JP2000341315A - 電子データの追跡方法及びシステム、記録媒体 - Google Patents
電子データの追跡方法及びシステム、記録媒体Info
- Publication number
- JP2000341315A JP2000341315A JP11153134A JP15313499A JP2000341315A JP 2000341315 A JP2000341315 A JP 2000341315A JP 11153134 A JP11153134 A JP 11153134A JP 15313499 A JP15313499 A JP 15313499A JP 2000341315 A JP2000341315 A JP 2000341315A
- Authority
- JP
- Japan
- Prior art keywords
- tracking
- electronic data
- data
- network
- tracing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 ネットワークを通じて流通する電子データの
発信源を受信側で正しく特定することができ、且つ追跡
処理のシステムリソースの容量の問題を解消できる追跡
管理システムを提供する。 【解決手段】 ネットワーク上に接続されたデータ中継
装置RMa〜RMcと、追跡管理装置CMとを含んで追
跡管理システム1を構成する。各データ中継装置RMa
〜RMcは、捕捉した電子データを運ぶデータリンク層
の識別子に基づいて当該電子データが自装置の前に通過
した隣接ノードを追跡するととも隣接ノードの追跡が限
界に達したときは、電子データの特徴情報をもとにプロ
トコルアドレスベースの追跡処理、すなわちネットワー
ク単位での追跡処理を実行するための検問モジュールを
自装置内に形成する。追跡管理装置CMは、各データ中
継装置RMa〜RMcから通知された情報をもとにプロ
トコルベースの追跡処理が可能な場合はそれを実行し、
それが不能の場合に隣接ノード追跡処理を実行する。
発信源を受信側で正しく特定することができ、且つ追跡
処理のシステムリソースの容量の問題を解消できる追跡
管理システムを提供する。 【解決手段】 ネットワーク上に接続されたデータ中継
装置RMa〜RMcと、追跡管理装置CMとを含んで追
跡管理システム1を構成する。各データ中継装置RMa
〜RMcは、捕捉した電子データを運ぶデータリンク層
の識別子に基づいて当該電子データが自装置の前に通過
した隣接ノードを追跡するととも隣接ノードの追跡が限
界に達したときは、電子データの特徴情報をもとにプロ
トコルアドレスベースの追跡処理、すなわちネットワー
ク単位での追跡処理を実行するための検問モジュールを
自装置内に形成する。追跡管理装置CMは、各データ中
継装置RMa〜RMcから通知された情報をもとにプロ
トコルベースの追跡処理が可能な場合はそれを実行し、
それが不能の場合に隣接ノード追跡処理を実行する。
Description
【0001】
【発明の属する技術分野】本発明は、例えばインターネ
ットを介して流通する電子データの流通経路または発信
源を、送信元プロトコルアドレスが偽れたり、他のホス
トを利用して不正にアクセスされた場合であっても、こ
れを正確に特定できるようにするためのデータ追跡技術
に関する。
ットを介して流通する電子データの流通経路または発信
源を、送信元プロトコルアドレスが偽れたり、他のホス
トを利用して不正にアクセスされた場合であっても、こ
れを正確に特定できるようにするためのデータ追跡技術
に関する。
【0002】
【従来の技術】インターネット等の広域ネットワークの
急速な普及に伴い、そのネットワークに接続される各種
システムに不正にアクセスし、データの盗用や改竄、破
壊等の行為が発生することが問題になっている。現在、
このような不正アクセスがあった場合は、電子データの
ヘッダ情報に付与される識別子(インターネットの場合
は宛先、送信元IP(Internet Protocol)アドレス)
のログ(記録情報)を分析することで、そのパケットの
発信源を追跡することが試みられている。つまり、ヘッ
ダ情報のIPアドレスを信用し、ルータ等の中継機器や
中継ノード等に残されたログや経路情報等を利用して発
信源を追跡している。
急速な普及に伴い、そのネットワークに接続される各種
システムに不正にアクセスし、データの盗用や改竄、破
壊等の行為が発生することが問題になっている。現在、
このような不正アクセスがあった場合は、電子データの
ヘッダ情報に付与される識別子(インターネットの場合
は宛先、送信元IP(Internet Protocol)アドレス)
のログ(記録情報)を分析することで、そのパケットの
発信源を追跡することが試みられている。つまり、ヘッ
ダ情報のIPアドレスを信用し、ルータ等の中継機器や
中継ノード等に残されたログや経路情報等を利用して発
信源を追跡している。
【0003】
【発明が解決しようとする課題】しかしながら、IPア
ドレスは、送信元の装置(又はシステム)によって任意
に付与されるものであり、これを偽ることにより送信元
を隠すことは容易である。通常、あるシステムに不正に
アクセスする者(以下、不正アクセスを「攻撃」、不正
アクセスを行う者を「攻撃者」と称する場合がある)
は、身元を隠すために自己のIPアドレスではなく、別
のIPアドレスを用いて攻撃する場合が多い。この場
合、不正にアクセスされたシステム側では、IPアドレ
スを信用することができず、また、攻撃者を正しく特定
することができない。また、最近は、他人のホストを利
用した攻撃(このような攻撃形態は「踏み台」と呼ばれ
る)も行われており、その被害も深刻なものとなってい
る。特に、代理サーバ(Proxyサーバ)を利用して
真の発信源のプロトコルアドレスを隠蔽して攻撃を行う
パターンも増加しており、既存の手法では、これに対応
することができない。
ドレスは、送信元の装置(又はシステム)によって任意
に付与されるものであり、これを偽ることにより送信元
を隠すことは容易である。通常、あるシステムに不正に
アクセスする者(以下、不正アクセスを「攻撃」、不正
アクセスを行う者を「攻撃者」と称する場合がある)
は、身元を隠すために自己のIPアドレスではなく、別
のIPアドレスを用いて攻撃する場合が多い。この場
合、不正にアクセスされたシステム側では、IPアドレ
スを信用することができず、また、攻撃者を正しく特定
することができない。また、最近は、他人のホストを利
用した攻撃(このような攻撃形態は「踏み台」と呼ばれ
る)も行われており、その被害も深刻なものとなってい
る。特に、代理サーバ(Proxyサーバ)を利用して
真の発信源のプロトコルアドレスを隠蔽して攻撃を行う
パターンも増加しており、既存の手法では、これに対応
することができない。
【0004】そこで本発明は、このような問題を解決す
ることができる電子データの追跡技術を提供することを
主たる課題とする。
ることができる電子データの追跡技術を提供することを
主たる課題とする。
【0005】
【課題を解決するための手段】上記課題を解決するた
め、本発明は、送信元プロトコルアドレスや送信先プロ
トコルアドレスよりも下位に位置する層(以下、この下
位層を総称したものを「データリンク層の識別子」とす
る)のフレームまたはセル(以下、両者を区別する必要
がない場合は「フレーム等」と略称する)に含まれる識
別子をもとに、電子データが通過してきた経路を受信側
から送信側に向かって辿る方式を基本的な追跡方式とし
て採用する。
め、本発明は、送信元プロトコルアドレスや送信先プロ
トコルアドレスよりも下位に位置する層(以下、この下
位層を総称したものを「データリンク層の識別子」とす
る)のフレームまたはセル(以下、両者を区別する必要
がない場合は「フレーム等」と略称する)に含まれる識
別子をもとに、電子データが通過してきた経路を受信側
から送信側に向かって辿る方式を基本的な追跡方式とし
て採用する。
【0006】具体的には、複数の装置(以下、「装置」
という場合は機器、システムの場合を含む)が通信路上
でつながっている場合において、個々の装置が識別子を
解析することで電子データが通過した自装置の一つ前の
装置を特定した後、この特定した装置に、当該電子デー
タが当該装置の一つ前に通過した他の装置を特定させ
る。好ましくは、予め追跡対象データの特徴情報を特定
しておき、流通する電子データが前記特徴情報に合致す
るときに、当該合致する電子データを運ぶデータリンク
層の識別子を解析する。それぞれの装置が、他の装置を
特定できたときは自装置における解析の識別情報を当該
他の装置及び所定の追跡管理手段に通知する。他の装置
を特定できなかったとき(識別子を解析することで電子
データが通過した自装置の一つ前の装置を特定する機能
を持つ装置でない場合を含む)は当該特徴情報に基づく
最終通知情報を追跡管理手段に通知するようにする。
という場合は機器、システムの場合を含む)が通信路上
でつながっている場合において、個々の装置が識別子を
解析することで電子データが通過した自装置の一つ前の
装置を特定した後、この特定した装置に、当該電子デー
タが当該装置の一つ前に通過した他の装置を特定させ
る。好ましくは、予め追跡対象データの特徴情報を特定
しておき、流通する電子データが前記特徴情報に合致す
るときに、当該合致する電子データを運ぶデータリンク
層の識別子を解析する。それぞれの装置が、他の装置を
特定できたときは自装置における解析の識別情報を当該
他の装置及び所定の追跡管理手段に通知する。他の装置
を特定できなかったとき(識別子を解析することで電子
データが通過した自装置の一つ前の装置を特定する機能
を持つ装置でない場合を含む)は当該特徴情報に基づく
最終通知情報を追跡管理手段に通知するようにする。
【0007】「識別子」は、電子データを運ぶメディア
がLAN(Local Area Network)等のネットワークの場
合はMAC(Media Access Contorol)アドレス、フレ
ームリレー網の場合はDLCI(Data Link Connection
Identifier)、ATM(Asynchronous Transfer Mod
e)網の場合はVPI(Virtual Path Identifier)/V
CI(Virtual Channel Identifier)等の情報である。
メディアとしては、インターネット、イーサネットやF
DDI(Fiber Distributed Data interface)等を用い
たLAN、専用線、フレームリレー網、ATM網等を使
用することができる。専用線を介して装置(発信源/目
標システム/中継装置等)が接続される場合には、一つ
のインタフェースに対して、一つの装置しか接続されな
いため、辿るべき経路は一意に決定される。フレームリ
レー網やATM網の場合も、PVC(相手先固定)接続
の場合には、接続される相手装置とDLCI(フレーム
リレー網の場合)、VPI/VCI(ATM網の場合)
が1対1に対応しているため、電子データが含まれるデ
ータリンク層の識別子のフレーム等のDLCIやVPI
/VCIを確認すれば、その電子データが通過した一つ
前の装置を特定することができる。インターネットやL
ANの場合は、そのフレームに送信元MACアドレスが
付与されるので、そのMACアドレスから一つ前の装置
を特定することができる。
がLAN(Local Area Network)等のネットワークの場
合はMAC(Media Access Contorol)アドレス、フレ
ームリレー網の場合はDLCI(Data Link Connection
Identifier)、ATM(Asynchronous Transfer Mod
e)網の場合はVPI(Virtual Path Identifier)/V
CI(Virtual Channel Identifier)等の情報である。
メディアとしては、インターネット、イーサネットやF
DDI(Fiber Distributed Data interface)等を用い
たLAN、専用線、フレームリレー網、ATM網等を使
用することができる。専用線を介して装置(発信源/目
標システム/中継装置等)が接続される場合には、一つ
のインタフェースに対して、一つの装置しか接続されな
いため、辿るべき経路は一意に決定される。フレームリ
レー網やATM網の場合も、PVC(相手先固定)接続
の場合には、接続される相手装置とDLCI(フレーム
リレー網の場合)、VPI/VCI(ATM網の場合)
が1対1に対応しているため、電子データが含まれるデ
ータリンク層の識別子のフレーム等のDLCIやVPI
/VCIを確認すれば、その電子データが通過した一つ
前の装置を特定することができる。インターネットやL
ANの場合は、そのフレームに送信元MACアドレスが
付与されるので、そのMACアドレスから一つ前の装置
を特定することができる。
【0008】但し、フレーム等に含まれる識別子は、通
常、そのフレーム等が送信される中継装置のものなの
で、発信源までは直ちに特定することができない。そこ
で、本発明の追跡処理では、フレーム等の識別子から、
電子データが通過した一つ前のノード(装置が存在する
位置)をまず特定し、そのノードの装置で、追跡すべき
電子データの特徴情報に適合する電子データを再び捕捉
し、その電子データのフレーム等の識別子を調べること
によって、さらに先のノードを探索していくという動作
を繰り返していき、最終的に追跡すべき電子データの発
信源を推定する。
常、そのフレーム等が送信される中継装置のものなの
で、発信源までは直ちに特定することができない。そこ
で、本発明の追跡処理では、フレーム等の識別子から、
電子データが通過した一つ前のノード(装置が存在する
位置)をまず特定し、そのノードの装置で、追跡すべき
電子データの特徴情報に適合する電子データを再び捕捉
し、その電子データのフレーム等の識別子を調べること
によって、さらに先のノードを探索していくという動作
を繰り返していき、最終的に追跡すべき電子データの発
信源を推定する。
【0009】また、以上の追跡処理は、追跡開始位置を
起点に電子データの発信源の一つ前のノードに到達する
まですべて中継装置が上記追跡処理機能を実装している
ことが前提であり、場合によっては、既存設備の置き換
え等が必要となる。また、追跡開始位置から発信源まで
のルートが長いと各ノードでの追跡のために消費するシ
ステムリソースが大きい。
起点に電子データの発信源の一つ前のノードに到達する
まですべて中継装置が上記追跡処理機能を実装している
ことが前提であり、場合によっては、既存設備の置き換
え等が必要となる。また、追跡開始位置から発信源まで
のルートが長いと各ノードでの追跡のために消費するシ
ステムリソースが大きい。
【0010】そこで、上記追跡処理の応用として、自律
ネットワークへのデータ流入ポイント、つまり、自律ネ
ットワークの出入口に、プロトコルアドレスベースで追
跡処理を行うための情報を出力する機構を配備し、この
情報に基づくプロトコルアドレスベースの追跡処理と上
記の隣接ノードのデータリンク層の識別子に基づく追跡
処理とを連携させることで、電子データの経路追跡と発
信源の特定(推定)を効率的に行うようにした。
ネットワークへのデータ流入ポイント、つまり、自律ネ
ットワークの出入口に、プロトコルアドレスベースで追
跡処理を行うための情報を出力する機構を配備し、この
情報に基づくプロトコルアドレスベースの追跡処理と上
記の隣接ノードのデータリンク層の識別子に基づく追跡
処理とを連携させることで、電子データの経路追跡と発
信源の特定(推定)を効率的に行うようにした。
【0011】「自律ネットワーク」とは、商用インター
ネットサービスプロバイダ(ISP)や大学のキャンパ
スネットワーク等のような、ある共通の運用ポリシー
(運営の仕方、接続の仕方、利用するプロトコル、セキ
ュリティの考え方等)により運営されているネットワー
クをいう。このような自律ネットワークには、商用IS
Pのように、管理されたネットワークもあれば、大学や
研究所のように、ネットワークトポロジーの変化が厳し
く、管理の難しいネットワークもある。以下の説明で
は、便宜上、前者のネットワークを「管理ネットワー
ク」、後者のネットワークを「非管理ネットワーク」と
称する。管理ネットワークでは、アドレス管理、機器・
構成管理、アカウント管理、トラフィック管理、トラフ
ィック制御のための各種管理項目が実施されており、ネ
ットワーク運用、特にセキュリティ的に信頼性が高く、
そのネットワークに接続される場合には送信元プロトコ
ルアドレスがチェックされるだけで良いことが予想され
るので、そのネットワークの出入口を押さえれば、プロ
トコルアドレスベースで追跡処理を行うことが可能であ
る。
ネットサービスプロバイダ(ISP)や大学のキャンパ
スネットワーク等のような、ある共通の運用ポリシー
(運営の仕方、接続の仕方、利用するプロトコル、セキ
ュリティの考え方等)により運営されているネットワー
クをいう。このような自律ネットワークには、商用IS
Pのように、管理されたネットワークもあれば、大学や
研究所のように、ネットワークトポロジーの変化が厳し
く、管理の難しいネットワークもある。以下の説明で
は、便宜上、前者のネットワークを「管理ネットワー
ク」、後者のネットワークを「非管理ネットワーク」と
称する。管理ネットワークでは、アドレス管理、機器・
構成管理、アカウント管理、トラフィック管理、トラフ
ィック制御のための各種管理項目が実施されており、ネ
ットワーク運用、特にセキュリティ的に信頼性が高く、
そのネットワークに接続される場合には送信元プロトコ
ルアドレスがチェックされるだけで良いことが予想され
るので、そのネットワークの出入口を押さえれば、プロ
トコルアドレスベースで追跡処理を行うことが可能であ
る。
【0012】本発明は、この点に着目し、データ追跡を
自律ネットワーク単位で行い、各自律ネットワークが管
理ネットワークかどうかを電子情報の特徴情報(プロト
コルアドレス等)をもとに判定する。そして、管理ネッ
トワークの場合はその出入口のデータチェックによる第
1の追跡処理、すなわちプロトコルアドレスベースの追
跡処理を行い、非管理ネットワークの場合はデータリン
ク層の識別子に基づく第2の追跡処理、すなわち隣接ノ
ード追跡処理を行うようにする。このようにして、上記
のシステムリソースの消費の問題の解決を図る。
自律ネットワーク単位で行い、各自律ネットワークが管
理ネットワークかどうかを電子情報の特徴情報(プロト
コルアドレス等)をもとに判定する。そして、管理ネッ
トワークの場合はその出入口のデータチェックによる第
1の追跡処理、すなわちプロトコルアドレスベースの追
跡処理を行い、非管理ネットワークの場合はデータリン
ク層の識別子に基づく第2の追跡処理、すなわち隣接ノ
ード追跡処理を行うようにする。このようにして、上記
のシステムリソースの消費の問題の解決を図る。
【0013】本発明は、捕捉した電子データに含まれる
自律ネットワークのプロトコルアドレスをもとに当該電
子データが通過してきた経路を自律ネットワーク単位に
辿る第1の追跡処理と、捕捉した電子データに含まれる
データリンク層の識別子をもとに当該電子データが通過
してきた経路を受信側の装置から送信側の装置に向けて
辿る第2の追跡処理とを組み合わせることにより、前記
電子データの通過経路を推定することを特徴とする、電
子データの追跡方法として具現化される。
自律ネットワークのプロトコルアドレスをもとに当該電
子データが通過してきた経路を自律ネットワーク単位に
辿る第1の追跡処理と、捕捉した電子データに含まれる
データリンク層の識別子をもとに当該電子データが通過
してきた経路を受信側の装置から送信側の装置に向けて
辿る第2の追跡処理とを組み合わせることにより、前記
電子データの通過経路を推定することを特徴とする、電
子データの追跡方法として具現化される。
【0014】この追跡方法において、第1の追跡処理
は、電子データに含まれる自律ネットワークのプロトコ
ルアドレスと所定の規則とに基づいて当該自律ネットワ
ークが信頼性のある管理ネットワークか信頼性のない非
管理ネットワークかを判定する信頼性判定処理を含み、
該判定の結果、管理ネットワークであった場合は当該自
律ネットワークを構成する複数の装置による第2の追跡
処理を省略して次の自律ネットワークにおける信頼性判
定処理に移行し、非管理ネットワークであった場合は直
ちに当該装置による第2の追跡処理に移行させる処理で
ある。
は、電子データに含まれる自律ネットワークのプロトコ
ルアドレスと所定の規則とに基づいて当該自律ネットワ
ークが信頼性のある管理ネットワークか信頼性のない非
管理ネットワークかを判定する信頼性判定処理を含み、
該判定の結果、管理ネットワークであった場合は当該自
律ネットワークを構成する複数の装置による第2の追跡
処理を省略して次の自律ネットワークにおける信頼性判
定処理に移行し、非管理ネットワークであった場合は直
ちに当該装置による第2の追跡処理に移行させる処理で
ある。
【0015】第2の追跡処理は、より具体的には、連鎖
的に接続された複数の装置の各々が前記識別子を解析す
ることで電子データが通過した自装置の一つ前の装置を
特定した後、この特定した装置に、当該電子データが当
該装置の一つ前に通過した他の装置を特定させる処理で
ある。また、好ましい形態として、第1の追跡処理及び
第2の追跡処理は、自律ネットワークを含むネットワー
ク集合体に配備されている装置が所定のモジュール及び
指示情報とを読み込むことによって実行される。この場
合、モジュール及び指示情報の少なくとも一方は、所定
の指示情報と共に各装置を統括的に管理する追跡管理装
置によって配布される。配布形態としては、例えば、第
2の追跡処理が限界に達した時点で当該第2の追跡処理
を実行した装置とは異なる装置に当該第2の追跡処理用
のモジュール及び指示情報を配布する形態、第2の追跡
処理が限界に達した時点で当該第2の追跡処理を実行し
た装置に第1の追跡処理用のモジュール及び指示情報を
配布する形態が考えられる。
的に接続された複数の装置の各々が前記識別子を解析す
ることで電子データが通過した自装置の一つ前の装置を
特定した後、この特定した装置に、当該電子データが当
該装置の一つ前に通過した他の装置を特定させる処理で
ある。また、好ましい形態として、第1の追跡処理及び
第2の追跡処理は、自律ネットワークを含むネットワー
ク集合体に配備されている装置が所定のモジュール及び
指示情報とを読み込むことによって実行される。この場
合、モジュール及び指示情報の少なくとも一方は、所定
の指示情報と共に各装置を統括的に管理する追跡管理装
置によって配布される。配布形態としては、例えば、第
2の追跡処理が限界に達した時点で当該第2の追跡処理
を実行した装置とは異なる装置に当該第2の追跡処理用
のモジュール及び指示情報を配布する形態、第2の追跡
処理が限界に達した時点で当該第2の追跡処理を実行し
た装置に第1の追跡処理用のモジュール及び指示情報を
配布する形態が考えられる。
【0016】本発明は、また、データ追跡装置と追跡管
理装置とを含む追跡管理システムとして具現化される。
データ追跡装置は、追跡対象となる電子データを捕捉す
るデータ捕捉手段と、捕捉した電子データを運ぶデータ
リンク層の識別子に基づいて当該電子データが自装置の
前に通過した他の装置の特定を試みるとともに、前記他
の装置を特定でき且つ特定した装置が自装置と同等の機
能を備えている場合にその装置に対して前記電子データ
が一つ前に通過した装置を特定させる隣接ノード追跡手
段と、前記他の装置の特定が限界に達したときに所定の
モジュールを読み込んで前記電子データの特徴情報をも
とにプロトコルアドレスベースの追跡処理を実行するプ
ロトコルアドレス追跡手段を自装置内に形成する手段と
を有するものである。プロトコルアドレス追跡手段は、
より具体的には、自装置が接続されている自律ネットワ
ークへの流入ポイントを通過する電子データから所定の
追跡条件に適合する電子データを捕捉するデータ捕捉手
段と、捕捉した電子データの特徴情報を前記追跡条件を
指定した装置宛に通知する通知手段とを含んで構成され
る。このプロトコルアドレス追跡手段は、必要に応じ
て、前記追跡条件を指定した装置からの解除指示の受領
時又は一定の期間満了後に削除されるようにする。
理装置とを含む追跡管理システムとして具現化される。
データ追跡装置は、追跡対象となる電子データを捕捉す
るデータ捕捉手段と、捕捉した電子データを運ぶデータ
リンク層の識別子に基づいて当該電子データが自装置の
前に通過した他の装置の特定を試みるとともに、前記他
の装置を特定でき且つ特定した装置が自装置と同等の機
能を備えている場合にその装置に対して前記電子データ
が一つ前に通過した装置を特定させる隣接ノード追跡手
段と、前記他の装置の特定が限界に達したときに所定の
モジュールを読み込んで前記電子データの特徴情報をも
とにプロトコルアドレスベースの追跡処理を実行するプ
ロトコルアドレス追跡手段を自装置内に形成する手段と
を有するものである。プロトコルアドレス追跡手段は、
より具体的には、自装置が接続されている自律ネットワ
ークへの流入ポイントを通過する電子データから所定の
追跡条件に適合する電子データを捕捉するデータ捕捉手
段と、捕捉した電子データの特徴情報を前記追跡条件を
指定した装置宛に通知する通知手段とを含んで構成され
る。このプロトコルアドレス追跡手段は、必要に応じ
て、前記追跡条件を指定した装置からの解除指示の受領
時又は一定の期間満了後に削除されるようにする。
【0017】追跡管理装置は、電子データを運ぶデータ
リンク層の識別子に基づいて当該電子データが自装置の
前に通過した他の装置の特定を試みるとともに前記他の
装置を特定でき且つ特定した装置が自装置と同等の機能
を備えている場合にその装置に対して前記電子データが
一つ前に通過した装置を特定させる隣接ノード追跡手段
と所定のモジュールをロードする手段とを有する複数の
データ追跡装置に対して双方向通信可能な形態で接続さ
れる装置であって、複数のデータ追跡装置のいくつかに
当該データ追跡装置が接続されている自律ネットワーク
への流入ポイントを通過した電子データのうち所定の追
跡条件に適合する電子データを捕捉するとともに捕捉し
た電子データの特徴情報を出力するプロトコルアドレス
追跡手段を形成するモジュールと前記追跡条件とを配布
する配布手段を有し、これにより形成されたプロトコル
アドレス追跡手段と隣接ノード追跡手段による実行結果
情報をもとに前記電子データの追跡管理を行うように構
成されたものである。
リンク層の識別子に基づいて当該電子データが自装置の
前に通過した他の装置の特定を試みるとともに前記他の
装置を特定でき且つ特定した装置が自装置と同等の機能
を備えている場合にその装置に対して前記電子データが
一つ前に通過した装置を特定させる隣接ノード追跡手段
と所定のモジュールをロードする手段とを有する複数の
データ追跡装置に対して双方向通信可能な形態で接続さ
れる装置であって、複数のデータ追跡装置のいくつかに
当該データ追跡装置が接続されている自律ネットワーク
への流入ポイントを通過した電子データのうち所定の追
跡条件に適合する電子データを捕捉するとともに捕捉し
た電子データの特徴情報を出力するプロトコルアドレス
追跡手段を形成するモジュールと前記追跡条件とを配布
する配布手段を有し、これにより形成されたプロトコル
アドレス追跡手段と隣接ノード追跡手段による実行結果
情報をもとに前記電子データの追跡管理を行うように構
成されたものである。
【0018】追跡管理システムは、複数のデータ追跡装
置のうちいくつかが前記プロトコルアドレス追跡手段を
備えたものであり、追跡管理装置が隣接ノード追跡手段
とプロトコルアドレス追跡手段とを選択的に実行するよ
うに構成されたものである。本発明は、さらに、捕捉し
た電子データに含まれる自律ネットワークのプロトコル
アドレスをもとに当該電子データが通過してきた経路を
自律ネットワーク単位に辿る第1の追跡処理と、捕捉し
た電子データに含まれるデータリンク層の識別子をもと
に当該電子データが通過してきた経路を受信側の装置か
ら送信側の装置に向けて連続的に辿る第2の追跡処理と
を組み合わせることにより、前記電子データの通過経路
を推定する機能をコンピュータに実行させるためのプロ
グラムが記録された、コンピュータ読み取り可能な記録
媒体としても具現化される。
置のうちいくつかが前記プロトコルアドレス追跡手段を
備えたものであり、追跡管理装置が隣接ノード追跡手段
とプロトコルアドレス追跡手段とを選択的に実行するよ
うに構成されたものである。本発明は、さらに、捕捉し
た電子データに含まれる自律ネットワークのプロトコル
アドレスをもとに当該電子データが通過してきた経路を
自律ネットワーク単位に辿る第1の追跡処理と、捕捉し
た電子データに含まれるデータリンク層の識別子をもと
に当該電子データが通過してきた経路を受信側の装置か
ら送信側の装置に向けて連続的に辿る第2の追跡処理と
を組み合わせることにより、前記電子データの通過経路
を推定する機能をコンピュータに実行させるためのプロ
グラムが記録された、コンピュータ読み取り可能な記録
媒体としても具現化される。
【0019】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を詳細に説明する。 <第1実施形態>図1は、本発明を適用した追跡管理シ
ステム1の構成図である。図示の例では、広域ネットワ
ークの一例となるインターネット上に、攻撃者による被
害を受けた被害者ネットワークTN、攻撃者が操作した
端末装置(以下、「発信源装置」)OM、攻撃者が最初
にアクセスしたアクセスサーバAS、不正アクセス者を
特定する機能を有するRADIUSサーバDS、データ
追跡状況を管理する追跡管理装置CMが存在しており、
被害者ネットワークTNと発信源装置OMとの間には複
数の自律ネットワークLNが介在し、さらに、自律ネッ
トワークLN内及び自律ネットワークLN間等にデータ
中継装置RMa〜RMcが配備される場合を想定する。
なお、この例では、データ中継装置RMa〜RMcの数
は、説明の便宜上、3つにしてあるが、実際は、かなり
多数となる。
施の形態を詳細に説明する。 <第1実施形態>図1は、本発明を適用した追跡管理シ
ステム1の構成図である。図示の例では、広域ネットワ
ークの一例となるインターネット上に、攻撃者による被
害を受けた被害者ネットワークTN、攻撃者が操作した
端末装置(以下、「発信源装置」)OM、攻撃者が最初
にアクセスしたアクセスサーバAS、不正アクセス者を
特定する機能を有するRADIUSサーバDS、データ
追跡状況を管理する追跡管理装置CMが存在しており、
被害者ネットワークTNと発信源装置OMとの間には複
数の自律ネットワークLNが介在し、さらに、自律ネッ
トワークLN内及び自律ネットワークLN間等にデータ
中継装置RMa〜RMcが配備される場合を想定する。
なお、この例では、データ中継装置RMa〜RMcの数
は、説明の便宜上、3つにしてあるが、実際は、かなり
多数となる。
【0020】アクセスサーバASは、ダイヤルアップ接
続してきたユーザの特定に利用する電話番号やユーザか
らのアクセスに対して割り当てられるアドレス等の情報
を保持しており、これによって、アクセスしたユーザ
(ここでは、発信源装置OMを操作したユーザを想定)
特定できるように構成されている。
続してきたユーザの特定に利用する電話番号やユーザか
らのアクセスに対して割り当てられるアドレス等の情報
を保持しており、これによって、アクセスしたユーザ
(ここでは、発信源装置OMを操作したユーザを想定)
特定できるように構成されている。
【0021】データ中継装置RMa〜RMcは、例えば
モジュールの実装機構(モジュールのロード手段)を有
するコンピュータ搭載のルータないし同等機能を有する
ネットワーク部品である。本実施形態では、ルーティン
グプロトコルやARP(Address Resolution Protoco
l)キャッシュに基づくルータとしての基本機能のほ
か、隣接ノードの追跡処理を行う追跡モジュールを予め
実装しておく。自律ネットワークの出入口に属するデー
タ中継装置、あるいは追跡管理装置CMが指定したデー
タ中継装置については、さらに検問モジュールを随時実
装できるようになっている。この検問モジュールは、有
効期限付きに設定しても良く、必要な場合に実装し、不
要になった時点で削除できるようにしても良い。
モジュールの実装機構(モジュールのロード手段)を有
するコンピュータ搭載のルータないし同等機能を有する
ネットワーク部品である。本実施形態では、ルーティン
グプロトコルやARP(Address Resolution Protoco
l)キャッシュに基づくルータとしての基本機能のほ
か、隣接ノードの追跡処理を行う追跡モジュールを予め
実装しておく。自律ネットワークの出入口に属するデー
タ中継装置、あるいは追跡管理装置CMが指定したデー
タ中継装置については、さらに検問モジュールを随時実
装できるようになっている。この検問モジュールは、有
効期限付きに設定しても良く、必要な場合に実装し、不
要になった時点で削除できるようにしても良い。
【0022】追跡モジュールは、これを実装したデータ
中継装置上で、データリンク層のフレームの識別子、例
えばMACアドレスをもとに、追跡指示と追跡すべき電
子データの特徴情報(例えば、送信元IPアドレス、宛
先IPアドレス、その上位プロトコルの種類等の情報)
をもとにその電子データが通過してきた隣接ノードを受
信側から送信側に向かって辿っていく、いわゆる「隣接
ノード追跡処理」を実行するもので、追跡指示と追跡す
べき電子データの特徴情報とを取得する機能、取得した
特徴情報に適合する電子データを捕捉する機能、捕捉し
た電子データに含まれるデータリンク層のフレームを抽
出する機能、そのデータリンク層の識別子から一つ前の
ノードを特定する機能、特定したノードにある装置に追
跡モジュールが実装されているときにその装置に上記取
得した特徴情報と共に追跡指示を与える機能、自己の追
跡結果を自己の識別情報と共に追跡管理装置CMに通知
する機能等を有するものである。
中継装置上で、データリンク層のフレームの識別子、例
えばMACアドレスをもとに、追跡指示と追跡すべき電
子データの特徴情報(例えば、送信元IPアドレス、宛
先IPアドレス、その上位プロトコルの種類等の情報)
をもとにその電子データが通過してきた隣接ノードを受
信側から送信側に向かって辿っていく、いわゆる「隣接
ノード追跡処理」を実行するもので、追跡指示と追跡す
べき電子データの特徴情報とを取得する機能、取得した
特徴情報に適合する電子データを捕捉する機能、捕捉し
た電子データに含まれるデータリンク層のフレームを抽
出する機能、そのデータリンク層の識別子から一つ前の
ノードを特定する機能、特定したノードにある装置に追
跡モジュールが実装されているときにその装置に上記取
得した特徴情報と共に追跡指示を与える機能、自己の追
跡結果を自己の識別情報と共に追跡管理装置CMに通知
する機能等を有するものである。
【0023】なお、追跡指示及び追跡結果の通知に際し
ては、自己の追跡結果が何番目の追跡結果かを表す追跡
順序情報を生成し、これを添付するようにする。追跡順
序情報は、具体的には、追跡管理装置CMから最初に追
跡指示を受けた最初のデータ中継装置を起算点とするシ
ーケンシャル番号であり、追跡指示を次のデータ中継装
置に通知する際に“1”ずつインクリメントする。次の
ノードを特定できなかったときは、自己がその電子デー
タについての最終の装置であることを意味するので、追
跡管理装置CM宛の追跡順序番号に代えて、あるいは追
跡順序番号と共に、最終であることを表すフラグ等を添
付するようにする。
ては、自己の追跡結果が何番目の追跡結果かを表す追跡
順序情報を生成し、これを添付するようにする。追跡順
序情報は、具体的には、追跡管理装置CMから最初に追
跡指示を受けた最初のデータ中継装置を起算点とするシ
ーケンシャル番号であり、追跡指示を次のデータ中継装
置に通知する際に“1”ずつインクリメントする。次の
ノードを特定できなかったときは、自己がその電子デー
タについての最終の装置であることを意味するので、追
跡管理装置CM宛の追跡順序番号に代えて、あるいは追
跡順序番号と共に、最終であることを表すフラグ等を添
付するようにする。
【0024】以下、このような追跡モジュールを実装し
たデータ中継装置を「追跡装置」と称する場合がある。
追跡装置には、ルータの基本機能として、ネットワーク
を構成するハードウエア情報やネットワーク管理情報が
保持されており、これらの情報が追跡完了通知の際に追
跡管理装置CMに送信されるようになっている。
たデータ中継装置を「追跡装置」と称する場合がある。
追跡装置には、ルータの基本機能として、ネットワーク
を構成するハードウエア情報やネットワーク管理情報が
保持されており、これらの情報が追跡完了通知の際に追
跡管理装置CMに送信されるようになっている。
【0025】追跡装置には、また、追跡方向を決定する
ための情報も保持されている。例えば、イーサネットに
よるネットワーク接続を想定すると、図2に示すルーテ
ィングテーブルRTとARPキャッシュACとからトレ
ーステーブルTTを生成し、このトレーステーブルTT
を参照して、追跡方向を決定できるようになっている。
ルーティングテーブルRTは、追跡方向を選定する情報
となるIPアドレスの宛先及び送信先の対をなす情報、
すなわち追跡先MACアドレス、追跡元MACアドレ
ス、追跡先IPアドレスを記録したものであり、ARP
キャッシュACは、ルーティングテーブル、IPアドレ
ス、MACアドレスを対応付ける情報を記録したもので
ある。図3(a)上段(レイヤ3)はルーティングテー
ブルによる経路選択の様子(参照符号31)を示してお
り、図中段(レイヤ2)は、ARPキャッシュを用いた
IPアドレスとMACアドレスとのマッピングの様子を
示している。
ための情報も保持されている。例えば、イーサネットに
よるネットワーク接続を想定すると、図2に示すルーテ
ィングテーブルRTとARPキャッシュACとからトレ
ーステーブルTTを生成し、このトレーステーブルTT
を参照して、追跡方向を決定できるようになっている。
ルーティングテーブルRTは、追跡方向を選定する情報
となるIPアドレスの宛先及び送信先の対をなす情報、
すなわち追跡先MACアドレス、追跡元MACアドレ
ス、追跡先IPアドレスを記録したものであり、ARP
キャッシュACは、ルーティングテーブル、IPアドレ
ス、MACアドレスを対応付ける情報を記録したもので
ある。図3(a)上段(レイヤ3)はルーティングテー
ブルによる経路選択の様子(参照符号31)を示してお
り、図中段(レイヤ2)は、ARPキャッシュを用いた
IPアドレスとMACアドレスとのマッピングの様子を
示している。
【0026】トレーステーブルTTは、これらの情報を
加工してMACアドレスを利用した追跡方向の選定がで
きるようにMACアドレスの宛先/送信元の対を生成
し、これを記録したテーブルである。図3(b)は、こ
のトレーステーブルTTによる経路選択の様子を示した
図である。
加工してMACアドレスを利用した追跡方向の選定がで
きるようにMACアドレスの宛先/送信元の対を生成
し、これを記録したテーブルである。図3(b)は、こ
のトレーステーブルTTによる経路選択の様子を示した
図である。
【0027】検問モジュールは、追跡管理装置CMと共
働して「プロトコルアドレスベースによる追跡処理」を
行うもので、これを実装したデータ中継装置に、追跡管
理装置CMから配布される、追跡指示の条件を定めたフ
ィルタルール、例えば追跡すべき送信元IPアドレス、
追跡対象データの特徴情報、追跡管理装置のアドレス等
を含む追跡規則に基づいて電子データを分別する機能、
運用ポリシーやセキュリティレベルの面から分類したリ
スト(以下、「運用ポリシーリスト」)を自律ネットワ
ーク毎に保持する機能、追跡管理装置CMに対して分別
した電子データの捕捉状況を通知する機能、自己が実装
されているデータ中継装置が属している自律ネットワー
クの属性情報(プロトコルアドレス等のインタフェース
情報)を追跡管理装置CMへ通知する機能、予めあるア
ドレスからのアクセスを他のアドレスに対しては接続し
ない等の条件を記述したデータリスト(追跡管理装置C
Mで生成したもの)に合致するアクセスが発生した場合
に追跡管理装置CMへアラームを出力するともに追跡装
置に対して追跡指示を発する機能等を形成するものであ
る。
働して「プロトコルアドレスベースによる追跡処理」を
行うもので、これを実装したデータ中継装置に、追跡管
理装置CMから配布される、追跡指示の条件を定めたフ
ィルタルール、例えば追跡すべき送信元IPアドレス、
追跡対象データの特徴情報、追跡管理装置のアドレス等
を含む追跡規則に基づいて電子データを分別する機能、
運用ポリシーやセキュリティレベルの面から分類したリ
スト(以下、「運用ポリシーリスト」)を自律ネットワ
ーク毎に保持する機能、追跡管理装置CMに対して分別
した電子データの捕捉状況を通知する機能、自己が実装
されているデータ中継装置が属している自律ネットワー
クの属性情報(プロトコルアドレス等のインタフェース
情報)を追跡管理装置CMへ通知する機能、予めあるア
ドレスからのアクセスを他のアドレスに対しては接続し
ない等の条件を記述したデータリスト(追跡管理装置C
Mで生成したもの)に合致するアクセスが発生した場合
に追跡管理装置CMへアラームを出力するともに追跡装
置に対して追跡指示を発する機能等を形成するものであ
る。
【0028】運用ポリシーリストは、自己を実装したデ
ータ中継装置の属する自律ネットワークが前述の管理ネ
ットワークかどうか、セキュリティレベルか、ユーザの
カテゴライズ(アクセスレベル)はどのようなもので、
いくつあるのか、リモートアクセス手段は提供されてい
るのか等の情報をリスト化したものである。この運用ポ
リシーリストは、追跡管理装置CMで作成されて転送さ
れたものであり、運用管理装置CMでも同様の内容のも
のが管理されている。
ータ中継装置の属する自律ネットワークが前述の管理ネ
ットワークかどうか、セキュリティレベルか、ユーザの
カテゴライズ(アクセスレベル)はどのようなもので、
いくつあるのか、リモートアクセス手段は提供されてい
るのか等の情報をリスト化したものである。この運用ポ
リシーリストは、追跡管理装置CMで作成されて転送さ
れたものであり、運用管理装置CMでも同様の内容のも
のが管理されている。
【0029】この検問モジュールは、データ中継装置が
ルータの場合とスイッチの場合とで、それぞれその実装
形態が異なる。前者の場合は、そのデータ中継装置に直
接ロードすることになる。後者の場合は、追跡/検問専
用機器をデータ中継装置のセグメントに接続し、これら
を一体のデータ中継装置とみなす。以下、この検問モジ
ュールを実装したデータ中継装置を「検問装置」と称す
る場合がある。
ルータの場合とスイッチの場合とで、それぞれその実装
形態が異なる。前者の場合は、そのデータ中継装置に直
接ロードすることになる。後者の場合は、追跡/検問専
用機器をデータ中継装置のセグメントに接続し、これら
を一体のデータ中継装置とみなす。以下、この検問モジ
ュールを実装したデータ中継装置を「検問装置」と称す
る場合がある。
【0030】追跡管理装置CMは、追跡装置や検問装置
に電子データの特徴情報を含む追跡条件と共に追跡指示
を出し、この追跡指示に基づいて出力された追跡結果に
基づいて電子データの追跡経路を決定するコンピュータ
又はコンピュータ搭載の通信端末である。本実施形態で
は、このコンピュータが、データ中継装置が基本機能と
して有する各装置の位置情報を用いてネットワークの配
置情報を管理する機能、検問モジュールを保持する機
能、必要に応じてデータ中継装置に検問モジュールを配
布してそのデータ中継装置を検問装置として動作させる
機能、追跡対象となる電子データを分別するためのフィ
ルタルールを含む追跡規則を生成する機能、必要に応て
この追跡規則を検問装置へ配布する機能、各検問装置と
の間で情報の受け渡しを行う機能、運用ポリシーリスト
を自律ネットワーク毎に作成して管理する機能、検問モ
ジュールの削除指示機能、追跡装置に対して追跡対象と
なる電子データの特徴情報を含む追跡指示を与えるとと
もに当該追跡装置からの追跡結果を受領する機能、各追
跡装置から受領した追跡結果を解析して電子データの通
過経路を推定する追跡結果解析機能、追跡管理処理内容
を記録するロギング処理機能等を備えるようにする。
に電子データの特徴情報を含む追跡条件と共に追跡指示
を出し、この追跡指示に基づいて出力された追跡結果に
基づいて電子データの追跡経路を決定するコンピュータ
又はコンピュータ搭載の通信端末である。本実施形態で
は、このコンピュータが、データ中継装置が基本機能と
して有する各装置の位置情報を用いてネットワークの配
置情報を管理する機能、検問モジュールを保持する機
能、必要に応じてデータ中継装置に検問モジュールを配
布してそのデータ中継装置を検問装置として動作させる
機能、追跡対象となる電子データを分別するためのフィ
ルタルールを含む追跡規則を生成する機能、必要に応て
この追跡規則を検問装置へ配布する機能、各検問装置と
の間で情報の受け渡しを行う機能、運用ポリシーリスト
を自律ネットワーク毎に作成して管理する機能、検問モ
ジュールの削除指示機能、追跡装置に対して追跡対象と
なる電子データの特徴情報を含む追跡指示を与えるとと
もに当該追跡装置からの追跡結果を受領する機能、各追
跡装置から受領した追跡結果を解析して電子データの通
過経路を推定する追跡結果解析機能、追跡管理処理内容
を記録するロギング処理機能等を備えるようにする。
【0031】追跡規則に含まれるフィルタルールは、追
跡すべきデータより得られる情報(アクセス時間の記
録、送信元IPアドレス、アクセスの種類、データの識
別子、データの特徴情報)と、追跡装置からの追跡処理
結果(これ以上追跡できないという、中継機器やノード
のプロトコルアドレスやデータリンクアドレス等)とか
ら生成する。その内容は、追跡原因が生じたときに、そ
の都度最適なものとなるように決めることができる。な
お、検問モジュールや追跡規則を配布するときは、上記
の基本機能を用いて配布先のアドレスや状態情報等を把
握しておく必要がある。
跡すべきデータより得られる情報(アクセス時間の記
録、送信元IPアドレス、アクセスの種類、データの識
別子、データの特徴情報)と、追跡装置からの追跡処理
結果(これ以上追跡できないという、中継機器やノード
のプロトコルアドレスやデータリンクアドレス等)とか
ら生成する。その内容は、追跡原因が生じたときに、そ
の都度最適なものとなるように決めることができる。な
お、検問モジュールや追跡規則を配布するときは、上記
の基本機能を用いて配布先のアドレスや状態情報等を把
握しておく必要がある。
【0032】次に、以上のように構成される追跡管理シ
ステムの動作を説明する。 [隣接ノード追跡処理]まず、追跡管理装置CMと追跡
装置により行われる隣接ノード追跡処理について説明す
る。
ステムの動作を説明する。 [隣接ノード追跡処理]まず、追跡管理装置CMと追跡
装置により行われる隣接ノード追跡処理について説明す
る。
【0033】この追跡処理の原理を模式的に示したのが
図4であり、データ中継装置RMa〜RMcは、それぞ
れ追跡装置(イ)〜(ハ)として機能する。図4(a)
は発信源装置OMから発信されて流通する電子データの
構造図、同(b)は、到達先が追跡装置(ハ)の後の被
害者ネットワーク(その中の通信装置またはシステム)
である場合に、この追跡装置(ハ)と他のノードの追跡
装置(イ),(ロ)との協働処理によって発信源装置O
Mを特定する場合の手順(〜)を示した図である。
図4であり、データ中継装置RMa〜RMcは、それぞ
れ追跡装置(イ)〜(ハ)として機能する。図4(a)
は発信源装置OMから発信されて流通する電子データの
構造図、同(b)は、到達先が追跡装置(ハ)の後の被
害者ネットワーク(その中の通信装置またはシステム)
である場合に、この追跡装置(ハ)と他のノードの追跡
装置(イ),(ロ)との協働処理によって発信源装置O
Mを特定する場合の手順(〜)を示した図である。
【0034】電子データ(追跡対象データを含む)は、
例えばパケット状のもので、図4(a)に示されるよう
に、最初にフレーム等のヘッダ11、次いでIPヘッダ
12、その後にデータ成分13が配置されるようになっ
ている。この電子データは、図4(b)に示されるよう
に、発信源装置OMから最初にアクセスサーバASを介
してインターネットMNに発信され、次いで、追跡装置
(イ)、追跡装置(ロ)、追跡装置(ハ)でそれぞれ中
継されて被害者ネットワークTNに到達する。追跡管理
装置CMは、例えば被害者ネットワークTNあるいはそ
の被害者ネットワークに接続されたセンサからの依頼に
基づいて、被害者ネットワークTNの一つ前のノードの
追跡装置(ハ)を特定し、この追跡装置(ハ)に、追跡
すべき電子データの特徴情報や追跡結果の通知先アドレ
ス(自己のアドレス)を含む追跡指示を出す。追跡装置
(ハ)は、この追跡指示の受信を契機に自装置を通過す
る電子データから追跡対象データに該当するものを捕捉
してそのデータリンク層の識別子を解析し、送信元のM
ACアドレスを調べる。これにより、一つ前のノードの
追跡装置(ロ)が特定されるので、自装置における追跡
結果を追跡順序の識別情報と共に追跡管理装置CMへ通
知し、さらに、追跡装置(ロ)へ同一内容の追跡指示を
通知する。
例えばパケット状のもので、図4(a)に示されるよう
に、最初にフレーム等のヘッダ11、次いでIPヘッダ
12、その後にデータ成分13が配置されるようになっ
ている。この電子データは、図4(b)に示されるよう
に、発信源装置OMから最初にアクセスサーバASを介
してインターネットMNに発信され、次いで、追跡装置
(イ)、追跡装置(ロ)、追跡装置(ハ)でそれぞれ中
継されて被害者ネットワークTNに到達する。追跡管理
装置CMは、例えば被害者ネットワークTNあるいはそ
の被害者ネットワークに接続されたセンサからの依頼に
基づいて、被害者ネットワークTNの一つ前のノードの
追跡装置(ハ)を特定し、この追跡装置(ハ)に、追跡
すべき電子データの特徴情報や追跡結果の通知先アドレ
ス(自己のアドレス)を含む追跡指示を出す。追跡装置
(ハ)は、この追跡指示の受信を契機に自装置を通過す
る電子データから追跡対象データに該当するものを捕捉
してそのデータリンク層の識別子を解析し、送信元のM
ACアドレスを調べる。これにより、一つ前のノードの
追跡装置(ロ)が特定されるので、自装置における追跡
結果を追跡順序の識別情報と共に追跡管理装置CMへ通
知し、さらに、追跡装置(ロ)へ同一内容の追跡指示を
通知する。
【0035】追跡装置(ロ)も、追跡装置(ハ)と同様
の手順で電子データが通過した一つ前のノードの追跡装
置(イ)を特定する。そして、自装置の追跡結果等を追
跡管理装置CMへ通知するとともに追跡装置(イ)へ自
装置による追跡順序の識別情報と同一内容の追跡指示と
を通知する。
の手順で電子データが通過した一つ前のノードの追跡装
置(イ)を特定する。そして、自装置の追跡結果等を追
跡管理装置CMへ通知するとともに追跡装置(イ)へ自
装置による追跡順序の識別情報と同一内容の追跡指示と
を通知する。
【0036】追跡装置(イ)でも同種の追跡処理を行う
が、その一つ前には同等の機能を有する装置が存在しな
いので、発信源装置OM、あるいは発信源装置OMの所
属する組織のネットワークまで辿り着いたことになる。
そこで、発信源装置OMのIPアドレスを特定し、この
IPアドレスを自装置の追跡結果等と共に追跡管理装置
CMに通知する。このときのIPアドレスは、当該発信
源装置OMが通常のデータ通信を行う上で欠かせないM
ACアドレスから得られたものであり、これを発信源装
置OM側で攻撃者が偽ることは事実上不可能である。こ
のようにして、隣接ノード追跡処理を行う。
が、その一つ前には同等の機能を有する装置が存在しな
いので、発信源装置OM、あるいは発信源装置OMの所
属する組織のネットワークまで辿り着いたことになる。
そこで、発信源装置OMのIPアドレスを特定し、この
IPアドレスを自装置の追跡結果等と共に追跡管理装置
CMに通知する。このときのIPアドレスは、当該発信
源装置OMが通常のデータ通信を行う上で欠かせないM
ACアドレスから得られたものであり、これを発信源装
置OM側で攻撃者が偽ることは事実上不可能である。こ
のようにして、隣接ノード追跡処理を行う。
【0037】[プロトコルアドレスベースによる追跡処
理]次に、追跡管理装置と検問装置により行われるプロ
トコルアドレス追跡処理について説明する。追跡管理装
置から検問モジュールをデータ中継装置(通信装置とし
て動作しているデータ中継装置)に配布し、そのデータ
中継装置を検問装置として動作させる。どのデータ中継
装置に検問モジュールを配布するかは、ルータの基本機
能に含まれる位置情報の管理内容に基づいて決定する。
その後、追跡規則をその検問装置に配布する。検問装置
は、この追跡規則に適合する電子データを捕捉したとき
は、捕捉した電子データのヘッダ情報を追跡管理装置に
通知する。追跡管理装置は、この通知情報と運用ポリシ
ーリストとをもとにその検問装置に接続されている自律
ネットワークが管理ネットワークであるかどうかを判定
する。管理ネットワークであった場合は、ネットワーク
内部での運用形態については信頼性が高いことが推定さ
れるので、データリンク層の識別子に基づく追跡処理を
行わず、次の自律ネットワークへの追跡処理に移行す
る。
理]次に、追跡管理装置と検問装置により行われるプロ
トコルアドレス追跡処理について説明する。追跡管理装
置から検問モジュールをデータ中継装置(通信装置とし
て動作しているデータ中継装置)に配布し、そのデータ
中継装置を検問装置として動作させる。どのデータ中継
装置に検問モジュールを配布するかは、ルータの基本機
能に含まれる位置情報の管理内容に基づいて決定する。
その後、追跡規則をその検問装置に配布する。検問装置
は、この追跡規則に適合する電子データを捕捉したとき
は、捕捉した電子データのヘッダ情報を追跡管理装置に
通知する。追跡管理装置は、この通知情報と運用ポリシ
ーリストとをもとにその検問装置に接続されている自律
ネットワークが管理ネットワークであるかどうかを判定
する。管理ネットワークであった場合は、ネットワーク
内部での運用形態については信頼性が高いことが推定さ
れるので、データリンク層の識別子に基づく追跡処理を
行わず、次の自律ネットワークへの追跡処理に移行す
る。
【0038】[全体動作]次に、上記の2つの追跡処理
を組み合わせた場合の動作を説明する。インターネット
の場合、管理ネットワークだけではなく、非管理ネット
ワークが多数存在し、攻撃者は、この非管理ネットワー
クを通じて不正アクセスをするのが一般的である。そこ
で、本実施形態の追跡管理システムは、管理ネットワー
クが介在する場合はネットワーク内部の運用を信頼して
隣接ノード追跡処理を省略し、非管理ネットワークであ
った場合のみ、隣接ノード追跡処理を実施する。
を組み合わせた場合の動作を説明する。インターネット
の場合、管理ネットワークだけではなく、非管理ネット
ワークが多数存在し、攻撃者は、この非管理ネットワー
クを通じて不正アクセスをするのが一般的である。そこ
で、本実施形態の追跡管理システムは、管理ネットワー
クが介在する場合はネットワーク内部の運用を信頼して
隣接ノード追跡処理を省略し、非管理ネットワークであ
った場合のみ、隣接ノード追跡処理を実施する。
【0039】具体的には、被害者ネットワークTNが攻
撃されたときに、この攻撃を検知した検知手段が、追跡
管理装置に追跡指示を依頼する。検知手段は、通常、追
跡指示に際しては、送信元IPアドレス情報を添付す
る。追跡管理装置は、この送信元IPアドレスを保持す
るとともに、自装置のアドレスを付して追跡装置に追跡
すべき電子データの特徴情報を付した追跡指示を出す。
送信元IPアドレスの情報は、隣接ノード追跡処理によ
る追跡結果のIPアドレスと比較することで、追跡の正
確性を向上させるために用いる。なお、追跡指示自体
は、検知手段から追跡管理装置と並行して追跡装置に直
接出すようにしても良い。
撃されたときに、この攻撃を検知した検知手段が、追跡
管理装置に追跡指示を依頼する。検知手段は、通常、追
跡指示に際しては、送信元IPアドレス情報を添付す
る。追跡管理装置は、この送信元IPアドレスを保持す
るとともに、自装置のアドレスを付して追跡装置に追跡
すべき電子データの特徴情報を付した追跡指示を出す。
送信元IPアドレスの情報は、隣接ノード追跡処理によ
る追跡結果のIPアドレスと比較することで、追跡の正
確性を向上させるために用いる。なお、追跡指示自体
は、検知手段から追跡管理装置と並行して追跡装置に直
接出すようにしても良い。
【0040】追跡装置は、この追跡指示を契機に上述の
隣接ノード追跡処理を実行し、その結果を逐次追跡管理
装置へ通知する。追跡可能限界ノードに達した場合、追
跡装置は、追跡完了を追跡管理装置に通知するとともに
検問モジュールをロードし、これを起動させる。追跡完
了通知に際しては、ネットワークを構成するハードウエ
ア情報やネットワーク管理情報も送信される。追跡装置
は、検問モジュールを実装した後は、追跡装置ではなく
検問装置として動作し、上述のプロトコルアドレスベー
スによる追跡処理を開始する。追跡管理装置側からの検
問解除指示を受けたときは、検問モジュールを削除(ア
ンインストール)して追跡装置としての機能に戻る。
隣接ノード追跡処理を実行し、その結果を逐次追跡管理
装置へ通知する。追跡可能限界ノードに達した場合、追
跡装置は、追跡完了を追跡管理装置に通知するとともに
検問モジュールをロードし、これを起動させる。追跡完
了通知に際しては、ネットワークを構成するハードウエ
ア情報やネットワーク管理情報も送信される。追跡装置
は、検問モジュールを実装した後は、追跡装置ではなく
検問装置として動作し、上述のプロトコルアドレスベー
スによる追跡処理を開始する。追跡管理装置側からの検
問解除指示を受けたときは、検問モジュールを削除(ア
ンインストール)して追跡装置としての機能に戻る。
【0041】一方、追跡管理装置では、追跡装置からの
追跡完了通知時の追跡結果を受信すると、この通知完了
通知に含まれる追跡可能限界ノードのIPアドレスを抽
出し、これを先に保持していた保持情報(送信元IPプ
ロトコル)と比較する。一致した場合はその追跡処理は
正しかったことを意味するので、発信源装置が特定でき
るのかどうかを判定する。不一致であれば、何らかのト
ラブル、例えば追跡装置が正常な情報を保持していなか
ったか、途中で情報が改竄されている等の可能性がある
ため、アラームを出す等、必要な措置をとる。
追跡完了通知時の追跡結果を受信すると、この通知完了
通知に含まれる追跡可能限界ノードのIPアドレスを抽
出し、これを先に保持していた保持情報(送信元IPプ
ロトコル)と比較する。一致した場合はその追跡処理は
正しかったことを意味するので、発信源装置が特定でき
るのかどうかを判定する。不一致であれば、何らかのト
ラブル、例えば追跡装置が正常な情報を保持していなか
ったか、途中で情報が改竄されている等の可能性がある
ため、アラームを出す等、必要な措置をとる。
【0042】発信源装置を特定できるかどうかは、追跡
管理装置が保持しているネットワーク配置情報と追跡完
了通知時に追跡装置から送信されてきた上記ハードウエ
ア情報やネットワーク管理情報とをもとに、その追跡装
置に発信源装置が接続されているか、それとも中継に利
用された他のホストないしシステムに接続されているの
かを、ネットワーク配置情報に基づいて予め決めたおい
た規則に照らし合わせて決定する。
管理装置が保持しているネットワーク配置情報と追跡完
了通知時に追跡装置から送信されてきた上記ハードウエ
ア情報やネットワーク管理情報とをもとに、その追跡装
置に発信源装置が接続されているか、それとも中継に利
用された他のホストないしシステムに接続されているの
かを、ネットワーク配置情報に基づいて予め決めたおい
た規則に照らし合わせて決定する。
【0043】この規則は、例えば、二項間述語形式で表
現された事実や状態の集合の組み合わせで構築すること
ができる。「あらゆるホストは追跡装置に接続してい
る」事実を表現する場合、「接続(ホスト、追跡装
置)」のように表現し、「発信源はホストである」とい
う事実は「ホスト(発信源、真)」と表現できるとする
と、この2つにより、「接続(発信源、追跡装置)」、
すなわち、「発信源は追跡装置に接続している」という
事実を規則化することが可能になる。また、「もし、追
跡ができなくなったら、そのノードは発信源である」と
いう規則は、「ノード属性(X,発信源)<−追跡
(X、不可能)」のように表現することができる。
現された事実や状態の集合の組み合わせで構築すること
ができる。「あらゆるホストは追跡装置に接続してい
る」事実を表現する場合、「接続(ホスト、追跡装
置)」のように表現し、「発信源はホストである」とい
う事実は「ホスト(発信源、真)」と表現できるとする
と、この2つにより、「接続(発信源、追跡装置)」、
すなわち、「発信源は追跡装置に接続している」という
事実を規則化することが可能になる。また、「もし、追
跡ができなくなったら、そのノードは発信源である」と
いう規則は、「ノード属性(X,発信源)<−追跡
(X、不可能)」のように表現することができる。
【0044】追跡管理装置では、以上のような事実や規
則の集合を保持しており、これらの集合を使って、追跡
完了通知に基づく追跡結果から発信源装置を特定できる
かどうかを推定する。発信源装置を推定できる場合に
は、該当する検問装置に対して検問解除指示を発行し、
検問装置からの状態報告通知を受け取った後、これまで
の処理等の記録を整理する。発信源装置でなかった場合
は、「踏み台」であったと判断し、第2段階の追跡処理
の指示準備を行う。
則の集合を保持しており、これらの集合を使って、追跡
完了通知に基づく追跡結果から発信源装置を特定できる
かどうかを推定する。発信源装置を推定できる場合に
は、該当する検問装置に対して検問解除指示を発行し、
検問装置からの状態報告通知を受け取った後、これまで
の処理等の記録を整理する。発信源装置でなかった場合
は、「踏み台」であったと判断し、第2段階の追跡処理
の指示準備を行う。
【0045】<第2実施形態>次に、「踏み台」を利用
した攻撃に対する発信源装置の追跡手法について説明す
る。従来のプロトコルアドレスに依存する追跡手法で
は、代理サーバ(Proxyサーバ)によって真の発信
源装置のプロトコルアドレスが隠蔽された場合に対応で
きないことは前述のとおりである。そこで、この実施形
態では、このような「踏み台」が利用された場合であっ
ても、発信源装置を正しく追跡できるようにする。
した攻撃に対する発信源装置の追跡手法について説明す
る。従来のプロトコルアドレスに依存する追跡手法で
は、代理サーバ(Proxyサーバ)によって真の発信
源装置のプロトコルアドレスが隠蔽された場合に対応で
きないことは前述のとおりである。そこで、この実施形
態では、このような「踏み台」が利用された場合であっ
ても、発信源装置を正しく追跡できるようにする。
【0046】ここでは、図5に示したようなインターネ
ットモデル上で、攻撃者が操作する発信源装置OMがい
わゆる踏み台ホストFHを利用して目標ホストTHを攻
撃した場合を想定する。自律ネットワーク間または所定
の位置のデータ中継装置に追跡モジュールと必要に応じ
て検問モジュールが実装され、追跡装置/検問装置とし
て動作する点は、第1実施形態の場合と同様である。ま
た、追跡装置、検問装置、追跡管理装置は、少なくとも
第1実施形態で示したものを含んでいる。なお、図で
は、各追跡装置等と追跡管理装置CMとの間の接続関係
を省略してあるが、実際には、データ追跡を行ったすべ
ての追跡装置等から追跡管理装置CM宛に追跡結果が通
知されるようになっている。
ットモデル上で、攻撃者が操作する発信源装置OMがい
わゆる踏み台ホストFHを利用して目標ホストTHを攻
撃した場合を想定する。自律ネットワーク間または所定
の位置のデータ中継装置に追跡モジュールと必要に応じ
て検問モジュールが実装され、追跡装置/検問装置とし
て動作する点は、第1実施形態の場合と同様である。ま
た、追跡装置、検問装置、追跡管理装置は、少なくとも
第1実施形態で示したものを含んでいる。なお、図で
は、各追跡装置等と追跡管理装置CMとの間の接続関係
を省略してあるが、実際には、データ追跡を行ったすべ
ての追跡装置等から追跡管理装置CM宛に追跡結果が通
知されるようになっている。
【0047】この実施形態では、目標ホストTHのある
サイトに設置される検知ホストDHによって攻撃の事実
が検知されるようにしてある。この検知ホストDHは、
検知した内容から必要な情報を加工し、これを追跡管理
装置CMに通知する。検知ホストDHから通知される情
報は、「タイムスタンプ」、「アクセスサーバ」、「検
出不正アクセスパターン」、これから追跡しようとする
電子データの特徴情報を含む情報である。
サイトに設置される検知ホストDHによって攻撃の事実
が検知されるようにしてある。この検知ホストDHは、
検知した内容から必要な情報を加工し、これを追跡管理
装置CMに通知する。検知ホストDHから通知される情
報は、「タイムスタンプ」、「アクセスサーバ」、「検
出不正アクセスパターン」、これから追跡しようとする
電子データの特徴情報を含む情報である。
【0048】「アクセスサーバ」は、攻撃者がアクセス
したサーバであり、送信元IPアドレスで特定しても、
発信源装置OMとは限らない、踏み台ホストFHであっ
たり、アドレス偽造による全く無関係なホストであった
りする可能性がある。そこで追跡管理装置CMでは、第
1実施形態の追跡手法により隣接ノード追跡処理とプロ
トコルアドレスベースの追跡処理とを組み合わせて一応
の追跡完了通知を受け取り、追跡限界ノードの装置50
を特定する。そして、上記の規則に基づいてこの装置5
0に発信源装置が接続されているかどうかを判断する。
したサーバであり、送信元IPアドレスで特定しても、
発信源装置OMとは限らない、踏み台ホストFHであっ
たり、アドレス偽造による全く無関係なホストであった
りする可能性がある。そこで追跡管理装置CMでは、第
1実施形態の追跡手法により隣接ノード追跡処理とプロ
トコルアドレスベースの追跡処理とを組み合わせて一応
の追跡完了通知を受け取り、追跡限界ノードの装置50
を特定する。そして、上記の規則に基づいてこの装置5
0に発信源装置が接続されているかどうかを判断する。
【0049】ここでは、発信源装置OMを特定すること
ができず、最終的に接続されていたのが踏み台ホストF
Hであったものとする。この場合は、踏み台ホストFH
の管理者への通知等、適切な運用対処を講じるためのメ
ッセージを当該踏み台ホストFHに送信するとともに、
各追跡装置(又は検問装置)から通知された追跡記録及
び検知ホストDHから通知された不正アクセスパターン
情報(ビットパターン等)を利用して、検問用のフィル
タルールを含む追跡規則を新たに生成する。また、踏み
台ホストFHへの出入口に配置されている装置50,5
1に検問モジュールを配布し、これらを検問装置として
動作させる。また、検問装置宛にフィルタルールを含む
追跡規則を配布する。検問装置宛の追跡規則には、「踏
み台ホスト」や「不正アクセスパターン」の情報が定義
される。
ができず、最終的に接続されていたのが踏み台ホストF
Hであったものとする。この場合は、踏み台ホストFH
の管理者への通知等、適切な運用対処を講じるためのメ
ッセージを当該踏み台ホストFHに送信するとともに、
各追跡装置(又は検問装置)から通知された追跡記録及
び検知ホストDHから通知された不正アクセスパターン
情報(ビットパターン等)を利用して、検問用のフィル
タルールを含む追跡規則を新たに生成する。また、踏み
台ホストFHへの出入口に配置されている装置50,5
1に検問モジュールを配布し、これらを検問装置として
動作させる。また、検問装置宛にフィルタルールを含む
追跡規則を配布する。検問装置宛の追跡規則には、「踏
み台ホスト」や「不正アクセスパターン」の情報が定義
される。
【0050】検問装置50,51は、配布された追跡規
則に基づき、再び踏み台ホストFHに不正アクセスパタ
ーンを持つ電子データが到達した場合(図5の細実
線)、これを捕捉し、そのヘッダ情報等を追跡管理装置
CMに通知する。追跡管理装置CMは、この通知をもと
に検問装置51を出版点として隣接ノード追跡処理又は
プロトコルアドレス追跡処理を実行させる。各追跡装置
(又は検問装置)は、踏み台ホストFHを不正アクセス
の目標ホストとみなして、追跡処理を実行し、発信源装
置OMを追跡する。
則に基づき、再び踏み台ホストFHに不正アクセスパタ
ーンを持つ電子データが到達した場合(図5の細実
線)、これを捕捉し、そのヘッダ情報等を追跡管理装置
CMに通知する。追跡管理装置CMは、この通知をもと
に検問装置51を出版点として隣接ノード追跡処理又は
プロトコルアドレス追跡処理を実行させる。各追跡装置
(又は検問装置)は、踏み台ホストFHを不正アクセス
の目標ホストとみなして、追跡処理を実行し、発信源装
置OMを追跡する。
【0051】他段階の踏み台ホストが利用された場合
は、以上の処理を繰り返すことで、発信源装置OMを容
易に発見することができる。
は、以上の処理を繰り返すことで、発信源装置OMを容
易に発見することができる。
【0052】<各実施形態による利点>このように、本
発明の追跡管理システムでは、隣接ノード追跡処理を実
行することで、攻撃者が送信元プロトコルアドレスを偽
わって攻撃してきた場合であっても、その電子データの
下位層のフレーム等の識別子を解析することにより発信
源装置を正しく推定することができる。また、追跡過程
に管理ネットワークが介在する場合、そのネットワーク
での隣接ノード追跡処理を省略することができるので、
余分な追跡処理に要する負荷の増大を回避することがで
き、効率的な追跡処理が可能になる。
発明の追跡管理システムでは、隣接ノード追跡処理を実
行することで、攻撃者が送信元プロトコルアドレスを偽
わって攻撃してきた場合であっても、その電子データの
下位層のフレーム等の識別子を解析することにより発信
源装置を正しく推定することができる。また、追跡過程
に管理ネットワークが介在する場合、そのネットワーク
での隣接ノード追跡処理を省略することができるので、
余分な追跡処理に要する負荷の増大を回避することがで
き、効率的な追跡処理が可能になる。
【0053】また、予めアクセス禁止ルールを定義して
おき、これを検問装置に配布しておき、フィルタリング
された電子データが検問装置によって検出された時点
で、システム管理者への通知やその電子データを通さな
いようにする等の対処も本発明によれば、可能になる。
おき、これを検問装置に配布しておき、フィルタリング
された電子データが検問装置によって検出された時点
で、システム管理者への通知やその電子データを通さな
いようにする等の対処も本発明によれば、可能になる。
【0054】<その他>以上、本発明の内容を二つの実
施形態を示して説明したが、本発明は、この形態のもの
に限定されるものではない。例えば、各実施形態では、
インターネット上を流通する電子データの発信源装置を
特定する場合の例を挙げたが、本発明は、他の通信形態
にも応用が可能なものである。また、パケット通信のよ
うな形態のみならず、画像データその他のコンテンツの
流通監視にも応用が可能なものある。また、二つの実施
形態では、追跡モジュールが予め実装されたデータ中継
装置(追跡装置として動作)に、追跡管理装置CMから
検問モジュールを追加実装させる場合の例を説明した
が、追跡モジュールを既存のデータ中継装置に追加実装
させる形態を採用することもできる。また、追跡管理装
置CMから各追跡装置又は検問装置に追跡指示を出した
場合の追跡結果及びその解析結果を追跡管理装置CMに
おいて把握しておくことができるので、追跡装置や検問
装置には可能な範囲で追跡処理を実行させ、その全体的
な追跡管理を追跡管理装置で管理しておいて、必要な地
点にスポット的に追跡指示(追跡規則)を配布して追跡
処理を実行させる形態も可能である。
施形態を示して説明したが、本発明は、この形態のもの
に限定されるものではない。例えば、各実施形態では、
インターネット上を流通する電子データの発信源装置を
特定する場合の例を挙げたが、本発明は、他の通信形態
にも応用が可能なものである。また、パケット通信のよ
うな形態のみならず、画像データその他のコンテンツの
流通監視にも応用が可能なものある。また、二つの実施
形態では、追跡モジュールが予め実装されたデータ中継
装置(追跡装置として動作)に、追跡管理装置CMから
検問モジュールを追加実装させる場合の例を説明した
が、追跡モジュールを既存のデータ中継装置に追加実装
させる形態を採用することもできる。また、追跡管理装
置CMから各追跡装置又は検問装置に追跡指示を出した
場合の追跡結果及びその解析結果を追跡管理装置CMに
おいて把握しておくことができるので、追跡装置や検問
装置には可能な範囲で追跡処理を実行させ、その全体的
な追跡管理を追跡管理装置で管理しておいて、必要な地
点にスポット的に追跡指示(追跡規則)を配布して追跡
処理を実行させる形態も可能である。
【0055】なお、追跡装置による上述の各機能は、デ
ータ中継装置本体のメモリに所定のプログラムコードを
CPUが読みとれる形態で記録しておくことで実現する
ことができ、追跡管理装置CMも、コンピュータが読み
取り可能なメモリに所定のプログラムコードをCPUが
読みとれる形態で記録しておくことで実現することがで
きるが、本発明は、CPUが上記プログラムコードを実
行することによって各機能が形成されるだけでなく、そ
のプログラムコードの指示に基づいてオペレーティング
システム(OS)が実際の処理の一部を行い、その処理
を通じて上記各機能が形成される場合を含むのは勿論で
ある。また、上記プログラムコードを記録した記録媒体
は、通常は固定型ディスクや半導体メモリであるが、フ
レキシブルディスク、ハードディスク、光ディスク、光
磁気ディスク、CD−ROM、DVD、磁気テープ等の
可搬性メディア、あるいはコンピュータがアクセス可能
なプログラムコードサーバ等に記録されて流通し、運用
時に上記固定型ディスク等にインストールされるものを
も含む。エージェントを組み込んで各追跡処理を実現す
るようにすれば、データ中継装置の構成を、より簡略化
することができる。
ータ中継装置本体のメモリに所定のプログラムコードを
CPUが読みとれる形態で記録しておくことで実現する
ことができ、追跡管理装置CMも、コンピュータが読み
取り可能なメモリに所定のプログラムコードをCPUが
読みとれる形態で記録しておくことで実現することがで
きるが、本発明は、CPUが上記プログラムコードを実
行することによって各機能が形成されるだけでなく、そ
のプログラムコードの指示に基づいてオペレーティング
システム(OS)が実際の処理の一部を行い、その処理
を通じて上記各機能が形成される場合を含むのは勿論で
ある。また、上記プログラムコードを記録した記録媒体
は、通常は固定型ディスクや半導体メモリであるが、フ
レキシブルディスク、ハードディスク、光ディスク、光
磁気ディスク、CD−ROM、DVD、磁気テープ等の
可搬性メディア、あるいはコンピュータがアクセス可能
なプログラムコードサーバ等に記録されて流通し、運用
時に上記固定型ディスク等にインストールされるものを
も含む。エージェントを組み込んで各追跡処理を実現す
るようにすれば、データ中継装置の構成を、より簡略化
することができる。
【0056】
【発明の効果】以上の説明から明らかなように、本発明
では、プロトコルレベルでの追跡処理とデータリンク層
の識別子に基づく追跡処理とを組み合わせて電子データ
の追跡処理を行うようにしたので、処理の信頼性を低下
させることなく、効率的な発信源追跡が可能になる。本
発明を適用することにより、送信元のプロトコルアドレ
スを偽ることによる不正者の利益がなくなるため、不正
アクセスの抑止効果にもつながる。
では、プロトコルレベルでの追跡処理とデータリンク層
の識別子に基づく追跡処理とを組み合わせて電子データ
の追跡処理を行うようにしたので、処理の信頼性を低下
させることなく、効率的な発信源追跡が可能になる。本
発明を適用することにより、送信元のプロトコルアドレ
スを偽ることによる不正者の利益がなくなるため、不正
アクセスの抑止効果にもつながる。
【図1】本発明を適用した追跡管理システムの構成図。
【図2】ルーティングテーブルとARPキャッシュとか
らトレーステーブルを加工する様子を示した説明図。
らトレーステーブルを加工する様子を示した説明図。
【図3】(a)はルーティングテーブルとARPキャッ
シュによる経路選択の様子を示した説明図、(b)はト
レーステーブルによる経路選択の様子を示した説明図。
シュによる経路選択の様子を示した説明図、(b)はト
レーステーブルによる経路選択の様子を示した説明図。
【図4】(a)は第1実施形態による電子データの構造
図、(b)は隣接ノード追跡処理の原理説明図。
図、(b)は隣接ノード追跡処理の原理説明図。
【図5】踏み台ホストを利用して攻撃された場合の追跡
処理の概要を示した説明図。
処理の概要を示した説明図。
1 追跡管理システム RM,RMa〜RMc データ中継装置(追跡装置/検
問装置) CM 追跡管理装置 OM 発信源装置 TN 被害者ネットワーク TH 目標ホスト FH 踏み台ホスト DH 検知ホスト 50,51 追跡モジュール及び検問モジュールが実装
されるデータ中継装置
問装置) CM 追跡管理装置 OM 発信源装置 TN 被害者ネットワーク TH 目標ホスト FH 踏み台ホスト DH 検知ホスト 50,51 追跡モジュール及び検問モジュールが実装
されるデータ中継装置
フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/66 (72)発明者 小久保 勝敏 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 渡辺 英俊 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B089 GB02 HA10 JB07 KA17 KB06 MC08 5K030 GA15 HB19 HC01 JA10 KA02 5K033 AA08 BA04 DA05 DB12 DB20 9A001 CC02 CC06 CC07
Claims (12)
- 【請求項1】 捕捉した電子データに含まれる自律ネッ
トワークのプロトコルアドレスをもとに当該電子データ
が通過してきた経路を自律ネットワーク単位に辿る第1
の追跡処理と、捕捉した電子データに含まれるデータリ
ンク層の識別子をもとに当該電子データが通過してきた
経路を受信側の装置から送信側の装置に向けて辿る第2
の追跡処理とを組み合わせることにより、前記電子デー
タの通過経路を推定することを特徴とする、電子データ
の追跡方法。 - 【請求項2】 前記第1の追跡処理は、自律ネットワー
クに接続されている装置が捕捉した電子データに含まれ
るプロトコルアドレスと所定の規則とに基づいて当該自
律ネットワークが信頼性のある管理ネットワークか信頼
性のない非管理ネットワークかを判定する信頼性判定処
理を含み、該判定の結果、管理ネットワークであった場
合は当該自律ネットワークを構成する複数の装置による
前記第2の追跡処理を省略して次の自律ネットワークに
おける前記信頼性判定処理に移行し、前記非管理ネット
ワークであった場合は直ちに当該装置による前記第2の
追跡処理に移行させる処理であることを特徴とする、 請求項1記載の電子データの追跡方法。 - 【請求項3】 前記第2の追跡処理は、連鎖的に接続さ
れた複数の装置の各々が前記識別子を解析することで電
子データが通過した自装置の一つ前の装置を特定した
後、この特定した装置に、当該電子データが当該装置の
一つ前に通過した他の装置を特定させる処理であること
を特徴とする、 請求項1又は2記載の電子データの追跡方法。 - 【請求項4】 前記第1の追跡処理及び第2の追跡処理
は前記自律ネットワークを含むネットワーク集合体に配
備されている装置が所定のモジュール及び指示情報とを
読み込むことによって実行されるものであり、前記モジ
ュール及び指示情報の少なくとも一方が所定の指示情報
と共に各装置を統括的に管理する追跡管理装置によって
配布されるものであることを特徴とする、 請求項1、2又は3記載の電子データの追跡方法。 - 【請求項5】 前記追跡管理装置は、前記第2の追跡処
理が限界に達した時点で当該第2の追跡処理を実行した
装置とは異なる装置に当該第2の追跡処理用のモジュー
ル及び指示情報を配布することを特徴とする、 請求項4記載の電子データの追跡方法。 - 【請求項6】 前記追跡管理装置は、前記第2の追跡処
理が限界に達した時点で当該第2の追跡処理を実行した
装置に第1の追跡処理用のモジュール及び指示情報を配
布することを特徴とする、 請求項4記載の電子データの追跡方法。 - 【請求項7】 追跡対象となる電子データを捕捉するデ
ータ捕捉手段と、 捕捉した電子データを運ぶデータリンク層の識別子に基
づいて当該電子データが自装置の前に通過した他の装置
の特定を試みるとともに、前記他の装置を特定でき且つ
特定した装置が自装置と同等の機能を備えている場合に
その装置に対して前記電子データが一つ前に通過した装
置を特定させる隣接ノード追跡手段と、 前記他の装置の特定が限界に達したときに所定のモジュ
ールを読み込んで前記電子データの特徴情報をもとにプ
ロトコルアドレスベースの追跡処理を実行するプロトコ
ルアドレス追跡手段を自装置内に形成する手段とを有す
ることを特徴とするデータ追跡装置。 - 【請求項8】 前記プロトコルアドレス追跡手段が、 自装置が接続されている自律ネットワークへの流入ポイ
ントを通過する電子データから所定の追跡条件に適合す
る電子データを捕捉するデータ捕捉手段と、 捕捉した電子データの特徴情報を前記追跡条件を指定し
た装置宛に通知する通知手段とを有するものであること
を特徴とする、 請求項7記載のデータ追跡装置。 - 【請求項9】 前記プロトコルアドレス追跡手段が、前
記追跡条件を指定した装置からの解除指示の受領時又は
一定の期間満了後に削除されるものであることを特徴と
する、 請求項7記載のデータ追跡装置。 - 【請求項10】 電子データを運ぶデータリンク層の識
別子に基づいて当該電子データが自装置の前に通過した
他の装置の特定を試みるとともに前記他の装置を特定で
き且つ特定した装置が自装置と同等の機能を備えている
場合にその装置に対して前記電子データが一つ前に通過
した装置を特定させる隣接ノード追跡手段と所定のモジ
ュールをロードする手段とを有する複数のデータ追跡装
置に対して双方向通信可能な形態で接続される装置であ
って、 前記複数のデータ追跡装置のいくつかに当該データ追跡
装置が接続されている自律ネットワークへの流入ポイン
トを通過した電子データのうち所定の追跡条件に適合す
る電子データを捕捉するとともに捕捉した電子データの
特徴情報を出力するプロトコルアドレス追跡手段を形成
するモジュールと前記追跡条件とを配布する配布手段を
有し、 これにより形成されたプロトコルアドレス追跡手段と前
記隣接ノード追跡手段による実行結果情報をもとに前記
電子データの追跡管理を行うように構成されていること
を特徴とする、 追跡管理装置。 - 【請求項11】 電子データを運ぶデータリンク層の識
別子に基づいて当該電子データが自装置の前に通過した
他の装置の特定を試みるとともに前記他の装置を特定で
き且つ特定した装置が自装置と同等の機能を備えている
場合にその装置に対して前記電子データが一つ前に通過
した装置を特定させる手段を備えた複数の第1のデータ
追跡装置と、 当該装置が接続されている自律ネットワークへの流入ポ
イントから所定の追跡条件に適合する電子データを捕捉
するとともに捕捉した電子データの特徴情報を出力する
手段を備えた複数の第2のデータ追跡装置と、 各データ追跡装置との間で双方向通信可能な形態で接続
された追跡管理装置とを含み、 前記追跡管理装置は、 前記第2のデータ追跡装置のいくつかに前記追跡条件を
配布するとともに当該第2のデータ追跡装置より取得し
た特徴情報に基づいて当該電子データが通過してきた経
路を自律ネットワーク単位に辿るプロトコルアドレス追
跡手段と、 前記第1のデータ追跡装置のいくつかに捕捉対象となる
電子データの特徴情報を配布しておき、この特徴情報を
もとに第1のデータ追跡装置より取得した追跡結果に基
づいて当該電子データが通過してきた経路を受信側から
送信側に向かって辿る隣接ノード追跡手段とを有するこ
とを特徴とする、 追跡管理システム。 - 【請求項12】 捕捉した電子データに含まれる自律ネ
ットワークのプロトコルアドレスをもとに当該電子デー
タが通過してきた経路を自律ネットワーク単位に辿る第
1の追跡処理と、捕捉した電子データに含まれるデータ
リンク層の識別子をもとに当該電子データが通過してき
た経路を受信側の装置から送信側の装置に向けて辿る第
2の追跡処理とを組み合わせることにより、前記電子デ
ータの通過経路を推定する機能をコンピュータに実行さ
せるためのプログラムが記録された、コンピュータ読み
取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11153134A JP2000341315A (ja) | 1999-05-31 | 1999-05-31 | 電子データの追跡方法及びシステム、記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11153134A JP2000341315A (ja) | 1999-05-31 | 1999-05-31 | 電子データの追跡方法及びシステム、記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000341315A true JP2000341315A (ja) | 2000-12-08 |
Family
ID=15555753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11153134A Pending JP2000341315A (ja) | 1999-05-31 | 1999-05-31 | 電子データの追跡方法及びシステム、記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000341315A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
| JP2006279691A (ja) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | 不正アクセス探索方法及び装置 |
| JP2008501296A (ja) * | 2004-05-25 | 2008-01-17 | ポスティーニ インク | 電子メッセージソース評判情報システム |
| JP2009021957A (ja) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | 中継装置およびプログラム |
| JP2011028646A (ja) * | 2009-07-28 | 2011-02-10 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ流通監視方法及びシステムと、このシステムで使用される装置及びそのプログラム |
-
1999
- 1999-05-31 JP JP11153134A patent/JP2000341315A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
| JP2008501296A (ja) * | 2004-05-25 | 2008-01-17 | ポスティーニ インク | 電子メッセージソース評判情報システム |
| JP4829223B2 (ja) * | 2004-05-25 | 2011-12-07 | グーグル インコーポレイテッド | 電子メッセージソース評判情報システム |
| JP2006279691A (ja) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | 不正アクセス探索方法及び装置 |
| JP4641848B2 (ja) * | 2005-03-30 | 2011-03-02 | 富士通株式会社 | 不正アクセス探索方法及び装置 |
| JP2009021957A (ja) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | 中継装置およびプログラム |
| JP2011028646A (ja) * | 2009-07-28 | 2011-02-10 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ流通監視方法及びシステムと、このシステムで使用される装置及びそのプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100456635B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 방법 | |
| JP3723076B2 (ja) | 不正侵入防御機能を有するip通信ネットワークシステム | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| KR100490729B1 (ko) | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 | |
| US20040003292A1 (en) | User identifying technique on networks having different address systems | |
| KR100422802B1 (ko) | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 | |
| CN106452925A (zh) | 在nfv系统中检测故障的方法、装置和系统 | |
| JP2007183773A (ja) | サーバ監視プログラム、サーバ監視装置、サーバ監視方法 | |
| JP2001057554A (ja) | クラッカー監視システム | |
| CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
| CN105553809B (zh) | 一种stun隧道管理方法及装置 | |
| CN100379201C (zh) | 可控计算机网络的分布式黑客追踪的方法 | |
| JP3483782B2 (ja) | 電子データの追跡システム及びデータ中継装置 | |
| JP2000341315A (ja) | 電子データの追跡方法及びシステム、記録媒体 | |
| Nicol et al. | Multiscale modeling and simulation of worm effects on the internet routing infrastructure | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| CN111600971A (zh) | 一种设备管理的方法和设备管理的装置 | |
| JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| US8087083B1 (en) | Systems and methods for detecting a network sniffer | |
| JP3549861B2 (ja) | 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム | |
| KR100450770B1 (ko) | 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법 | |
| JP4167866B2 (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
| JP2005210451A (ja) | 不正アクセス防止装置及びプログラム | |
| KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
| CN115051851B (zh) | 物联网场景下的用户访问行为管控系统和方法 |