JP2004164107A - Unauthorized access monitoring system - Google Patents
Unauthorized access monitoring system Download PDFInfo
- Publication number
- JP2004164107A JP2004164107A JP2002327154A JP2002327154A JP2004164107A JP 2004164107 A JP2004164107 A JP 2004164107A JP 2002327154 A JP2002327154 A JP 2002327154A JP 2002327154 A JP2002327154 A JP 2002327154A JP 2004164107 A JP2004164107 A JP 2004164107A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unauthorized access
- syn
- ack
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、キャンパスネットワーク、学術ネットワーク、あるいはISP(Internet Service Provider)のような管理対象のIPネットワーク内に収容されたサーバへの不正アクセスを検知するシステムに係り、特に、分散サービス不能攻撃(DDoS attack. DDoS:Distributed − denial of service)の検知に好適な不正アクセス検知システムに関する。
【0002】
【従来の技術】
近年、複数のコンピュータから攻撃対象のコンピュータへパケットを一斉に送信するDDoS攻撃が問題となっている。DDoS攻撃では、侵入者のコンピュータから第3者のコンピュータに対してエージェントと呼ばれるソフトウエアが通信網を介してインストールされ、このエージェントをリモート操作することにより攻撃対象のコンピュータに大量のパケットを短時間で送信する。この結果、攻撃対象のコンピュータではシステムリソースが費やされてしまい、TCPの通信処理やTCP上のサービス処理を行うことができなくなってダウンする。
【0003】
このようなDDoS攻撃からコンピュータを保護すべく、DDoSトレースバック機能や各種の侵入検出装置(IDS:Intrusion Detection System)をルータへ組み込む手法が研究されている。従来のIDSは、たとえばルータが流入経路上のパケットを取得し、当該パケットのヘッダに記述されている宛先アドレスおよび送信元アドレスを抽出する。そして、1つの送信元から1つの宛先へ大量のパケットが短時間のうちに送信されていれば、これを不正アクセスとして認識する。
【0004】
しかしながら、ルータにIDSを組み込んだとしても、1回線にギガオーダのトラヒックが集中する現状下では、パケットの取りこぼしなどが発生してしまい、うまく機能しないことが指摘されている。なお、IDSの高速化に関しては、高速サーバの導入やファームウエア、ソフトウエアの改良が進められているが、いずれもパケットの取りこぼし問題を完全に解決することはできない。また、多数のルータへトレースバック機能を短期間で組み込むことも困難であるため、トレースバック機能による監視機能を近い将来に実現することは難しい。
【0005】
このような問題点を解決するために、特開2002−252654号公報では、内部ネットワークと外部ネットワークとの間でパケットを中継するルータに侵入検知機能を付加し、外部ネットワークから流入するパケットを監視する。そして、正規のアクセスであれば、被呼側のコンピュータに対して発呼側のコンピュータから同一のセション識別子を有する複数のパケットが送信されるのに対して、不正アクセス時には、複数の異なるセション識別子をそれぞれ有する複数のパケットが被呼側のコンピュータに送信されることに着目し、このような不正アクセス数が所定の閾値を超えた時に、これを不正攻撃と判別している。
【0006】
【発明が解決しようとする課題】
上記した従来の侵入検知システムでは、パケットの監視が、外部ネットワークから内部ネットワークへの流入経路上で行われる。このために、DDoS攻撃を検知できたとしても、そのときには既に流入経路がDDoSパケットで占有されてしまっており、正規アクセスが遮断された状態となってしまう。
【0007】
一方、このような技術課題を解決するためには、多数の侵入検知システムをネットワーク上に分散配置する構成も考えられる。しかしながら、DDoS攻撃のように複数の経路から一つのコンピュータを狙ってアクセスする攻撃手法では、経路単位で見るとアクセス量が閾値を超えない場合がある。このために、侵入検知システムを分散配置してしまうと不正アクセスが見逃されてしまう可能性を否定できない。
【0008】
本発明の目的は、上記した従来技術の課題を解決し、DDoS攻撃を素早く、かつ確実に検知できる不正アクセス監視システムを提供することにある。
【0009】
【課題を解決するための手段】
上記した目的を達成するために、本発明は、バックボーンネットワークと、少なくとも1つの端末装置を収容し、前記バックボーンネットワークに接続されたLANとを含み、前記LANに収容された端末装置への不正アクセスを監視する不正アクセス監視システムにおいて、外部ネットワークからバックボーンネットワークへの流入経路のそれぞれに設けられ、各流入経路を流れるパケットを監視して不正アクセス候補を解析する解析端末と、前記各解析端末から解析結果を収集して集計し、不正パケットを検知する管理端末とを含むことを特徴とする。
【0010】
DDoS攻撃のように、分散された多数のコンピュータに攻撃プログラムを仕掛けて踏み台にし、その踏み台とした多数のコンピュータから標的のコンピュータへ大量のパケットを同時に送信する攻撃では、不正アクセスが複数の経路を経て標的のコンピュータに到達する。このため、単に各経路に監視システムを設けただけでは、アクセス数が不正アクセスと判断する閾値を超えないために不正アクセスが見逃されやすい。これに対して、上記した構成によれば、各経路で収集された結果が管理端末で集計されるので、不正アクセスを漏らさずに検知できるようになる。
【0011】
【発明の実施の形態】
以下、図面を参照して本発明の好ましい実施の形態について詳細に説明する。図1は、本発明の一実施形態である不正アクセス監視システムが導入されたコンピュータネットワークの全体構成を概念的に示した図である。
【0012】
図1において、バックボーンネットワーク11およびローカルエリアネットワーク(LAN)12は、同一のISPを管理主体とする広帯域ネットワーク1に所属し、LAN12にはDDoS攻撃から保護すべきコンピュータ121〜123が収容されている。前記コンピュータ121〜123は、例えばパーソナルコンピュータ、メールサーバ、ウェブサーバあるいはFTP(File Transfer Protcol)サーバなどである。
【0013】
前記バックボーンネットワーク11には、エッジルータR1〜R3を介して、管理主体の異なる他のバックボーンネットワークやインターネットなどの外部ネットワークN1〜N4が接続されている。また、エッジルータR4を介して前記内部ネットワークとしてのLAN12が接続されている。前記バックボーンネットワーク11およびLAN12に接続される各コンピュータは、TCP/IP(Transmission Control Protcol / Internet Protcol)を通信プロトコルとしてIPパケットを送受信する機能を有している。
【0014】
前記各エッジルータR1〜R3への流入経路には、当該流入経路を経由してバックボーンネットワーク11内に流入するパケットを解析し、不正アクセスの可能性のあるパケットを不正アクセス候補として抽出する解析端末13(131〜133)が設置されている。各解析端末13により抽出された不正アクセス候補は、管理端末14により定期的に収集され、ここで集計される。なお、本実施形態では、DDoS攻撃のためのエージェントをインストールされた多数のコンピュータ(DDoSアタッカー)15が各外部ネットワークN1〜N4に接続されているものとする。
【0015】
前記各解析端末13および管理端末14は、トランスポート層の通信プロトコルであるTCPに従ってセションを確立する際に、発呼側および被呼側のコンピュータ間で実行される3ウェイハンドシェイクが正常に終了するか否かに基づいて、そのアクセスが不正アクセスであるか否かを判断する。さらに具体的に言えば、発呼側のコンピュータから送信されたSYN用IPパケットを受信した被呼側コンピュータは、これに応答してSYN/ACK用IPパケットを返信する。このSYN/ACK用IPパケットを受信した発呼側コンピュータは、セッションを確立すべく通信許可パケットとしてのACK用IPパケットを被呼側のコンピュータに対して返信する。
【0016】
これに対して、不正アクセス時には、発呼側コンピュータにインストールされているエージェントは、セションを確立しようとすることなく一方的にSYN用IPパケットを被呼側コンピュータに対して送信し続ける。そこで、本実施形態では、SYN用IPパケットを検知した際、これに対応したACK用IPパケットが発呼側コンピュータから返信されていれば正規のアクセスと認定し、ACK用IPパケットが返信されなければ、これを不正アクセスと認定するようにしている。
【0017】
図2は、前記各解析端末13の構成を示した機能ブロック図である。SYN用IPパケット抽出部161は、流入経路上でSYN用IPパケットをフィルタリングして抽出する。ACK用IPパケット抽出部162は、流入経路上でACK用IPパケットをフィルタリングして抽出する。エントリ管理部163は、SYN用IPパケットが検知されると、そのヘッダ情報を抽出してデータテーブル165にエントリとして登録する一方、ACK用IPパケットが検知されると、これに対応したエントリを前記データテーブル165が抹消する。不正アクセス候補抽出部164は、SYN用IPパケットの到着時刻から所定時間が経過してもデータテーブル165に残っているエントリを不正アクセス候補として抽出する。
【0018】
上記した解析端末13の各機能は、予め解析端末13に収容されているハードウエアまたはソフトウエアにより実現されるものであっても良いし、あるいは管理端末14からダウンロードされるプログラムにより実現されるものであっても良い。本実施形態では、管理端末14からダウンロードされる解析プログラムにより実現されるものとして説明を続ける。
【0019】
図3は、前記管理端末14の構成を示した機能ブロック図である。プログラム導入部174は、パケットのヘッダ情報に基づいて当該パケットが不正アクセスによるものであるか否かを解析する解析プログラムを各解析端末13へダウンロードする。データ収集部171は、各解析端末13をポーリングして不正アクセス候補のエントリを定期的に収集する。データ集計部172は、各解析端末13から収集した不正アクセス候補のエントリを集計する。不正アクセス検知部173は、宛先アドレスおよび送信元アドレスのいずれもが一致するエントリの総数Nを前記宛先アドレスと送信元アドレスとの組み合わせ毎にカウントし、総数Nが不正アクセス判定閾値Nrefを超えた組み合わせのエントリを検知して不正アクセスと認定する。
【0020】
次いで、フローチャートを参照して本実施形態の動作を詳細に説明する。図4は、前記管理端末14の動作を示したフローチャートであり、ステップS1では、前記プログラム導入部174によって前記解析プログラムが各エッジルータR1〜R3へダウンロード[図1の▲1▼]される。ステップS2では、ポーリングタイミングであるか否かが判定される。本実施形態ではポーリングタイミングが10分に設定されており、前回のポーリングタイミングから10分が経過するまでは待機状態となる。
【0021】
図5は、前記解析プログラムをダウンロードされた各エッジルータR1〜R3が、当該解析プログラムに基づいて実行するパケット解析処理の手順を示したフローチャートである。
【0022】
ステップS21では、前記SYN用IPパケット抽出部161により流入経路上でSYN用IPパケットがフィルタリングされる。SYN用IPパケットが検知されると、ステップS22において、そのヘッダに登録されている送信元アドレス、宛先アドレス、シーケンス番号などのヘッダ情報が、その到着時刻と共に、前記エントリ管理部163によりデータテーブル165へエントリとして登録される。
【0023】
ステップS25では、このSYN用IPパケットに応答して被呼側のコンピュータから返信されるであろうSYN/ACK用IPパケットに対して発呼側のコンピュータから返信されるべきACK用IPパケットが、前記ACK用IPパケット抽出部162により流入経路上でフィルタリングされる。このフィルタリングは、ステップS26においてタイマがタイムアウトするまでの所定時間t1(本実施形態では、1秒ないし1分程度)だけ行われ、この所定時間t1内にACK用IPパケットが検知されれば、ステップS27において、前記エントリ管理部163により当該エントリが前記データテーブル165から抹消される。
【0024】
これに対して、前記所定時間t1内にACK用IPパケットが検知されなければ、当該エントリは前記データテーブル165に残ったままとなる。ステップS28では、前記管理端末14からのポーリングの有無が判定され、ポーリングが検知されるまでは、上記したステップS21〜S27の各処理が繰り返される。
【0025】
図4へ戻り、前記管理端末14では、ステップS2においてポーリングタイミングと判定されると、ステップS3では、前記データ収集部171が各解析端末131〜133をポーリングして、それぞれのデータテーブル165に格納されているエントリを収集する。
【0026】
図5へ戻り、各解析端末131〜133は、ステップS28において前記管理端末14からのポーリングを検知すると、ステップS29では、データテーブル165に残っているエントリの中から、SYN用IPパケットの到着時刻と現在時刻との差分の小さいエントリ、すなわちSYN用IPパケットの到着時刻からの経過時間が短く、今後、ACK用IPパケットを検知できる可能性のあるアクセスに関するエントリを除き、他のエントリが不正アクセス候補として、前記不正アクセス候補抽出部164により抽出される。ステップS30では、前記不正アクセス候補のエントリが管理端末14へ転送[図1の▲2▼]される。ステップS31では、前記転送された不正アクセス候補のエントリが、前記エントリ管理部163によってデータテーブル165から抹消される。
【0027】
図4へ戻り、前記管理端末14は、ステップS3において各解析端末131〜133から不正アクセス候補のエントリを収集すると、ステップS4では、前記データ集計部172がこれを集計し、送信元アドレスおよび宛先アドレスのいずれもが一致するアクセスのエントリ数Nを、送信元アドレスと宛先アドレスとの組み合わせ毎にカウントする。
【0028】
ステップS5では、各組み合わせ毎のエントリ数Nが前記不正アクセス検知部173により不正アクセス判定閾値Nrefと比較され、N≧Nrefを満足するエントリが、ステップS6において不正アクセスと認定される。
【0029】
このように、本実施形態ではTCPに基づくセション確立手順を正常に終了できなかったアクセスが各エッジルータにおいて不正アクセス候補として抽出されると共に、これを各エッジルータから収集して送信元アドレスと宛先アドレスとの組み合わせごとに集計し、総数Nが多いアクセスを最終的に不正アクセスと認定するので、エッジルータ単位ではアクセス数が少ないものの複数エッジルータを介して流入するために総数としては大量となるDDoS攻撃を確実に検知できるようになる。
【0030】
ところで、上記した第1実施形態では、SYN用IPパケットを受信した被呼側のコンピュータがSYN/ACK用IPパケットを返信することを前提にして、このSYN/ACK用IPパケットに対して発呼側から返信されるべきACK用IPパケットの有無に基づいて、このアクセスが不正であるか否かを判定している。
【0031】
しかしながら、被呼側のコンピュータが何らかの理由でSYN用IPパケットに対してSYN/ACK用IPパケットを返信できなかった場合には、発呼側のコンピュータが正規のアクセスを望んでいてもACK用IPパケットを返信できないために、不正アクセスとの区別が付かなくなる。
【0032】
そこで、次に説明する本発明の第2実施形態では、SYN用IPパケットに対する被呼側コンピュータからのSYN/ACK用IPパケットの返信の有無も検知し、ACK用IPパケットを検知できなかった場合でも、これが不正アクセスに起因したものなのか、あるいは被呼側コンピュータの応答不能に起因したものなのかを区別できるようにしている。
【0033】
図6は、本発明の第2実施形態における解析端末13の機能ブロック図であり、前記と同一の符号は同一または同等部分を表している。
【0034】
本実施形態では、前記SYN用IPパケット抽出部161で抽出されたSYN用IPパケットに応答して被呼側のコンピュータから返信されるSYN/ACK用IPパケットを抽出するSYN/ACK用IPパケット抽出部166を更に設けた点に特徴がある。
【0035】
図7は、本実施形態における解析端末13の動作を示したフローチャートであり、前記と同一の処理には同一のステップ番号を付している。
【0036】
ステップS21においてSYN用IPパケットが検知され、ステップS22において、そのエントリがデータテーブルへ登録されると、ステップS23では、被呼側のコンピュータから発呼側のコンピュータへ返信されるべきSYN/ACK用IPパケットが、流出経路上で前記SYN/ACK用IPパケット抽出部166によりフィルタリングされる。
【0037】
このフィルタリングも、ステップS24においてタイマがタイムアウトするまでの所定時間t2だけ行われ、この所定時間t2内にSYN/ACK用IPパケットが検知されれば、ステップS25へ進んで前記第1実施形態と同様の処理が引き続き実行される。これに対して、前記所定時間t2内にSYN/ACK用IPパケットが検知されなければステップS27へ進み、当該エントリが前記データテーブル165から抹消される。
【0038】
このように、本発明の第2実施形態によれば、被呼側のコンピュータがSYN用IPパケットに対して、何らかの理由でSYN/ACK用IPパケットを返信できなかった場合にも、当該エントリがデータテーブル165から抹消されるので、被呼側コンピュータが応答不能のときに送出されたSYN用IPパケットが不正アクセスと誤認定されることを防止できる。
【0039】
【発明の効果】
本発明によれば、以下のような効果が達成される。
(1)TCPに基づくセション確立手順を正常に終了できなかったアクセスを各エッジルータにおいて不正アクセス候補として抽出すると共に、これを各エッジルータから収集して送信元アドレスと宛先アドレスとの組み合わせごとに集計し、総数Nが多いアクセスを最終的に不正アクセスと認定するので、エッジルータ単位ではアクセス数が少ないものの複数のエッジルータを介して流入するために総数としては大量となるDDoS攻撃を確実に検知できるようになる。
(2)被呼側のコンピュータが何らかの理由でSYN用IPパケットに対してSYN/ACK用IPパケットを返信できなかった場合にも、当該エントリがデータテーブルから抹消されるので、被呼側コンピュータが応答不能のときに送出されたSYN用IPパケットが不正アクセスと誤認定されることを防止できる。
【図面の簡単な説明】
【図1】本発明の一実施形態である不正アクセス監視システムが導入されたコンピュータネットワークの全体構成を概念的に示した図である。
【図2】図1に示した解析端末の機能ブロック図である。
【図3】図1に示した管理端末の機能ブロック図である。
【図4】管理端末の動作を示したフローチャートである。
【図5】解析端末の動作を示したフローチャートである。
【図6】解析端末の第2実施形態の機能ブロック図である。
【図7】本発明の第2実施形態における解析端末の動作を示したフローチャートである。
【符号の説明】11…バックボーンネットワーク,12…ローカルエリアネットワーク,13…解析端末,14…管理端末,121〜123…コンピュータ,R1〜R4…エッジルータ,N1〜N3…外部ネットワーク[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a system for detecting unauthorized access to a server housed in a managed IP network such as a campus network, an academic network, or an ISP (Internet Service Provider), and more particularly to a distributed denial of service (DDoS) attack. Attack.DDoS: An unauthorized access detection system suitable for detecting Distributed-denial of service.
[0002]
[Prior art]
In recent years, a DDoS attack in which packets are simultaneously transmitted from a plurality of computers to an attack target computer has become a problem. In a DDoS attack, software called an agent is installed from a computer of an intruder to a computer of a third party via a communication network, and by remotely operating this agent, a large number of packets are transmitted to a computer to be attacked in a short time. To send. As a result, the computer to be attacked consumes system resources and cannot perform TCP communication processing or TCP service processing, resulting in a downtime.
[0003]
In order to protect a computer from such a DDoS attack, a method of incorporating a DDoS traceback function and various intrusion detection systems (IDS: Intrusion Detection System) into a router has been studied. In a conventional IDS, for example, a router acquires a packet on an inflow route, and extracts a destination address and a source address described in a header of the packet. If a large number of packets are transmitted from one transmission source to one destination in a short time, this is recognized as an unauthorized access.
[0004]
However, it has been pointed out that even if an IDS is incorporated in a router, packets may be lost under the current situation in which giga-order traffic is concentrated on one line, and the router does not function well. In order to speed up the IDS, introduction of a high-speed server and improvement of firmware and software have been promoted, but none of them can completely solve the problem of missing packets. Also, it is difficult to incorporate a traceback function into a large number of routers in a short period of time, so it is difficult to realize a monitoring function using the traceback function in the near future.
[0005]
In order to solve such a problem, Japanese Patent Application Laid-Open No. 2002-252654 discloses an intrusion detection function added to a router that relays packets between an internal network and an external network, and monitors packets flowing from the external network. I do. In the case of authorized access, a plurality of packets having the same session identifier are transmitted from the calling computer to the called computer, whereas in the case of unauthorized access, a plurality of different session identifiers are transmitted. Paying attention to transmitting a plurality of packets each having the following to the called computer, when such an unauthorized access count exceeds a predetermined threshold value, it is determined that this is an unauthorized attack.
[0006]
[Problems to be solved by the invention]
In the above-described conventional intrusion detection system, monitoring of a packet is performed on an inflow path from an external network to an internal network. For this reason, even if a DDoS attack can be detected, at that time, the inflow route is already occupied by the DDoS packet, and normal access is blocked.
[0007]
On the other hand, in order to solve such a technical problem, a configuration in which many intrusion detection systems are distributed and arranged on a network can be considered. However, in an attack technique such as a DDoS attack in which a single computer is accessed from a plurality of routes, there is a case where the access amount does not exceed the threshold when viewed in units of routes. For this reason, if the intrusion detection system is dispersedly arranged, it is undeniable that unauthorized access may be overlooked.
[0008]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems of the prior art and to provide an unauthorized access monitoring system capable of quickly and reliably detecting a DDoS attack.
[0009]
[Means for Solving the Problems]
In order to achieve the above object, the present invention includes a backbone network, a LAN accommodating at least one terminal device, and a LAN connected to the backbone network, and unauthorized access to a terminal device accommodated in the LAN. An unauthorized access monitoring system for monitoring an unauthorized access monitoring system that monitors a packet flowing through each inflow route and analyzes an unauthorized access candidate; and an analysis terminal for analyzing an unauthorized access candidate. And a management terminal that collects and aggregates the results, and detects unauthorized packets.
[0010]
In an attack, such as a DDoS attack, in which an attack program is mounted on a large number of distributed computers to form a stepping stone, and a large number of packets are simultaneously transmitted to the target computer from the large number of computers used as the steppingstone, unauthorized access takes multiple routes. Through the target computer. For this reason, if a monitoring system is simply provided for each route, the number of accesses does not exceed the threshold value for determining unauthorized access, so that unauthorized access is likely to be overlooked. On the other hand, according to the configuration described above, the results collected on each route are totaled by the management terminal, so that unauthorized access can be detected without leaking.
[0011]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram conceptually showing the entire configuration of a computer network in which an unauthorized access monitoring system according to one embodiment of the present invention is introduced.
[0012]
In FIG. 1, a backbone network 11 and a local area network (LAN) 12 belong to a
[0013]
The backbone network 11 is connected to other backbone networks having different management entities or external networks N1 to N4 such as the Internet via edge routers R1 to R3. The
[0014]
An analysis terminal that analyzes a packet flowing into the backbone network 11 via the inflow route and extracts a packet having a possibility of unauthorized access as an unauthorized access candidate is provided on an inflow route to each of the edge routers R1 to R3. 13 (131 to 133) are provided. Unauthorized access candidates extracted by each
[0015]
When the
[0016]
On the other hand, at the time of unauthorized access, the agent installed in the calling computer unilaterally continues to transmit the SYN IP packet to the called computer without trying to establish a session. Therefore, in the present embodiment, when a SYN IP packet is detected, if an ACK IP packet corresponding to the SYN IP packet is returned from the calling computer, it is determined that the access is a legitimate access, and the ACK IP packet must be returned. If this is the case, it is determined that this is unauthorized access.
[0017]
FIG. 2 is a functional block diagram showing the configuration of each of the
[0018]
Each function of the
[0019]
FIG. 3 is a functional block diagram showing the configuration of the management terminal 14. The
[0020]
Next, the operation of the present embodiment will be described in detail with reference to a flowchart. FIG. 4 is a flowchart showing the operation of the management terminal 14. In step S1, the analysis program is downloaded to each of the edge routers R1 to R3 by the program introduction unit 174 ([1] in FIG. 1). In step S2, it is determined whether it is a polling timing. In this embodiment, the polling timing is set to 10 minutes, and the apparatus is in a standby state until 10 minutes have elapsed from the previous polling timing.
[0021]
FIG. 5 is a flowchart showing a procedure of a packet analysis process executed based on the analysis program by each of the edge routers R1 to R3 having downloaded the analysis program.
[0022]
In step S21, the SYN IP
[0023]
In step S25, the ACK IP packet to be returned from the calling computer in response to the SYN / ACK IP packet that will be returned from the called computer in response to the SYN IP packet is: The ACK IP
[0024]
On the other hand, if no ACK IP packet is detected within the predetermined time t1, the entry remains in the data table 165. In step S28, the presence or absence of polling from the management terminal 14 is determined, and the processes in steps S21 to S27 are repeated until polling is detected.
[0025]
Returning to FIG. 4, in the management terminal 14, when it is determined that the polling timing is reached in
[0026]
Returning to FIG. 5, when the
[0027]
Returning to FIG. 4, when the management terminal 14 collects the entries of the unauthorized access candidates from the
[0028]
In step S5, the number of entries N for each combination is compared with the unauthorized access determination threshold Nref by the unauthorized
[0029]
As described above, in the present embodiment, an access for which the session establishment procedure based on TCP cannot be normally completed is extracted as an unauthorized access candidate at each edge router, and is collected from each edge router to obtain a source address and a destination address. Since the access is counted for each combination with the address and an access having a large total number N is finally determined to be an unauthorized access, although the number of accesses is small per edge router, the number of accesses is large through the flow through a plurality of edge routers. DDoS attacks can be reliably detected.
[0030]
By the way, in the first embodiment described above, on the assumption that the called computer that has received the SYN / ACK IP packet returns an SYN / ACK IP packet, a call is made to this SYN / ACK IP packet. It is determined whether or not this access is unauthorized based on the presence or absence of an ACK IP packet to be returned from the side.
[0031]
However, if the called computer cannot return the SYN / ACK IP packet to the SYN IP packet for some reason, the ACK IP packet may be sent even if the calling computer desires regular access. Since a packet cannot be returned, it cannot be distinguished from unauthorized access.
[0032]
Therefore, in the second embodiment of the present invention described below, the presence / absence of a SYN / ACK IP packet from the called computer in response to the SYN IP packet is also detected, and the ACK IP packet cannot be detected. However, it is possible to distinguish whether this is due to unauthorized access or to the inability of the called computer to respond.
[0033]
FIG. 6 is a functional block diagram of the
[0034]
In this embodiment, the SYN / ACK IP packet extraction for extracting the SYN / ACK IP packet returned from the called computer in response to the SYN IP packet extracted by the SYN IP
[0035]
FIG. 7 is a flowchart showing the operation of the
[0036]
In step S21, the IP packet for SYN is detected. In step S22, when the entry is registered in the data table, in step S23, the SYN / ACK to be returned from the called computer to the calling computer. The IP packet is filtered by the SYN / ACK IP
[0037]
This filtering is also performed for a predetermined time t2 until the timer times out in step S24, and if a SYN / ACK IP packet is detected within the predetermined time t2, the process proceeds to step S25 to perform the same processing as in the first embodiment. Is continuously executed. On the other hand, if no SYN / ACK IP packet is detected within the predetermined time t2, the process proceeds to step S27, and the entry is deleted from the data table 165.
[0038]
As described above, according to the second embodiment of the present invention, even when the called computer cannot return the SYN / ACK IP packet to the SYN IP packet for any reason, the entry is stored in the entry. Since it is deleted from the data table 165, it is possible to prevent the SYN IP packet transmitted when the called computer cannot respond, from being incorrectly recognized as an unauthorized access.
[0039]
【The invention's effect】
According to the present invention, the following effects are achieved.
(1) Each edge router extracts, as an unauthorized access candidate, an access for which the session establishment procedure based on the TCP cannot be normally completed, collects the access from each edge router, and collects the information for each combination of the source address and the destination address. Aggregation and access with a large total number N are finally identified as unauthorized access. Therefore, it is ensured that a DDoS attack in which the number of accesses per edge router is small, but the total number is large due to inflow through a plurality of edge routers is ensured. It can be detected.
(2) Even if the called computer cannot return the SYN / ACK IP packet to the SYN IP packet for some reason, the entry is deleted from the data table. It is possible to prevent the SYN IP packet transmitted when a response cannot be made from being incorrectly recognized as an unauthorized access.
[Brief description of the drawings]
FIG. 1 is a diagram conceptually showing an overall configuration of a computer network in which an unauthorized access monitoring system according to an embodiment of the present invention is introduced.
FIG. 2 is a functional block diagram of the analysis terminal shown in FIG.
FIG. 3 is a functional block diagram of a management terminal shown in FIG.
FIG. 4 is a flowchart showing an operation of the management terminal.
FIG. 5 is a flowchart showing an operation of the analysis terminal.
FIG. 6 is a functional block diagram of a second embodiment of the analysis terminal.
FIG. 7 is a flowchart showing an operation of the analysis terminal according to the second embodiment of the present invention.
[Explanation of Reference Codes] 11 Backbone network, 12 Local area network, 13 Analysis terminal, 14 Management terminal, 121 to 123 Computer, R1 to R4 Edge router, N1 to N3 External network
Claims (5)
外部ネットワークからバックボーンネットワークへの流入経路のそれぞれに設けられ、各流入経路からバックボーンネットワークへ流入するパケットを解析して不正アクセス候補を抽出する複数の解析端末と、
前記各解析端末から解析結果を収集し、その集計結果に基づいて不正アクセスを検知する管理端末とを含むことを特徴とする不正アクセス監視システム。Including a backbone network connected to an external network and a local area network (LAN) containing at least one terminal device and connected to the backbone network, monitoring unauthorized access to terminal devices contained in the LAN Unauthorized access monitoring system,
A plurality of analysis terminals provided at each of the inflow routes from the external network to the backbone network, and analyzing packets flowing into the backbone network from each inflow route to extract unauthorized access candidates;
A management terminal that collects analysis results from the respective analysis terminals and detects unauthorized access based on the totalized results.
前記管理端末は、前記各解析端末から前記不正アクセス候補を収集し、宛先アドレスが前記LANに収容された一の端末装置のアドレスであって、かつ送信元アドレスが同一であるSYN用IPパケットが所定時間内に所定の閾値以上検知されたか否かに基づいて不正アクセスを検知することを特徴とする請求項1に記載の不正アクセス監視システム。The analysis terminal monitors the SYN IP packet and its response in TCP, and extracts an access for which the response procedure could not be completed normally as an unauthorized access candidate,
The management terminal collects the unauthorized access candidates from each of the analysis terminals, and a destination address is an address of one terminal device accommodated in the LAN, and a SYN IP packet having the same source address is transmitted. 2. The unauthorized access monitoring system according to claim 1, wherein an unauthorized access is detected based on whether or not an unauthorized access is detected within a predetermined time period.
TCPにおけるSYN用IPパケットを検知する手段と、
前記SYN用IPパケットに応答したSYN/ACK用IPパケットに応答したACK用IPパケットを検知する手段と、
前記ACK用IPパケットを検知できないときに、前記SYN用IPパケットによるアクセスを不正アクセス候補として抽出する手段とを含むことを特徴とする請求項2に記載の不正アクセス監視システム。The analysis terminal,
Means for detecting a SYN IP packet in TCP;
Means for detecting an ACK IP packet in response to the SYN / ACK IP packet in response to the SYN IP packet;
3. The unauthorized access monitoring system according to claim 2, further comprising: means for extracting an access by the SYN IP packet as an unauthorized access candidate when the ACK IP packet cannot be detected.
TCPにおけるSYN用IPパケットを検知する手段と、
前記SYN用IPパケットに応答したSYN/ACK用IPパケットを検知する手段と、
前記SYN/ACK用IPパケットに応答したACK用IPパケットを検知する手段と、
前記SYN/ACK用IPパケットが検知されているにもかかわらず前記ACK用IPパケットを検知できないときに、前記SYN用IPパケットによるアクセスを不正アクセス候補として抽出する手段とを含むことを特徴とする請求項2に記載の不正アクセス監視システム。The analysis terminal,
Means for detecting a SYN IP packet in TCP;
Means for detecting a SYN / ACK IP packet in response to the SYN IP packet;
Means for detecting an ACK IP packet in response to the SYN / ACK IP packet;
Means for extracting an access by the SYN IP packet as an unauthorized access candidate when the ACK IP packet cannot be detected even though the SYN / ACK IP packet has been detected. The unauthorized access monitoring system according to claim 2.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002327154A JP2004164107A (en) | 2002-11-11 | 2002-11-11 | Unauthorized access monitoring system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002327154A JP2004164107A (en) | 2002-11-11 | 2002-11-11 | Unauthorized access monitoring system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004164107A true JP2004164107A (en) | 2004-06-10 |
Family
ID=32805885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002327154A Pending JP2004164107A (en) | 2002-11-11 | 2002-11-11 | Unauthorized access monitoring system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004164107A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006054652A (en) * | 2004-08-11 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | Communication network traffic analyzer and system thereof, and analyzing method |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
| JP2006319982A (en) * | 2005-05-10 | 2006-11-24 | At & T Corp | Worm-specifying and non-activating method and apparatus in communications network |
| CN100446505C (en) * | 2005-06-06 | 2008-12-24 | 华为技术有限公司 | Realization method for improving backbone network security |
| JP2009218825A (en) * | 2008-03-10 | 2009-09-24 | Kddi Corp | Network attack detection device and defense device |
| JP2010537525A (en) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | Method for detecting attack on multimedia system and multimedia system having attack detection function |
| CN101924764A (en) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | Large-scale DDoS (Distributed Denial of Service) attack defense system and method based on two-level linkage mechanism |
| JP2012169731A (en) * | 2011-02-10 | 2012-09-06 | Yokogawa Electric Corp | Unauthorized packet extraction device |
| JP2013197864A (en) * | 2012-03-19 | 2013-09-30 | Fujitsu Ltd | Transmission source address false impersonation determination system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
| JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
| JP2002342279A (en) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | Filtering device, filtering method and program for making computer execute the method |
-
2002
- 2002-11-11 JP JP2002327154A patent/JP2004164107A/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
| JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
| JP2002342279A (en) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | Filtering device, filtering method and program for making computer execute the method |
Non-Patent Citations (3)
| Title |
|---|
| "「週平均で4000件」と相次ぐDDoS攻撃に対処", 日経インターネットテクノロジー, vol. 2001年7月号(第48号), CSND200100620001, 22 June 2001 (2001-06-22), JP, pages 11 - 13, ISSN: 0000869118 * |
| "「週平均で4000件」と相次ぐDDoS攻撃に対処", 日経インターネットテクノロジー, vol. 2001年7月号(第48号), JPNX007009534, 22 June 2001 (2001-06-22), JP, pages 11 - 13, ISSN: 0000823094 * |
| 岡田浩一,富士 仁: "Dos攻撃防止のためのバックボーンネットワーク構築法", 電子情報通信学会2001年総合大会講演論文集, vol. 通信2 B−7−14, CSNG200100014001, 7 March 2001 (2001-03-07), JP, pages 147, ISSN: 0000823095 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006054652A (en) * | 2004-08-11 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | Communication network traffic analyzer and system thereof, and analyzing method |
| JP2006319982A (en) * | 2005-05-10 | 2006-11-24 | At & T Corp | Worm-specifying and non-activating method and apparatus in communications network |
| CN100446505C (en) * | 2005-06-06 | 2008-12-24 | 华为技术有限公司 | Realization method for improving backbone network security |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
| JP2010537525A (en) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | Method for detecting attack on multimedia system and multimedia system having attack detection function |
| US9032515B2 (en) | 2007-08-21 | 2015-05-12 | Nec Europe Ltd. | Method for detecting attacks to multimedia systems and multimedia system with attack detection functionality |
| JP2009218825A (en) * | 2008-03-10 | 2009-09-24 | Kddi Corp | Network attack detection device and defense device |
| CN101924764A (en) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | Large-scale DDoS (Distributed Denial of Service) attack defense system and method based on two-level linkage mechanism |
| JP2012169731A (en) * | 2011-02-10 | 2012-09-06 | Yokogawa Electric Corp | Unauthorized packet extraction device |
| JP2013197864A (en) * | 2012-03-19 | 2013-09-30 | Fujitsu Ltd | Transmission source address false impersonation determination system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
| JP3723076B2 (en) | IP communication network system having illegal intrusion prevention function | |
| US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
| US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| RU2480937C2 (en) | System and method of reducing false responses when detecting network attack | |
| JP2006352274A (en) | Frame transfer controller, refusal of service attack defense unit and system | |
| KR20060116741A (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| KR20080028381A (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
| Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
| JP2004302538A (en) | Network security system and network security management method | |
| JP4259183B2 (en) | Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network | |
| JP2011151514A (en) | Traffic volume monitoring system | |
| JP2004164107A (en) | Unauthorized access monitoring system | |
| JP2004328307A (en) | Attack defense system, attack defense control server, and attack defense method | |
| US20020133717A1 (en) | Physical switched network security | |
| JP2006191433A (en) | Step packet approaching repeater specifying device | |
| JP2006100874A (en) | Defense method against application type denial of service attack, and edge router | |
| CN100380336C (en) | Protecting against malicious traffic | |
| JP2004248185A (en) | System for protecting network-based distributed denial of service attack and communication device | |
| US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
| JP4641848B2 (en) | Unauthorized access search method and apparatus | |
| KR20060130892A (en) | Ddos detection and packet filtering scheme | |
| JP2003333092A (en) | Network system, method of tracing attack packet and method of preventing attack packet | |
| Chen | Aegis: An active-network-powered defense mechanism against ddos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040922 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070228 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070704 |