JP2005275683A - 侵入経路追跡システム - Google Patents

侵入経路追跡システム Download PDF

Info

Publication number
JP2005275683A
JP2005275683A JP2004086575A JP2004086575A JP2005275683A JP 2005275683 A JP2005275683 A JP 2005275683A JP 2004086575 A JP2004086575 A JP 2004086575A JP 2004086575 A JP2004086575 A JP 2004086575A JP 2005275683 A JP2005275683 A JP 2005275683A
Authority
JP
Japan
Prior art keywords
tracer
server
router
network side
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004086575A
Other languages
English (en)
Inventor
Tetsuya Kosaka
哲也 小坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2004086575A priority Critical patent/JP2005275683A/ja
Publication of JP2005275683A publication Critical patent/JP2005275683A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サーバ等への攻撃者に対し、攻撃に対する追跡が認識されないよう侵入経路の解析を行う侵入経路追跡システムを得ること。
【解決手段】広域ネットワーク1を介して踏み台サーバBを踏み台にして被攻撃サーバAを攻撃する攻撃端末Cから被攻撃サーバAへの侵入経路を追跡する侵入経路追跡システムにおいて、広域ネットワーク1とユーザネットワークを接続するルータ2bおよびルータ2cが、広域ネットワーク1側からユーザネットワーク側へ転送する際に、被攻撃サーバAからのデータパケットからトレーサを削除するトレーサ削除部53と、ユーザネットワーク側から広域ネットワーク1側へ転送する際に、被攻撃サーバAからのデータパケットにトレーサを再付加するトレーサ再付加部51と、を有する。
【選択図】 図2

Description

本発明は、ネットワーク上に配置されたサーバに対する攻撃の攻撃元を特定する侵入経路追跡システムに関するものである。
近年、ネットワーク上に配置された情報提供サーバに対する不正アクセス等の攻撃が増加しており、ネットワーク上で不正アクセスに対するセキュリティが施されている。情報提供サーバへの不正アクセス者(攻撃者)は、複数のホストを踏み台にして不正アクセスを行い、不正アクセスを行う攻撃端末の特定を困難にさせている。
従来、このような複数のホストを踏み台にした不正アクセスに対しては、踏み台とされたホストを1つずつ遡って攻撃端末を追跡していた。このため、攻撃者の追跡に多大な労力と時間を要しており、複数のホストを踏み台にした攻撃端末の特定を簡易かつ迅速に行うことが望まれている。
特許文献1に記載の攻撃経路追跡システムでは、情報提供サーバから出力されるデータに特定のマーク(識別子)を付加している。また、情報提供サーバから送信されるデータの途中経路に配置されたルータは、情報提供サーバで付加される識別子を予め記憶している。そして、ルータは受信したデータ流中に予め記憶しておいた識別子と一致する部分が含まれるか検索し、一致する部分が含まれる場合はこのデータの送信先アドレスと受信時刻を保存している。管理者は、ルータに保存されたデータの送信先アドレスと受信時刻を、攻撃経路の追跡に役立てている。
特開2001−308918号公報
上記従来の技術によれば攻撃経路の追跡を行うことはできるが、攻撃経路を追跡するための識別子が攻撃端末に届いてしまう。一般に、サーバへの攻撃は、(1)サーバを攻撃するための情報の収集、(2)不正アクセスするための権限の取得、(3)攻撃、(4)サーバへの侵入痕跡の消去といった手順で行われる。また、攻撃者同士は攻撃に関する情報の交換を日常的に行っている。このため、上記従来技術のように攻撃経路を追跡するための識別子が攻撃端末に届いてしまうと、攻撃経路の追跡に関する情報の交換が攻撃者同士で行われてしまうといった問題があった。
また、上記従来の技術ではサーバ等への攻撃を行う際に踏み台とされたサーバを特定することができないといった問題があった。また、上記従来の技術では攻撃経路を追跡するための情報を管理者が各ルータから収集し解析する必要があるため、攻撃経路の追跡を行う管理者への負担が大きいといった問題があった。
本発明は、上記に鑑みてなされたものであって、サーバ等への攻撃者に対し、攻撃に対する追跡が認識されないよう侵入経路の解析を行う侵入経路追跡システムを得ることを目的とする。
また、サーバ等への攻撃を行う際に踏み台とされたサーバを特定することが可能な侵入経路追跡システムを得ることを目的とする。また、サーバ等への攻撃を行う際に踏み台とされたサーバが攻撃者の追跡に必要な情報を自動的に提供することが可能な侵入経路追跡システムを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、広域ネットワークを介してユーザネットワークに接続されたサーバを踏み台にして被攻撃サーバを攻撃する攻撃端末から被攻撃サーバへの侵入経路を追跡する侵入経路追跡システムにおいて、前記被攻撃サーバへの攻撃を検知する不正侵入検知装置と、前記被攻撃サーバから攻撃端末に送信されるデータパケットに侵入経路を追跡するためのトレーサを付加して前記広域ネットワーク側へ転送するトレーサ付加ルータと、前記広域ネットワークと前記ユーザネットワークを接続する転送ルータと、を備え、前記転送ルータは、前記トレーサを検出するトレーサ検出部と、前記被攻撃サーバからのデータパケットを前記広域ネットワーク側から前記ユーザネットワーク側へ転送する際に、前記データパケットから前記トレーサ検出部で検出したトレーサを削除するトレーサ削除部と、前記広域ネットワーク側から前記ユーザネットワーク側へ転送したデータであって、前記ユーザネットワーク側から前記広域ネットワーク側へ転送するデータを検出するデータ検出部と、前記被攻撃サーバからのデータパケットを前記ユーザネットワーク側から前記広域ネットワーク側へ転送する際に、前記トレーサ削除部で削除されたトレーサを前記データパケットに再付加するトレーサ再付加部と、を有することを特徴とする。
この発明によれば、転送ルータが、被攻撃サーバからのデータパケットをユーザネットワーク側の装置へ転送する際に、データパケットに付加されたトレースを削除し、被攻撃サーバからのデータパケットをユーザネットワーク側の装置からネットワーク側へ転送する際に、データパケットにトレーサを再付加するので、転送ルータのユーザネットワーク側の装置が被攻撃サーバを攻撃した場合、攻撃した装置にトレースが転送されることはない。
この発明によれば、転送ルータのユーザネットワーク側の装置が被攻撃サーバを攻撃した場合、被攻撃サーバを攻撃した装置にトレースが転送されることはないので、被攻撃サーバを攻撃した装置にトレースを認識されることなく攻撃の侵入経路を追跡することが可能になるという効果を奏する。
以下に、本発明にかかる侵入経路追跡システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態.
まず、本実施の形態に係る侵入経路追跡システムの概念について説明する。図1は、本発明の実施の形態に係る侵入経路追跡システムの概念を説明するための図である。
攻撃端末Cは、踏み台サーバBを介して被攻撃サーバAに不正アクセスし、被攻撃サーバAから情報の不正入手や被攻撃サーバA内の情報の改ざん等の攻撃を行う。IDS(Intrusion Detection System)装置(不正侵入検知装置)3が被攻撃サーバAへの不正アクセスを検知し、ルータ2aに不正侵入の経路を追跡するためのトレーサを組み立てるための情報を送信する。ルータ2aは被攻撃サーバAから広域ネットワーク1に送信されるパケットにトレーサを付加して転送する。ここでは、攻撃端末Cが踏み台サーバBを介して被攻撃サーバAの情報を不正入手するので、被攻撃サーバAから送信されたパケットは、ルータ2aを介してルータ2bに送られる。
ルータ2bは、被攻撃サーバAから送られたパケットに付加されたトレーサを削除し、踏み台サーバBに転送する。また、ルータ2bは踏み台サーバBに転送するデータの中から特徴的なデータの一部を保存しておく。特徴的なデータの一部とは、例えば転送するデータが画像ファイルである場合、データの100byte目〜500byte目までのデータ等とする。また、転送するデータがテキストファイルである場合は、20byte目〜40byte目までのデータ等とする。さらに、ルータ2bは被攻撃サーバAから送信されたパケットからトレーサを削除して踏み台サーバBへ転送した旨をIDS装置3に報告する。
ルータ2bは、ユーザネットワーク側(アクセス側の踏み台サーバB)から広域ネットワーク1(コア網)に送信されるデータ(パケット)に、保存しておいた特徴的なデータの一部が含まれるかを確認する。ここでは、踏み台サーバBを介して情報の不正入手が行われるため、踏み台サーバBから広域ネットワーク1に送信されるデータに、保存しておいた特徴的なデータの一部が含まれる。ルータ2bは、踏み台サーバBから広域ネットワーク1に送信されるパケットにトレーサを再付加し、ルータ2cに転送する。また、ルータ2bは被攻撃サーバAから送信されたパケットにトレーサを再付加してルータ2cに転送した旨をIDS装置3に報告する。
ルータ2cは、被攻撃サーバAからのパケットに付加されたトレーサを削除し、攻撃端末Cに転送する。また、ルータ2bは踏み台サーバBに転送するデータの中から特徴的なデータの一部を保存しておく。ルータ2cは、被攻撃サーバAが送信したパケットを踏み台サーバB受信し、このパケットからトレーサを削除して攻撃端末Cへ転送した旨をIDS装置3に報告する。
ルータ2cは、ユーザネットワーク側から広域ネットワーク1に送信されるデータに、保存しておいた特徴的なデータの一部が含まれるかを確認する。ここでは、攻撃端末Cが情報の不正入手を行うため、ルータ2cから広域ネットワーク1へ被攻撃サーバAからのデータが送信されることはない。したがって、ユーザネットワーク側から広域ネットワーク1に送信されるデータに、保存しておいた特徴的なデータの一部が含まれることはない。
IDS装置3は、ルータ2bやルータ2cから受信した報告に基づいて、被攻撃サーバAへの侵入経路の解析を行う。1つのルータでトレーサの削除と再付加がされている場合は、このルータの先に接続された装置が踏み台となっている。ここでは、ルータ2bがトレーサの削除と再付加を行っているため、踏み台サーバBが踏み台にされていることが分かる。
また、1つのルータでトレーサの削除のみが行われている場合は、このルータの先に接続された装置が情報の不正入手を行った攻撃端元である。ここでは、ルータ2cがトレーサの削除のみを行っているため、攻撃端末Cが攻撃元であることが分かる。
つぎに、本実施の形態に係る侵入経路追跡システムのシステム構成について詳細に説明する。図2は、本実施の形態に係る侵入経路追跡システムのシステム構成を示す図である。
図2に示すように侵入経路追跡システムは、サーバ等を攻撃する攻撃端末C、攻撃端末Cから攻撃される被攻撃サーバA、攻撃端末Cが被攻撃サーバAを攻撃する際に踏み台とする踏み台サーバB、IDS装置3、ルータ2a、ルータ2b、ルータ2cからなる。
被攻撃サーバAと踏み台サーバBは、特定のサービスを提供するコンピュータ等である。本実施の形態においては被攻撃サーバAが攻撃端末C等に情報の提供を行うサーバであり、踏み台サーバBは攻撃端末Cが被攻撃サーバAへの不正アクセスを行う際に踏み台にされるサーバである。
攻撃端末Cは、広域ネットワーク1を介して踏み台サーバBや被攻撃サーバAに不正アクセスするパーソナルコンピュータ等の端末である。ルータ2a、ルータ2b、ルータ2cは、広域ネットワーク1上を流れるデータを被攻撃サーバA、踏み台サーバB、攻撃端末Cに中継する。ルータ2a、ルータ2b、ルータ2cは、夫々被攻撃サーバA、踏み台サーバB、攻撃端末CとLAN(Local Area Network)等によって接続されている。
IDS装置3は、ルータ2aおよび被攻撃サーバAにLAN等によって接続され、ルータ2aと被攻撃サーバA間で送受信されるデータの検出等を行う。IDS装置3は、攻撃検知部31、トレーサ付加要求部32、侵入経路解析部(解析装置)33、識別データ情報格納部34を備えている。攻撃検知部31は、パターンマッチ等によって被攻撃サーバAへの攻撃を検知する。
トレーサ付加要求部32は、攻撃検知部31によって被攻撃サーバAへの攻撃が検知されるとルータ2aにトレーサの組み立てを行うための指示情報、被攻撃サーバAから送信されるデータを検出するのに必要な情報、トレーサに格納するパケット識別子α、攻撃に関する情報を収集する装置であるIDS装置3のIPアドレス(通知先IPアドレス)をルータ2aに送信する。パケット識別子αは、トレースパケットを識別するための識別子である。
侵入経路解析部33は、ルータ2bやルータ2cから送信される情報を解析し、被攻撃サーバAへの不正侵入経路、踏み台とされたサーバ、攻撃元となった攻撃端末Cの特定を行う。識別データ情報格納部34は、被攻撃サーバAから送信されるパケットの特徴的なデータの一部を抽出するための情報(識別データ情報)を格納する。
ルータ2aは、トレーサ付加部41を備えている。トレーサ付加部41は、被攻撃サーバAへの攻撃が検知された際、被攻撃サーバAから広域ネットワーク1に送信されるパケットにトレーサを付加する。
ルータ2bは、トレーサ再付加部51、トレーサ検知部(トレーサ検知部)52、トレーサ削除部53、データ保持部(データ検出部)54、トレース情報通知部55を備えている。また、ルータ2cは、トレーサ再付加部61、トレーサ検知部62、トレーサ削除部63、データ保持部64、トレース情報通知部65を備えており、ルータ2bとルータ2cは同一の機能を有している。
トレーサ検知部52,62は、被攻撃サーバAから送信されるデータが不正入手されたパケットである場合に、被攻撃サーバAから送信されるパケットに付加されたトレーサを検出する。
トレーサ削除部53,63は、被攻撃サーバAから送信されたパケットにトレーサが付加されている場合に、トレーサを削除する。データ保持部54,64は、踏み台サーバBや攻撃端末C等のユーザネットワーク側の装置に被攻撃サーバAからのデータパケットを転送する際に、このデータの中から特徴的なデータの一部を保存しておき、ネットワーク1側からユーザネットワーク側へ転送したデータであって、ユーザネットワーク側からネットワーク1側へ転送するデータを検出する。
トレーサ再付加部51,61は、踏み台サーバB等のユーザネットワーク側の装置から広域ネットワーク側にデータを転送する際、被攻撃サーバAからのパケットにトレースを再付加して転送する。
トレース情報通知部55,65は、トレーサ削除部53によるトレースの削除処理やトレーサ再付加部51によるトレースの再付加処理が行われた際に、これらの処理内容等の情報をIDS装置3に送信する。
図3−1〜図3−3は本実施の形態にかかる侵入経路追跡システムの動作手順を示すフローチャートである。攻撃端末Cは、踏み台サーバBを介して被攻撃サーバAに不正アクセスし、被攻撃サーバAから情報の不正入手を試みる。IDS装置3の攻撃検知部31は、攻撃端末Cが被攻撃サーバAから情報の不正入手を試みると、攻撃端末Cから被攻撃サーバAに送られる攻撃フレームを検知することによって被攻撃サーバAへの攻撃を検知する(ステップS100)。攻撃検知部31による攻撃の検知としては、例えばパターンマッチ等を用いる。攻撃検知部31が攻撃端末Cによる攻撃を検知すると、トレーサ付加要求部32に対して、攻撃端末Cから送られてきた攻撃フレームのヘッダ情報(IPヘッダ)をトレーサ付加要求部32に送る(ステップS110)。
トレーサ付加要求部32は、攻撃検知部31からのIPヘッダに基づいて、被攻撃サーバAから攻撃端末Cに送信するパケット(不正入手されるパケット)を識別するのに必要な情報(以下、パケット識別情報という)を抽出(解析)する。ここでは、IPヘッダのDA(Destination Address)が踏み台サーバBのIPアドレスであって、IPヘッダのSA(Source Address)が被攻撃サーバAのIPアドレスであるパケットが、パケット識別情報(IP−DA/SA)となる。
トレーサ付加要求部32は、抽出したパケット識別情報(IP−DA/SA)、トレーサに格納するパケット識別子α、攻撃に関する情報を収集する装置であるIDS装置3のIPアドレス(通知先IPアドレス)、識別データ情報格納部34に格納されている識別データ情報の中から不正入手されるパケットに対応する識別データ情報をルータ2aのトレーサ付加部41に送信する(ステップS120)。
ルータ2aのトレーサ付加部41は、IDS装置3のトレーサ付加要求部32から送信されたパケット識別情報(IP−DA/SA)を記憶しておく。そして、被攻撃サーバAから広域ネットワーク1に送信される情報の中からパケット識別情報(IP−DA/SA)と同一のフレームを検出すると(ステップS130)、トレーサ付加要求部32からパケット識別情報(IP−DA/SA)とともに受信したパケット識別子α、通知先IPアドレス、識別データ情報に基づいてトレーサを組み立てる(ステップS140)。
図4は、トレーサの構成の一例を示す図である。図4に示すようにトレーサは、パケット識別子α、通知先IPアドレス、識別データ情報からなる。トレーサ付加部41は、組み立てたトレーサを被攻撃サーバAから広域ネットワーク1に送信されるパケットに付加してルータ2b(踏み台サーバB)に転送する(ステップS150)。
ルータ2bのトレーサ検知部52は、ルータ2aから送信されたトレーサが付加されたパケットを検知し、検知したパケット(フレーム)をトレーサ削除部53に送る。トレーサ削除部53は、トレーサ検知部52から送られたフレームに基づいてパケットの転送先を確認する(ステップS200)。そして、トレーサ削除部53がパケットの送信先が広域ネットワーク1側であると確認した場合は(ステップS210、No)、トレーサをパケットに付加したまま広域ネットワーク1側に転送する(ステップS220)。一方、トレーサ削除部53がパケットの送信先が踏み台サーバB側(ユーザネットワーク側)であると確認した場合は(ステップS210、Yes)、踏み台サーバB側に転送するパケットからトレーサを削除する(ステップS230)。
本実施の形態においては、攻撃端末Cが踏み台サーバBを踏み台にして(中継して)被攻撃サーバAから情報の不正入手を行っているため、被攻撃サーバAから送信されたパケットは一度踏み台サーバBに転送される。したがって、トレーサ削除部53はパケットの送信先が踏み台サーバB側であると判断し、踏み台サーバBに送信するパケットからトレーサを削除する。
さらに、トレーサ削除部53はトレーサの削除と同時にこのトレーサ内の識別データ情報に基づいて、被攻撃サーバAから受信したデータの中から特徴的なデータの一部(データX)を抽出しトレーサとともにデータ保持部54に格納する(ステップS240)。識別データ情報が、例えば100byte目〜140byte目である場合、被攻撃サーバAから受信したデータの100byte目〜140byte目をデータXとして抽出し、データ保持部54に格納する。
また、トレース情報通知部55はトレーサ内に格納されている通知先IPアドレス(IDS装置3のアドレス)に対し、パケット識別子α、ルータ2bで行った処理(トレーサの削除)、パケットの送信元である被攻撃サーバAを識別するための情報(装置名等)、パケットの送信先である踏み台サーバBを識別するための情報、パケットの有効期間を表すTTL(Time To Live)、パケット通過時間等の情報を経路解析情報として送信する(ステップS250)。IDS装置3は、侵入経路解析部33においてこの経路解析情報を記憶しておく。
ルータ2bのトレーサ再付加部51は、所定の時間(例えば5秒)の間、ユーザネットワーク側(踏み台サーバB)からコア側(広域ネットワーク1側)に流れる全パケットのデータとデータ保持部55で格納しているデータXを比較する(ステップS260)。
データ保持部54で格納しているデータXに一致するデータが、踏み台サーバBから広域ネットワーク1側に流れるパケットのデータにない場合は、データ保持部54で格納しているデータXおよびデータXとともに格納したトレーサを削除する。ここでは、踏み台サーバBから攻撃端末Cに不正入手したデータが流れるため、トレーサ再付加部51はデータ保持部54で格納しているデータXと同一のデータを踏み台サーバBから広域ネットワーク1側に流れるデータから検知する。
トレーサ再付加部51は、検知したデータ(パケット)にデータ保持部54に格納しているトレーサを再付加し、広域ネットワーク1を介してルータ2cに転送する(ステップS270)。
また、トレース情報通知部55は、トレーサ内に含まれる通知先IPアドレス(IDP装置3のIPアドレス)に対して、パケット識別子α、ルータ2bで行った処理(トレーサの再付加)、パケットの送信元である踏み台サーバBを識別するための情報、パケットの送信先である攻撃端末Cを識別するための情報、TTL、パケット通過時間等の情報を経路解析情報として送信する(ステップS280)。IDS装置3は、侵入経路解析部33においてこの経路解析情報を記憶しておく。
ルータ2cのトレーサ検知部62は、ルータ2bから送信されたトレーサを検知し、検知したパケットをトレーサ削除部63に送る。トレーサ削除部63は、トレーサ検知部62から送られたフレームに基づいてパケットの転送先を確認する(ステップS300、S310)。
トレーサ削除部63がパケットの送信先が広域ネットワーク1側であると確認した場合は、トレーサをパケットに付加したまま広域ネットワーク1側に転送する(ステップS320)。
本実施の形態においては、攻撃端末Cが被攻撃サーバAから情報の不正入手を行っているため、トレーサ削除部63はパケットの送信先が攻撃端末C側(ユーザネットワーク側)であると確認し、攻撃端末Cに送信するパケットからトレーサを削除する(ステップS330)。
さらに、トレーサ削除部63はトレーサの削除と同時にこのトレーサ内の識別データ情報に基づいて、パケット内の特徴的なデータXを抽出しトレーサとともにデータ保持部64に格納する(ステップS340)。
また、トレース情報通知部65はトレーサ内に格納されている通知先IPアドレス(IDS装置3のアドレス)に対し、パケット識別子α、ルータ2cで行った処理(トレーサの削除)、パケットの送信元である踏み台サーバBを識別するための情報、パケットの送信先である攻撃端末Cを識別するための情報、TTL、パケット通過時間等の情報を経路解析情報として送信する(ステップS350)。
ルータ2cのトレーサ再付加部61は、所定時間の間、ユーザネットワーク側(攻撃端末C)からコア側(広域ネットワーク1側)に流れる全パケットのデータとデータ保持部64で格納しているデータXを比較する(ステップS360)。
ここでは、攻撃端末Cが不正入手したデータを取得するため、攻撃端末Cから広域ネットワーク1側に流れるパケットのデータに、データ保持部64で格納しているデータXに一致するデータが無く、データ保持部64で格納しているデータXを削除する(ステップS370)。
攻撃端末Cは、トレーサが付加されていないデータをルータ2cから受信する。IDS装置3の侵入経路解析部33は、ルータ2bとルータ2cから送信されたパケット情報を記憶しており、このパケット情報に基づいて被攻撃サーバAから情報の不正入手をした時の侵入経路と情報の不正入手をした装置(攻撃端末C)の特定を行う(ステップS380)。
図5は、侵入経路解析部で記憶しているパケット情報の一例を示す図である。図5に示すように、侵入経路解析部33はルータ2bやルータ2cから受信した経路解析情報としてパケット識別子α、パケット通過時間、パケット情報を送信してきたルータのルータ名(報告ルータ名)、パケット情報を送信してきたルータで行われたトレースの処理、パケットの送信元装置、パケットの送信先装置を記憶している。
1つのパケット識別子αに対し、1つのルータでパケットの削除処理とパケットの再付加処理が行われている場合は、このルータの先(ユーザネットワーク側)に接続された端末は踏み台サーバと判断することができる。
1つのパケット識別子αに対し、1つのルータでパケットの削除処理のみが行われている場合、このルータからの送信先(ユーザネットワーク側)が攻撃端末、またはルータからの送信先がこのセグメント内にいる攻撃端末が利用しているゲートウェイであると判断することができる。
本実施の形態においては、パケット識別子αに対し、ルータ2bはパケットの削除処理とパケットの再付加処理を行っている。したがって、侵入経路解析部33はルータ2bの先に接続された装置が情報の不正入手に利用された踏み台サーバBであると判断する。
また、パケット識別子αに対し、ルータ2cはパケットの削除処理のみを行っている。したがって、侵入経路解析部33はルータ2cの先に接続された装置を攻撃端末Cまたはこのセグメント内にいる攻撃端末が利用しているゲートウェイであると判断する。
なお、侵入経路追跡システムにおいてルータ2bが複数からなる構成としてもよい。なお、本実施の形態においては、ルータ2a〜2cをIP網によってネットワーク接続している場合について説明したが、ルータ2a〜2cはIP網以外でネットワーク接続する構成としてもよい。また、本実施の形態においてはIDS装置3が侵入経路解析部33を備える構成としたが、IDS装置3以外の装置が侵入経路解析部33を備える構成としてもよい。
このように実施の形態によれば、攻撃端末Cに通信のトレースが行われていることを認識させることなく、踏み台サーバを利用した攻撃に対して踏み台サーバを含めた侵入経路の追跡を行うことが可能となる。
以上のように、本発明にかかる侵入経路追跡システムは、通信端末によるサーバ等の攻撃の追跡に有用であり、特に、踏み台サーバを利用した攻撃の追跡に適している。
本発明の実施の形態に係る侵入経路追跡システムの概念を説明するための図である。 本発明の実施の形態に係る侵入経路追跡システムのシステム構成を示す図である。 侵入経路追跡システムの動作手順を示すフローチャート(1)である。 侵入経路追跡システムの動作手順を示すフローチャート(2)である。 侵入経路追跡システムの動作手順を示すフローチャート(3)である。 トレーサの構成の一例を示す図である。 侵入経路解析部で記憶しているパケット情報の一例を示す図である。
符号の説明
1 広域ネットワーク
2a〜2c ルータ
3 IDS装置
31 攻撃検知部
32 トレーサ付加要求部
33 侵入経路解析部
34 識別データ情報格納部
41 トレーサ付加部
51,61 トレーサ再付加部
52,62 トレーサ検知部
53,63 トレーサ削除部
54,64 データ保持部
55,65 トレース情報通知部
A 被攻撃サーバ
B 踏み台サーバ
C 攻撃端末

Claims (6)

  1. 広域ネットワークを介してユーザネットワークに接続されたサーバを踏み台にして被攻撃サーバを攻撃する攻撃端末から被攻撃サーバへの侵入経路を追跡する侵入経路追跡システムにおいて、
    前記被攻撃サーバへの攻撃を検知する不正侵入検知装置と、
    前記被攻撃サーバから攻撃端末に送信されるデータパケットに侵入経路を追跡するためのトレーサを付加して前記広域ネットワーク側へ転送するトレーサ付加ルータと、
    前記広域ネットワークと前記ユーザネットワークを接続する転送ルータと、を備え、
    前記転送ルータは、
    前記トレーサを検出するトレーサ検出部と、
    前記被攻撃サーバからのデータパケットを前記広域ネットワーク側から前記ユーザネットワーク側へ転送する際に、前記データパケットから前記トレーサ検出部で検出したトレーサを削除するトレーサ削除部と、
    前記広域ネットワーク側から前記ユーザネットワーク側へ転送したデータであって、前記ユーザネットワーク側から前記広域ネットワーク側へ転送するデータを検出するデータ検出部と、
    前記被攻撃サーバからのデータパケットを前記ユーザネットワーク側から前記広域ネットワーク側へ転送する際に、前記トレーサ削除部で削除されたトレーサを前記データパケットに再付加するトレーサ再付加部と、を有することを特徴とする侵入経路追跡システム。
  2. 前記被攻撃サーバへの攻撃の侵入経路の解析を行う解析装置をさらに備え、
    前記転送ルータは、前記トレーサ削除部によって行われたトレーサの削除処理および前記トレーサ再付加部によって行われたトレーサの再付加処理に関する情報を、前記解析装置に送信するトレース情報通知部をさらに備え、
    前記解析装置は、前記トレース情報通知部から受信した情報に基づいて前記被攻撃サーバへの攻撃の侵入経路を解析することを特徴とする請求項1に記載の侵入経路追跡システム。
  3. 前記トレース情報通知部は、トレーサの削除処理およびトレーサの再付加処理に関する情報とともに、前記トレーサを識別するためのトレーサ識別情報、前記転送ルータにおいて前記被攻撃サーバからのデータパケットを転送する際の転送元を識別するための情報および前記転送ルータにおいて前記被攻撃サーバからのデータパケットを転送する際の転送先を識別するための情報を、前記解析装置に送信することを特徴とする請求項2に記載の侵入経路追跡システム。
  4. 前記解析装置は、1つのトレーサに対して1つの前記転送ルータがトレーサの削除処理とトレーサの再付加処理を行っている場合は、この転送ルータのユーザネットワーク側に接続されたサーバを被攻撃サーバの攻撃に利用された踏み台サーバと判断し、1つのトレーサに対して1つの前記転送ルータがトレーサの削除処理のみを行っている場合は、この転送ルータのユーザネットワーク側に接続された端末またはユーザネットワーク側のセグメント内に接続された端末が、被攻撃サーバに攻撃を行った端末であると判断することを特徴とする請求項2〜3のいずれか1つに記載の侵入経路追跡システム。
  5. 前記トレーサは、該トレーサを識別するための情報、前記解析装置のアドレス、前記データ検出部がデータ検出をするためのデータパケットに関する情報を含むことを特徴とする請求項1〜4のいずれか1つに記載の侵入経路追跡システム。
  6. ユーザネットワークを接続する広域ネットワークとユーザネットワークとを接続するルータにおいて、
    データパケットの侵入経路を追跡するために付加されたトレーサを検出するトレーサ検出部と、
    前記トレーサの付加されたデータパケットを前記広域ネットワーク側から前記ユーザネットワーク側へ転送する際に、前記データパケットから前記トレーサを削除するトレーサ削除部と、
    前記広域ネットワーク側から前記ユーザネットワーク側へ転送したデータであって、前記ユーザネットワーク側から前記広域ネットワーク側へ転送するデータを検出するデータ検出部と、
    前記被攻撃サーバからのデータパケットを前記ユーザネットワーク側から前記広域ネットワーク側へ転送する際に、前記トレーサ削除部で削除されたトレーサを前記データパケットに再付加するトレーサ再付加部と、を有することを特徴とするルータ。


JP2004086575A 2004-03-24 2004-03-24 侵入経路追跡システム Pending JP2005275683A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004086575A JP2005275683A (ja) 2004-03-24 2004-03-24 侵入経路追跡システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004086575A JP2005275683A (ja) 2004-03-24 2004-03-24 侵入経路追跡システム

Publications (1)

Publication Number Publication Date
JP2005275683A true JP2005275683A (ja) 2005-10-06

Family

ID=35175316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004086575A Pending JP2005275683A (ja) 2004-03-24 2004-03-24 侵入経路追跡システム

Country Status (1)

Country Link
JP (1) JP2005275683A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2015142324A (ja) * 2014-01-30 2015-08-03 日本電信電話株式会社 情報共有装置、情報共有方法、および、情報共有プログラム
US11233807B2 (en) 2018-04-06 2022-01-25 Fujitsu Limited Effective detection of a communication apparatus performing an abnormal communication

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2015142324A (ja) * 2014-01-30 2015-08-03 日本電信電話株式会社 情報共有装置、情報共有方法、および、情報共有プログラム
US11233807B2 (en) 2018-04-06 2022-01-25 Fujitsu Limited Effective detection of a communication apparatus performing an abnormal communication

Similar Documents

Publication Publication Date Title
Belenky et al. On IP traceback
JP3723076B2 (ja) 不正侵入防御機能を有するip通信ネットワークシステム
US20050044213A1 (en) Network traffic measurement system
TW201909016A (zh) 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
Wu et al. A source address validation architecture (sava) testbed and deployment experience
US7684339B2 (en) Communication control system
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
JP2005323322A (ja) ログ情報の蓄積および解析システム
CN106789999B (zh) 追踪视频源的方法及装置
JP2000124952A (ja) 電子データの追跡方法及びシステム、記録媒体
JP2005275683A (ja) 侵入経路追跡システム
JP2006191433A (ja) 踏み台パケット・進入中継装置特定装置
JP2010239392A (ja) サービス不能攻撃制御システム、装置、および、プログラム
JP2006013732A (ja) ルーティング装置および情報処理装置の認証方法
US8276204B2 (en) Relay device and relay method
KR20120071863A (ko) Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
JP2005086700A (ja) 名前解決・認証方法及び装置
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
JP4167866B2 (ja) データ伝送方法、データ伝送システム及びデータ伝送装置
Takemori et al. Host-based traceback; tracking bot and C&C server
JP4319609B2 (ja) 攻撃経路解析装置及び攻撃経路解析方法及びプログラム
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
CN111193722B (zh) 基于Linux内核加速转发的方法、装置、设备及介质
JP2003298628A (ja) サーバ保護ネットワークシステム、サーバおよびルータ