JP2000124952A - 電子データの追跡方法及びシステム、記録媒体 - Google Patents
電子データの追跡方法及びシステム、記録媒体Info
- Publication number
- JP2000124952A JP2000124952A JP29324598A JP29324598A JP2000124952A JP 2000124952 A JP2000124952 A JP 2000124952A JP 29324598 A JP29324598 A JP 29324598A JP 29324598 A JP29324598 A JP 29324598A JP 2000124952 A JP2000124952 A JP 2000124952A
- Authority
- JP
- Japan
- Prior art keywords
- data
- tracking
- electronic data
- tracked
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
発信源を、受信側で正しく特定することができるデータ
追跡システムを提供する。 【解決手段】 ネットワーク上で連鎖状に接続された複
数のデータ中継装置10と、各データ中継装置10と双
方向通信を行う手段を備えた管理システム20とを含ん
でデータ追跡システム1を構成する。個々のデータ中継
装置10は、ネットワークL上で電子データを運ぶ下位
層の識別子を解析し、この解析結果に基づいて当該電子
データが通過した一つ前の装置を特定し、特定した装置
が自装置と同等の機能を備えている装置である場合は、
当該電子データがさらに一つ前に通過した他の装置を特
定させる。また、自装置での解析結果を所定の識別情報
と共に管理システム20に通知する。管理システム20
は、各データ中継装置10から通知された情報をもとに
当該電子データの流通経路を特定する。
Description
ットを介して流通する電子データの流通経路または発信
源を、送信元プロトコルアドレスが偽れた場合であって
も正確に特定できるようにするためのデータ追跡技術に
関する。
データの送受信を行う場合、その電子データには、宛先
プロトコルアドレスと送信元プロトコルアドレスが付与
される。そのため、電子データを受信したシステムで
は、その電子データに付与された送信元プロトコルアド
レスを調べることによって、どの装置またはシステムか
ら送られてきたのか、つまり発信源を確認できるように
なっている。
コルアドレスは、送信元システムによって任意に付与さ
れるものなので、これを偽ることにより送信元システム
を隠すことは容易である。通常、あるシステムに不正に
アクセスする者(以下、不正アクセスを「攻撃」、不正
アクセスを行う者を「攻撃者」と称する場合がある)
は、身元を隠すために自己のシステムの送信元プロトコ
ルアドレスではなく、別のシステムのプロトコルアドレ
スを用いて攻撃する場合が多い。この場合、不正にアク
セスされたシステム側では、送信元プロトコルアドレス
を信用することができず、また、攻撃者を正しく特定す
ることができないという問題があった。
で、その電子データの送信元を正しく特定することがで
きる電子データの追跡方法を提供することを課題とす
る。本発明の他の課題は、この追跡方法の実施に適した
電子データの追跡システム及びその構成装置を提供する
ことにある。
明の追跡方法は、電子データを流通させる装置が連鎖状
に接続されたネットワーク上で前記電子データを運ぶデ
ータリンク層の識別子を解析し、当該電子データが通過
した前記装置を前記識別子の解析結果に基づいて特定す
る過程を含むことを特徴とする。より具体的には、個々
の前記装置が前記識別子を解析することで前記電子デー
タが通過した自装置の一つ前の装置を特定した後、この
特定した装置に、当該電子データが当該装置の一つ前に
通過した他の装置を特定させる。
特徴情報を特定しておき、流通する前記電子データが前
記特徴情報に合致するときに、当該合致する電子データ
を運ぶデータリンク層の識別子を解析するようにする。
また、それぞれの装置が、前記他の装置を特定できたと
きは自装置における前記解析の識別情報を当該他の装置
及び所定のデータ追跡手段に通知するとともに、前記他
の装置を特定できなかったとき(前記識別子を解析する
ことで前記電子データが通過した自装置の一つ前の装置
を特定する機能を持つ装置でない場合を含む)は当該特
徴情報に基づく最終通知情報を前記データ追跡手段に通
知するようにしても良い。
テムは、流通する電子データの中継を行う複数のデータ
中継装置をネットワーク上で連鎖状に接続して成る。あ
るいは、これらのデータ中継装置に対して双方向通信可
能に接続されたデータ追跡装置とを含んで成る。個々の
データ中継装置は、それぞれ下記の要素を有するもので
ある。 (1−1)追跡すべき電子データの特徴情報と追跡結果
の通知先アドレス(例えば、データ追跡装置のアドレ
ス)とを含む所定の追跡指示の受信を契機に、自装置を
通過する電子データから前記特徴情報に適合するもの
(追跡対象データ)を探索する第1の手段、(1−2)
探索した前記追跡対象データを前記ネットワーク上で運
ぶデータリンク層の識別子を解析し、この解析結果に基
づいて当該追跡対象データが自装置の前に通過した他の
装置の特定を試みる第2の手段、(1−3)前記他の装
置を特定でき且つ特定した装置が自装置と同等の機能を
備えている場合に、その装置に対して前記受信した追跡
指示と同一内容の追跡指示を与える第3の手段、(1−
4)自装置における追跡結果を前記通知先アドレス宛に
通知する第4の手段。
おける追跡結果と共に、当該追跡結果が何番目の追跡結
果かを表す追跡順序情報を前記通知先アドレスに通知す
るように構成し、前記第3の手段で他の装置に前記追跡
指示を与えることができなかった場合は、自装置が前記
追跡指示に基づく最終のデータ中継装置である旨の付加
情報を添付するように構成する。当該他の装置のプロト
コルアドレスが特定できた場合は、そのプロトコルアド
レスをも添付するように構成する。前記データ追跡装置
を設ける場合は、少なくとも前記第3の手段で他の装置
に前記追跡指示を与えることができなかったデータ中継
装置からの通知情報をもとに当該追跡対象データの発信
源を特定するように、それを構成する。
一部を構成するデータ中継装置、データ追跡装置、及び
これらの装置をコンピュータ装置により実現するための
記録媒体を提供する。
有するものである。 (2−1)ネットワーク上で流通する電子データを受信
し、受信した電子データを連鎖状に接続された他の装置
へ転送する中継機構、(2−2)追跡対象データの特徴
情報と追跡結果の通知先アドレスとを含む所定の追跡指
示の受信を契機に、自装置を通過する電子データから追
跡対象データを探索する第1の手段と、前述の第2乃至
第4の手段を備えたデータ追跡機構。
有するものである。 (3−1)ネットワーク上で連鎖状に接続された複数の
データ中継装置及び前記ネットワークを流通する電子デ
ータの到達先に備えられた装置との間で通信を行う通信
手段、(3−2)前記到達先に備えられた装置より知得
した、追跡対象となる電子データの特徴情報に基づい
て、当該到達先の直前のデータ中継装置を特定し、特定
したデータ中継装置宛てに前記特徴情報及び自装置のア
ドレスを含む追跡指示を発行する手段、(3−3)前記
追跡指示の宛先となるデータ中継装置またはそのデータ
中継装置が前記追跡指示と同一の追跡指示を与えた他の
データ中継装置より受領した通知情報に基づいて前記追
跡対象データの流通経路を解析する手段。
〜(3−3)のほかに、前記到達先に備えられた不正ア
クセスセンサの種別毎に攻撃パターンとそのときのセン
サ出力コードとを対応付けて記録した第1記録手段と、
前記センサ出力コードの受領を契機に前記第1記録手段
を参照して該当する攻撃パターンとその攻撃パターンに
対応する前記特徴情報を特定する手段とを具備し、必要
に応じて、前記不正アクセスセンサの種別とそのセンサ
を採用するシステムの管理者のメールアドレスとを登録
元毎に記録しておき所定の場合に前記管理者のメールア
ドレス宛てに警告メールを自動送信する手段と、前記流
通経路を解析して攻撃者を特定したときに当該攻撃者ま
たは攻撃者に関わる者宛に警告メールを発信する手段を
さらに具備してデータ追跡装置を構成する。
成するためのもので、ネットワーク上で連鎖状に接続さ
れた他の装置及び所定のデータ追跡装置と双方向通信可
能に接続されたコンピュータ装置に下記の処理を実行さ
せるためのプログラムコードが記録された、コンピュー
タ読取可能な記録媒体である。 (4−1)追跡すべき電子データの特徴情報と追跡結果
の通知先アドレスとを含む所定の追跡指示の受信を契機
に、自装置で受信し前記他の装置のいずれかへ転送する
電子データから追跡対象データを探索する処理、(4−
2)探索した前記追跡対象データを前記ネットワーク上
で運ぶデータリンク層の識別子を解析し、この解析結果
に基づいて当該追跡対象データが自装置の前に通過した
他の装置の特定を試みる処理、(4−3)前記他の装置
を特定でき且つ特定した装置が自装置と同等の機能を備
えている場合に、その装置に対して前記受信した追跡指
示と同一内容の追跡指示を与える処理、(4−4)自装
置における追跡結果を所定の識別情報と共に前記通知先
アドレス宛に通知する処理。
を構成するためのもので、ネットワーク上で連鎖状に接
続された複数のデータ中継装置及び前記ネットワークを
流通する電子データの到達先に備えられた装置との間で
通信を行う通信手段を備えたコンピュータ装置に下記の
処理を実行させるためのプログラムコードが記録され
た、コンピュータ読取可能な記録媒体である。 (5−1)前記到達先に備えられた装置より追跡すべき
電子データの特徴情報を知得する処理、(5−2)当該
到達先の直前のデータ中継装置を特定し、特定したデー
タ中継装置宛てに前記知得した特徴情報及び自装置のア
ドレスを含む追跡指示を発行する処理、(5−3)前記
追跡指示の宛先となるデータ中継装置またはそのデータ
中継装置が前記追跡指示と同一の追跡指示を与えた他の
データ中継装置より受領した通知情報に基づいて追跡対
象データの流通経路を解析する処理。
理の一部を前記コンピュータ装置に搭載されたオペレー
ティングシステムに実行させるためのディジタル情報を
記録するようにしても良い。
方法の実施の形態を説明する。本発明では、送信元プロ
トコルアドレスや送信先プロトコルアドレスよりも下位
に位置する層(以下、この下位層を総称したものを「デ
ータリンク層」とする)のフレームまたはセル(以下、
両者を区別する必要がない場合は「フレーム等」と略称
する)に含まれる識別子をもとに、電子データの通過し
てきた経路を受信側から送信側に向かって逆に辿ってい
く。ここで、「識別子」とは、電子データを運ぶメディ
アがLAN(Local Area Network)の場合はMAC(Me
dia Access Contorol)アドレス、フレームリレー網の
場合はDLCI(Data Link Connection Identifie
r)、ATM(Asynchronous Transfer Mode)網の場合
はVPI(Virtual Path Identifier)/VCI(Virtu
al Channel Identifier)等の情報である。
録商標)やFDDI(Fiber Distributed Data interfa
ce)等を用いたLANや、専用線、フレームリレー網、
ATM網等が使用される。専用線を介して装置(データ
を発信した装置/システム/データ中継装置等)が接続
される場合には、一つのインタフェースに対して、一つ
の装置しか接続されないため、辿るべき経路は一意に決
定される。フレームリレー網やATM網の場合も、PV
C(相手先固定)接続の場合には、接続される相手装置
とDLCI(フレームリレー網の場合)、VPI/VC
I(ATM網の場合)が1対1に対応しているため、追
跡すべき電子データが含まれるデータリンク層のフレー
ム等のDLCIやVPI/VCIを確認すれば、一つ前
の装置を特定することができる。LANの場合は、その
フレームに送信元MACアドレスが付与されるので、そ
のMACアドレスから一つ前の装置を特定することがで
きる。
常、そのフレーム等が送信されるLANやフレームリレ
ー網、ATM網等を介した際のデータ中継装置のものな
ので、隣の装置までは特定できても、発信源の装置まで
は直ちに特定することができない。そこで、この実施形
態では、フレーム等の識別子から、追跡すべき電子デー
タが通過した一つ前の装置をまず特定し、その装置上
で、追跡すべき電子データの特徴情報に適合する電子デ
ータ(これが追跡対象データとなる)を再び捕捉し、そ
の追跡対象データのフレーム等の識別子を調べることに
よって、さらに先の装置を探索していくという動作を繰
り返していく。このような動作を繰り返していくこと
で、最終的に追跡対象データの発信源を特定する。
うに構成されるデータ追跡システムによって実施するこ
とができる。このデータ追跡システム1は、既存の通信
システムや内部ネットワーク等が接続され、公衆通信
網、例えばインターネット上で連鎖状に接続された複数
のデータ中継装置10と、各データ中継装置10との間
で双方向通信ができる形態で接続されたデータ追跡装置
(この実施の形態では、「管理システム」と称する)2
0とを含んで構成されるものである。以後、通信システ
ムや内部ネットワークのうち、攻撃者が操作したものを
「発信源装置」、攻撃された通信システム等を「被害者
ネットワーク」と称する。被害者ネットワークには、攻
撃者による不正アクセスの事実を検知するための装置、
(以下、「センサ」:図示省略)が備えられており、こ
のセンサで攻撃パターンが検知されたときに、その旨と
追跡すべき電子データの特徴情報が、自センサの識別子
と共に管理システム20に通知されるようになってい
る。
を備えた既存の「ルータ」に、データ追跡機構を付加す
ることで実現が可能である。中継機構は、特定の通信機
器等から発信された電子データを、他のデータ中継装置
10を含む最適ルートを通じて宛先となるシステム(以
下、「宛先システム」)へ中継する機構である。
例えばLANの場合はMACアドレス、フレームリレー
網の場合はDLCI、ATM網の場合はVPI/VCI
等の情報をもとに、電子データが通過してきた経路を受
信側から送信側に向かって辿っていくためのもので、図
2に示すように、指示データ受領部11、データ捕捉部
12、データ比較部13、装置等特定部14、通知部1
5の機能を含んで構成される。
ークが攻撃されたときに、管理システム20から追跡指
示と共に取得した、追跡対象データの特徴情報、すなわ
ち送信元IPアドレス、宛先IPアドレス、その上位プ
ロトコルの種類等の情報と、追跡結果の通知先アドレス
である管理システム20のアドレスと、追跡IDとを保
持しておくものである。「追跡ID」は、個々の追跡対
象データを識別するための情報である。これは、追跡対
象データが複数の場合に有効となる。
子データを捕捉するものであり、データ比較部13は、
捕捉された電子データの特徴情報と追跡すべき電子デー
タの特徴情報とを比較して一致するものを特定するもの
である。
定されたときにそれを運ぶフレーム等の識別子を調べる
ことにより、一つ前の他のデータ中継装置及びそのIP
アドレスを特定するものである。具体的には、装置毎の
IPアドレスとフレーム等の識別子、例えばMACアド
レスとを対応付けたARP(Address Resolution Proto
col)を有しており、このARPテーブルを参照するこ
とによって、データ中継装置等を特定する。
データ中継装置に、自装置が受領した上述の追跡指示と
同一内容の追跡指示を通知するとともに、管理システム
20に自装置の追跡結果を通知する機能を有するもので
ある。追跡指示及び追跡結果の通知に際しては、自装置
における追跡結果が何番目の追跡結果かを表す追跡順序
情報を生成し、これを添付する。追跡順序情報は、具体
的には、管理システム20から最初に追跡指示を受けた
最初のデータ中継装置を起算点とするシーケンシャル番
号であり、追跡指示を次のデータ中継装置に通知する際
に“1”ずつインクリメントする。次のデータ中継装置
を特定できなかったときは、自装置がその追跡対象デー
タについての最終のデータ中継装置であることを意味す
るので、管理システム20宛の追跡順序番号に代えて、
あるいは追跡順序番号と共に、最終であることを表すフ
ラグ等を添付する。なお、次のデータ中継装置を特定で
きなかった場合の態様として、装置特定のための処理、
あるいは追跡対象データの探索についての処理が一定時
間経過しても完了しなかった場合を含めるようにしても
良い。つまり、上記各処理がタイムアウトした場合に、
エラーと共に、自装置での追跡が最終であることを表す
フラグ等を添付するようにする。また、通信対象データ
が通過した一つ前の装置は特定できたが、それがデータ
中継装置でなく、且つその装置のIPアドレスを特定で
きたときは、このIPアドレスを管理システム20に通
知するようにする。
装置10を用いて発信源装置を追跡するための原理を模
式的に示したのが図3である。図3(a)は発信源装置
30からインターネットを通じて発信され、流通する電
子データの構造図、同(b)は、到達先がデータ中継装
置10cの後の被害者ネットワーク(その中の通信装置
またはシステム)である場合に、このデータ中継装置1
0cと他のデータ中継装置10a,10bとの協働処理
によって発信源装置30を特定する場合の手順(〜
)を示した図である。
状のもので、図3(a)に示されるように、最初にフレ
ーム等のヘッダ31、次いでIPヘッダ32、その後に
データ成分33が配置されるようになっている。この電
子データは、図3(b)に示されるように、発信源装置
30から最初にデータ中継装置10aを介してインター
ネットに発信され、次いで、データ中継装置10b、デ
ータ中継装置10cでそれぞれ中継されて被害者ネット
ワークに到達する。管理システムは、被害者ネットワー
クに接続されたセンサからの依頼に基づいて、センサの
一つ前のデータ中継装置10cを特定し、このデータ中
継装置10cに、追跡すべき電子データの特徴情報や追
跡結果の通知先アドレス(自己のアドレス)を含む追跡
指示を通知する。
受信を契機に自装置を通過する電子データから追跡対象
データに該当するものを捕捉してそのデータリンク層を
解析し、送信元のMACアドレスを調べる。これによ
り、一つ前のデータ中継装置10bが特定されるので、
自装置における追跡結果を追跡順序識別情報と共に管理
システムへ通知し、さらに、データ中継装置10bへ同
一内容の追跡指示を通知する。データ中継装置10b
も、データ中継装置10cと同様の手順で追跡対象デー
タが通過した一つ前のデータ中継装置10aを特定す
る。そして、自装置の追跡結果等を管理システムへ通知
するとともにデータ中継装置10aへ自装置による追跡
順序識別情報と同一内容の追跡指示とを通知する。
を行うが、その一つ前には同等の機能を有する装置が存
在しないので、目的の発信源装置30、あるいは発信源
装置30の所属する組織のネットワークまで辿り着いた
ことになる。そこで、発信源装置30のIPアドレスを
特定し、このIPアドレスを自装置の追跡結果等と共に
管理システム20に通知する。このときのIPアドレス
は、当該発信源装置30が通常のデータ通信を行ううえ
で欠かせないMACアドレスからARPテーブル等を利
用して得られたものであり、これを発信源装置30側で
攻撃者が偽ることは事実上不可能である。このようにし
て、発信源装置30を正確に特定することができる。
跡機構の機能は、個々のデータ中継装置本体にCPUと
メモリとを設け、メモリに所定のプログラムコードをC
PUが読みとれる形態で記録しておくことで実現するこ
とができる。また、CPUが上記プログラムコードを実
行することによって各機能ブロックが形成されるだけで
なく、そのプログラムコードの指示に基づいてオペレー
ティングシステム(OS)が実際の処理の一部を行い、
その処理を通じて上記各機能ブロックが形成されるよう
にしても良い。エージェントを組み込んでデータ追跡機
構の機能を実現するようにすれば、データ中継装置10
の構成をより簡略化することができる。
のセンサや各データ中継装置10等からの通知情報をも
とに電子データの流通経路を管理するためのもので、所
定のOSのもとで動作するコンピュータシステムによっ
て実現される。この管理システム10は、図4に示すよ
うに、被害者ネットワークを含む種々のネットワークに
設置されたセンサや各データ中継装置10等との間で双
方向通信を行うための通信制御機構21、攻撃パターン
データベース22、不正アクセス発信元統計ファイル2
3、不正アクセス状況統計ファイル24、登録センサ情
報ファイル25のほか、コンピュータシステム本体のC
PUが所定の記録媒体に記録されたプログラムコードを
読み込んでOSと共に協同実行することによって形成さ
れる、追跡指示部26、経路管理部27、警告部28の
機能ブロックを少なくとも具備している。
被害者ネットワークのセンサが検知する攻撃パターンと
検知時に出力されるコードが、そのセンサの製造メーカ
によってまちまちである点に鑑み、センサ毎に攻撃パタ
ーンとそのときの出力コードとを対応付け、一律的な処
理を行えるようにするものである。必要に応じて重大度
も対応付けておき、センサからの出力コードが複数の場
合に、いずれかを優先的に処理できるようにする。新し
いセンサが使用された場合は、そのセンサの識別情報と
そのセンサが検出する攻撃パターン、出力コード、重大
度が追加記録されるようになっている。図5は、この攻
撃パターンデータベース22の内容の一例を示した図表
である。
攻撃者が特定されたときに、そのときの攻撃パターン、
日時、回数等を攻撃者毎に蓄積したものであり、不正ア
クセス状況統計ファイル24は、検知された攻撃パター
ンの数をパターン毎に蓄積したものである。これらのフ
ァイルは、警告メール等を発するときに使用される。図
6は不正アクセス発信元統計ファイル23、図7は不正
アクセス状況統計ファイル24の内容例を示した図表で
ある。
サの種別、使用センサの識別子(アドレス若しくはベン
ダ固有の文字列)、管理者の連絡先、使用センサの直上
の(つまり追跡始点となる)データ中継装置のアドレス
を登録したものである。これによって、どの登録元がど
の種類のセンサを使用しているかを知ることができるよ
うになっている。図8は、この登録センサ情報ファイル
25の内容例を示した図表である。
センサから、検知した攻撃パターンを受領するととも
に、その被害者ネットワークのセンサのアドレス等の識
別子から、登録センサ情報ファイル25を参照すること
により、センサの一つ前のデータ中継装置10のIPア
ドレスを特定し、特定したデータ中継装置10宛てに、
上述の追跡指示を通知するものである。
10からの追跡結果の通知に基づいて各データ中継装置
10を通過した追跡対象データの流通経路を管理し、発
信源装置、及び/又は、その管理者を特定するものであ
る。
発信するものである。 (1)センサから攻撃の通知を受けた場合において、そ
の攻撃パターンをサポートしていないセンサがあるかど
うかを攻撃パターンデータベース22をもとに調査し、
有る場合はそのセンサを使用している登録元を登録セン
サ情報ファイル25から探し出して、その管理者に注意
を促すための警告メールを自動的に発信する。 (2)被害者ネットワークのセンサの管理者に対し、不
正アクセス発信元統計ファイル23で規定した重大度
や、不正アクセス状況統計ファイル24に蓄積された検
知数が規定値に達したときに警告メールを自動的に発信
する。 (3)攻撃者の管理者宛に警告メールを発信する。攻撃
者の管理者のメールアドレスは、発信源装置のIPアド
レスからDNS(Domain Name Service)の逆引き機能
やWHOISデータベースを利用することにより割り出
すことができる。WHOISデータベースは、アドレス
やドメイン名をキーにして、利用しているIPアドレ
ス、ドメイン(組織)名、管理者のアドレスをオンライ
ン検索することができる公知のデータベースである。
録媒体は、通常、CPUが随時読み取り可能な固定型デ
ィスクや半導体メモリであるが、フレキシブルディス
ク、ハードディスク、光ディスク、光磁気ディスク、C
D−ROM、DVD、磁気テープ等の可搬性メディア、
あるいはコンピュータがアクセス可能なプログラムコー
ドサーバ等に記録されて流通し、運用時に上記固定型デ
ィスクにインストールされるものであっても良い。ま
た、CPUが上記プログラムコードを実行することによ
って各機能ブロック26〜28が形成されるだけでな
く、そのプログラムコードの指示に基づいてOSが実際
の処理の一部を行い、その処理を通じて上記各機能ブロ
ック26〜28が形成されるようにしても良い。
システム1の運用手順を、図9の手順図に従って具体的
に説明する。ここでは、各データ中継装置10を通過す
る電子データ(及び追跡対象データ)が一定サイズのパ
ケットであるものとする。被害者ネットワークのセンサ
が、攻撃パターンと追跡すべきパケットの特徴情報とを
管理システム20に通知する(ステップS101)。通
知を受けた管理システム20は、この特徴情報や追跡結
果の通知アドレスを含む追跡指示を被害者ネットワーク
の一つ前のデータ中継装置10に組み込まれたデータ追
跡機構に伝える(ステップS102)。
自装置において追跡すべき経路が複数あるかどうかを調
べ、複数の経路がある場合は、管理システム20から渡
された特徴情報と一致するパケットを監視する(ステッ
プS103:Yes、S104)。該当するパケットが通
過したときは、それを追跡対象パケットとして捕捉し、
この追跡対象パケットが通過したインタフェースを特定
する(ステップS105:Yes、S106)。
等のLANであった場合は、追跡対象パケットに含まれ
ている送信元のMACアドレスを調べて一つ前の装置を
特定する(ステップS108a)。インタフェースがフ
レームリレー網であった場合は、その追跡対象パケット
が含まれているデータリンク層フレームのDLCIから
相手側装置を特定する(ステップS108b)。インタ
フェースがATM網であった場合は、その追跡対象パケ
ットが含まれているセルのVPI/VCIから相手側装
置を特定する(ステップS108c)。インタフェース
が専用線であった場合は、直ちに次の処理に進む。
装置の持つARPテーブル等から調べ、これを追跡結果
として自装置の追跡順序情報と共に管理システム20に
通知する(ステップS109)。特定した装置に自装置
のものと同様のデータ追跡機構が存在する場合は、この
装置宛てに、上記特徴情報と自装置の追跡順序情報とを
含む追跡指示を出す(ステップS110:Yes、S11
1)。
構が存在しなくなるまで繰り返す(ステップS110:
No)。データ追跡機構が存在しなくなった場合は、自装
置が最終のデータ中継装置である旨を含む解析結果と一
つ前の装置について特定したIPアドレスとを管理シス
テム20に通知して処理を終える。これにより、管理シ
ステム20では、追跡対象パケットの発信源装置ないし
その近傍のシステムを特定することが可能となる。な
お、パケットの監視の際、一定の時間を過ぎても該当す
るパケットを捕捉できなかった場合は、該当パケットが
もはや流通しないと考えられるので、処理を終える(ス
テップS107:Yes)。この場合は、前述のように、
エラーと共に最終である旨を添付して管理システム20
に通知する。
0からの通知情報をもとに、追跡対象データの流通経路
を特定する。また、最終のデータ中継装置10(最終で
ある旨を通知したデータ中継装置10)からの通知情報
をもとに前述のWHOISデータベースその他の外部デ
ータベース等を利用して発信源装置を管理するシステム
の組織を特定し、必要に応じて警告メールを送出する。
テム1では、送信元のIPアドレスが偽われた場合であ
っても、その下位層のフレーム等の識別子を解析するこ
とにより発信源装置を正しく特定することができる。ま
た、追跡対象データが通ってきた流通経路を特定するこ
ともできる。これにより、送信元のIPアドレスを偽る
ことによる不正者の利益がなくなるため、不正アクセス
の抑止効果にもつながる。
を流通する電子データの発信源を特定する場合の例につ
いて説明したが、本発明は、他の通信形態にも応用が可
能なものである。また、パケット通信のみならず、画像
データその他のコンテンツの流通監視にも応用が可能で
ある。
によれば、電子データを受信した側で、その電子データ
の送信元を正しく特定できるようになる。
図。
ク構成図。
(b)はデータ発信源追跡の原理説明図。
構成図。
た図表。
した図表。
た図表。
表。
順図。
Claims (18)
- 【請求項1】 電子データを流通させる装置が連鎖状に
接続されたネットワーク上で前記電子データを運ぶデー
タリンク層の識別子を解析し、当該電子データが通過し
た前記装置を前記識別子の解析結果に基づいて特定する
過程を含む、電子データの追跡方法。 - 【請求項2】 個々の前記装置が前記識別子を解析する
ことで前記電子データが通過した自装置の一つ前の装置
を特定した後、この特定した装置に、当該電子データが
当該装置の一つ前に通過した他の装置を特定させること
を特徴とする、 請求項1記載の追跡方法。 - 【請求項3】 予め追跡対象となる電子データの特徴情
報を特定し、流通する前記電子データが前記特定した特
徴情報に合致するときに当該合致する電子データを運ぶ
データリンク層の識別子を解析して前記他の装置を特定
することを特徴とする、 請求項1または2記載の追跡方法。 - 【請求項4】 それぞれの装置が、前記他の装置を特定
できたときは自装置における前記解析の識別情報を当該
他の装置及び所定のデータ追跡手段に通知するととも
に、前記他の装置を特定できなかったときは当該特徴情
報に基づく最終通知情報を前記データ追跡手段に通知す
ることを特徴とする、 請求項3記載の追跡方法。 - 【請求項5】 流通する電子データの中継を行う複数の
データ中継装置をネットワーク上で連鎖状に接続して成
り、 個々のデータ中継装置が、それぞれ、 追跡すべき電子データの特徴情報と追跡結果の通知先ア
ドレスとを含む所定の追跡指示の受信を契機に、自装置
を通過する電子データから前記特徴情報に適合するもの
(以下、「追跡対象データ」)を探索する第1の手段
と、 探索した前記追跡対象データを前記ネットワーク上で運
ぶデータリンク層の識別子を解析し、この解析結果に基
づいて当該追跡対象データが自装置の前に通過した他の
装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
等の機能を備えている場合に、その装置に対して前記受
信した追跡指示と同一内容の追跡指示を与える第3の手
段と、 自装置における追跡結果を前記通知先アドレス宛に通知
する第4の手段と、を有することを特徴とする、 電子データの追跡システム。 - 【請求項6】 前記第3の手段は、前記追跡対象デー
タについて自装置が何番目に追跡指示を受けたかを表す
追跡順序情報を前記他の装置宛の追跡指示に添付するよ
うに構成され、前記第4の手段は、自装置における追跡
結果と共に前記追跡順序情報を前記通知先アドレス宛に
通知するように構成されていることを特徴とする、 請求項4記載の追跡システム。 - 【請求項7】 前記第3の手段で他の装置に前記追跡
指示を与えることができなかったデータ中継装置が有す
る前記第4の手段は、自装置における追跡結果が前記追
跡指示に基づく最終のデータ中継装置である旨を表す付
加情報を添付することを特徴とする、 請求項6記載の追跡システム。 - 【請求項8】 前記第4の手段は、前記他の装置のプロ
トコルアドレスを特定して前記付加情報に添付すること
を特徴とする、 請求項7記載の追跡システム。 - 【請求項9】 ネットワーク上で連鎖状に接続された複
数のデータ中継装置と、各データ中継装置に対して双方
向通信可能に接続されたデータ追跡装置とを含み、 個々のデータ中継装置は、それぞれ、 追跡すべき電子データの特徴情報と前記データ追跡装置
のアドレスとを含む所定の追跡指示の受信を契機に、自
装置で受信し、他の装置へ転送する電子データから前記
特徴情報に適合するもの(以下、「追跡対象データ」)
を探索する第1の手段と、 探索した前記追跡対象データを前記ネットワーク上で運
ぶデータリンク層の識別子を解析し、この解析結果に基
づいて当該追跡対象データが自装置の前に通過した他の
装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
等の機能を備えている場合に、その装置に対して前記受
信した追跡指示と同一内容の追跡指示を与える第3の手
段と、 自装置における追跡結果を前記アドレス宛に通知する第
4の手段と、を有するものであり、 前記データ追跡装置は、 少なくとも前記第3の手段で他の装置に前記追跡指示を
与えることができなかったデータ中継装置からの通知情
報をもとに当該追跡対象データの発信源を特定するよう
に構成されていることを特徴とする、電子データの追跡
システム。 - 【請求項10】 ネットワーク上で流通する電子データ
を受信し、受信した電子データを連鎖状に接続された他
の装置へ転送する中継機構と、 追跡すべき電子データの特徴情報と追跡結果の通知先ア
ドレスとを含む所定の追跡指示の受信を契機に、自装置
を通過する電子データから前記特徴情報に適合するもの
(以下、「追跡対象データ」)を探索する第1の手段
と、 探索した前記追跡対象データを前記ネットワーク上で運
ぶデータリンク層の識別子を解析し、この解析結果に基
づいて当該追跡対象データが自装置の前に通過した他の
装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
等の機能を備えている場合に、その装置に対して前記受
信した追跡指示と同一内容の追跡指示を与える第3の手
段と、 自装置における追跡結果を所定の識別情報と共に前記通
知先アドレス宛に通知する第4の手段と、を有すること
を特徴とする、 データ中継装置。 - 【請求項11】 前記第4の手段は、前記第3の手段で
他の装置に前記追跡指示を与えることができなかった場
合にのみ前記通知を行うことを特徴とする、 請求項10記載のデータ中継装置。 - 【請求項12】 ネットワーク上で連鎖状に接続された
複数のデータ中継装置及び前記ネットワークを流通する
電子データの到達先に備えられた装置との間で通信を行
う通信手段と、 追跡すべき電子データの到達先の直前のデータ中継装置
を特定し、特定したデータ中継装置宛てに当該到達先よ
り知得した前記追跡すべき電子データの特徴情報及び自
装置のアドレスを含む追跡指示を発行する手段と、 前記追跡指示の宛先となるデータ中継装置またはそのデ
ータ中継装置が前記追跡指示と同一の追跡指示を与えた
他のデータ中継装置より受領した通知情報に基づいて前
記特徴情報に適合した電子データの流通経路を解析する
手段とを有することを特徴とする、データ追跡装置。 - 【請求項13】 前記到達先に備えられた不正アクセス
センサの種別毎に、攻撃パターンとそのときのセンサ出
力コードとを対応付けて記録した第1記録手段と、 前記センサ出力コードの受領を契機に前記第1記録手段
を参照して該当する攻撃パターンとその攻撃パターンに
対応する前記特徴情報を特定する手段と、 をさらに有する、請求項12記載のデータ追跡装置。 - 【請求項14】 前記不正アクセスセンサの種別とその
センサを採用するシステムの管理者のメールアドレスと
を登録しておき、所定の場合に前記管理者のメールアド
レス宛てに警告メールを自動送信する手段をさらに有す
る、 請求項13記載のデータ追跡装置。 - 【請求項15】 前記流通経路を解析して攻撃者を特定
したときに当該攻撃者または攻撃者に関わる者宛に警告
メールを発信する手段をさらに有する、 請求項14記載のデータ追跡装置。 - 【請求項16】 ネットワーク上で連鎖状に接続された
他の装置及び所定のデータ追跡装置と双方向通信可能に
接続されたコンピュータ装置に下記の処理を実行させる
ためのプログラムコードが記録された、コンピュータ読
取可能な記録媒体。 (1)追跡すべき電子データの特徴情報と追跡結果の通
知先アドレスとを含む所定の追跡指示の受信を契機に、
自装置で受信し前記他の装置のいずれかへ転送する電子
データから前記特徴情報に適合するもの(以下、「追跡
対象データ」)を探索する処理、(2)探索した前記追
跡対象データを前記ネットワーク上で運ぶデータリンク
層の識別子を解析し、この解析結果に基づいて当該追跡
対象データが自装置の前に通過した他の装置の特定を試
みる処理、(3)前記他の装置を特定でき且つ特定した
装置が自装置と同等の機能を備えている場合に、その装
置に対して前記受信した追跡指示と同一内容の追跡指示
を与える処理、(4)自装置における追跡結果を所定の
識別情報と共に前記通知先アドレス宛に通知する処理。 - 【請求項17】 ネットワーク上で連鎖状に接続された
複数のデータ中継装置及び前記ネットワークを流通する
電子データの到達先に備えられた装置との間で通信を行
う通信手段を備えたコンピュータ装置に下記の処理を実
行させるためのプログラムコードが記録された、コンピ
ュータ読取可能な記録媒体。 (1)前記到達先に備えられた装置より追跡すべき電子
データの特徴情報を知得する処理、(2)前記到達先の
直前のデータ中継装置を特定し、特定したデータ中継装
置宛てに前記知得した特徴情報及び自装置のアドレスを
含む追跡指示を発行する処理、(3)前記追跡指示の宛
先となるデータ中継装置またはそのデータ中継装置が前
記追跡指示と同一の追跡指示を与えた他のデータ中継装
置より受領した通知情報に基づいて前記特徴情報に適合
する電子データの流通経路を解析する処理。 - 【請求項18】 前記各処理の一部を前記コンピュータ
装置に搭載されたオペレーティングシステムに実行させ
るためのディジタル情報が記録された、請求項16また
は17に記載された記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP29324598A JP3483782B2 (ja) | 1998-10-15 | 1998-10-15 | 電子データの追跡システム及びデータ中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP29324598A JP3483782B2 (ja) | 1998-10-15 | 1998-10-15 | 電子データの追跡システム及びデータ中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2000124952A true JP2000124952A (ja) | 2000-04-28 |
JP3483782B2 JP3483782B2 (ja) | 2004-01-06 |
Family
ID=17792331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP29324598A Expired - Lifetime JP3483782B2 (ja) | 1998-10-15 | 1998-10-15 | 電子データの追跡システム及びデータ中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3483782B2 (ja) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2004147223A (ja) * | 2002-08-30 | 2004-05-20 | Ntt Data Corp | パケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラム |
US6895432B2 (en) | 2000-12-15 | 2005-05-17 | Fujitsu Limited | IP network system having unauthorized intrusion safeguard function |
JP2005175993A (ja) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | ワーム伝播監視システム |
JP2006279691A (ja) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | 不正アクセス探索方法及び装置 |
JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2007201966A (ja) * | 2006-01-30 | 2007-08-09 | Alaxala Networks Corp | トラフィック制御方式、装置及びシステム |
JP2009055222A (ja) * | 2007-08-24 | 2009-03-12 | Nec Corp | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
JP2009278293A (ja) * | 2008-05-13 | 2009-11-26 | Nec Corp | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム |
US7681236B2 (en) | 2003-03-18 | 2010-03-16 | Fujitsu Limited | Unauthorized access prevention system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08331146A (ja) * | 1995-06-02 | 1996-12-13 | Hitachi Electron Service Co Ltd | Lanアナライザ |
JPH10164064A (ja) * | 1996-12-05 | 1998-06-19 | Hitachi Ltd | ネットワーク侵入経路追跡方式 |
JP2000341315A (ja) * | 1999-05-31 | 2000-12-08 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2003178024A (ja) * | 2001-12-10 | 2003-06-27 | Ntt Comware Corp | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
-
1998
- 1998-10-15 JP JP29324598A patent/JP3483782B2/ja not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08331146A (ja) * | 1995-06-02 | 1996-12-13 | Hitachi Electron Service Co Ltd | Lanアナライザ |
JPH10164064A (ja) * | 1996-12-05 | 1998-06-19 | Hitachi Ltd | ネットワーク侵入経路追跡方式 |
JP2000341315A (ja) * | 1999-05-31 | 2000-12-08 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2003178024A (ja) * | 2001-12-10 | 2003-06-27 | Ntt Comware Corp | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6895432B2 (en) | 2000-12-15 | 2005-05-17 | Fujitsu Limited | IP network system having unauthorized intrusion safeguard function |
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
US8166553B2 (en) | 2002-05-28 | 2012-04-24 | Fujitsu Limited | Method and apparatus for detecting unauthorized-access, and computer product |
JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
JP2004147223A (ja) * | 2002-08-30 | 2004-05-20 | Ntt Data Corp | パケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラム |
US7681236B2 (en) | 2003-03-18 | 2010-03-16 | Fujitsu Limited | Unauthorized access prevention system |
JP2005175993A (ja) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | ワーム伝播監視システム |
JP2006279691A (ja) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | 不正アクセス探索方法及び装置 |
JP4641848B2 (ja) * | 2005-03-30 | 2011-03-02 | 富士通株式会社 | 不正アクセス探索方法及び装置 |
JP2007201966A (ja) * | 2006-01-30 | 2007-08-09 | Alaxala Networks Corp | トラフィック制御方式、装置及びシステム |
JP4547340B2 (ja) * | 2006-01-30 | 2010-09-22 | アラクサラネットワークス株式会社 | トラフィック制御方式、装置及びシステム |
JP2009055222A (ja) * | 2007-08-24 | 2009-03-12 | Nec Corp | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
JP4710889B2 (ja) * | 2007-08-24 | 2011-06-29 | 日本電気株式会社 | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
JP2009278293A (ja) * | 2008-05-13 | 2009-11-26 | Nec Corp | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3483782B2 (ja) | 2004-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8200798B2 (en) | Address security in a routed access network | |
US7360086B1 (en) | Communications control method and information relaying device for communications network system | |
US8910248B2 (en) | Terminal connection status management with network authentication | |
US20040003292A1 (en) | User identifying technique on networks having different address systems | |
US20100241744A1 (en) | Network Monitoring Apparatus and Network Monitoring Method | |
US6738911B2 (en) | Method and apparatus for providing client-based network security | |
JP5581141B2 (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
CN101529862A (zh) | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 | |
JP2002252654A (ja) | 侵入検出装置およびシステムならびにルータ | |
JP2000261483A (ja) | ネットワーク監視システム | |
JP2000124952A (ja) | 電子データの追跡方法及びシステム、記録媒体 | |
CN112637373B (zh) | 一种保持哑终端在线的方法及设备 | |
US7840698B2 (en) | Detection of hidden wireless routers | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
JPH10143338A (ja) | ネットワークプリンタ | |
JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
JP3790486B2 (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
CN106685861A (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
JP4167866B2 (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
JP2000341315A (ja) | 電子データの追跡方法及びシステム、記録媒体 | |
KR20090113745A (ko) | 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071017 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081017 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091017 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101017 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111017 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121017 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131017 Year of fee payment: 10 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |