JP2005175993A - ワーム伝播監視システム - Google Patents

ワーム伝播監視システム Download PDF

Info

Publication number
JP2005175993A
JP2005175993A JP2003414132A JP2003414132A JP2005175993A JP 2005175993 A JP2005175993 A JP 2005175993A JP 2003414132 A JP2003414132 A JP 2003414132A JP 2003414132 A JP2003414132 A JP 2003414132A JP 2005175993 A JP2005175993 A JP 2005175993A
Authority
JP
Japan
Prior art keywords
worm
packet
monitoring system
hash value
data part
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003414132A
Other languages
English (en)
Other versions
JP4235907B2 (ja
Inventor
Hiroshi Hoshino
浩志 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2003414132A priority Critical patent/JP4235907B2/ja
Publication of JP2005175993A publication Critical patent/JP2005175993A/ja
Application granted granted Critical
Publication of JP4235907B2 publication Critical patent/JP4235907B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能なワーム伝播監視システムを実現する。
【解決手段】 ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、入力された不正なパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、各ワームパケット記録装置から取得した情報を解析し表示させるワーム伝播監視装置とを設ける。
【選択図】 図1

Description

本発明は、ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムに関し、特に未知のワームの感染拡大の際の不正なパケットの伝播経路を特定ことが可能なパケット選別装置に関する。
従来のワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムに関連する先行技術文献としては次のようなものがある。
特開2000−049852号公報 特開2000−261483号公報 特開2001−217834号公報 特開2002−158699号公報 特開2003−298648号公報 特開2003−298651号公報
近年のインターネットにおいては、”MS−SQL Slammer”や”Blaster”等と言った急速にサーバマシン等の装置に感染し拡大してゆくワーム(ネットワークを徘徊して感染するタイプのウイルス。単体で動作し、ほかのファイルへの感染は行わない。)が流行している。
そして、このようなワームにより世界的にネットワークの障害が起こる等、深刻な社会問題となっており、広範囲でのワームの活動の監視強化が望まれている。
一方、このようなワームが感染時に送信する不正なパケットのデータ部分には、感染先のシステムの脆弱性を利用して不正に実行されるプログラムが含まれており、このようなデータ部分は一般にワーム固有の特定のデータパターンを有している。
従って、ネットワークの各観測点において、このようなワーム固有の特定のデータパターンを検出することにより、当該データパターンを有するパケットの伝播経路を特定することが可能になる。
図12はこのような従来のワーム伝播監視システムの一例を示す構成ブロック図である。図12において1,2及び3はNIDS(Network Intrusion Detection System:ネットワーク侵入検知システム:以下、単にNIDSと呼ぶ。)、4は各NIDS1〜3を管理するIDS監視装置、100はインターネット上でネットワークとネットワークを結んでいる高速・大容量の基幹の回線であるバックボーン・ネットワーク、101はIDS監視装置4が接続される管理用ネットワーク、102、103及び104は監視対象となる汎用のネットワークである。
管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはIDS監視装置4が接続される。
ネットワーク102の出入り口にはNIDS1が接続され、同様に、ネットワーク103及び104の出入り口にはNIDS2及び3がそれぞれ接続される。
ここで、図12に示す従来例の動作を図13を用いて説明する。図13はワーム伝播監視システムの動作を説明するフロー図である。
図13中”S001”において各NIDS1〜3には不正なパケットを特定するための情報である定義情報(シグニチャ:例えば、ワーム固有の特定のデータパターン)が予め設定される。そして、図13中”S002”において各NIDS1〜3はネットワーク102〜104の出入り口をそれぞれ通過するパケットを監視する。
図13中”S003”においてNIDS1〜3が前述の定義情報(シグニチャ)に基づき不正なパケットを特定した場合には、図13中”S004”においてIDS監視装置4は、各NIDS1〜3のうち不正なパケットを特定したNIDSから不正なパケットに関する情報を収集し、図13中”S005”においてIDS監視装置4は、不正なパケットの伝播経路を特定する。
具体的には、各NIDS1〜3は通過するパケットを取得し、予め設定されている定義情報(シグニチャ)と比較して取得したパケットが当該定義情報(シグニチャ)に該当する不正なパケットであるか否かを判断すると共にIDS監視装置4にその旨を通知する。
一方、このような通知を受信したIDS監視装置4は、通知の発信元であるNIDSから特定された不正なパケットに関する送信先アドレス、送信元アドレス等の情報を収集し、通知の発信元のNIDSの設置位置(当該NIDSのIP(Internet Protocol)アドレス等から設置位置を特定する。)から当該不正なパケットが伝播したネットワークの出入り口を特定する。
この結果、各ネットワークの出入り口に各々NIDSを配置すると共に不正なパケットの定義情報(シグニチャ)を設定して、通過するパケットを監視させ、定義情報(シグニチャ)から不正なパケットを特定した場合にはIDS監視装置4が該当するNIDSから情報を収集することにより、不正なパケットの伝播経路、言い換えれば、ワームの感染拡大の際の伝播経路を特定することが可能になる。
しかし、図12に示す従来例では、各ネットワークの出入り口に設置された各NIDSに対して予め不正なパケットの定義情報(シグニチャ)を設定しておく必要性があるものの、当該定義情報(シグニチャ)はワームが送信したパケットに基づき作成するものであり、これまで未知であったワームが送信したパケットの定義情報(シグニチャ)が準備されるまでには数時間の時間を要する。
これに対して、昨今のワームは発生してから感染が拡大するまで10数分程度しかかからない場合もあるため、未知のワームが送信したパケットの定義情報(シグニチャ)をNIDSに設定した時点では、既に当該ワームが蔓延した後であったり、或いは、既に当該ワームの感染が終息した後になってしまう場合が想定され、ワームの送信する不正なパケットの検知が手遅れになってしまうと言った問題点があった。
このため、ワームの感染拡大に際しては、各ネットワークの出入り口に設置されたNIDSにおいては、ワームの送信する不正なパケットを特定することができず、実際にワームの感染が拡大したときの当該不正なパケットの伝播経路を把握できないと言った問題点があった。
従って本発明が解決しようとする課題は、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能なワーム伝播監視システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、入力された不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とを備えたことにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
請求項2記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
請求項3記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項4記載の発明は、
請求項3記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
記憶手段と、前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
請求項6記載の発明は、
ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とを備えたことにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項7記載の発明は、
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項8記載の発明は、
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項9記載の発明は、
請求項8記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
請求項10記載の発明は、
請求項6乃至請求項9のいずれかに記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
記憶手段と、前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項11記載の発明は、
請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット捕捉装置が、
同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項12記載の発明は、
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項13記載の発明は、
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
請求項14記載の発明は、
請求項1若しくは請求項6記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,12,13及び請求項14の発明によれば、各ネットワークの出入り口に設置された各ワームパケット記録装置が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワーム伝播監視装置が入力されたパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
また、請求項6,7,8,9,10,11,12,13及び請求項14の発明によれば、各ネットワークの出入り口に設置された各ワームパケット記録装置が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワームパケット捕捉装置が未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉し、ワーム伝播監視装置がワームパケット捕捉装置から受信した捕捉された不正なパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
また、請求項3,4,8及び請求項9の発明によれば、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレス等を順次記録、或いは、ハッシュ値の出現頻度の低い情報を順次削除することにより、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るワーム伝播監視システムの一実施例を示す構成ブロック図である。図1において100,101,102,103及び104は図12と同一符号を付してあり、5,6及び7は通過する全てのパケットを取得してパケットのデータ部分等を記録するワームパケット記録装置、8は各ワームパケット記録装置5〜7に対して検索を依頼するコンピュータ等のワーム伝播監視装置である。
管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはワーム伝播監視装置8が設置される。
ネットワーク102の出入り口(バックボーン・ネットワーク100とネットワーク102の接続点)にはワームパケット記録装置5が接続され、同様に、ネットワーク103及び104の出入り口(バックボーン・ネットワーク100とネットワーク103若しくはネットワーク104の接続点)にはワームパケット記録装置6及び7がそれぞれ接続される。
ここで、図1に示す実施例の動作を図2、図3、図4及び図5を用いて説明する。図2及び図4はワームパケット記録装置の動作を説明するフロー図、図3はワームパケット記録装置6〜8の具体例を示す構成ブロック図、図5はワーム伝播監視装置9の動作を説明するフロー図である。
図2中”S101”においてワームパケット記録装置5〜7はネットワークの出入り口を通過するパケットを取得し、図2中”S102”において取得したパケットのワーム固有の特定のデータパターンを有しているデータ部分を抽出すると共に、抽出されたデータ部分をハッシュ関数を用いてハッシュ値に変換する。
そして、図2中”S103”においてワームパケット記録装置5〜7は、前述のハッシュ値と共に取得したパケットの通過時刻、送信元アドレス及び送信先アドレス等を併せて記録する。
ここで、ワームパケット記録装置5〜7の具体例である図3において、9はCPU(Central Processing Unit)等の演算制御手段、10はRAM(Random Access Memory)等の記憶手段である。
観測点である回線からの入力は演算制御手段9に接続され、演算制御手段9の出力は記憶手段10に接続される。
例えば、図3中”LG01”に示すように観測点である回線から入力されたパケットは演算制御手段9に取り込まれ、IP(Internet Protocol)パケットの中でワーム固有の特定のデータパターンを有しているデータ部分を抽出する。
そして、演算制御手段9は抽出されたデータ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と取得したパケットの通過時刻、送信元アドレス及び送信先アドレス等の情報とを併せて記憶手段10に記録する。
そして、図4中”S201”においてワームパケット記録装置5〜7は、ワーム伝播監視装置8からの不正なパケットの検索の依頼があったか否かを判断し、もし、不正なパケットの検索の依頼がなかった場合には図4中”S201”のステップに戻る。
もし、図4中”S201”において不正なパケットの検索の依頼があったと判断した場合には、図4中”S202”においてワームパケット記録装置5〜7は、問い合わせのあった不正なパケットを検索する。
具体的には、ワームパケット記録装置5〜7を構成する演算制御手段9は、問い合わせのあった(ワーム伝播監視装置から送られてくる)パケットのデータ部分をハッシュ値に変換すると共に、記憶手段10内に記録されたデータを変換したハッシュ値に基づき検索する。
図4中”S203”においてワームパケット記録装置5〜7は、不正なパケットの記録があったか否かを判断し、もし、不正なパケット(正確には不正なパケットのデータ部分)の記録がなかったと判断した場合には図4中”S201”のステップにも戻る。
もし、図4中”S203”において不正なパケット(正確には不正なパケットのデータ部分)の記録があったと判断した場合には、図4中”S204”においてワームパケット記録装置5〜7は、不正なパケット(正確には不正なパケットのデータ部分)に関して記録されている通過時刻、送信元アドレス及び送信先アドレス等の情報をワーム伝播監視装置8に送信する。
具体的には、ワームパケット記録装置5〜7を構成する演算制御手段9は、問い合わせのあったパケットのデータ部分から生成したハッシュ値と一致するハッシュ値と共に記憶手段10に記憶されている通過時刻、送信元アドレス及び送信先アドレス等の情報を読み出しワーム伝播監視装置8に送信する。
一方、図5中”S301”においてワーム伝播監視装置8は、未知のワームが送信するパケットのデータ部分に関する情報が入力されたか否かを判断する。具体的には、未知のワーム感染拡大の後にワームの分析を行う組織等から入手した当該未知のワームの送信する不正なパケットのデータ部分の情報が入力されたか否かを判断する。
もし、図5中”S301”において不正なパケットのデータ部分の情報が入力されなかったと判断した場合には図5中”S301”のステップに戻り、不正なパケットのデータ部分が入力されたと判断した場合には、図5中”S302”においてワーム伝播監視装置8は、各ネットワークの出入り口に配置されたワームパケット記録装置5〜7に対して当該不正なパケットの検索を依頼する。
具体的には、ワーム伝播監視装置8は、入力された不正なパケットのデータ部分を各ワームパケット記録装置5〜7に送信して記録の検索を依頼する。
そして、図5中”S303”においてワーム伝播監視装置8は、各ワームパケット記録装置5〜7から不正なパケットに関する情報を取得したか否かを判断し、もし、当該情報を取得しなかったと判断した場合には図5中”S301”のステップに戻る。
もし、図5中”S303”において各ワームパケット記録装置から不正なパケットに関する情報を取得したと判断した場合には、図5中”S304”においてワーム伝播監視装置8は、取得した情報を解析して表示手段に表示させる。
例えば、図6は、x軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を示した場合の表示画面の一例を示す説明図である。図6に示すように今回検出されたワームが送信した不正なパケットは図6中”SA21”に示す送信元アドレスから主に送信され、図6中”DS21”に示す送信先アドレスに集中していることを容易に把握することができる。
また、例えば、図7は、ある特定のネットワークの出入り口(具体的には、ワームパケット記録装置6等)においてx軸を通過時刻、y軸を通過した不正なパケットのパケット数とした場合の表示画面の一例を示す説明図である。
図7中”UP31”及び”DP31”は上り方向及び下り方向の通過パケット数をそれぞれ示しており、図7に示すように図7中”TM31”に示す通過時刻を中心にワームが送信した不正なパケットが伝播したことを把握することができる。
また、例えば、図8は、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合した場合の表示画面の一例を示す説明図である。
図8に示すように、図8中”SA41”に示す送信元アドレスから図8中”DA41”、”DA42”、”DA43”、”DA44”、”DA45”及び”DA46”に示す各送信先アドレスに対して不正なパケットが送信されていることが容易に把握できる
すなわち、各ワームパケット記録装置5〜7で通過する全てのパケットのデータ部分等を記録しておき、未知のワームの感染拡大の後に未知のワームが送信する不正なパケットのデータ部分に基づき各ワームパケット記録装置を検索することにより、未知のワームであってもワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
この結果、各ネットワークの出入り口に設置されたワームパケット記録装置5〜7が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワーム伝播監視装置8が入力されたパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。
ちなみに、図1に示す実施例においては未知のワームの感染拡大後に、分析によって得られた未知のワームが送信する不正なパケットのデータ部分に基づき未知のワームの感染拡大の際の不正なパケットの伝播経路を特定しているが、未知のワームの感染拡大中に、未知のワームが送信する不正なパケットを捕捉して、現在感染が拡大しているワームの伝播経路を特定しても構わない。
図9はこのような感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定する本発明に係るワームワーム伝播監視システムの他の実施例を示す構成ブロック図である。図9において5,6,7,8,100,101,102,103及び104は図1と同一符号を付してあり、11は感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置、105は現在コンピュータ等のネットワーク機器に割り振られていないアドレスを使用した未割り当てアドレスブロックである。
管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはワーム伝播監視装置8が設置される。
ネットワーク102の出入り口(バックボーン・ネットワーク100とネットワーク102の接続点)にはワームパケット記録装置5が接続され、同様に、ネットワーク103及び104の出入り口(バックボーン・ネットワーク100とネットワーク103若しくはネットワーク104の接続点)にはワームパケット記録装置6及び7がそれぞれ接続される。
さらに、未割り当てアドレスブロック105はバックボーン・ネットワーク100に接続され、未割り当てアドレスブロック105にはワームパケット捕捉装置11が設置される。
ここで、図9に示す他の実施例の動作を図10及び図11を用いて説明する。図10はワームパケット捕捉装置11の動作を説明するフロー図、図11はワーム伝播監視装置8の動作を説明するフロー図である。但し、図1に示す実施例と同様の動作に関して、特にワームパケット記録装置5〜7の動作に関しては図1に示す実施例と同様であるので説明は省略する。
図10中”S401”においてワームパケット捕捉装置11は未割り当てアドレスブロック105に到達したパケットを取得し、図10中”S402”において取得したパケットのプロトコルとデータ部分を抽出する。
未割り当てアドレスブロック105には到達するパケットは本来の通信とは無関係のパケットであり、それらのパケットの中には未知のワームが送信した不正なパケットが含まれている可能性が非常に高い。
このため、同一プロトコルでデータ部分が同一であるパケットの取得数を監視し、その取得数が閾値を超えた場合に、当該パケットを未知のワームが送信したパケットとみなすことにより、感染拡大中の未知のワームを捕捉(特定)する。
すなわち、図10中”S403”においてワームパケット捕捉装置11は、同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過したか否かを判断し、閾値を超過しなかったと判断した場合には図10中”S401”のステップに戻る。
もし、図10中”S403”において同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過したと判断した場合には、図10中”S404”において、ワームパケット捕捉装置11は、当該パケットを未知のワームが送信したパケットとみなして、ワーム伝播監視装置8に当該不正なパケットのプロトコルとデータ部分を送信する。
一方、図11中”S501”においてワーム伝播監視装置8は、ワームパケット捕捉装置11から捕捉されたパケットのプロトコル及びデータ部分を受信したか否かを判断し、もし、捕捉されたパケットのプロトコル及びデータ部分を受信しなかったと判断した場合には図11中”S501”のステップに戻る。
もし、捕捉された不正なパケットのプロトコル及びデータ部分を受信したと判断した場合には、図11中”S502”においてワーム伝播監視装置8は、各ネットワークの出入り口に配置されたワームパケット記録装置5〜7に対して当該不正なパケットの検索を依頼する。
具体的には、ワーム伝播監視装置8は、受信した捕捉された不正なパケットのデータ部分を各ワームパケット記録装置5〜7に送信して記録の検索を依頼する。
そして、図11中”S503”においてワーム伝播監視装置8は、各ワームパケット記録装置から捕捉されたパケットに関する情報を取得したか否かを判断し、もし、当該情報を取得しなかったと判断した場合には図11中”S501”のステップに戻る。
もし、図11中”S503”において各ワームパケット記録装置から捕捉された不正なパケットに関する情報を取得したと判断した場合には、図11中”S504”においてワーム伝播監視装置8は、取得した情報を解析して表示手段に表示させる。
例えば、図6に示す表示画面からは、検出された未知のワームが送信した不正なパケットは図6中”SA21”に示す送信元アドレスから主に送信され、図6中”DS21”に示す送信先アドレスに集中していることを容易に把握することができる。
また、例えば、図7に示す表示画面からは、図7に示すように図7中”TM31”に示す通過時刻を中心に未知のワームが送信した不正なパケットが伝播したことを把握することができる。
さらに、例えば、図8に示す表示画面からは、未知のワームが、図8中”SA41”に示す送信元アドレスから図8中”DA41”、”DA42”、”DA43”、”DA44”、”DA45”及び”DA46”に示す各送信先アドレスに対して不正なパケットが送信していることを容易に把握することができる。
この結果、各ネットワークの出入り口に設置されたワームパケット記録装置5〜7が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワームパケット捕捉装置11が未割り当てアドレスブロック105に到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉し、ワーム伝播監視装置8がワームパケット捕捉装置11から受信した捕捉された不正なパケットのデータ部分に基づき各ワームパケット記録装置5〜7に検索を依頼し、取得した情報を解析し表示させることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
なお、図1若しくは図9に示す実施例においては監視対象のネットワーク101〜104としては3つのネットワークを例示しているが、勿論、この数に限定されるものではなく任意の数のネットワークに対して適用することが可能である。
この場合には、監視対象であるネットワークの数に応じてワームパケット記録装置を各ネットワークの出入り口に設置する必要がある。
また、図1等に示す実施例では、ワームパケット記録装置が不正なパケットのデータ部分を記録する際に、当該データ部分をハッシュ値に変換して記憶手段10に記録していたが、勿論、ハッシュ値に変換することなくデータ部分そのものを記憶手段10に記録しても構わない。
また、図1等に示す実施例では、ワームパケット記録装置が不正なパケットのデータ部分を記録する際に、当該データ部分をハッシュ値に変換して記憶手段10に記録していたが、全てのハッシュ値を時系列的に記録するのではなく、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレス等を順次記録しても構わない。
この場合には、ワームが送信する不正なパケットは大量のパケットとなる場合が多いので、出現頻度の高いハッシュ値から順番に検索することにより、ハッシュ値の検索時間の短縮が可能になる。また、同一のハッシュ値が多量に通過した場合であっても1つのハッシュ値の記録ですむことになるので記憶手段の記憶容量の低減が可能になる。
さらに、ハッシュ値の出現頻度の低い情報を順次削除しても構わない。具体的には、ハッシュ値の出現頻度の上位100位までを記憶しておき、101位以下の出現頻度のハッシュ値及びこのハッシュ値に対応する情報を破棄する。
この場合には、ハッシュ値の出現頻度の高い情報のみの記録ですむことになるので記憶手段の記憶容量の低減が可能になる。
また、ワーム伝播監視装置8が表示手段に表示させる表示画面の一例として図6、図7及び図8に示す表示画面を例示しているが、勿論、これらの表示画面に限定されるものではない。
また、図6示す表示画面では各ワームパケット記録装置から取得した送信元アドレス及び送信先アドレスに基づきx軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を表示させるているが、勿論、y軸を送信元アドレス、x軸を送信先アドレスとしても構わない。
本発明に係るワーム伝播監視システムの一実施例を示す構成ブロック図である。 ワームパケット記録装置の動作を説明するフロー図である。 ワームパケット記録装置の具体例を示す構成ブロック図である。 ワームパケット記録装置の動作を説明するフロー図である。 ワーム伝播監視装置の動作を説明するフロー図である。 x軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を示した場合の表示画面の一例を示す説明図である。 あるネットワークの出入り口においてx軸を通過時刻、y軸を通過した不正なパケットのパケット数とした場合の表示画面の一例を示す説明図である。 検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合した場合の表示画面の一例を示す説明図である。 本発明に係るワームワーム伝播監視システムの他の実施例を示す構成ブロック図である。 ワームパケット捕捉装置の動作を説明するフロー図である。 ワーム伝播監視装置の動作を説明するフロー図である。 従来のワーム伝播監視システムの一例を示す構成ブロック図である。 ワーム伝播監視システムの動作を説明するフロー図である。
符号の説明
1,2,3 NIDS(ネットワーク侵入検知システム)
4 IDS監視装置
5,6,7 ワームパケット記録装置
8 ワーム伝播監視装置
9 演算制御手段
10 記憶手段
11 ワームパケット捕捉装置
100 バックボーン・ネットワーク
101 管理用ネットワーク
102,103,104 ネットワーク
105 未割り当てアドレスブロック

Claims (14)

  1. ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
    バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、
    入力された不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置と
    を備えたことを特徴とするワーム伝播監視システム。
  2. 前記ワームパケット記録装置が、
    前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することを特徴とする
    請求項1記載のワーム伝播監視システム。
  3. 前記ワームパケット記録装置が、
    前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することを特徴とする
    請求項1記載のワーム伝播監視システム。
  4. 前記ワームパケット記録装置が、
    ハッシュ値の出現頻度の低い情報を順次削除することを特徴とする
    請求項3記載のワーム伝播監視システム。
  5. 前記ワームパケット記録装置が、
    記憶手段と、
    前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることを特徴とする
    請求項1乃至請求項4のいずれかに記載のワーム伝播監視システム。
  6. ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
    バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、
    未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、
    このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置と
    を備えたことを特徴とするワーム伝播監視システム。
  7. 前記ワームパケット記録装置が、
    前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することを特徴とする
    請求項6記載のワーム伝播監視システム。
  8. 前記ワームパケット記録装置が、
    前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することを特徴とする
    請求項6記載のワーム伝播監視システム。
  9. 前記ワームパケット記録装置が、
    ハッシュ値の出現頻度の低い情報を順次削除することを特徴とする
    請求項8記載のワーム伝播監視システム。
  10. 前記ワームパケット記録装置が、
    記憶手段と、
    前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることを特徴とする
    請求項6乃至請求項9のいずれかに記載のワーム伝播監視システム。
  11. 前記ワームパケット捕捉装置が、
    同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することを特徴とする
    請求項6記載のワーム伝播監視システム。
  12. 前記ワーム伝播監視装置が、
    前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることを特徴とする
    請求項1若しくは請求項6記載のワーム伝播監視システム。
  13. 前記ワーム伝播監視装置が、
    前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることを特徴とする
    請求項1若しくは請求項6記載のワーム伝播監視システム。
  14. 前記ワーム伝播監視装置が、
    前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることを特徴とする
    請求項1若しくは請求項6記載のワーム伝播監視システム。
JP2003414132A 2003-12-12 2003-12-12 ワーム伝播監視システム Expired - Fee Related JP4235907B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003414132A JP4235907B2 (ja) 2003-12-12 2003-12-12 ワーム伝播監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003414132A JP4235907B2 (ja) 2003-12-12 2003-12-12 ワーム伝播監視システム

Publications (2)

Publication Number Publication Date
JP2005175993A true JP2005175993A (ja) 2005-06-30
JP4235907B2 JP4235907B2 (ja) 2009-03-11

Family

ID=34734027

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003414132A Expired - Fee Related JP4235907B2 (ja) 2003-12-12 2003-12-12 ワーム伝播監視システム

Country Status (1)

Country Link
JP (1) JP4235907B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006077666A1 (ja) * 2004-12-28 2008-06-19 国立大学法人京都大学 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
JP2010161488A (ja) * 2009-01-06 2010-07-22 National Institute Of Information & Communication Technology ネットワーク監視システム及びその方法
JP2011101192A (ja) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> 伝送装置及び伝送方法
US9516050B2 (en) 2014-02-28 2016-12-06 Fujitsu Limited Monitoring propagation in a network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
WO2002089426A1 (fr) * 2001-04-27 2002-11-07 Ntt Data Corporation Systeme d'analyse de paquets
JP2003330820A (ja) * 2002-05-10 2003-11-21 Mitsubishi Electric Corp 不正アクセス管理装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
WO2002089426A1 (fr) * 2001-04-27 2002-11-07 Ntt Data Corporation Systeme d'analyse de paquets
JP2003330820A (ja) * 2002-05-10 2003-11-21 Mitsubishi Electric Corp 不正アクセス管理装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
信学技報 ISEC2003-92, JPN6008059373, ISSN: 0001188620 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006077666A1 (ja) * 2004-12-28 2008-06-19 国立大学法人京都大学 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
JP2010161488A (ja) * 2009-01-06 2010-07-22 National Institute Of Information & Communication Technology ネットワーク監視システム及びその方法
JP2011101192A (ja) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> 伝送装置及び伝送方法
US9516050B2 (en) 2014-02-28 2016-12-06 Fujitsu Limited Monitoring propagation in a network

Also Published As

Publication number Publication date
JP4235907B2 (ja) 2009-03-11

Similar Documents

Publication Publication Date Title
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
JP4479459B2 (ja) パケット解析システム
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
US20190028508A1 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP2008052637A (ja) 異常検知装置、異常検知プログラム、および記録媒体
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
JP2008193538A (ja) ネットワークへの攻撃監視装置および攻撃証跡管理装置
JP4235907B2 (ja) ワーム伝播監視システム
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP2005323322A (ja) ログ情報の蓄積および解析システム
WO2019240054A1 (ja) 通信装置、パケット処理方法及びプログラム
JP3892322B2 (ja) 不正アクセス経路解析システム及び不正アクセス経路解析方法
JP2010239392A (ja) サービス不能攻撃制御システム、装置、および、プログラム
JPWO2016038662A1 (ja) 情報処理装置及び情報処理方法及びプログラム
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060602

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081120

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081203

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111226

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees