献1に記載の技術は、分散型サービス拒絶攻撃(DDOS;Distributed Denial Of Service Attack)に対処するセキュリティ技術である。具体的には、複数のボーダルータが、それぞれの通信網に流入するTCP−SYN(コネクション確立要求)パケットを監視し、同一宛先のTCP−SYNパケットの個数を計数すると共に、他のボーダルータに対して計数結果を通知する。そして、各ボーダルータは、同一宛先の計数結果を集計し、所定時間内の増加率が閾値を超えるときにDDOS攻撃であると判断し、当該パケットの流入を抑制するというものである。   The technique described in Patent Document 1 is a security technique that copes with a distributed denial of service attack (DDOS). Specifically, a plurality of border routers monitor TCP-SYN (connection establishment request) packets flowing into the respective communication networks, count the number of TCP-SYN packets with the same destination, and send them to other border routers. The count result is notified. Then, each border router counts the count results of the same destination, determines that it is a DDOS attack when the rate of increase within a predetermined time exceeds a threshold value, and suppresses the inflow of the packet.

特開2003−289337号公報JP 2003-289337 A

しかしながら、従来のトラフィック異常検出方法は、何かしらのインシデントが発生したタイミングでトラフィック異常を検出するものである。そのため、その原因究明や対策等については、その後に開始することになり、攻撃から対処までの時間を要してしまうという問題があった。   However, the conventional traffic abnormality detection method detects a traffic abnormality at the timing when some kind of incident occurs. Therefore, the cause investigation and countermeasures are started after that, and there is a problem that it takes time from attack to countermeasure.

ここで、トラフィック異常検出のためのインシデントとしては、例えば、保護対象ホスト装置のパフォーマンスの低下やサービス提供の不能や、トラフィック過負荷によるアクセス能力の低下等の具体的な影響の感知や、また例えば、侵入検知システム(IDS;Intrusion Detection System)やファイアウォール等のセキュリティシステムを使用した攻撃パターンの検知等がある。   Here, as an incident for detecting a traffic anomaly, for example, detection of a specific influence such as a decrease in performance of a protected host device, an inability to provide a service, a decrease in access capability due to a traffic overload, or, for example, Intrusion detection system (IDS; Intrusion Detection System) and attack pattern detection using a security system such as a firewall.

また、攻撃の事実が判明した時点では、既に監査証跡が廃棄されており、発生源を究明する手段がない、監査証跡を確実に取得保存するために、膨大な記憶領域の資源を整備しなければならない、などの問題もあった。   In addition, when the fact of the attack is revealed, the audit trail has already been discarded, and there is no means to investigate the source of the occurrence. There were also problems such as having to.

そのため、攻撃パケットによる攻撃から対処までにかかる時間を短時間にすると共に、攻撃の証跡を確実に保持することができる、トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラムが求められている。 Therefore, while a short time the time from attack by the attack packets to addressed, it is possible to reliably hold the trail of the attack, the traffic anomaly detection system, traffic information observation equipment,及 Beauty, traffic information observation program Is required.

かかる課題を解決するために、第1の本発明のトラフィック異常検出システムは、1又は複数の外部ネットワークから監視対象ネットワークに流入してきた攻撃パケットによる監視対象ネットワークの異常を検出するネットワーク異常検出システムにおいて、(1)監視対象ネットワークと各外部ネットワークとの間に設けられるものであって、各外部ネットワークとの間で授受される通信パケットを中継する1又は複数の中継手段と、(2)それぞれ対応する中継手段を通過する全ての通信パケットを取り込み、各中継手段を通過した各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持する1又は複数のパケット情報保持手段と、(3)攻撃パケットの流入を検出する攻撃検出手段と、(4)攻撃検出手段により攻撃パケットによる攻撃が検出された場合、攻撃パケットが各中継手段を通過したか否かを問い合わせるパケット通過問合せ手段と、(5)パケット通過問合せ手段から問い合わせを受けると、パケット情報保持手段の有する各中継手段の通履歴であるダイジェストテーブルを参照して、問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、各中継手段での攻撃パケットの通過を検出するパケット通過検出手段と、(6)パケット通過検出手段からの、各中継手段での攻撃パケットの通過有無の検出結果に基づいて、攻撃パケットの侵入口となった中継手段を特定する侵入口特定手段とを備えることを特徴とする。 In order to solve this problem, a traffic abnormality detection system according to a first aspect of the present invention is a network abnormality detection system that detects an abnormality of a monitored network due to an attack packet flowing into the monitored network from one or a plurality of external networks. (1) One or a plurality of relay means provided between the monitored network and each external network for relaying communication packets exchanged with each external network, and (2) corresponding respectively All communication packets that pass through the relay means, and the header information of each communication packet that has passed through each relay means is divided into N (N is an integer of 2 or more), the divided ones are hashed, and each hash value is addressed and then, as passage history digest table flags certain value indicated by each address One or a plurality of packet information holding means possessed, (3) an attack detection means for detecting the inflow of attack packets, and (4) when an attack by an attack packet is detected by the attack detection means, a packet passes inquiry means for inquiring whether passing through, by referring to the digest table is passing over the history of each relay unit having the (5) receives an inquiry from the packet passes inquiry unit, packet information holding means, Us Packet that detects the passage of attack packets in each relay means depending on whether or not the header information of the received target packet is divided into N, the divided one is Hashed, and a flag is set in the value indicating each Hash as an address Passage detection means, and (6) detection of whether or not an attack packet has passed through each relay means from the packet passage detection means. Based on the results, characterized in that it comprises a penetration port specifying means for specifying a relay means that a penetration opening of attack packets.

第2の本発明のトラフィック情報観測装置は、1又は複数の外部ネットワークのそれぞれと当該ネットワークとの間に1又は複数の中継手段を備え、各外部ネットワークのいずれかから当該ネットワークに流入してきた攻撃パケットによる当該ネットワークの異常を検出するネットワーク異常検出システムを構成するトラフィック情報観測装置において、(1)それぞれ対応する中継手段を通過する全ての通信パケットを取り込み、各中継手段を通過した各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持するパケット情報保持手段と、(2)外部のトラフィック情報管理装置から、攻撃パケットが各中継手段を通過した否かの問い合わせを受けると、パケット情報保持手段の有する各中継手段の通履歴であるダイジェストテーブルを参照して、問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、各中継手段での攻撃パケットの通過を検出するパケット通過検出手段とを備えることを特徴とする。 The traffic information observation apparatus of the second aspect of the present invention includes one or a plurality of relay means between each of one or a plurality of external networks and the network, and an attack that flows into the network from any of the external networks In the traffic information observation apparatus constituting the network anomaly detection system for detecting an anomaly of the network due to the packet, (1) capturing all communication packets passing through the corresponding relay means, and for each communication packet passing through each relay means Packet information holding that divides the header information into N (N is an integer of 2 or more), converts the divided information to Hash, uses each Hash value as an address, and holds a digest table with a flag set to the value indicated by each address as passing history Means, and (2) from an external traffic information management device, When hammer packet is subjected to whether the query that has passed through the relay means, by referring to the digest table is passing over the history of each relay unit included in the packet information holding means, the header information of the target packet received the inquiry N And a packet passage detection unit that detects the passage of the attack packet in each relay unit depending on whether or not a flag is set in a value indicating each hash as an address. To do.

の本発明のトラフィック情報観測プログラムは、1又は複数の外部ネットワークのそれぞれと当該ネットワークとの間に1又は複数の中継手段を備え、各外部ネットワークのいずれかから当該ネットワークに流入してきた攻撃パケットによる当該ネットワークの異常を検出するネットワーク異常検出システムを構成するトラフィック情報観測装置を、(1)それぞれ対応する上記中継手段を通過する全ての通信パケットを取り込み、各中継手段を通過した各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持するパケット情報保持手段、(2)外部のトラフィック情報管理装置から、攻撃パケットが各中継手段を通過した否かの問い合わせを受けると、パケット情報保持手段の有する各中継手段の通履歴であるダイジェストテーブルを参照して、問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、各中継手段での攻撃パケットの通過を検出するパケット通過検出手段として機能させるためのものである。 The traffic information observation program of the third aspect of the present invention includes one or a plurality of relay means between each of one or a plurality of external networks and the network, and an attack that has flowed into the network from any of the external networks A traffic information observation apparatus that constitutes a network abnormality detection system that detects an abnormality of the network due to a packet, (1) each communication packet that has passed through each relay means by fetching all communication packets that pass through the corresponding relay means Packet information that holds a digest table in which the header information is divided into N (N is an integer greater than or equal to 2), the divided one is Hashed, each Hash value is an address, and the value indicated by each address is flagged as a passage history Holding means, (2) from an external traffic information management device An attack packet is subjected to whether the query that has passed through the relay means, by referring to the digest table is passing over the history of each relay unit included in the packet information holding means, the header information of the target packet received the inquiry N This is used to function as a packet passage detection means for detecting the passage of an attack packet in each relay means depending on whether a flag is set in the value indicating each hash as an address. is there.

本発明によれば、攻撃パケットによる攻撃から対処までにかかる時間を短時間にすると共に、攻撃の証跡を確実に保持することができる。   According to the present invention, it is possible to shorten the time taken from the attack by the attack packet to the countermeasure and to securely hold the trail of the attack.

(A)第1の実施形態
以下、本発明のトラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラムの第1の実施形態を、図面を参照して説明する。
(A) less than the first embodiment, the traffic abnormality detection system of the present invention, the traffic information observed equipment,及 Beauty, a first embodiment of the traffic information observation program, will be described with reference to the accompanying drawings.

第1の実施形態は、例えば、ISP(インターネットサービスプロバイダ)の管理対象ネットワークが複数接続されて構成される広帯域ネットワークのトラフィック異常を検出するシステムに、本発明を適用する場合を説明する。   In the first embodiment, for example, a case will be described in which the present invention is applied to a system that detects traffic anomalies in a broadband network configured by connecting a plurality of ISP (Internet Service Provider) managed networks.

また、第1の実施形態では、保護対象である保護対象ホスト装置に対し、1又は複数の外部ネットワークからの攻撃を検知すると、その攻撃パケットの通過情報に基づいて攻撃パケットの侵入口を判断すると共に、その攻撃に対する対処を行なうことを実現する。   In the first embodiment, when an attack from one or a plurality of external networks is detected on the protection target host device that is the protection target, the entry point of the attack packet is determined based on the passage information of the attack packet. At the same time, it is possible to cope with the attack.

(A−1)第1の実施形態の構成
図1は、第1の実施形態のトラフィック異常検出システム5の構成を示す構成図である。図1では、あるネットワークサービスプロバイダが管理するISPネットワーク7−1が、ルータ3−1、3−2を介して、別のネットワークサービスプロバイダが管理するISPネットワーク7−2、7−3と接続しているものとする。勿論、それぞれ接続するISPネットワークの数は限定されない。 (A-1) Configuration of the First Embodiment FIG. 1 is a configuration diagram showing the configuration of the traffic abnormality detection system 5 of the first embodiment. In FIG. 1, an ISP network 7-1 managed by a network service provider is connected to ISP networks 7-2 and 7-3 managed by another network service provider via routers 3-1, 3-2. It shall be. Of course, the number of ISP networks to be connected to each other is not limited.

各ISPネットワーク7−1〜7−3のネットワーク媒体は、例えば、電気回線や光ファイバ回線などの有線回線や、無線回線を一部又は全部に有するものを適用することができる。また、OSI基本参照モデルのトランスポート層に対応する層に採用するプロトコルとしては、特に限定されないが、例えば、TCP、UDP、ICMPなどを適用することができるものである。   As the network medium of each of the ISP networks 7-1 to 7-3, for example, a wired line such as an electric line or an optical fiber line, or a part having all or part of a wireless line can be applied. Further, the protocol employed in the layer corresponding to the transport layer of the OSI basic reference model is not particularly limited, but, for example, TCP, UDP, ICMP, or the like can be applied.

図1において、ISPネットワーク7−1は、観測プローブ装置1−1〜1−3、マネージャ装置2、ルータ3−1〜3−3、保護対象ホスト装置4−1〜4−3、を少なくとも有して構成される。   In FIG. 1, the ISP network 7-1 includes at least observation probe devices 1-1 to 1-3, a manager device 2, routers 3-1 to 3-3, and protection target host devices 4-1 to 4-3. Configured.

図1では、図示を省略しているが、ISPネットワーク7−1は、他の構成要素として、例えば、ユーザ端末、サーバ、音声通信端末(電話端末、ソフトフォンを実現する通信端末、携帯電話機等を含む概念)、ネットワーク機器なども有する。また、他のISPネットワーク7−2、7−3も、ISPネットワーク7−1と同様の構成を備える。   Although not shown in FIG. 1, the ISP network 7-1 includes, for example, a user terminal, a server, a voice communication terminal (telephone terminal, communication terminal for realizing a soft phone, a mobile phone, etc.) as other components. Including network devices and the like. The other ISP networks 7-2 and 7-3 also have the same configuration as the ISP network 7-1.

観測プローブ装置1−1〜1−3は、ルータ3−1〜3−3と接続し、ルータ3−1〜3−3を介して中継される通信パケットを全て取得し、後述する各種処理を行なうものである。   The observation probe devices 1-1 to 1-3 connect to the routers 3-1 to 3-3, acquire all communication packets relayed through the routers 3-1 to 3-3, and perform various processes described later. To do.

図2は、第1の実施形態の観測プローブ装置1(1−1〜1−3)の内部構成を示す機能ブロック図である。   FIG. 2 is a functional block diagram illustrating an internal configuration of the observation probe device 1 (1-1 to 1-3) according to the first embodiment.

図2において、観測プローブ装置1は、パケット取得機能部101、パケット情報保持機能部102、統計対象選定機能部103、統計機能部104、マネージャ送受信機能部105、パケット通過検出機能部106、ログモード切替機能部107、パケット通過ログ出力機能部108、フィルタ信号送信機能部109、Hashダイジェストテーブル110、統計対象設定テーブル111、を少なくとも有する。   In FIG. 2, the observation probe apparatus 1 includes a packet acquisition function unit 101, a packet information holding function unit 102, a statistical object selection function unit 103, a statistical function unit 104, a manager transmission / reception function unit 105, a packet passage detection function unit 106, a log mode. It has at least a switching function unit 107, a packet passing log output function unit 108, a filter signal transmission function unit 109, a Hash digest table 110, and a statistical object setting table 111.

また、観測プローブ装置1は、拡張記憶領域112と接続している。この拡張記憶領域112は、観測プローブ装置1内に設けられていてもよいし、又は外部に設けられていてもよい。   The observation probe device 1 is connected to the extended storage area 112. The extended storage area 112 may be provided in the observation probe apparatus 1 or may be provided outside.

パケット取得機能部101は、ルータ3が中継する全ての通信パケットを捕捉し、捕捉した通信パケットを、後述する機能部に与えるものである。   The packet acquisition function unit 101 captures all communication packets relayed by the router 3 and supplies the captured communication packets to a function unit described later.

パケット情報保持機能部102は、パケット取得機能部101が通信パケットを取得すると、その通信パケットのパケット情報を保持するものである。   The packet information holding function unit 102 holds packet information of a communication packet when the packet acquisition function unit 101 acquires the communication packet.

パケット情報の保持方法は、種々の方法を適用することができるが、第1の実施形態では、パケット情報保持機能部102が、通信パケットのヘッダ情報に対してHash関数を用いてHash化し、そのHash値をアドレスとするダイジェストテーブル110を用意し、そのアドレス(Hash値)の示す値にフラグ(例えば「1」)を立てるようにする。   Various methods can be applied to the packet information holding method. In the first embodiment, the packet information holding function unit 102 hashes the header information of the communication packet by using the Hash function. A digest table 110 having a Hash value as an address is prepared, and a flag (for example, “1”) is set to the value indicated by the address (Hash value).

ここで、第1の実施形態では、Hash化の際、送信元IPアドレス、送信元ポート等のパラメータを元として、ほぼ同一サイズとなるように、通信パケットのヘッダ情報をN分割(Nは2以上の整数)し、分割したものに対してHash関数を用いて変換するようにする。このとき、各分割したものに対して、それぞれ異なるHash関数(つまり、1個のパケットに複数のHash関数)を用いて変換してもよいし、又は1個のHash関数を用いて変換してもよい。   Here, in the first embodiment, the header information of the communication packet is divided into N parts (N is 2) so that the sizes are almost the same based on parameters such as the transmission source IP address and the transmission source port at the time of Hashing. Then, the divided data are converted using the Hash function. At this time, each divided part may be converted using different Hash functions (that is, a plurality of Hash functions for one packet), or may be converted using one Hash function. Also good.

統計対象選定機能部103は、統計対象設定テーブル111を参照しながら、通信トラフィックの統計をとるための統計対象情報を選定するものである。統計対象選定機能部103は、1種類の統計対象情報だけでなく、複数種類の統計対象情報を選定するようにしてもよい。   The statistical target selection function unit 103 selects statistical target information for taking statistics of communication traffic while referring to the statistical target setting table 111. The statistical target selection function unit 103 may select not only one type of statistical target information but also a plurality of types of statistical target information.

ここで、統計対象設定テーブル111における統計対象情報の種別としては、例えば、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、プロトコルID、の5種類とする。そして、例えば、「プロトコルID」の項目例を挙げて説明すると、「プロトコルID」には、例えば、「TCP/IP」ならば、IPv4を示す「0x0800」、ARPを示す「0x0806」等が設定されている。   Here, the types of statistical target information in the statistical target setting table 111 are, for example, five types: a transmission source IP address, a transmission source port number, a transmission destination IP address, a transmission destination port number, and a protocol ID. For example, to explain with an item example of “protocol ID”, for example, “0x0800” indicating IPv4, “0x0806” indicating ARP, etc. are set in “protocol ID” if “TCP / IP”. Has been.

統計機能部104は、統計対象選定機能部103により選定された統計対象情報に該当する通信パケットの個数やサイズを集計し、トラフィックフローの統計情報(以下、トラフィック統計情報ともいう)を求めるものである。統計機能部104は、集計したトラフィックフローの統計情報を所定時間間隔毎にマネージャ装置2に送信させるものである。   The statistical function unit 104 aggregates the number and size of communication packets corresponding to the statistical target information selected by the statistical target selection function unit 103 to obtain traffic flow statistical information (hereinafter also referred to as traffic statistical information). is there. The statistical function unit 104 transmits the aggregated traffic flow statistical information to the manager device 2 at predetermined time intervals.

マネージャ送受信機能部105は、マネージャ装置2との間で、情報を授受するものである。   The manager transmission / reception function unit 105 exchanges information with the manager device 2.

パケット通過検出機能部106は、マネージャ装置2から対象パケットの通過問い合わせを受けると、Hashダイジェストテーブル110を参照し、その対象の通信パケットの通過の有無を検索するものである。また、パケット通過検出機能部106は、対象パケットの通過の有無をマネージャ装置2に通知させるものである。   When receiving an inquiry about the target packet from the manager device 2, the packet passage detection function unit 106 refers to the Hash digest table 110 and searches for the presence or absence of the passage of the target communication packet. The packet passage detection function unit 106 notifies the manager device 2 of whether or not the target packet has passed.

ここで、パケット通過の有無の検索方法として、問い合わせ情報から対象パケットを特定する情報を抜き出し、ダイジェストテーブル110に保持するときと同様の条件で、対象パケットの特定情報をN分割して、Hash化する。そして、N個のHash値をアドレスとして、その指し示す値の全てにフラグ(例えば「1」)が立っていれば、当該対象パケットの通過を検出するものとする。   Here, as a method of searching for the presence / absence of packet passage, information for identifying the target packet is extracted from the inquiry information, and the target packet identification information is divided into N parts under the same conditions as when the information is stored in the digest table 110, and is converted to Hash. To do. Then, when N Hash values are used as addresses and a flag (for example, “1”) is set for all of the indicated values, the passage of the target packet is detected.

ログモード切替機能部107は、パケット通過検出機能部106により対象パケットが検出されたとき(すなわち攻撃パケットの発生を検知したとき)、拡張記憶領域112へのログモードをOnに切り替え、その後、マネージャ装置2からの通知を受けると(すなわち攻撃が解除又は収束したとき)、ログモードをOffに切り替えるものである。   The log mode switching function unit 107 switches the log mode to the extended storage area 112 to On when the target packet is detected by the packet passage detection function unit 106 (that is, when the occurrence of an attack packet is detected), and then the manager When the notification from the device 2 is received (that is, when the attack is released or converges), the log mode is switched to Off.

パケット通過ログ出力機能部108は、拡張記憶領域112へのログモードがOnのときに、パケット通過履歴を拡張記憶領域112に記録するものである。このとき、パケット情報保持機能部10は、通常の場合と同様に、Hashダイジェストテーブル102にパケット通過履歴の記録を行なうようにする。   The packet passage log output function unit 108 records the packet passage history in the extended storage area 112 when the log mode to the extended storage area 112 is On. At this time, the packet information holding function unit 10 records the packet passage history in the Hash digest table 102 as in the normal case.

フィルタ信号送信機能部109は、マネージャ装置2からフィルタ命令を受けると、自装置1が接続しているルータ3に対してフィルタ信号を与えるものである。これにより、フィルタ対象の攻撃パケットの流入を抑制させることができる。   When receiving a filter command from the manager device 2, the filter signal transmission function unit 109 gives a filter signal to the router 3 to which the device 1 is connected. Thereby, inflow of attack packets to be filtered can be suppressed.

マネージャ装置2は、同一のISPネットワーク7上の観測プローブ装置1からトライフィックの統計情報を集計すると共に、他システム8からセキュリティログ情報を取得して、攻撃パケットを検知するものである。また、マネージャ装置2は、同一のISPネットワーク7上の観測プローブ装置1に対して、後述する各種処理を行なうものである。   The manager device 2 aggregates the statistical information of traffic from the observation probe device 1 on the same ISP network 7 and acquires security log information from the other system 8 to detect an attack packet. The manager device 2 performs various processes to be described later on the observation probe device 1 on the same ISP network 7.

図3は、マネージャ装置2の内部構成を示す機能ブロック図である。図3において、マネージャ装置2は、パケット通過問合わせ機能部201、統計要求機能部202、フィルタ命令機能部203、侵入口判別機能部204、トラフィック異常検知機能部205、統計対象設定機能部206、セキュリティ攻撃検知機能部207、を少なくとも有する。   FIG. 3 is a functional block diagram showing the internal configuration of the manager device 2. In FIG. 3, the manager device 2 includes a packet passage inquiry function unit 201, a statistics request function unit 202, a filter command function unit 203, an intrusion discrimination function unit 204, a traffic abnormality detection function unit 205, a statistical object setting function unit 206, A security attack detection function unit 207.

セキュリティ攻撃検知機能部207は、他システム8が管理するセキュリティログ情報を取得し、取得したセキュリティログ情報を参照して、保護対象ホスト装置4−1〜4−3に対して攻撃する攻撃パケット情報を検知するものである。   The security attack detection function unit 207 acquires security log information managed by the other system 8, refers to the acquired security log information, and attacks packet information that attacks the protection target host devices 4-1 to 4-3. Is detected.

ここで、他システム8とは、ISPネットワーク7上のセキュリティ管理を行なうシステムであり、例えば、所定の処理を行なうサーバ、IDS、ファイアウォール等が該当する。また、他システム8のセキュリティログ情報とは、例えば、サーバが実行するアプリケーション処理のログであるサーバログ情報、IDSのIDSログ情報、ファイアウォールのファイアウォールログ情報等が該当する。   Here, the other system 8 is a system that performs security management on the ISP network 7, and corresponds to, for example, a server that performs predetermined processing, an IDS, a firewall, and the like. Further, the security log information of the other system 8 corresponds to, for example, server log information that is a log of application processing executed by the server, IDS log information of IDS, firewall log information of a firewall, and the like.

また、他システム8からセキュリティログ情報を取得するタイミングは、リアルタイム性があることが望ましく、例えば、常時又は数秒間隔で取得するようにする。   Moreover, it is desirable that the timing for acquiring the security log information from the other system 8 is real-time, and for example, it is acquired constantly or at intervals of several seconds.

パケット通過問合せ機能部201は、保護対象ホスト装置4−1〜4−3に攻撃する攻撃パケット情報を検知したとき、ISPネットワーク7上の全ての観測プローブ装置1−1〜1−3に対し、攻撃パケットの通過の有無の問い合わせをさせるものである。   When the packet passing inquiry function unit 201 detects attack packet information that attacks the protection target host devices 4-1 to 4-3, It makes an inquiry about whether or not an attack packet has passed.

まず、後述するトラフィック異常検知機能部205がトラフィック異常を検知すると、異常が起こった統計情報に基づいて攻撃パケットの情報を特定する。   First, when a traffic abnormality detection function unit 205, which will be described later, detects a traffic abnormality, it identifies attack packet information based on statistical information in which the abnormality has occurred.

例えば、異常が起こったときの、送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、プロトコルIDに基づいて、攻撃パケット情報として特定する。   For example, the attack packet information is specified based on the transmission destination IP address, transmission destination port number, transmission source IP address, transmission source port number, and protocol ID when an abnormality occurs.

そして、パケット通過問合せ機能部201は、この攻撃パケット情報を含む情報を各観測プローブ装置1に送信して問い合わせさせる。なお、問い合わせの際、5要素の情報(送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、プロトコルID)の全ての情報でなく、一部の情報を問い合わせ情報としてもよい。   Then, the packet passage inquiry function unit 201 transmits information including the attack packet information to each observation probe device 1 to make an inquiry. When making an inquiry, not all of the five elements of information (transmission destination IP address, transmission destination port number, transmission source IP address, transmission source port number, protocol ID) but some information may be used as inquiry information. Good.

統計要求機能部202は、ISPネットワーク7上の全ての観測プローブ装置1−1〜1−3に対して、通信トラフィックの統計情報の送信を要求するものである。ここで、統計要求機能部202は、各観測プローブ装置1−1〜1−3に対して、トラフィック統計情報の観測時間の指示を行なう。観測時間は、トラフィック統計をする統計時間であり、第1の実施形態では、m秒間隔毎に統計することを指示する。   The statistical request function unit 202 requests all the observation probe apparatuses 1-1 to 1-3 on the ISP network 7 to transmit communication traffic statistical information. Here, the statistics request function unit 202 instructs each observation probe apparatus 1-1 to 1-3 of the observation time of the traffic statistics information. The observation time is a statistical time for performing traffic statistics. In the first embodiment, the observation time is instructed to perform statistics every m seconds.

トラフィック異常検知機能部205は、全ての観測プローブ装置1−1〜1−3から取得したトラフィック統計情報を更に集約し、トラフィック統計情報に基づいてトラフィック異常を検知するものである。   The traffic abnormality detection function unit 205 further aggregates the traffic statistical information acquired from all the observation probe devices 1-1 to 1-3, and detects a traffic abnormality based on the traffic statistical information.

ここで、通信トラフィックの統計情報の集約の仕方としては、例えば、送信先別、送信元別、プロトコル別、単位時間別(例えば、1分毎、1時間毎、1日毎等)、これらの種別を複数組み合わせた方法等、種々の観点から集約した多種類の方法を適用することができる。   Here, as a method of collecting statistical information of communication traffic, for example, by destination, by source, by protocol, by unit time (for example, every minute, every hour, every day, etc.), these types Various methods aggregated from various viewpoints, such as a method of combining a plurality of methods, can be applied.

また、トラフィック異常の検知方法としては、急激なトラフィック変化を検知するため、例えば、所定時間当たりのトラフィック統計情報の集約結果が所定の閾値を超えた場合をトラフィック異常とする方法がある。   In addition, as a method for detecting traffic abnormality, there is a method of detecting traffic abnormality when, for example, the aggregation result of traffic statistical information per predetermined time exceeds a predetermined threshold in order to detect a sudden change in traffic.

侵入口判別機能部204は、攻撃発生の際に、各観測プローブ装置1−1〜1−3から通知された対象パケットの通過の有無情報を統括し、統括した情報に基づいて、対象パケットがISPネットワーク7に侵入してきた侵入口を判断するものである。   The intrusion detection function unit 204 manages the presence / absence information on the passage of the target packet notified from each of the observation probe devices 1-1 to 1-3 when an attack occurs, and the target packet is determined based on the integrated information. The entry point that has entered the ISP network 7 is determined.

ここで、侵入口の判別方法の詳細については動作の項で説明するが、例えば、各観測プローブ装置1からの対象パケットの通過情報より、対象パケットの通過個数を観測プローブ装置1毎に求め、その結果に基づいて対象パケットを通過した観測プローブ装置1を判断する。そして、その対象パケットを通過した観測プローブ装置1が接続するルータ3を、当該対象パケットの侵入口と判断する。   Here, the details of the method of determining the entry port will be described in the operation section. For example, the number of passing of the target packet is obtained for each observation probe device 1 from the passing information of the target packet from each observation probe device 1, Based on the result, the observation probe device 1 that has passed the target packet is determined. Then, the router 3 to which the observation probe device 1 that has passed the target packet is connected is determined as the entry port of the target packet.

フィルタ命令機能部203は、攻撃パケットの侵入抑制を指示するフィルタ信号を、観測プローブ装置1に対して送信するものである。   The filter command function unit 203 transmits a filter signal for instructing suppression of intrusion of attack packets to the observation probe apparatus 1.

統計対象設定機能部206は、各観測プローブ装置1−1〜1−3の統計対象設定テーブル111を一元管理し、統計対象設定テーブル111の内容を編集指示や更新指示をするものである。これにより、各観測プローブ装置1−1〜1−3の統計対象の内容の編集・更新を遠隔操作することができる。つまり、攻撃状況を調べるために、攻撃にあわせて統計対象の内容を変えることができる。   The statistical object setting function unit 206 centrally manages the statistical object setting table 111 of each observation probe apparatus 1-1 to 1-3, and issues an instruction to edit or update the contents of the statistical object setting table 111. Thereby, the edit / update of the content of the statistics object of each observation probe apparatus 1-1 to 1-3 can be remotely operated. In other words, in order to investigate the attack status, the contents of the statistical object can be changed according to the attack.

(A−2)第1の実施形態の動作
次に、第1の実施形態のトラフィック異常検出処理の動作を図面を参照しながら説明する。 (A-2) Operation of the First Embodiment Next, the operation of the traffic abnormality detection process of the first embodiment will be described with reference to the drawings.

第1の実施形態のトラフィック異常検出処理の全体動作の概略を説明する。   The outline of the overall operation of the traffic abnormality detection process of the first embodiment will be described.

まず、ISPネットワーク7−1上の観測プローブ装置1−1〜1−3が、それぞれ接続するボーダルータ3−1〜3−3を通過する全ての通信パケットを取り込み、トラフィック統計情報を求める。そして、各観測プローブ装置1−1〜1−3は、トラフィック統計情報を所定時間毎にマネージャ装置2に送信する。   First, the observation probe devices 1-1 to 1-3 on the ISP network 7-1 fetch all communication packets that pass through the connected border routers 3-1 to 3-3, and obtain traffic statistical information. And each observation probe apparatus 1-1 to 1-3 transmits traffic statistical information to the manager apparatus 2 for every predetermined time.

マネージャ装置2は、保護対象ホスト装置4−1〜4−3に対して、外部ネットワークから攻撃を受けた場合、その攻撃パケットのパケット情報を全観測プローブ装置1−1〜1−3に送信する。   When the manager device 2 receives an attack from the external network on the protection target host devices 4-1 to 4-3, the manager device 2 transmits packet information of the attack packets to all the observation probe devices 1-1 to 1-3. .

そして、観測プローブ装置1−1〜1−3は、パケット通過検出機能部106により、対象パケットのパケット情報に基づいて、Hashダイジェストテーブル110から対象パケットの通過の有無を検出して、その結果をマネージャ装置2に返信する。   Then, the observation probe devices 1-1 to 1-3 detect the presence / absence of the passage of the target packet from the hash digest table 110 based on the packet information of the target packet by the packet passage detection function unit 106, and obtain the result. A reply is sent to the manager device 2.

これを受けて、マネージャ装置2は、攻撃パケットが侵入してきた侵入口を判断し、フィルタ命令を行なう。   In response to this, the manager device 2 determines the entry port through which the attack packet has entered, and issues a filter command.

続いて、観測プローブ装置1における処理の詳細を図面を参照して説明する。図4は、観測プローブ装置1における動作フローを説明する説明図である。   Next, details of processing in the observation probe apparatus 1 will be described with reference to the drawings. FIG. 4 is an explanatory diagram for explaining an operation flow in the observation probe apparatus 1.

図4において、まず、観測プローブ装置1のパケット取得機能部101は、トラフィック監視用ポート113を介して、外部ネットワークとISPネットワーク7との間を通過する通信パケットを全て取り込む(F1)。   In FIG. 4, first, the packet acquisition function unit 101 of the observation probe apparatus 1 captures all communication packets passing between the external network and the ISP network 7 via the traffic monitoring port 113 (F1).

パケット取得機能部101により取得された通信パケットは、パケット情報保持機能部102に与えられ(F2)、パケット情報保持機能部102によりHash化されて、通信履歴としてHashダイジェストテーブル110に保持される(F3)。   The communication packet acquired by the packet acquisition function unit 101 is given to the packet information holding function unit 102 (F2), is hashed by the packet information holding function unit 102, and is held in the Hash digest table 110 as a communication history ( F3).

ここで、図5及び図6を参照して、パケット情報保持機能部102による処理を説明する。   Here, processing performed by the packet information holding function unit 102 will be described with reference to FIGS. 5 and 6.

まず、パケット情報保持機能部102は、例えば、送信元IPアドレス、送信元ポート等のヘッダ構成要素毎に、通信パケットのIPヘッダをN分割する(S1)。このとき、分割サイズをほぼ同サイズとなるように分割する。   First, the packet information holding function unit 102 divides the IP header of a communication packet into N parts for each header component such as a transmission source IP address and a transmission source port (S1). At this time, it divides | segments so that a division | segmentation size may become substantially the same size.

そして、パケット情報保持機能部102は、Hash関数を用いて、分割した各パケットヘッダをHash変換し(S2)、これにより得られた各Hash値をアドレスとするHashダイジェストテーブル110をメモリ上に準備し(S3)、各アドレスの示す値にフラグ(例えば「1」)を立てる(S4)。これにより、保持容量を低減させながら、当該通信パケットのパケット情報を保持することができる。   Then, the packet information holding function unit 102 uses the Hash function to Hash-convert each divided packet header (S2), and prepares a Hash digest table 110 having each Hash value obtained as an address in the memory. Then, a flag (for example, “1”) is set to the value indicated by each address (S4). Thereby, the packet information of the communication packet can be held while the holding capacity is reduced.

図4に戻り、説明を続ける。観測プローブ装置1において、統計対象選定機能部103は、統計対象設定テーブル111を参照して、トラフィック統計情報の統計対象を選定する(F5)。   Returning to FIG. 4, the description will be continued. In the observation probe apparatus 1, the statistical object selection function unit 103 refers to the statistical object setting table 111 and selects the statistical object of the traffic statistical information (F5).

そして、パケット取得機能部101により通信パケットが取得されると(F4)、統計機能部104は、統計対象選定機能部103により選定されたトラフィック統計情報の統計対象であるパケットについて(F6)、パケット数及び又はサイズを集計し、その集計結果をマネージャ送受信機能部105に与える(F7)。集計結果は、マネージャ送受信機能部105からマネージャ装置2に送信される(F8)。   When the communication packet is acquired by the packet acquisition function unit 101 (F4), the statistical function unit 104 determines the packet that is the statistical target of the traffic statistical information selected by the statistical target selection function unit 103 (F6). The number and / or size are totaled, and the totaled result is given to the manager transmission / reception function unit 105 (F7). The count result is transmitted from the manager transmission / reception function unit 105 to the manager device 2 (F8).

ここで、統計機能部104による統計処理の例を説明する。例えば、統計機能部104は、図10に示すように、5種類のパケット特徴データ項目でグルーピングする。すなわち、図10では、「送信元IPアドレス」、「送信先IPアドレス」、「送信元ポート番号」、「送信先ポート番号」、「プロトコルID」を特徴データ項目としてグルーピングする。   Here, an example of statistical processing by the statistical function unit 104 will be described. For example, the statistical function unit 104 performs grouping with five types of packet feature data items as shown in FIG. That is, in FIG. 10, “transmission source IP address”, “transmission destination IP address”, “transmission source port number”, “transmission destination port number”, and “protocol ID” are grouped as feature data items.

そして、統計機能部104は、グルーピングしたパケット特徴データ種類のデータをソーティングし、同じパケット特徴データ種類のデータをカウントする。また、統計機能部104は、パケット特徴データ種類のデータをカウントが多い順に並べ替えたり、同じパケット特徴データ種類のデータサイズを通算したり、パケット特徴データ種類のデータをサイズが多い順に並べ替えたりする。   Then, the statistical function unit 104 sorts the grouped packet feature data type data and counts the same packet feature data type data. In addition, the statistical function unit 104 rearranges the packet feature data types in the descending order of the counts, adds the data sizes of the same packet feature data types, sorts the packet feature data type data in the descending order of the sizes, and so on. To do.

続いて、マネージャ装置2から対象パケットの通過履歴の有無の問い合わせがあった場合の動作を説明する。   Next, the operation when the manager device 2 inquires about the presence / absence of the passage history of the target packet will be described.

図4において、対象パケットの通過履歴の有無の問い合わせが、マネージャ装置2からマネージャ送受信機能部105に与えられると(F9)、受信された問い合わせ情報が、パケット通過検出機能部106に与えられる(F10)。   In FIG. 4, when an inquiry about the presence / absence of the passage history of the target packet is given from the manager device 2 to the manager transmission / reception function unit 105 (F9), the received inquiry information is given to the packet passage detection function unit 106 (F10). ).

パケット通過検出機能部106では、Hashダイジェストテーブル110を参照しながら(F11)、問い合わせ情報に一致するパケットの通過の有無を検索し、その結果をマネージャ装置2に向けて返信する(F10、F8)。   The packet passage detection function unit 106 searches for the presence or absence of passage of a packet that matches the inquiry information while referring to the Hash digest table 110 (F11), and returns the result to the manager device 2 (F10, F8). .

ここで、パケット通過検出機能部106における処理を図7を参照しながら説明する。   Here, processing in the packet passage detection function unit 106 will be described with reference to FIG.

図7において、まず、パケット通過検出機能部106は、対象パケットのパケット情報を含む問い合わせ情報をN分割し(S11)、Hash関数を用いて、分割した各情報をHash変換する(S12)。このとき、分割方法及びHash化条件は、パケット情報保持機能部102がHashダイジェストテーブル110にパケット情報を保持する際と同様の分割方法及びHash化条件とする。   In FIG. 7, first, the packet passage detection function unit 106 divides the inquiry information including the packet information of the target packet into N (S11), and Hash-converts the divided pieces of information using the Hash function (S12). At this time, the division method and the Hashing condition are the same as those when the packet information holding function unit 102 holds the packet information in the Hash digest table 110.

これにより得られたHash値をアドレスとして、パケット通過検出機能部106が、Hashダイジェストテーブル110のアドレスの値を検索する(S13)。   The packet passing detection function unit 106 searches for the value of the address in the Hash digest table 110 using the Hash value thus obtained as an address (S13).

そして、パケット通過検出機能部106は、検索したアドレスの値が全て「1」である場合(S14)、「対象パケットの通過あり」と判定し(S15)、そうでない場合(S14)、「対象パケットの通過なし」と判定する(S16)。   Then, the packet passage detection function unit 106 determines that “the target packet has passed” (S15) if all the searched address values are “1” (S14), and otherwise (S14) It is determined that no packet has passed (S16).

なお、パケットのビット長を分割して短くすることにより、Hash値の衝突率を下げ、精度の高い通過確認を行なうことを目的としている。また、1つのパケットを複数のHash関数で変換する方法も有効であるが、1つの関数でパケットを短く分割することにより、Hash変換の効率化を図る。   In addition, the bit length of the packet is divided and shortened so that the collision rate of the hash value is lowered and the passage confirmation is performed with high accuracy. Although a method of converting one packet with a plurality of Hash functions is also effective, the efficiency of Hash conversion is improved by dividing the packet into short pieces with one function.

図4に戻り、攻撃パケットの発生が検出されると(F12)、ログモード切替機能部107は、拡張記憶領域112にログをするログモードをOnに切り替え(F13)、パケット情報保持機能部102によるHashダイジェストテーブル110への通信履歴の記録と共に、パケット通過ログ出力機能部108が拡張記憶領域112に通信履歴を記録する(F14)。その後、マネージャ送受信機能部105を通じて、マネージャ装置2からログモードの解除又は攻撃収束条件が与えられると、ログモード切替機能部107はログモードをOffに切り替える(F12)。   Returning to FIG. 4, when the occurrence of an attack packet is detected (F12), the log mode switching function unit 107 switches the log mode for logging to the extended storage area 112 to On (F13), and the packet information holding function unit 102 The packet passing log output function unit 108 records the communication history in the extended storage area 112 together with the recording of the communication history in the Hash digest table 110 (F14). Thereafter, when the manager mode 2 gives a log mode release or attack convergence condition through the manager transmission / reception function unit 105, the log mode switching function unit 107 switches the log mode to Off (F12).

ここで、ログモードをOn、Offにする条件について説明する。例えば、次の(a)〜(c)のいずれかに該当する場合、ログモード切替機能部106はログモードをOnにする。(a)統計機能部104による統計処理でカウントした同じパケット特徴データ種類のデータのカウントが、所定時間前(例えばt分前)と比較し、閾値以上増えている場合(b)マネージャから攻撃検知の通知を受けた場合、(c)統計機能部104による統計処理で算出したパケット特徴データ種類のデータサイズが、n分前と比較し、閾値以上増えている場合。   Here, conditions for setting the log mode to On and Off will be described. For example, when any of the following (a) to (c) is applicable, the log mode switching function unit 106 sets the log mode to On. (A) When the count of data of the same packet feature data type counted by the statistical processing by the statistical function unit 104 has increased by a threshold value or more compared to a predetermined time before (for example, t minutes before) (b) Attack detection from the manager (C) The data size of the packet feature data type calculated by the statistical processing by the statistical function unit 104 has increased by a threshold or more compared to n minutes ago.

次に、例えば、ログモード切替機能部106は、マネージャ装置から攻撃終了通知を受信した場合、又は、次の(d)、(e)のいずれかに該当する場合、ログモードをOff(変動なし)にする。(d)統計機能部104による統計処理で並べたパケット特徴データ種類のデータのカウント順位TOP10にランキングされるデータがn分前と変動していない場合、(e)統計機能部104による統計処理でカウントした同じパケット特徴データ種類のデータのカウントが、所定時間前(例えばt分前)と比較し、閾値以上増減がない場合。   Next, for example, when the log mode switching function unit 106 receives an attack end notification from the manager device, or corresponds to one of the following (d) and (e), the log mode is set to Off (no change). ). (D) When the data ranked in the count ranking TOP10 of the data of the packet feature data type arranged by the statistical processing by the statistical function unit 104 has not changed from n minutes ago, (e) the statistical processing by the statistical function unit 104 The count of data of the same packet characteristic data type counted does not increase or decrease by more than a threshold value compared with a predetermined time before (for example, t minutes before).

また、マネージャ装置2からフィルタ設定信号がマネージャ送受信機能部105に与えられると(F9)、フィルタ設定送信機能部109にフィルタ設定信号を与え(F15)、フィルタ信号送信機能部109が、ボーダルータ3に対して、フィルタ設定信号を送信する(F16)。   When a filter setting signal is given from the manager device 2 to the manager transmission / reception function unit 105 (F9), a filter setting signal is given to the filter setting transmission function unit 109 (F15), and the filter signal transmission function unit 109 is connected to the border router 3 In response to this, a filter setting signal is transmitted (F16).

次に、マネージャ装置2における処理の詳細を図面を参照して説明する。図8は、マネージャ装置2における動作フローを説明する説明図である。   Next, details of processing in the manager device 2 will be described with reference to the drawings. FIG. 8 is an explanatory diagram for explaining an operation flow in the manager device 2.

マネージャ装置2のセキュリティ攻撃検知機能部207は、例えば、サーバログ、IDSログ、ファイアウォールログ等のセキュリティログ情報を他システム8から取り込み、これらセキュリティログ情報に基づいて、保護対象ホスト装置4に対する攻撃パケット情報を検知する(F17)。   The security attack detection function unit 207 of the manager device 2 fetches security log information such as a server log, IDS log, and firewall log from the other system 8, for example, and based on these security log information, attack packets against the protection target host device 4 Information is detected (F17).

その結果、保護対象ホスト装置4に対する攻撃パケットが検出されると、セキュリティ攻撃検知機能部207は、パケット通過問合せ機能部201に対し、攻撃パケットのパケット情報を通知する(F18)。   As a result, when an attack packet against the protection target host device 4 is detected, the security attack detection function unit 207 notifies the packet passage inquiry function unit 201 of the packet information of the attack packet (F18).

そして、パケット通過問合せ機能部201は、ISPネットワーク7上の全ての観測プローブ装置1に対して、当該対象パケットの通過履歴の有無を問い合わせる(F19)。   Then, the packet passage inquiry function unit 201 inquires of all the observation probe devices 1 on the ISP network 7 whether or not there is a passage history of the target packet (F19).

これにより、各観測プローブ装置1では、図4のF9〜F11等で説明した対象パケットの通過履歴の有無を検索が行なわれ、その結果が、各観測プローブ装置1からマネージャ装置2のパケット通過問合せ機能部201に返信される。   As a result, each observation probe apparatus 1 searches for the presence history of the target packet described in F9 to F11 in FIG. 4 and the like, and the result is sent from each observation probe apparatus 1 to the packet transmission inquiry of the manager apparatus 2. It is returned to the function unit 201.

そうすると、侵入口判別機能部204は、各観測プローブ装置1から返信されてきた通過履歴の有無の情報を統括的に集計し、その統括集計結果に基づいて、攻撃パケットの侵入口を判断する(F20)。   Then, the intrusion port discrimination function unit 204 comprehensively counts information on the presence / absence of passage histories returned from each observation probe device 1, and determines the intrusion port of the attack packet based on the totalization result ( F20).

ここで、侵入口判別機能部204における侵入口判別処理の例を図9を参照して説明する。   Here, an example of the entrance determination process in the entrance determination function unit 204 will be described with reference to FIG.

図9において、侵入口判別機能部204は、対象パケットの通過履歴の有無の情報を各観測プローブ装置1から受け取ると、各観測プローブ装置1で通過ありとした対象パケットの数を、各観測プローブ装置1毎に求める(S31)。   In FIG. 9, when the entrance detection function unit 204 receives information about the presence / absence of the passage history of the target packet from each observation probe device 1, the intrusion port determination function unit 204 determines the number of target packets that have passed through each observation probe device 1. It calculates | requires for every apparatus 1 (S31).

例えば、セキュリティ攻撃検知機能部207が検出した攻撃パケットの数がw個であり、例えばz台の観測プローブ装置P1、P2、…、Pzから、通過履歴の有無の情報を受け取ったものとする。この場合、侵入口判別機能部204は、例えば、観測プローブP1で通過ありとしたパケット数は2個、観測プローブP2で通過ありとしたパケット数は4個、観測プローブP3で通過ありとしたパケット数は0個、…、観測プローブPzで通過ありとしたパケット数は5個というように求める。   For example, it is assumed that the number of attack packets detected by the security attack detection function unit 207 is w, and information on the presence / absence of passage history is received from, for example, z observation probe devices P1, P2,. In this case, for example, the intrusion detection function unit 204 determines that the number of packets passed by the observation probe P1 is 2, the number of packets passed by the observation probe P2, and the number of packets passed by the observation probe P3. The number is 0,..., The number of packets that are passed by the observation probe Pz is 5 and so on.

次に、侵入口判別機能部204は、対象パケットの通過比率を各観測プローブ装置1毎に求め(S32)、所定の通過比率以上である場合(S33)、その観測プローブ装置1が観測するボーダルータ3が侵入口であると判断し(S34)、そうでない場合、侵入口でないと判断する(S35)。   Next, the entrance determination function unit 204 obtains the passing rate of the target packet for each observation probe device 1 (S32), and when it is equal to or higher than the predetermined passing rate (S33), the border that the observation probe device 1 observes. It is determined that the router 3 is an entry point (S34). Otherwise, it is determined that the router 3 is not an entry point (S35).

例えば、上記の例の場合、観測プローブ装置P1での通過利率は2/w、観測プローブ装置P2での通過比率は4/w、観測プローブ装置P3での通過比率は0/w、…、観測プローブ装置Pzでの通過比率は5/wとなる。そして、例えば通過比率が20%以上である場合、攻撃パケットの侵入口である可能性が高いと判断し、この場合、観測プローブP3は、通過履歴が0なので、侵入口ではないと判断する。   For example, in the case of the above example, the passing interest rate at the observation probe apparatus P1 is 2 / w, the passing ratio at the observation probe apparatus P2 is 4 / w, the passing ratio at the observation probe apparatus P3 is 0 / w,. The passing ratio at the probe device Pz is 5 / w. For example, if the passage ratio is 20% or more, it is determined that there is a high possibility of being an intrusion port for attack packets, and in this case, the observation probe P3 determines that it is not an intrusion port because the passage history is 0.

なお、攻撃パケットの通過比率が低い場合、実運用ではそれが攻撃であるか、偶然パケットのハッシュ値が衝突した非攻撃ではあるかは、過去の実績から、統計的かつ経験的に判断されるべきものである。例えば、上記事例では、攻撃パケットの95%は、観測プローブ装置P1、P2、Pzを接続したボーダルータを経由してISPネットワーク7内に侵入したと判断し、DDoS攻撃を受けていると判断する。   If the attack packet passage ratio is low, whether it is an attack in actual operation or a non-attack where the hash value of a packet accidentally collided is determined statistically and empirically from past results. It should be. For example, in the above case, it is determined that 95% of the attack packets have entered the ISP network 7 via the border router to which the observation probe devices P1, P2, and Pz are connected, and are determined to have been subjected to the DDoS attack. .

図8に戻り、統計要求機能部202は、各観測プローブ装置1の統計機能部104に対し、例えばm秒間毎にパケット数とトラフィック量を観測するようトラフィック統計要求を行なう(F21)。これを受けて、各観測プローブ装置1は、トラフィック統計要求しに従って集計したトラフィック統計情報を、マネージャ装置2に送信する。   Returning to FIG. 8, the statistics request function unit 202 makes a traffic statistics request to the statistics function unit 104 of each observation probe apparatus 1 so as to observe the number of packets and the traffic amount every m seconds, for example (F21). In response to this, each observation probe device 1 transmits the traffic statistical information aggregated according to the traffic statistics request to the manager device 2.

なお、統計対象設定機能部206は、各観測プローブ装置1の統計対象設定テーブル111の内容を、遠隔操作により編集・更新指示を行なう(F25)。これにより、この統計対象設定テーブル111に従って、観測プローブ装置1の統計機能部104は動作することができる。   The statistical object setting function unit 206 instructs to edit / update the contents of the statistical object setting table 111 of each observation probe apparatus 1 by remote control (F25). Thereby, the statistical function unit 104 of the observation probe apparatus 1 can operate according to the statistical object setting table 111.

トラフィック異常検知機能部205では、各観測プローブ装置1におけるトラフィックの統計情報を受け取り、単位時間当たりの統計情報推移を調査し、所定の閾値以上の変化を攻撃発生と判定する(F22)。   The traffic anomaly detection function unit 205 receives the statistical information of the traffic in each observation probe device 1, investigates the statistical information transition per unit time, and determines that a change equal to or greater than a predetermined threshold is the occurrence of an attack (F22).

ここで、トラフィックの統計情報の推移により攻撃を判定する方法としては、例えば、観測した単位時間当たりのパケット数が、定常時の平均パケット数の150%を超過であること、観測した単位時間あたりのトラフィックが同じ曜日の同じ時間帯より20%以上増加であること、特定IPアドレス・ポートを送信先としたパケット数の増加率が15%以上であること、等がある。なお、ここで挙げた例のいずれか1つを判断基準としてもよいし、又は、これらの例の複数若しくは全てを判断基準としてもよい。   Here, as a method for determining an attack based on the transition of traffic statistical information, for example, the observed number of packets per unit time exceeds 150% of the average number of packets in a steady state, Traffic is increased by 20% or more from the same time zone on the same day of the week, and the rate of increase in the number of packets destined for a specific IP address / port is 15% or more. In addition, any one of the examples given here may be used as a criterion, or a plurality or all of these examples may be used as a criterion.

トラフィック異常検知機能部205により攻撃発生が判定された場合(F23)、フィルタ命令機能部203が、侵入口のボーダルータ3と接続する観測プローブ装置1のフィルタ信号送信機能部105に対し、ボーダルータ3で攻撃パケットをフィルタリングすることを示すフィルタ設定信号を送信する(F24)。   When the occurrence of an attack is determined by the traffic anomaly detection function unit 205 (F23), the filter command function unit 203 sends a border router to the filter signal transmission function unit 105 of the observation probe device 1 connected to the border router 3 at the entrance. 3 transmits a filter setting signal indicating filtering of attack packets (F24).

(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、マネージャ装置2が、トラフィックフローの統計情報の推移により異常を検知し、直ちに、侵入口のボーダルータ3に対して、フィルタ指示を行なうことで、攻撃パケットのISPネットワーク7への流入を防ぐことができる。 (A-3) Effect of First Embodiment As described above, according to the first embodiment, the manager device 2 detects an abnormality based on the transition of the statistical information of the traffic flow, and immediately enters the border of the intrusion port. By issuing a filter instruction to the router 3, it is possible to prevent an attack packet from flowing into the ISP network 7.

また、第1の実施形態によれば、観測プローブ装置1が、フィルタ信号をルータに送信することとしたので、即時に攻撃に対する対処を実施できる。   Further, according to the first embodiment, since the observation probe device 1 transmits the filter signal to the router, it is possible to immediately cope with the attack.

さらに、第1の実施形態によれば、マネージャ装置2が、異常を引き起こすとみなす対象パケットの通過の有無を、各観測プローブ装置1に対して問合せができるので、例えば、送信元アドレスが偽装されている場合でも、攻撃パケットの侵入口を特定できるので、適切なフィルタリングができる。   Furthermore, according to the first embodiment, the manager device 2 can query each observation probe device 1 as to whether or not the target packet that is considered to cause an abnormality has passed. Even if it is, the entry point of the attack packet can be specified, so that appropriate filtering can be performed.

さらにまた、第1の実施形態によれば、観測プローブ装置1が、ログモード切替機能部107及びパケット通過ログ出力機能部108を備えることにより、ダイジェストテーブル110でカバー可能な観測時間を超える長時間にわたり攻撃が行なわれた場合でも、パケット通過履歴を保持できるので、攻撃の証跡が確保できない課題を回避し、モード切替により、リソースの過剰使用を避ける効果もある。   Furthermore, according to the first embodiment, the observation probe apparatus 1 includes the log mode switching function unit 107 and the packet passing log output function unit 108, so that the observation probe apparatus 1 is longer than the observation time that can be covered by the digest table 110. Even when an attack is performed over a long period of time, the packet passage history can be maintained, so that it is possible to avoid the problem that the trail of the attack cannot be secured and to avoid excessive use of resources by mode switching.

(B)他の実施形態
(B−1)第1の実施形態では、観測プローブ装置のパケット情報保持機能部が、パケットをN分割し、1つのHash関数でHash化する場合を示したが、複数個のHash関数を用いてもよい。これにより、Hash値の衝突によるパケット通過誤検知率をさらに下げ、攻撃パケットの通過検知の精度向上を図ることもできる。 (B) Other Embodiments (B-1) In the first embodiment, the packet information holding function unit of the observation probe apparatus has shown the case where the packet is divided into N and Hashed by one Hash function. A plurality of Hash functions may be used. As a result, the packet passing error detection rate due to the Hash value collision can be further reduced, and the accuracy of attack packet passing detection can be improved.

(B−2)第1の実施形態において、侵入口判別機能部は、セキュリティ攻撃検知機能部207が攻撃発生を検知したときに機能する場合を例に挙げたが、トラフィック異常検知機能部が攻撃を検知した場合も機能するようにしてもよい。 (B-2) In the first embodiment, the entrance detection function unit has been described as an example in which the security attack detection function unit 207 functions when an attack occurrence is detected. It may be configured to function even when detected.

(B−3)第1の実施形態では、1つのISPネットワークで1台のマネージャ装置を備える場合を示したが、複数台のマネージャ装置を備えるようにしてもよい。この場合、複数台のマネージャ装置をさらに統括する統括管理装置を備えるようにしてもよい。 (B-3) In the first embodiment, the case where one manager device is provided with one ISP network has been described. However, a plurality of manager devices may be provided. In this case, an overall management device that further supervises a plurality of manager devices may be provided.

また、1台の観測プローブ装置が、複数のボーダルータを通過するトラフィックフローを観測するようにしてもよい。この場合、観測プローブ装置が、どのルータを通過したトラフィックフローの統計情報であるかを識別する必要がある。   In addition, one observation probe device may observe a traffic flow passing through a plurality of border routers. In this case, the observation probe device needs to identify which router the traffic flow has passed through is statistical information.

(B−4)第1の実施形態で説明した観測プローブ装置が有する各機能部は、物理的に同一の観測プローブ装置に搭載されていなくてもよい。つまり、各機能部間で連携処理を図ることができ、第1の実施形態で説明した機能を実現することができれば、各機能部は別々に分散配置されてもよい。 (B-4) The functional units included in the observation probe device described in the first embodiment may not be physically mounted on the same observation probe device. That is, as long as cooperation processing can be achieved between the functional units and the functions described in the first embodiment can be realized, the functional units may be separately distributed.

同様に、第1の実施形態のマネージャ装置が有する各機能部も、別々に分散配置されてもよい。   Similarly, each functional unit included in the manager device of the first embodiment may be separately distributed.

さらに、マネージャ装置が、観測プローブ装置の各機能部の一部又は全部を有するようにしてもよいし、観測プローブ装置が、マネージャ装置の各機能部の一部又は全部を有するようにしてもよい。   Furthermore, the manager device may have some or all of the functional units of the observation probe device, or the observation probe device may have some or all of the functional units of the manager device. .

また、ボーダルータが、観測プローブ装置の有する機能部の一部又は全部を搭載するようにしてもよいし、マネージャ装置の有する機能部の一部又は全部を搭載するようにしてもよい。さらに、ボーダルータが、観測プローブ装置の機能部の一部又は全部と、マネージャ装置の機能部の一部又は全部を搭載するようにしてもよい。   Further, the border router may be mounted with some or all of the functional units of the observation probe device, or may be mounted with some or all of the functional units of the manager device. Further, the border router may be mounted with part or all of the functional units of the observation probe device and part or all of the functional units of the manager device.

(B−5)第1の実施形態で説明した観測プローブ装置及びマネージャ装置は、ハードウェア資源(例えばCPU等)がプログラムを実行して実現するソフトウェア処理で実現できる。つまり、観測プローブ装置及びマネージャ装置の各種機能はプログラムとして格納されるものである。なお、観測プローブ装置及びマネージャ装置の処理をハードウェアで実現するようにしてもよい。 (B-5) The observation probe device and the manager device described in the first embodiment can be realized by software processing realized by a hardware resource (for example, a CPU) executing a program. That is, various functions of the observation probe device and the manager device are stored as programs. Note that the processing of the observation probe device and the manager device may be realized by hardware.

第1の実施形態のトラフィック異常検出システムの全体構成を示す構成図である。It is a lineblock diagram showing the whole traffic anomaly detection system composition of a 1st embodiment. 第1の実施形態の観測プローブ装置の内部構成を示す機能ブロック図である。It is a functional block diagram which shows the internal structure of the observation probe apparatus of 1st Embodiment. 第1の実施形態のマネージャ装置の内部構成を示す機能ブロック図である。It is a functional block diagram which shows the internal structure of the manager apparatus of 1st Embodiment. 第1の実施形態の観測プローブ装置における動作フローを示す説明図である。It is explanatory drawing which shows the operation | movement flow in the observation probe apparatus of 1st Embodiment. 第1の実施形態のパケット情報保持を説明する説明図である。It is explanatory drawing explaining packet information holding | maintenance of 1st Embodiment. 第1の実施形態のパケット情報保持処理を示すフローチャートである。It is a flowchart which shows the packet information holding process of 1st Embodiment. 第1の実施形態の対象パケットの通過履歴の有無検索処理を示すフローチャートである。It is a flowchart which shows the presence or absence search process of the passage history of the object packet of 1st Embodiment. 第1の実施形態のマネージャ装置における動作フローを示す説明図である。It is explanatory drawing which shows the operation | movement flow in the manager apparatus of 1st Embodiment. 第1の実施形態の侵入口を判断する処理を示すフローチャートである。It is a flowchart which shows the process which judges the intrusion opening of 1st Embodiment. 第1の実施形態の統計処理によるグルーピングの例を説明する説明図である。It is explanatory drawing explaining the example of the grouping by the statistical process of 1st Embodiment.

符号の説明Explanation of symbols

1(1−1〜1−3)…観測プローブ装置、101…パケット取得機能部、102…パケット情報保持機能部、103…統計対象選定機能部、104…統計機能部、105…マネージャ送受信機能部、106…パケット通過検出機能部、107…ログモード切替機能部、108…パケット通過ログ出力機能部、109…フィルタ信号送信機能部、110…Hashダイジェストテーブル、111…統計対象設定テーブル、112…拡張記憶領域、2…マネージャ装置、201…パケット通過問合わせ機能部、202…統計要求機能部、203…フィルタ命令機能部、204…侵入口判別機能部、205…トラフィック異常検知機能部、206…統計対象設定機能部、207…セキュリティ攻撃検知機能部、3−1〜3−3…ルータ、4−1〜4−3…保護対象ホスト装置、7−1〜7−3…ISPネットワーク。   DESCRIPTION OF SYMBOLS 1 (1-1 to 1-3) ... Observation probe apparatus, 101 ... Packet acquisition function part, 102 ... Packet information holding function part, 103 ... Statistical object selection function part, 104 ... Statistical function part, 105 ... Manager transmission / reception function part , 106 ... packet passage detection function unit, 107 ... log mode switching function unit, 108 ... packet passage log output function unit, 109 ... filter signal transmission function unit, 110 ... Hash digest table, 111 ... statistical object setting table, 112 ... extension Storage area, 2... Manager device, 201. Packet passing inquiry function section, 202. Statistics request function section, 203 ... Filter command function section, 204 ... Intrusion discrimination function section, 205 ... Traffic abnormality detection function section, 206 ... Statistics Target setting function unit, 207... Security attack detection function unit, 3-1 to 3-3... Router, 4-1 -3 ... protected host device, 7 - 1 to 7 - 3 ... ISP network.

Claims (8)

1又は複数の外部ネットワークから監視対象ネットワークに流入してきた攻撃パケットによる監視対象ネットワークの異常を検出するネットワーク異常検出システムにおいて、
上記監視対象ネットワークと上記各外部ネットワークとの間に設けられるものであって、上記各外部ネットワークとの間で授受される通信パケットを中継する1又は複数の中継手段と、
それぞれ対応する上記中継手段を通過する全ての通信パケットを取り込み、上記各中継手段を通過した上記各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持する1又は複数のパケット情報保持手段と、
上記攻撃パケットの流入を検出する攻撃検出手段と、
上記攻撃検出手段により上記攻撃パケットによる攻撃が検出された場合、上記攻撃パケットが上記各中継手段を通過したか否かを問い合わせるパケット通過問合せ手段と、
上記パケット通過問合せ手段から上記問い合わせを受けると、上記パケット情報保持手段の有する上記各中継手段の上記通履歴である上記ダイジェストテーブルを参照して、上記問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、上記各中継手段での上記攻撃パケットの通過を検出するパケット通過検出手段と、
上記パケット通過検出手段からの、上記各中継手段での上記攻撃パケットの通過有無の検出結果に基づいて、上記攻撃パケットの侵入口となった上記中継手段を特定する侵入口特定手段と
を備えることを特徴とするネットワーク異常検出システム。 In a network anomaly detection system for detecting an anomaly of a monitored network due to an attack packet flowing into the monitored network from one or a plurality of external networks,
One or a plurality of relay means provided between the monitored network and each external network, for relaying communication packets exchanged with each external network;
Capture all communication packets that pass through the corresponding relay means , divide the header information of each communication packet that has passed through the relay means into N (N is an integer of 2 or more), hash the divided ones, One or a plurality of packet information holding means for holding each Hash value as an address and holding as a passage history a digest table flagged for the value indicated by each address ;
Attack detection means for detecting inflow of the attack packet;
A packet passage inquiry means for inquiring whether or not the attack packet has passed through each of the relay means when an attack by the attack packet is detected by the attack detection means;
When receiving the inquiry from the packet transit inquiry unit, by referring to the digest table is the through excessive history of each relay unit having the above packet information holding means, the header information of the target packet that received the inquiry N Packet passing detection means for detecting the passage of the attack packet in each of the relay means according to whether or not the divided one is Hashed and a flag is set in a value indicating each Hash as an address ;
An intrusion port specifying unit for specifying the relay unit serving as an intrusion port for the attack packet based on a detection result of whether or not the attack packet has passed through each relay unit from the packet passage detection unit. Network anomaly detection system characterized by 上記侵入口特定手段により上記攻撃パケットの侵入口が特定されると、その侵入口の上記中継手段を通過する上記攻撃パケットの流入を抑制命令する抑制命令手段と、
上記抑制命令手段からの抑制命令を受けて、上記中継手段に対して、上記攻撃パケットの流入を抑制するフィルタを設定させるフィルタ設定手段と
を備えることを特徴とする請求項1に記載のネットワーク異常検出システム。 When the intrusion port of the attack packet is specified by the intrusion port specifying unit, a suppression command unit that instructs to suppress the inflow of the attack packet that passes through the relay unit of the intrusion port;
2. The network abnormality according to claim 1, further comprising: a filter setting unit configured to set a filter for suppressing the inflow of the attack packet to the relay unit in response to a suppression command from the suppression command unit. Detection system. 上記各パケット情報保持手段の上記通過履歴の保持とは別に、ログモードが作動中に、上記各中継手段を通過する通過履歴を記憶する拡張記憶手段と、
上記攻撃検出手段により上記攻撃パケットによる攻撃が検出された場合、上記ログモードを作動させ、上記各中継手段を通過する通過履歴を上記拡張記憶手段に記憶させる通過履歴記憶制御手段と
を備えることを特徴とする請求項1又は2に記載のネットワーク異常検出システム。 Separately from the holding of the passing history of each packet information holding means, an extended storage means for storing the passing history passing through each relay means while the log mode is operating,
A passage history storage control means for operating the log mode and storing the passage history passing through each relay means in the extended storage means when an attack by the attack packet is detected by the attack detection means; The network abnormality detection system according to claim 1 or 2, characterized in that 上記各パケット情報保持手段の上記各中継手段の上記通過履歴を参照し、統計対象設定テーブルから選定した統計対象情報をキーとして、上記各中継手段を通過するトラフィックフローの統計情報を集計する1又は複数の統計手段を備え、
上記攻撃検出手段が、上記各統計手段から周期的に受け取った上記中継手段を通過するトラフィックフローの上記統計情報に基づいて攻撃を検出する
ことを特徴とする請求項1〜3のいずれかに記載のネットワーク異常検出システム。 Refer to the passage history of each relay means of each packet information holding means, and use the statistical object information selected from the statistical object setting table as a key to aggregate the statistical information of the traffic flow passing through each relay means 1 or With multiple statistical tools,
The attack detection means detects an attack based on the statistical information of a traffic flow that passes through the relay means periodically received from the statistical means. Network anomaly detection system. 上記各統計手段の上記統計対象設定テーブルに設定されている複数の統計対象情報の内容を一元管理すると共に、上記各統計手段を一括して、上記統計対象情報の内容を更新させる統計対象管理手段を備えることを特徴とする請求項4に記載のネットワーク異常検出システム。   Statistical object management means for centrally managing the contents of a plurality of statistical object information set in the statistical object setting table of each statistical means and updating the contents of the statistical object information collectively with each statistical means The network abnormality detection system according to claim 4, further comprising: 上記攻撃検出手段が、上記監視対象ネットワークとは異なる他のネットワークを監視対象とし攻撃パケットを検出した他のネットワーク異常検出システムが保持するセキュリティログ情報を受け取り、上記セキュリティログ情報に基づいて攻撃を検出することを特徴とする請求項1〜5のいずれかに記載のネットワーク異常検出システム。 The attack detection means receives security log information held by another network abnormality detection system that detects an attack packet with another network different from the monitored network as a monitoring target, and detects an attack based on the security log information The network abnormality detection system according to claim 1, wherein: 1又は複数の外部ネットワークのそれぞれと監視対象ネットワークとの間に1又は複数の中継手段を備え、上記各外部ネットワークのいずれかから監視対象ネットワークに流入してきた攻撃パケットによる監視対象ネットワークの異常を検出するネットワーク異常検出システムを構成するトラフィック情報観測装置において、
それぞれ対応する上記中継手段を通過する全ての通信パケットを取り込み、上記各中継手段を通過した上記各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持する1又は複数のパケット情報保持手段と、
外部のトラフィック情報管理装置から、上記攻撃パケットが上記各中継手段を通過したか否かの問い合わせを受けると、上記パケット情報保持手段の有する上記各中継手段の上記通履歴である上記ダイジェストテーブルを参照して、上記問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、上記各中継手段での上記攻撃パケットの通過を検出するパケット通過検出手段と、
を備えることを特徴とするトラフィック情報観測装置。 One or a plurality of relay means are provided between each of the one or a plurality of external networks and the monitoring target network, and an abnormality of the monitoring target network is detected by an attack packet flowing into the monitoring target network from any of the above external networks. In the traffic information observation device that constitutes the network anomaly detection system that
Capture all communication packets that pass through the corresponding relay means , divide the header information of each communication packet that has passed through the relay means into N (N is an integer of 2 or more), hash the divided ones, One or a plurality of packet information holding means for holding each Hash value as an address and holding as a passage history a digest table flagged for the value indicated by each address ;
External traffic information management apparatus, when the attack packets receives a query whether passing through the respective relay device, the digest table is the through excessive history of each relay unit having the above packet information holding means Referring to the header information of the target packet that has received the inquiry, the header information is divided into N parts, and the divided parts are hashed, and the above-mentioned relay means at each relay means determines whether or not a flag is set in the value indicating each hash as an address. A packet passage detection means for detecting passage of an attack packet;
A traffic information observation apparatus comprising: 1又は複数の外部ネットワークのそれぞれと監視対象ネットワークとの間に1又は複数の中継手段を備え、上記各外部ネットワークのいずれかから監視対象ネットワークに流入してきた攻撃パケットによる監視対象ネットワークの異常を検出するネットワーク異常検出システムを構成するトラフィック情報観測装置を、
それぞれ対応する上記中継手段を通過する全ての通信パケットを取り込み、上記各中継手段を通過した上記各通信パケットのヘッダ情報をN(Nは2以上の整数)分割し、分割したものをHash化し、各Hash値をアドレスとし、各アドレスが示す値にフラグを立てたダイジェストテーブルを通過履歴として保持する1又は複数のパケット情報保持手段、
外部のトラフィック情報管理装置から、上記攻撃パケットが上記各中継手段を通過したか否かの問い合わせを受けると、上記パケット情報保持手段の有する上記各中継手段の上記通履歴である上記ダイジェストテーブルを参照して、上記問い合わせを受けた対象パケットのヘッダ情報をN分割し、分割したものをHash化し、各Hashをアドレスとして示す値にフラグが立っているか否かにより、上記各中継手段での上記攻撃パケットの通過を検出するパケット通過検出手段、
として機能させるためのトラフィック情報観測プログラム。 One or a plurality of relay means are provided between each of the one or a plurality of external networks and the monitoring target network, and an abnormality of the monitoring target network is detected by an attack packet flowing into the monitoring target network from any of the above external networks. The traffic information observation device that constitutes the network anomaly detection system
Capture all communication packets that pass through the corresponding relay means , divide the header information of each communication packet that has passed through the relay means into N (N is an integer of 2 or more), hash the divided ones, One or a plurality of packet information holding means for holding each hash value as an address and holding a digest table flagged for the value indicated by each address as a passage history;
From the outside of the traffic information management system, when the attack packets receives a query whether passing through the respective relay means, the digest table is the through excessive history of each relay unit having the above packet information holding means Referring to the header information of the target packet that has received the inquiry, the header information is divided into N parts, and the divided parts are hashed, and the above-mentioned relay means at each relay means determines whether or not a flag is set in the value indicating each hash as an address. Packet passage detection means for detecting passage of attack packets,
Traffic information observation program to function as
JP2007045536A 2007-02-26 2007-02-26 Traffic anomaly detection system, traffic information observation device, and traffic information observation program Active JP4380710B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007045536A JP4380710B2 (en) 2007-02-26 2007-02-26 Traffic anomaly detection system, traffic information observation device, and traffic information observation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007045536A JP4380710B2 (en) 2007-02-26 2007-02-26 Traffic anomaly detection system, traffic information observation device, and traffic information observation program

Publications (2)

Publication Number Publication Date
JP2008211464A JP2008211464A (en) 2008-09-11
JP4380710B2 true JP4380710B2 (en) 2009-12-09

Family

ID=39787403

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007045536A Active JP4380710B2 (en) 2007-02-26 2007-02-26 Traffic anomaly detection system, traffic information observation device, and traffic information observation program

Country Status (1)

Country Link
JP (1) JP4380710B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2141884B1 (en) * 2008-07-04 2011-01-12 Alcatel Lucent Anti-intrusion method and system for a communication network
JP5127670B2 (en) * 2008-11-04 2013-01-23 三菱電機株式会社 Filter device, filter method, and program
JP5732745B2 (en) * 2010-05-13 2015-06-10 富士通株式会社 Network device, authentication method determining method, and authentication method determining program
JP5163724B2 (en) * 2010-09-28 2013-03-13 沖電気工業株式会社 Traffic monitoring system, traffic monitoring method and network management system
JP2014236461A (en) * 2013-06-05 2014-12-15 日本電信電話株式会社 Interception system, interception server, interception method and program
JP6435695B2 (en) 2014-08-04 2018-12-12 富士通株式会社 Controller and its attacker detection method
JP6276207B2 (en) * 2015-02-10 2018-02-07 日本電信電話株式会社 Detection system, detection method, and detection program
JP6898846B2 (en) 2017-12-28 2021-07-07 株式会社日立製作所 Abnormal cause identification support system and abnormal cause identification support method
CN113548557B (en) * 2021-07-19 2023-03-24 广州广日电梯工业有限公司 Method for protecting elevator network abnormality and computer-readable storage medium

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1401160A4 (en) * 2001-04-27 2008-07-30 Ntt Data Corp Packet tracing system
JP2002342276A (en) * 2001-05-17 2002-11-29 Ntt Data Corp System and method for detecting network intrusion
JP2003298652A (en) * 2002-03-29 2003-10-17 Yokogawa Electric Corp Attack route tracking system
JP2004328307A (en) * 2003-04-24 2004-11-18 Mitsubishi Electric Corp Attack defense system, attack defense control server, and attack defense method
JP2005079737A (en) * 2003-08-29 2005-03-24 Yokogawa Electric Corp Packet stream monitoring system
JP4333341B2 (en) * 2003-11-27 2009-09-16 横河電機株式会社 Passed packet display system
JP2005217692A (en) * 2004-01-29 2005-08-11 Oki Techno Creation:Kk System for specifying penetration point
JP2005328344A (en) * 2004-05-14 2005-11-24 Matsushita Electric Works Ltd Source tracing information providing device, its system and its method, and router
JP2006148778A (en) * 2004-11-24 2006-06-08 Nippon Telegr & Teleph Corp <Ntt> Packet transfer control unit

Also Published As

Publication number Publication date
JP2008211464A (en) 2008-09-11

Similar Documents

Publication Publication Date Title
JP4380710B2 (en) Traffic anomaly detection system, traffic information observation device, and traffic information observation program
US10079843B2 (en) Streaming method and system for processing network metadata
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
JP5826920B2 (en) Defense method against spoofing attacks using blocking server
JP4827972B2 (en) Network monitoring device, network monitoring method, and network monitoring program
JP4547340B2 (en) Traffic control method, apparatus and system
US11539664B2 (en) Methods and systems for efficient adaptive logging of cyber threat incidents
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
You et al. Packet in message based DDoS attack detection in SDN network using OpenFlow
JP7079721B2 (en) Network anomaly detection device, network anomaly detection system and network anomaly detection method
JP2006350561A (en) Attack detection device
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
KR101352553B1 (en) Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic
JP2011151514A (en) Traffic volume monitoring system
JP2008219149A (en) Traffic control system and traffic control method
JP7060800B2 (en) Infection spread attack detection system and method, and program
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
JP4279324B2 (en) Network control method
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
JP2008135871A (en) Network monitoring system, network monitoring method, and network monitoring program
JP2004328307A (en) Attack defense system, attack defense control server, and attack defense method
JP4260848B2 (en) Network control method
CN102315962A (en) Method for detecting MTU (Maximum Transmission Unit) of Ethernet and maintenance end point
US20070079378A1 (en) Worm infection detecting device
KR100938647B1 (en) Apparatus and method for storing flow data according to results of analysis of flow data

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090914

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4380710

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131002

Year of fee payment: 4