JP2005117100A - 侵入検知システムおよびトラヒック集約装置 - Google Patents

侵入検知システムおよびトラヒック集約装置 Download PDF

Info

Publication number
JP2005117100A
JP2005117100A JP2003344875A JP2003344875A JP2005117100A JP 2005117100 A JP2005117100 A JP 2005117100A JP 2003344875 A JP2003344875 A JP 2003344875A JP 2003344875 A JP2003344875 A JP 2003344875A JP 2005117100 A JP2005117100 A JP 2005117100A
Authority
JP
Japan
Prior art keywords
unit
aggregation
unauthorized access
unit data
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003344875A
Other languages
English (en)
Inventor
Kei Kato
圭 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2003344875A priority Critical patent/JP2005117100A/ja
Publication of JP2005117100A publication Critical patent/JP2005117100A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 不正アクセスを検知するための負荷を軽減し、リアルタイム性を高める。
【解決手段】 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムにおいて、前記通信システム内に設定された複数の参照点ごとに配置され、各参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部と、各トラヒック集約部から、その集約結果を受け取り、受け取った集約結果をもとに所定の分析処理を行って前記不正アクセスの有無を検知する不正アクセス検知部とを備える。
【選択図】 図1

Description

本発明は侵入検知システムに関し、例えば、侵入検知のリアルタイム性を高める場合などに適用して好適なものである。
また、本発明は、かかる侵入検知システムの構成要素としてのトラヒック集約装置に関するものである。
侵入検知システム(IDS)に関連する技術としては、下記の特許文献1に記載されたものがある。
この特許文献1において、侵入検知装置は、ネットワーク上を流れるすべてのパケットを受信し、分析することで、不正侵入が行われているか否かを判定する。そして、不正侵入が行われていると判定した場合には、通信遮断等の対策を行う。
特開2002−73433
ところが、前記特許文献1の技術では、ネットワーク上を流れるすべてのパケットを分析の対象としているため、分析を実行する前記侵入検知装置の処理能力にかかる負荷が大きく、多大な処理能力を用意する必要が生じたり、分析のリアルタイム性が犠牲になる可能性が高い。
また、多角的な分析を行い、分析の信頼度を高めるため、ネットワーク上に複数の参照点を設定し、各参照点から得られたパケットを同時に分析の対象とすることがあるが、そのようなケースでは、分析の対象となるパケットの数が格段に多くなるため、前記侵入検知装置の処理能力にかかる負荷ははるかに大きくなり、必要な処理能力や、犠牲になる可能性のあるリアルタイム性の大きさは、さらに大きくなる。
かかる課題を解決するために、第1の本発明では、通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムにおいて、前記通信システム内に設定された複数の参照点ごとに配置され、各参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部と、各トラヒック集約部から、その集約結果を受け取り、受け取った集約結果をもとに所定の分析処理を行って前記不正アクセスの有無を検知する不正アクセス検知部とを備えたことを特徴とする。
また、第2の本発明では、通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムの構成要素としてのトラヒック集約装置において、前記通信システム内に設定された複数の参照点のうち該当する参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部を備え、当該トラヒック集約部の集約結果を、前記不正アクセスの有無を検知する不正アクセス検知部に届けることを特徴とする。
本発明によれば、不正アクセスの有無を検知するための負荷を軽減でき、リアルタイム性を高めることが可能である。
(A)実施形態
以下、本発明にかかる侵入検知システムおよびトラヒック集約装置をIPv4ネットワークに適用した場合を例に、実施形態について説明する。
(A−1)第1の実施形態の構成
本実施形態にかかる侵入検知システム10の全体構成例を図1に示す。この侵入検知システム10は、その参照点RE12、RF12,RE13、RF13を介して、さらに大きなネットワーク(監視対象ネットワーク)に接続されている。この監視対象ネットワークは不正侵入の対象となり得、当該侵入検知システム10で監視すべきネットワークである。監視対象ネットワークの構成には様々なものがあり得るが、ここでは図示しない。一般的には、当該監視対象ネットワーク上に設置される各種のサーバ類(例えば、Webサーバ、メールサーバ、データベースサーバなど)が不正侵入による攻撃の対象とされることが多い。
図1において、当該侵入検知システム10は、分析器11と、2つのアグリゲータ12,13と、伝送路T11〜T15と、当該伝送路T13,T15に接続された前記参照点RE12、RF12,RE13、RF13とを備えている。
このうち分析器11は、所定の分析処理を実行して不正アクセスの有無を判定する通信装置である。不正アクセスの有無を判定するための分析処理の内容には様々なものがあり得るが、予め登録しておいた特定の不正アクセスのパターン(シグネチャ)に整合するか否かに基づいて、不正アクセスの有無を判定することもできる。
また、不正アクセスが有る旨の判定結果が得られた場合に当該分析器11が実行する処理(防御処理)にも様々なものがあり得るが、例えば、図示しないファイアウオール(FW)と連携して、当該ファイアウオールが実行しているフィルタリングの内容を変更し、その不正アクセスにかかるパケットを遮断するようにしてもよい。
当該分析器11は、アグリゲータ12,13と通信するために、ポートP11を備えている。
前記2つのアグリゲータ12,13は、接続されている参照点が相違するだけで、機能は同じである。ここでは、主としてアグリゲータ12のほうに注目して説明を進める。
アグリゲータ12は、前記参照点RE12から時系列に得られる複数のパケットDU12をポートPB12で受け取り、そのパケットDU12の全部(1パケット中の全フィールドの情報)または一部(1パケット中の一部のフィールドの情報)を所定の集約処理で集約(aggregate)した上で、その集約結果AG12を分析器11に届ける装置である。
侵入検知システム10内でもIPプロトコルが用いられるものとすると、当該集約結果AG12は、IPパケットに収容されて送信されることになる。
集約処理の規則(集約規則)には様々なものがあり得るが、複数のパケットDU12から得られる分析処理の基礎となる情報を、1つのパケットDU12または1つのパケットDU12と同等程度の情報に整理しまとめる処理を、集約処理とすることができる。直接、1つひとつのパケットを処理するのはなく、このような集約処理によって得られる集約結果AG12を処理することによって、前記分析処理のための負荷は大幅に軽減される。
分析処理の基礎となる情報が何であるかは、分析処理の内容に応じて異なる。一般的には、IPヘッダ、TCPヘッダ、UDPヘッダなどに含まれる各フィールドの情報が、分析処理の基礎となる情報とされる。なかでも、IPヘッダに含まれる宛先IPアドレスや送信元IPアドレス、TCPヘッダやUDPヘッダに含まれる宛先ポート番号や送信元ポート番号などは有用な情報である。
ここで、IPヘッダは、OSI参照モデルのネットワーク層に属するプロトコルであるIPプロトコルに対応するヘッダである。また、TCPヘッダは、OSI参照モデルのトランスポート層に属するプロトコルであるTCPプロトコルに対応するヘッダで、UDPヘッダは同じくトランスポート層に属するUDPプロトコルに対応するヘッダである。高い信頼性を重視する通信アプリケーション(例えば、HTTPやSMTPなど)は、トランスポート層のプロトコルとしてTCPプロトコルを利用し、リアルタイム性を重視する通信アプリケーション(例えば、DNSやIP電話の音声通話など)はトランスポート層のプロトコルとしてUDPプロトコルを利用する。
必要ならば、トランスポート層より上位の階層に属するプロトコルに対応するヘッダの情報や、通信アプリケーションが利用するユーザデータそのものを、前記分析処理に利用してもよいことは当然である。
不正侵入検知システム10は監視が目的であって、監視対象に影響を与えないのが基本であるから、通常、参照点RE12から得たパケットDU12は、透過的(1ビットも変更することなく)、かつ速やかに、ポートPC12から送出して参照点RF12より前記監視対象ネットワークへ返す。
透過的に送出する理由は、この種の中継装置でパケットDU12の内容が変化しては、通信の品質を維持することができないからである。ただし、不正アクセスであることが明確な場合などには、前記防御処理の一例として、不正アクセスの対象となっているサーバ(例えば、Webサーバ)と不正アクセスの実行元の通信端末のあいだのコネクションを強制的に切断してしまう内容に書き換えた上で、当該パケットDU12をポートPC12から送出することも考えられる。コネクションを切断してしまえば、サーバからの応答が不正アクセス実行元の通信端末へ返送されなくなるため、当該サーバに対する不正アクセスの続行が不可能となる。
また、速やかに送出する理由は、もしもアグリゲータ12内部の処理に起因する遅延により、ポートPC12からパケットDU12を送出するタイミングが遅れれば、例えば、IP電話の音声通話などのように、リアルタイム性が重要な通信アプリケーションの通信品質に重大な影響を与える可能性があるからである。通常、参照点RE12から受信されるパケットDU12の大部分は不正アクセスと無関係なパケットであると考えられるので、アグリゲータ12における遅延は最小限に抑える必要がある。
なお、前記パケットDU12とは反対方向に伝送されるパケットについても当該パケットDU12と同様に処理すること、すなわち、参照点RF12から得たパケットをアグリゲータ12や分析器11で処理して参照点RE12より監視対象ネットワークに返すことも可能であるが、ここでは、前記パケットDU12のみに着目する。
ポートPB12で受け取ったパケットDU12を、ポートPC12から送出するまでに、そのパケットDU12の情報を利用した前記分析処理を行う構成を取る場合には、アグリゲータ12内部の処理に要する時間だけでなく、前記分析器11内部の処理、およびアグリゲータ12と分析器11間の通信に要する時間のすべての合計が、十分に短い時間である必要がある。
なお、当該ポートPC12に接続されている伝送路T12の接続先の点RF12は、もしも当該侵入検知システム10が存在しなければ参照点RE12に接続されていたはずの機器である。この機器が何であるかは、前記監視対象ネットワークの構成や、参照点RE12を当該監視対象ネットワーク内のどの場所に選定するかに依存して変わるが、例えば、前記サーバ(例えば、Webサーバ)自体であることもあり、ハブ、L2スイッチ、ルータ、前記ファイアウオール、サーバ負荷分散装置(LB)などの中継装置であることもある。
前記アグリゲータ13は当該アグリゲータ12に対応する。
すなわち、前記アグリゲータ13のポートPA13は前記ポートPA12に対応し、ポートPB13は前記ポートPB12に対応し、ポートPC13は前記ポートPC12に対応する。また、参照点RE13からポートPB13に供給されるパケットDU13は、前記パケットDU12に対応する。
前記2つのアグリゲータ12,13が持つ各参照点RE12,RE13を監視対象ネットワーク内のどこに選定するかは自由であるが、大きく分けると、パケットDU13とDU12が同じパケットとなる選定と、ならない選定に分類することができる。
パケットDU13とDU12が同じパケットとなる選定の例としては、例えば、前記監視対象ネットワーク上にまったく同じ内容のWebページを提供できるWebサーバマシンを2つ用意し、インターネット側から届くパケットをサーバ負荷分散装置でこれら2つのWebサーバ(マシン)に振り分けるケースである。この場合、参照点RE12は一方のWebサーバと当該サーバ負荷分散装置のあいだに配置し、参照点RE13は他方のWebサーバと当該サーバ負荷分散装置のあいだに配置する。
これに対し、パケットDU13とDU12が同じパケットとならない選定の例としては、前記監視対象ネットワークが、前記ファイアウオールによって区切られ、DMZ(Demilitarized Zone)と社内LANを有する場合、参照点RE12をDMZの内部に選定し、参照点RE13を社内LANの内部に選定するケースである。ここで、DMZは、公開用のWebサーバやメールサーバなどを配置し、社内LANには、データベースサーバなどを配置する構成を取るものとする。データベースサーバは、保護する必要性の高い膨大な数の個人情報を蓄積したデータベースを直接管理していることが多いので、実際の監視対象ネットワークでもこのような構成が取られることは少なくない。
この場合、当該Webサーバは、インターネット側から前記ファイアウオール経由で到来するパケット(例えば、DU12)を受信し、そのパケットの内容に応じて新たなパケット(これが、例えば、DU13)を生成して前記ファイアウオール経由で社内LANにあるデータベースサーバに送信することになる。このとき、パケットDU13はパケットDU12の受信に起因して送信されるものであるため、両パケットDU12、DU13間には関連性が存在するものの、同じパケットではない。
この選定では、前記参照点RE12から得られるパケットDU12を監視することによってWebサーバに対するアクセスの内容を調べることができ、参照点RE13から得られるパケットDU13を監視することによってデータベースサーバに対するアクセスの内容を調べることができるので、パケットDU12とDU13の監視結果を対比すること等により、不正アクセスを適切に検知すること等が可能となる。
この場合にはまた、当該ファイアウオールが、パケット中のIPアドレスの書き換えを行うNAT(ネットワークアドレストランスレーション)機能を搭載していてもよいことは当然である。
前記分析器11のハードウエア的な内部構成は例えば図5に示す通りであってよい。アグリゲータ12,13のハードウエア的な内部構成も、図示したレベルの詳細さでは、分析器11と同じ構成を有するものであってよい。
(A−1−1)分析器のハードウエア構成例
図5において、当該分析器11は、通信部20と、制御部21と、記憶部22とを備えている。
このうち通信部20は、分析器11の通信機能を担う部分である。ハードウエア的にみた場合、前記ポートP11や、NIC(ネットワークインタフェースカード)などが当該通信部20に属する。NICはソフトウエア的なドライバ等と協調して動作することにより、主として、OSI参照モデルのデータリンク層以下の通信プロトコルを処理する。ネットワーク層の通信プロトコルとして上述したIPプロトコルを用いる場合、データリンク層や物理層の通信プロトコルとして様々な通信プロトコルを用いることが可能である。
制御部21は当該分析器11のCPU(中央処理装置)に対応する部分である。不正アクセスの有無を判定するために行う、前記シグネチャなどを利用した分析処理も、当該制御部21が実行する。前記リアルタイム性に寄与するため、必要ならば、マルチプロセッサ構成を取ってもかまわない。
記憶部22は、前記制御部21や通信部20に対し、揮発性または不揮発性の記憶資源を提供する部分である。上述したシグネチャなども、当該記憶部22内に記憶されている。
当該分析器11のソフトウエア構成は例えば図3に示す通りであってよい。
(A−1−2)分析器のソフトウエア構成例
図3において、当該分析器11は、オペレーティングシステムIO−1と、トラヒック情報受信部IT−1と、制御情報送信部IC−1と、侵入分析部IA−1と、侵入情報蓄積部ID−1とを備えている。
このうちオペレーティングシステムIO−1は、当該分析器11のOSである。前記ドライバなどもオペレーティングシステムIO−1の一部として含まれる。
前記トラヒック情報受信部IT−1は、前記アグリゲータ12から供給される集約結果AG12や、アグリゲータ13から供給される集約結果AG13などのトラヒック情報を受信して、前記侵入分析部IA−1に供給する部分である。
侵入分析部IA−1は、当該トラヒック情報をもとに、上述した分析処理を実行して、不正アクセスの有無の判定などを実行する部分である。この分析処理に際し、侵入情報蓄積部ID−1の蓄積内容が利用される。その分析処理の結果は、制御情報送信部IC−1に供給する。
当該制御情報送信部IC−1は、侵入分析部IA−1から受け取った分析処理の結果に応じて、制御情報C11を、アグリゲータ12,13などへ送信する。
侵入検知システム10内でもIPプロトコルが用いられるものとすると、当該制御情報C11も、前記集約結果AG12と同様、IPパケットに収容されて送信されることになる。
当該制御情報C11の宛先は基本的にアグリゲータ12および/または13であるが、前記ファイアウオールに防御処理の実行を指示する際にも当該制御情報C11を用いるものとするなら、前記ファイアウオールも、宛先に含まれ得る。その場合、図1に示した伝送路T11は、当該ファイアウオールに接続されている必要がある。
前記侵入情報蓄積部ID−1は、例えば、データベースなどの形式で、前記シグネチャを蓄積している部分で、侵入分析部IA−1からの要求に応じて該当するシグネチャを返す機能を備えている。
当該侵入蓄積部ID−1のハードウエア的な裏付けは、前記記憶部22が提供する記憶資源である。
また、オペレーティングシステムIO−1、トラヒック情報受信部IT−1、制御情報送信部IC−1、侵入分析部IA−1の各プログラムも、プログラムファイルなどの形で記憶部22に記憶されているが、その機能を発揮するときには、前記制御部21の演算能力や、前記通信部20のハードウエア資源が必要になる。
一方、前記アグリゲータ12のソフトウエア構成は例えば図2に示す通りであってよい。アグリゲータ13のソフトウエア構成もこれと同じである。
なお、アグリゲータ12,13のハードウエア構成は、図示したレベルの詳細さでみる限り、分析器11を示した図5と同じであるが、図1からも明らかなように、アグリゲータ12,13には、それぞれ3つのポートPA12〜PC12とPA13〜PC13があるため、ポート数の点で、分析器11と相違する。またアグリゲータ12および13では、各ポートごとに1つずつ、合計3つのNICが必要である。
(A−1−3)アグリゲータのソフトウエア構成例
図2において、当該アグリゲータ12は、オペレーティングシステムAO−1と、トラヒック情報送信部AT−1と、パケット送受信部AP−1と、制御情報受信部AC−1と、トラヒック情報生成部AM−1と、バッファ蓄積部AB−1とを備えている。
このうちオペレーティングシステムAO−1は、前記オペレーティングシステムIO−1と対応するので、その詳しい説明は省略する。
パケット送受信部AP−1は、前記参照点RE12から得られたパケットDU12をポートPB12で受信してトラヒック情報生成部AM−1に渡す部分である。当該バッファ蓄積部AB−1内に蓄積したパケットDU12は、当該アグリゲータ12内または前記分析器11内の処理が終わった後、トラヒック情報生成部AM−1がバッファ蓄積部AB−1から読み出して当該パケット送受信部AP−1に渡し、当該パケット送受信部AP−1を介して、前記ポートPC12から送信する。この送信も、当該パケット送受信部AP−1の役割である。
さらに、前記集約結果AG12を収容したパケットを分析器11に宛てて送信するときにも、当該パケット送受信部AP−1が機能するものであってよい。
制御情報受信部AC−1は、前記制御情報C11を収容したパケットを受信する部分である。
トラヒック情報生成部AM−1は、上述した各処理のほか、前記集約処理を実行し、その処理結果としてトラヒック情報(すなわち、集約結果)AG12を生成する部分である。生成した集約結果AG12は前記パケット送受信部AP−1に渡され、当該パケット送受信部AP−1でIPパケットに収容されて、前記ポートPA12から送信される。
前記監視対象ネットワークでIPプロトコルが用いられるものとすると、前記パケットDU12,DU13もIPパケットであることは当然である。
以下、上記のような構成を有する本実施形態の動作について説明する。
この動作は、参照点RE13,RE12の選定が、上述したパケットDU13とDU12が同じパケットとなるケースに対応し得るものである。
(A−2)第1の実施形態の動作
前記参照点RE12から得たパケットDU12は、アグリゲータ12内の前記通信部20および前記オペレーティングシステムAO−1を介して、パケット送受信部AP−1に供給され、パケット送受信部AP−1からトラヒック情報生成部AM−1に供給される。
トラヒック情報生成部AM−1では、当該パケットDU12をバッファ蓄積部AB−1に蓄積するとともに、前記集約処理を実行する。
ここでは、一例として、前記分析処理の基礎となる情報を、前記宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号であるものとして、前記集約規則の例を説明する。
前記参照点RE12から時系列に受信した3つのパケットDU12の宛先IPアドレス(DA)、送信元IPアドレス(SA)、宛先ポート番号(DP)、送信元ポート番号(SP)が、次の通りであるものとする。
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=200 …(DU121)
DA=1.1.1.1 SA=2.2.2.2 DP=150 SP=200 …(DU122)
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=1000 …(DU123)
ここで、当該3つのパケットDU12を区別するため、3つのパケットDU12をそれぞれ、DU121、DU122,DU123とする。また、「1.1.1.1」や「2.2.2.2」は、ドット表記で記述した32ビットのIPv4アドレスである。
このトラヒックを宛先IPアドレス(DA)と送信元IPアドレス(SA)に基づいて集約すると、アグリゲータ12から分析器11に送られる1回目の集約結果AG12は、例えば、次の内容となる。
「DA=1.1.1.1 SA=2.2.2.2のパケット数3」 …(AG12)
これと同時に、同様の集約処理がアグリゲータ13のほうでも行われたものとする。そして、前記参照点RE13から時系列に受信された3つのパケットDU13を区別するため、それぞれ、DU131,DU132,DU133とし、これら3パケットDU131〜DU133の宛先IPアドレス(DA)、送信元IPアドレス(SA)、宛先ポート番号(DP)、送信元ポート番号(SP)が、次の通りであるものとする。
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=200 …(DU131)
DA=1.1.1.1 SA=2.2.2.2 DP=170 SP=200 …(DU132)
DA=1.1.1.1 SA=2.2.2.2 DP=100 SP=1500 …(DU133)
このトラヒックを宛先IPアドレス(DA)と送信元IPアドレス(SA)に基づいて集約すると、アグリゲータ13から分析器11に送られる1回目の集約結果AG13は、例えば、次の内容となる。
「DA=1.1.1.1 SA=2.2.2.2のパケット数3」 …(AG13)
一般的には、ある送信元IPアドレス(ここでは、2.2.2.2)からある宛先IPアドレス(ここでは、1.1.1.1)へ送信されるパケットが連続して3パケット程度、検出されたことは、必ずしも異常とはいえないが、監視対象ネットワーク上の伝送帯域や、各機器(Webサーバなども含む)の稼働率などから、それを異常とみなすことができる場合もあり得る。また、この3が、3よりもはるかに大きな所定値を越えた値であれば、その一事をもって異常とみなすことができる場合もある。
この異常は、ある宛先IPアドレスに対するトラヒックの急増、または、ある送信元IPアドレスからある宛先IPアドレスに対するトラヒックの急増をもって異常と認めたものである。
このようなトラヒックの急増は、攻撃対象のサーバ(例えば、Webサーバなど)の処理能力を越えたトラヒックを大量に送りつけることによって、そのサーバを停止させたり、再起動させたりするDoS攻撃が試みられているケースなどに発生し得る現象である。
また、近年では、感染期と攻撃期を有するワームなどがこの種の攻撃に利用され、DDoS攻撃が試みられることもある。この種のワームは、感染期に世界中の多数のサーバに感染した上で、攻撃期になるとその多数のサーバを踏み台にして一斉に特定のサーバに攻撃を開始するため、一斉攻撃にさらされたサーバが前記監視対象ネットワーク内に存在すると、トラヒックの著しい急増が発生する可能性がある。
ある宛先IPアドレスに対するトラヒックの急増、または、ある送信元IPアドレスからある宛先IPアドレスに対するトラヒックの急増の程度が通常の運用ではあり得ないほど著しく、予め定めたしきい値以上に大きい場合などには、それだけを理由に、前記防御処理を指示して、その送信元IPアドレスから届くパケットをファイアウオールで遮断してもかまわないとも考えられるが、ここでは、分析器11内の侵入分析部IA−1の分析処理に基づき、当該分析器11が前記制御情報C11を送信して、各アグリゲータ12,13にさらに詳細な集約結果AG12、AG13の提供を求めたものとする。
前記集約結果AG12,AG13では、宛先IPアドレスと、送信元IPアドレスと、パケット数だけしか分からないからである。
いずれの通信アプリケーションが攻撃対象とされているかを特定するには、通常、前記宛先ポート番号(DP)が最も有用な情報であるので、当該制御情報C11では、各アグリゲータ12,13に宛先ポート番号(DP)の提供を要求したものとする。
この制御情報C11をポートPA12で受け取ったアグリゲータ12は、前記バッファ蓄積部AB−1に蓄積しているパケットDU121〜DU123のTCPヘッダ等を検査することにより、その宛先ポート番号を得て、例えば、次のような集約結果AG12を返送する。これは同じパケットDU121〜DU123に関して得られる2回目の集約結果である。
「DA=1.1.1.1 SA=2.2.2.2 DP=100 のパケット数2」 …(AG12)
制御情報C11をポートPA13で受け取ったアグリゲータ13でも、これと同様な処理が行われ、例えば、次のような集約結果AG12を分析器11へ返送する。これも、同じパケットDU131〜DU133に関して得られる2回目の集約結果である。
「DA=1.1.1.1 SA=2.2.2.2 DP=100 のパケット数2」 …(AG13)
これら2回目の集約結果AG12,AG13を受け取った分析器11では、宛先ポート番号の値(この例では、100)から、攻撃対象となっている通信アプリケーションを特定することができる。
実際にこのような値の宛先ポート番号に対応する通信アプリケーションが監視対象ネットワーク内で稼動しているか否か、あるいは、その値の宛先ポート番号がいずれの通信アプリケーションに対応するものであるか等を示す情報は、侵入情報蓄積部ID−1や、侵入分析部IA−1に予め登録しておくことができるため、侵入分析部IA−1は、その情報を検査することにより、そのパケットが不正アクセスのためのものであるか否か、あるいは、不正アクセスのためのものであるとした場合、不正アクセスの対象となっているのはいずれの通信アプリケーションであるか等の分析を行うことができる。
前記1回目の集約結果AG12,AG13を用いた分析処理や、2回目の集約結果AG12,AG13を用いた分析処理の結果として、前記パケットDU121〜DU123、パケットDU131〜DU133が不正アクセスと関係していることが判明した場合には、そのパケットを攻撃の対象となっているサーバなどへ中継する必要はないので、その旨の制御情報C11を送って各アグリゲータ12,13内で廃棄させるようにするとよい。
なお、前記1回目の集約結果AG12,AG13を用いた分析処理の結果、前記パケットDU121〜DU123およびパケットDU131〜DU133が不正アクセスと関係ないことが判明した場合には、分析器11は前記制御情報C11を送信して各アグリゲータ12,13に、速やかに前記パケットDU121〜DU123およびDU131〜DU133を各ポートPC12,PC13から送信させる。この送信が遅れれば、例えば上述したIP電話の音声通話など、リアルタイム性が重要な通信アプリケーションの通信品質を劣化させる可能性が高いからである。
この点は、前記2回目の集約結果AG12,AG13を用いた分析処理の結果、前記パケットDU121〜DU123およびパケットDU131〜DU133が不正アクセスと関係ないことが判明した場合についても同様である。
(A−3)第1の実施形態の効果
本実施形態によれば、複数の参照点(例えば、RE12,RE13)を持つ侵入検知システムで、不正アクセスの有無を検知するための負荷を軽減でき、処理(不正アクセスの有無の判定や、前記防御処理の実行などの各処理)のリアルタイム性を高めることが可能である。
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
本実施形態では、アグリゲータ自体が、ある程度の分析処理を実行し、その分析処理の結果、不正アクセスの可能性があると判定したパケットに関する情報のみを集約して、その集約結果を分析器に届けることを特徴とする。
これにより、すべてのパケットに関する集約結果を届ける第1の実施形態に比べ、分析器にかかる負荷は大幅に軽減できる。
本実施形態のアグリゲータが実行する分析処理(簡略分析処理)は、明らかに不正アクセスと無関係なパケットを排除できるものであればよいので、第1の実施形態の分析器11が実行する分析処理に比べてはるかに簡単な処理で足りる。第1の実施形態の分析器11が実行する分析処理のなかの一部の処理、または前処理を、当該簡略分析処理とすることも可能である。
(B−1)第2の実施形態の構成および動作
本実施形態と第1の実施形態の相違は、実質的に、アグリゲータの内部構成(ソフトウエア構成)に関する点に限られる。
本実施形態のアグリゲータ12A,13Aのソフトウエア構成例を図4に示す。ここで、アグリゲータ12Aは前記アグリゲータ12に対応し、アグリゲータ13Aは前記アグリゲータ13に対応するものである。したがって、アグリゲータ12Aと13Aの内部構成は同じであるが、ここでは主として、図4にはアグリゲータ12Aを示したものとして説明を進める。
図4において、当該アグリゲータ12Aは、オペレーティングシステムAO−1と、トラヒック情報送信部AT−1と、パケット送受信部AP−1と、制御情報受信部AC−1と、制御分析部AM−1と、バッファ蓄積部AB−1とを備えている。
ここで、図2と同じ符号AO−1、AT−1、AP−1、AC−1、AB−1を付与した各構成要素の機能は第1の実施形態と同じであるので、その詳しい説明は省略する。
本実施形態のアグリゲータ12Aが備える制御分析部AA−1は、第1の実施形態のトラヒック情報生成部AM−1が持っていた機能(集約処理を実行する機能など)に加えて、上述した簡略分析処理を実行する機能を有する。
当該制御分析部AA−1は、時系列に受信されたパケットDU12のなかから、簡略分析処理によって明らかに不正アクセスと無関係なパケットを排除し、排除されなかったパケットに対して前記集約処理を実行する。
この集約処理の結果である集約結果AG12を分析器11に届ける点や、分析器11から供給され得る制御情報C11に応じた処理(例えば、さらに詳細な情報(前記宛先ポート番号など)を届けること等)を実行する点は、第1の実施形態と同じである。
ただし本実施形態では、簡略分析処理により明らかに不正アクセスと無関係なパケットは排除され、不正アクセスと関係のあるパケットや、不正アクセスと関係がある可能性の残るパケットのみを集約処理の対象とするため、集約結果AG12が分析器11に届けられる頻度は第1の実施形態より低下し、分析器11の処理能力にかかる負荷はいっそう軽減される。
なお、当該簡略分析処理の内容によっては、分析器11で行う分析処理にさらに詳細な情報が必要であるか否かの判定も、当該簡略分析処理のなかで行うことができる可能性がある。その場合には、第1の実施形態で分析器11から制御情報C11を受信することによってアグリゲータ12から詳細な情報(宛先ポート番号など)を含む2回目の集約結果AG12を届けていたところを、本実施形態のアグリゲータ12Aでは、最初に送信する1回目の集約情報AG12のなかに詳細な情報を含めることができる。
これにより、アグリゲータ12Aと分析器11のあいだで前記制御情報C11や集約結果AG12(第1の実施形態における2回目の集約結果AG12など)を用いて実行される通信の頻度を低減することもできる。これは、分析器11の処理能力やアグリゲータ12A自体の処理能力にかかる負荷を低減することに寄与し、さらなるリアルタイム性の向上を可能とする。
なお、当該簡略分析処理の内容を、第1の実施形態の分析器11で行う分析処理の一部とした場合などには、その部分に関し、本実施形態の分析器11の分析処理で重ねて処理する必要はないから、第1の実施形態の分析器11で行う分析処理に比べると、本実施形態の分析器11で行う分析処理のほうが簡略なものとすることができる。
(B−2)第2の実施形態の効果
本実施形態によれば、第1の実施形態の効果とほぼ同等な効果を得ることができる。
加えて、本実施形態では、少なくとも分析器(11)の処理能力にかかる負荷を第1の実施形態よりも軽減することが可能で、処理のリアルタイム性をさらに高めることができる。
(C)他の実施形態
上記第1および第2の実施形態にかかわらず、アグリゲータの数は3つ以上であってもよいことは当然である。
また、上記第1および第2の実施形態にかかわらず、IPアドレスやポート番号の値が上述したものと相違してもよいことは当然である。特に宛先ポート番号の値は、通常、ICANNが管理するウエルノウンポート番号が使用されるため、実際には、上述したような値が使用されることは希である。
すなわち、上記第1の実施形態の動作では、宛先ポート番号として100番や150番を例示しているが、パケットDU12,DU13が例えばWebサーバへアクセスするためのパケットである場合、宛先ポート番号としては通常、80番(HTTPのウエルノウンポート番号)が使用されることは当然である。
なお、上記第1および第2の実施形態にかかわらず、監視対象ネットワーク側の伝送路や前記伝送路T13が同軸ケーブル、無線伝送路、または、ハブに直接接続された伝送路である場合などには、アグリゲータ12が参照点RE12からパケットDU12を受信するのとほぼ同時に、同じパケットDU12が宛先まで届く接続関係とすることも可能である。そのような接続関係とする場合には、伝送路T12自体を省略できる可能性がある。
この場合、上述した通信品質の観点から分析器11などにリアルタイム性が求められることはなくなるが、分析器11などの処理が遅れて、前記防御処理を実行するタイミングが遅れれば、不正アクセスの進行を許してしまうことになるので、やはり、処理は速く進めるほうが好ましい。
また、本発明は、侵入検知システム自体の負荷を軽減するためにサーバ負荷分散装置と併用することが可能である。本発明の侵入検知システム(10)を複数用意し、前記サーバ負荷分散装置で各侵入検知システムにパケットを振り分けるようにすれば、いっそうの負荷軽減、およびリアルタイム性の向上を期待することができる。
さらに、上記第1および第2の実施形態にかかわらず、分析器とアグリゲータのあいだに第3のノードが介在してもかまわない。例えば、前記簡略分析処理を実行する機能はアグリゲータ12A、13Aではなく、この第3のノードが搭載するようにしてもよい。
1つの侵入検知システム内において、アグリゲータの数が3つ以上である場合など、この第3のノードは、複数存在してもかまわない。
本発明は、上記第1および第2の実施形態で例示した以外の通信プロトコルに適用することも可能である。例えば、OSI参照モデルのネットワーク層の通信プロトコルとして、上述したIPプロトコルのかわりにIPXプロトコルなどを使用することもできる。
なお、以上の説明では、本発明をいわゆるネットワーク型の侵入検知システムに適用したが、本発明は、ホスト型の侵入検知システムにも適用できる可能性がある。
ネットワーク型の侵入検知システムは、上述したように機器間に設けられた伝送路から得たパケットをもとに侵入検知を行うのに対し、ホスト型の侵入検知システムでは、1つのホスト(1台のサーバマシン)の内部で得られる情報(例えば、ログファイルの内容など)をもとに侵入検知を行う。
ただし1つのサーバマシンの内部でも、複数の情報が伝送される複数の伝送路を想定することができる場合や、複数の情報の集合に基づいて侵入を検知する場合などには、本発明を適用することが可能である。
以上の説明でソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。また、以上の説明でハードウエア的に実現した機能の大部分は、ソフトウエア的に実現することも可能である。
第1の実施形態にかかる侵入検知システムの全体構成例を示す概略図である。 第1の実施形態にかかる侵入検知システムで使用するアグリゲータのソフトウエア構成例を示す概略図である。 第1の実施形態にかかる侵入検知システムで使用する分析器のソフトウエア構成例を示す概略図である。 第2の実施形態にかかる侵入検知システムで使用するアグリゲータのソフトウエア構成例を示す概略図である。 第1および第2の実施形態にかかる侵入検知システムで使用する分析器およびアグリゲータのハードウエア構成例を示す概略図である。
符号の説明
10…侵入検知システム、11…分析器、12,13…アグリゲータ、20…通信部、21…制御部、22…記憶部、IO−1、AO−1…オペレーティングシステム、IT−1…トラヒック情報受信部、IC−1…制御情報送信部、IA−1…侵入分析部、ID−1…侵入情報蓄積部、AT1…トラヒック情報送信部、AP−1…パケット送受信部、AC−1…制御情報受信部、AM−1…トラヒック情報生成部、AB−1…バッファ蓄積部、AG12,AG13…集約結果(トラヒック情報)、C11…制御情報、RE12、RE13…参照点。

Claims (6)

  1. 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムにおいて、
    前記通信システム内に設定された複数の参照点ごとに配置され、各参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部と、
    各トラヒック集約部から、その集約結果を受け取り、受け取った集約結果をもとに所定の分析処理を行って前記不正アクセスの有無を検知する不正アクセス検知部とを備えたことを特徴とする侵入検知システム。
  2. 請求項1の侵入検知システムにおいて、
    前記不正アクセス検知部は、
    前記不正アクセスの有無を判定するまでには至らなかったものの、不正アクセスの蓋然性が高いと判定した単位データに関しては、その単位データまたは当該単位データから抽出された情報の集約要求をトラヒック集約部に送る集約要求部を備え、
    前記トラヒック集約部は、
    当該集約要求に応じて、前記集約処理を実行し、その集約結果を前記不正アクセス検知部へ送ることを特徴とする侵入検知システム。
  3. 請求項1の侵入検知システムにおいて、
    前記トラヒック集約部は、
    前記参照点から得られた単位データが不正アクセスに関係するか否かを予測するための予測処理部を備え、
    当該予測処理部によって不正アクセスとの関係が予測された単位データまたは当該単位データから抽出された情報を、前記集約処理で集約して、その集約結果を前記不正アクセス検知部へ届けることを特徴とする侵入検知システム。
  4. 通信の単位となる単位データをもとに、当該単位データを利用して行われる所定の通信システム内への不正アクセスを検知する侵入検知システムの構成要素としてのトラヒック集約装置において、
    前記通信システム内に設定された複数の参照点のうち該当する参照点から得られた前記単位データまたは当該単位データから抽出された情報を、所定の集約処理を施して集約するトラヒック集約部を備え、
    当該トラヒック集約部の集約結果を、前記不正アクセスの有無を検知する不正アクセス検知部に届けることを特徴とするトラヒック集約装置。
  5. 請求項4のトラヒック集約装置において、
    前記不正アクセスの有無を判定するまでには至らなかったものの、不正アクセスの蓋然性が高いと判定した単位データに関して、前記不正アクセス検知部から集約要求が送られてくると、当該集約要求に応じて、その単位データまたは当該単位データから抽出された情報に対する前記集約処理を実行し、その集約結果を前記不正アクセス検知部へ送ることを特徴とするトラヒック集約装置。
  6. 請求項4のトラヒック集約装置において、
    前記参照点から得られた単位データが不正アクセスに関係するか否かを予測するための予測処理部を備え、
    当該予測処理部によって不正アクセスとの関係が予測された単位データまたは当該単位データから抽出された情報を、前記集約処理で集約して、その集約結果を前記不正アクセス検知部へ届けることを特徴とするトラヒック集約装置。
JP2003344875A 2003-10-02 2003-10-02 侵入検知システムおよびトラヒック集約装置 Pending JP2005117100A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003344875A JP2005117100A (ja) 2003-10-02 2003-10-02 侵入検知システムおよびトラヒック集約装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003344875A JP2005117100A (ja) 2003-10-02 2003-10-02 侵入検知システムおよびトラヒック集約装置

Publications (1)

Publication Number Publication Date
JP2005117100A true JP2005117100A (ja) 2005-04-28

Family

ID=34538359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003344875A Pending JP2005117100A (ja) 2003-10-02 2003-10-02 侵入検知システムおよびトラヒック集約装置

Country Status (1)

Country Link
JP (1) JP2005117100A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010512035A (ja) * 2006-11-14 2010-04-15 エフエムアール エルエルシー ネットワークにおける不正行為の検出及び禁止
JP2011526751A (ja) * 2008-07-04 2011-10-13 アルカテル−ルーセント 通信ネットワークのための侵入防止方法およびシステム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010512035A (ja) * 2006-11-14 2010-04-15 エフエムアール エルエルシー ネットワークにおける不正行為の検出及び禁止
JP2011526751A (ja) * 2008-07-04 2011-10-13 アルカテル−ルーセント 通信ネットワークのための侵入防止方法およびシステム

Similar Documents

Publication Publication Date Title
US8661544B2 (en) Detecting botnets
US8542684B2 (en) ARP packet processing method, communication system and device
US8732833B2 (en) Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
US20200137112A1 (en) Detection and mitigation solution using honeypots
US10693908B2 (en) Apparatus and method for detecting distributed reflection denial of service attack
US20190230116A1 (en) Distributed denial-of-service attack mitigation with reduced latency
US8254286B2 (en) Method and system for detection of NAT devices in a network
JP2008066945A (ja) 攻撃検出システム及び攻撃検出方法
US20190245890A1 (en) Method for a communication network, and electronic monitoring unit
US20140259140A1 (en) Using learned flow reputation as a heuristic to control deep packet inspection under load
Harshita Detection and prevention of ICMP flood DDOS attack
Lukaseder et al. An sdn-based approach for defending against reflective ddos attacks
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
Gonzalez et al. The impact of application-layer denial-of-service attacks
KR20200109875A (ko) 유해 ip 판단 방법
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
JP2005117100A (ja) 侵入検知システムおよびトラヒック集約装置
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
CN110071905A (zh) 用于提供连接的方法、边界网络以及ip服务器
JP2005130121A (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
US20180331957A1 (en) Policy Enforcement Based on Host Value Classification
Ohsita et al. Deployable overlay network for defense against distributed SYN flood attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071023

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080304