JP2004147223A - パケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラム - Google Patents
パケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラム Download PDFInfo
- Publication number
- JP2004147223A JP2004147223A JP2002311752A JP2002311752A JP2004147223A JP 2004147223 A JP2004147223 A JP 2004147223A JP 2002311752 A JP2002311752 A JP 2002311752A JP 2002311752 A JP2002311752 A JP 2002311752A JP 2004147223 A JP2004147223 A JP 2004147223A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- search
- route
- printing device
- management manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】あるパケットプリンティング装置(PP装置A)で検索されたTTL値と、このPP装置Aを基点として検索要求が送信された他のパケットプリンティング装置(PP装置B)で検索されたTTL値とを比較して検索順に昇順になっているか否かを判定し、PP装置Bに、PP装置Aへの経路関連情報が存在するか否かを判定し、PP装置Aで検索された第1の通過時刻情報とPP装置Bで検索された第2の通過時刻情報とを比較して検索順に降順になっているか否かを判定し、これらのTTL値の判定処理、経理関連情報の判定処理および通過時刻情報の判定処理の少なくとも一つを用いて、追跡対象パケットがパケットプリンティング装置を通過したか否かを判定する。
【選択図】 図6
Description
【発明の属する技術分野】
この発明は、ネットワーク上を流れるパケットの通過ルートを探索し、不正アクセスの攻撃元を特定する方法に関するものであり、特に、パケット通過ルートの確定に際し、このパケット通過ルートの正確性を向上させ、不正アクセスの攻撃元を特定することができるパケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラムに関するものである。
【0002】
【従来の技術】
従来から通信ネットワーク内の不審なパケットを検出するために、IDS(Intrusion Detection System/侵入検知装置)が使用されている。このIDSにより不審なパケットを検知し、そのパケットの追跡を行う場合、発信元アドレスをキーとしてパケットの追跡を行う。そのため、発信元アドレスが詐称されていると、正確なパケットの追跡ができない。このような発信元の詐称されたパケットを特定し、追跡するために、パケット内に目印となる情報を付与する等、パケットに手を加える方法や、パケットの中身を精査する方法が考えられていた。
【0003】
しかし、上述したパケット内に目印となる情報を付与する従来の方法は、その中身を調べるため、プライバシを侵害するという問題点があった。また、第三者によってパケット内に追跡するためとして付与された情報が、悪意ある第三者によって付与された、若しくは変更された欺購情報である場合、そのパケットを正確に追跡することができなかった。
【0004】
また、ルータ等、既存のネットワーク機器において追跡する方法も考えられていた。しかし、この方法を実現するには、対象となるネットワーク装置内部の仕組みや、ネットワークの構成を一部変更しなければならない。そのため、機器の追加、設置場所変更等の構成変更を柔軟に行うことができなくなるという問題点があった。
【0005】
そこで、本出願人は、PCT/JP01/04139号に記載したパケット追跡システムによって上記問題点を解決している。なお、このパケット追跡システムは、既存のネットワーク機器を利用したままでもパケットの経路を追跡することのできるシステムである。
【0006】
図24は、このPCT/JP01/04139号に示されるパケット追跡システムの構成概要を示すブロック図である。同図において、ネットワークA、B、Cは、イントラネット内のネットワークである。また、ネットワークAは、図示しないプロバイダを介してインターネットに接続されている。これらのネットワークを監視するため、それぞれのネットワーク間では、パケットプリンティング装置101(101a、101b、101c)が、タッピングなどの手法を用いてIP(Internet Protocol Address)アドレスなどの論理接続を持たない接続方式(ステルス接続方式)により接続されている。したがって、これらのパケットプリンティング装置101a、101b、101cは、監視対象ネットワーク内の他の装置から自己の存在を隠すことができる。
【0007】
一方、パケットプリンティング装置101a、101b、101cは、監視対象ネットワークとは独立に存在する管理用ネットワークにも接続されている。この接続は監視対象ネットワークとの接続(ステルス接続)とは異なり、管理用ネットワークに接続された他の装置から認識可能な接続方式(例えばIP接続方式)で接続されている。これらのパケットプリンティング装置101a、101b、101cは、それぞれが接続されているネットワーク間の接続リンクを監視の対象とし、それぞれの監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケット特定情報を生成するとともに、このパケット特定情報を記憶する。
【0008】
ところで、このパケット特定情報として最も一般的なのがハッシュ値と呼ばれるものである。このハッシュ値の生成には、ハッシュ関数と呼ばれる一方向性関数が用いられる。この一方向性関数に基づいて、パケットに含まれる文字、数字などを含んだ可変長の文字列データが固定長のデータに要約される。この要約された固定長データをハッシュ値と呼んでいる。なお、これ以降、このパケット特定情報をハッシュ値として説明する。
【0009】
図24において、さらに、IDS103がネットワークCおよび管理用ネットワークに接続されている。このIDS103は監視対象ネットワークに侵入した不正アクセスパケットの検知を行う装置である。一方、管理マネージャ102は、管理用ネットワークに接続され、パケットプリンティング装置101a、101b、101cと管理用ネットワークを介して通信する装置である。また、構成情報DB126は監視対象ネットワークおよび管理用ネットワークの構成情報を記憶している。
【0010】
いま、IDS103が、ネットワークC内で不正アクセスパケットを検知したものとする。この不正アクセスパケットの検知は、ユーザが定義した不正アクセスの判定基準およびルールに基づいて行われる。例えば、ポートスキャンが行われた場合には、IDS103は、このポートスキャンに対する警報と、このポートスキャンを行ったパケットを追跡対象パケットとして管理マネージャ102に送信する。管理マネージャ102は、これらのIDS103からの警報と、追跡対象パケットを受信すると、受信したパケットからハッシュ値を生成する。
【0011】
つぎに、管理マネージャ102は、パケットプリンティング装置の位置を確認し、生成したハッシュ値を含む検索要求を送信する。ここでは、パケットプリンティング装置101a、101b、101cのすべてに生成したハッシュ値を含む検索要求を送信するものとする。このとき、パケットプリンティング装置101a、101b、101cは、受信したハッシュ値と一致するハッシュ値を記憶しているかどうか検索する。検索が終わると、検索結果を管理マネージャ102に送信する。管理マネージャ102は、パケットプリンティング装置101a、101b、101cから送信された結果と、ネットワークの構成情報とから、パケットの経路を得ることができる。
【0012】
例えば、パケットプリンティング装置101b、101cから、一致するハッシュ値を記憶しているという結果を受信した場合、追跡対象パケットは、ネットワークAを介してインターネットから来たということが明らかになる。
【0013】
なお、図24に示す構成では、管理マネージャ102やIDS103などを接続する管理用ネットワークは、監視対象ネットワークとは独立して存在するものとしているが、この接続形態に限定されるものではなく、監視対象ネットワークと論理的、物理的に同一な通信回線であってもよいし、物理的に同一であって、論理的に異なる通信回線であってもよい。
【0014】
図25は、パケットプリンティング装置101の機能構成を示すブロック図である。同図において、タッピング装置111は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。プリンティング制御部112は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリンティング部113に指示しておく。パケットプリンティング部113は、プリンティング制御部112に指示された方式(ハッシュ関数)で、タッピング装置111がコピーしたパケットのハッシュ値を生成する。キャッシュ制御部114は、キャッシュ部115に記憶されているハッシュ値の量を認識する。ここで、キャッシュ部115に記憶されているハッシュ値が一定量以上であった場合、キャッシュ制御部114は、キャッシュ部115に記憶されている最も古いハッシュ値を破棄する。キャッシュ部115に記憶されているハッシュ値が一定量以下であった場合、キャッシュ制御部114は、キャッシュ部115に記憶されている情報の最後尾に新しいハッシュ値を追加して記憶する。このように、キャッシュ制御部114は、キャッシュ部115に記憶されているハッシュ値が常に一定量以下になるよう制御する。
【0015】
ネットワ−クに流れるパケットのヘッダ部分には、当該パケットの寿命を示すTTL(Time To Live)が付随している。キャッシュ制御部114は、パケットプリンティング部113が生成したハッシュ値に、当該パケットの通過時刻情報を示すタイムスタンプと、TTL値とを関連付けてキャッシュ部115の空いている記憶領域に記憶させる。パケットプリンティング装置101a、101b、101cは、監視対象ネットワークを通過するすべてのパケットに対し、上述の動作を行っている。追跡エージェント部116は、管理用ネットワークと接続され、管理マネージャ102と通信する。なお、追跡エージェント部116の動作については、後述する管理マネージャ102の動作のところで説明する。
【0016】
図26は、管理マネージャ102の機能構成を示すブロック図である。同図において、警報受信部121は、IDS103から不正アクセスパケットに対する警報を受信し、パケット受信部122は、IDS103から不正アクセスパケットを受信する。プリンティング制御部123は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリンティング部124に指示しておく。なお、パケットプリンティング装置101のプリンティング制御部112で指定される方式と、管理マネージャ102のプリンティング制御部123で指定される方式は常に同じ方式である。パケットプリンティング部124は、プリンティング制御部123から指示された方式(ハッシュ関数)で、パケット受信部122で受信されたパケットのハッシュ値を生成する。追跡要求部125は、パケットプリンティング部124で生成されたハッシュ値を含む検索要求をパケットプリンティング装置101a、101b、101cに送信するとともに、パケットプリンティング装置101a、101b、101cからの検索結果を受信する。これらパケットプリンティング装置101a、101b、101cから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報DB126とに基づいて、通過ルート作成部127がパケットの通過経路を作成する。
【0017】
このようにして、通過ルート作成部127が作成した追跡対象パケットの通過経路の情報がシステム管理者等に通知される。システム管理者等は、この通過経路の情報に基づき、追跡対象パケットがどこから侵入してきたのかを判断することができ、不正アクセスのパケットに対する対策を打つことができる。
【0018】
【発明が解決しようとする課題】
しかしながら、上記のパケット追跡システムでは、パケットプリンティング装置が、パケットの検索の問い合わせに正確に回答することができず、追跡対象パケットの通過経路を特定できない場合があるという問題点があった。このパケットの検索の問い合わせに正確に回答できない場合とは、つぎのような場合である。
▲1▼ パケットプリンティング装置が故障し、返答できない場合
▲2▼ パケットプリンティング装置のパケット取得処理が間に合わず、パケットを取りこぼした場合
▲3▼ パケットプリンティング装置のバッファサイズが小さく、検索対象パケットのハッシュ値がページアウト(検索しても見つからなかった)してしまった場合
▲4▼ パケットプリンティング装置側の検索に時間がかかる等、管理マネージャの返答待ちがタイムアウトした場合
【0019】
上述の課題を解決するため、単純に、パケットプリンティング装置の性能を高めたり、バッファサイズの容量を増やしたりすることも考えられるが、装置の規模やコストが増大するという欠点がある。また、取得時間を長くしたり、管理マネージャの返答待ち時間を長くすることも考えられるが、検索処理に時間がかかるという欠点がある。
【0020】
また、従来のパケット追跡システムでは、不正アクセスパケットが監視対象ネットワークを利用して通信されたという事実しか把握することができず、不正アクセスの攻撃元、すなわち、当該不正アクセスパケットを生成した攻撃元のネットワークの接続場所を正確に特定することができないという欠点がある。
【0021】
つまり、従来のパケット追跡システムでは、当該不正アクセスパケットが、監視対象ネットワーク上の攻撃元により生成された「生成パケット」であるか、ルータからルータへのリレーによって監視対象ネットワークを単に通過したにすぎない「通過パケット」であるかを正確に判別することができないのである。
【0022】
この発明は、上記に鑑みてなされたものであって、パケット通過ルートの確定に際し、検索処理の時間を増加させることなく、パケット通過ルート探索の正確性を向上させ、不正アクセスの攻撃元を特定することができるパケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるプログラムを得ることを目的とする。
【0023】
【特許文献1】
特開2000−124952号公報
【非特許文献1】
武井,「トラヒックパターンを用いた不正アクセス検出及び追跡方式」,信学技報,財団法人電子情報通信学会,1999年11月18日,Vol.99 No.436,p.37−42
【非特許文献2】
小久保,「不正アクセス発信源追跡システムのモデル検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3−283−3−284
【非特許文献3】
渡辺,「不正アクセス発信源追跡のためのパケット識別情報の検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3−289−3−290
【非特許文献4】
渡辺,「不正アクセス発信源追跡におけるパケット識別情報の有効性検証」,第61回(平成12年度後期)全国大会講演論文集(3),財団法人情報処理学会,平成12年10月3日,p.3−259−3−260
【非特許文献5】
池田,「不正アクセス発信源追跡システムのアーキテクチャの有効性検証」,第62回(平成13年度前記)全国大会講演論文集(3),財団法人情報処理学会,平成13年3月13日,p.3−285−3−286
【非特許文献6】
Alex C Snoeren,「Hash−Based IP Traceback」,BBN Technical Memorandum No.1284,February 7,2001
【0024】
【課題を解決するための手段】
上述した課題を解決し、目的を達成するために、この発明にかかるパケット通過ルート探索方法においては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記管理マネージャは、前記所定のパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して検索順に昇順になっているか否かを判定するTTL値判定ステップを備え、このTTL値判定ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とする。
【0025】
この発明によれば、管理マネージャのTTL値判定ステップは、所定のパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して検索順に昇順になっているか否かを判定し、このTTL値判定ステップを用いて、追跡対象パケットが所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定する。
【0026】
つぎの発明にかかるパケット通過ルート探索方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記管理マネージャは、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に前記所定のパケットプリンティング装置が存在するか否かを判定する経路関連情報検索ステップを備え、この経路関連情報検索ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とする。
【0027】
この発明によれば、管理マネージャの経路関連情報検索ステップは、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に所定のパケットプリンティング装置が存在するか否かを判定し、追跡対象パケットが所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定する。
【0028】
つぎの発明にかかるパケット通過ルート探索方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記管理マネージャは、前記TTL値判定ステップおよび前記経路関連情報検索ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とする。
【0029】
この発明によれば、管理マネージャのTTL値判定ステップおよび経路関連情報検索ステップは、追跡対象パケットが所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定する。
【0030】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、前記所定のパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して検索順に降順になっているか否かを判定するステップおよび/または前記第1の通過時刻情報と前記第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップを具える通過時刻情報判定ステップを備え、この通過時刻情報判定ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とする。
【0031】
この発明によれば、管理マネージャの通過時刻情報判定ステップは、所定のパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して検索順に降順になっているか否かを判定するステップと第1の通過時刻情報と第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップとのいずれか一つを用いて、追跡対象パケットが所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定する。
【0032】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、前記追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定することを特徴とする。
【0033】
この発明によれば、管理マネージャは、追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定する。
【0034】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、終端装置判定数をN(Nは2以上の正の整数)として、順次検索要求が送信された前記複数のパケットプリンティング装置のそれぞれが経路であるか否かを順次判定し、連続的にN個のパケットプリンティング装置が経路でないと判定された場合、かつ、問い合わせ元からこれ以上問い合わせ先がない場合に、最初に経路でないと判定されたパケットプリンティング装置への検索要求の問い合わせ元であるパケットプリンティング装置が通過ルートの終端であると判定することを特徴とする。
【0035】
この発明によれば、第2の検索要求送信ステップは、管理マネージャは、終端装置判定数をN(Nは2以上の正の整数)として、順次検索要求が送信された複数のパケットプリンティング装置のそれぞれが経路であるか否かを順次判定し、連続的にN個のパケットプリンティング装置が経路でないと判定された場合に、最初に経路でないと判定されたパケットプリンティング装置への検索要求の問い合わせ元であるパケットプリンティング装置が通過ルートの終端であると判定する。
【0036】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、前記追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、この通過経路であると判定されたパケットプリンティング装置を基点とした検索要求の問い合わせがすべて終了するまで、この検索要求の問い合わせを優先して行う幅優先型の問い合わせに基づく検索を行うことを特徴とする。
【0037】
この発明によれば、幅優先型の問い合わせに基づく検索において、管理マネージャは、追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、この通過経路であると判定されたパケットプリンティング装置を基点とした検索要求の問い合わせがすべて終了するまで、この検索要求の問い合わせを優先して行う。
【0038】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、前記追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、前記追跡対象パケットの通過ルートが確定するか、経路ではないと判定するまで深さ方向の検索を優先して行う深さ優先型の問い合わせに基づく検索を行うことを特徴とする。
【0039】
この発明によれば、深さ優先型の問い合わせに基づく検索において、管理マネージャは、追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、追跡対象パケットの通過ルートが確定するか、経路ではないと判定するまで深さ方向の検索を優先して行う。
【0040】
つぎの発明にかかるパケット通過ルート探索方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して前記追跡対象パケットのパケット特定情報を含む検索要求を送信し、前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置は、前記所定のパケットプリンティング装置から送信された前記追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して昇順になっているか否かを判定するTTL値判定ステップを備え、このTTL値判定ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とする。
【0041】
この発明によれば、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置のTTL値判定ステップは、所定のパケットプリンティング装置から送信された追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して昇順になっているか否かを判定し、追跡対象パケットが自己を通過したか否かを判定する。
【0042】
つぎの発明にかかるパケット通過ルート探索方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信し、前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置は、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に前記所定のパケットプリンティング装置が存在するか否かを判定する経路関連情報検索ステップを備え、この経路関連情報検索ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とする。
【0043】
この発明によれば、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置の経路関連情報検索ステップは、自己で検索された追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に所定のパケットプリンティング装置が存在するか否かを判定し、追跡対象パケットが自己を通過したか否かを判定する。
【0044】
つぎの発明にかかるパケット通過ルート探索方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信し、前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、前記パケットプリンティング装置の直近に位置するパケットプリンティング装置は、前記TTL値判定ステップおよび前記経路関連情報検索ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とする。
【0045】
この発明によれば、パケットプリンティング装置の直近に位置するパケットプリンティング装置のTTL値判定ステップおよび経路関連情報検索ステップは、追跡対象パケットが自己を通過したか否かを判定する。
【0046】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記所定のパケットプリンティング装置の直近のパケットプリンティング装置は、前記所定のパケットプリンティング装置から送信された前記追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して降順になっているか否かを判定するステップおよび/または前記第1の通過時刻情報と前記第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップを具える通過時刻情報判定ステップを備え、この通過時刻情報判定ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とする。
【0047】
この発明によれば、所定のパケットプリンティング装置の直近のパケットプリンティング装置の通過時刻情報判定ステップは、所定のパケットプリンティング装置から送信された前記追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、自己で検索された追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して降順になっているか否かを判定するステップと第1の通過時刻情報と第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップとのいずれか一つを用いて、追跡対象パケットが自己を通過したか否かを判定する。
【0048】
つぎの発明にかかるパケット通過ルート探索方法にあっては、前記管理マネージャは、前記追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定することを特徴とする。
【0049】
この発明によれば、管理マネージャは、追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定する。
【0050】
つぎの発明にかかる不正アクセス攻撃元特定方法にあっては、監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備えたパケット追跡システムに適用される不正アクセス攻撃元特定方法において、前記監視対象の通信ネットワークを通過する不正アクセスのパケットを特定するパケット特定情報と、前記パケットに含まれるハードウェアアドレスに基づいて判定されるローカルな通信ネットワークにおける送出元を判定する送出元判定情報とを生成しかつ記憶する記憶ステップと、追跡対象パケットのパケット特定情報を含む検索要求を前記管理マネージャより受けて、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索するとともに、また、検索された場合に該パケット特定情報に対応する送出元判定情報を検索し、検索結果を前記管理マネージャに送信する送信ステップと、前記同一のパケット特定情報が検索されかつ前記送出元判定情報がルータに対応している場合、前記追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定し、また、前記送出元判定情報がルータに対応していない場合、前記追跡対象パケットが当該監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定する判定ステップと、を備えたことを特徴とする。
【0051】
この発明によれば、監視対象の通信ネットワークを通過する不正アクセスのパケットを特定するパケット特定情報と、パケットに含まれるハードウェアアドレスに基づいて判定されるローカルな通信ネットワークにおける送出元を判定する送出元判定情報とを生成しかつ記憶し、追跡対象パケットのパケット特定情報を含む検索要求を管理マネージャより受けて、追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索するとともに、また、検索された場合に該パケット特定情報に対応する送出元判定情報を検索し、検索結果を管理マネージャに送信し、同一のパケット特定情報が検索されかつ送出元判定情報がルータに対応している場合、追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定し、また、送出元判定情報がルータに対応していない場合、追跡対象パケットが当該監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定するようにしているので、不正アクセスの攻撃元を特定することができる。
【0052】
つぎの発明にかかる不正アクセス攻撃元特定方法にあっては、前記判定ステップでは、前記同一のパケット特定情報が検索されかつ前記送出元判定情報がルータに対応している場合、当該監視対象の通信ネットワーク以外の通信ネットワークに設けられた装置を攻撃元として特定し、また、前記送出元判定情報がルータに対応していない場合、当該監視対象の通信ネットワーク上の装置を攻撃元として特定することを特徴とする。
【0053】
この発明によれば、同一のパケット特定情報が検索されかつ送出元判定情報がルータに対応している場合、当該監視対象の通信ネットワーク以外の通信ネットワークに設けられた装置を攻撃元として特定され、また、送出元判定情報がルータに対応していない場合、当該監視対象の通信ネットワーク上の装置を攻撃元として特定される。
【0054】
つぎの発明にかかる不正アクセス攻撃元特定方法にあっては、前記判定ステップで前記追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定された場合に、検索要求先を変えて、前記追跡対象パケットが監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定されるまで、前記判定を繰り返すことを特徴とする。
【0055】
この発明によれば、判定ステップで追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定された場合に、検索要求先を変えて、追跡対象パケットが監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定されるまで、判定が繰り返される。
【0056】
つぎの発明にかかるプログラムは、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるプログラムであり、そのプログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができる。
【0057】
【発明の実施の形態】
以下、この発明にかかるパケット通過ルート探索方法、不正アクセス攻撃元特定方法およびこれらの方法をコンピュータに実行させるためのプログラムの実施の形態1および2を図面に基づいて詳細に説明する。なお、これらの実施の形態1および2によりこの発明が限定されるものではない。
【0058】
(実施の形態1)
図1は、本発明にかかる実施の形態1における管理マネージャおよびこの管理マネージャからパケット追跡のために検索要求の問い合わせを受けるネットワーク上に配置されたパケットプリンティング装置の階層接続図である。同図に示すように、パケットプリンティング装置PP−01〜PP−31は、黒丸の点で示されるルータなどの中継装置間の経路上に接続されて配置されている。例えば、PP−01は図示しないIDS(侵入検知装置)の直近に位置するパケットプリンティング装置であり、管理マネージャから最初の問い合わせを受けるパケットプリンティング装置である。また、PP−02およびPP−03はPP−01から見て直近に位置するパケットプリンティング装置である。以下、PP−04〜PP−31は監視対象ネットワークのトポロジー(接続構成)にしたがって、図1のように階層接続されている。また、破線で示す矢印は検索要求の問い合わせの一例を示している。例えば、PP−02はPP−01から検索要求の問い合わせを受信後、PP−03、PP−04およびPP−05に対して検索要求の問い合わせを行っている。
【0059】
ここで、パケット追跡のための検索要求の問い合わせ方式について説明する。検索要求の問い合わせ方式については、以下の3つがある。
【0060】
(一斉追跡方式)
管理マネージャがすべてのパケットプリンティング装置に対して検索要求を送信する方式である。
【0061】
(管理マネージャ追跡方式)
まず、管理マネージャはIDSの直近のパケットプリンティング装置に対して検索要求を送信する。検索要求が送信されたパケットプリンティング装置は、自己内に検索対象のパケット特定情報が検索されたか否かを管理マネージャに通知する。管理マネージャは、パケット特定情報が検索されたパケットプリンティング装置の直近に位置するそれぞれのパケットプリンティング装置に対してそれぞれ検索要求を送信する。以後、管理マネージャが、検索要求の送信を継続する方式である。
【0062】
(自律型追跡方式)
まず、管理マネージャがIDSの直近のパケットプリンティング装置に対して検索要求を送信する。検索要求が送信されたパケットプリンティング装置は、自己内に検索対象のパケット特定情報が検索された場合に、さらに自己の直近に位置するそれぞれのパケットプリンティング装置に対してそれぞれ検索要求を送信する。以後、これらのパケットプリンティング装置が自己の直近のパケットプリンティング装置に対して自律的に検索要求の送信を継続する方式である。
【0063】
自律型追跡方式および管理マネージャ追跡方式は、これ以降、詳述する内容から明らかになるが、上記の課題を解決することができる。一方、一斉追跡方式は、もともと、パケットの通過経路を絞り込むという考え方がないので、パケットの通過箇所を判明できても、パケットの通過経路までを特定することはできない。したがって、上述の課題を解決することができないので、この実施の形態1では考慮しない。なお、この管理マネージャ追跡方式では、どの方向の探索を優先するかによって、深さ優先型の探索方式と幅優先型の探索方式とがあるが、これらの方式については後述する。
【0064】
ところで、あらかじめパケットプリンティング装置の構成情報を知っているという前提条件の下では、検索要求を送信するか否かの判断を行う装置が異なるだけで、検索要求を送信するか否かの判断基準は、両者とも同一である。したがって、これ以降の説明は、管理マネージャ追跡方式に限定して説明する。
【0065】
なお、パケット特定情報は、ハッシュ値に限定されるものではなく、ハッシュ値の代わりにパケットそのもののコピーあるいはパケットを一意に特定することが可能なデータを含むパケットデータの一部であってもよい。すなわち、受信したパケットを特定することができるデータであれば何でも用いることができる。しかしながら、検索処理の効率化の高速化などの観点からパケット特定情報としてハッシュ値を用いることが一般的であり、これ以降の説明では、管理マネージャおよびパケットプリンティング装置が、受信したパケットに基づいて当該パケットのハッシュ値を生成するものとして説明する。
【0066】
図2は、検索要求の問い合わせにより特定されたパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図である。同図において、この特定された通過ルート上にあるパケットプリンティング装置それぞれをハッチングで示している。また、図3は、図2に示すパケット通過ルートを特定するための探索手順を示した図表である。図3において、表頭の左側から、探索手順の一連番号を示すステップ、問い合わせ要求の基点となるパケットプリンティング装置の位置を示す問い合わせ基点位置、すべてのパケットプリンティング装置から返答がない場合につぎのパケットプリンティング装置に問い合わせる際にパケット通過したと仮に設定されるネットワーク経路上のパケットプリンティング装置の位置を示す仮通過位置、問い合わせ要求の送信先のパケットプリンティング装置である問い合わせ先位置、パケットプリンティング装置が返答する結果を示す返答結果、問い合わせ基点位置から問い合わせ先位置へ向かうルートが経路であるか否かを判定した結果である判定結果、判定結果に基づいてパケット通過ルートであると判定された通過ルートをそれぞれ示している。以下、図2および図3を用いて、パケット通過ルートを探索する手順について説明する。
【0067】
(ステップS1)
まず、何も問い合わせが行われていない状態では、問い合わせ基点位置は管理マネージャにある。この管理マネージャから[PP−01]に、管理マネージャが生成した追跡対象パケットのハッシュ値を含む検索要求が送信される。このとき、[PP−01]は、管理マネージャから送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されていないか検索し、送信されたハッシュ値と同一のハッシュ値が検索されれば「Yes」を、検索されなければ「No」を管理マネージャに返答する。この実施の形態1では、「Yes」という結果が返答されたものとする。管理マネージャは、この「Yes」の返答結果から[PP−01]を経路として判定し、[PP−01]を通過ルートとして記憶する。
【0068】
(ステップS2−a)
つぎの探索では、ステップS1で確定した通過ルート上の[PP−01]が問い合わせ基点位置であり、管理マネージャから、この問い合わせ基点位置である[PP−01]の直近に位置する[PP−02]に、管理マネージャが生成した追跡対象パケットのハッシュ値を含む検索要求が送信される。このとき、[PP−02]は、管理マネージャから送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されていないか検索し、送信されたハッシュ値と同一のハッシュ値が検索されれば「Yes」を、検索されなければ「No」を管理マネージャに返答する。この実施の形態1では、「Yes」という結果が返答されたものとする。管理マネージャは、この「Yes」の返答結果から[PP−02]を経路として判定し、[PP−01]−[PP−02]を通過ルートとして記憶する。
【0069】
(ステップS2−b)
さらにつぎの探索では、[PP−02]とは異なり[PP−01]の直近に位置する[PP−03]に対する問い合わせが行われる。すなわち、[PP−01]を問い合わせ基点位置とし、管理マネージャから[PP−03]に、管理マネージャが生成した追跡対象パケットのハッシュ値を含む検索要求が送信される。このとき、[PP−03]は、管理マネージャから送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されていないか検索し、送信されたハッシュ値と同一のハッシュ値が検索されれば「Yes」を、検索されなければ「No」を管理マネージャに返答する。この実施の形態1では、「No」という結果が返答されたものとする。管理マネージャは、この「No」の返答結果から、[PP−03]は経路ではないと判定し、[PP−01]−[PP−03]を通過ルートとせず、[PP−01]だけを記憶しておく。
【0070】
以後の説明では、冗長な説明を避ける観点から、検索要求では、管理マネージャからパケットプリンティング装置に追跡対象パケットのハッシュ値を含む検索要求が送信され、この検索要求が送信されたパケットプリンティング装置では、送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されていないかの検索が実行され、送信されたハッシュ値と同一のハッシュ値が検索されれば「Yes」を、検索されなければ「No」を管理マネージャに返答することを意味するものとして説明する。
【0071】
(ステップS3−a〜ステップS3−c)
ステップS3−a〜ステップS3−cでは、問い合わせ基点位置を[PP−02]とし、問い合わせ先位置である[PP−04]、[PP−05]、[PP−03]のそれぞれに対して検索要求が送信される。[PP−03]を除外しない理由は、[PP−01]−[PP−02]−[PP−03]というルートも考えられるからである。ここでは、[PP−04]が経路として判定され、[PP−01]−[PP−02]−[PP−04]が通過ルートとして記憶される。
【0072】
以下、同様な手順で、ステップS4−a〜ステップS5−cまでの探索が行われる。この実施の形態1では、図2に示すように、ステップS5−bで[PP−19]が終端と判定され、[PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]が通過ルートとして決定される。なお、終端であるか否かの判定、すなわち探索終了の判定は、つぎのように行われる。
【0073】
管理マネージャ追跡方式では、管理マネージャは、あらかじめ監視対象ネットワークに接続されているパケットプリンティング装置の構成情報を保有しているため、これ以上隣接するパケットプリンティング装置がない場合を終端と定義し、終端にあるパケットプリンティング装置か否かを構成情報から判断し、探索終了を判定することができる。
【0074】
自律型追跡方式では、終端に位置するパケットプリンティング装置とそれ以外のパケットプリンティング装置とを識別することにより、終端に位置するパケットプリンティング装置からの応答結果を管理マネージャが受信することで、終端であるか否かを判定することができる。
【0075】
図4は、検索要求の問い合わせにより特定された複数のパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図である。同図において、これらの複数の通過ルート上にあるパケットプリンティング装置それぞれをハッチングで示している。また、図5は、図4に示す複数のパケット通過ルートの探索手順を示した図表である。なお、図5の図表の形式については、図3と同一であるため説明を省略する。以下、図4および図5を用いて、パケット通過ルートを探索する手順について説明する。
【0076】
(ステップS1〜ステップS2−b)
ステップS1〜ステップS2−bの処理は図3で説明した探索手順と同様なので説明を省略する。
【0077】
(ステップS3−a〜ステップS3−c)
ステップS3−a〜ステップS3−cでは、問い合わせ基点位置を[PP−02]とし、問い合わせ先位置である[PP−04]、[PP−05]、[PP−03]のそれぞれに対して検索要求が送信される。[PP−03]を除外しない理由は、[PP−01]−[PP−02]−[PP−03]というルートも考えられるからである。ここでは、[PP−04]および[PP−05]が経路として判定され、[PP−01]−[PP−02]−[PP−04]および[PP−01]−[PP−02]−[PP−05]とが通過ルートとして記憶される。
【0078】
(ステップS4−a〜ステップS4−c)
ステップS4−a〜ステップS4−cでは、問い合わせ基点位置を[PP−04]とし、問い合わせ先位置である[PP−08]、[PP−09]、[PP−05]のそれぞれに対して検索要求が送信される。[PP−05]を除外しない理由は、上記の[PP−03]を除外しない理由と同様である。ここでは、[PP−09]および[PP−05]が経路として判定され、[PP−01]−[PP−02]−[PP−04]−[PP−09]および[PP−01]−[PP−02]−[PP−04]−[PP−05]とが通過ルートとして記憶される。
【0079】
(ステップS5−a〜ステップS5−c)
ステップS5−a〜ステップS5−cでは、問い合わせ基点位置を[PP−09]とする。ここで、問い合わせ基点位置の選択候補としては、[PP−09]と[PP−05]とがある。経路が複数見つかった場合に、複数のノードの何れかを選択する基準として、深さ優先型の探索と幅優先型の探索とがある。深さ優先型の探索は、最初に見つかった経路を深さ方向に最後まで追跡する方式である。換言すれば、追跡対象パケットが通過した経路と判定されたパケットプリンティング装置が複数ある場合に、追跡対象パケットの通過ルートが確定するか、経路ではないと判定するまで深さ方向の探索を継続する方式である。一方、幅優先型の探索は、深さ方向に検索するよりも同一階層での検索を優先する方式である。
【0080】
これに対して、幅優先型の探索は、経路と判定されたパケットプリンティング装置を基点とした問い合わせがすべて終了するまで深さ方向の問い合わせを行わない方式である。換言すれば、追跡対象パケットが通過した経路と判定されたパケットプリンティング装置が複数ある場合に、この通過経路と判定されたパケットプリンティング装置を基準とした検索要求の問い合わせがすべて終了するまで、この通過経路と判定されたパケットプリンティング装置を基準とした検索要求の問い合わせを優先して行う方式である。図5は深さ優先型の探索手順を示すものであり、ここでは、[PP−09]が選択される。このとき、問い合わせ基点位置は[PP−09]となり、それぞれ[PP−18]、[PP−19]、[PP−08]に対して検索要求が送信される。このとき、[PP−19]が経路として判定され、また[PP−19]が終端に位置された装置であるため、終端であると判定され、[PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]が通過ルートとして記憶される。
【0081】
(ステップS4−d〜ステップS4−f)
前述のステップS5−a〜ステップS5−cの探索において、[PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]という一つのルートが確定している。したがって、ステップS4−d〜ステップS4−fでは、問い合わせ基点位置を前述のステップS5−a〜ステップS5−cの探索で経路と判定されている他方のノードである[PP−05]とする。この[PP−05]からの検索要求の候補としては、[PP−10]、[PP−11]、[PP−02]の3つがある。ここで、[PP−02]は、[PP−05]に到達する直前に記憶された通過ルートのリストの中に含まれているので、[PP−02]への検索要求は行われない。ここでは、[PP−11]が経路として判定され、[PP−01]−[PP−02]−[PP−04]−[PP−05]−[PP−11]が通過ルートとして記憶される。
【0082】
以下、深さ優先型の手順にしたがって、同様な探索を継続することにより、つぎに示すような、4つの通過ルートが探索される。なお、この探索を幅優先型の探索手順にしたがって実施した場合にも同一の結果が得られる。
▲1▼ [PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]
▲2▼ [PP−01]−[PP−02]−[PP−04]−[PP−05]−[PP−11]−[PP−23]
▲3▼ [PP−01]−[PP−02]−[PP−05]−[PP−11]−[PP−23]
▲4▼ [PP−01]−[PP−02]−[PP−05]−[PP−04]−[PP−09]−[PP−19]
【0083】
これらの通過ルートのうち、▲2▼の[PP−02]−[PP−04]−[PP−05]および▲4▼の[PP−02]−[PP−05]−[PP−04]には冗長なルートが含まれている。しかしながら、このルートが正しいルートか、間違っているルートなのかはこの手順だけから判定することができない。そこで、この冗長なルートを取り除くための経路チェックの手法について説明する。
【0084】
あるパケットプリンティング装置から追跡対象パケットのハッシュ値と同一のハッシュ値が検索された場合、このパケットプリンティング装置の直近のパケットプリンティング装置に当該パケットの問い合わせが行われることは、上述してきたとおりである。この問い合わせの際に、問い合わせの順序関係の情報、中継情報、監視対象ネットワークとの接続情報(以下これらの情報を「経路関連情報」という。)などから、正しい経路か否かの判定を行う。具体的には、つぎに示す3つの経路チェクを行う。
【0085】
▲1▼ TTL値の比較
パケットプリンティング装置から送信された検索順のTTL値(ハッシュ値に関連付けられ記憶されている)が昇順(等しい場合も含む)に並んでいるか
▲2▼ 経路関連情報の存在
あるパケットプリンティング装置からあるパケットプリンティング装置への中継情報が存在するか、あるいは隣接パケットプリンティング装置間のホップ数は幾らか
▲3▼ タイムスタンプの比較
パケットプリンティング装置から送信されたタイムスタンプが検索順に降順に並んでいるか、あるいは前後の時間間隔が空き過ぎていないか
【0086】
具体例を用いて説明すると、いま、あるパケットプリンティング装置(PP装置A)を問い合わせ基点位置に位置するパケットプリンティング装置とし、このPP装置Aから直近のパケットプリンティング装置(PP装置B)に対して検索要求の問い合わせを行い、同一のハッシュ値が検索された場合を考える。このとき、上記3つの経路チェックは、つぎのようになる。
【0087】
▲1▼ TTL値の比較処理
PP装置Aで検索されたハッシュ値に関連付けされたTTL値より、PP装置Bで検索されたハッシュ値に関連付けされたTTL値の方が大きいかまたは等しいか
▲2▼ 経路関連情報の確認処理
PP装置Aと、このPP装置Aの直近のPP装置Bにおいて、PP装置Bで検索されたハッシュ値に関連付けされた情報にPP装置Aへの中継情報が載っているか、あるいはPP装置AとPP装置Bとの間のHOP数は幾らか
▲3▼ タイムスタンプの比較処理
PP装置Aで検索されたハッシュ値に関連付けされたタイムスタンプより、PP装置Bで検索されたハッシュ値に関連付けされたタイムスタンプの方が小さいか、あるいはPP装置AのタイムスタンプとPP装置Bのタイムスタンプとの時間間隔が所定の基準値以内であるか
【0088】
これらの経路チェックの▲1▼〜▲3▼をどのように組み合わせてもよい。また、これらの経路チェックは、深さ優先型の探索時、あるいは幅優先型の探索時に併用することで、ルート探索の正確性を向上させることができる。なお、併用するタイミングとしては、全経路の探索終了後、すなわち特定された通過ルートに基づいてチェックを行う手法、あるいは、パケットプリンティング装置ごとの検索においてチェックを行う手法とがあるが、これらのどちらの手法を用いてもよい。また、これらのチェック方法には、幾つかの留意点があり、つぎの点に留意する必要がある。
【0089】
(TTL値比較の留意点)
あるパケットプリンティング装置が接続されるネットワークと、このパケットプリンティング装置の直近に位置するパケットプリンティング装置が接続されるネットワークとの接続がルータではなくHUB、ブリッジなどを介して接続されているような場合には、TTL値が同一の場合があり得る。したがって、パケットプリンティング装置の構成情報の他に、監視対象ネットワークの接続装置に関する情報も保持しておくことが好ましい。もし、接続装置の情報が不明な箇所がある場合には、このTTL値の比較処理をスキップすることで、対応することができる。
【0090】
(経路関連情報の確認処理にかかる留意点)
あるパケットプリンティング装置が接続されるネットワークとこのパケットプリンティング装置の直近のパケットプリンティング装置が接続されるネットワークとの接続が隣接している場合(HOP数=1)には有効であるが、離れている場合(HOP数≧2)には困難である。この場合も、TTL値の比較と同様に、パケットプリンティング装置の構成情報の他に、監視対象ネットワークの接続装置に関する情報も保持しておくことが好ましい。もし、接続装置の情報が不明な箇所がある場合には、この経路関連情報の確認処理をスキップすることで、対応することができる。
【0091】
(タイムスタンプ比較の留意点)
各パケットプリンティング装置の時刻同期や、直近のパケットプリンティング装置との時間差をあらかじめ計測しておくなどの準備が必要である。なお、パケットプリンティング装置間の時刻同期は、NTP(Network TimeProtocol)、GPSクロック等を用いることにより容易に実現することができる。また、時刻同期がとれていれば、パケットプリンティング装置間の時間差の計測も容易に行うことができる。
【0092】
図6は、経路チェック手法を用いて判定する具体例を示す説明図である。同図において、パケットプリンティング装置PP−01〜PP−06は、黒丸の点で示されるルータなどの中継装置で接続されたネットワーク上に配置されている。また、この例では、追跡対象パケットが紙面右側のパケットプリンティング装置PP−05側から侵入し、このとき、侵入経路上にないパケットプリンティング装置PP−04、PP−06に同一のハッシュ値が生成されている状況を想定している。以下、同図を用いて、パケットプリンティング装置ごとの問い合わせ時に、上述した経路チェック手法を用いて判定する処理の流れを説明する。なお、これらの経路チェックは、管理マネージャ追跡方式、自律型追跡方式のどちらで実行することもできる。ここでは、管理マネージャ追跡方式で実行されるものとして説明する。すなわち、追跡対象パケットのハッシュ値、TTL値、タイムスタンプ、経路関連情報などのパケットの情報が管理マネージャに送信され、管理マネージャ側で経路チェックが実行される。なお、自律型追跡方式では、PP装置AからPP装置Bに送信される検索要求にTTL値、タイムスタンプなどのパケットの情報を含ませればよい。また、この説明で使用する同図の構成では、上記留意点に示したように、パケットプリンティング装置が接続されるネットワーク同士が隣接していないので、経路関連情報の確認処理は行っていない。
【0093】
図6において、管理マネージャは、PP−01に管理マネージャが生成した追跡対象パケットのハッシュ値“0123abc”を含む検索要求を送信する。このとき、PP−01は、管理マネージャから送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されているので、「Yes」の返答結果とともに、TTL値(TTL=247)、タイムスタンプ(Time=369748)を管理マネージャに送信する。つぎに、管理マネージャは、PP−01の直近に位置するPP−02に対して管理マネージャが生成した追跡対象パケットのハッシュ値“0123abc”を含む検索要求を送信する。同様に、PP−02は、管理マネージャから送信された追跡対象パケットのハッシュ値と同一のハッシュ値が記憶されているので、「Yes」の返答結果とともに、TTL値(TTL=250)、タイムスタンプ(Time=369738)を管理マネージャに送信する。
【0094】
このとき、管理マネージャは、PP−01とPP−02とから送信されたTTL値同士、タイムスタンプ同士を、上述した基準に基づいてそれぞれ比較する。この例では、PP−01とPP−02の間で、TTL値と、タイムスタンプとが所定の基準(例えば、図6に示すような条件、TTL:247<250、Time:369748−369738<100)を満足しているため、PP−02を経路と判定している。
【0095】
つぎに、PP−02とPP−03とから送信されたTTL値同士、タイムスタンプ同士をそれぞれ比較する。なお、以後の説明は、管理マネージャからの検索要求に基づき、追跡対象パケットのハッシュ値と同一のハッシュ値が検索され、管理マネージャに所定のデータが送信されているものとして進める。この場合にも、PP−02とPP−03の間で、TTL値と、タイムスタンプとが所定の基準を満足しているため、PP−03を経路と判定している。
【0096】
一方、PP−02とPP−04とから送信されたTTL値同士、タイムスタンプ同士をそれぞれ比較する。この場合には、PP−02とPP−04の間で、図6に示すように、TTL値と、タイムスタンプとが所定の基準を満足していないので、PP−04を経路ではないと判定している。
【0097】
このように、経路ではない位置のパケットプリンティング装置から、追跡対象のパケットと同一のハッシュ値を持つパケットが検索された場合であっても、上述の経路チェック手法を用いることで、正しい経路を得ることができる。また、検索対象を検索の初中期の段階で絞り込むことができるので、迅速かつ効率的な検索を実施することができる。
【0098】
図7は、図4に示す複数のパケット通過ルートの特定に際し、幅優先型の探索に経路チェック手法を併用した場合のパケット通過ルートの探索手順を示した図表である。以下、図4および図7を用いて、パケット通過ルートを探索する手順について説明する。
【0099】
(ステップS1〜ステップS3−c)
ステップS1〜ステップS3−cの処理は、図5で説明した探索手順と同様な探索手順で行われる。このとき、経路と判定された通過ルートでは、上述したような経路チェックを行う。すなわち、▲1▼通過ルート順にTTL値を比較し、追跡順に昇順になっているか(昇順になっていれば正しいものとする)。▲2▼通過ルートの逆順にルーティングテーブルの情報があるか(記述があれば正しいものとする)。▲3▼パケットの取得時間が所定の基準を満足するか(基準時間内であり、かつ、取得時間が逆転していなければ正しいものとする)。この例では、[PP−01]−[PP−02]−[PP−04]および[PP−01]−[PP−02]−[PP−05]の2つの経路ともに正しい経路としている。
【0100】
(ステップS4−a〜ステップS4−c)
ステップS4−a〜ステップS4−cでは、問い合わせ基点位置を[PP−04]とし、問い合わせ先位置である[PP−08]、[PP−09]、[PP−05]のそれぞれに対して検索要求が送信される。ここで、[PP−05]については、ハッシュ値の検索では経路と判定されても、上記経路チェックによって正しくない経路と判定されたものとしている。この結果、[PP−01]−[PP−02]−[PP−04]−[PP−09]だけが通過ルートとして記憶される。
【0101】
(ステップS4−d〜ステップS4−f)
つぎに、問い合わせ基点位置を[PP−05]とし、問い合わせ先位置である[PP−10]、[PP−11]、[PP−04]のそれぞれに対して検索要求が送信される。ここで、深さ優先型の検索では、[PP−09]を問い合わせ基点位置として選択したが、幅優先型の検索では、深さ方向に検索するよりも同一階層での検索を優先する方式であるため、ステップS3−bで経路と判定された[PP−05]を問い合わせ基点位置として選択している。このとき[PP−11]が経路として判定され、[PP−01]−[PP−02]−[PP−05]−[PP−11]が通過ルートとして記憶される。
【0102】
(ステップS5−a〜ステップS5−c)
ステップS3−a〜ステップS3−cの検索で経路と判定されたパケットプリンティング装置は[PP−04]および[PP−05]であり、ステップS4−a〜ステップS4−cで[PP−04]のルートが探索され、ステップS4−d〜ステップS4−fで[PP−05]のルートが探索されているので、つぎの階層での探索が行われる。すなわち、ステップS5−a〜ステップS5−cでは、問い合わせ基点位置を[PP−09]とし、問い合わせ先位置である[PP−08]、[PP−18]、[PP−19]のそれぞれに対して検索要求が送信される。ここのとき[PP−19]が経路として判定され、同時に[PP−19]が終端であるため、[PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]が通過ルートとして記憶される。
【0103】
(ステップS5−d〜ステップS5−f)
同様に、ステップS5−d〜ステップS5−fにおいて、ステップS4−eで確定された[PP−11]を問い合わせ基点位置として、問い合わせ先位置である[PP−10]、[PP−22]、[PP−23]のそれぞれに対して検索要求が送信される。このとき、[PP−23]が経路として判定され、また[PP−23]が終端に位置された装置であるため、終端であると判定され、[PP−01]−[PP−02]−[PP−05]−[PP−11]−[PP−23]が通過ルートとして記憶される。
【0104】
このように、幅優先の問い合わせに経路チェック手法を併用した場合に、つぎの2つの通過ルートが探索される。
▲1▼ [PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]
▲2▼ [PP−01]−[PP−02]−[PP−05]−[PP−11]−[PP−23]
【0105】
図5の深さ優先型の探索手順による探索結果にある、[PP−02]−[PP−04]−[PP−05]および[PP−02]−[PP−05]−[PP−04]の冗長なルートを取り除くことができている。また、図5の総ステップ数が29ステップ(ステップS4−fは除く)であるのに対して、図7の総ステップ数は18ステップ(ステップS1〜ステップS5−f)であり、経路チェック手法を併用することにより、短いステップでの探索で終了することができる。
【0106】
なお、図7は、幅優先型の探索手順に経路チェック手法を併用する例を示したが、深さ優先型の探索手順に経路チェック手法を併用することもできる。この場合も、同図の結果に示したような冗長なルートの除去と、探索ステップ数を削減することができる。
【0107】
つぎに、検索要求の問い合わせの終了を判断するために、検索要求を送信するパケットプリンティング装置の終端を判定する手順について説明する。図8は、一般的な終端判定の手法を用いてパケットプリンティング装置の終端を判定した一例を示すパケットプリンティング装置の階層接続図であり、図9は、図8に示す例を用いてパケットプリンティング装置の終端を判定する手順を示した図表である。図8において、通過ルート上にあるパケットプリンティング装置をハッチングで示している。なお、この探索は深さ優先型の探索および幅優先型の探索のどちらで行ってもよい。以下、図8および図9を用いて、パケットプリンティング装置の終端を判定する手順について説明する。
【0108】
(ステップS1〜ステップS4−c)
ステップS1〜ステップS4−cでは、順次パケットプリンティング装置に対して検索要求の問い合わせが行われる。なお、問い合わせの手順は、上述した手順と同様なので説明の詳細を省略する。図9の例では、ステップS4−bにおいて[PP−01]−[PP−02]−[PP−04]−[PP−09]が通過ルートとして記憶される。ただし、この時点では、[PP−09]が終端であるかは判らない。
【0109】
(ステップS5−a〜ステップS5−b)
ステップS5−a〜ステップS5−bでは、問い合わせ基点位置を[PP−09]とし、問い合わせ先位置[PP−18]および[PP−19]に対して検索要求が送信される。これらの[PP−18]および[PP−19]のどちらも経路ではないと判定されたため、ステップS4−bで経路と判定された[PP−09]を終端のパケットプリンティング装置と判定し、[PP−01]−[PP−02]−[PP−04]−[PP−09]が通過ルートとして確定する。
【0110】
図8および図9で示した例は、言うなれば、問い合わせ先位置のパケットプリンティング装置のすべてが経路ではないと判定した時点で探索を終了し、問い合わせ基点位置にあるパケットプリンティング装置が終端であると判定するものである。しかしながら、課題にも示したように、
▲1▼ パケットプリンティング装置が故障し、返答できない場合
▲2▼ パケットプリンティング装置のパケット取得処理が間に合わず、パケットを取りこぼした場合
▲3▼ パケットプリンティング装置のバッファサイズが小さく、検索対象パケットのハッシュ値がページアウトしてしまった場合
▲4▼ パケットプリンティング装置側の検索に時間がかかる等、管理マネージャの返答待ちがタイムアウトした場合
などのように、パケットプリンティング装置が、追跡パケットの検索要求の問い合わせに正確に回答することができない場合があり、問い合わせ先のパケットプリンティング装置のすべてが経路ではないと判定されたことだけで、通過ルートではないと判定することには危険が伴う。そこで、この通過ルートではないと判定する危険を軽減するための終端判定処理が必要となる。
【0111】
この終端判定処理は、終端装置判定数という概念を導入して、終端に位置するパケットプリンティング装置を判定する手法である。すなわち、終端装置判定数をN(Nは2以上の正の整数)として、順次検索要求が送信されたパケットプリンティング装置のそれぞれが経路であるか否かを順次判定し、連続的にN個のパケットプリンティング装置が経路でないと判定された場合に、最初に経路でないと判定されたパケットプリンティング装置への検索要求の問い合わせ基点位置であったパケットプリンティング装置が通過ルートの終端であると判定する処理である。この終端装置判定数が1の場合が、図8および図9で説明した例である。
【0112】
図10は、終端判定の手法(終端装置判定数が2の場合)を用いて通過ルートを確定した一例を示すパケットプリンティング装置の階層接続図であり、図11は、図10に示す例を用いて通過ルートを確定する手順を示した図表である。なお、図10において、通過ルート上にあるパケットプリンティング装置をハッチングで示している。以下、図10および図11を用い、探索中のパケットプリンティング装置が終端であるか否かを判定しながら、通過ルートを確定する手順について説明する。
【0113】
(ステップS1〜ステップS3−c)
ステップS1〜ステップS2−bでは、[PP−02]が経路と判定され、[PP−01]−[PP−02]が通過ルートとして記憶される。一方、ステップS3−a〜ステップS3−cでは、問い合わせ先位置である[PP−04]、[PP−05]および[PP−03]のすべてが経路ではないと判定されている。終端装置判定数が1の場合には、[PP−02]が終端として判定されて探索が終了することは上述したとおりである。
【0114】
(ステップS4−a〜ステップS4−c)
ステップS4−a〜ステップS4−cでは、[PP−02]を問い合わせ基点位置とし、先の検索の問い合わせ先位置の一つである[PP−04]を仮通過位置として、[PP−08]、[PP−09]、[PP−05]のそれぞれに対して検索要求が送信される。このとき[PP−09]が経路として判定され、[PP−01]−[PP−02]−[PP−04]−[PP−09]が通過ルートとして記憶される。
【0115】
(ステップS4−d〜ステップS4−h)
一方、ステップS4−d〜ステップS4−fでは、[PP−02]を問い合わせ基点位置とし、先の検索の問い合わせ先位置の一つである[PP−05]を仮通過位置として、[PP−10]、[PP−11]、[PP−04]のそれぞれに対して検索要求が送信される。また、ステップS4−g〜ステップS4−hでは、[PP−02]を問い合わせ基点位置とし、先の検索の問い合わせ先位置の一つである[PP−03]を仮通過位置として、[PP−06]および[PP−07]に対して検索要求が送信される。ここでは、これらのステップのいずれも経路ではないと判定されている。
【0116】
(ステップS5−a〜ステップS5−c)
ステップS5−a〜ステップS5−cでは、先の探索で経路と判定された[PP−09]を問い合わせ基点位置として、[PP−18]、[PP−19]、[PP−08]のそれぞれに対して検索要求が送信される。ここでは、[PP−19]が経路と判定され、この[PP−19]が終端に位置された装置であるため、終端であると判定され、[PP−01]−[PP−02]−[PP−04]−[PP−09]−[PP−19]が通過ルートとして記憶される。
【0117】
図10および図11の例において、一般的な終端判定の手法を用いた場合、すなわち、終端装置判定数が1の場合を用いると、ステップS3−a〜ステップS3−cの時点で[PP−02]が終端として判定される。一方、上述したように、パケットプリンティング装置が、追跡パケットの検索要求の問い合わせに正確に回答することができない場合がある。図10は、確定された通過ルートにある[PP−04]が上記▲1▼〜▲4▼に示したような理由で、検索要求の問い合わせに応答ができなかった場合を示した例である。このような場合でも、通過ルートの可能性がある[PP−08]、[PP−09]、[PP−05]のそれぞれに問い合わせを行うことによって、最終的に、追跡対象パケットの正しい通過ルートを確定することができる。
【0118】
図12は、終端判定の手法(終端装置判定数が2の場合)を用いてパケットプリンティング装置の終端を判定した一例を示すパケットプリンティング装置の階層接続図であり、図13は、図12に示す例を用いてパケットプリンティング装置の終端を判定する手順を示した図表である。図12において、通過ルート上にあるパケットプリンティング装置をハッチングで示している。なお、この探索は深さ優先型の探索および幅優先型の探索のどちらで行ってもよい。また、上述した経路チェック手法と併用して実施することもできる。以下、図12および図13を用いて、終端装置判定数が2の場合にパケットプリンティング装置の終端を判定する手順について説明する。
【0119】
(ステップS1〜ステップS3−c)
ステップS1〜ステップS3−cでは、順次パケットプリンティング装置に対して検索要求の問い合わせが行われる。なお、問い合わせの手順は、上述した手順と同様なので説明の詳細を省略する。図13の例では、ステップS3−bにおいて[PP−05]が経路として判定され、[PP−01]−[PP−02]−[PP−05]が通過ルートとして記憶される。ただし、この時点では、[PP−05]が終端であるかは判らないのは、図9の例と同様である。
【0120】
(ステップS4−a〜ステップS4−c)
ステップS4−a〜ステップS4−cでは、問い合わせ基点位置を[PP−05]とし、問い合わせ先位置[PP−10]、[PP−11]、[PP−04]のそれぞれに対して検索要求が送信される。ここでは、これらの[PP−10]、[PP−11]、[PP−04]のすべてが経路ではないと判定されている。
【0121】
(ステップS5−a〜ステップS5−f)
ステップS5−a〜ステップS5−cでは、[PP−05]を問い合わせ基点位置とし、先の検索の問い合わせ先位置の一つである[PP−10]を仮通過位置として、[PP−20]、[PP−21]、[PP−11]のそれぞれに対して検索要求が送信される。ここでは、これらのステップのいずれも経路ではないと判定されている。また、ステップS5−d〜ステップS5−fでは、[PP−05]を問い合わせ基点位置とし、先の検索の問い合わせ先位置の一つである[PP−11]を仮通過位置として、[PP−22]、[PP−23]、[PP−10]のそれぞれに対して検索要求が送信される。ここでも、これらのステップのいずれも経路ではないと判定されている。
【0122】
このように、これらの[PP−10]および[PP−11]を仮通過位置とする検索要求のすべてが経路ではないと判定されたため、すなわち、連続的に2個(N=2)のパケットプリンティング装置が経路ではないと判定されたため、ステップS3−bで経路と判定された[PP−05]を終端のパケットプリンティング装置と判定し、[PP−01]−[PP−02]−[PP−05]が通過ルートとして確定する。
【0123】
この例のように、[PP−01]−[PP−02]−[PP−05]を通過ルートとして判定する場合は、[PP−10]および[PP−20]が同時に追跡パケットの検索要求の問い合わせに答えられない場合である。[PP−10]および[PP−20]が追跡パケットの検索要求の問い合わせに答えられない確率をそれぞれ0.1とすれば、[PP−10]および[PP−20]が同時に追跡パケットの検索要求の問い合わせに答えられない確率は0.01と非常に低い。このことから、N=2とすることによって、通過ルートの判定を誤る確率を小さくすることができる。
【0124】
図12および図13では、N=2の場合について示したが、N=3以上の場合にも同様な手順でパケットプリンティング装置の終端を判定することができる。この場合には、通過ルートの判定を誤る確率をさらに小さくすることができる。
【0125】
図14は、複雑な経路を持つネットワークにおいて特定されたパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図であり、図15は、図14に示すパケット通過ルートを特定するための探索手順を示した図表である。図14において、通過ルート上にあるパケットプリンティング装置をハッチングで示している。なお、この探索は、幅優先型の探索で行うこともできる。
【0126】
図14の階層接続図と図1の階層接続図とを比較すれば明らかなように、図14に示すパケットプリンティング装置が接続される監視対象ネットワークはかなり複雑な構成をしている。しかしながら、基本的な探索手順は、図1〜図13を用いて既に説明した探索手順を組み合わせて行えばよく、問い合わせ基点位置を基準として問い合わせ先位置のすべてに検索要求を出力する手順を繰り返し行い、終端装置判定数を用いた終端判定を行うことにより、通過ルートを確定することができる。なお、終端判定の条件として、終端装置判定数を2とした判定を行うものとする。また、図7に示すような探索中の経路チェックは行わないものとする。以下、図14および図15を用いて、この複雑な経路を持つネットワークにおけるパケット通過ルートを特定するための探索手順について説明する。
【0127】
(ステップS1〜ステップS3−c)
ステップS1〜ステップS2−bでは、ステップS2−bにおいて[PP−03]が経路として判定され、[PP−01]−[PP−03]が通過ルートとして記憶される。ステップS3−a〜ステップS3−cでは、問い合わせ先位置のすべてが、経路でないと判定される。
【0128】
(ステップS4−a〜ステップS4−i)
ステップS4−a〜ステップS4−eでは、問い合わせ基点位置を[PP−03]、仮通過位置を[PP−06]として、[PP−32]、[PP−12]、[PP−13]、[PP−35]、[PP−07]のそれぞれに対して検索要求が送信される。このとき、[PP−13]および[PP−35]が経路として判定され、[PP−01]−[PP−03]−[PP−06]−[PP−13]および[PP−01]−[PP−03]−[PP−06]−[PP−35]が通過ルートとして記憶される。同様な手順により、ステップS4−f〜ステップS4−iでは、[PP−01]−[PP−03]−[PP−07]−[PP−35]が通過ルートとして記憶される。
【0129】
(ステップS5−a〜ステップS5−e)
ステップS5−a〜ステップS5−eでは、ステップS4−cで経路と判定された[PP−13]を問い合わせ基点位置として検索要求が送信され、[PP−27]が経路として判定され、同時に[PP−27]が終端に位置された装置であるため、終端であると判定される。このとき、[PP−01]−[PP−03]−[PP−06]−[PP−13]−[PP−27]が通過ルートとして記憶される。
【0130】
(ステップS6−a〜ステップS7−f)
ステップS6−a〜ステップS6−fでは、ステップS4−dで経路と判定された[PP−35]を問い合わせ基点位置として検索要求が送信され、[PP−13]が経路として判定され、ステップS7−a〜ステップS7−fでは、ステップS7−dで[PP−27]が経路と判定され、同時に[PP−27]が終端に位置された装置であるため、終端であると判定される。このとき、[PP−01]−[PP−03]−[PP−06]−[PP−35]−[PP−13]−[PP−27]が通過ルートとして記憶される。
【0131】
(ステップS5−f〜ステップS6−m)
ステップS5−f〜ステップS5−kでは、ステップS4−fで経路と判定された[PP−35]を問い合わせ基点位置として検索要求が送信され、[PP−13]が経路として判定され、ステップS6−g〜ステップS6−mでは、ステップS6−jで[PP−26]が経路と判定され、同時に[PP−26]が終端に位置された装置であるため、終端であると判定される。このとき、[PP−01]−[PP−03]−[PP−07]−[PP−35]−[PP−13]−[PP−27]が通過ルートとして記憶される。
【0132】
これらの探索によって、つぎの3つの通過ルートが探索されている。
▲1▼ [PP−01]−[PP−03]−[PP−06]−[PP−13]−[PP−27]
▲2▼ [PP−01]−[PP−03]−[PP−06]−[PP−35]−[PP−13]−[PP−27]
▲3▼ [PP−01]−[PP−03]−[PP−07]−[PP−35]−[PP−13]−[PP−27]
この確定ルートに対しては、図6に示した、TTL値の比較処理、経路関連情報の確認処理、タイムスタンプの比較処理を用いて冗長なルートを取り除くことができる。
【0133】
以上説明したように、この実施の形態1によれば、あるパケットプリンティング装置をPP装置Aとして、このPP装置Aを問い合わせ基点位置として検索要求が送信された他のパケットプリンティング装置をPP装置Bとするとき、管理マネージャまたはPP装置Bは、PP装置Aで検索された追跡対象パケットのパケット特定情報に関連付けられたTTL値と、このPP装置Aを問い合わせ基点位置として検索要求が送信されたPP装置Bで検索された追跡対象パケットのパケット特定情報に関連付けられたTTL値とを比較して検索順に昇順になっているか否かを判定し、PP装置Bで検索された追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に、PP装置Aが存在するか否かを判定し、これらのTTL値の判定処理および経路関連情報の検索処理の少なくとも一つを用いて、追跡対象パケットがパケットプリンティング装置を通過したか否かを判定するので、検索処理の時間を増加させることなく、パケット通過ルート探索の正確性を向上させることができる。また、追跡対象パケットの探索にかかる探索ステップ数を削減することができる。
【0134】
また、この実施の形態1によれば、管理マネージャまたはPP装置Bは、PP装置Aで検索された追跡対象パケットのパケット特定情報に関連付けられた通過時刻情報と、PP装置Bで検索された追跡対象パケットのパケット特定情報に関連付けられた通過時刻情報とを比較して検索順に降順になっているか否かの判定と、前者の通過時刻情報と後者の通過時刻情報との時間差が所定の基準値以内であるか否かの判定とを前者および後者の少なくとも一つを用いて判定するので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。また、追跡対象パケットの探索にかかる探索ステップ数を削減することができる。なお、この処理はTTL値の判定処理および経路関連情報の検索処理と任意に組み合わせることができる。
【0135】
また、この実施の形態1によれば、管理マネージャは、通過ルート作成処理によって追跡対象パケットが通過したルートである通過ルートが作成されたとき、TTL値の判定処理および経路関連情報の検索処理の少なくとも一つを用いて通過ルートが正しいルートか否かを判定するので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。また、通過ルートと判定されたルートの中から冗長なルートを除去することができる。
【0136】
また、この実施の形態1によれば、管理マネージャは、終端装置判定数をN(Nは2以上の正の整数)として、順次検索要求が送信されたパケットプリンティング装置のそれぞれが経路であるか否かを順次判定し、連続的にN個のパケットプリンティング装置が経路でないと判定された場合に、最初に経路でないと判定されたパケットプリンティング装置への検索要求の問い合わせ基点位置であったパケットプリンティング装置が通過ルートの終端であると判定するので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。また、通過ルートの判定を誤る確率を小さくすることができる。
【0137】
また、この実施の形態1によれば、侵入検知装置の直近に位置するパケットプリンティング装置にのみ管理マネージャから検索要求が送信され、この検索要求に対応する追跡対象パケットが検索結果として得られた場合に、この追跡対象パケットが通過したパケットプリンティング装置から、この追跡対象パケットが通過したパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求が送信されるので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。
【0138】
また、この実施の形態1によれば、侵入検知装置の直近に位置するパケットプリンティング装置に管理マネージャから検索要求が送信され、この検索要求に対応する追跡対象パケットが検索結果として得られた場合に、管理マネージャから追跡対象パケットが通過したパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。
【0139】
また、この実施の形態1によれば、管理マネージャは、追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、この通過経路であると判定されたパケットプリンティング装置を基点とした検索要求の問い合わせがすべて終了するまで、この検索要求の問い合わせを優先して行う幅優先型の問い合わせに基づく検索を行うので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。
【0140】
また、この実施の形態1によれば、管理マネージャは、追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、追跡対象パケットの通過ルートが確定するか、経路ではないと判定するまで深さ方向の検索を優先して行う深さ優先型の問い合わせに基づく検索を行うので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができる。
【0141】
また、図1〜図15に示した処理手順で、管理マネージャが行う処理は、図26に示す追跡要求部125、パケットプリンティング部124、通過ルート作成部127に実装することができる。すなわち、検索要求の送信処理、経路チェック処理は追跡要求部125に、通過ルートの作成処理は通過ルート作成部127に、追跡対象パケットの特定情報の生成処理はパケットプリンティング部124に、それぞれ実装することができる。
【0142】
同様に、図1〜図15に示した処理手順で、パケットプリンティング装置が行う処理は、図25に示す、パケットプリンティング部113、キャッシュ部115、追跡エージェント部116に実装することができる。すなわち、検索要求の送信処理、検索処理、経路チェック処理、検索結果送信処理は追跡エージェント部116に、通過パケット生成記憶処理はパケットプリンティング部113およびキャッシュ部115に、それぞれ実装することができる。
【0143】
(実施の形態2)
図16は、本発明にかかる実施の形態2の構成を示すブロック図である。同図において、図24の各部に対応する部分には同一の符号を付ける。同図に示したパケット追跡システムにおいては、図24に示したパケットプリンティング装置101(101a、101b、101c)および管理マネージャ102に代えて、パケットプリンティング装置200(200a、200b、200c、200d)および管理マネージャ300が設けられている。
【0144】
また、図16においては、ルータ400〜402、コンピュータ装置500〜504が設けられている。ルータ400は、ネットワークAとネットワークBとの間に介挿されており、パケットをルーティングする機能を備えている。ルータ401は、ネットワークAとネットワークCとの間に介挿されており、パケットをルーティングする機能を備えている。ルータ402は、インターネットとネットワークAとの間に介挿されており、パケットをルーティングする機能を備えている。
【0145】
コンピュータ装置500〜504のそれぞれは、他のコンピュータ装置とパケット通信可能な装置である。コンピュータ装置500〜502のそれぞれは、ネットワークA上に存在している。コンピュータ装置503は、ネットワークB上に存在している。また、コンピュータ装置504は、ネットワークC上に存在している。
【0146】
また、上述したルータ400〜402、コンピュータ装置500〜504のそれぞれには、IPアドレスおよびMAC(Media Access Control)アドレスが付与されている。IPアドレスは、TCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク上でネットワーク装置(コンピュータやルータ等)を識別するための32ビットのアドレスである。このIPアドレスは、悪意の第三者により詐称可能である。
【0147】
一方、MACアドレスは、ネットワークに接続された装置(コンピュータやルータ等)を識別するために設定されるハードウェアアドレスであり、世界中で1つしかないユニークなアドレスである。例えば、Ethernet(登録商標)では、当該装置に設けられたネットワークインタフェースカードに対して48ビットの識別符号が付けられており、Ethernet(登録商標)アドレスと呼ばれている。48ビットにおいて、前半24ビットがIEEE(Institute of Electrical and Electronic Engineers)で管理されたベンダ固有の識別符号とされ、後半24ビットが各ネットワークインタフェースカードの連番とされる。
【0148】
ここで、MACアドレスは、ローカルなネットワークA、B、C内(ルータ間)のそれぞれで有効とされ、後述するように、ルータを通過する毎に変化する。これに対して、IPアドレスは、全ネットワーク(ネットワークA、B、C)を通じて有効である。
【0149】
ルータ400には、ネットワークAとの接続用としてIPアドレスとしてIP_B1が、MACアドレスとしてMAC_B1が付与されている。ルータ401には、同様にして、ネットワークAとの接続用としてIPアドレスとしてIP_C1が、MACアドレスとしてMAC_C1が付与されている。ルータ402にも同様にして、IPアドレスおよびMACアドレス(図示略)が付与されている。コンピュータ装置500には、IPアドレスとしてIP_A1が、MACアドレスとしてMAC_A1が付与されている。コンピュータ装置501には、IPアドレスとしてIP_A2が、MACアドレスとしてMAC_A2が付与されている。コンピュータ装置502には、IPアドレスとしてIP_A3が、MACアドレスとしてMAC_A3が付与されている。同様にして、コンピュータ装置503には、IPアドレスとしてIP_B2が、MACアドレスとしてMAC_B2が付与されている。コンピュータ装置504には、IPアドレスとしてIP_C2が、MACアドレスとしてMAC_C2が付与されている。
【0150】
パケット600は、例えば、送出元のコンピュータ装置503で生成され、送出先のコンピュータ装置504へ向けて送出されたものである。このパケット600は、データ部600aおよびヘッダ部600bから構成されている。ヘッダ部600bには、送出元IPアドレス(=IP_B2)、送出先IPアドレス(=IP_C2)、送出元MACアドレス(=MAC_B2)および送出先MACアドレス(=MAC_B1)や、当該パケットの寿命を示すTTL(図示略)、当該パケットの通過時刻情報を示すタイムスタンプ(図示略)が含まれている。
【0151】
送出元IPアドレスは、当該パケットの送出元の装置に付与されたIPアドレスであり、この場合、コンピュータ装置503に付与されたIPアドレス(=IP_B2)である。送出先IPアドレスは、当該パケットの送出先の装置に付与されたIPアドレスであり、この場合、コンピュータ装置504に付与されたIPアドレス(=IP_C2)である。
【0152】
送出元MACアドレスは、ローカルなネットワーク(この場合、ネットワークB)における当該パケットの送出元の装置に付与されたMACアドレスであり、この場合、コンピュータ装置503に付与されたMACアドレス(=MAC_B2)である。送出先MACアドレスは、ローカルなネットワーク(この場合、ネットワークB)におけるパケットの送出先の装置に付与されたMACアドレスであり、この場合、ルータ400に付与されたMACアドレス(=MAC_B1)である。
【0153】
上記ネットワークにおいては、パケットがルータを通過する際に、送出元MACアドレスおよび送出先MACアドレスが変更される。具体的には、パケット600がルータ400を通過する際は、ヘッダ部600bがヘッダ部601bとされたパケット601が生成される。このパケット601のヘッダ部601bにおいては、送出元MACアドレスがMAC_B2(コンピュータ装置503のMACアドレス)からMAC_B1(ルータ400のMACアドレス)に変更されている。さらに同ヘッダ部601bにおいては、送出先MACアドレスがMAC_B1(ルータ400のMACアドレス)からMAC_C1(ルータ401のMACアドレス)に変更されている。
【0154】
そして、パケット601がルータ401を通過する際は、ヘッダ部601bがヘッダ部602bとされたパケット602が生成される。このパケット602のヘッダ部602bにおいては、送出元MACアドレスがMAC_B1(ルータ400のMACアドレス)からMAC_C1(ルータ401のMACアドレス)に変更されている。さらに、ヘッダ部602bにおいては、送出先MACアドレスがMAC_C1(ルータ401のMACアドレス)からMAC_C2(コンピュータ装置504のMACアドレス)に変更されている。
【0155】
パケットプリンティング装置200(200a、200b、200c、200d)は、タッピングなどの手法を用いて、前述したステルス接続方式によりローカルなネットワークA、B、Cに接続されている。
【0156】
一方、パケットプリンティング装置200a、200b、200c、200dは、監視対象ネットワークとは独立に存在する管理用ネットワークにも前述したIP接続方式により接続されている。
【0157】
これらのパケットプリンティング装置200a、200b、200c、200dは、それぞれが接続されているネットワーク間の接続リンクを監視の対象とし、それぞれの監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するための前述したハッシュ値(パケット特定情報)をデータ部から生成するとともに、このハッシュ値を記憶する。
【0158】
図17は、パケットプリンティング装置200(200a、200b、200c、200d)の構成を示すブロック図である。同図において、タッピング装置201は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。MACアドレス/IPアドレス対応テーブル記憶部202は、図18に示したMACアドレス/IPアドレス対応テーブル202aを記憶している。このMACアドレス/IPアドレス対応テーブル202aは、ネットワークA、B、Cに接続された装置(コンピュータ装置、ルータ等)に付与されているMACアドレスとIPアドレスとの対応関係を表すテーブルである。補足には、当該装置がルータである場合にその旨が記述される。
【0159】
例えば、MACアドレス(=MAC_C1)、IPアドレス(=IP_C1)および補足(=ルータ)は、図16に示したルータ401に対応している。また、MACアドレス(=MAC_A1)、IPアドレス(=IP_A1)および補足(=無し)は、ネットワークAに接続されたコンピュータ装置500に対応している。以下同様にして、MACアドレス(=MAC_B1)、IPアドレス(=IP_B1)および補足(=ルータ)は、ルータ400に対応している。
【0160】
図17に戻り、MACアドレスチェック部203は、タッピング装置201がコピーしたパケットに含まれる送出元MACアドレスを取得し、この送出元MACアドレスをキーとして、MACアドレス/IPアドレス対応テーブル記憶部202に記憶されているMACアドレス/IPアドレス対応テーブル202a(図18参照)を参照し、該当するMACアドレスに対応する補足にルータが記述されているか否かをチェックする。
【0161】
MACアドレスチェック部203は、補足にルータが記述されている場合、ルータフラグ(MACアドレス判定値)を1(送出元MACアドレスがルータに対応しているという意味)として、キャッシュ部207へ渡す。ここで、ルータフラグが1の場合、当該パケットは、ルータを介して監視対象ネットワークを通過しただけの「通過パケット」と認識される。
【0162】
一方、補足が無しである場合、MACアドレスチェック部203は、ルータフラグ(MACアドレス判定値)を0(送出元MACアドレスがルータに対応していないという意味)として、キャッシュ部207へ渡す。ここで、ルータフラグが0の場合、当該パケットは、監視対象ネットワークに接続されているコンピュータ装置で生成された「生成パケット」と認識される。このように実施の形態2では、ネットワーク上のパケットが「通過パケット」、「生成パケット」という二種類に分類される。
【0163】
プリンティング制御部204は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリンティング部205に指示しておく。パケットプリンティング部205は、プリンティング制御部204に指示された方式(ハッシュ関数)で、タッピング装置201がコピーしたパケット(データ部)のハッシュ値を生成する。また、パケットプリンティング部205は、当該パケットからTTL、タイムスタンプの情報を取得し、これらの情報とハッシュ値をキャッシュ部207に渡す。
【0164】
キャッシュ部207は、図19に示したハッシュ値テーブル207aを記憶すしている。このハッシュ値テーブル207aには、パケット毎にハッシュ値、TTL、タイムスタンプおよびルータフラグ(MACアドレス判定値)が記憶される。ハッシュ値、TTLおよびタイムスタンプは、パケットプリンティング部205から渡されたものである。また、ルータフラグ(MACアドレス判定値)は、MACアドレスチェック部203から渡されたものである。
【0165】
キャッシュ制御部206は、キャッシュ部207のハッシュ値テーブル207aに記憶されているハッシュ値の量を認識する。ここで、ハッシュ値テーブル207aに記憶されているハッシュ値が一定量以上であった場合、キャッシュ制御部206は、ハッシュ値テーブル207aに記憶されている最も古いハッシュ値を含む1レコードを破棄する。ハッシュ値テーブル207aに記憶されているハッシュ値が一定量以下であった場合、キャッシュ制御部206は、ハッシュ値テーブル207aに記憶されている情報の最後尾に新しいハッシュ値(TTL、タイムスタンプ、ルータフラグも含む)を追加して記憶する。このように、キャッシュ制御部206は、ハッシュ値テーブル207aに記憶されているハッシュ値が常に一定量以下になるよう制御する。
【0166】
追跡エージェント部208は、管理用ネットワークと接続され、管理マネージャ300からの検索要求を受け付け、ハッシュ値テーブル207a(図19参照)の検索結果を検索応答として管理マネージャ300へ返す機能を備えている。
【0167】
図16に戻り、管理マネージャ300は、管理用ネットワークに接続され、パケットプリンティング装置200a、200b、200c、200dと管理用ネットワークを介して通信する装置である。
【0168】
図20は、管理マネージャ300の機能構成を示すブロック図である。同図において、警報受信部301は、IDS103から不正アクセスパケットに対する警報を受信し、パケット受信部302は、IDS103から不正アクセスパケットを受信する。プリンティング制御部303は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリンティング部304に指示しておく。なお、パケットプリンティング装置200のプリンティング制御部204で指定される方式と、管理マネージャ300のプリンティング制御部303で指定される方式は常に同じ方式である。
【0169】
パケットプリンティング部304は、プリンティング制御部303から指示された方式(ハッシュ関数)で、パケット受信部302から送信されたパケット(データ部)のハッシュ値を生成する。追跡要求部305は、パケットプリンティング部304で生成されたハッシュ値を含む検索要求をパケットプリンティング装置200a、200b、200c、200dに送信するとともに、パケットプリンティング装置200a、200b、200c、200dからの検索結果(検索応答)を受信する。これらパケットプリンティング装置200a、200b、200c、200dから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報DB306とに基づいて、通過ルート作成部307が、追跡対象パケットの通過経路を作成する。
【0170】
このようにして、通過ルート作成部307が作成した追跡対象パケットの通過ルートの情報がシステム管理者等に通知される。システム管理者等は、この通過経路の情報に基づき、追跡対象パケットがどこから侵入してきたのかを判断することができ、不正アクセスのパケットに対する対策を打つことができる。
【0171】
つぎに、図16および図17に示したパケットプリンティング装置200(200a、200b、200c、200d)におけるパケット取得処理(定常処理)について、図21に示したフローチャートを参照しつつ説明する。なお、以下に説明するパケット取得処理(定常処理)は、パケットプリンティング装置200a、200b、200c、200dのそれぞれで独立的に実行される。
【0172】
図21に示したステップSA1では、MACアドレスチェック部203は、タッピング装置201により監視対象ネットワークを通過するパケットがコピーされたか否かを判断し、この場合、判断結果を「No」として、同判断を繰り返す。
【0173】
そして、監視対象ネットワークをパケットが通過すると、タッピング装置201により当該パケットがコピーされ、MACアドレスチェック部203に渡される。これにより、MACアドレスチェック部203は、ステップSA1の判断結果を「Yes」とする。
【0174】
ステップSA2では、MACアドレスチェック部203は、タッピング装置201から渡されたパケット(ヘッダ部)から送出元MACアドレスを取得する。ステップSA3では、MACアドレスチェック部203は、上記送出元MACアドレスをキーとして、MACアドレス/IPアドレス対応テーブル記憶部202に記憶されているMACアドレス/IPアドレス対応テーブル202a(図18参照)を参照し、該当するMACアドレスに対応する補足にルータが記述されているか否かをチェックする。
【0175】
ここで、補足にルータが記述されている場合、MACアドレスチェック部203は、ルータフラグ(MACアドレス判定値)を1(送出元MACアドレスがルータに対応しているという意味)として、キャッシュ部207へ渡す。一方、補足が無しである場合、MACアドレスチェック部203は、ルータフラグ(MACアドレス判定値)を0(送出元MACアドレスがルータに対応していないという意味)として、キャッシュ部207へ渡す。
【0176】
ステップSA4では、MACアドレスチェック部203は、当該パケットをパケットプリンティング部205へ渡す。ステップSA5では、パケットプリンティング部205は、プリンティング制御部204により指示された方式(ハッシュ関数)で当該パケットのハッシュ値を算出する。ステップSA6では、パケットプリンティング部205は、上記ハッシュ値、パケット(ヘッダ部)に含まれるTTLおよびタイムスタンプをキャッシュ部207へ渡す。
【0177】
ステップSA7では、キャッシュ制御部206は、キャッシュ部207のハッシュ値テーブル207aに記憶されているハッシュ値が一定量以上であるか否かを判断し、この場合、判断結果を「No」とする。ステップSA8では、キャッシュ制御部206は、ハッシュ値テーブル207aの最後尾に新しいハッシュ値、TTL、タイムスタンプおよびルータフラグを追加して記憶する。
【0178】
一方、ステップSA7の判断結果が「Yes」である場合、ステップSA9では、キャッシュ制御部206は、ハッシュ値テーブル207aに記憶されている最も古いハッシュ値を含む1レコードを破棄する。ステップSA8では、キャッシュ制御部206は、ハッシュ値テーブル207aの最後尾に新しいハッシュ値、TTL、タイムスタンプおよびルータフラグを追加して記憶する。
【0179】
つぎに、実施の形態2の動作について図22に示したフローチャートおよび図23を参照しつつ説明する。図23においては、不正アクセスの攻撃元がネットワークB上のコンピュータ装置503であり、攻撃対象がネットワークC上のコンピュータ装置504である。
【0180】
不正アクセスパケット600’は、ネットワークB上のコンピュータ装置503(攻撃元)で生成され、攻撃対象のコンピュータ装置504へ向けて送出されたものである。この不正アクセスパケット600’は、データ部600a’およびヘッダ部600b’から構成されている。ヘッダ部600b’には、送出元IPアドレス(=IP_A1)、送出先IPアドレス(=IP_C2)、送出元MACアドレス(=MAC_B2)および送出先MACアドレス(=MAC_B1)や、当該パケットの寿命を示すTTL(図示略)、当該パケットの通過時刻情報を示すタイムスタンプ(図示略)が含まれている。
【0181】
ここで、上記送出元IPアドレスは、本来、IP_B2(コンピュータ装置503)であるが、あたかもコンピュータ装置500で不正アクセスパケットが生成されたようにするため、IP_A1(コンピュータ装置500)に詐称されている。
【0182】
不正アクセスパケット600’は、ルータ400を通過する際に、不正アクセスパケット601’(データ部600a’+ヘッダ部601b’)とされる。不正アクセスパケット601’は、ルータ401を通過する際に、不正アクセスパケット602’(データ部600a’+ヘッダ部602b’)とされる。
【0183】
図22に示したステップSB1では、IDS103は、ネットワークC内で不正アクセスパケット602’(図23参照)を検知する。この不正アクセスパケットの検知は、前述したように、ユーザが定義した不正アクセスの判定基準およびルールに基づいて行われる。ステップSB2では、IDS103は、不正アクセスパケット602’を管理マネージャ300へ送信する。
【0184】
ステップSB3では、管理マネージャ300は、不正アクセスパケット602’(データ部600a’)からハッシュ値を算出する。ステップSB4では、管理マネージャ300は、パケットプリンティング装置200a、200b、200c、200dの中から、検索要求先のパケットプリンティング装置として、例えば、パケットプリンティング装置200aを選択する。
【0185】
ステップSB5では、管理マネージャ300は、パケットプリンティング装置200aの位置を確認した後、管理用ネットワークを介して、不正アクセスパケット602’に対応するハッシュ値を含む検索要求を送信する。
【0186】
ステップSB6では、パケットプリンティング装置200aの追跡エージェント部208(図17参照)は、管理マネージャ300からの検索要求を受け付け、不正アクセスパケット602’に対応するハッシュ値をキーとして、ハッシュ値テーブル207a(図19参照)を検索する。
【0187】
ステップSB7では、追跡エージェント部208は、ハッシュ値が発見されたか否かを判断する。この場合、ルータ400から送出された不正アクセスパケット601’は、ネットワークAを監視するパケットプリンティング装置200aによりコピーされている。従って、パケットプリンティング装置200aのハッシュ値テーブル207a(図19参照)には、不正アクセスパケット601’に対応するハッシュ値、TTL、タイムスタンプ、ルータフラグ(=1)が記憶されている。
【0188】
ここで、上記ハッシュ値が、データ部600a’に対応するハッシュ値と同値であるため、追跡エージェント部208は、ステップSB7の判断結果を「Yes」とする。ステップSB8では、追跡エージェント部208は、ハッシュ値テーブル207aより、ステップSB6で検索されたハッシュ値に対応するルータフラグを検索する。この場合、ルータフラグが1である。
【0189】
ステップSB9では、追跡エージェント部208は、検索結果(ハッシュ値の検索結果がOKかつルータフラグが「1」)を管理マネージャ300へ通知する。ステップSB10では、管理マネージャ300は、検索結果より当該不正アクセスパケットの通過ルートを判定する。
【0190】
具体的には、管理マネージャ300は、ハッシュ値の検索結果がOKかつルータフラグの検索結果が「1」、すなわち、不正アクセスパケット601’の送出元がルータ(この場合、ルータ400)であるため、不正アクセスパケット601’を通過パケットと認識し、ネットワークAを通過したものと判定する。
【0191】
ステップSB11では、管理マネージャ300は、ステップSB10の判定に基づいて、検索継続が必要であるか否かを判断する。当該不正アクセスパケット601’が通過パケットである場合には、攻撃元(コンピュータ装置)の特定ができないため、検索継続が必要と判断される。一方、不正アクセスパケット601’が生成パケットである場合には、攻撃元(コンピュータ装置)の特定がされるため検索継続が不要と判断される。この場合、管理マネージャ300は、当該不正アクセスパケット601’が通過パケットであるため、ステップSB11の判断結果を「Yes」とする。
【0192】
ステップSB4では、管理マネージャ300は、パケットプリンティング装置200c、200bの中から、つぎの検索要求先のパケットプリンティング装置として、例えば、パケットプリンティング装置200bを選択する。
【0193】
ステップSB5では、管理マネージャ300は、パケットプリンティング装置200bの位置を確認した後、管理用ネットワークを介して、不正アクセスパケット602’に対応するハッシュ値を含む検索要求を送信する。
【0194】
ステップSB6では、パケットプリンティング装置200bの追跡エージェント部208(図17参照)は、管理マネージャ300からの検索要求を受け付け、不正アクセスパケット602’に対応するハッシュ値をキーとして、ハッシュ値テーブル207a(図19参照)を検索する。
【0195】
ステップSB7では、追跡エージェント部208は、ハッシュ値が発見されたか否かを判断する。この場合、コンピュータ装置503で生成された不正アクセスパケット600’は、ネットワークBを監視するパケットプリンティング装置200bによりコピーされている。従って、パケットプリンティング装置200bのハッシュ値テーブル207a(図19参照)には、不正アクセスパケット600’に対応するハッシュ値、TTL、タイムスタンプ、ルータフラグ(=0)が記憶されている。
【0196】
ここで、上記ハッシュ値が、データ部600a’に対応するハッシュ値と同値であるため、追跡エージェント部208は、ステップSB7の判断結果を「Yes」とする。ステップSB8では、追跡エージェント部208は、ハッシュ値テーブル207aより、ステップSB6で検索されたハッシュ値に対応するルータフラグを検索する。この場合、ルータフラグが0である。
【0197】
ステップSB9では、追跡エージェント部208は、検索結果(ハッシュ値の検索結果がOKかつルータフラグが「0」)を管理マネージャ300へ通知する。ステップSB10では、管理マネージャ300は、検索結果より当該不正アクセスパケットの通過ルートを判定する。
【0198】
具体的には、管理マネージャ300は、ハッシュ値の検索結果がOKかつルータフラグの検索結果が「0」、すなわち、不正アクセスパケット600’の送出元がルータでない(この場合、コンピュータ装置503である)ため、不正アクセスパケット600’を、ネットワークB上のコンピュータ装置で生成された生成パケットと認識し、ネットワークB上のコンピュータ装置(この場合、コンピュータ装置503)が攻撃元であると判定する。
【0199】
ステップSB11では、管理マネージャ300は、ステップSB10の判定に基づいて、検索継続が必要であるか否かを判断する。この場合、不正アクセスパケット600’が生成パケットであり、攻撃元(コンピュータ装置)の特定がされるため、管理マネージャ300は、検索継続を不要とし、ステップSB11の判断結果を「No」とする。ステップSB12では、管理マネージャ300は、不正アクセスパケットの追跡が終了する。
【0200】
以上説明したように、実施の形態2によれば、パケットプリンティング装置200で、監視対象のネットワーク(ネットワークA、B、C)を通過する不正アクセスのパケットを特定するハッシュ値(パケット特定情報)と、パケットに含まれるMACアドレス(ハードウェアアドレス)に基づいて判定されるローカルなネットワークにおける送出元を判定するルータフラグ(送出元判定情報)とを生成しかつ記憶し、追跡対象パケットのハッシュ値を含む検索要求を管理マネージャ300より受けて、追跡対象パケットのハッシュ値と同一のハッシュ値があるか否かを検索するとともに、また、検索された場合に該ハッシュ値に対応するルータフラグを(図19参照)検索し、検索結果を管理マネージャ300に送信し、同一のハッシュ値が検索されかつルータフラグがルータ(ルータ400、401)に対応している場合、追跡対象パケットが当該監視対象のネットワークを通過した「通過パケット」であると判定し、また、ルータフラグがルータに対応していない場合、追跡対象パケットが当該監視対象のネットワーク上のコンピュータ装置で生成された「生成パケット」であると判定するようにしているので、不正アクセスの攻撃元を特定することができる。
【0201】
以上本発明にかかる実施の形態1および2について図面を参照して詳述してきたが、具体的な構成例はこれらの実施の形態1および2に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等があっても本発明に含まれる。
【0202】
例えば、図25、図26の各部の機能、実施の形態1および2の機能の一部またはすべてを実現するためのプログラムをコンピュータシステムに読み込ませ、実行させることにより実現させてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、このプログラムは、前述の機能または機能の一部をコンピュータシステムに、既に記録されているプログラムとの組み合わせで実現できるものであってもよい。
【0203】
【発明の効果】
以上説明したとおり、この発明によれば、管理マネージャのTTL値判定ステップは、所定のパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して検索順に昇順になっているか否かを判定し、このTTL値判定ステップを用いて、追跡対象パケットが所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定するようにしているので、検索処理の時間を増加させることなく、ルート探索の正確性を向上させることができるという効果を奏するとともに、追跡対象パケットの探索にかかる探索ステップ数を削減することができるという効果も奏する。
【0204】
つぎの発明によれば、監視対象の通信ネットワークを通過する不正アクセスのパケットを特定するパケット特定情報と、パケットに含まれるハードウェアアドレスに基づいて判定されるローカルな通信ネットワークにおける送出元を判定する送出元判定情報とを生成しかつ記憶し、追跡対象パケットのパケット特定情報を含む検索要求を管理マネージャより受けて、追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索するとともに、また、検索された場合に該パケット特定情報に対応する送出元判定情報を検索し、検索結果を管理マネージャに送信し、同一のパケット特定情報が検索されかつ送出元判定情報がルータに対応している場合、追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定し、また、送出元判定情報がルータに対応していない場合、追跡対象パケットが当該監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定するようにしているので、不正アクセスの攻撃元を特定することができるという効果を奏する。
【0205】
つぎの発明にかかるプログラムによれば、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるようにしたので、そのプログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明にかかる実施の形態1における管理マネージャおよびこの管理マネージャからパケット追跡のために検索要求の問い合わせを受けるネットワーク上に配置されたパケットプリンティング装置の階層接続図である。
【図2】検索要求の問い合わせにより特定されたパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図である。
【図3】図2に示すパケット通過ルートを特定するための探索手順を示した図表である。
【図4】検索要求の問い合わせにより特定された複数のパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図である。
【図5】図4に示す複数のパケット通過ルートの探索手順を示した図表である。
【図6】経路チェック手法を用いて判定する具体例を示す説明図である。
【図7】図4に示す複数のパケット通過ルートの特定に際し、幅優先型の探索に経路チェック手法を併用した場合のパケット通過ルートの探索手順を示した図表である。
【図8】一般的な終端判定の手法を用いてパケットプリンティング装置の終端を判定した一例を示すパケットプリンティング装置の階層接続図である。
【図9】図8に示す例を用いてパケットプリンティング装置の終端を判定する手順を示した図表である。
【図10】終端判定の手法(終端装置判定数が2の場合)を用いて通過ルートを確定した一例を示すパケットプリンティング装置の階層接続図である。
【図11】図10に示す例を用いてパケット通過ルートを確定する手順を示した図表である。
【図12】終端判定の手法(終端装置判定数が2の場合)を用いてパケットプリンティング装置の終端を判定した一例を示すパケットプリンティング装置の階層接続図である。
【図13】図12に示す例を用いてパケットプリンティング装置の終端を判定する手順を示した図表である。
【図14】複雑な経路を持つネットワークにおいて特定されたパケット通過ルートの一例をパケットプリンティング装置の階層接続図に示した図である。
【図15】図14に示すパケット通過ルートを特定するための探索手順を示した図表である。
【図16】本発明にかかる実施の形態2の構成を示す図である。
【図17】図16に示したパケットプリンティング装置200(200a、200b、200c、200d)の構成を示すブロック図である。
【図18】図17に示したMACアドレス/IPアドレス対応テーブル記憶部202に記憶されているMACアドレス/IPアドレス対応テーブル202aのテーブル構造を示す図である。
【図19】図17に示したキャッシュ部207に記憶されているハッシュ値テーブル207aのテーブル構造を示す図である。
【図20】図16に示した管理マネージャ300の構成を示すブロック図である。
【図21】図16および図17に示したパケットプリンティング装置200(200a、200b、200c、200d)におけるパケット取得処理(定常処理)を説明するフローチャートである。
【図22】同実施の形態2における動作を説明するフローチャート図である。
【図23】同実施の形態2における動作を説明する図である。
【図24】PCT/JP01/04139号に示されるパケット追跡システムの構成概要を示すブロック図である。
【図25】パケットプリンティング装置の機能構成を示すブロック図である。
【図26】管理マネージャの機能構成を示すブロック図である。
【符号の説明】
101,101a,101b,101c パケットプリンティング装置
102 管理マネージャ
103 IDS
111 タッピング装置
112 プリンティング制御部
113 パケットプリンティング部
114 キャッシュ制御部
115 キャッシュ部
116 追跡エージェント部
121 警報受信部
122 パケット受信部
123 プリンティング制御部
124 パケットプリンティング部
125 追跡要求部
127 通過ルート作成部
126 構成情報DB
200,200a,200b,200c パケットプリンティング装置
202 MACアドレス/IPアドレス対応テーブル記憶部
203 MACアドレスチェック部
204 プリンティング制御部
205 パケットプリンティング部
206 キャッシュ制御部
207 キャッシュ部
208 追跡エージェント部
300 管理マネージャ
305 追跡要求部
307 通過ルート作成部
Claims (17)
- 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、
前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、
前記管理マネージャは、前記所定のパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して検索順に昇順になっているか否かを判定するTTL値判定ステップを備え、
このTTL値判定ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、
前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、 前記管理マネージャは、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に前記所定のパケットプリンティング装置が存在するか否かを判定する経路関連情報検索ステップを備え、
この経路関連情報検索ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置に送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信し、
前記管理マネージャは、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信するとともに、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、
前記管理マネージャは、前記TTL値判定ステップおよび前記経路関連情報検索ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 前記管理マネージャは、前記所定のパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して検索順に降順になっているか否かを判定するステップおよび/または前記第1の通過時刻情報と前記第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップを具える通過時刻情報判定ステップを備え、
この通過時刻情報判定ステップを用いて、前記追跡対象パケットが前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置を通過したか否かを判定することを特徴とする請求項1〜3のいずれか一つに記載のパケット通過ルート探索方法。 - 前記管理マネージャは、前記追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定することを特徴とする請求項1〜4のいずれか一つに記載のパケット通過ルート探索方法。
- 前記管理マネージャは、終端装置判定数をN(Nは2以上の正の整数)として、順次検索要求が送信された前記複数のパケットプリンティング装置のそれぞれが経路であるか否かを順次判定し、連続的にN個のパケットプリンティング装置が経路でないと判定された場合に、最初に経路でないと判定されたパケットプリンティング装置への検索要求の問い合わせ元であるパケットプリンティング装置が通過ルートの終端であると判定することを特徴とする請求項1〜4のいずれか一つに記載のパケット通過ルート探索方法。
- 前記管理マネージャは、前記追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、この通過経路であると判定されたパケットプリンティング装置を基点とした検索要求の問い合わせがすべて終了するまで、この検索要求の問い合わせを優先して行う幅優先型の問い合わせに基づく検索を行うことを特徴とする請求項1〜6のいずれか一つに記載のパケット通過ルート探索方法。
- 前記管理マネージャは、前記追跡対象パケットが通過した経路であると判定されたパケットプリンティング装置が複数ある場合に、前記追跡対象パケットの通過ルートが確定するか、経路ではないと判定するまで深さ方向の検索を優先して行う深さ優先型の問い合わせに基づく検索を行うことを特徴とする請求項1〜6のいずれか一つに記載のパケット通過ルート探索方法。
- 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して前記追跡対象パケットのパケット特定情報を含む検索要求を送信し、
前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、
前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置は、前記所定のパケットプリンティング装置から送信された前記追跡対象パケットのパケット特定情報に関連付けられた第1のTTL値と、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2のTTL値とを比較して昇順になっているか否かを判定するTTL値判定ステップを備え、
このTTL値判定ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信し、
前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、
前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置は、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた経路関連情報に前記所定のパケットプリンティング装置が存在するか否かを判定する経路関連情報検索ステップを備え、
この経路関連情報検索ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備え、
前記管理マネージャは、追跡対象パケットのパケット特定情報を生成し、
前記複数のパケットプリンティング装置のそれぞれは、この監視対象の通信ネットワークを通過するパケットを特定するパケット特定情報を生成かつ記憶し、
前記管理マネージャは、前記追跡対象パケットのパケット特定情報を含む検索要求を所定のパケットプリンティング装置にのみ送信し、
前記所定のパケットプリンティング装置は、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索し、この検索結果を前記管理マネージャに送信するとともに、この検索結果が前記追跡対象パケットである場合に、前記所定のパケットプリンティング装置の直近に位置するパケットプリンティング装置に対して検索要求を送信し、
前記管理マネージャは、この検索結果を用いて前記追跡対象パケットの通過ルートを作成することを特徴とするパケット探索方法において、
前記パケットプリンティング装置の直近に位置するパケットプリンティング装置は、前記TTL値判定ステップおよび前記経路関連情報検索ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とするパケット通過ルート探索方法。 - 前記所定のパケットプリンティング装置の直近のパケットプリンティング装置は、前記所定のパケットプリンティング装置から送信された前記追跡対象パケットのパケット特定情報に関連付けられた第1の通過時刻情報と、自己で検索された前記追跡対象パケットのパケット特定情報に関連付けられた第2の通過時刻情報とを比較して降順になっているか否かを判定するステップおよび/または前記第1の通過時刻情報と前記第2の通過時刻情報との時間差が所定の基準値以内であるか否かを判定するステップを具える通過時刻情報判定ステップを備え、
この通過時刻情報判定ステップを用いて、前記追跡対象パケットが自己を通過したか否かを判定することを特徴とする請求項9〜11のいずれか一つに記載のパケット通過ルート探索方法。 - 前記管理マネージャは、前記追跡対象パケットの通過ルートが作成されたとき、この通過ルートが正しいルートか否かを判定することを特徴とする請求項9〜12のいずれか一つに記載のパケット通過ルート探索方法。
- 監視対象の通信ネットワークの要所に配置された複数のパケットプリンティング装置と、これらのパケットプリンティング装置との間で情報の送受を行う管理マネージャとを備えたパケット追跡システムに適用される不正アクセス攻撃元特定方法において、
前記監視対象の通信ネットワークを通過する不正アクセスのパケットを特定するパケット特定情報と、前記パケットに含まれるハードウェアアドレスに基づいて判定されるローカルな通信ネットワークにおける送出元を判定する送出元判定情報とを生成しかつ記憶する記憶ステップと、
追跡対象パケットのパケット特定情報を含む検索要求を前記管理マネージャより受けて、前記追跡対象パケットのパケット特定情報と同一のパケット特定情報があるか否かを検索するとともに、また、検索された場合に該パケット特定情報に対応する送出元判定情報を検索し、検索結果を前記管理マネージャに送信する送信ステップと、
前記同一のパケット特定情報が検索されかつ前記送出元判定情報がルータに対応している場合、前記追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定し、また、前記送出元判定情報がルータに対応していない場合、前記追跡対象パケットが当該監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定する判定ステップと、
を備えたことを特徴とする不正アクセス攻撃元特定方法。 - 前記判定ステップでは、前記同一のパケット特定情報が検索されかつ前記送出元判定情報がルータに対応している場合、当該監視対象の通信ネットワーク以外の通信ネットワークに設けられた装置を攻撃元として特定し、また、前記送出元判定情報がルータに対応していない場合、当該監視対象の通信ネットワーク上の装置を攻撃元として特定することを特徴とする請求項14に記載の不正アクセス攻撃元特定方法。
- 前記判定ステップで前記追跡対象パケットが当該監視対象の通信ネットワークを通過した通過パケットであると判定された場合に、検索要求先を変えて、前記追跡対象パケットが監視対象の通信ネットワーク上の装置で生成された生成パケットであると判定されるまで、前記判定を繰り返すことを特徴とする請求項14または15に記載の不正アクセス攻撃元特定方法。
- 請求項1〜16のいずれか一つに記載された方法をコンピュータに実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002311752A JP3934030B2 (ja) | 2002-08-30 | 2002-10-25 | パケット通過ルート探索方法およびその方法をコンピュータに実行させるプログラム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002256008 | 2002-08-30 | ||
JP2002311752A JP3934030B2 (ja) | 2002-08-30 | 2002-10-25 | パケット通過ルート探索方法およびその方法をコンピュータに実行させるプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004147223A true JP2004147223A (ja) | 2004-05-20 |
JP3934030B2 JP3934030B2 (ja) | 2007-06-20 |
Family
ID=32472900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002311752A Expired - Lifetime JP3934030B2 (ja) | 2002-08-30 | 2002-10-25 | パケット通過ルート探索方法およびその方法をコンピュータに実行させるプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3934030B2 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
US8218446B2 (en) | 2006-03-27 | 2012-07-10 | Nec Corporation | Frame transfer route confirmation method, node, frame transfer route confirmation program and frame transfer route confirmation system |
JP2012205205A (ja) * | 2011-03-28 | 2012-10-22 | Kddi Corp | トラヒック通過経路解析方法、プログラム及び装置 |
JP2017212541A (ja) * | 2016-05-24 | 2017-11-30 | 日本電信電話株式会社 | ログ情報探索システム及びログ情報探索方法 |
CN112449306A (zh) * | 2019-08-28 | 2021-03-05 | 国基电子(上海)有限公司 | 调整封包长度的方法、行动装置及计算机可读储存媒体 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2002101099A (ja) * | 2000-09-21 | 2002-04-05 | Hitachi Ltd | アクセス追跡装置 |
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
JP2003258910A (ja) * | 2002-03-04 | 2003-09-12 | Mitsubishi Electric Corp | 不正アクセス経路解析システム及び不正アクセス経路解析方法 |
JP2003298652A (ja) * | 2002-03-29 | 2003-10-17 | Yokogawa Electric Corp | 攻撃経路追跡システム |
-
2002
- 2002-10-25 JP JP2002311752A patent/JP3934030B2/ja not_active Expired - Lifetime
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2002101099A (ja) * | 2000-09-21 | 2002-04-05 | Hitachi Ltd | アクセス追跡装置 |
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
JP2003258910A (ja) * | 2002-03-04 | 2003-09-12 | Mitsubishi Electric Corp | 不正アクセス経路解析システム及び不正アクセス経路解析方法 |
JP2003298652A (ja) * | 2002-03-29 | 2003-10-17 | Yokogawa Electric Corp | 攻撃経路追跡システム |
Non-Patent Citations (8)
Title |
---|
ACM SIGCOMM, vol. Vol.30 Issue 4, JPN4006018701, pages 295 - 306, ISSN: 0000826883 * |
BBN TECHNICAL MEMORANDUM NO.1284, JPN4006003507, ISSN: 0000826884 * |
IEEE INFOCOM 2001, vol. 2, JPN4006018702, pages 878 - 886, ISSN: 0000826885 * |
信学論, vol. 85, no. 8, CSNG200400610019, pages 1313 - 1322, ISSN: 0000826886 * |
情処60全大 6Q-4, JPN4005006544, ISSN: 0000826879 * |
情処60全大 6Q-7, JPN4005006546, ISSN: 0000826880 * |
情処61全大 4F-7, JPN4006018700, ISSN: 0000826881 * |
情処62全大 1S-2, JPN4005006545, ISSN: 0000826882 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
US7653188B2 (en) | 2005-07-20 | 2010-01-26 | Avaya Inc. | Telephony extension attack detection, recording, and intelligent prevention |
US8218446B2 (en) | 2006-03-27 | 2012-07-10 | Nec Corporation | Frame transfer route confirmation method, node, frame transfer route confirmation program and frame transfer route confirmation system |
JP2012205205A (ja) * | 2011-03-28 | 2012-10-22 | Kddi Corp | トラヒック通過経路解析方法、プログラム及び装置 |
JP2017212541A (ja) * | 2016-05-24 | 2017-11-30 | 日本電信電話株式会社 | ログ情報探索システム及びログ情報探索方法 |
CN112449306A (zh) * | 2019-08-28 | 2021-03-05 | 国基电子(上海)有限公司 | 调整封包长度的方法、行动装置及计算机可读储存媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP3934030B2 (ja) | 2007-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3819364B2 (ja) | パケット追跡システム | |
US8059551B2 (en) | Method for source-spoofed IP packet traceback | |
KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
US8695089B2 (en) | Method and system for resilient packet traceback in wireless mesh and sensor networks | |
CN111934943B (zh) | 位转发入口路由器、位转发路由器及操作管理维护检测方法 | |
CN108011746B (zh) | 基于Traceroute及SNMP协议的IP级全球互联网拓扑测绘方法 | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
Marandi et al. | BFR: a bloom filter-based routing approach for information-centric networks | |
US20050044208A1 (en) | Mechanism for tracing back anonymous network flows in autonomous systems | |
CN104243320A (zh) | 一种优化网络访问路径的方法及装置 | |
Luckie et al. | Learning to extract geographic information from internet router hostnames | |
US20130054565A1 (en) | Identification and verification in communication systems | |
CN113329007A (zh) | IPv6传输路径分段认证方法以及装置 | |
CN112995040A (zh) | 一种基于设备标识计算的报文路径溯源方法及装置 | |
JP3934030B2 (ja) | パケット通過ルート探索方法およびその方法をコンピュータに実行させるプログラム | |
CN107809346A (zh) | 路由追踪节点和相关联的设备的标识 | |
US6952740B1 (en) | Apparatus and method of maintaining a route table | |
JP2000124952A (ja) | 電子データの追跡方法及びシステム、記録媒体 | |
Lu et al. | A novel approach for single-packet IP traceback based on routing path | |
JP4098127B2 (ja) | パケット追跡方法およびパケット追跡プログラム | |
CN108769055A (zh) | 一种虚假源ip检测方法及装置 | |
US20060133387A1 (en) | Route tracing in wireless networks | |
CN114666227A (zh) | 一种非协作条件下的网络拓扑探测方法 | |
WO2005020525A1 (ja) | プロトコル高速化装置 | |
JP4406660B2 (ja) | パケット追跡方法およびパケット追跡プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050222 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060920 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061010 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3934030 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100330 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110330 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110330 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120330 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120330 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130330 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130330 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140330 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |