JP2005101854A - パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム - Google Patents

パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム Download PDF

Info

Publication number
JP2005101854A
JP2005101854A JP2003332242A JP2003332242A JP2005101854A JP 2005101854 A JP2005101854 A JP 2005101854A JP 2003332242 A JP2003332242 A JP 2003332242A JP 2003332242 A JP2003332242 A JP 2003332242A JP 2005101854 A JP2005101854 A JP 2005101854A
Authority
JP
Japan
Prior art keywords
packet
passing
value
tracking
branches
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003332242A
Other languages
English (en)
Inventor
Yuji Izumi
勇治 和泉
Yasushi Kato
寧 加藤
Yoshiaki Nemoto
義章 根元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Cosmos Research Institute
Original Assignee
Intelligent Cosmos Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Cosmos Research Institute filed Critical Intelligent Cosmos Research Institute
Priority to JP2003332242A priority Critical patent/JP2005101854A/ja
Publication of JP2005101854A publication Critical patent/JP2005101854A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク中を通過する特定パケットの通過経路の特定を簡易な構成で、かつ迅速に行うことができる技術を実現すること。
【解決手段】パケット追跡装置3は、ネットワーク異常の原因となるパケットの各ルータ2内における通過経路を追跡するためのものである。具体的には、パケット追跡装置3は、図1に示すように、ルータ2から派生する枝1ごとに配置された異常検出部5と、異常検出部5からの出力結果に基づいて、各枝1における異常状態の継続時間を計測する時間計測部6とが枝1ごとに設けられている。また、パケット追跡装置3は、ルータ2から派生する枝1に対応した複数の時間計測部6と接続された比較部7と、比較部7と接続された経路特定部8とを備える。
【選択図】 図1

Description

本発明は、ネットワーク上に複数配置された分岐手段におけるパケットの通過経路を追跡する技術に関するものである。
従来、パーソナルコンピュータ等の端末装置の普及に伴って、これら端末装置間を接続するネットワークが発展している。ネットワークの例としては、同一組織内の端末装置間を接続したイントラネットや、組織外との情報交換の利便性を求めて世界中に張り巡らされたインターネット等が知られている。かかるネットワークを用いて自己の端末装置から他の端末装置にアクセスすることが可能となり、自己の端末装置を用いて他の端末装置から必要な情報等を取り出せる等の利便性を有する。
一方で、インターネット等のネットワークの発達は、他者から自己の端末に対するアクセスが可能なことを意味する。このため、例えば、悪意を有する他者から自己の端末に不正なアクセスを仕掛けられることによって端末装置の破壊等が行われることとなり、不正アクセスを防止する技術の開発が現在行われている。不正アクセスの防止に関する技術については多種多様のものが存在するが、例えば、不正アクセスに関与する不審なパケットを追跡することによって、攻撃等の不正アクセスが行われる経路を追跡することで不正アクセス元の端末装置を特定するパケット追跡システムが提案されている。以下、従来のパケット追跡システムについて簡単に説明する。
従来のパケット追跡システムは、例えば、ルータ等の分岐点ごとであらかじめ通過パケットの状態情報を記憶し、不正アクセス等が生じた後に各分岐点において不正アクセスに用いられたパケットと等しいもしくは類似した状態情報を有するパケットが通過したか否かの検索を行うことにより、不正アクセスに用いられたパケットの送信元を特定するものが提案されている(例えば、特許文献1参照。)。
この他にも、不正アクセスに用いられるパケット内に含まれるIPアドレスを検索キーとしてパケットを追跡するシステムや、不正アクセスに用いられる特徴的な文字列を抽出し、かかる文字列を含むパケットを検索キーとして追跡するシステムなどが提案されている。また、通過パケットに対して識別子等の情報を新たに書き込むことによって、書き込んだ識別子を検索キーとして追跡するシステムも提案されている。
特開平8−111682号公報
しかしながら、上記した従来のパケット追跡システムでは、ネットワーク内を通過するパケットのすべてについて不正の有無に関わらず、あらかじめ状態情報の抽出等の処理を行う必要性が生じる。従って、近年の通信容量の急激な増加を鑑みると、各分岐点ごとにこのような処理を行うことには、処理速度および記憶すべき情報量の点で問題を有する。また、従来のパケット追跡システムは、いずれも事前にパケットの内容を精査する必要があることから、プライバシー等の問題も生じる。
また、IPアドレスを検索キーとした場合、不正アクセスに用いられるパケット内に記録されたローカルIPアドレスが虚偽のものである場合には、追跡が不可能となる。さらに、NAT(Network Address Translation)やIPマスカレード等、ローカルネットワークとインターネット等のグローバルネットワークへアクセス可能とする技術を採用した場合には、IPアドレスは自動的に書き換えられることとなることから、かかるパケット追跡システムは全く用をなさないこととなる。
さらに、従来のパケット追跡システムは、例えばDos攻撃のように、個々のパケットは正常なものであるにも関わらず、膨大な量のパケットを特定の端末装置に送りつけるような不正アクセスへの対処が困難であるという問題も有する。すなわち、上記した従来のパケット追跡システムでは、不正アクセスに用いられるパケットが、通常のパケットと区別しうる特有の内容を有することを前提としている。これに対して、Dos攻撃では、攻撃に用いられる個々のパケットは通常のSYNパケット等であることから、ある端末装置に対するDos攻撃が検出された場合であっても、ネットワーク中の各分岐点においては攻撃と無関係のSYNパケットも多数通過していることから、攻撃を仕掛けた端末装置を特定することはきわめて困難である。
本発明は、上記に鑑みてなされたものであって、ネットワーク中を通過する特定パケットの通過経路の特定を簡易な構成で、かつ迅速に行うことができる技術を実現することを目的としている。
上述した課題を解決し、目的を達成するために、請求項1にかかるパケット追跡装置は、ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡装置であって、通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出手段と、前記異常検出手段によって検出された前記通過パケット特性の継続時間を計測する計時手段と、各枝における通過パケット特性の継続時間の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定手段とを備えたことを特徴とする。
この請求項1の発明によれば、追跡対象たる特定パケットに起因した通過パケット特性の変動が継続する継続時間を分岐手段から派生した枝ごとに計測し、各枝における継続時間を対比した結果に基づいて特定パケットの通過経路を特定することとしたため、ルータ等の分岐手段における特定パケットの通過経路を簡易な構成によって迅速に判定することが可能である。
また、請求項2にかかるパケット追跡装置は、上記の発明において、前記経路特定手段は、通過パケット特性の継続時間の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする。
また、請求項3にかかるパケット追跡装置は、ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡装置であって、通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出手段と、前記異常検出手段によって検出された前記通過パケット特性の発生時刻を計測する計時手段と、各枝における通過パケット特性の発生時刻の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定手段とを備えたことを特徴とする。
また、請求項4にかかるパケット追跡装置は、上記の発明において、前記経路特定手段は、通過パケット特性の発生時刻の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする。
また、請求項5にかかるパケット追跡装置は、上記の発明において、前記パケット特性検出手段は、対応する枝を通過するパケット数の実測値を計測するパケット数計測手段と、前記パケット数計測手段によるパケット数の計測時におけるパケットの通過数の予測値を導出する予測値導出手段と、前記パケット数計測手段によって計測された実測値と、前記予測値導出手段によって導出された予測値との対比結果に基づいて前記通過パケット特性の発生および終了を検出するパケット特性判定手段とを備えたことを特徴とする。
また、請求項6にかかるパケット追跡装置は、上記の発明において、前記パケット特性判定手段は、前記実測値と前記予測値との差分値が所定の許容誤差範囲外の値となる場合に前記通過パケット特性の発生または終了を検出することを特徴とする。
また、請求項7にかかるパケット追跡装置は、上記の発明において、前記所定の許容誤差範囲は、過去の所定時刻における実測値と、該所定時刻における予測値との間の誤差分布に基づいて定められることを特徴とする。
また、請求項8にかかるパケット追跡装置は、上記の発明において、前記許容誤差範囲は、過去の複数の時刻における実測値と予測値との間の誤差分布から導出された平均誤差値と、前記誤差分布から導出された標準偏差に2を乗算した値との差分値よりも大きく、前記平均誤差値と前記標準偏差に2を乗算した値との和よりも小さくなる範囲であって、前記パケット特性判定手段は、前記誤差が前記許容誤差範囲を逸脱した場合に前記通過パケット特性の発生および終了を検出することを特徴とする。
また、請求項9にかかるパケット追跡装置は、上記の発明において、前記予測値は、異なる複数の時間に測定されたパケット数の実測値の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする。
また、請求項10にかかるパケット追跡システムは、ネットワーク中に点在し、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する複数の分岐手段に対応して配置された複数の請求項1〜9に記載のパケット追跡装置と、前記複数のパケット追跡装置と接続され、特定パケットの通過経路を特定した前記パケット追跡装置と隣接する前記パケット追跡装置に対して前記特定パケットの通過経路の特定を指示する制御装置とを備えたことを特徴とする。
また、請求項11にかかるパケット追跡方法は、ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡方法であって、通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出工程と、検出された前記通過パケット特性の継続時間を計測する計時工程と、各枝における通過パケット特性の継続時間の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定工程とを備えたことを特徴とする。
また、請求項12にかかるパケット追跡方法は、上記の発明において、前記経路特定工程において、通過パケット特性の継続時間の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする。
また、請求項13にかかるパケット追跡方法は、ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡方法であって、通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出工程と、検出された前記通過パケット特性の発生時刻を計測する計時工程と、各枝における通過パケット特性の発生時刻の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定工程とを備えたことを特徴とする。
また、請求項14にかかるパケット追跡方法は、上記の発明において、前記経路特定手段は、通過パケット特性の発生時刻の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする。
また、請求項15にかかるパケット追跡プログラムは、請求項11〜14のいずれか一つに記載の方法を計算機に実行させることを特徴とする。
本発明にかかるパケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラムは、追跡対象たる特定パケットに起因した通過パケット特性の変動が継続する継続時間を分岐手段から派生した枝ごとに計測し、各枝における継続時間を対比した結果に基づいて特定パケットの通過経路を特定する構成としたため、ルータ等の分岐手段における特定パケットの通過経路を簡易な構成によって迅速に判定することが可能であるという効果を奏する。
以下、図面を参照して、この発明を実施するための最良の形態(以下、「実施の形態」と称する)にかかるパケット追跡システム、パケット追跡方法およびパケット追跡プログラムについて説明する。なお、図面は模式的なものであり、現実のものとは異なることに留意する必要がある。また、図面中における符号について、同一の構成を有するものについては例えば“ルータ2a”、“ルータ2b”のように示し、必要に応じて“ルータ2”と総称して記述する。また、以下で説明する実施の形態では、追跡対象の特定パケットとして、ネットワークを構成するルータ、端末装置等に対して害を及ぼす不正パケットを用い、検出するパケット特性として各枝における異常状態、具体的にはパケットの所定タイムスロットあたりの通過数(以下、単に「通過数」と称する)を用いた例について説明するが、本発明をかかる例に限定して解釈すべきでないことはもちろんである。
(実施の形態1)
まず、実施の形態1について説明する。本実施の形態1にかかるパケット追跡システムは、パケットがネットワーク上に点在するルータ等の分岐手段を通過する際に、どの枝を介して分岐手段に入力され、どの枝を介して再び出力されたことを検出することによって各分岐手段における通過経路を追跡するパケット追跡装置を分岐手段ごとに備え、かかる複数のパケット追跡装置が連携して動作することで、ネットワーク内における特定パケットの通過経路の追跡を行う構成を有する。
図1は、本実施の形態1にかかるパケット追跡システムの全体構成を示す模式図である。図1に示すように、本実施の形態1にかかるパケット追跡システムは、監視対象たるネットワークおよびネットワーク中に点在する複数のルータ2ごとにそれぞれ配置されたパケット追跡装置3と、複数のパケット追跡装置3に対して制御を及ぼす制御装置4とによって構成される。
制御装置4は、各パケット追跡装置3に対して一般的な制御を及ぼす機能を有するとともに、異常状態の原因となるパケットの通過経路が特定された所定のパケット追跡装置3からの報告を受けて、同一パケットが通過したものと推定される他のパケット追跡装置3に対して異常検出の指示を送る等の制御を行う。
パケット追跡装置3は、ネットワーク異常の原因となるパケットの各ルータ2内における通過経路を追跡するためのものである。具体的には、パケット追跡装置3は、図1に示すように、ルータ2から派生する枝1ごとに配置された異常検出部5と、異常検出部5からの出力結果に基づいて、各枝1における異常状態の継続時間を計測する時間計測部6とが枝1ごとに設けられている。例えば、パケット追跡装置3の場合、ルータ2aから派生する枝1の数は3本であることから、枝数に対応して異常検出部5a〜5cおよび時間計測部6a〜6cが設けられている。また、パケット追跡装置3は、ルータ2から派生する枝1に対応した複数の時間計測部6と接続された比較部7と、比較部7と接続された経路特定部8とを備える。
時間計測部6は、タイマー等の機能を備えることで異常状態の継続時間を計測する。具体的には、例えば、異常検出部5は異常状態の発生時および集結時に時間計測部6に対して所定の情報を通知する構成を有し、時間計測部6は、かかる通知に基づいて異常状態の継続時間を計測している。また、時間計測部6は、計測した異常状態の計測時間を比較部7に伝送する機能を有する。
比較部7は、ルータ2から派生する複数の枝1に対応して設けられた複数の時間計測部6から伝送された各枝1における異常状態の継続時間を互いに比較するためのものである。具体的には、比較部7は、伝送された複数の継続時間を互いに比較し、差分値を導出する機能を有する。また、比較部7は、導出した差分値を経路特定部8に出力する機能を有する。
経路特定部8は、比較部7によって得られた、各枝1における異常状態の継続時間の差分値に基づいて、異常状態の原因となるパケットがどの枝1を通過したかを判別し、通過経路の特定を行うためのものである。具体的には、経路特定部8は、対応するルータ2から派生する複数の枝1のあらゆる組み合わせに関して得られた継続時間の差分値を所定の閾値と比較し、差分値が閾値以下となる枝1のペアを介して異常状態の原因となるパケットがルータ2を通過したものである旨の経路特定を行う機能を有する。
次に、異常検出部5について説明する。図2は、異常検出部5の構成を示す模式図である。図2に示すように、異常検出部5は、ネットワーク中を通過するパケットのコピーを作成するタッピング部9と、タッピング部9でコピーされたパケットの数をカウントするパケット数カウント部10と、カウントされたパケット数に基づいて対応する枝1における異常状態の有無を検出する状態検出部11と、異常状態の検出に用いられるデータを記憶する記憶部12とを備える。
状態検出部11は、予測値導出部11aと、実測値と予測値との間の誤差を導出する誤差導出部11bと、導出された誤差に基づいて異常状態の有無を判定する判定部11cと、異常状態の有無の判定の際に用いられる許容誤差範囲を導出する許容誤差範囲導出部11dとを備える。本実施の形態1において、状態検出部11は、所定時間間隔ごとに通過パケット数に関する予測値と実測値とを比較し、予測値と実測値との間の誤差が許容誤差範囲内に抑制されるか否かに基づいて異常状態の発生時および終了時を特定する機能を有する。
記憶部12は、実測値データ12aと、許容誤差範囲データ12bとを記憶するためのものである。ここで、実測値データは、パケット数カウント部10で過去にカウントされたパケット数の実測値を記憶したデータのことをいい、許容誤差範囲データ12bは、許容誤差範囲導出部11dで導出された許容誤差範囲の値を記憶したデータのことをいう。
次に、本実施の形態1にかかるパケット追跡システムの動作について説明する。以下では、まず異常検出部5による異常状態の検出動作について説明し、その後、検出結果に基づいた個々のパケット追跡装置3による単一ルータに出入りするパケットの経路追跡動作について説明する。そして、最後に、本実施の形態1にかかるパケット追跡システムによって行われる、ネットワーク全体におけるパケットの経路追跡動作について説明する。
まず、異常検出部5による異常状態の検出動作について説明する。図3は、異常検出部5の動作を説明するためのフローチャートであり、以下、図3を参照しつつ説明を行う。最初に、図3に示すように、異常検出部5は、予測値導出部11aにおいて、記憶部12に記憶された、過去のパケット数の実測値データに基づいて、異常の有無の検出を行う時刻(以下、「検出時刻」と称する)にネットワークを通過すると予測されるパケット数の予測値を導出する(ステップS101)。
そして、パケット数カウント部10によって、検出時刻に実際にネットワークを通過したパケット数が測定され、かかる測定によって実測値が求められる(ステップS102)。なお、本ステップにおいてはパケットの種類に関わらずネットワークを通過するパケット数を測定することとし、測定したパケット数の実測値に関するデータは、誤差導出部11bに出力されるとともに、記憶部12に出力され、実測値データとして記憶される。
その後、誤差導出部11bにおいて、予測値と実測値との間の誤差が導出される(ステップS103)。具体的には、予測値と実測値との間で差分計算を行い、導出された差分値を誤差として判定部11cに出力する。
そして、判定部11cにおいて、ステップS103で導出された誤差が許容誤差範囲内か否かの判定行われる(ステップS104)。本ステップで許容誤差範囲内と判定された場合には、異常状態の発生および終了ではないものと判断され、終了する(ステップS105)。一方、許容誤差範囲外と判定された場合には、異常状態が発生または終了したものと判定され、時間計測部6に対して判定結果が出力される(ステップS106)。以上で、異常検出部5による異常状態の検出動作は終了する。
異常検出部5による異常状態の検出においては、まず、ステップS101に示すように、実測値との比較に使用される予測値の導出が行われる。導出される予測値としては、過去に測定された複数の実測値を線形結合させたものを用いており、具体的には、異常検出動作が行われる時刻tnにおける予測値xtn’は、

tn’=an-1tn-1+an-2tn-2+・・・+an-ktn-k・・・(1)

のように表される。なお、(1)式において、xtn-1〜xtn-kは、それぞれ時刻tn-1〜tn-kにおいてパケット数カウント部10でカウントされた実測値であって、記憶部12内の実測値データ12aに記憶された値から求まる。また、係数an-1〜an-kは、予測値導出部11aによって導出される値である。
係数an-1〜an-kの値は、例えば最小自乗法を用いることによって導出される。具体的には、異常検出部5による異常検出動作が行われる時刻tnよりも過去の時刻tn−1〜tn−mに関して、(1)式と同様の形式の予測値xtn-1’〜xtn-m’を導出し、既に得られている実測値xtn-1〜xtn-mとの間の誤差en-1〜en-mを導出する。そして、

S=en-1 2+en-2 2+・・・+en-m 2 ・・・(2)

で表される自乗和Sの値が最小になるよう、係数an-1〜an-kの値を定めている。すなわち、(2)式で表される自乗和Sの構成要素のうち、実測値xtn-1〜xtn-mは、実際に測定された具体的な値であり、予測値xtn-1’〜xtn-m’は、(1)式に示すように、実測値と係数an-1〜an-kとによって構成される。従って、(2)式に示す自乗和Sは、係数an-1〜an-kを変数とした関数であり、自乗和Sが最小の値となるよう係数an-1〜an-kの値が決定され、かかる値と過去の実測値を用いて(1)式に示す予測値xtn’が導出される。
また、異常検出部5による異常検出動作では、ステップS103において、検出時刻tnにおける予測値xtn’と、検出時刻tnにおける実測値xtnとの差分値を導出し、ステップS104において、導出された差分値が許容誤差範囲内にあるか否かの判定を行っている。本実施の形態1では、予測値xtn’は、(1)式に示したように、過去の実測値に基づいて定められており、かつ、(2)式で示したように、過去の実測値と予測値との関係において、誤差の自乗和Sが最小になるよう(1)式における係数を定めることとしている。従って、異常検出対象となる枝1におけるパケット通過量が通常状態を維持している場合は、予測値と実測値との間に生じる誤差は小さくなると考えられる。一方で、何らかの原因に起因した異常状態、例えばDoS攻撃等の不正アクセスによって通過パケット数が急激に増加した場合には、実測値は予測値から大きく逸脱した値となる。従って、異常検出部5による異常検出動作では、ステップS103、S104において、実測値の予測値からの逸脱程度を知るために差分値の導出および差分値が許容誤差範囲内にあるか否かの判定を行っている。
なお、ステップS104において用いられる許容誤差範囲は、許容誤差範囲導出部11dで導出されて記憶部12内の許容誤差範囲データ12bに記憶された値が用いられる。かかる許容誤差範囲の値は、異常検出対象である枝1における通常状態におけるパケット通過数特性に応じて任意に定めることが可能であるが、本実施の形態1では、過去の実測値と予測値との間の誤差の分布と、かかる誤差分布特性曲線における平均値および標準偏差とをあらかじめ導出しておき、許容誤差範囲を、平均値と、標準偏差に2を乗算した値との差分値以上、平均値と、標準偏差に2を乗算した値との和以下としている。
図4は、実測値と、(1)式に基づいて導出される予測値との間における誤差分布特性曲線について示すグラフである。図4において、誤差は平均値である0の近傍に多くの値が存在し、平均値から離れるに従って誤差分布特性曲線は急激に減少することとなる。すなわち、図4に示す範囲、具体的には、上記の平均値と標準偏差に基づいて定めた許容誤差範囲内に大部分が含まれることとなり、かかる範囲を逸脱した場合を異常状態と定義づけることで、誤検出の発生を抑制することができる。
ステップS106では、実測値と予測値との間の差分値が許容誤差範囲外の場合には、異常状態が発生または終了したものと判定することとしている。これは、差分値が許容誤差範囲外となるような実測値が得られた後に行われる異常検出動作においては、新たに導出される予測値は、許容誤差範囲外となる実測値を反映した値となることを理由としている。すなわち、一旦異常状態を反映した実測値が測定された後には、かかる実測値を含んだ予測値の導出が予測値導出部11aにおいてなされることとなるため、依然としてDoS攻撃等が継続することによって異常状態が継続しているにもかかわらず、新たな検出動作時において、予測値と実測値との差分値が許容誤差範囲内の値になる。
図5は、異常状態が一定時間継続した場合における、予測値と実測値との関係を示す模式的なグラフである。なお、図5において、実測値は棒グラフで示され、予測値は折れ線グラフで示されている。図5に示す例では、時刻tmに通過パケット数が急激に増加して異常状態に移行した後、時刻tm+13まで異常状態が継続する場合について示している。
ここで、図5に示すように、時刻tmにおける予測値は、通常状態を維持する過去の実測値に基づいて導出されているため、急激に増加した実測値との差分値は許容誤差範囲外の値となっている。一方、時刻tm+1においては、異常検出の際に用いられる予測値は、時刻tmにおける実測値を反映したものとなるため、時刻tmにおける予測値と比較して急激に大きな値となっており、実測値との差分値は許容誤差範囲内に抑制されることとなる。以後、時刻tm+12までの間は、実測値は異常状態を反映した大きな値となる一方、予測値も異常状態において測定された実測値を反映した値となるため、実測値と予測値との差分値は許容誤差範囲内の値を維持し続ける。
その後、時刻tm+13において、異常状態が終了し、実測値が急激に減少して通常状態に移行する。かかる時刻tm+13において異常検出に用いられる予測値は時刻tm+12における実測値等、異常状態において測定された値を反映しているため、時刻tm+13における実測値とは大きく異なる値となり、差分値は再び許容誤差範囲外の値となる。
以上のことから、本実施の形態1では、異常検出部5は、実測値と予測値との差分値が許容誤差範囲を超えた時刻において異常状態が発生もしくは終結したものと判定し、判定結果を時間計測部6に出力することとしている。なお、異常状態の発生と終結とを区別するために、より好ましくは、実測値と予測値との差分値が許容誤差範囲外の値となり、かつ実測値の値が予測値よりも大きい場合に異常状態が発生したと判定し、差分値が許容誤差範囲外の値となり、かつ実測値の値が予測値よりも小さい場合に異常状態が終了したと判定することとしても良い。かかる判定基準を用いることで、図5で示したような、異常状態においてDoS攻撃等に起因してパケット数が急激に増加するケースの場合には、異常状態の発生と終結とを明確に区別することが可能である。
次に、異常検出部5における検出結果に基づくパケット追跡装置3の動作について説明する。図6は、検出結果に基づくパケット追跡装置3の動作について説明するためのフローチャートであって、以下、図6を参照しつつ説明を行う。
まず、パケット追跡装置3は、対応するルータ2から派生する枝1ごとに設けられた複数の異常検出部5における検出結果に基づいて、それぞれの異常検出部5において検出された異常状態の発生時刻および終結時刻に基づいて、対応する時間計測部6は、異常状態の継続時間を計測する(ステップS201)。計測によって得られた継続時間は、比較部7に伝送される。
そして、比較部7は、各枝1に対応した時間計測部6a〜6dから伝送された継続時間を互いに比較する(ステップS202)。具体的には、比較部7は、各時間計測部6から伝送された継続時間について、互いの差分値を導出する。
その後、経路特定部8は、導出された差分値が所定の閾値以下となる枝1のペアが存在するか否かの判定を行う(ステップS203)。閾値以下となるペアが存在しない場合には、再びステップS201に戻って上記の動作を繰り返す。一方、継続時間の差分値が閾値以下となるペアが存在する場合には、経路特定部8は、ペアを形成する枝1を特定する。
最後に、経路特定部8は、対象ルータ2におけるパケットの通過経路を特定する(ステップS204)。具体的には、経路特定部8は、ステップS203で特定されたペアについて、異常状態の原因となるパケットの通過経路を特定する。
ステップS203およびステップS204について説明する。本実施の形態1では、同一ルータ2から派生する複数の枝1において生じる異常状態の継続時間が近いものについては、同一のパケットによって生じたものと推定し、かかるパケットは、ルータ2から派生する枝1のうち、近接する継続時間を有する枝1を通過したものと考えることで、異常状態の原因となるパケットの通過経路を特定する。従って、本実施の形態1におけるパケット追跡装置3は、ステップS203において異常状態の継続時間が所定の閾値以下となるような枝1のペアを検出し、ステップS204において、異常状態の原因となるパケットは、ルータ2を通過する際の経路として、ステップS203で検出された枝1のペアを介して通過したものと特定することとしている。
次に、制御装置4の動作について説明する。制御装置4は、ルータ2に対応して複数配置されたパケット追跡装置3の少なくとも一つから異常状態の原因となるパケットの存在およびかかるパケットの各ルータ2における通過経路の特定情報の報告を受信し、特定された通過経路と接続された他のルータ2に対応して配置されたパケット追跡装置3に対して、順次通過経路の特定を指示する。
図7は、制御装置4の動作を示す模式図である。図7に示すように、まず、ルータ2aに対応して設けられたパケット追跡装置3aにおいて、異常状態の原因となるパケットが枝1a1および枝1a3を通過したものと特定され、かかる特定情報が制御装置4に報告される。制御装置4は、パケット追跡装置3aによって特定されたパケットの通過経路たる枝1a1および枝1a2と接続されたルータ2bおよびルータ2cにそれぞれ対応して設けられたパケット追跡装置3b、3cに対して、パケット追跡装置3aで特定された通過経路の情報およびルータ2aを通過した特定パケットと同一のパケットの通過経路を特定するよう指示を送る。なお、パケット追跡装置3dは、今回特定された通過経路とは直接関係がないため、制御装置4は、特に指示を送ることはない。
パケット追跡装置3b、3cは、制御装置4の指示を受けて、それぞれに属する異常検出部5による異常状態の検出を行うとともに、検出された異常状態の原因となるパケットの通過経路の特定を行う。なお、パケット追跡装置3bによる検出の際には、パケット追跡装置3aにより枝1a1において異常状態が生じていることが明らかであることから、パケット追跡装置3bは、枝1b1、1b2の中から、枝1a1における継続時間との差分値が閾値以下となる枝の特定を行う。また、パケット追跡装置3cも同様であって、通過経路の特定の際には、枝1c1、1c2の中から、枝1a3における継続時間との差分値が閾値以下となる枝の特定を行う。
そして、パケット追跡装置3bは、枝1a1における異常状態の継続時間との差分値が閾値以下となるような異常状態を生じた枝1b2を検出し、異常状態の原因となるパケットが枝1b2および枝1a1を通過したものと特定し、かかる特定結果を制御装置4に対して報告する。同様に、パケット追跡装置3cは、枝1a3における継続時間との差分値が閾値以下となる枝1c1を検出することによってパケットの通過経路を特定し、特定結果を制御装置4に報告する。そして、制御装置4は、パケット追跡装置3b、3cからの報告を受けて、パケットの通過経路の延長上に位置するルータ2を特定し、かかるルータに対応して設けられたパケット追跡装置3に対して、パケット追跡装置3b、3cによって特定された異常状態の原因となるパケットと同一のパケットの通過経路を特定するよう指示を送る。
以上のように、あるパケット追跡装置3における特定パケットの通過経路に関する報告を受けた後、制御装置4が報告された通過経路の延長上に存在するルータ2に対応したパケット追跡装置3に対して経路特定指示を送るという動作を繰り返すことによって、特定パケットのネットワーク全体における通過経路の特定が行われる。従って、最終的には、異常状態の原因となるパケットがどの端末装置から発信され、どの端末装置が攻撃されたかを検出されることとなる。
次に、本実施の形態1にかかるパケット追跡システムの利点について説明する。まず、本実施の形態1にかかるパケット追跡システムは、各枝1における異常状態の継続時間に基づいて、各ルータ2における特定パケットの通過経路を特定することとしている。これは、同一パケットもしくは同一パケット群によって各枝1におけるネットワークの状態が変動した場合、各枝1における変動状態の継続時間はほぼ同一となることに基づいており、かかる構成とすることで、簡易な構成を有するとともに迅速な処理が可能なパケット追跡システムを実現することが可能である。
すなわち、本実施の形態1において、パケット追跡装置3は、同一ルータ内におけるパケットの通過経路の追跡を行うにあたって各時間計測部6から出力された継続時間のみをパラメータとして用いている。このため、本実施の形態1にかかるパケット追跡システムでは、追跡対象のパケットを特定するために通過するパケットのすべての内容を精査する必要はなく、通信容量の増加およびプライバシーに関する問題を回避することができる。
一方、継続時間の比較のみによって通過経路の追跡を行う構成としたことによってパケットの追跡精度が低下することはない。図8〜図10は、実施の形態1にかかるパケット追跡システムを実際に構築した場合における追跡精度の測定結果について示すグラフである。なお、図8〜図10に示す追跡精度の測定では、異常検出部5は、10秒を1タイムスロットとし、かかるタイムスロットごとに各枝1における異常状態の発生・終了の有無を検出する構成を有する。そして、図8に示す測定では、比較部7における比較の際の閾値を0タイムスロット(すなわち、差分値が10秒)とした状態で経路特定を行っており、図9の測定例では、1タイムスロット(すなわち、2×10秒)を閾値とし、図10の測定例では、2タイムスロット(すなわち、3×10秒)を閾値としている。また、図8〜図10において、縦軸は追跡精度、すなわち経路追跡に成功した確率を示し、横軸は、経路追跡の対象であり、異常状態の原因となるパケットの通過数が、通常状態におけるパケットの通過数の何倍にあたるかを示している。
図8に示すように、差分値の閾値が0タイムスロットの場合には、異常状態の原因となるパケットの通過数が通常状態におけるパケット通過数とほぼ同じ(n=1)の場合には追跡精度は低いものの、パケットの通過数が通常状態における通過数の2倍以上の場合には、少なくとも60%以上の精度で経路追跡に成功していることが示されている。特に、追跡対象パケットの通過数が通常状態の4倍異常となった場合には、ほぼ100%の確率で経路追跡を行うことが可能である。
また、図9に示すように、閾値を1タイムスロットとした場合には、より高精度の経路追跡が可能である。すなわち、追跡対象のパケット数が通常状態と同程度(n=1)の場合であっても追跡精度は25%程度の値となり、n=2、3の場合にも、追跡精度は80%異常の値にまで向上する。さらに、図10に示すように、閾値を2タイムスロットとした場合には、n≧2の範囲で追跡精度は100%の値となり、追跡精度がさらに向上している。
以上の測定結果から、本実施の形態1にかかるパケット追跡システムにおけるパケットの追跡精度は、従来のものと比較して劣るものではなく、追跡対象のパケット数が増加するにつれて、ほぼ100%の精度で追跡を行うことが可能である。また、比較部7における比較時の閾値を大きくすることでより高精度の追跡が可能となるという利点を有する。ただし、閾値が大きくなるにつれて誤追跡の発生が懸念されることから、例えば、追跡対象のパケット数が4倍以上であるような場合には、閾値を0タイムスロット(=10秒)の値とすることが好ましいと考えられる。
次に、異常検出部5によって各枝1における異常検出を行うことによる利点について説明する。既に説明したように、異常検出部5は、各枝1中を通過するパケットに含まれる情報を分析することなくネットワーク異常の有無を判定している。従って、従来のものと比較して、異常の有無の判定に要する時間を短縮化することが可能となり、大容量の高速ネットワークのように正常状態で大量のパケットが通過するものに対しても異常検出が可能である。また、パケットに含まれる情報を分析することなしに異常検出を行っていることから、未知の攻撃パターンであっても対処することが可能である。
また、異常検出部5は、許容誤差範囲を平均値と標準偏差に2を乗算した値との差分値以上、平均値と標準偏差に2を乗算した値との和以下としている。図4の例では、過去の時刻に関して得られた誤差の98.05%が許容誤差範囲内に収まり、正常状態として判定される。従って、本実施の形態にかかるネットワーク異常検出装置では、正常状態を異常状態として誤検出する可能性が低いという利点も有する。
さらに、異常検出部5は、測定対象となる各枝1の特性に適合した異常検出が可能であるという利点を有する。すなわち、各枝1中を通過するパケット数は枝1ごとに相違するのが通常であり、同一の枝であっても時間の経過に応じて正常状態における通過パケット数は異なる値となる。かかる事情を鑑みて、異常検出部5は、測定対象となる枝1の過去の通過パケット数の実測値、特にネットワーク異常検出を行う時刻に近接した時刻におけるパケット数に基づいて予測値を導出することから、正確な予測値を導出することが可能であって、検出対象となる各枝1の特性に応じた異常検出が可能である。
(実施の形態2)
次に、実施の形態2にかかるパケット追跡システムについて説明する。本実施の形態2にかかるパケット追跡システムは、個々のパケット追跡装置が異常状態の継続時間同一性ではなく、異常状態の開始時刻の同一性に基づいて各ルータにおけるパケットの経路特定を行うことを特徴とする。
図11は、本実施の形態2にかかるパケット追跡システムの全体構成を示す模式図である。図11に示すように、本実施の形態2にかかるパケット追跡システムは、ネットワーク内に点在するルータ2ごとに設けられた複数のパケット追跡装置15と、パケット追跡装置15に対する制御を行う制御装置4とを備えた構成を有する。
パケット追跡装置15は、図11に示すように、実施の形態1におけるパケット追跡装置3と同様にルータ2から派生する枝1に対応した複数の異常検出部5と、比較部7と、経路特定部8とを備える一方、時間計測部6の代わりに、検出された異常状態の開始時刻を計測する発生時刻計測部16を備える。また、パケット追跡装置15内に備わる比較部7は、複数の時間計測部6において計測された異常状態の開始時刻を比較する機能を有する。
本実施の形態2にかかるパケット追跡システムは、構成要素たるパケット追跡装置15において、複数の枝1における異常状態の継続時間の比較ではなく、異常状態の開始時刻の比較に基づいて単一のルータ2におけるパケットの通過経路を特定することとしている。比較部7および経路特定部8が発生時刻の比較に基づいて通過経路を特定することで、以下の利点が生じる。
まず、実施の形態1の場合と同様に、簡易な構成によって迅速な処理が可能なパケット追跡システムを実現することが可能である。すなわち、本実施の形態2では、発生時刻計測部16によって異常状態の開始時刻を比較することで、単一のルータ2から派生した複数の枝1において発生した異常状態が同一パケットに起因するものなのか否かを判定し、判定結果に基づいた経路追跡を行っている。従って、実施の形態2におけるパケット追跡装置15は、経路追跡のパラメータとして異常状態の発生時刻のみを用いており、簡易な構成でパケット追跡装置の構成があるとともに、迅速な追跡処理が可能である。
なお、実施の形態2にかかるパケット追跡システムを実際に構築し、追跡精度を求めた結果、実施の形態1の場合とほぼ同等の追跡精度が得られることが明らかになっている。すなわち、異常状態におけるパケットの通過数が通常状態におけるパケット数の5倍の値を有する場合において、比較部7における閾値を0タイムスロット(=10秒)に設定した場合の追跡精度は95%であり、閾値を1タイムスロット(=2×10秒)とした場合には100%の精度で経路追跡が可能である。従って、実施の形態1の場合と同様に、簡易な構成であるにも関わらず高精度の経路追跡が可能である。また、制御装置4および異常検出部5は、実施の形態1と同様に動作することから、実施の形態1の場合と同様に、制御装置4および異常検出部5による利点を享受することができる。
また、異常状態の発生時刻のみをパラメータとして経路追跡を行う構成を有することから、本実施の形態2にかかるパケット追跡システムは、長時間に渡って継続する異常状態等に対するパケット追跡の際に特に利点を有する。すなわち、本実施の形態2にかかるパケット追跡システムは、異常状態の終結を待たずに経路追跡を開始することが可能であることから、長時間に渡って異常状態が継続する場合であっても、経路追跡を迅速に開始することが可能であり、異常状態の原因となるパケットの通過経路を迅速に特定することが可能である。
以上、実施の形態1および実施の形態2によって本発明の説明を行ったが、本発明は上記の実施の形態に限定されることはなく、当業者であれば様々な実施例、変形例等に想到することが可能である。例えば、実施の形態1および実施の形態2では、ネットワーク異常を生じさせる原因となるパケットを追跡対象としたが、他のパケットを追跡対象とすることももちろん可能である。また、追跡対象のパケットの検出手法として、通過パケット数を利用する以外の手法を用いても良い。
また、実施の形態1および実施の形態2では、分岐手段の例としてルータ2を用いて説明したが、ルータ2以外の分岐手段に対して本発明が適用可能であることはもちろんである。すなわち、ネットワーク上に配置されるものであって、複数の枝1のいずれかを介してパケットが入力され、かつ入力されたパケットを前記複数の枝1のいずれかから出力するものであれば、いかなるものであっても本発明にかかるパケット追跡装置によるパケットの通過経路の追跡は可能であり、かかる分岐手段を多数備えたネットワークに対して本発明にかかるパケット追跡システムを適用することが可能である。
さらに、実施の形態1および実施の形態2では、理解を容易にするため分岐手段の一例たるルータ2とは別にパケット追跡装置3、15、制御装置4を配置した構成としている。しかしながら、本発明はかかる構成に限定されるものではなく、例えば、ルータ2内にパケット追跡装置3、15を内蔵する構成としても良い。また、各ルータ2に対応してパケット追跡装置3、15を別個独立に設ける構成とするのではなく、ルータ2にパケット追跡装置3を内蔵する構成としても良い。
また、パケット追跡装置3、15および制御装置4は、ハードウェア的な構造によって実現することとしても良いが、必要な機能をパーソナルコンピュータ等の計算機上で実行可能なプログラムによって実現する構成としても良い。一般的なパーソナルコンピュータはCPU等の演算機構を備え、ハードディスク等の記憶部を備えることから、必要な処理を記述したプログラムを用いることによってパケット追跡装置3、15および制御装置4を実現することが可能である。
さらに、異常検出部5aにおける異常検出について、予測値を構成する過去の実測値として、異常状態と認められた時刻における実測値を除外することとしても良い。かかる構成とした場合には、予測値は通常状態における値を維持するため、測定対象たる枝1が異常状態にある間、実測値と予測値との間の差分値は、許容誤差範囲外の値を維持し続けることとなる。従って、かかる構成とした場合には、異常状態が発生した時刻および終結した時刻は、実測値と予測値との間の差分値が許容誤差範囲外の値に変化した時刻および許容誤差範囲内の値に変化した時刻を用いて特定することが可能である。
実施の形態1にかかるパケット追跡システムの全体構成を示す模式図である。 パケット追跡システムを構成する異常検出部の構成を示す模式図である。 異常検出部の動作について説明するためのフローチャートである。 実測値と予測値との間の誤差の分布を示す誤差分布特性曲線について示す模式的なグラフである。 異常状態が一定時間継続した場合における、予測値と実測値との関係を示す模式的なグラフである。 パケット追跡装置の動作について説明するためのフローチャートである。 制御装置の動作を説明するための模式図である。 閾値を0タイムスロットとした場合の追跡精度の測定結果について示すグラフである。 閾値を1タイムスロットとした場合の追跡精度の測定結果について示すグラフである。 閾値を2タイムスロットとした場合の追跡精度の測定結果について示すグラフである。 実施の形態2にかかるパケット追跡システムの全体構成を示す模式図である。
符号の説明
1 ネットワーク
2 ルータ
3 パケット追跡装置
4 制御装置
5 異常検出部
6 時間計測部
7 比較部
8 経路特定部
9 タッピング部
10 パケット数カウント部
11 状態検出部
11a 予測値導出部
11b 誤差導出部
11c 判定部
11d 許容誤差範囲導出部
12 記憶部
12a 実測値データ
12b 許容誤差範囲データ
15 パケット追跡装置
16 発生時刻計測部

Claims (15)

  1. ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡装置であって、
    通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出手段と、
    前記異常検出手段によって検出された前記通過パケット特性の継続時間を計測する計時手段と、
    各枝における通過パケット特性の継続時間の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定手段と、
    を備えたことを特徴とするパケット追跡装置。
  2. 前記経路特定手段は、通過パケット特性の継続時間の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする請求項1に記載のパケット追跡装置。
  3. ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡装置であって、
    通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出手段と、
    前記異常検出手段によって検出された前記通過パケット特性の発生時刻を計測する計時手段と、
    各枝における通過パケット特性の発生時刻の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定手段と、
    を備えたことを特徴とするパケット追跡装置。
  4. 前記経路特定手段は、通過パケット特性の発生時刻の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする請求項3に記載のパケット追跡装置。
  5. 前記パケット特性検出手段は、
    対応する枝を通過するパケット数の実測値を計測するパケット数計測手段と、
    前記パケット数計測手段によるパケット数の計測時におけるパケットの通過数の予測値を導出する予測値導出手段と、
    前記パケット数計測手段によって計測された実測値と、前記予測値導出手段によって導出された予測値との対比結果に基づいて前記通過パケット特性の発生および終了を検出するパケット特性判定手段と、
    を備えたことを特徴とする請求項1〜4のいずれか一つに記載のパケット追跡装置。
  6. 前記パケット特性判定手段は、前記実測値と前記予測値との差分値が所定の許容誤差範囲外の値となる場合に前記通過パケット特性の発生または終了を検出することを特徴とする請求項5に記載のパケット追跡装置。
  7. 前記所定の許容誤差範囲は、過去の所定時刻における実測値と、該所定時刻における予測値との間の誤差分布に基づいて定められることを特徴とする請求項6に記載のパケット追跡装置。
  8. 前記許容誤差範囲は、過去の複数の時刻における実測値と予測値との間の誤差分布から導出された平均誤差値と、前記誤差分布から導出された標準偏差に2を乗算した値との差分値よりも大きく、前記平均誤差値と前記標準偏差に2を乗算した値との和よりも小さくなる範囲であって、前記パケット特性判定手段は、前記誤差が前記許容誤差範囲を逸脱した場合に前記通過パケット特性の発生および終了を検出することを特徴とする請求項6に記載のパケット追跡装置。
  9. 前記予測値は、異なる複数の時間に測定されたパケット数の実測値の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする請求項5〜8に記載のパケット追跡装置。
  10. ネットワーク中に点在し、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する複数の分岐手段に対応して配置された複数の請求項1〜9に記載のパケット追跡装置と、
    前記複数のパケット追跡装置と接続され、特定パケットの通過経路を特定した前記パケット追跡装置と隣接する前記パケット追跡装置に対して前記特定パケットの通過経路の特定を指示する制御装置と、
    を備えたことを特徴とするパケット追跡システム。
  11. ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡方法であって、
    通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出工程と、
    検出された前記通過パケット特性の継続時間を計測する計時工程と、
    各枝における通過パケット特性の継続時間の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定工程と、
    を備えたことを特徴とするパケット追跡方法。
  12. 前記経路特定工程において、通過パケット特性の継続時間の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする請求項11に記載のパケット追跡方法。
  13. ネットワーク上に配置され、複数の枝のいずれかを介してパケットが入力され、該入力されたパケットを前記複数の枝のいずれかから出力する分岐手段に関して、該分岐手段を通過する際の特定パケットの通過経路を追跡するパケット追跡方法であって、
    通過パケットに基づいて、各枝における前記特定パケットに対応した通過パケット特性を検出するパケット特性検出工程と、
    検出された前記通過パケット特性の発生時刻を計測する計時工程と、
    各枝における通過パケット特性の発生時刻の対比結果に基づいて前記特定パケットの通過経路を特定する経路特定工程と、
    を備えたことを特徴とするパケット追跡方法。
  14. 前記経路特定手段は、通過パケット特性の発生時刻の差分値が閾値以下となる枝のペアを抽出し、該ペアを構成する枝を前記特定パケットの通過経路として特定することを特徴とする請求項13に記載のパケット追跡方法。
  15. 請求項11〜14のいずれか一つに記載の方法を計算機に実行させることを特徴とするパケット追跡プログラム。
JP2003332242A 2003-09-24 2003-09-24 パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム Pending JP2005101854A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003332242A JP2005101854A (ja) 2003-09-24 2003-09-24 パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003332242A JP2005101854A (ja) 2003-09-24 2003-09-24 パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム

Publications (1)

Publication Number Publication Date
JP2005101854A true JP2005101854A (ja) 2005-04-14

Family

ID=34460649

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003332242A Pending JP2005101854A (ja) 2003-09-24 2003-09-24 パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム

Country Status (1)

Country Link
JP (1) JP2005101854A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006311448A (ja) * 2005-05-02 2006-11-09 Matsushita Electric Works Ltd ネットワーク監視システム
JP2009177658A (ja) * 2008-01-28 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> 経路同定システム
JP2010245866A (ja) * 2009-04-07 2010-10-28 Fujitsu Ltd 通信経路推定プログラム、方法及びコンピュータ
WO2013027562A1 (ja) * 2011-08-24 2013-02-28 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム
JP2017526964A (ja) * 2014-08-29 2017-09-14 カール ツァイス マイクロスコピー ゲーエムベーハーCarl Zeiss Microscopy Gmbh 画像を記録するための装置および方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006311448A (ja) * 2005-05-02 2006-11-09 Matsushita Electric Works Ltd ネットワーク監視システム
JP2009177658A (ja) * 2008-01-28 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> 経路同定システム
JP4579995B2 (ja) * 2008-01-28 2010-11-10 日本電信電話株式会社 経路同定システム
JP2010245866A (ja) * 2009-04-07 2010-10-28 Fujitsu Ltd 通信経路推定プログラム、方法及びコンピュータ
WO2013027562A1 (ja) * 2011-08-24 2013-02-28 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム
JP5621937B2 (ja) * 2011-08-24 2014-11-12 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム
JPWO2013027562A1 (ja) * 2011-08-24 2015-03-19 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム
US9778972B2 (en) 2011-08-24 2017-10-03 Nec Corporation Operation management device, operation management method
JP2017526964A (ja) * 2014-08-29 2017-09-14 カール ツァイス マイクロスコピー ゲーエムベーハーCarl Zeiss Microscopy Gmbh 画像を記録するための装置および方法

Similar Documents

Publication Publication Date Title
KR100611741B1 (ko) 네트워크 침입 탐지 및 방지 시스템 및 그 방법
Yoon et al. Communication pattern monitoring: Improving the utility of anomaly detection for industrial control systems
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
CN107968791B (zh) 一种攻击报文的检测方法及装置
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
JP2007013343A (ja) ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
CN112003864B (zh) 一种基于全流量的网站安全检测系统和方法
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN108683654B (zh) 一种基于零日攻击图的网络脆弱性评估方法
JP6711452B2 (ja) 抽出装置、抽出方法、及びプログラム
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP6052297B2 (ja) ネットワークのフィルタリング装置、及びフィルタリング方法
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
JP2005101854A (ja) パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
KR100687736B1 (ko) 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법
Bernieri et al. AMON: An automaton monitor for industrial cyber-physical security
CN110881016A (zh) 一种网络安全威胁评估方法及装置
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
JP5957593B2 (ja) データ中継装置、ネットワークシステム、および、データ中継方法
JP4235907B2 (ja) ワーム伝播監視システム
JPWO2020195229A1 (ja) 分析システム、方法およびプログラム
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
KR101753846B1 (ko) 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
Tayal et al. Communication recurrence and similarity detection in network flows