JP2005175993A - ワーム伝播監視システム - Google Patents
ワーム伝播監視システム Download PDFInfo
- Publication number
- JP2005175993A JP2005175993A JP2003414132A JP2003414132A JP2005175993A JP 2005175993 A JP2005175993 A JP 2005175993A JP 2003414132 A JP2003414132 A JP 2003414132A JP 2003414132 A JP2003414132 A JP 2003414132A JP 2005175993 A JP2005175993 A JP 2005175993A
- Authority
- JP
- Japan
- Prior art keywords
- worm
- packet
- monitoring system
- hash value
- data part
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】 ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、入力された不正なパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、各ワームパケット記録装置から取得した情報を解析し表示させるワーム伝播監視装置とを設ける。
【選択図】 図1
Description
従って本発明が解決しようとする課題は、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能なワーム伝播監視システムを実現することにある。
ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、入力された不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とを備えたことにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項3記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項1乃至請求項4のいずれかに記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
記憶手段と、前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とを備えたことにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項8記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項6乃至請求項9のいずれかに記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
記憶手段と、前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット捕捉装置が、
同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項1,2,3,4,5,12,13及び請求項14の発明によれば、各ネットワークの出入り口に設置された各ワームパケット記録装置が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワーム伝播監視装置が入力されたパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
4 IDS監視装置
5,6,7 ワームパケット記録装置
8 ワーム伝播監視装置
9 演算制御手段
10 記憶手段
11 ワームパケット捕捉装置
100 バックボーン・ネットワーク
101 管理用ネットワーク
102,103,104 ネットワーク
105 未割り当てアドレスブロック
Claims (14)
- ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、
入力された不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置と
を備えたことを特徴とするワーム伝播監視システム。 - 前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することを特徴とする
請求項1記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することを特徴とする
請求項1記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することを特徴とする
請求項3記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
記憶手段と、
前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることを特徴とする
請求項1乃至請求項4のいずれかに記載のワーム伝播監視システム。 - ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、
未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、
このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置と
を備えたことを特徴とするワーム伝播監視システム。 - 前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することを特徴とする
請求項6記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することを特徴とする
請求項6記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することを特徴とする
請求項8記載のワーム伝播監視システム。 - 前記ワームパケット記録装置が、
記憶手段と、
前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることを特徴とする
請求項6乃至請求項9のいずれかに記載のワーム伝播監視システム。 - 前記ワームパケット捕捉装置が、
同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することを特徴とする
請求項6記載のワーム伝播監視システム。 - 前記ワーム伝播監視装置が、
前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることを特徴とする
請求項1若しくは請求項6記載のワーム伝播監視システム。 - 前記ワーム伝播監視装置が、
前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることを特徴とする
請求項1若しくは請求項6記載のワーム伝播監視システム。 - 前記ワーム伝播監視装置が、
前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることを特徴とする
請求項1若しくは請求項6記載のワーム伝播監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003414132A JP4235907B2 (ja) | 2003-12-12 | 2003-12-12 | ワーム伝播監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003414132A JP4235907B2 (ja) | 2003-12-12 | 2003-12-12 | ワーム伝播監視システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005175993A true JP2005175993A (ja) | 2005-06-30 |
JP4235907B2 JP4235907B2 (ja) | 2009-03-11 |
Family
ID=34734027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003414132A Expired - Fee Related JP4235907B2 (ja) | 2003-12-12 | 2003-12-12 | ワーム伝播監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4235907B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006077666A1 (ja) * | 2004-12-28 | 2008-06-19 | 国立大学法人京都大学 | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
JP2011101192A (ja) * | 2009-11-05 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送方法 |
US9516050B2 (en) | 2014-02-28 | 2016-12-06 | Fujitsu Limited | Monitoring propagation in a network |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
JP2003330820A (ja) * | 2002-05-10 | 2003-11-21 | Mitsubishi Electric Corp | 不正アクセス管理装置 |
-
2003
- 2003-12-12 JP JP2003414132A patent/JP4235907B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
JP2003330820A (ja) * | 2002-05-10 | 2003-11-21 | Mitsubishi Electric Corp | 不正アクセス管理装置 |
Non-Patent Citations (1)
Title |
---|
信学技報 ISEC2003-92, JPN6008059373, ISSN: 0001188620 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006077666A1 (ja) * | 2004-12-28 | 2008-06-19 | 国立大学法人京都大学 | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
JP2011101192A (ja) * | 2009-11-05 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送方法 |
US9516050B2 (en) | 2014-02-28 | 2016-12-06 | Fujitsu Limited | Monitoring propagation in a network |
Also Published As
Publication number | Publication date |
---|---|
JP4235907B2 (ja) | 2009-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
JP4547342B2 (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
JP4479459B2 (ja) | パケット解析システム | |
CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
US20190028508A1 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
JP2008052637A (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
JP2008193538A (ja) | ネットワークへの攻撃監視装置および攻撃証跡管理装置 | |
JP4235907B2 (ja) | ワーム伝播監視システム | |
US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
JP2005323322A (ja) | ログ情報の蓄積および解析システム | |
WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
JPWO2016038662A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060602 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080515 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080602 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080725 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081120 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081203 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |