JP2007096544A - Transmission source tracking apparatus - Google Patents
Transmission source tracking apparatus Download PDFInfo
- Publication number
- JP2007096544A JP2007096544A JP2005280927A JP2005280927A JP2007096544A JP 2007096544 A JP2007096544 A JP 2007096544A JP 2005280927 A JP2005280927 A JP 2005280927A JP 2005280927 A JP2005280927 A JP 2005280927A JP 2007096544 A JP2007096544 A JP 2007096544A
- Authority
- JP
- Japan
- Prior art keywords
- tracking
- packet
- information
- relay device
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信パケットの発信源を特定するための発信源追跡システムにおいて、当該システムにおける通信パケットの追跡情報を取得する発信源追跡装置に関する。 The present invention relates to a transmission source tracking system for specifying a transmission source of a communication packet, and relates to a transmission source tracking device for acquiring communication packet tracking information in the system.
近年、インターネットに代表されるオープンネットワークの普及により、当該ネットワークに接続された端末への攻撃が問題となってきている。この攻撃のうち代表的なものとしては、ある攻撃端末から特定の被害端末へ大量のIP(Internet Protocol)パケットを送信するDoS(Denial of Service)攻撃や、ネットワークに接続された複数の攻撃端末から特定の被害端末へIPパケットを送信することで、全体として大量のIPパケットを被害端末へと送信するDDoS(Distributed Dos)攻撃と呼ばれるものが知られている。これらのサービス妨害攻撃は、攻撃対象である被害端末の処理を飽和させることによって、当該被害端末が有するサービス提供機能を麻痺させるだけでなく、ネットワーク全体に過大な負荷をかけることから、その抜本的な対策が求められている。 In recent years, with the spread of open networks represented by the Internet, attacks on terminals connected to the network have become a problem. Typical attacks include a DoS (Denial of Service) attack that sends a large number of IP (Internet Protocol) packets from a certain attacking terminal to a specific victim terminal, and a plurality of attacking terminals connected to the network. A so-called DDoS (Distributed Dos) attack is known in which a large number of IP packets are transmitted to a victim terminal as a whole by transmitting IP packets to a particular victim terminal. These denial-of-service attacks not only paralyze the service provisioning function of the victim terminal by saturating the processing of the victim terminal that is the attack target, but also place an excessive load on the entire network. Measures are required.
この対策の一つには、被害端末に大量に送信される攻撃パケットの送信元アドレスを特定し、そのアドレスを有する端末からの通信を遮断することが考えられる。しかしながら、当該送信元アドレスの詐称は容易であるため、この送信元アドレスを特定しただけでは、必ずしも攻撃パケットの発信源を特定したことにはならない。 One possible countermeasure is to identify the source address of attack packets sent in large quantities to the victim terminal and block communication from the terminal having that address. However, since the source address is easily misrepresented, just specifying this source address does not necessarily specify the source of the attack packet.
そこで、攻撃パケットの経路を順次辿ることで、当該攻撃端末を特定することができるICMP(Internet Control Message Protocol)トレースバック(以下、itraceという)が、IETF(Internet Engineering Task Force)より提唱されている。このitraceは、それぞれの中継装置(ルータ)において、当該中継装置を通過するIPパケットを2万分の1程度の確率で選択し、その選択したIPパケットが通過したインターフェースなどの追跡情報を、ネットワークに接続された追跡装置へと送信して、この追跡装置で、当該中継装置から送信された複数の追跡情報を繋ぎ合わせることで攻撃端末を特定するものである。このようなitraceを利用した技術としては、下記の特許文献1や特許文献2に記載されたものが知られている。
Therefore, ICMP (Internet Control Message Protocol) traceback (hereinafter referred to as itrace) that can identify the attacking terminal by sequentially following the path of the attack packet has been proposed by the Internet Engineering Task Force (IETF). . In this itrace, each relay device (router) selects an IP packet that passes through the relay device with a probability of about 1 / 20,000, and tracking information such as an interface through which the selected IP packet passes is sent to the network. The attack terminal is specified by transmitting to a connected tracking device and connecting a plurality of tracking information transmitted from the relay device by this tracking device. As techniques using such itrace, those described in
然るに、このitraceでは、ネットワークの負担とならないよう、IPパケットの選択は2万分の1という低確率となっている。従って、特にDDoS攻撃を受けた場合には、攻撃パケットが選択されずに追跡に相当時間を要したり、追跡が不可能になったりという問題がある。また、中継装置が自律的に追跡情報を作成するので、追跡したいIPパケットを選択できないという問題もある。そこで、かかる問題を解決するために、追跡装置自らが主体的に追跡情報を取得する能動型発信源追跡システムを構成することが知られている。 However, in this itrace, the IP packet selection has a low probability of 1 / 20,000 so as not to burden the network. Therefore, particularly when a DDoS attack is received, there is a problem that an attack packet is not selected and a considerable time is required for tracking or tracking becomes impossible. In addition, since the relay apparatus autonomously creates tracking information, there is a problem that an IP packet to be tracked cannot be selected. Therefore, in order to solve such a problem, it is known that an active source tracking system in which the tracking device itself independently acquires tracking information is configured.
例えば特許文献1に記載された技術では、被害端末とは別に、追跡端末を用意しておき、攻撃端末から被害端末に複数の中継装置を介して大量の攻撃パケットが送信されると、追跡装置は、中継装置に対して攻撃パケットの追跡要求をし、それぞれの中継装置は、自己から見て攻撃端末側の中継装置に対して順次追跡要求を送信すると共に、追跡装置に対して特定結果を送信することで、攻撃端末を特定している。
For example, in the technique described in
また、特許文献2に記載された技術では、被害端末に大量の攻撃パケットが送信されると、追跡装置は、中継装置に対して攻撃パケットの追跡要求をし、それぞれの中継装置は、宛先アドレスを判別して被害端末に向う攻撃パケットを捕捉すると、そのパケットが通過したインターフェースを特定して、当該インターフェース情報を含む追跡情報を取得して追跡装置に送信する。そして、追跡装置は、追跡情報に基づいて、次の中継装置に追跡要求を行い、これを繰り返すことによって攻撃端末を特定している。
以上のように、これらの各特許文献1,2に開示された発明では、追跡装置自らが主体的に追跡情報を取得することで、特にDDoS攻撃を受けた場合であっても、攻撃端末の追跡を高速に行うことができ、またitraceの欠点である攻撃パケットの不選択により追跡が不可能になるということがない。しかしながら、これらの発明では、追跡対象となる攻撃パケットの特徴を所定の情報で判断しているため、攻撃パケットではないにも拘わらず、偶然に同じ特徴を持ったパケットを追跡する場合がある。
As described above, in the inventions disclosed in each of these
すなわち、特許文献1に開示された発明では、追跡対象の宛先アドレスとして、送信元アドレス又は被害端末のアドレスを含むIPパケットを選択するようにしているため(段落番号0033参照)、攻撃端末が送信元アドレスを詐称した場合に、当該送信元アドレスの正当な端末からの送信パケットも追跡してしまうことや、被害端末のアドレスを宛先アドレスとして通信しようとする悪意無きユーザ(以下、正当ユーザと呼ぶ)からの端末の送信パケットも追跡することとなる。
That is, in the invention disclosed in
一方、特許文献2に開示された発明であっても、当該特許文献1と同様にして、送信元IPアドレス、宛先IPアドレスを用いて発生する問題の他に、上位プロトコルの種類等の情報を用いるため(段落番号0022参照)、偶然に同様の特徴を持ったIPパケットを追跡することとなる。
On the other hand, even in the invention disclosed in
このように、上記各特許文献1,2に開示された発明では、攻撃パケットではないIPパケットを追跡することにより、ネットワーク全体に負荷をかけてしまうという問題があった。
As described above, in the inventions disclosed in the above-mentioned
これに対し、本願出願人は、攻撃端末を特定する処理を行ってもネットワーク負荷を高くさせないことを目的として、発信源探査システム(特願2004−336496「発信源追跡システム及びそのシステムで用いられる中継装置」)を提案している。この発信源探査システムは、追跡機能を持った中継装置で構成されるネットワークと、発信源探査の制御を行う追跡端末とにより構成され、ある中継装置に、追跡端末と被害端末とを接続しておく。 On the other hand, the applicant of the present application uses a source search system (Japanese Patent Application No. 2004-336696 “Source tracking system and its system” for the purpose of not increasing the network load even if the process of specifying the attacking terminal is performed. Relay device)). This source search system is composed of a network composed of relay devices having a tracking function and a tracking terminal that controls source search, and connects a tracking terminal and a victim terminal to a certain relay device. deep.
この発信源探査システムは、複数の中継装置が接続されたネットワークにおける攻撃端末が、被害端末に向かって送信元アドレスを偽造して攻撃パケットを送った場合には、追跡端末が攻撃を検出し、その攻撃の真の送信元を調べるために、被害端末に最も近い中継装置に追跡要求を送信する。この追跡要求には、攻撃パケットから得た特徴情報(送信先アドレス、プロトコル番号、ポート番号など)が指定されており、追跡要求を受けた中継端末は、通過パケットを監視して、特徴情報に一致するパケットを監視する。 In this source search system, when an attack terminal in a network to which a plurality of relay devices are connected forges a source address toward a victim terminal and sends an attack packet, the tracking terminal detects the attack, In order to determine the true source of the attack, a tracking request is transmitted to the relay device closest to the victim terminal. In this tracking request, the feature information (destination address, protocol number, port number, etc.) obtained from the attack packet is specified, and the relay terminal that receives the tracking request monitors the passing packet and uses it as the feature information. Monitor matching packets.
そして、攻撃パケットの特徴情報と一致する特徴を有するパケットが通過した場合に、当該パケットの上流にあたる中継装置のアドレスを含んだ追跡情報を追跡端末に送信する。次に、追跡端末は、追跡情報を受け取ると、当該追跡情報に含まれる上流の中継装置に向かって、追跡要求を送信する。これを繰り返すことで、被害端末の最寄りの中継装置から、攻撃端末に最寄りの中継装置まで追跡要求が行われ、攻撃端末のアドレスを特定できる。 When a packet having a feature that matches the feature information of the attack packet passes, tracking information including the address of the relay apparatus upstream of the packet is transmitted to the tracking terminal. Next, when the tracking terminal receives the tracking information, the tracking terminal transmits a tracking request toward an upstream relay device included in the tracking information. By repeating this, a tracking request is made from the relay device nearest to the victim terminal to the relay device nearest to the attack terminal, and the address of the attack terminal can be specified.
しかしながら、この発信源探査システムであっても、全ての中継装置に追跡情報の作成機能を実装する必要があるために、導入に高いコストがかかる。また、この発信源探査システムでは、被害端末と攻撃端末との途中の一つの中継装置の追跡情報の作成機能に障害が発生すると、攻撃端末が接続されている中継装置を特定できないという問題がある。 However, even with this transmission source search system, it is necessary to implement a function for creating tracking information in all relay apparatuses, so that introduction is expensive. In addition, this transmission source search system has a problem that if a failure occurs in the tracking information creation function of one relay device between the victim terminal and the attack terminal, the relay device to which the attack terminal is connected cannot be specified. .
そこで、本発明は、上述した実情に鑑みて提案されたものであり、攻撃端末の追跡機能の導入をネットワーク全体で安価なものとすると共に、一部の中継装置に障害が発生しても攻撃パケットの追跡を実行できる発信源追跡装置を提供することを目的とする。 Therefore, the present invention has been proposed in view of the above-described circumstances, and the introduction of the attack terminal tracking function is made inexpensive throughout the network, and an attack is performed even if some relay device fails. It is an object of the present invention to provide a source tracking apparatus capable of performing packet tracking.
本発明は、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する発信源追跡装置であって、上述の課題を解決するために、追跡情報メッセージを作成する機能を有する中継装置及び追跡情報メッセージを作成する機能を有しない中継装置の物理的な接続関係を記述したトポロジマップ情報を記憶する記憶手段を備え、更に、被害端末で受信されるパケットの特徴から、攻撃パケットを検出するパケット解析手段と、パケット解析手段で解析された攻撃パケットの特徴と、当該攻撃パケットの特徴と同じ特徴を有するパケットを中継した場合に、当該パケットの送信元アドレスと自己のアドレスとの組及び当該パケットの送信先アドレスと自己のアドレスとの組とを含む追跡情報メッセージを返信する要求を含む追跡要求メッセージを作成する追跡要求メッセージ作成手段と、トポロジマップ情報を参照して、複数の中継装置のうち、追跡情報メッセージを作成する機能を有する中継装置に追跡要求メッセージ作成手段で作成された追跡要求メッセージを送信する追跡要求メッセージ送信手段と、追跡情報メッセージを作成する機能を有する中継装置からの追跡情報メッセージに含まれているアドレスを繋ぎ合わせることによって攻撃パケットの発信源を特定する追跡情報解析手段とを備え、追跡情報メッセージ送信手段は、追跡情報メッセージに含まれる送信元アドレスからトポロジマップ情報を参照して、当該追跡情報メッセージを送信した中継装置の送信元側に存在し追跡情報メッセージを作成する機能を有する中継装置に追跡要求メッセージを送信する。 The present invention is a source tracking device that tracks the source of an attack packet that is transmitted from an attacking terminal and is received by a victim terminal via a plurality of relay devices. The storage device stores the topology map information describing the physical connection relationship between the relay device having the function of creating the information message and the relay device not having the function of creating the tracking information message, and is further received by the victim terminal. Packet analysis means for detecting an attack packet from the packet characteristics, the attack packet characteristics analyzed by the packet analysis means, and transmission of the packet when the packet having the same characteristics as the attack packet is relayed Tracking information message including a pair of an original address and its own address and a pair of a destination address of the packet and its own address A tracking request message is created in a relay device having a function of creating a tracking information message among a plurality of relay devices by referring to the topology map information and a tracking request message creating means for creating a tracking request message including a request to return a response The source of the attack packet by connecting the tracking request message transmission means for transmitting the tracking request message created by the means and the address contained in the tracking information message from the relay apparatus having the function of creating the tracking information message Tracking information analysis means for identifying the tracking information message, and the tracking information message transmission means refers to the topology map information from the transmission source address included in the tracking information message, and sends the tracking information message to the transmission source side of the relay apparatus that has transmitted the tracking information message. Relay device that exists and has a function of creating a tracking information message Sending a tracking request message.
このような発信源追跡装置は、ある追跡機能を有する中継装置から追跡情報メッセージを受信した場合に、当該追跡情報メッセージに含まれる送信元アドレス及び送信先アドレスから、次に追跡要求メッセージを送信する中継装置を決定するときに、トポロジマップ情報を参照して、追跡情報メッセージを送信できない中継装置を除いて、追跡機能を有する中継装置のみに追跡要求メッセージを送信できる。 When such a source tracking device receives a tracking information message from a relay device having a certain tracking function, it then sends a tracking request message from the source address and destination address included in the tracking information message. When determining the relay device, the tracking request message can be transmitted only to the relay device having the tracking function, with reference to the topology map information, except for the relay device that cannot transmit the tracking information message.
本発明は、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する発信源追跡装置であって、上述の課題を解決するために、中継装置の物理的な接続関係を記述したトポロジマップ情報と、攻撃パケットが通過する通信線に接続されて当該通信線を通過して中継装置で中継されるパケットを受信し、追跡情報メッセージを作成する機能を有する追跡専用装置と中継装置との接続関係を記述した追跡装置配置情報とを記憶する記憶手段を備え、更に、被害端末で受信されるパケットの特徴から、攻撃パケットを検出するパケット解析手段と、パケット解析手段で解析された攻撃パケットの特徴と、当該攻撃パケットの特徴と同じ特徴を有するパケットを検知した場合に、当該パケットの送信元アドレスと自己のアドレスとの組及び当該パケットの送信先アドレスと自己のアドレスとの組とを含む追跡情報メッセージを返信する要求を含む追跡要求メッセージを作成する追跡要求メッセージ作成手段と、トポロジマップ情報及び追跡装置配置情報を参照して、追跡専用装置に追跡要求メッセージ作成手段で作成された追跡要求メッセージを送信する追跡要求メッセージ送信手段と、追跡専用装置からの追跡情報メッセージに含まれている攻撃パケットと同じ特徴を有するパケットの送信元アドレスと送信先アドレスとを繋ぎ合わせることによって攻撃パケットの発信源を特定する追跡情報解析手段とを備え、追跡情報メッセージ送信手段は、追跡情報メッセージに含まれる送信元アドレスからトポロジマップ情報及び追跡装置配置情報を参照して、当該追跡情報メッセージを送信した追跡専用装置の送信元側に存在する追跡専用装置に追跡要求メッセージを送信する。 The present invention is a source tracking device that tracks the source of an attack packet that is transmitted from an attacking terminal and is received by a victim terminal via a plurality of relaying devices. Creates a tracking information message by receiving topology map information describing the physical connection relationship of the device and a packet that is connected to the communication line through which the attack packet passes and is relayed by the relay device through the communication line. Packet analysis means for detecting attack packets from the characteristics of the packets received by the victim terminal, further comprising storage means for storing tracking device arrangement information describing the connection relationship between the tracking dedicated device having a function and the relay device When the packet having the same characteristics as the characteristics of the attack packet analyzed by the packet analysis means and the attack packet is detected, the packet is transmitted. Tracking request message creating means for creating a tracking request message including a request for returning a tracking information message including a pair of an address and a self address and a pair of a transmission destination address of the packet and the self address; and topology map information And a tracking request message sending means for sending the tracking request message created by the tracking request message creating means to the tracking dedicated device with reference to the tracking device arrangement information, and an attack included in the tracking information message from the tracking dedicated device A tracking information analyzing unit that identifies a source of an attack packet by connecting a source address and a destination address of a packet having the same characteristics as the packet, and the tracking information message transmitting unit is included in the tracking information message Topology map information and tracking device location information from source address See, it sends a tracking request message to the tracking-only apparatus existing source side of the track only apparatus which has transmitted the tracking information message.
このような発信源追跡装置は、ある追跡専用装置から追跡情報メッセージを受信した場合に、当該追跡情報メッセージに含まれる送信元アドレス及び送信先アドレスから、次に追跡要求メッセージの送信先とする追跡専用装置を決定するときに、追跡装置配置情報を参照して、中継装置を除いて、追跡専用装置のみに追跡要求メッセージを送信できる。 When such a source tracking device receives a tracking information message from a certain device dedicated to tracking, the source tracking device uses the source address and destination address included in the tracking information message as the next destination of the tracking request message. When the dedicated device is determined, the tracking request message can be transmitted only to the tracking dedicated device except for the relay device by referring to the tracking device arrangement information.
本発明によれば、追跡情報メッセージを送信できる中継装置と追跡情報メッセージを送信できない中継装置との接続関係をトポロジマップ情報として記憶しておき、追跡情報メッセージを送信できる中継装置のみに追跡要求メッセージを送信できるので、追跡要求メッセージを送信できない中継装置が混在しているようなネットワークであっても、攻撃パケットの追跡ができ、追跡機能の導入をネットワーク全体で安価なものとすると共に、一部の中継装置に障害が発生して追跡情報メッセージを送信できなくなっても攻撃パケットの追跡を実行できる。 According to the present invention, the connection relationship between the relay device that can transmit the tracking information message and the relay device that cannot transmit the tracking information message is stored as topology map information, and the tracking request message is sent only to the relay device that can transmit the tracking information message. Even in a network where relay devices that cannot send tracking request messages are mixed, attack packets can be tracked, and the introduction of the tracking function can be made inexpensive throughout the network. The attack packet can be traced even if a failure occurs in the relay device and the trace information message cannot be transmitted.
また、本発明によれば、中継装置の接続関係をトポロジマップ情報として記憶しておくと共に、追跡専用装置の中継装置に対する接続関係を追跡装置配置情報として記憶しておくことにより、攻撃パケットが中継装置を通過した時に追跡専用装置から追跡情報メッセージを受信できる。したがって、追跡情報メッセージを送信できる中継装置を導入しなくても後付けで追跡専用装置を挿入するのみで攻撃パケットの追跡ができ、追跡機能の導入をネットワーク全体で安価なものとすると共に、喩え追跡情報メッセージを送信できる一部の中継装置に障害が発生して追跡情報メッセージを送信できなくなっても攻撃パケットの追跡を実行できる。 Further, according to the present invention, the connection relationship of the relay device is stored as topology map information, and the connection relationship of the tracking dedicated device to the relay device is stored as the tracking device arrangement information, so that the attack packet is relayed. A tracking information message can be received from the tracking-only device when it passes the device. Therefore, attack packets can be tracked by simply inserting a dedicated tracking device without installing a relay device that can send tracking information messages, making the introduction of the tracking function inexpensive throughout the network and figurative tracking. Attack packets can be traced even if a failure occurs in some relay apparatuses that can transmit information messages and the tracking information message cannot be transmitted.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
本発明に係る発信源追跡装置は、図1に示すように、被害端末Vと、複数の中継装置R1〜R6(以下、総称する場合には単に「中継装置Rn」と呼ぶ。)とを有する発信源探査システムにおいて、当該被害端末Vと共に中継装置R2に接続されている追跡端末Mに適用される。この発信源探査システムにおいて、ある中継装置R4,R6に接続された攻撃端末A1,A2(以下、総称する場合には単に「攻撃端末An」と呼ぶ)から被害端末Vに対して大量のIPパケットが送信されて、被害端末Vの他の処理を不能とするDDoS(Distributed Dos)攻撃が行われる場合、攻撃端末A1,A2から被害端末Vへ送信されるIPパケットは、中継装置Rnを通過する。 As shown in FIG. 1, the source tracking device according to the present invention includes a victim terminal V and a plurality of relay devices R1 to R6 (hereinafter, collectively referred to as “relay device Rn”). In the source search system, it is applied to the tracking terminal M connected to the relay device R2 together with the victim terminal V. In this source search system, a large number of IP packets are sent from the attacking terminals A1 and A2 connected to certain relay devices R4 and R6 (hereinafter simply referred to simply as “attacking terminal An”) to the victim terminal V. When a DDoS (Distributed Dos) attack that disables other processing of the victim terminal V is performed, the IP packet transmitted from the attack terminals A1 and A2 to the victim terminal V passes through the relay device Rn. .
これに対し、追跡端末Mは、中継装置Rnの追跡機能を利用して、攻撃端末A1,A2を特定することになるが、当該追跡端末Mの内部に、追跡機能を有する中継装置Rn間の物理的接続関係を定義したトポロジマップ情報を記憶させておくことによって、全ての中継装置Rnに追跡機能を実装していなくても攻撃端末A1,A2を特定できることを特徴とするものである。すなわち、追跡端末Mは、攻撃端末Aから被害端末Vへの攻撃を検知した時に、追跡機能を有する中継装置に攻撃を構成したIPパケットの情報を送信させることを追跡要求メッセージによって要求して、追跡機能を有する中継装置から追跡情報メッセージを受信するが、追跡機能を有する中継装置Rnと追跡機能を有しない中継装置Rnとが混在していても、追跡機能を有する中継装置Rnからの追跡情報メッセージを用いて攻撃端末Anを特定できる。これにより、本発明は、攻撃端末の追跡機能の導入を発信源探査システム全体で安価なものとできる。 On the other hand, the tracking terminal M uses the tracking function of the relay device Rn to identify the attacking terminals A1 and A2, but the tracking terminal M has a tracking function between the relay devices Rn having the tracking function. By storing the topology map information that defines the physical connection relationship, the attack terminals A1 and A2 can be identified even if the tracking function is not implemented in all the relay devices Rn. That is, when the tracking terminal M detects an attack from the attacking terminal A to the victim terminal V, the tracking terminal M requests the relay apparatus having the tracking function to transmit the information of the IP packet that constitutes the attack by the tracking request message. Although the tracking information message is received from the relay device having the tracking function, even if the relay device Rn having the tracking function and the relay device Rn not having the tracking function are mixed, the tracking information from the relay device Rn having the tracking function is mixed. The attack terminal An can be specified using the message. As a result, the present invention makes it possible to introduce the attack terminal tracking function inexpensively throughout the transmission source search system.
また、本発明では、一部の追跡機能を有する中継装置に障害が発生しても、追跡端末Mに記憶したトポロジマップ情報を更新することによって、攻撃パケットの追跡を実行できる。以下、本発明を適用した最良の実施の形態について説明する。 Further, in the present invention, even if a failure occurs in a part of the relay devices having the tracking function, the attack packet can be tracked by updating the topology map information stored in the tracking terminal M. The best mode to which the present invention is applied will be described below.
この実施の形態では、中継装置R1〜R6のうち、ルータ装置(ゲートウェイ装置を含む)である中継装置R2,R3,R4,R6に追跡機能が実装されており、中継装置R1,R5に追跡機能が実装されておらず、中継装置R2に被害端末V及び追跡端末Mが接続されており、中継装置R4に攻撃端末A1が接続されており、中継装置R6に攻撃端末A2が接続されている場合について説明する。 In this embodiment, a tracking function is implemented in relay devices R2, R3, R4, and R6 that are router devices (including gateway devices) among relay devices R1 to R6, and a tracking function is included in relay devices R1 and R5. Is not implemented, the victim terminal V and the tracking terminal M are connected to the relay device R2, the attack terminal A1 is connected to the relay device R4, and the attack terminal A2 is connected to the relay device R6 Will be described.
「追跡端末Mの構成」
中継装置R2と被害端末Vとの間には、図示しない集線装置(ハブ、タップ装置等)を介して、追跡端末Mが接続されており、この追跡端末Mは、当該集線装置のポートモニタリング機能により、中継装置R2と被害端末Vとの間に送受信されているIPパケットのコピーパケットを取得するようになっている。この取得にあたって、追跡端末Mは、図2に示すように、いわゆるNIC(Network Interface Card)である通信インターフェース部1より、当該IPパケットを取得する。通信インターフェース部1は、被害端末Vへの攻撃を検出するIDS(Intrusion Detection System)部2と、攻撃端末A1、A2を特定する発信源追跡部3と接続されており、これらの各部とパケットデータの送受信を行う。
"Configuration of tracking terminal M"
A tracking terminal M is connected between the relay device R2 and the victim terminal V via a not-shown concentrator (hub, tap device, etc.), and the tracking terminal M has a port monitoring function of the concentrator. Thus, a copy packet of the IP packet transmitted / received between the relay device R2 and the victim terminal V is acquired. In this acquisition, as shown in FIG. 2, the tracking terminal M acquires the IP packet from the
追跡端末Mは、中継装置R2を介して被害端末Vで受信するIPパケットをIDS部2で監視し、発信源追跡部3によって攻撃端末Anを特定する処理を行うものである。
The tracking terminal M performs processing for monitoring the IP packet received by the victim terminal V via the relay device R2 by the
IDS部2は、中継装置R2と被害端末Vとの間に送受信されているIPパケットを解析するIDSパケット解析部11と、当該IDSパケット解析部11と接続されて不正アクセスに係るIPパケットであることを特定するためのデータベースとを備えている。このデータベースは、一例として、DDOS攻撃、Syn Flood攻撃、Ping of Death攻撃、ポートスキャン攻撃など、各種攻撃パターンが格納されている不正アクセスパターンデータベース12と、攻撃があったときの当該攻撃パターン、日時、回数等の統計情報を格納する不正アクセス統計データベース13などから構成される。なお、不正アクセスパターンデータベース12に格納されている各種攻撃パターンは、IDSパケット解析部11を介して、入力部4より発信源探査システムのユーザによって、予め入力されて登録されるようになっている。この入力部4は、IDS部2の不正アクセスパターンデータベース12,不正アクセス統計データベース13に登録されている情報の更新を行うためのユーザインターフェースに相当する。
The
このようなIDS部2は、IDSパケット解析部11により、不正アクセスパターンデータベース12に定義されている不正アクセスパターンに該当するIPパケットを検出した場合には、当該IDSパケット解析部11によって、当該不正アクセスを構成するIPパケットの特徴情報を取得すると共に、攻撃端末Anによる被害端末Vへの攻撃が発生したことを発信源追跡部3に通知する。また、IDSパケット解析部11は、当該攻撃が発生した攻撃パターン情報、日時情報等からなる統計情報を不正アクセス統計データベース13に登録する。なお、不正アクセス統計データベース13に記憶された統計情報は、発信源探査システムのユーザや被害端末Vのユーザ等で参照可能とされる。
When such an
発信源追跡部3は、IDS部2によって被害端末Vへの攻撃が検出された場合に、追跡機能を有する中継装置Rnに追跡要求メッセージを送信し、当該追跡要求メッセージの応答である中継装置Rnからの追跡情報メッセージを受信して、攻撃端末Anを特定するものである。この発信源追跡部3は、追跡機能を有する中継装置R2,R3,R4,R6から送信された追跡情報メッセージを取得する追跡情報メッセージ検出部21と、当該追跡情報メッセージを解析する追跡情報解析部22と、被害端末Vから攻撃端末A1、A2までの途中経路を逐次格納するためのリンクリストデータベース23と、中継装置Rnに追跡要求メッセージを送信するための追跡要求メッセージ作成部24と、追跡情報解析部22並びにIDS部2のIDSパケット解析部11からの指令を受けて、追跡要求メッセージ作成部24に追跡要求メッセージを作成させる追跡制御部25と、発信源探査システムにおける中継装置Rnの物理的接続関係等を定義したトポロジマップ情報を格納したトポロジマップデータベース26とを備える。
When the
トポロジマップデータベース26に記憶されたトポロジマップ情報は、追跡要求メッセージの送信先となる中継装置Rnを特定するために追跡制御部25で参照される。このトポロジマップ情報は、図3に示すように、発信源探査システムを構成する中継装置RnのID(R1,R2,R3,R4,R5,R6・・・)ごとに、当該中継装置RnのインターフェースのIPアドレスと、隣接する中継装置RnのIDと、追跡端末Mからの追跡要求メッセージに対して追跡情報メッセージを返信するという追跡機能の有無とが格納されている。このトポロジマップ情報は、入力部4を介して発信源探査システムのユーザによって更新できるようになっている。例えば、ある追跡機能を有する中継装置Rnが故障した場合には、当該中継装置Rnの追跡機能の有無情報を、「追跡機能なし」に更新できる。
The topology map information stored in the
追跡情報メッセージ検出部21は、通信インターフェース部1で受信したメッセージのうち、中継装置Rnから送信された追跡情報メッセージを検出し、追跡情報解析部22に渡す。追跡情報解析部22は、追跡情報メッセージ検出部21で受信した追跡情報メッセージを解析し、解析結果である攻撃端末Anの追跡結果情報をリンクリストデータベース23に保存する。
The tracking information
このリンクリストデータベース23に保存される内容は、一例を図4に示すように、追跡情報メッセージのIDと、攻撃パケットを追跡する経路のID(追跡ID)と、追跡端末Mでの追跡情報メッセージの受信時間と、追跡情報メッセージを送信した中継装置Rnの後方側(送信元側)機器のIPアドレスと、追跡情報メッセージを送信した中継装置Rnと当該中継装置Rnの後方側(攻撃端末An側)装置との接続関係を特定するIPアドレス(又はMACアドレス)のペアである後方リンク情報と、追跡情報メッセージを送信した中継装置Rnと当該中継装置Rnの前方側(送信先、被害端末V側)装置との接続関係を特定するIPアドレスのペアとである。これらのうち、追跡情報解析部22は、追跡情報メッセージの受信時間を図示しないタイマ等から取得し、追跡情報メッセージから後方側機器IPアドレスと後方リンク情報と前方リンク情報とを取得して、リンクリストデータベース23に記憶させる。
The contents stored in the
また、追跡情報解析部22は、追跡情報メッセージに含まれている後方側機器IPアドレスを追跡制御部25に渡す。追跡制御部25は、トポロジマップデータベース26を参照しながら、追跡情報解析部22から受け取った後方側機器IPアドレスに基づいて、既に追跡要求済みか否かの確認、追跡機能を有する中継装置Rnかの確認、追跡機能を有しない中継装置であるならば近くにある追跡機能を有する中継装置RnのIPアドレスのリストアップを行う。そして、追跡制御部25は、追跡要求メッセージを送信すべき中継装置RnのIPアドレスをトポロジマップデータベース26から取り出して、追跡要求メッセージ作成部24に渡す。
In addition, the tracking
これに応じて、追跡要求メッセージ作成部24は、追跡制御部25が指定したIPアドレス全てを宛先IPアドレスとした追跡要求メッセージを生成して、通信インターフェース部1から追跡要求メッセージを送信させる。ここで、追跡要求メッセージ作成部24で作成する追跡要求メッセージに含まれるパラメータは、入力部4によって設定された値等を使用する。この追跡要求メッセージに含まれるパラメータとは、例えば、追跡要求メッセージが受信されないときに無限巡回することを防止するためのタイムアウト時間や、追跡要求メッセージの再送回数の上限値等である。
In response to this, the tracking request
なお、上述の追跡端末Mは、IDS部2と発信源追跡部3とを単一の装置で構成した場合について説明したが、IDS部2と発信源追跡部3とを別体に設けても良い。
In addition, although the above-mentioned tracking terminal M demonstrated the case where the
「中継装置の構成」
追跡機能を有する中継装置Rnは、図5に示すように、追跡要求メッセージの受信及び追跡情報メッセージの送信をはじめ、中継するIPパケットの送受信を行う通信インターフェース部31と、IPパケットの中継をするためルーティング処理を行うルータ機能部32と、当該中継装置Rnで受信したIPパケットが追跡対象の特徴と一致するかの解析処理等を行う発信源追跡機能部33とを備えている。
"Configuration of relay device"
As shown in FIG. 5, the relay device Rn having a tracking function relays IP packets to and from the
通信インターフェース部31は、通信線に接続されてOSI(Open Systems Interconnection)参照モデルのレイヤ1に相当する処理を行う物理層インターフェース41と、レイヤ2に相当する処理を行うデータリンク層インターフェース42とを備えており、ルータ機能部32及び発信源追跡機能部33は、それぞれ後者のデータリンク層インターフェース42と接続されている。
The
ルータ機能部32は、データリンク層インターフェース42からデータリンクフレーム(ここでは、MACフレームをいう)を取り込み、そのフレームデータに含まれるOSI参照モデルにおけるレイヤ3に相当するネットワーク層ヘッダの宛先アドレス(IPアドレス)を参照して、所定の中継装置又は端末へとIPパケットの中継制御を行うルーティング制御部51と、当該中継制御に用いるテーブルであって、宛先IPアドレスに対応する送信インターフェースが格納されたルーティングテーブル52と、IPアドレスに対応するMAC(Media Access Control)アドレスが格納されたARP(Address Resolution Protocol)テーブル53とを備えている。
The
このルータ機能部32は、追跡要求メッセージを含まないMACフレームがデータリンク層インターフェース42から供給されると、当該MACフレームに含まれるIPアドレスから送信する中継装置Rn又は端末をルーティングテーブル52及びARPテーブル53を参照して認識して、MACアドレスを変更したMACフレームを通信インターフェース部31から送信させる。
When a MAC frame that does not include a tracking request message is supplied from the data
発信源追跡機能部33は、データリンク層インターフェース42からMACフレームを取り込み、そのフレームヘッダに含まれるデータリンクアドレス(ここでは、MACアドレスをいう)を取得するデータリンクアドレス検出部61と、IPパケットである当該フレームデータが、追跡対象のIPパケットの特徴情報と一致するか判別するパケット解析部62と、当該追跡対象のIPパケットの特徴情報を格納する特徴情報データベース63とを備えている。また、発信源追跡機能部33は、発信源追跡処理を継続する時間を計時するタイマー部64と、そのタイマー部64とパケット解析部62から送信される情報を基に、追跡情報メッセージを作成するために必要な各種情報を取得する発信源追跡制御部65と、特徴と一致したIPパケットが通過したインターフェースの情報を含む追跡情報メッセージを作成する追跡情報メッセージ作成部66とを備えている。なお、この追跡機能を有する中継装置Rnにおける動作の詳細については後述する。
The source tracking
また、追跡機能を有しない中継装置Rnは、図5における発信源追跡機能部33を無くして、通信インターフェース部31とルータ機能部32とを備えた構成となっている。
Further, the relay device Rn that does not have the tracking function is configured to include the
このように構成された発信源探査システムにおいて、追跡端末Mは、中継装置R2と被害端末Vの間の通信を監視しており、IDSパケット解析部11で不正アクセスパターンデータベース12を参照して、攻撃パターンに相当するか解析を行う。IDSパケット解析部11は、攻撃パターンであることを検知した場合に、追跡要求メッセージ作成部24に攻撃パケットの特徴情報を含む追跡要求メッセージを作成させて、通信インターフェース部1から送信させる。
In the source search system configured as described above, the tracking terminal M monitors the communication between the relay device R2 and the victim terminal V, and the IDS
これに対し、追跡機能を有する中継装置Rnは、特徴情報に一致するIPパケットを受信した場合に、図4に示した後方側機器IPアドレスと、後方リンク情報と、前方リンク情報とを含む追跡情報メッセージを追跡端末Mに返信し、追跡端末Mは、当該後方リンク情報及び前方リンク情報をリンクリストデータベース23に登録すると共に、後方側機器のIPアドレスからトポロジマップデータベース26を参照して次に追跡要求メッセージを送信する中継装置Rnを決定して追跡要求メッセージを送信する。このように、追跡要求メッセージを追跡機能を有する中継装置Rnのみに送信して、追跡情報メッセージを受信してリンクリストデータベース23を更新する処理を繰り返すことにより、何れかの中継装置Rnに接続された端末を攻撃端末Anとして認識できる。
On the other hand, when the relay device Rn having a tracking function receives an IP packet that matches the feature information, the relay device Rn includes a tracking including the rear device IP address, the rear link information, and the front link information illustrated in FIG. The information message is returned to the tracking terminal M, and the tracking terminal M registers the backward link information and the forward link information in the
この攻撃パケットの特徴情報とは、送信元IPアドレス、宛先IPアドレス、上位プロトコルの種類等のIPヘッダの情報をはじめ、トランスポート層以上のプロトコルの情報であっても良く、例えば、TCP(Transmission Control Protocol)や、UDP(User Datagram Protocol)の宛先ポート番号等の情報をいい、それぞれ単独又はそれらの組み合わせで特徴情報を構成する。なお、アドレス等は必ずしも単独である必要はなく、例えば、送信元IPアドレス0.0.0.0〜255.255.255.255、宛先IPアドレス133.254.181.0〜133.254.182.0、ポート番号0〜1024などの範囲があるものであっても良い。 The characteristic information of the attack packet may be information on the protocol higher than the transport layer, including information on the IP header such as the source IP address, the destination IP address, and the type of the upper protocol, for example, TCP (Transmission Information such as destination port number of Control Protocol (UDP) and UDP (User Datagram Protocol) is used, and the feature information is configured by each or a combination thereof. Note that the addresses and the like do not necessarily have to be single, for example, there are ranges such as source IP addresses 0.0.0.0 to 255.255.255.255, destination IP addresses 133.254.181.0 to 133.254.182.0, port numbers 0 to 1024, etc. There may be.
つぎに、上述したように構成された追跡端末M及び中継装置Rnにより、被害端末Vに攻撃を与えた攻撃端末Anを特定する処理について図6乃至図8のフローチャート、図1の発信源探査システム構成を参照して説明する。 Next, regarding the process of identifying the attack terminal An that has attacked the victim terminal V by the tracking terminal M and the relay apparatus Rn configured as described above, the flowcharts of FIGS. 6 to 8 and the source search system of FIG. This will be described with reference to the configuration.
先ず、追跡端末Mは、被害端末Vの通信を常に監視しており、具体的には、通信インターフェース部1によりIPパケットを取得して、そのパケットデータをIDSパケット解析部11に送信し、IDSパケット解析部11では、不正アクセスパターンデータベース12を参照して、IPパケットのパケット送信パターンが被害端末Vへの攻撃パターンに該当するか解析を行う。そして、攻撃端末Anから被害端末Vに対して、攻撃パケットが送信され、当該攻撃パケットのコピーパケットを通信インターフェース部1で取得すると、追跡端末MのIDSパケット解析部11は、攻撃パターンであることを検知すると共に特徴情報を作成して(図6、ステップS1)、発信源追跡部3に攻撃パケットの特徴情報を含む追跡要求メッセージ作成要求を送信する。
First, the tracking terminal M constantly monitors the communication of the victim terminal V. Specifically, the tracking terminal M obtains an IP packet by the
発信源追跡部3は、追跡要求メッセージ作成要求を受信すると、ステップS2において、追跡制御部25によりトポロジマップデータベース26を参照して、最初に追跡要求メッセージを送信する中継装置Rnを決定して、要求予定リストを作成する。この要求予定リストは、被害端末Vから最も近いホップ数でIPパケットが送信できる追跡機能を有する中継装置Rnを表すIDであり、複数の追跡機能を有する中継装置Rnが存在する場合もある。なお、被害端末Vの最寄りの中継装置Rn、すなわち図1における中継装置R2のIPアドレスが、入力部4を介してユーザによって予め登録されていても良い。また、追跡要求メッセージの送信済かを示す要求済リストを空の初期化状態にしておく。
Upon receiving the tracking request message creation request, the
次に、発信源追跡部3は、ステップS3において、追跡要求メッセージ作成部24により、攻撃パケットの特徴情報を格納した追跡要求メッセージを作成して、通信インターフェース部1から送信させる。
Next, in step S <b> 3, the
この追跡要求メッセージの作成・送信処理は、図7に示すように、ステップS2で作成した要求予定リストから、一つの中継装置RnのIDに対応したIPアドレスを取り出し(ステップS31)、当該取り出したIPアドレスを有する中継装置RnのIDを要求済リストに追加する(ステップS32)。これは、同じIPアドレスに重複して同じ追跡要求メッセージを送信しないためである。 In the tracking request message creation / transmission process, as shown in FIG. 7, the IP address corresponding to the ID of one relay device Rn is extracted from the request schedule list created in step S2 (step S31). The ID of the relay device Rn having the IP address is added to the requested list (step S32). This is because the same tracking request message is not transmitted twice to the same IP address.
次に追跡要求メッセージ作成部24は、ステップS33において、ステップS31で取り出したIPアドレスを宛先アドレスとし、追跡要求である旨の情報、複数の追跡経路を形成する場合に各経路を区別するための追跡ID、追跡情報集約数の上限値、追跡情報取得数の上限値、発信源追跡処理を継続する時間、特徴情報を含んだ追跡要求メッセージを作成する。ここで、追跡情報集約数の上限値、追跡情報取得数の上限値を追跡要求メッセージのパラメータとして設定するのは、追跡機能を有する中継装置Rnが通常の通信に係わる通信パケットを攻撃パケットの特徴情報に該当すると判定して、通常の通信パケットの特定を行うための追跡情報メッセージを送信させないためである。
Next, in step S33, the tracking request
なお、追跡要求メッセージ作成部24は、追跡要求メッセージの作成時に、自己のバッファ(図示せず)に、追跡IDと特徴情報とを対応づけて格納しておく。また、このメッセージの作成は、例えば、UDP、TCP、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Management Protocol)などの通信プロトコルを利用して形成しても良いものである。そして、このようにして作成された追跡要求メッセージは、通信インターフェース部1より、中継装置Rnへと送信される(ステップS34)。
The tracking request
次に、追跡端末Mの通信インターフェース部1により、追跡要求メッセージの送信が成功したか否かを判定し(ステップS35)、成功して要求予定リストが空となった場合には、追跡要求メッセージの送信処理を終了して図6のステップS4に処理を進める。
Next, it is determined by the
一方、追跡要求メッセージの送信が成功したが、要求予定リストが空ではない場合には、他の中継装置Rnに追跡要求メッセージを送信するために、ステップS31〜ステップS35の処理を繰り返す。例えば、要求予定リストに中継装置R4,R6のIDが登録されている場合には、それぞれの中継装置についてステップS31〜ステップS35の処理を繰り返す。 On the other hand, if the tracking request message has been successfully transmitted, but the request schedule list is not empty, the processing of steps S31 to S35 is repeated in order to transmit the tracking request message to another relay device Rn. For example, when the IDs of the relay devices R4 and R6 are registered in the request schedule list, the processes in steps S31 to S35 are repeated for each relay device.
また、中継装置の故障、攻撃による通信の遮断などによる不具合によって追跡要求メッセージの送信に成功しなかった場合には、ステップS35からステップS37に処理を進める。このステップS37以降の処理は、一部の中継装置に不具合が生じても追跡を継続させるために、追跡要求メッセージが送信できなかった中継装置から近隣の中継装置のIDを要求予定リストに加える(ステップS37〜ステップS43)。 If the tracking request message has not been successfully transmitted due to a failure due to a failure of the relay device or communication interruption due to an attack, the process proceeds from step S35 to step S37. In the processing after this step S37, in order to continue tracking even if some of the relay devices fail, the ID of the neighboring relay device is added to the request schedule list from the relay device that could not transmit the tracking request message ( Step S37 to Step S43).
先ずステップS37において、追跡要求メッセージ作成部24は、図示しないメモリ上に記憶しておいた追跡要求メッセージの送信先とする中継装置Rnの候補をリスト化した候補リストの内容を空に初期化する。
First, in step S37, the tracking request
次に追跡要求メッセージ作成部24は、追跡要求メッセージの送信に失敗した中継装置について、トポロジマップデータベース26のトポロジマップ情報を参照することで、当該中継装置から隣接する全ての中継装置のIDを取出して、当該IDを候補リストに加える(ステップS38)。
Next, the tracking request
次に追跡要求メッセージ作成部24は、候補リストから中継装置のIDを一つ取出し(ステップS39)、当該中継装置のIDが要求済みリスト又は要求予定リストに登録されていれば(ステップS40)、候補リストが空になっているか否かを判定して、空になるまでステップS39以降の処理を繰り返す(ステップS43)。
Next, the tracking request
ステップS39で候補リストから取り出した中継装置のIDが要求済みリストと要求予定リストの何れにもに登録されていない場合(ステップS40)、トポロジマップ情報から当該中継装置に追跡機能が実装されているか否かを確認する(ステップS41)。そして、追跡機能が実装されていなければ、当該中継装置のIDを要求済リストに追加して(ステップS44)、ステップS38に処理を戻す。一方、追跡機能が実装されている場合(ステップS41)、当該中継装置のIDを要求予定リストに追加し(ステップS42)、ステップS43において候補リストが空になるまでステップS39以降の処理を繰り返す。 If the ID of the relay device extracted from the candidate list in step S39 is not registered in either the requested list or the requested schedule list (step S40), is the tracking function implemented in the relay device based on the topology map information? It is confirmed whether or not (step S41). If the tracking function is not implemented, the ID of the relay device is added to the requested list (step S44), and the process returns to step S38. On the other hand, when the tracking function is implemented (step S41), the ID of the relay device is added to the request schedule list (step S42), and the processes after step S39 are repeated until the candidate list becomes empty in step S43.
これにより、追跡要求メッセージ作成部24は、一部の追跡機能を有する中継装置Rnに不具合が発生して、追跡要求メッセージが送信不能となっている場合には、当該中継装置Rnに近い追跡機能を有する中継装置Rnを検索して、要求予定リストに追加することができる。また、追跡機能を有する中継装置Rnとしてトポロジマップ情報に登録していた中継装置Rnが追跡要求メッセージの受信不能となった場合には、当該中継装置Rnをトポロジマップ情報から削除して、新たに要求予定リストに追加した中継装置RnのIDを追加しても良い。
As a result, the tracking request
一方、追跡端末Mから追跡要求メッセージが送信された追跡機能を有する中継装置Rnは、図6のステップS4において、追跡要求メッセージを受信する。このとき、中継装置Rnは、追跡要求メッセージを、物理層インターフェース41を介してデータリンク層インターフェース42へと送り、当該データリンク層インターフェース42では、MACフレームを抽出してパケット解析部62へと送信する。パケット解析部62では、そのMACフレームのフレームデータを参照して、それが追跡要求メッセージであることを検出すると、当該追跡要求メッセージに含まれる特徴情報を特徴情報データベース63に格納し、追跡ID、追跡情報集約数の上限値、追跡情報取得数の上限値、発信源追跡処理を継続する時間を発信源追跡制御部65へと送信する。そして、発信源追跡制御部65では、タイマー部64を動作させて発信源追跡処理を継続する時間の計時を開始し(ステップS5)、中継装置Rnは、ルーティングのみを行う通常モードから、攻撃端末Anの特定をする追跡モードへと移行する。なお、データリンク層インターフェース42で抽出されたMACフレームは、ルーティング制御部51にも送信されるが、当該ルーティング制御部51は、MACフレームに含まれるパケットヘッダの宛先アドレスからルーティングテーブル52を参照して、そのIPパケットが自己宛てであることを認識するので中継動作は行われない。
On the other hand, the relay device Rn having the tracking function to which the tracking request message is transmitted from the tracking terminal M receives the tracking request message in step S4 of FIG. At this time, the relay device Rn sends a tracking request message to the data
この追跡モードに移行した場合、パケット解析部62は、特徴情報データベース63を参照して、インターフェース毎(前方の被害端末V又は中継装置Rn、後方の攻撃端末An側の中継装置Rnが接続されているポート毎)にフレームデータを監視し(ステップS6)、当該フレームデータが追跡対象のIPパケット(攻撃パケット)であること認識すると、その旨を発信源追跡制御部65へと送信する(ステップS7)。このとき、発信源追跡制御部65では、パケット解析部62から、中継装置Rnが受信した攻撃パケットを含むMACフレームのヘッダと、その攻撃パケットがルータ機能部32によって中継され、再びMACフレームに格納された際の、そのMACフレームのヘッダをバッファに格納する(バッファは図示せず)。つまり、攻撃パケットについて中継装置R2から送信された追跡情報メッセージからは、後方側機器のIPアドレスとして中継装置R1のIPアドレスを受信でき、前方側の被害端末VのIPアドレスと中継装置R2のIPアドレスとの組を前方リンク情報として取得でき、後方側の中継装置R1と中継装置R2のIPアドレスとの組を後方リンク情報として取得できる。
When shifting to this tracking mode, the
一方、監視しているフレームデータが追跡対象ではない場合には、発信源追跡処理を継続する時間を超えているか判断して(ステップS16)、超えていない場合にはステップS6及びステップS7を繰り返す。 On the other hand, if the frame data being monitored is not a tracking target, it is determined whether or not the time for continuing the source tracking process has been exceeded (step S16), and if not, steps S6 and S7 are repeated. .
追跡対象のIPパケットを検出した場合、発信源追跡制御部65は、追跡情報集約数に1を加えて(ステップS8)、その追跡情報集約数が上限値を超えた場合に(ステップS9)、追跡情報メッセージを作成する(ステップS10)。追跡情報集約数の上限値を超えていない場合には、当該追跡情報メッセージは作成されず(同ステップS10)、タイムアップしていない限りインターフェース毎のIPパケットの監視が継続される(ステップS16,ステップS6,ステップS7)。このように、攻撃パケットの特徴と一致するIPパケットを複数回検出した場合(当該上限値を超えた場合)に初めて、追跡情報メッセージが作成されて、送信される。
When the tracking target IP packet is detected, the source tracking
上述の追跡情報メッセージの作成について、さらに言及すると、発信源追跡制御部65は、追跡要求メッセージの発信元である追跡端末MのIPアドレスを宛先アドレスとし、さらに後方リンク情報から、後方側機器である中継装置RnのMACアドレスを抽出する。次に、発信源追跡制御部65は、抽出したMACアドレスからARPテーブル53を参照して、当該後方の中継装置RnのIPアドレスを求め、そのIPアドレスと、追跡ID、前方リンク、後方リンクの各情報を追跡情報メッセージ作成部66へと送信する。このとき、攻撃があったことのログとしての利用や、追跡端末M等にて詳細な解析を行うために、パケット解析部62で検出した攻撃パケットのデータを含めるようにしても良い。
Further referring to the creation of the tracking information message described above, the source tracking
そして、これらの各情報を受信した追跡情報メッセージ作成部66では、当該各情報と追跡情報である旨を格納したパケットデータを作成し(ステップS10)、ルーティング制御部60へと送信する。なお、このパケットデータは、上述したUDPなどにより構成しても良い。次に、ルーティング制御部51は、宛先アドレスである追跡端末MのIPアドレスを、ルーティングテーブル52を参照して、対応するインターフェースを求め、そのインターフェースの情報と共に、パケットデータをデータリンク層インターフェース42へと送信する。そして、上述の各情報が含まれた追跡情報メッセージが追跡端末Mへと送信される(ステップS11)。
The tracking information
追跡情報メッセージが送信されると、追跡端末Mは、追跡機能を有する中継装置Rnから送信された追跡情報メッセージであることを追跡情報メッセージ検出部21にて検出し、その旨と追跡情報メッセージに格納された各種情報を追跡情報解析部22へと渡す(ステップS20)。追跡情報解析部22では、リンクリストデータベース23に、当該追跡情報メッセージを検出した旨を受信した時間と、追跡ID、後方側機器のIPアドレス、後方側リンク情報、前方側リンク情報を格納して、図4に示したような追跡結果情報を作成する(ステップS21)。
When the tracking information message is transmitted, the tracking terminal M detects that the tracking information message is the tracking information message transmitted from the relay device Rn having the tracking function, and the tracking information message The stored various information is transferred to the tracking information analysis unit 22 (step S20). The tracking
次に追跡端末Mは、追跡情報メッセージに含まれている後方側機器のIPアドレスを追跡情報解析部22から追跡制御部25に渡す。そして、追跡制御部25は、当該IPアドレスに基づいて、以降に追跡要求メッセージの送信先となる追跡機能を有する中継装置Rnのリストである要求予定リストの作成を行い(ステップS22)、当該要求予定リストに中継装置RnのIDがある場合には攻撃パケットの追跡が可能であるのでステップS3以降に処理を戻し、要求予定リストに中継装置RnのIDがない場合には攻撃パケットの追跡が不能であるので処理を終了する。
Next, the tracking terminal M passes the IP address of the rear device included in the tracking information message from the tracking
このステップS22において要求予定リストを作成する処理を図8に示すように、先ず追跡制御部25は、メモリに記憶させる候補リストを初期化してIPアドレスが登録されていない状態とし(ステップS51)、次にステップS20で受信した追跡情報メッセージに含まれている後方側機器IPアドレスを取出す(ステップS52)。
As shown in FIG. 8, the
次に追跡制御部25は、ステップS52で取り出した後方側機器IPアドレスが、トポロジマップデータベース26に登録されている中継装置RnのIPアドレスか否かを判定して(ステップS53)、中継装置RnのIPアドレスではない場合には、攻撃端末Anの可能性がある端末であるとして、攻撃端末リストに追加して処理を終了する(ステップS54)。
Next, the
一方、ステップS52で取得したIPアドレスが、中継装置RnのIPアドレスである場合には、当該IPアドレスに対応する中継装置のIDを候補リストに追加する(ステップS55)。そして、次のステップS56〜ステップS61は、図7におけるステップS38〜ステップS44と同様の処理を行うことにより、候補リストに加えられた中継装置Rnごとに要求済か否か、追跡機能を有するか否かを判定して、要求済又は既に要求予定リストに加えられておらず且つ追跡機能を有する中継装置Rnである場合に、当該中継装置Rnを新たに要求予定リストに追加することになる。 On the other hand, if the IP address acquired in step S52 is the IP address of the relay device Rn, the ID of the relay device corresponding to the IP address is added to the candidate list (step S55). Then, the next step S56 to step S61 performs the same processing as step S38 to step S44 in FIG. 7 to determine whether each relay device Rn added to the candidate list has been requested or whether it has a tracking function. If it is a relay device Rn that has been requested or has not been added to the request schedule list and has a tracking function, the relay device Rn is newly added to the request schedule list.
このような処理を行うことにより、追跡情報メッセージに含まれている後方側機器IPアドレスに対応する中継装置Rnが追跡機能を有していなくても、当該中継装置Rnの近くにある追跡機能を有する中継装置Rnを追跡要求メッセージの送信先とでき、攻撃パケットの追跡を継続できる。 By performing such processing, even if the relay device Rn corresponding to the rear device IP address included in the tracking information message does not have the tracking function, the tracking function near the relay device Rn can be performed. The relay device Rn having the tracking request message can be the transmission destination of the tracking request message, and the tracking of the attack packet can be continued.
このように要求予定リストを作成すると、ステップS3において、発信源追跡機能部33では、要求予定リストを参照して次回に追跡要求メッセージの送信先となる追跡機能を有する中継装置Rnを求めて、追跡IDから自己のバッファに格納した特徴情報を読み出し、当該後方側機器宛に、追跡要求である旨、追跡ID、追跡情報集約数の上限値、追跡情報取得数の上限値、発信源追跡処理を継続する時間、そして読み出した特徴情報を含んだ追跡要求メッセージを作成して、後方側機器に追跡要求メッセージが送信されることになる。このような処理を繰り返すことにより、図2に示す追跡端末Mのリンクリストデータベース23に、追跡情報が順次格納されていくので、これらの情報を繋ぎ合わせることで、攻撃端末An等を特定することができる。
When the request schedule list is created in this way, in step S3, the source tracking
ところで、再び中継装置Rnの動作フローについて着目すると、追跡情報メッセージを追跡端末Mへと送信させた後(ステップS11)、中継装置Rnの発信源追跡制御部65では、追跡情報取得数に1を加え(ステップS12)、その取得数が上限値を超えていた場合には(ステップS13)、追跡情報メッセージが大量に送信されることを防ぐために、追跡処理を終了する。このとき、追跡情報集約数及び追跡情報取得数をリセットさせる(ステップS14)。一方、追跡情報取得数の上限値に達していない場合には、既に追跡情報メッセージが送信されたことから、追跡情報集約数をリセットし(ステップS15)、発信源追跡処理を継続する時間を超えているか判断する(ステップS16)。なお、このステップS16は、IPパケットを受信したが、追跡対象のIPパケット(攻撃パケット)ではなかった場合や(ステップS7)、追跡情報集約数の上限値に達していなかった場合(ステップS9)にも、発信源追跡処理を継続するか否かが判断される(ステップS16)。
By the way, paying attention again to the operation flow of the relay device Rn, after the tracking information message is transmitted to the tracking terminal M (step S11), the source tracking
そして、発信源追跡制御部65は、発信源追跡処理を継続する時間を超えていなかった場合には(ステップS16)、継続して、パケット解析部62に、インターフェース毎にパケットデータを監視させるようになっている(ステップS6)。一方、発信源追跡処理を継続する時間を超えた場合であって(ステップS16)、追跡情報メッセージ作成部66に対して、当該追跡情報メッセージの作成を要求しておらず、かつ追跡対象のIPパケット(攻撃パケット)の特徴に一度でも一致している場合には(ステップS17)、ステップS10、S11と同様にして、追跡情報メッセージを作成し(ステップS18)、その作成したメッセージを追跡端末Mへと送信するようになっている(ステップS19)。
Then, if the time for continuing the source tracking process has not been exceeded (step S16), the source tracking
「追跡端末M及び中継装置Rnの動作例」
つぎに、上述したような処理を行う追跡端末M及び中継装置Rnにおいて、図9(a)に示すように、攻撃端末Anが攻撃端末A1と攻撃端末A2とで構成されて、攻撃端末A1からは攻撃パケットP1aが中継装置R4,中継装置R1,中継装置R2を介して被害端末Vに送信され、攻撃端末A2からは攻撃パケットP1bが中継装置R6,中継装置R5,中継装置R2を介して被害端末Vに送信される場合について説明する。ここで、中継装置R1,R5は追跡機能を有しないものであり、中継装置R2,R3,R4,R6は追跡機能を有して図6に示した処理を行うものである。また、追跡端末Mのトポロジマップデータベース26には、図3に示したトポロジマップ情報が格納されているものとする。
"Example of operation of tracking terminal M and relay device Rn"
Next, in the tracking terminal M and the relay device Rn that perform the processing as described above, as shown in FIG. 9A, the attack terminal An is composed of the attack terminal A1 and the attack terminal A2, and the attack terminal A1 The attack packet P1a is transmitted to the victim terminal V via the relay device R4, the relay device R1, and the relay device R2, and the attack packet P1b is damaged by the relay device R6, the relay device R5, and the relay device R2 from the attack terminal A2. The case where it transmits to the terminal V is demonstrated. Here, the relay devices R1 and R5 do not have the tracking function, and the relay devices R2, R3, R4, and R6 have the tracking function and perform the processing shown in FIG. Further, it is assumed that the
図9(a)に示すように、攻撃端末A1から攻撃パケットP1aが送信され、且つ、攻撃端末A2から攻撃パケットP1bが送信されて、被害端末Vへの攻撃が開始されると、被害端末Vでは、攻撃端末A1、A2からのそれぞれ攻撃パケットP1a、P1bを受信する。このとき、中継装置R2から被害端末Vに伝送される攻撃パケットP1a,P1bのコピーパケットP2a,P2bは、追跡端末Mに伝送される。 As shown in FIG. 9A, when the attack packet P1a is transmitted from the attack terminal A1 and the attack packet P1b is transmitted from the attack terminal A2, and the attack to the victim terminal V is started, the victim terminal V1 Then, attack packets P1a and P1b are received from the attacking terminals A1 and A2, respectively. At this time, the copy packets P2a and P2b of the attack packets P1a and P1b transmitted from the relay device R2 to the victim terminal V are transmitted to the tracking terminal M.
追跡端末Mは、攻撃パケットのコピーパケットP2a,P2bを受信すると、IDS部2のIDSパケット解析部11及び不正アクセスパターンデータベース12によって攻撃検出を行って、攻撃の検出に成功すると(ステップS1)、追跡動作を開始して被害端末Vの最寄りの追跡機能を有する中継装置R2に、特徴情報(宛先、プロトコル番号、ポート番号、その他パケットのデータ部など)を含む追跡要求メッセージP3を送信する(ステップS2,ステップS3)。追跡要求メッセージを受信した中継装置R2は、パケットの監視を開始する(ステップS4〜ステップS6)。
When the tracking terminal M receives the copy packets P2a and P2b of the attack packet, the tracking terminal M performs attack detection by the IDS
次に、図9(b)に示すように、攻撃端末A1から再び攻撃パケットP4が送信されると、中継装置R2は、当該攻撃パケットP4が、以前に取得した攻撃パケットP1a,P1bの特徴情報と一致するかをチェックする(ステップS7)。そして、攻撃パケットP1aの特徴と一致していることが判明すると、後方側機器のIPアドレスである中継装置R1のIPアドレスと、後方リンク情報である中継装置R1と中継装置R2のアドレスペアと、前方リンク情報である被害端末Vと中継装置R2とのアドレスペアとを含む追跡情報メッセージP5を追跡端末Mに送信する(ステップS8〜ステップS11)。 Next, as shown in FIG. 9 (b), when the attack packet P4 is transmitted again from the attack terminal A1, the relay device R2 obtains the characteristic information of the attack packets P1a and P1b previously acquired by the relay packet R4. Is checked (step S7). Then, when it is found that it matches the characteristics of the attack packet P1a, the IP address of the relay device R1 that is the IP address of the rear side device, the address pair of the relay device R1 and the relay device R2 that is the back link information, A tracking information message P5 including an address pair of the victim terminal V and the relay device R2 that is forward link information is transmitted to the tracking terminal M (steps S8 to S11).
追跡情報メッセージP5を追跡端末Mで受信すると(ステップS20)、追跡情報解析部22は、追跡情報メッセージP5から図4におけるインデックス「1」の追跡結果情報を作成すると共に、追跡情報メッセージP5に含まれている後方側機器のIPアドレスである中継装置R1のIPアドレスを取り出す(ステップS21)。しかし、トポロジマップデータベース26のトポロジマップ情報から中継装置R1が追跡機能を持っていないことが分かるので、追跡制御部25により、中継装置R1に代えて、中継装置R1に隣接する中継装置R3と中継装置R4とに追跡要求メッセージを送信することを決定する。このとき、追跡端末Mは、図8におけるステップS51〜ステップS53、ステップS55〜ステップS61の処理を行って、要求予定リストを作成する。そして、要求予定リストに従って、追跡端末Mは、追跡要求メッセージP6aを中継装置R3に送信し、追跡要求メッセージP6bを中継装置R4に送信する(ステップS23,ステップS3)。
When the tracking information message P5 is received by the tracking terminal M (step S20), the tracking
次に、図9(c)に示すように、攻撃端末A1から更に再び攻撃パケットP7が送信されると、当該攻撃パケットP7は、中継装置R4に受信される。中継装置R4は、攻撃パケットP7が攻撃パケットP1aの特徴情報に一致することから、後方側機器のIPアドレスである攻撃端末A1のIPアドレスと、後方リンク情報である攻撃端末A1と中継装置R4のアドレスペアと、前方リンク情報である中継装置R1と中継装置R4とのアドレスペアとを含む追跡情報メッセージP8を追跡端末Mに送信する(ステップS7〜ステップS11)。 Next, as shown in FIG. 9C, when the attack packet P7 is transmitted again from the attack terminal A1, the attack packet P7 is received by the relay device R4. Since the attack packet P7 matches the feature information of the attack packet P1a, the relay device R4 matches the IP address of the attack terminal A1 that is the IP address of the backward device, the attack terminal A1 that is the backward link information, and the relay device R4. A tracking information message P8 including the address pair and the address pair of the relay device R1 and the relay device R4, which is forward link information, is transmitted to the tracking terminal M (steps S7 to S11).
追跡情報メッセージP8を追跡端末Mで受信すると(ステップS20)、追跡情報解析部22は、追跡情報メッセージP8から図4におけるインデックス「2」の追跡結果情報を作成すると共に、追跡情報メッセージP8に含まれている後方側機器のIPアドレスである攻撃端末A1のIPアドレスを取り出す(ステップS21)。この攻撃端末A1のIPアドレスは、トポロジマップデータベース26に記憶されている中継装置RnのIPアドレスの何れにも該当しないので、攻撃端末リストに攻撃端末A1のIPアドレスを格納する(ステップS22のステップS51〜ステップS54)。
When the tracking information message P8 is received by the tracking terminal M (step S20), the tracking
これによって、攻撃端末A1の追跡が完了し、リンクリストデータベース23のインデックス1,2の欄を参照して繋ぎ合わせることによって、攻撃パケットP1aが被害端末Vに受信されるまでの経路を確認できる。
As a result, the tracking of the attack terminal A1 is completed, and the path until the attack packet P1a is received by the victim terminal V can be confirmed by referring to the fields of the
また、図10(a)に示すように、攻撃端末A1から再び攻撃パケットP9が送信されると、中継装置R2は、当該攻撃パケットP9が、以前に取得した攻撃パケットP1bの特徴情報と一致するので(ステップS7)、後方側機器のIPアドレスである中継装置R5のIPアドレスと、後方リンク情報である中継装置R5と中継装置R2のアドレスペアと、前方リンク情報である被害端末Vと中継装置R2とのアドレスペアとを含む追跡情報メッセージP10を追跡端末Mに送信する(ステップS8〜ステップS11)。 Also, as shown in FIG. 10A, when the attack packet P9 is transmitted again from the attack terminal A1, the relay device R2 matches the feature information of the attack packet P1b acquired previously. Therefore (step S7), the IP address of the relay device R5 that is the IP address of the rear side device, the address pair of the relay device R5 and the relay device R2 that is the back link information, the victim terminal V that is the front link information, and the relay device A tracking information message P10 including an address pair with R2 is transmitted to the tracking terminal M (steps S8 to S11).
追跡情報メッセージP10を追跡端末Mで受信すると(ステップS20)、追跡情報解析部22は、追跡情報メッセージP10から図4におけるインデックス「3」の追跡結果情報を作成すると共に、追跡情報メッセージP10に含まれている後方側機器のIPアドレスである中継装置R5のIPアドレスを取り出すが(ステップS21)、中継装置R5が追跡機能を持っていないことが分かるので、追跡制御部25により、中継装置R5に代えて、中継装置R5に隣接する中継装置R6に追跡要求メッセージP11を送信する(ステップS51〜ステップS53、ステップS55〜ステップS61,ステップS23,ステップS3)。
When the tracking information message P10 is received by the tracking terminal M (step S20), the tracking
次に、図10(b)に示すように、攻撃端末A2から更に再び攻撃パケットP12が送信されると、当該攻撃パケットP12は、中継装置R6に受信される。中継装置R6は、攻撃パケットP12が攻撃パケットP1bの特徴情報に一致することから、後方側機器のIPアドレスである攻撃端末A2のIPアドレスと、後方リンク情報である攻撃端末A1と中継装置R6のアドレスペアと、前方リンク情報である中継装置R5と中継装置R6とのアドレスペアとを含む追跡情報メッセージP13を追跡端末Mに送信する(ステップS7〜ステップS11)。 Next, as shown in FIG. 10B, when the attack packet P12 is transmitted again from the attack terminal A2, the attack packet P12 is received by the relay device R6. Since the attack packet P12 matches the feature information of the attack packet P1b, the relay device R6 matches the IP address of the attack terminal A2 that is the IP address of the backward device, the attack terminal A1 that is the backward link information, and the relay device R6. A tracking information message P13 including the address pair and the address pair of the relay device R5 and the relay device R6, which is forward link information, is transmitted to the tracking terminal M (steps S7 to S11).
追跡情報メッセージP13を追跡端末Mで受信すると(ステップS20)、追跡情報解析部22は、追跡情報メッセージP13から図4におけるインデックス「1」の追跡結果情報を作成すると共に、追跡情報メッセージP13に含まれている後方側機器のIPアドレスである攻撃端末A2のIPアドレスを取り出す(ステップS21)。この攻撃端末A1のIPアドレスは、トポロジマップデータベース26に記憶されている中継装置RnのIPアドレスの何れにも該当しないので、攻撃端末リストに攻撃端末A2のIPアドレスを格納する(ステップS22のステップS51〜ステップS54)。
When the tracking information message P13 is received by the tracking terminal M (step S20), the tracking
これによって、攻撃端末A2の追跡が完了し、リンクリストデータベース23のインデックス3,4の欄を繋ぎ合わせることによって、攻撃パケットP1bが被害端末Vに受信されるまでの経路を確認できる。
Thus, the tracking of the attack terminal A2 is completed, and the path until the attack packet P1b is received by the victim terminal V can be confirmed by connecting the columns of the
また、図11に示すように、追跡機能を有する中継装置R2の不具合によって、追跡要求メッセージの送信が失敗した場合(ステップS35→NO)、追跡制御部25は、トポロジマップデータベース26のトポロジマップ情報を参照して、中継装置R2に隣接している中継装置R1と中継装置R5に着目する。しかし、中継装置R1と中継装置R5は追跡機能を持っていないため、さらにトポロジマップ情報を参照して、追跡機能を有する中継装置R3、中継装置R4、中継装置R6に追跡要求メッセージP2a、P2b、P2cを送信する(ステップS37〜ステップS44,ステップS36〜ステップS34)。これにより、追跡端末Mは、一部の追跡機能を有する中継装置Rnが故障した場合であっても、追跡機能を有する中継装置R3,R4,R6からの追跡情報メッセージを受信でき、攻撃端末A1,A2を特定できる。
As shown in FIG. 11, when the transmission of the tracking request message fails due to a failure of the relay device R2 having the tracking function (step S35 → NO), the
なお、図11では、追跡端末Mから中継装置R2を経由しないで追跡要求メッセージを中継装置R3、R4,R6に送信するように図示しているが、発信源追跡機能部33に不具合が発生しているものの中継装置R2のルータ機能部32が動作している場合には、中継装置R2を経由して追跡要求メッセージの送信ができる。
Although FIG. 11 illustrates that the tracking request message is transmitted from the tracking terminal M to the relay devices R3, R4, and R6 without passing through the relay device R2, a problem occurs in the source tracking
更に、この発信源探査システムが小規模なネットワーク構成である場合に、追跡端末Mは、攻撃パケットを検出した時に、トポロジマップデータベース26のトポロジマップ情報を参照して、当該トポロジマップ情報に登録されている全ての追跡機能を有する中継装置Rnに追跡要求メッセージを一斉配信しても良い。
Further, when the source search system has a small network configuration, the tracking terminal M is registered in the topology map information with reference to the topology map information in the
このような追跡端末Mは、要求予定リストの初期設定を行う図6のステップS2において、図12に示すように、先ずステップS71において、トポロジマップ情報に登録されている全ての追跡機能を有する中継装置RnのIDを要求予定リストに追加する。そして、図6のステップS3において、図7のステップS31に代えて全ての中継装置RnのIPアドレスを取り出す処理を行い、ステップS32に代えて、図12のステップS72に示すように、要求済リストに全ての中継装置RnのIPアドレスを追加して、追跡要求メッセージを作成する。そして、図13に示すように、追跡機能を有する中継装置R2,R3,R4,R6にそれぞれ追跡要求メッセージP1a,P1b,P1c,P1dの送信を行うことになる(ステップS32,ステップS33)。 In step S2 of FIG. 6 for initial setting of the request schedule list, such a tracking terminal M first relays all the tracking functions registered in the topology map information in step S71 as shown in FIG. The ID of the device Rn is added to the request schedule list. Then, in step S3 in FIG. 6, a process for extracting the IP addresses of all the relay devices Rn is performed in place of step S31 in FIG. 7, and the requested list is replaced as shown in step S72 in FIG. 12 instead of step S32. Are added with the IP addresses of all the relay devices Rn to create a tracking request message. Then, as shown in FIG. 13, the tracking request messages P1a, P1b, P1c, and P1d are transmitted to the relay devices R2, R3, R4, and R6 having the tracking function, respectively (steps S32 and S33).
これにより、上述したステップS2における要求予定リストの初期設定では、被害端末Vに最寄りの中継装置Rnのみを登録していたが、追跡機能を有する中継装置Rn全てのIDを要求予定リストに追加して、一斉に追跡要求メッセージを送信することによって、攻撃パケットを追跡する処理を高速化できる。また、一斉に追跡要求メッセージを送信した場合に、要求済リストに全ての追跡機能を有する中継装置Rnを追加することで、無駄な追跡要求メッセージの送信を回避できる。 Thus, in the initial setting of the request schedule list in step S2 described above, only the nearest relay device Rn is registered in the victim terminal V, but the IDs of all relay devices Rn having a tracking function are added to the request schedule list. Thus, it is possible to speed up the process of tracking attack packets by sending the tracking request message all at once. Further, when the tracking request message is transmitted all at once, it is possible to avoid unnecessary transmission of the tracking request message by adding the relay device Rn having all the tracking functions to the requested list.
つぎに、本発明を適用した他の追跡端末Mについて説明する。図14に示すように、追跡端末Mは、中継装置Rn間又は中継装置Rnと端末との間の通信線に接続されて、当該通信線に通過するパケットを監視して、上述の追跡機能を有する中継装置Rnにおける発信源追跡機能部33が備える機能を実装する追跡専用装置U1,U2,U3(以下、総称する場合には単に「追跡専用装置Un」と呼ぶ。)を有する発信源探査システムに備えられる。すなわち、この発信源探査システムは、追跡要求メッセージに対して追跡情報メッセージを返信する発信源追跡機能部33を、中継装置Rnではなく、追跡専用装置Unに持たせたものである。
Next, another tracking terminal M to which the present invention is applied will be described. As shown in FIG. 14, the tracking terminal M is connected to a communication line between the relay devices Rn or between the relay device Rn and the terminal, monitors packets passing through the communication line, and performs the tracking function described above. A source search system having dedicated tracking devices U1, U2, U3 (hereinafter simply referred to as “tracking dedicated device Un” when collectively referred to) that implement the functions of the source tracking
この追跡専用装置Unは、図15に示すように、上述の通信インターフェース部31、物理層インターフェース41及びデータリンク層インターフェース42と同様の機能を有する通信インターフェース部71、物理層インターフェース81及びデータリンク層インターフェース82と、上述のパケット解析部62、特徴情報データベース63、発信源追跡制御部65、追跡情報メッセージ作成部66、タイマー部64と同様の機能を有するパケット解析部91、特徴情報データベース92、発信源追跡制御部94、追跡情報メッセージ作成部93、タイマー部95を備えた発信源追跡機能部72を備えている。
As shown in FIG. 15, the tracking dedicated device Un includes a
なお、図15に示す追跡専用装置Unの構成では、発信源追跡機能部72に、図5におけるデータリンクアドレス検出部61又はARPテーブル53が図示されていないが、中継装置RnのMACアドレスをIPアドレスに変換するARP機能又は対応表は、発信源追跡制御部94内に実装しておくものとする。
In the configuration of the tracking dedicated device Un shown in FIG. 15, the source
このような追跡専用装置Unは、追跡端末Mから追跡要求メッセージを受信すると、当該追跡要求メッセージに含まれる追跡IDと特徴情報とを特徴情報データベース92に格納しておき、特徴情報に一致するIPパケットを検出した場合には、追跡情報メッセージを追跡端末Mに返信する。このとき、追跡専用装置Unの発信源追跡制御部94は、追跡情報メッセージに含める前方リンク情報又は後方リンク情報として、攻撃パケットが通過した通過リンクの前方(パケット送信元)の中継装置RnのIPアドレスと後方(パケット送信先)の中継装置RnのIPアドレスとを取得し、後方側機器のIPアドレスとしてパケット送信元側の中継装置RnのIPアドレスを取得する。そして、追跡情報メッセージ作成部93は、通過リンクの前方の中継装置RnのIPアドレスと後方の中継装置RnのIPアドレスを後方リンク情報とし、前方リンク情報を格納していない追跡情報メッセージを作成して、通信インターフェース部71から追跡端末Mに送信させる。
When receiving the tracking request message from the tracking terminal M, the tracking dedicated device Un stores the tracking ID and the feature information included in the tracking request message in the
このような追跡専用装置Unを発信源探査システムに備えた場合、追跡端末Mのトポロジマップデータベース26には、図16に示すような中継装置Rn間の物理的接続関係を定義したトポロジマップ情報と、図17に示すような中継装置Rnに対する追跡専用装置Unの接続関係を定義した追跡装置配置情報とが格納されている。この追跡装置配置情報は、追跡専用装置UnのIDと、追跡専用装置UnのIPアドレスと、隣接する中継装置RnのIDとが対応付けられている。この追跡装置配置情報は、予め入力部4によって入力されて、トポロジマップデータベース26に格納されている。なお、図16に示すトポロジマップ情報は、全ての中継装置Rnが追跡機能を有しない場合である。追跡端末Mの追跡制御部25は、追跡要求メッセージを送信するに際して、要求予定リストに追跡専用装置Unも含めるようにする。
When such a dedicated tracking device Un is provided in the transmission source search system, the
このような追跡専用装置Unを有した発信源探査システムにおいては、上述のステップS3内の図7の追跡要求メッセージの送信処理(ステップS31〜ステップS44)に加えて、図18に示すように、ステップS37の次にステップS81及びステップS82の処理を行う。また、上述のステップS22内の図8の要求予定リストの作成処理のステップS62に代えて、図19のステップS91及びステップS92の処理を行う。 In the source search system having such a tracking dedicated device Un, in addition to the tracking request message transmission processing (steps S31 to S44) of FIG. 7 in step S3 described above, as shown in FIG. Following step S37, the processes of step S81 and step S82 are performed. Further, instead of step S62 of the request schedule list creation process of FIG. 8 in step S22 described above, the processes of step S91 and step S92 of FIG. 19 are performed.
このステップS81の処理は、図18に示すように、追跡機能を有しない中継装置Rnへの追跡要求メッセージの送信が失敗して(ステップS35)、候補リストを初期化した後に(ステップS37)、要求済リストに登録されていない追跡専用装置Unを要求予定リスト及び要求済リストに追加する。次に、ステップS82において、隣接する中継装置Rnとの間に追跡専用装置Unが存在しない中継装置Rnをトポロジマップ情報及び/又は追跡装置配置情報から検索して、当該中継装置RnのIDを候補リストに追加する。 As shown in FIG. 18, the process in step S81 is performed after the tracking request message transmission to the relay device Rn having no tracking function fails (step S35) and the candidate list is initialized (step S37). The tracking-only device Un that is not registered in the requested list is added to the requested scheduled list and the requested list. Next, in step S82, the relay device Rn in which no tracking dedicated device Un exists between the adjacent relay devices Rn is searched from the topology map information and / or tracking device arrangement information, and the ID of the relay device Rn is selected as a candidate. Add to list.
これにより、ステップS82で候補リストに追加された中継装置RnのIDがステップS39で取り出されて、追跡機能を有しない中継装置RnのIDはステップS40及びステップS41における判定が「NO」となって要求済リストに追加され、追跡機能を有する中継装置RnのIDはステップS42で要求予定リストに追加される。 As a result, the ID of the relay device Rn added to the candidate list in step S82 is extracted in step S39, and the ID of the relay device Rn having no tracking function is “NO” in steps S40 and S41. The ID of the relay device Rn added to the requested list and having the tracking function is added to the requested schedule list in step S42.
その後、追跡端末Mは、追跡情報メッセージを受信した場合、追跡情報メッセージに格納される中継装置Rn及び候補リストに追加された追跡機能を有しない中継装置RnのIDについては、ステップS58からステップS61に処理が進められて、要求済リストに追加される。一方、追跡機能を有する中継装置RnについてはステップS59で要求予定リストに追加される。 After that, when the tracking terminal M receives the tracking information message, the tracking device Rn stores the relay device Rn stored in the tracking information message and the ID of the relay device Rn that does not have the tracking function added to the candidate list, from step S58 to step S61. The process proceeds and is added to the requested list. On the other hand, the relay device Rn having the tracking function is added to the request schedule list in step S59.
ステップS91において、追跡制御部25は、追跡装置配置情報から、中継装置Rnに隣接する追跡専用装置Unのうち、要求済リストにない追跡専用装置Unを全て要求予定リスト及び要求済みリストに加える。その後、ステップS92において、追跡制御部25は、ステップS55で候補リストに追加した中継装置Rnに隣接する中継装置Rnの中から、間に追跡専用装置Unのないものをトポロジマップ情報及び追跡専用装置配置情報から検索して、当該検索された中継装置Rnの全てのIDを候補リストに加える。これによって、この候補リストに追加された追跡機能を有しない中継装置RnのIDは、ステップS61において全て要求済リストに追加される。
In step S91, the
これにより、攻撃パケットの追跡の途中で追跡専用装置Unがあった場合に、当該中継装置Rnの追跡機能を利用することができる。 As a result, when there is a dedicated tracking device Un during the tracking of attack packets, the tracking function of the relay device Rn can be used.
このような追跡専用装置Unを備える発信源探査システムにおいて、図20(a)に示すように、攻撃端末A1からの攻撃パケットP1が、中継装置R4,中継装置R1,中継装置R2を経由して、被害端末Vで受信された場合には、追跡端末Mによって攻撃が検出できる。ここで、全ての中継装置R1〜R5は追跡機能を有しないものであり、攻撃端末A1と中継装置R4との間に追跡専用装置U1が設けられ、中継装置R1と中継装置R2との間に追跡専用装置U2が設けられ、中継装置R1と中継装置R3との間に追跡専用装置U3が設けられており、追跡端末Mには、図16に示すトポロジマップ情報と図17に示す追跡装置配置情報とが記憶されている。 In the source search system having such a tracking-dedicated device Un, as shown in FIG. 20A, the attack packet P1 from the attack terminal A1 passes through the relay device R4, the relay device R1, and the relay device R2. If the victim terminal V receives the attack, the tracking terminal M can detect the attack. Here, all the relay devices R1 to R5 do not have a tracking function, a tracking dedicated device U1 is provided between the attack terminal A1 and the relay device R4, and between the relay device R1 and the relay device R2. A tracking dedicated device U2 is provided, and a tracking dedicated device U3 is provided between the relay device R1 and the relay device R3. The topology terminal information shown in FIG. 16 and the tracking device arrangement shown in FIG. Information is stored.
追跡端末Mで攻撃を検出した場合、中継装置R2には追跡機能が無いために、トポロジマップ情報及び追跡装置配置情報とが参照されて、中継装置R2に隣接する追跡専用装置Unとして、中継装置R2と中継装置R1との通過リンクに接続された追跡専用装置U2のIPアドレス宛に追跡要求メッセージP2が送信される。これにより、追跡専用装置U2は、中継装置R1と中継装置R2との通過リンクに流れるIPパケットの監視を開始する。 When an attack is detected by the tracking terminal M, the relay device R2 has no tracking function, so the topology map information and the tracking device arrangement information are referred to, and the relay device is used as the tracking dedicated device Un adjacent to the relay device R2. A tracking request message P2 is transmitted to the IP address of the dedicated tracking device U2 connected to the passing link between R2 and the relay device R1. As a result, the tracking-dedicated device U2 starts monitoring the IP packet flowing through the passing link between the relay device R1 and the relay device R2.
次に、図20(b)に示すように、再度攻撃端末A1から攻撃パケットP3が送信されると、追跡専用装置U2は、当該攻撃パケットP3が、以前に取得した攻撃パケットP1の特徴情報と一致するので、後方側機器のIPアドレスである中継装置R1のIPアドレスと、後方リンク情報である中継装置R1と中継装置R2のアドレスペアとを含む追跡情報メッセージP4を追跡端末Mに送信する。 Next, as shown in FIG. 20 (b), when the attack packet P3 is transmitted again from the attack terminal A1, the tracking-dedicated device U2 determines that the attack packet P3 includes the characteristic information of the attack packet P1 acquired previously and Since they match, the tracking information message P4 including the IP address of the relay device R1 that is the IP address of the rear side device and the address pair of the relay device R1 and the relay device R2 that is the back link information is transmitted to the tracking terminal M.
追跡情報メッセージP4を追跡端末Mで受信すると、追跡端末Mは、追跡情報メッセージP4に含まれている後方側機器のIPアドレスとして中継装置R1のIPアドレスを取り出すが、当該中継装置R1はトポロジマップ情報から追跡機能を有しないものである。したがって、追跡端末Mは、追跡装置配置情報から、追跡専用装置U3と追跡専用装置U1に追跡要求メッセージを送信することを決定して、追跡要求メッセージP5a,P5bを、追跡専用端末U3,U1に送信する。 When the tracking information message P4 is received by the tracking terminal M, the tracking terminal M extracts the IP address of the relay device R1 as the IP address of the rear side device included in the tracking information message P4. The information does not have a tracking function. Accordingly, the tracking terminal M determines from the tracking device arrangement information to transmit a tracking request message to the tracking dedicated device U3 and the tracking dedicated device U1, and sends the tracking request messages P5a and P5b to the tracking dedicated terminals U3 and U1. Send.
次に、図20(c)に示すように、更に再度攻撃端末A1から攻撃パケットP6が送信されると、追跡専用装置U1は、当該攻撃パケットP6を検出でき、後方側機器のIPアドレスとして攻撃端末A1のIPアドレスを含む追跡情報メッセージP7を追跡端末Mに送信できる。そして、追跡端末Mは、攻撃端末A1のIPアドレスがトポロジマップ情報に含まれていないことを確認して、攻撃端末A1のIPアドレスを攻撃端末として記憶できる。 Next, as shown in FIG. 20 (c), when the attack packet P6 is transmitted again from the attacking terminal A1, the tracking apparatus U1 can detect the attack packet P6 and attack it as the IP address of the rear side device. A tracking information message P7 including the IP address of the terminal A1 can be transmitted to the tracking terminal M. Then, the tracking terminal M confirms that the IP address of the attacking terminal A1 is not included in the topology map information, and can store the IP address of the attacking terminal A1 as the attacking terminal.
このように、追跡専用装置Unを備えることにより、既存のシステムにおいて追跡機能を有する中継装置Rnが存在しない場合であっても、中継装置Rn間に追跡専用装置Unを挿入するのみで、中継装置Rnを交換することなく、外付けの機器のみで攻撃パケットの追跡を実現できる。また、発信源探査システムに追跡機能を有する中継装置Rnが存在する場合であっても、追跡専用装置Unを追加して挿入することにより、追跡情報メッセージを追跡端末Mで受信できる確率を高くすることができ、攻撃パケットの追跡精度を向上させることができる。 As described above, by providing the tracking dedicated device Un, even when the relay device Rn having the tracking function does not exist in the existing system, the relay device can be simply inserted between the relay devices Rn. The attack packet can be traced only by an external device without exchanging Rn. Moreover, even when the relay device Rn having the tracking function exists in the source search system, the probability that the tracking information message can be received by the tracking terminal M is increased by adding and inserting the dedicated tracking device Un. It is possible to improve the tracking accuracy of attack packets.
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
Rn 中継装置
An 攻撃端末
M 追跡端末
Un 追跡専用装置
V 被害端末
1 通信インターフェース部
2 IDS部
3 発信源追跡部
4 入力部
11 IDSパケット解析部
12 不正アクセスパターンデータベース
13 不正アクセス統計データベース
21 追跡情報メッセージ検出部
22 追跡情報解析部
23 リンクリストデータベース
24 追跡要求メッセージ作成部
25 追跡制御部
26 トポロジマップデータベース
31,71 通信インターフェース部
32 ルータ機能部
33,72 発信源追跡機能部
41,81 物理層インターフェース
42,82 データリンク層インターフェース
51 ルーティング制御部
52 ルーティングテーブル
53 ARPテーブル
60 ルーティング制御部
61 データリンクアドレス検出部
62,91 パケット解析部
63,92 特徴情報データベース
64,95 タイマー部
65,94 発信源追跡制御部
66,93 追跡情報メッセージ作成部
Rn relay device An attacking terminal M tracking terminal Un tracking dedicated device
Claims (2)
前記被害端末で受信されるパケットの特徴から、前記攻撃パケットを検出するパケット解析手段と、
前記パケット解析手段で解析された前記攻撃パケットの特徴と、当該攻撃パケットの特徴と同じ特徴を有するパケットを中継した場合に、当該パケットの送信元アドレスと自己のアドレスとの組及び当該パケットの送信先アドレスと自己のアドレスとの組を含む追跡情報メッセージを返信する要求を含む追跡要求メッセージを作成する追跡要求メッセージ作成手段と、
前記追跡情報メッセージを作成する機能を有する中継装置及び前記追跡情報メッセージを作成する機能を有しない中継装置の物理的な接続関係を記述したトポロジマップ情報を記憶する記憶手段と、
前記トポロジマップ情報を参照して、前記複数の中継装置のうち、前記追跡情報メッセージを作成する機能を有する中継装置に前記追跡要求メッセージ作成手段で作成された追跡要求メッセージを送信する追跡要求メッセージ送信手段と、
前記追跡情報メッセージを作成する機能を有する中継装置からの追跡情報メッセージに含まれているアドレスを繋ぎ合わせることによって前記攻撃パケットの発信源を特定する追跡情報解析手段とを備え、
前記追跡情報メッセージ送信手段は、前記追跡情報メッセージに含まれる送信元アドレスから前記トポロジマップ情報を参照して、当該追跡情報メッセージを送信した中継装置の送信元側に存在し前記追跡情報メッセージを作成する機能を有する中継装置に追跡要求メッセージを送信することを特徴とする発信源追跡装置。 A source tracking device that tracks the source of an attack packet transmitted from an attacking terminal and received by a victim terminal via a plurality of relay devices,
From the characteristics of the packet received at the victim terminal, packet analysis means for detecting the attack packet;
When a packet having the same characteristics as the characteristics of the attack packet analyzed by the packet analysis means and the attack packet is relayed, a combination of a source address of the packet and its own address and transmission of the packet A tracking request message creating means for creating a tracking request message including a request for returning a tracking information message including a pair of a destination address and a self address;
Storage means for storing topology map information describing a physical connection relationship of a relay apparatus having a function of creating the tracking information message and a relay apparatus having no function of creating the tracking information message;
Referring to the topology map information, tracking request message transmission for transmitting the tracking request message created by the tracking request message creating means to the relay device having the function of creating the tracking information message among the plurality of relay devices. Means,
Tracking information analysis means for identifying the source of the attack packet by connecting addresses included in the tracking information message from the relay device having a function of creating the tracking information message,
The tracking information message transmission means refers to the topology map information from the transmission source address included in the tracking information message and creates the tracking information message that exists on the transmission source side of the relay apparatus that transmitted the tracking information message. A transmission source tracking device, characterized in that a tracking request message is transmitted to a relay device having a function of:
前記被害端末で受信されるパケットの特徴から、前記攻撃パケットを検出するパケット解析手段と、
前記パケット解析手段で解析された前記攻撃パケットの特徴と、当該攻撃パケットの特徴と同じ特徴を有するパケットを検知した場合に、当該パケットの送信元アドレスと自己のアドレスとの組及び当該パケットの送信先アドレスと自己のアドレスとの組とを含む追跡情報メッセージを返信する要求を含む追跡要求メッセージを作成する追跡要求メッセージ作成手段と、
前記中継装置の物理的な接続関係を記述したトポロジマップ情報と、前記攻撃パケットが通過する通信線に接続されて当該通信線を通過して前記中継装置で中継されるパケットを受信し、前記追跡情報メッセージを作成する機能を有する追跡専用装置と前記中継装置との接続関係を記述した追跡装置配置情報とを記憶する記憶手段と、
前記トポロジマップ情報及び追跡装置配置情報を参照して、前記追跡専用装置に前記追跡要求メッセージ作成手段で作成された追跡要求メッセージを送信する追跡要求メッセージ送信手段と、
前記追跡専用装置からの追跡情報メッセージに含まれているアドレスを繋ぎ合わせることによって前記攻撃パケットの発信源を特定する追跡情報解析手段とを備え、
前記追跡情報メッセージ送信手段は、前記追跡情報メッセージに含まれる送信元アドレスから前記トポロジマップ情報及び追跡装置配置情報を参照して、当該追跡情報メッセージを送信した追跡専用装置の送信元側に存在する追跡専用装置に追跡要求メッセージを送信することを特徴とする発信源追跡装置。 A source tracking device that tracks the source of an attack packet transmitted from an attacking terminal and received by a victim terminal via a plurality of relay devices,
From the characteristics of the packet received at the victim terminal, packet analysis means for detecting the attack packet;
When a packet having the same characteristics as the characteristics of the attack packet analyzed by the packet analysis means and the attack packet is detected, a combination of the source address of the packet and its own address and transmission of the packet A tracking request message creating means for creating a tracking request message including a request for returning a tracking information message including a pair of a destination address and a self address;
The topology map information describing the physical connection relationship of the relay device and the packet connected to the communication line through which the attack packet passes and relayed by the relay device through the communication line are received, and the tracking Storage means for storing tracking device arrangement information describing a connection relationship between the dedicated tracking device having a function of creating an information message and the relay device;
A tracking request message transmitting means for referring to the topology map information and the tracking device arrangement information and transmitting the tracking request message created by the tracking request message creating means to the tracking dedicated device;
Tracking information analysis means for identifying the source of the attack packet by connecting addresses included in the tracking information message from the tracking dedicated device,
The tracking information message transmission means exists on the transmission source side of the dedicated tracking apparatus that has transmitted the tracking information message by referring to the topology map information and the tracking apparatus arrangement information from the transmission source address included in the tracking information message. A source tracking device, wherein a tracking request message is transmitted to a tracking dedicated device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005280927A JP2007096544A (en) | 2005-09-27 | 2005-09-27 | Transmission source tracking apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005280927A JP2007096544A (en) | 2005-09-27 | 2005-09-27 | Transmission source tracking apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007096544A true JP2007096544A (en) | 2007-04-12 |
Family
ID=37981742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005280927A Pending JP2007096544A (en) | 2005-09-27 | 2005-09-27 | Transmission source tracking apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007096544A (en) |
-
2005
- 2005-09-27 JP JP2005280927A patent/JP2007096544A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shi et al. | Detecting prefix hijackings in the internet with argus | |
Zheng et al. | A light-weight distributed scheme for detecting IP prefix hijacks in real-time | |
US8695089B2 (en) | Method and system for resilient packet traceback in wireless mesh and sensor networks | |
JP4955811B2 (en) | Proctor peers for detecting malicious peers in structured peer-to-peer networks | |
Nur et al. | Record route IP traceback: Combating DoS attacks and the variants | |
Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
CN102158497B (en) | IP address filtering method and device | |
Lee et al. | Defending against spoofed DDoS attacks with path fingerprint | |
Zeidanloo et al. | A proposed framework for P2P Botnet detection | |
Beck et al. | Monitoring the neighbor discovery protocol | |
Theodoridis et al. | A novel unsupervised method for securing BGP against routing hijacks | |
Sachdeva et al. | Deployment of distributed defense against DDoS attacks in ISP domain | |
Castelucio et al. | Intra-domain IP traceback using OSPF | |
Mavrakis | Passive asset discovery and operating system fingerprinting in industrial control system networks | |
Waichal et al. | Router attacks-detection and defense mechanisms | |
Smyth et al. | SECAP switch—Defeating topology poisoning attacks using P4 data planes | |
Alattar et al. | Log-based intrusion detection for MANET | |
JP2007096544A (en) | Transmission source tracking apparatus | |
Chen et al. | Distributed change-point detection of DDoS attacks over multiple network domains | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
Shue et al. | Packet forwarding with source verification | |
Czirkos et al. | Enhancing collaborative intrusion detection methods using a Kademlia overlay network | |
Wübbeling et al. | Improved calculation of aS resilience against IP prefix hijacking | |
CN111431913B (en) | Router advertisement protection mechanism existence detection method and device | |
Thing et al. | Adaptive response system for distributed denial-of-service attacks |