JP2005223870A - 通信パケットのログから不正通信を発見する方法とそのシステム - Google Patents
通信パケットのログから不正通信を発見する方法とそのシステム Download PDFInfo
- Publication number
- JP2005223870A JP2005223870A JP2004063132A JP2004063132A JP2005223870A JP 2005223870 A JP2005223870 A JP 2005223870A JP 2004063132 A JP2004063132 A JP 2004063132A JP 2004063132 A JP2004063132 A JP 2004063132A JP 2005223870 A JP2005223870 A JP 2005223870A
- Authority
- JP
- Japan
- Prior art keywords
- data
- communication
- definition
- port number
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】パケットキャプチャからデータを取得して累積ログデータへ貯める通信ログ取得累積機構と累積ログデータから必要とされるデータを取り出し、用途に応じて、データ通信関連のデータと通信確認関連のデータとルーティング関連のデータに分配するログ取り出し・分類機構と、特に、ログ取り出し・分類機構はデータ通信関連のデータを読み、サービス提供タイプのデータとサービス要求タイプのデータに分配する。これらのデータをデータベースへ登録するデータの索引化機構がポート番号アクセス定義とカウント記録領域を使い、通信パケットをカウントし、このデータを並べ替えポート番号カウントファイルへ書き出す。
【選択図】なし
Description
図1は、パケットキャプチャ1からデータを取得して累積ログデータ3へ貯める通信ログ取得累積機構2と累積ログデータ3から必要とされるデータを取り出し、用途に応じて、TCPやUDPなどデータ通信関連のデータ5とICMPなどの通信確認関連のデータ8とARPやPPPOEなどルーティング関連のデータ9に分配するログ取り出し・分類機構4と、特に、ログ取り出し・分類機構4はデータ通信関連のデータ5を読み、サービス提供タイプのデータ6とサービス要求タイプのデータ7に分配する。これらのデータをデータベース(通信パケットテーブル)13へ登録するデータの索引化機構10により実現される。このとき、データの索引化機構10はポート番号アクセス定義11とカウント記録領域12を使い通信パケットをカウントし、すべての登録が終了した時に、カウント記録領域12のデータを並べ替えポート番号カウントファイル14へ記録領域12の内容を書き出す。
図2は、検索選択メニューのポート番号の表示順を決めるポート番号カウントファイル14と検索定義18と異常な通信の検索時、除外条件生成に利用するポート番号アクセス定義11と指令を入力する入力装置15とその指令を受け取り、データベース(通信パケットテーブル)13を検索し時系列表示の指示があれば、検索結果を時間順にまとめて表示装置16に表示する検索・時系列表示機構17により構成される。検索・時系列表示機構17はデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を表示する。
サービス提供タイプのデータ6とは自分のセンターでサーバを運用しインターネットへサービスを公開している時、これらサーバの通信を取り出したもの。逆に、サービス要求タイプのデータ7とは、自分のセンター内部のクライアントからファイアウォールを抜けてインターネット上のサーバと交信している通信を取り出したものを言う。
このように、データ通信関連のデータ5を2つのタイプに分離することで、異常な通信を検索しやすくなる。本発明は、上記の逆の場合、すなわち、初めにサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離し、それを処理対象にする方式やサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離後、さらに用途別に分離しデータ登録する場合も含むものとする。
サービス提供タイプのデータ6とサービス要求タイプのデータ7をデータベース(通信パケットテーブル)13へ登録する場合、サービス提供タイプのデータ6の場合は受信データ、サービス要求タイプのデータ7の場合は送信データを対象に登録する。これらのデータはインターネット上の攻撃や情報漏洩で良く利用されるリクエスト(要求)データを含むため、このデータを索引化することは、データベースのデータ量の削減と異常発見の近道となる。
データの索引化機構10はこれらのデータをデータベース(通信パケットテーブル)13に登録するが、このとき、登録するデータがサービス提供タイプのデータ6の場合、自分のセンターにあるサーバの通信記録なので、攻撃情報を把握しておく必要がある。
そのため、データの索引化機構10はポート番号アクセス定義11を参照し、カウント記録領域12を利用し、図4に示す手順により通信パケットの数をカウントする。この時、カウント記録領域12にある「送信先IPアドレスと送信先ポート番号」又は「プロトコル名と送信先ポート番号」と対になったカウンタが利用される。データの登録処理が終了した時、カウント記録領域12の情報をカウントの多い順又は少ない順に並べ替えポート番号カウントファイル14へ書き出す。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13を検索する機能を持つが、データベースを構成するデータの検索だけでなく、ポート番号カウントファイル14により、通信を許していない送信先ポート番号を指定する検索選択メニューにおいてアクセスカウントの多い順又は少ない順で送信先ポート番号を表示できる。これにより、自分のセンターに設置してあるサーバの通信を許していないポート番号において、アクセスの多い順又は少ない順に送信先ポート番号をキーにした検索が行えるようになる。
検索定義18には「WEBアクセスの検索定義(図15)」、「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」の種類が存在し、検索・時系列表示機構17はこの定義を読み、選択メニューを表示装置16に表示する。この選択メニューから選択することで、これらの検索条件をデータベース(通信パケットテーブル)13を構成するデータの検索条件に追加して利用する。
特に「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」は異常な通信の検索に利用する場合が多い。この場合、正常な通信とみなされる通信パケットは検索から除外する必要がある。そこで検索・時系列表示機構17はポート番号アクセス定義11の「通常通信の定義(図10)」と「認可通信の定義(図11)」をもとに検索から除外する条件を生成し、異常な通信を検索する検索条件に付加する機能を持つ。この機能により高い検索精度が実現される。
検索・時系列表示機構17は他に、発見の難しいポートスキャンの検索条件の生成も行う。ポートスキャンとは、悪意を持つ者が目標のサーバへ侵入する場合、最初に行うもので、目標のサーバのポート番号が使用可能か判定する行為である。これは目標のサーバのポート番号へアクセスする形で行われる。短時間に目標のサーバのポート番号を変えてアクセスする行為もあれば、時間をおいて目標のサーバのポート番号を少しずつ変えアクセスする行為もある。一般に後者の発見が難しいとされている。このポートスキャンの特徴を参考にし「送信元IPアドレスが同じであり、送信先ポート番号が同じである通信パケットの数が一定数以下、且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成するか、データベース(通信パケットテーブル)13の通信パケットデータの送信元IPアドレスに範囲を持たせていた場合、「送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成し検索を行うことでポートスキャンを発見することができる。
検索・時系列表示機構17は図5の流れ図に示されるようにデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、それらデータの元である累積ログデータ3へさかのぼりデータ表示ができる。
また、検索時に累積ログデータ3やデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9は必ずしも必要ではなく、参照の必要がない場合、別媒体に退避しておく。つまり、異常な通信の検索はデータベース(通信パケットテーブル)13のみあれば実行できる。そこから詳細な情報であるデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を参照したい場合、別媒体に退避したデータを復元して参照すればよい。別々のデータに分離する目的は、それぞれが退避可能であることも意味している。
以上の仕組みにより、膨大な量のパケットキャプチャのデータを初めから調べることをせず、最少の情報検索から異常を見つけ、そこから段階的に元のパケットキャプチャのデータを調査する方法を実現したのが本発明の主な特徴である。
以降、データの索引化機構10のカウント処理はカウント記録領域12を使って行われる。
サービス提供タイプのデータ6の登録では受信データが登録され、サービス要求タイプのデータ7の登録では送信データが登録される。データベース(通信パケットテーブル)13は図19に示す構成になっている。
一致(YES)の場合、処理ステップ9へ進む。
NOの場合、処理ステップ10へ進む。
一致(YES)の場合、通信パケットは異常とみなされないので図4の終了へ進む。NOの場合、処理ステップ11へ進む。
一致(YES)の場合、処理ステップ12へ進む。
NOの場合、処理ステップ13へ進む。
この時、データベース(通信パケットテーブル)13を構成するデータの検索選択メニューも同時に表示される。
終了(YES)の場合、検索・時系列表示機構17は終了する。
NOの場合、処理ステップ18へ進む。
検索指令(YES)の場合、図6の処理ステップ23へ進む。
NOの場合、処理ステップ19へ進む。
「検索定義」の指定(YES)の場合、処理ステップ24へ進む。
NOの場合、処理ステップ25へ進む。
異常な通信の検索の指定がある(YES)の場合、処理ステップ26へ進む。
NOの場合、図7の処理ステップ27へ進む。
異常な通信の検索の指定は検索定義11の「WEB攻撃の検索定義(図16)」と「ユーザ専用の検索定義(図17)」により指令が付加される場合、表示装置16に表示された選択から指定する場合と、図8の処理ステップ31に示すように処理の延長上で設定される場合がある。
処理の流れは図7へ進む。
以降、図7で処理の流れを説明する。
指令が時系列表示付き(YES)の場合、処理ステップ28へ進む。
NOの場合、処理ステップ29へ進む。
時系列表示付きの検索指令は表示装置16に表示された選択から指定される。
ポートスキャンの検索指令(YES)の場合、図8の処理ステップ30へ進む。NOの場合、図5の処理ステップ20へ進む。
ログ取り出し・分類機構4が出力したデータの表示指令(YES)の場合、図9の処理ステップ32へ進む。NOの場合、図5の処理ステップ21へ進む。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13へ格納する形態によりデータベース内のデータ(通信パケット)がデータ通信関連のデータ5に所属するのか、通信確認関連のデータ8に所属するのか、ルーティング関連のデータ9に所属するのか把握している。表示後は図5の処理ステップ16へ戻る。
累積ログデータ3の表示指令(YES)の場合、図5の処理ステップ22へ進む。NOの場合、図5の処理ステップ16へ戻る。
Claims (4)
- ネットワークに設置された通信パケット記録装置の通信パケットの記録から代表的な部分を取り出すと共に、用途別にルーティング関連のデータと通信確認関連のデータとデータ通信関連のデータに分け、さらにデータ通信関連のデータをサービス提供タイプのデータとサービス要求タイプのデータに分け、サービス提供タイプのデータでは受信データを、サービス要求タイプのデータでは送信データをデータベースへ登録する点を特徴としたデータ登録方法を有し、データベースの元データであるルーティング関連のデータ、通信確認関連のデータ、データ通信関連のデータの表示と通信パケットの記録の表示が可能なシステム。
- データ通信関連のデータである通信パケットをデータベースへ登録するとき、IPアドレスとポート番号を識別する定義である「通常通信の定義」、「認可通信の定義」、「各ポート番号に対する通信の定義」をそれぞれ用意し、通信パケットのIPアドレスとポート番号とこの定義の示すIPアドレスとポート番号を照合させる。「通常通信の定義」は通信を許しているIPアドレスとポート番号の定義であり、「各ポート番号に対する通信の定義」は通信を許していないポート番号の定義である。通信パケットの送信先IPアドレスと送信先ポート番号が「通常通信の定義」の送信先IPアドレスと送信先ポート番号と一致した場合、正常なアクセスとして「通常通信の定義」に対応するカウンタをカウントアップし、それ以外の通信パケットは「認可通信の定義」の送信先IPアドレスと送信元ポート番号と一致するか調べ、一致しない通信パケットは「各ポート番号に対する通信の定義」の送信先ポート番号と照合し、一致した場合、この定義に対応するカウンタをカウントアップする。一致しない場合、未定義の(未知の)攻撃として、新規にカウンタを生成し、以降、該当する通信パケットをカウントする。
この結果、通信を許している送信先IPアドレスと送信先ポート番号ごとのアクセス数と通信を許していない送信先ポート番号ごとのアクセス数が判明するので、これらデータをカウント数の多い順又は少ない順で並べ替え、ファイルへ書き出すことで、後に、通信を許している送信先IPアドレスと送信先ポート番号の検索選択メニュー及び通信を許していない送信先ポート番号を指定する検索選択メニューにおいてカウントの多い順又は少ない順に送信先ポート番号を表示させることを目的とするデータのカウント方法とその結果の利用方法。 - データベースに格納されたデータを検索する場合、データベースに属する検索条件又はこの条件に利用者が独自に定義できる「検索定義」を追加する時、この検索条件が異常な通信の検索を行うものであったなら正常とみなす通信は検索から除外する必要がある。この時、請求項2で使用した「通常通信の定義」と「認可通信の定義」から検索の除外条件、すなわち、「通常通信の定義」からは「送信先IPアドレスと送信先ポート番号に一致しない」という検索条件と「認可通信の定義」からは「送信先IPアドレスと送信元ポート番号に一致しない」という検索条件を生成し、この検索条件を元の検索条件に付加して検索実行する方法とその方法をもつシステム。
- 通信パケットが格納されたデータベースを検索する場合、「ポートスキャン」という異常な通信を検索する目的で「送信元IPアドレスが同じか又は送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成し、請求項3で示す検索除外条件を加え、データベースを検索する方法とその方法をもつシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004063132A JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004063132A JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005223870A true JP2005223870A (ja) | 2005-08-18 |
Family
ID=34999134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004063132A Pending JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005223870A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012095038A (ja) * | 2010-10-26 | 2012-05-17 | Kinki Univ | パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体 |
US9608879B2 (en) | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
JP2018074465A (ja) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
-
2004
- 2004-02-05 JP JP2004063132A patent/JP2005223870A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012095038A (ja) * | 2010-10-26 | 2012-05-17 | Kinki Univ | パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体 |
US9608879B2 (en) | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
US10691748B2 (en) | 2014-12-02 | 2020-06-23 | At&T Intellectual Property I, L.P. | Methods and apparatus to process call packets collected in a communications network |
JP2018074465A (ja) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7685637B2 (en) | System security approaches using sub-expression automata | |
US8762386B2 (en) | Method and apparatus for data capture and analysis system | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
KR101239401B1 (ko) | 보안 시스템의 로그 분석 시스템 및 방법 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
CN107247902A (zh) | 恶意软件分类系统及方法 | |
RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
CN108353083A (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
US7216364B2 (en) | System security approaches using state tables | |
CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
Aldwairi et al. | Exscind: Fast pattern matching for intrusion detection using exclusion and inclusion filters | |
CN106528805B (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
US7779464B2 (en) | System security approaches utilizing a hierarchical memory system | |
CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
JP2005223870A (ja) | 通信パケットのログから不正通信を発見する方法とそのシステム | |
CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
CN114430344A (zh) | 基于工控流量和威胁情报关联分析的攻击组织识别方法 | |
CN113572776A (zh) | 非法侵入检测装置及方法 | |
CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070921 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071016 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071225 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080415 |