JP2003298652A - Attack route tracking system - Google Patents
Attack route tracking systemInfo
- Publication number
- JP2003298652A JP2003298652A JP2002094378A JP2002094378A JP2003298652A JP 2003298652 A JP2003298652 A JP 2003298652A JP 2002094378 A JP2002094378 A JP 2002094378A JP 2002094378 A JP2002094378 A JP 2002094378A JP 2003298652 A JP2003298652 A JP 2003298652A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- source
- network
- attack packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、コンピュータネッ
トワークに発生した攻撃パケットの攻撃経路を追跡する
攻撃経路追跡システムに関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an attack route tracking system for tracing an attack route of an attack packet generated in a computer network.
【0002】[0002]
【従来の技術】近年、インターネット上で提供される様
々なサービスの妨害を狙った攻撃が問題となっている。
攻撃のしかたとして、例えばパケットを連続して送信す
るなどしてサービスを妨害するDoS(Denial
of Service)という攻撃手法がある。このよ
うな攻撃に対処するには、攻撃パケットの送信元を突き
止める必要がある。その手がかりとして攻撃パケットの
ソースアドレスがある。しかし、以下の理由で攻撃パケ
ットがどこから来ているのかを特定することは困難であ
る。
(a)攻撃パケットのソースアドレスが偽装されている
可能性がある。
(b)ソースアドレスが偽装されているか、されていな
いかを判別することは難しい。2. Description of the Related Art In recent years, attacks aimed at obstructing various services provided on the Internet have become a problem.
As an attacking method, for example, DoS (Denial) that interferes with the service by continuously transmitting packets
There is an attack method called "of Service". To deal with such an attack, it is necessary to find out the source of the attack packet. The source address of the attack packet is the clue. However, it is difficult to identify where the attack packet came from for the following reasons. (A) The source address of the attack packet may be spoofed. (B) It is difficult to determine whether the source address is spoofed or not.
【0003】そのため、パケット経路を特定するための
IPトレースバック技術を用いたシステムがある。図2
は従来におけるIPトレースバック技術を用いた攻撃経
路追跡システムの構成図である。図2で、ネットワーク
11〜19はルータ装置20を介して相互接続されてい
る。各ネットワーク11〜19は、それぞれ異なる管理
ポリシーを持った組織を構成している。ネットワーク1
1〜19どうしを接続する経路にはIPトレースバック
を行うためのパケット監視手段200が設置されてい
る。パケット監視手段200は、通信経路を通過するパ
ケットを監視することによって、ネットワークを通過し
た攻撃パケットがどこから送られてきたかを調査する。
パケット監視手段200は、通信経路を通過するパケッ
トの特徴を記録する機能を持っている。Therefore, there is a system using the IP traceback technique for specifying the packet route. Figure 2
FIG. 1 is a configuration diagram of a conventional attack route tracking system using an IP traceback technique. In FIG. 2, the networks 11 to 19 are interconnected via a router device 20. Each of the networks 11 to 19 constitutes an organization having a different management policy. Network 1
A packet monitoring means 200 for performing IP traceback is installed on the path connecting the 1 to 19 nodes. The packet monitoring means 200 monitors where the attack packet that has passed through the network is sent by monitoring the packet that passes through the communication path.
The packet monitoring means 200 has a function of recording characteristics of packets passing through the communication path.
【0004】通信経路にパケット監視手段200を設け
ることによって、IPトレースバックシステムが構築さ
れる。IPトレースバックシステムは、攻撃パケットが
辿った経路を追跡していくことによって攻撃パケットの
発信源を突き止めるシステムである。複数の異なる管理
ポリシーを持つネットワークの集合体によりインターネ
ットが構成されている。攻撃者のコンピュータ30が相
互接続したネットワークを経由してユーザのコンピュー
タ40に攻撃パケットAPを送る。By providing the packet monitoring means 200 on the communication path, an IP traceback system is constructed. The IP traceback system is a system for locating the source of an attack packet by tracing the route taken by the attack packet. The Internet is composed of a collection of networks having different management policies. The attacker's computer 30 sends the attack packet AP to the user's computer 40 via the network interconnected.
【0005】図2のシステムでは攻撃パケットの経路追
跡は次の手順で行う。図に付けた符号に従って動作手順
を説明する。
(A1)ユーザは、自身のコンピュータ40に送られて
きた攻撃パケットをパケット監視ツール等により手動取
得する。
(A2)ユーザは、接続先のネットワーク11の管理者
に攻撃パケットの情報を電話、Eメール等により通知す
る。In the system shown in FIG. 2, the route of the attack packet is traced by the following procedure. The operation procedure will be described with reference to the reference numerals attached to the drawings. (A1) The user manually acquires the attack packet sent to his / her computer 40 by using a packet monitoring tool or the like. (A2) The user notifies the administrator of the connection destination network 11 of the information on the attack packet by telephone, e-mail, or the like.
【0006】(A3)ネットワーク11の管理者は、自
身のネットワークに導入したパケット監視手段に対し、
通知された攻撃パケットがどこから来たかを問い合わせ
る。問い合わせの結果、攻撃パケットが隣接のネットワ
ーク12から来ている場合は、後述する処理(A4)を
実行する。攻撃パケットが自身のネットワーク11内か
ら来ている場合は、後述する処理(A5)を実行する。
(A4)ネットワーク11の管理者は、隣接ネットワー
ク12の管理者に対して攻撃パケットの情報を電話、E
メール等により通知する。ネットワーク12の管理者
は、前述した(A3)の処理を実行する。これにより、
隣接するネットワークを辿って攻撃パターンの発信元を
探索し、発信元を突き止める。突き止めた発信元がある
ネットワークの管理者は(A5)の処理を行う。(A3) The administrator of the network 11 responds to the packet monitoring means introduced in his own network by
Queries where the notified attack packet came from. If the attack packet comes from the adjacent network 12 as a result of the inquiry, the process (A4) described later is executed. If the attack packet comes from within the own network 11, the processing (A5) described later is executed. (A4) The administrator of the network 11 sends the information of the attack packet to the administrator of the adjacent network 12 by telephone, E
Notify by e-mail. The administrator of the network 12 executes the process (A3) described above. This allows
Search the source of the attack pattern by tracing the adjacent network and locate the source. The administrator of the network that has the identified transmission source performs the process (A5).
【0007】(A5)ネットワーク11の管理者は、自
身のネットワーク内部の攻撃元に対して適切な処理をと
ったり、外部へ攻撃パケットが送られないようにフィル
タ設定する等の処理を行う。
(A6)攻撃パケットの発信元を突き止めると、発信元
を探索した経路と逆の経路を辿って発信元をユーザに通
知する。(A5) The administrator of the network 11 performs appropriate processing for an attack source inside the network of his / her own, and performs processing such as filter setting so that an attack packet is not sent to the outside. (A6) When the originator of the attack packet is located, the originator is notified to the user by following a route opposite to the route in which the originator was searched.
【0008】上述した処理をユーザとネットワーク管理
者が連携して行うことで、ネットワーク組織を跨ぐIP
トレースバックを実行する。しかし、組織を跨いで問い
合わせを行い、処置をし、結果を返事するのは人手を介
して実行するため、多くの時間とコストがかかることに
なる。例えば、隣接するネットワークの管理者が不在で
あったり、多忙である場合は対処が遅れる。また、隣接
するネツトワークがIPトレースバックシステムを導入
していない場合は、追跡は困難になる。When the user and the network administrator perform the above-mentioned processing in cooperation with each other, the IP across the network organization is
Perform a traceback. However, it takes a lot of time and cost because inquiries, treatments, and reply of results are performed manually across organizations. For example, when the administrator of the adjacent network is absent or busy, the handling is delayed. Also, tracking will be difficult if the adjacent network does not have an IP traceback system installed.
【0009】[0009]
【発明が解決しようとする課題】本発明は上述した問題
点を解決するためになされたものであり、セキュリティ
管理サービス装置を設け、セキュリティ管理サービス装
置がネットワークに問い合わせて攻撃パケットの送信元
を探索することによって、攻撃パケットの送信元を迅速
に突き止められる攻撃経路追跡システムを実現すること
を目的とする。SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems. A security management service device is provided, and the security management service device inquires the network to search for the source of the attack packet. By doing so, it is an object of the present invention to realize an attack route tracking system that can quickly find the source of an attack packet.
【0010】[0010]
【課題を解決するための手段】本発明は次のとおりの構
成になった攻撃経路追跡システムである。The present invention is an attack route tracking system configured as follows.
【0011】(1)ルータ装置を介してネットワークを
相互接続し、相互接続したネットワークを辿ってネット
ワーク上のコンピュータに送られてきた攻撃パケットの
送信経路を追跡する攻撃経路追跡システムにおいて、前
記コンピュータに攻撃パケットが侵入したことを検知す
る侵入検知手段と、ネットワークどうしを接続する経路
に設けられ、ネットワークを通過した攻撃パケットがど
こから送られてきたかを調査するパケット監視手段と、
前記侵入検知手段で攻撃パケットが検出されると、攻撃
パケットが検出されたコンピュータが接続されたネット
ワークにあるパケット監視手段に攻撃パケットの送信元
を問い合わせるセキュリティ管理サービス装置と、を有
し、前記セキュリティ管理サービス装置は、パケット監
視手段に問い合わせた結果をもとに攻撃パケットの送信
元を突き止めることを特徴とする攻撃経路追跡システ
ム。(1) In an attack route tracking system that interconnects networks via a router device and traces the transmission route of an attack packet sent to a computer on the network by tracing the interconnected networks. Intrusion detection means for detecting that an attack packet has invaded, and a packet monitoring means provided in a path connecting networks to investigate where an attack packet that has passed through the network is sent from,
When an attack packet is detected by the intrusion detection unit, a security management service device that inquires the source of the attack packet to the packet monitoring unit in the network to which the computer in which the attack packet is detected is connected, An attack route tracking system, wherein the management service device locates the source of the attack packet based on the result of the inquiry to the packet monitoring means.
【0012】(2)前記セキュリティ管理サービス装置
は、パケット監視手段が攻撃パケットの送信元が自身の
ネットワークPn内にあることを検出したときはネット
ワークPnを送信元とし、攻撃パケットの送信元がネッ
トワークPnと隣接するネットワークPn+1にあると
検出したときは、ネットワークPn+1にあるパケット
監視手段に対して攻撃パケットの送信元を問い合わせ、
以下同様にして隣接するネットワークを辿って送信元を
問い合わせ、攻撃パケットの送信元を特定することを特
徴とする(1)記載の攻撃経路追跡システム。(2) When the packet monitoring means detects that the source of the attack packet is within its own network Pn, the security management service device sets the network Pn as the source, and the source of the attack packet is the network. When it is detected that the network is in the network Pn + 1 adjacent to Pn, the source of the attack packet is inquired to the packet monitoring means in the network Pn + 1,
In the same manner, the attack route tracking system according to (1) is characterized in that the sender is inquired by tracing the adjacent networks in the same manner, and the sender of the attack packet is specified.
【0013】(3)前記セキュリティ管理サービス装置
は、攻撃パケットの送信元を突き止めたときに、この送
信元を前記コンピュータが接続されたネットワークを管
理する管理コンピュータに知らせることを特徴とする
(1)または(2)に記載の攻撃経路追跡システム。(3) When the source of the attack packet is located, the security management service device informs the source to the management computer that manages the network to which the computer is connected (1). Alternatively, the attack route tracking system according to (2).
【0014】(4)前記セキュリティ管理サービス装置
は、攻撃パケットの送信元を突き止めたときに、この送
信元を前記侵入検知手段に知らせることを特徴とする
(1)または(2)に記載の攻撃経路追跡システム。(4) The attack according to (1) or (2), wherein the security management service device informs the intrusion detection means of the transmission source of the attack packet when locating the transmission source of the attack packet. Route tracking system.
【0015】(5)前記セキュリティ管理サービス装置
は、攻撃パケットの送信元を突き止めたときに、この送
信元を前記攻撃パケットが侵入したコンピュータに知ら
せることを特徴とする(1)または(2)に記載の攻撃
経路追跡システム。(5) When the security management service device finds the source of the attack packet, the security management service device informs the computer of the attack packet of the source of the attack packet (1) or (2). Attack route tracking system described.
【0016】(6)前記セキュリティ管理サービス装置
は、攻撃パケットの送信元を突き止めたときに、この送
信元があるネットワークと接続しているルータ装置に対
して攻撃パケットがネットワーク外に送られることを阻
止することを特徴とする(1)から(5)のいずれかに
記載の攻撃経路追跡システム。(6) When the security management service device finds the source of the attack packet, the security management service device confirms that the attack packet is sent outside the network to the router device connected to the network in which the source is located. The attack route tracking system according to any one of (1) to (5), characterized by blocking.
【0017】(7)前記セキュリティ管理サービス装置
は、攻撃パケットの送信元を突き止めたときに、攻撃パ
ケットの送信元を追跡した経路に存在するネットワーク
を管理する管理コンピュータの少なくとも1つに対し
て、ルータ装置にどのようなフィルタ設定をすればよい
かを指示することを特徴とする(1)から(6)のいず
れかに記載の攻撃経路追跡システム。(7) When the security management service device finds the source of the attack packet, the security management service device controls at least one of the management computers that manages the network existing in the route tracing the source of the attack packet, The attack route tracking system according to any one of (1) to (6), wherein the router device is instructed what kind of filter setting should be made.
【0018】(8)ネットワークとルータ装置の接続構
成を示した接続構成画面を表示する表示手段と、前記セ
キュリティ管理サービス装置の探索結果に基づいて前記
接続構成画面上に攻撃パケットの通過経路を表示する経
路表示手段と、を有することを特徴とする(1)から
(7)のいずれかに記載の攻撃経路追跡システム。(8) Display means for displaying a connection configuration screen showing the connection configuration of the network and the router device, and the passage route of the attack packet on the connection configuration screen based on the search result of the security management service device. The attack route tracking system according to any one of (1) to (7), further comprising:
【0019】[0019]
【発明の実施の形態】以下図面を用いて本発明を詳しく
説明する。図1は本発明の一実施例を示す構成図であ
る。図1で図2と同一のものは同一符合を付ける。図1
で、侵入検知手段50は、ユーザのコンピュータ40に
攻撃パケットが侵入したことを検知し、攻撃パケットを
取得する。セキュリティ管理サービス装置60は、ユー
ザのコンピュータ40に攻撃パケットが侵入したことが
検知されたときは、ネットワークに対して攻撃パケット
の送信元を問い合わせて、攻撃パケットの送信元を突き
止める装置である。管理コンピュータ101はネットワ
ーク11の管理者が持っているコンピュータである。図
示しないが他のネットワークにも管理コンピュータが接
続されている。DETAILED DESCRIPTION OF THE INVENTION The present invention will be described in detail below with reference to the drawings. FIG. 1 is a block diagram showing an embodiment of the present invention. 1 which are the same as those in FIG. 2 are designated by the same reference numerals. Figure 1
Then, the intrusion detection means 50 detects that the attack packet has entered the computer 40 of the user, and acquires the attack packet. The security management service device 60 is a device that, when it is detected that an attack packet has entered the computer 40 of the user, inquires the source of the attack packet to the network and determines the source of the attack packet. The management computer 101 is a computer owned by the administrator of the network 11. Although not shown, the management computer is also connected to another network.
【0020】図1のシステムでは攻撃パケットの経路追
跡は次の手順で行う。図に付けた符号に従って動作手順
を説明する。In the system of FIG. 1, the route of the attack packet is traced by the following procedure. The operation procedure will be described with reference to the reference numerals attached to the drawings.
【0021】(B1)侵入検知手段50は、ユーザのコ
ンピュータ40に攻撃パケットが侵入したことを検知
し、この攻撃パケットを取得する。
(B2)侵入検知手段50は、セキュリティ管理サービ
ス装置60に攻撃パケットを検知したことを通知する。
このとき、攻撃パケットの情報もセキュリティ管理サー
ビス装置60に渡す。セキュリティ管理サービス装置6
0は、探索対象をユーザのコンピュータ40が接続して
いるネットワーク11に絞る。(B1) The intrusion detection means 50 detects that an attack packet has entered the user's computer 40, and acquires this attack packet. (B2) The intrusion detection means 50 notifies the security management service device 60 that an attack packet has been detected.
At this time, information on the attack packet is also passed to the security management service device 60. Security management service device 6
0 narrows down the search target to the network 11 to which the user's computer 40 is connected.
【0022】(B3)セキュリティ管理サービス装置6
0は、ネットワーク11への通信経路に接続しているパ
ケット監視手段200a〜200dに対し、通知された
攻撃パケットがどこから来たかを問い合わせる。パケッ
ト監視手段は通信経路を通過したパケットの特徴を記録
している。このため、セキュリティ管理サービス装置6
0が持っている攻撃パケットの情報と、パケット監視手
段がとった記録をもとに攻撃パケットを識別できる。問
い合わせの結果、攻撃パケットが隣接のネットワーク1
2から来ている場合は、後述する処理(B4)を実行す
る。攻撃パケットが自身のネットワーク11内から来て
いる場合は、後述する処理(B5)を実行する。(B3) Security management service device 6
0 queries the packet monitoring means 200a to 200d connected to the communication path to the network 11 from where the notified attack packet came from. The packet monitoring means records the characteristics of the packet that has passed through the communication path. Therefore, the security management service device 6
The attack packet can be identified based on the attack packet information held by 0 and the record taken by the packet monitoring means. As a result of the inquiry, the attack packet has an adjacent network 1
If it is from 2, the process (B4) described later is executed. When the attack packet comes from within the own network 11, the processing (B5) described later is executed.
【0023】(B4)セキュリティ管理サービス装置6
0は、探索対象を隣接ネットワーク12に絞り、前述し
た(B3)の処理を実行する。これにより、隣接するネ
ットワークを辿って攻撃パターンの発信元を探索し、発
信元を突き止める。突き止めた発信元があるネットワー
クに対してセキュリティ管理サービス装置60は(B
5)と同様な処理を行う。(B4) Security management service device 6
In 0, the search target is narrowed down to the adjacent network 12 and the processing of (B3) described above is executed. As a result, the source of the attack pattern is searched for by tracing the adjacent network, and the source is located. The security management service device 60 (B
The same process as 5) is performed.
【0024】(B5)セキュリティ管理サービス装置6
0は、攻撃の送信元がネットワーク11にいることを管
理コンピュータ101に通知する。また、セキュリティ
管理サービス装置60は、管理コンピュータ101に対
して、ネットワーク11から外部へ攻撃パケットが送ら
れないようにするために、どのようなパターンのフィル
タをどこのルータ装置に設定すればよいか、指示を出
す。例えば、隣接ネットワーク17と接続しているルー
タ装置200cにおいて、攻撃パケットのパターンが外
に送られるのを阻止する。また、攻撃元に最も近いルー
タで攻撃パケットのパターンが送られるのを制限する。
なお、セキュリティ管理サービス装置60は、攻撃の送
信元がネットワーク11にいることを侵入検知手段50
に通知してもよい。この場合、侵入検知手段50を経由
して管理コンピュータ101に発信元が知らされる。
(B4)の場合も、セキュリティ管理サービス装置60
は、突き止めた発信元があるネットワークの管理コンピ
ュータに対して、攻撃の送信元がネットワーク内にいる
ことを知らせ、この管理コンピュータに対して上述した
のと同様な指示を出す。(B5) Security management service device 6
0 notifies the management computer 101 that the source of the attack is on the network 11. In addition, what kind of pattern should be set for which router device in the security management service device 60 in order to prevent the attack packet from being sent from the network 11 to the management computer 101. , Give instructions. For example, in the router device 200c connected to the adjacent network 17, the attack packet pattern is prevented from being sent to the outside. It also restricts the sending of attack packet patterns by the router closest to the attack source.
Note that the security management service device 60 detects that the source of the attack is on the network 11 by the intrusion detection means 50.
May be notified. In this case, the originator is notified to the management computer 101 via the intrusion detection means 50.
Also in the case of (B4), the security management service device 60
Informs the management computer of the network where the source is located that the source of the attack is in the network, and issues the same instruction as described above to this management computer.
【0025】(B6)管理コンピュータは、(B5)の
通知に従って処置を行う。そして、処置したことをセキ
ュリティ管理サービス装置60に通知する。
(B7)セキュリティ管理サービス装置60は、ユーザ
のコンピュータ40に対して処置した結果を通知する。(B6) The management computer takes action according to the notification of (B5). Then, the security management service device 60 is notified of the treatment. (B7) The security management service apparatus 60 notifies the computer 40 of the user of the result of the treatment.
【0026】セキュリティ管理サービス装置60を運用
するセキュリティ管理サービス提供業者は、ネットワー
ク組織と提携関係を結んでいるため、パケット監視手段
とのアクセスを許可されている。(B3)と(B4)の
処理を行っているときに、隣接ネットワーク1nがIP
トレースバックシステムを導入していないときは、その
先の隣接ネットワーク1n+1に問い合わせる。The security management service provider operating the security management service device 60 is permitted to access the packet monitoring means because it has a tie-up with the network organization. While performing the processes of (B3) and (B4), the adjacent network 1n is
When the traceback system has not been introduced, the next adjacent network 1n + 1 is inquired.
【0027】上述した処理をセキュリティ管理サービス
装置60が自動的に行っていくことで、ネットワーク組
織を跨ぐIPトレースバックを実行する。これによっ
て、攻撃パケットの発生元を迅速に突き止める。The security management service device 60 automatically performs the above-mentioned processing, thereby executing the IP traceback across the network organization. As a result, the origin of the attack packet is quickly found.
【0028】なお、セキュリティ管理サービス装置60
は、攻撃パケットの送信元を突き止めたときに、この送
信元があるネットワークと接続しているルータ装置に対
してパケットの通過を制限するフィルタ設定を行っても
よい。また、セキュリティ管理サービス装置60は、攻
撃パケットの送信元を突き止めたときに、攻撃パケット
の送信元を追跡した経路に存在するネットワークを管理
する管理コンピュータの少なくとも1つに対して、ルー
タ装置にどのようなフィルタ設定をすればよいかを指示
してもよい。この場合は、追跡経路の少なくとも1箇所
でフィルタ設定を指示することになる。The security management service device 60
When the sender of the attack packet is located, the router may set a filter that restricts the passage of the packet to the router device connected to the network where the sender is located. In addition, when the source of the attack packet is located, the security management service apparatus 60 determines whether the router apparatus is provided to at least one of the management computers that manage the networks existing in the route that traces the source of the attack packet. You may instruct whether such a filter setting should be made. In this case, the filter setting is instructed at at least one position on the tracking route.
【0029】また、ネットワークとルータ装置の接続構
成を示した接続構成画面を表示する表示手段を設け、経
路表示手段がセキュリティ管理サービス装置の探索結果
に基づいて接続構成画面上に攻撃パケットの通過経路を
表示する構成にしてもよい。Further, display means for displaying a connection configuration screen showing the connection configuration of the network and the router device is provided, and the route display means displays the passage route of the attack packet on the connection configuration screen based on the search result of the security management service device. May be displayed.
【0030】[0030]
【発明の効果】本発明によれば次の効果が得られる。According to the present invention, the following effects can be obtained.
【0031】請求項1及び請求項2記載の発明では、セ
キュリティ管理サービス装置を設け、セキュリティ管理
サービス装置がネットワークに問い合わせて攻撃パケッ
トの送信元を自動的に探索する。これによって、ユーザ
は攻撃パケットの送信元を迅速に突き止められる。According to the first and second aspects of the present invention, a security management service device is provided, and the security management service device inquires the network to automatically search for the source of the attack packet. This allows the user to quickly locate the source of the attack packet.
【0032】請求項3から請求項5記載の発明では、セ
キュリティ管理サービス装置は、攻撃パケットの送信元
を突き止めたときに、この送信元を知らせるため、ユー
ザはネットワークへの問い合わせを行わなくても攻撃パ
ケットの送信元を容易に認識できる。In the inventions according to claims 3 to 5, when the security management service device finds the source of the attack packet, the security management service device informs the source of the attack packet, so that the user does not have to make an inquiry to the network. The source of the attack packet can be easily recognized.
【0033】請求項6及び請求項7記載の発明では、セ
キュリティ管理サービス装置は、攻撃パケットの送信元
を突き止めたときに、攻撃パケットの送信を食い止める
措置を施すため、攻撃パケットの発生を阻止できる。According to the sixth and seventh aspects of the present invention, the security management service apparatus takes measures to stop the transmission of the attack packet when the transmission source of the attack packet is located, so that the generation of the attack packet can be prevented. .
【0034】請求項8記載の発明では、ネットワークと
ルータ装置の接続構成を示した接続構成画面を表示し、
接続構成画面上に攻撃パケットの通過経路を表示するた
め、ユーザは攻撃パケットがどこから来ているかを視覚
的に認識できる。In the invention according to claim 8, a connection configuration screen showing a connection configuration between the network and the router device is displayed,
Since the path of the attack packet is displayed on the connection configuration screen, the user can visually recognize where the attack packet is coming from.
【図1】本発明の一実施例を示す構成図である。FIG. 1 is a configuration diagram showing an embodiment of the present invention.
【図2】従来におけるIPトレースバック技術を用いた
攻撃経路追跡システムの構成図である。FIG. 2 is a configuration diagram of an attack route tracking system using a conventional IP traceback technique.
11〜19 ネットワーク 20 ルータ装置 30,40 コンピュータ 50 侵入検知手段 60 セキュリティ管理サービス提供装置 101 管理コンピュータ 200 パケット監視手段 11-19 Network 20 router equipment 30,40 computer 50 Intrusion detection means 60 Security management service providing device 101 management computer 200 Packet monitoring means
───────────────────────────────────────────────────── フロントページの続き (72)発明者 武智 洋 東京都武蔵野市中町2丁目9番32号 横河 電機株式会社内 Fターム(参考) 5B085 AA08 AE00 5K030 GA15 HA08 JA10 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Hiroshi Takechi 2-9-32 Nakamachi, Musashino City, Tokyo Yokogawa Electric Co., Ltd. F-term (reference) 5B085 AA08 AE00 5K030 GA15 HA08 JA10
Claims (8)
接続し、相互接続したネットワークを辿ってネットワー
ク上のコンピュータに送られてきた攻撃パケットの送信
経路を追跡する攻撃経路追跡システムにおいて、 前記コンピュータに攻撃パケットが侵入したことを検知
する侵入検知手段と、 ネットワークどうしを接続する経路に設けられ、ネット
ワークを通過した攻撃パケットがどこから送られてきた
かを調査するパケット監視手段と、 前記侵入検知手段で攻撃パケットが検出されると、攻撃
パケットが検出されたコンピュータが接続されたネット
ワークにあるパケット監視手段に攻撃パケットの送信元
を問い合わせるセキュリティ管理サービス装置と、を有
し、前記セキュリティ管理サービス装置は、パケット監
視手段に問い合わせた結果をもとに攻撃パケットの送信
元を突き止めることを特徴とする攻撃経路追跡システ
ム。1. An attack route tracking system for interconnecting networks via a router device and tracing the transmission route of an attack packet sent to a computer on the network by tracing the interconnected networks and attacking the computer. An intrusion detection unit that detects that a packet has intruded, and a packet monitoring unit that is provided in a path that connects networks and that investigates from where an attack packet that has passed through the network is sent, and an attack packet by the intrusion detection unit. Is detected, the security management service device inquires the source of the attack packet to the packet monitoring means in the network to which the computer in which the attack packet is detected is connected. Contacted the means An attack route tracking system that locates the source of an attack packet based on the result.
パケット監視手段が攻撃パケットの送信元が自身のネッ
トワークPn内にあることを検出したときはネットワー
クPnを送信元とし、攻撃パケットの送信元がネットワ
ークPnと隣接するネットワークPn+1にあると検出
したときは、ネットワークPn+1にあるパケット監視
手段に対して攻撃パケットの送信元を問い合わせ、以下
同様にして隣接するネットワークを辿って送信元を問い
合わせ、攻撃パケットの送信元を特定することを特徴と
する請求項1記載の攻撃経路追跡システム。2. The security management service device,
When the packet monitoring means detects that the source of the attack packet is within its own network Pn, the network Pn is used as the source, and when the source of the attack packet is detected as being in the network Pn + 1 adjacent to the network Pn. The inquiry source of the attack packet is queried with respect to the packet monitoring means in the network Pn + 1, and the sender of the attack packet is identified by tracing the adjacent networks in the same manner. Attack route tracking system described.
攻撃パケットの送信元を突き止めたときに、この送信元
を前記コンピュータが接続されたネットワークを管理す
る管理コンピュータに知らせることを特徴とする請求項
1または請求項2に記載の攻撃経路追跡システム。3. The security management service device,
3. The attack route tracking system according to claim 1, wherein when the source of the attack packet is found, the source is notified to a management computer that manages the network to which the computer is connected.
攻撃パケットの送信元を突き止めたときに、この送信元
を前記侵入検知手段に知らせることを特徴とする請求項
1または請求項2に記載の攻撃経路追跡システム。4. The security management service device,
3. The attack route tracking system according to claim 1, wherein when the source of the attack packet is located, the source is notified to the intrusion detecting means.
攻撃パケットの送信元を突き止めたときに、この送信元
を前記攻撃パケットが侵入したコンピュータに知らせる
ことを特徴とする請求項1または請求項2に記載の攻撃
経路追跡システム。5. The security management service device,
3. The attack route tracking system according to claim 1, wherein when the source of the attack packet is located, the source of the attack packet is notified to the computer invading the attack packet.
攻撃パケットの送信元を突き止めたときに、この送信元
があるネットワークと接続しているルータ装置に対して
攻撃パケットがネットワーク外に送られることを阻止す
ることを特徴とする請求項1から請求項5のいずれかに
記載の攻撃経路追跡システム。6. The security management service device,
2. When the source of an attack packet is located, it prevents the attack packet from being sent outside the network to a router device connected to the network in which this source is located. 5. The attack route tracking system according to any one of 5 above.
攻撃パケットの送信元を突き止めたときに、攻撃パケッ
トの送信元を追跡した経路に存在するネットワークを管
理する管理コンピュータの少なくとも1つに対して、ル
ータ装置にどのようなフィルタ設定をすればよいかを指
示することを特徴とする請求項1から請求項6のいずれ
かに記載の攻撃経路追跡システム。7. The security management service device comprises:
What kind of filter setting should be made in the router device for at least one of the management computers that manage the networks existing in the route that traces the source of the attack packet when the source of the attack packet is located? The attack route tracking system according to any one of claims 1 to 6, characterized by:
示した接続構成画面を表示する表示手段と、 前記セキュリティ管理サービス装置の探索結果に基づい
て前記接続構成画面上に攻撃パケットの通過経路を表示
する経路表示手段と、を有することを特徴とする請求項
1から請求項7のいずれかに記載の攻撃経路追跡システ
ム。8. Display means for displaying a connection configuration screen showing a connection configuration of a network and a router device, and displaying a passage route of an attack packet on the connection configuration screen based on a search result of the security management service device. An attack route tracking system according to any one of claims 1 to 7, further comprising: a route display means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002094378A JP2003298652A (en) | 2002-03-29 | 2002-03-29 | Attack route tracking system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002094378A JP2003298652A (en) | 2002-03-29 | 2002-03-29 | Attack route tracking system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003298652A true JP2003298652A (en) | 2003-10-17 |
Family
ID=29386962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002094378A Pending JP2003298652A (en) | 2002-03-29 | 2002-03-29 | Attack route tracking system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003298652A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004147223A (en) * | 2002-08-30 | 2004-05-20 | Ntt Data Corp | Method for searching packet passage route, method for specifying unauthorized attacking origin and program for making computer execute the same method |
| JP2006311448A (en) * | 2005-05-02 | 2006-11-09 | Matsushita Electric Works Ltd | Network monitoring system |
| JP2007221442A (en) * | 2006-02-16 | 2007-08-30 | Kddi Corp | Packet search management device and method |
| JP2008211464A (en) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | Traffic abnormality detection system, traffic information observation device, traffic information management device, traffic information observation program, and traffic information management program |
| JP2009021957A (en) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | Relay apparatus and program |
| JP2009055222A (en) * | 2007-08-24 | 2009-03-12 | Nec Corp | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure device, and attack packet countermeasure program |
| WO2009041686A1 (en) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | Network monitoring device, network monitoring method, and network monitoring program |
| CN111885007A (en) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | Information tracing method, device, system and storage medium |
-
2002
- 2002-03-29 JP JP2002094378A patent/JP2003298652A/en active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004147223A (en) * | 2002-08-30 | 2004-05-20 | Ntt Data Corp | Method for searching packet passage route, method for specifying unauthorized attacking origin and program for making computer execute the same method |
| JP2006311448A (en) * | 2005-05-02 | 2006-11-09 | Matsushita Electric Works Ltd | Network monitoring system |
| JP2007221442A (en) * | 2006-02-16 | 2007-08-30 | Kddi Corp | Packet search management device and method |
| JP4597882B2 (en) * | 2006-02-16 | 2010-12-15 | Kddi株式会社 | Packet search management apparatus and packet search management method |
| JP2008211464A (en) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | Traffic abnormality detection system, traffic information observation device, traffic information management device, traffic information observation program, and traffic information management program |
| JP2009021957A (en) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | Relay apparatus and program |
| JP4710889B2 (en) * | 2007-08-24 | 2011-06-29 | 日本電気株式会社 | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program |
| JP2009055222A (en) * | 2007-08-24 | 2009-03-12 | Nec Corp | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure device, and attack packet countermeasure program |
| WO2009041686A1 (en) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | Network monitoring device, network monitoring method, and network monitoring program |
| JP4827972B2 (en) * | 2007-09-28 | 2011-11-30 | 日本電信電話株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
| US8347383B2 (en) | 2007-09-28 | 2013-01-01 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
| CN111885007A (en) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | Information tracing method, device, system and storage medium |
| CN111885007B (en) * | 2020-06-30 | 2023-03-24 | 北京长亭未来科技有限公司 | Information tracing method, device, system and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| US20180367566A1 (en) | Prevention and control method, apparatus and system for network attack | |
| US11729209B2 (en) | Distributed denial-of-service attack mitigation with reduced latency | |
| AU2004282937B2 (en) | Policy-based network security management | |
| Papadopoulos et al. | Cossack: Coordinated suppression of simultaneous attacks | |
| US6738814B1 (en) | Method for blocking denial of service and address spoofing attacks on a private network | |
| Wheeler et al. | Techniques for cyber attack attribution | |
| US7093292B1 (en) | System, method and computer program product for monitoring hacker activities | |
| US7681236B2 (en) | Unauthorized access prevention system | |
| US20060282893A1 (en) | Network information security zone joint defense system | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
| US20060143709A1 (en) | Network intrusion prevention | |
| US20190068626A1 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
| WO2005043820A1 (en) | System and method for traffic analysis | |
| US7299489B1 (en) | Method and apparatus for host probing | |
| JP2003298652A (en) | Attack route tracking system | |
| JP2000354034A (en) | Business: hacker monitoring chamber | |
| Geer | Behavior-based network security goes mainstream | |
| Xia et al. | Effective worm detection for various scan techniques | |
| JP2003333092A (en) | Network system, method of tracing attack packet and method of preventing attack packet | |
| JP2004266483A (en) | Unauthorized access prevention method,device, program | |
| JP4753264B2 (en) | Method, apparatus, and computer program for detecting network attacks (network attack detection) | |
| JP2003186763A (en) | Detection and prevention method of breaking into computer system | |
| Deri et al. | Improving Network Security Using Ntop |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050107 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050113 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050308 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050808 |