JP2008187701A - スキャン攻撃不正侵入防御装置 - Google Patents
スキャン攻撃不正侵入防御装置 Download PDFInfo
- Publication number
- JP2008187701A JP2008187701A JP2007226724A JP2007226724A JP2008187701A JP 2008187701 A JP2008187701 A JP 2008187701A JP 2007226724 A JP2007226724 A JP 2007226724A JP 2007226724 A JP2007226724 A JP 2007226724A JP 2008187701 A JP2008187701 A JP 2008187701A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- time
- address
- unit
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】不正侵入の試みの初期のスキャン攻撃段階で、不正に侵入しようとするパケットを検知し、侵入を未然に阻止することができるスキャン攻撃不正侵入防御装置を提供する。
【解決手段】スキャン攻撃検知の判定基準を設定しこれらを調整して、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやPCにある多数のアプリケーションに対して通信開始要求を送ってくる(スキャン攻撃)パケットが使用するTCPコネクションを検知し、このTCPコネクションへの応答時間を選択的に遅くすることで攻撃の進行を遅らせることを用いて攻撃を抑制するスキャン攻撃不正侵入防御装置。
【選択図】図1
【解決手段】スキャン攻撃検知の判定基準を設定しこれらを調整して、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやPCにある多数のアプリケーションに対して通信開始要求を送ってくる(スキャン攻撃)パケットが使用するTCPコネクションを検知し、このTCPコネクションへの応答時間を選択的に遅くすることで攻撃の進行を遅らせることを用いて攻撃を抑制するスキャン攻撃不正侵入防御装置。
【選択図】図1
Description
本発明は、インターネットからLANへのスキャン攻撃不正侵入の試みに対して早期に検知し、スキャン攻撃による不正侵入を防御する装置に関するものである。
近年、セキュリティホールが残っている古いソフトウェアの存在等を探すスキャン攻撃や、Transmission Control Protocol(以下単にTCPと言う)の22番ポートや135番ポート等の特定のポート狙った攻撃が後を絶たない。不正アクセスによる侵入を許すと、侵入されたコンピュータが、他のコンピュータを攻撃するための踏み台や、受信者の意図を無視して無差別かつ大量に送信される電子メール(以下単にspamと言う)の中継、フィッシング詐欺などに利用され、他のユーザやネットワークに被害を及ぼすケースもある。そのため、コンピュータの管理者は、こまめにログを監視し、攻撃元のInternet Protocol(以下単にIPと言う)アドレスに対してフィルタリングを行うなど攻撃の対策を行う必要がある。
しかし、大学のように管理者が複数存在し、研究室単位で多くのコンピュータが運用されている環境では、対策が行われないままのコンピュータが存在することや、早めの対策が行われないことがある。
<参考文献>
鈴木,湯浅,"ブラックリストを用いたPAM遅延モジュールによるSSHへの攻撃抑制",情報処理学会研究報告(2006-DSM-40),pp.1-5, Mar.2006 IPAコンピュータ不正アクセス被害防止対策集,http://www.ipa.go.jp/security/ciadr/cm01.html#DoS nmap http://insecure.org/nmap/
しかし、大学のように管理者が複数存在し、研究室単位で多くのコンピュータが運用されている環境では、対策が行われないままのコンピュータが存在することや、早めの対策が行われないことがある。
<参考文献>
鈴木,湯浅,"ブラックリストを用いたPAM遅延モジュールによるSSHへの攻撃抑制",情報処理学会研究報告(2006-DSM-40),pp.1-5, Mar.2006 IPAコンピュータ不正アクセス被害防止対策集,http://www.ipa.go.jp/security/ciadr/cm01.html#DoS nmap http://insecure.org/nmap/
インターネットからLAN内へのスキャン攻撃不正侵入を阻止するために従来は、その接続点にFireWallを設置し、その中で種々の方法で不正侵入を検知・阻止することを推進してきたが万全ではなく種々の問題を有する。
既存のスキャン攻撃の対策方法には、例えばパケットフィルタリングやIDS(Intrusion Detection System,侵入検知装置)、IDP(Intrusion Detection & Prevention System,侵入検知防御装置)が知られている。これらは、不正なパケットのデータをあらかじめパターンファイルとして保持し、すべてのパケットとそのデータを比較することでスキャン攻撃してきた不正パケットを検知して通信をブロックするものであるが、これでは攻撃を受けた後の処置となり被害もでる場合が多い。
本発明は不正侵入の試みの初期のスキャン攻撃段階で、不正に侵入しようとするパケットを検知し、侵入を未然に阻止することができるスキャン攻撃不正侵入防御装置を提供するものである。
既存のスキャン攻撃の対策方法には、例えばパケットフィルタリングやIDS(Intrusion Detection System,侵入検知装置)、IDP(Intrusion Detection & Prevention System,侵入検知防御装置)が知られている。これらは、不正なパケットのデータをあらかじめパターンファイルとして保持し、すべてのパケットとそのデータを比較することでスキャン攻撃してきた不正パケットを検知して通信をブロックするものであるが、これでは攻撃を受けた後の処置となり被害もでる場合が多い。
本発明は不正侵入の試みの初期のスキャン攻撃段階で、不正に侵入しようとするパケットを検知し、侵入を未然に阻止することができるスキャン攻撃不正侵入防御装置を提供するものである。
即ち、本発明のスキャン攻撃不正侵入防御装置は、図1に示すように、外部ネットワークと内部ネットワークLANとの境界に透過型ブリッジとして動作する装置として設置するものでありその構成は、受信・解析部100、判定部200、送信部300の3つの部分と判定部200が参照するデーターベース400からなるものであり、それらの特徴とする技術手段は次の(1)〜(2)のとおりである。
(1)インターネット側から受信したパケットについて、予め登録してある信頼できる送信元及び適用外のアプリケーション(宛先ポート番号)であれば、後記の送信部300にそのパケットを送信するよう指令し、それ以外のときは、判定部200に送る受信・解析部100と、
前記受信・解析部100からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベース400に記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、すべてのパケットに関して送信元IPアドレスを抽出し、データーベース400からそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部300に送る判定部200と、
前記受信・解析部100から来た送出時刻がないパケットについては、すぐに送信し、判定部200から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出する送信部300と、
前記送信部300から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベース400と、
からなることを特徴とするスキャン攻撃不正侵入防御装置。
(2)インターネット側から受信したパケットについて、予め登録してある信頼できる送信元及び適用外のアプリケーション(宛先ポート番号)であれば、後記の送信部にそのパケットを送信するよう指令し、それ以外のときは、判定部に送る受信・解析部と、
前記受信・解析部からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベースに記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、
すべてのパケットに関して送信元IPアドレスを抽出し、データーベースからそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部に送ると共に、前記受信・解析部からの通信開始要求パケット(SYN)の宛先が、内部ネットワーク内の予め偽装用に登録してあるIPアドレスであれば、その偽装IPアドレスの接続許可パケット(ACK/SYN)を送信部に送信するよう指令する判定部と、
前記受信・解析部から来た送出時刻がないパケットについては、すぐに送信し、判定部から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出し、判定部から来た偽装IPアドレスの接続許可パケット(ACK/SYN)を遅延後に送信元IPアドレスに偽装送信する送信部と、
前記送信部から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベースと、
からなることを特徴とするスキャン攻撃不正侵入防御装置。
つまり、本発明のスキャン攻撃不正侵入防御装置は、スキャン攻撃検知の判定基準を設定しこれらを調整して、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやPCにある多数のアプリケーションに対して通信開始要求を送ってくる(スキャン攻撃)パケットが使用するTCPコネクションを検知し、このTCPコネクションへの応答時間を選択的に遅くすることで、攻撃の進行を遅らせること(以下単にthrottlingと言う)を用いて攻撃を抑制するものである。
さらに、本発明のthrottlingを用いたスキャン攻撃抑制システムでは、パケットに遅延を設けたとしても攻撃者に対して必ず正常に応答しているため、結果としてネットワーク内で動作しているホストの情報を調べるというスキャン攻撃の目的達成に貢献している状況にある。そこで、throttlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加するものである。
前記受信・解析部100からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベース400に記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、すべてのパケットに関して送信元IPアドレスを抽出し、データーベース400からそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部300に送る判定部200と、
前記受信・解析部100から来た送出時刻がないパケットについては、すぐに送信し、判定部200から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出する送信部300と、
前記送信部300から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベース400と、
からなることを特徴とするスキャン攻撃不正侵入防御装置。
(2)インターネット側から受信したパケットについて、予め登録してある信頼できる送信元及び適用外のアプリケーション(宛先ポート番号)であれば、後記の送信部にそのパケットを送信するよう指令し、それ以外のときは、判定部に送る受信・解析部と、
前記受信・解析部からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベースに記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、
すべてのパケットに関して送信元IPアドレスを抽出し、データーベースからそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部に送ると共に、前記受信・解析部からの通信開始要求パケット(SYN)の宛先が、内部ネットワーク内の予め偽装用に登録してあるIPアドレスであれば、その偽装IPアドレスの接続許可パケット(ACK/SYN)を送信部に送信するよう指令する判定部と、
前記受信・解析部から来た送出時刻がないパケットについては、すぐに送信し、判定部から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出し、判定部から来た偽装IPアドレスの接続許可パケット(ACK/SYN)を遅延後に送信元IPアドレスに偽装送信する送信部と、
前記送信部から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベースと、
からなることを特徴とするスキャン攻撃不正侵入防御装置。
つまり、本発明のスキャン攻撃不正侵入防御装置は、スキャン攻撃検知の判定基準を設定しこれらを調整して、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやPCにある多数のアプリケーションに対して通信開始要求を送ってくる(スキャン攻撃)パケットが使用するTCPコネクションを検知し、このTCPコネクションへの応答時間を選択的に遅くすることで、攻撃の進行を遅らせること(以下単にthrottlingと言う)を用いて攻撃を抑制するものである。
さらに、本発明のthrottlingを用いたスキャン攻撃抑制システムでは、パケットに遅延を設けたとしても攻撃者に対して必ず正常に応答しているため、結果としてネットワーク内で動作しているホストの情報を調べるというスキャン攻撃の目的達成に貢献している状況にある。そこで、throttlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加するものである。
本発明のスキャン攻撃不正侵入防御装置は、ネットワーク単位でスキャン攻撃や不正アクセスを抑制する装置であり、設置場所を選ばない透過型ブリッジとして動作するため、図1に示す如く、外部ネットワークと内部ネットワークの境界に設置することができる簡便なものである。
即ち本発明の不正侵入防御装置は、インターネットなどの外部ネットワークから内部ネットワークLANへの不正侵入を試みる前に、セキュリティレベルの低いパーソナルコンピューター(以下単にPCという)を探したり、PCのセキュリティ上の欠陥を探すために多数のPCやあるPCの多数のアプリケーションに対して通信開始要求を送ってくること(スキャン攻撃)を検知し、応答時間を遅くすることで、侵入の試みをあきらめさせることができるものである。これでセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃(ZeroDay攻撃)等の未知の攻撃に対してもまずスキャン攻撃から始まると考えられるので、本発明の効果が期待できる。
また攻撃検知の判定基準を調整することにより、1台のPCから発せられるスキャン攻撃ばかりでなく、外部のワーム等に感染したPCから同時に1台のPCにアクセスが集中するDDoS(distributed denial of service)攻撃にも対応することができる。
さらに、本発明の不正侵入防御装置は、インターネットなどの外部ネットワークから内部ネットワークLANへの不正侵入を試みる前に、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやあるPCの多数のアプリケーションに対して通信開始要求を送ってくること(スキャン攻撃)を検知し、偽装応答を行うことで、攻撃者のターゲットホストを防御対象ネットワークから排除することができるものである。同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができるものである。
また、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingと併用することによりスキャン攻撃後のパスワードクラッキングなどの攻撃に対して対策を行うことが可能になる。
即ち本発明の不正侵入防御装置は、インターネットなどの外部ネットワークから内部ネットワークLANへの不正侵入を試みる前に、セキュリティレベルの低いパーソナルコンピューター(以下単にPCという)を探したり、PCのセキュリティ上の欠陥を探すために多数のPCやあるPCの多数のアプリケーションに対して通信開始要求を送ってくること(スキャン攻撃)を検知し、応答時間を遅くすることで、侵入の試みをあきらめさせることができるものである。これでセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃(ZeroDay攻撃)等の未知の攻撃に対してもまずスキャン攻撃から始まると考えられるので、本発明の効果が期待できる。
また攻撃検知の判定基準を調整することにより、1台のPCから発せられるスキャン攻撃ばかりでなく、外部のワーム等に感染したPCから同時に1台のPCにアクセスが集中するDDoS(distributed denial of service)攻撃にも対応することができる。
さらに、本発明の不正侵入防御装置は、インターネットなどの外部ネットワークから内部ネットワークLANへの不正侵入を試みる前に、セキュリティレベルの低いPCを探したり、PCのセキュリティ上の欠陥を探すために多数のPCやあるPCの多数のアプリケーションに対して通信開始要求を送ってくること(スキャン攻撃)を検知し、偽装応答を行うことで、攻撃者のターゲットホストを防御対象ネットワークから排除することができるものである。同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができるものである。
また、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingと併用することによりスキャン攻撃後のパスワードクラッキングなどの攻撃に対して対策を行うことが可能になる。
<スキャン攻撃の抑止>
通常、ネットワークやコンピュータに不正アクセスが行われる前にはスキャン攻撃が行われることが多い。スキャン攻撃を許すと、攻撃者にネットワークやコンピュータの情報を与えることになる。攻撃者に情報を与えることは精度の高い攻撃につながることになるため、スキャン攻撃を防ぎ情報を提供しないことが不正アクセスを防ぐ上で重要である。また、早い段階でスキャン攻撃を検知することにより、攻撃が行われる前に対策を行うことが可能となる。
本発明装置は、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingを用いてスキャン攻撃を抑制する。また、本発明装置は、throttlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加してスキャン攻撃を抑制する。Throttlingや偽装応答を用いることにより、次の効果を期待できる。
(1)スキャン攻撃自体を断念させる
(2)攻撃終了までの時間を長くする
(3)攻撃者のターゲットホストを防御対象ネットワークから排除できる
偽装応答を行うことにより、(3)の効果と同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができる。
以上のように、遅延をかけることにより、攻撃者がスキャン攻撃を諦めることを目的とする。Secure Shell(以下単にSSHと言う)によるパスワードクラッキング攻撃において、遅延をかけることで攻撃を断念されることができている(非特許文献1)。スキャン攻撃に対しても攻撃抑止の効果を期待できる。スキャン攻撃終了までの時間を長くすることで、その間に対策を行うことができる。
つまり前記した従来法が不正パケットを検知して通信をブロックするものであるのに対して本発明は、スキャン攻撃への反応を遅らせることに違いがある。
そこで本発明を実施するための最良の形態を、以下の実施例1と実施例2により、図2〜図8及び表1、表2と共に詳細に説明する。
通常、ネットワークやコンピュータに不正アクセスが行われる前にはスキャン攻撃が行われることが多い。スキャン攻撃を許すと、攻撃者にネットワークやコンピュータの情報を与えることになる。攻撃者に情報を与えることは精度の高い攻撃につながることになるため、スキャン攻撃を防ぎ情報を提供しないことが不正アクセスを防ぐ上で重要である。また、早い段階でスキャン攻撃を検知することにより、攻撃が行われる前に対策を行うことが可能となる。
本発明装置は、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingを用いてスキャン攻撃を抑制する。また、本発明装置は、throttlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加してスキャン攻撃を抑制する。Throttlingや偽装応答を用いることにより、次の効果を期待できる。
(1)スキャン攻撃自体を断念させる
(2)攻撃終了までの時間を長くする
(3)攻撃者のターゲットホストを防御対象ネットワークから排除できる
偽装応答を行うことにより、(3)の効果と同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができる。
以上のように、遅延をかけることにより、攻撃者がスキャン攻撃を諦めることを目的とする。Secure Shell(以下単にSSHと言う)によるパスワードクラッキング攻撃において、遅延をかけることで攻撃を断念されることができている(非特許文献1)。スキャン攻撃に対しても攻撃抑止の効果を期待できる。スキャン攻撃終了までの時間を長くすることで、その間に対策を行うことができる。
つまり前記した従来法が不正パケットを検知して通信をブロックするものであるのに対して本発明は、スキャン攻撃への反応を遅らせることに違いがある。
そこで本発明を実施するための最良の形態を、以下の実施例1と実施例2により、図2〜図8及び表1、表2と共に詳細に説明する。
先ずTCP接続を開始するとき、クライアントからサーバへSYNフラグを立てた通信開始要求パケットを送る。それに対して、サーバはSYNフラグとACKフラグを立てた要求確認パケットで応答し、さらにクライアントからACKフラグのみのパケットを送って通信開始手順が終了する。通常の通信では、この後、クライアント・サーバ間でデータの授受が行なわれる。
スキャン攻撃では、脆弱なサーバを見つけるため、あるクライアントから多数のサーバに向かってほぼ同時に通信開始要求パケットが送られる。
本実施例の装置のソフトウェアは、受信・解析部100、判定部200、送信部300の3つの部分と判定部が参照するデーターベース400からなる。
実施例1は、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingを用いてスキャン攻撃を抑制するものである。(図3参照)
スキャン攻撃では、脆弱なサーバを見つけるため、あるクライアントから多数のサーバに向かってほぼ同時に通信開始要求パケットが送られる。
本実施例の装置のソフトウェアは、受信・解析部100、判定部200、送信部300の3つの部分と判定部が参照するデーターベース400からなる。
実施例1は、スキャン攻撃の際に使用されるTCPコネクションを検知し、TCPコネクションへの応答を選択的に遅くするthrottlingを用いてスキャン攻撃を抑制するものである。(図3参照)
1. 本実施例1のスキャン攻撃不正侵入防御装置におけるthrottlingのアルゴリズムについて
1.1 概要
スキャン攻撃はツールを用いて自動的に実行されることが多く、大抵は1つのIPアドレスから行われている。また、多くのTCPコネクションを短時間で試行する。そこで、同じIPアドレスからのTCPコネクションの開始を検知するたびに、その送信元IPアドレスに対して遅延を増加させていく。つまりTCPコネクション試行回数に応じて遅延をかけていく。これによりTCPコネクションを使用するスキャン攻撃に対してthrottlingを行う。
1.2 考慮点
TCPコネクションの試行回数から遅延時間を決定するときに次の3点について考慮する。
1.2.1 正規の利用者
SSHで、パスワードの入力を間違えるなど、正規の利用者もTCPコネクションを数回繰り返すころがある。TCPコネクションの試行回数に応じて遅延を増加させる方法だと、正規の利用者にも大きな遅延をかける可能性がある。このため、しきい値を導入する。TCPコネクション試行回数のしきい値を定め、それを超えない回数までは遅延の増加量を小さなものとする。TCPコネクション試行回数がしきい値を越えたならば、スキャン攻撃だと判断し、遅延の増加量を大きくしていく。一定時間、TCPコネクションが志向されなかったものについては、その試行回数を0にリセットする。
1.2.2 多くのTCPコネクションの試行を必要とするプロトコル
プロトコルの中には、多くのTCPコネクションを利用するものもある。HyperText Transfer Protocol(以下単にHTTPと言う)(80番)などが該当する。これらのプロトコルに関しては、遅延を行わないようにすることで解決を図る。throttlingの対象としないあて先ポート番号を記録する除外ポート番号リスト(ポート番号white listという)を作成する。TCPコネクションのあて先ポート番号がポート番号white listに該当する場合にはthrottlingを行わない。
1.2.3 信用できるホスト、公開されているサーバ
正規利用者がよく使うホストで、セキュリティ管理がきちんと行われているものからのTCPコネクション要求や、公開されているサーバで攻撃に対する対策をサーバ自身できちんと行っているものへのTCPコネクション要求に関しては、遅延をかける必要はない。これらのホスト、サーバのIPアドレスを記録する除外IPアドレスリスト(IPアドレスwhitelistという)を作成する。TCPコネクションの送信元あるいは宛先のIPアドレスがIPアドレスwhite listに該当する場合にはthrottlingを行わない。
1.3 遅延アルゴリズム
以上により、遅延アルゴリズムは以下のようになる。
(1)インターネット側からのパケットを1つ受け取る。
(2)パケットの送信元アドレス、宛先アドレス、宛先ポートのいずれかがポート番号white list、IPアドレスwhite listにある、あるいは、プロトコルフィールドがTCP以外のときは、遅延なしの内部キューに置き、(1)へ戻る。
(3)パケットがTCPコネクション開始パケット(SYN=1,ACK=0)のとき、送信元アドレス、宛先アドレスそれぞれの試行回数、遅延時間を更新する。
(4)送信元アドレスに対する遅延時間、宛先アドレスに対する遅延時間を検索し、後述の関数例1〜3によりパケットの遅延時間とする。
(5)送出時刻=現在時刻+遅延時間を計算し、パケット自身とともにヒープに置く。ヒープとは、パケットとその送信時刻とを蓄え、送信可能時刻が来るたびに送信部にパケットを渡す手段をいう。
(6)内部/外部の2つの送信部では、それぞれ「1」、「3」のキューを調べてパケットがあれば、すぐに送信し、さらに内部送信部では「5」のヒープ中にある一番古いパケットが送出時刻になって入れば送出する。
(7)あらかじめ設定した時間間隔(30分程度)で、データベース中に記録している各IPアドレスの参照時刻を検査し、参照時刻が古いもの(1時間程度送信開始要求がないもの)は、データベースから消去する。
ただし、LANからインターネットに向かうパケットに関しては、すべて外部キューに置き、遅延させない。
1.1 概要
スキャン攻撃はツールを用いて自動的に実行されることが多く、大抵は1つのIPアドレスから行われている。また、多くのTCPコネクションを短時間で試行する。そこで、同じIPアドレスからのTCPコネクションの開始を検知するたびに、その送信元IPアドレスに対して遅延を増加させていく。つまりTCPコネクション試行回数に応じて遅延をかけていく。これによりTCPコネクションを使用するスキャン攻撃に対してthrottlingを行う。
1.2 考慮点
TCPコネクションの試行回数から遅延時間を決定するときに次の3点について考慮する。
1.2.1 正規の利用者
SSHで、パスワードの入力を間違えるなど、正規の利用者もTCPコネクションを数回繰り返すころがある。TCPコネクションの試行回数に応じて遅延を増加させる方法だと、正規の利用者にも大きな遅延をかける可能性がある。このため、しきい値を導入する。TCPコネクション試行回数のしきい値を定め、それを超えない回数までは遅延の増加量を小さなものとする。TCPコネクション試行回数がしきい値を越えたならば、スキャン攻撃だと判断し、遅延の増加量を大きくしていく。一定時間、TCPコネクションが志向されなかったものについては、その試行回数を0にリセットする。
1.2.2 多くのTCPコネクションの試行を必要とするプロトコル
プロトコルの中には、多くのTCPコネクションを利用するものもある。HyperText Transfer Protocol(以下単にHTTPと言う)(80番)などが該当する。これらのプロトコルに関しては、遅延を行わないようにすることで解決を図る。throttlingの対象としないあて先ポート番号を記録する除外ポート番号リスト(ポート番号white listという)を作成する。TCPコネクションのあて先ポート番号がポート番号white listに該当する場合にはthrottlingを行わない。
1.2.3 信用できるホスト、公開されているサーバ
正規利用者がよく使うホストで、セキュリティ管理がきちんと行われているものからのTCPコネクション要求や、公開されているサーバで攻撃に対する対策をサーバ自身できちんと行っているものへのTCPコネクション要求に関しては、遅延をかける必要はない。これらのホスト、サーバのIPアドレスを記録する除外IPアドレスリスト(IPアドレスwhitelistという)を作成する。TCPコネクションの送信元あるいは宛先のIPアドレスがIPアドレスwhite listに該当する場合にはthrottlingを行わない。
1.3 遅延アルゴリズム
以上により、遅延アルゴリズムは以下のようになる。
(1)インターネット側からのパケットを1つ受け取る。
(2)パケットの送信元アドレス、宛先アドレス、宛先ポートのいずれかがポート番号white list、IPアドレスwhite listにある、あるいは、プロトコルフィールドがTCP以外のときは、遅延なしの内部キューに置き、(1)へ戻る。
(3)パケットがTCPコネクション開始パケット(SYN=1,ACK=0)のとき、送信元アドレス、宛先アドレスそれぞれの試行回数、遅延時間を更新する。
(4)送信元アドレスに対する遅延時間、宛先アドレスに対する遅延時間を検索し、後述の関数例1〜3によりパケットの遅延時間とする。
(5)送出時刻=現在時刻+遅延時間を計算し、パケット自身とともにヒープに置く。ヒープとは、パケットとその送信時刻とを蓄え、送信可能時刻が来るたびに送信部にパケットを渡す手段をいう。
(6)内部/外部の2つの送信部では、それぞれ「1」、「3」のキューを調べてパケットがあれば、すぐに送信し、さらに内部送信部では「5」のヒープ中にある一番古いパケットが送出時刻になって入れば送出する。
(7)あらかじめ設定した時間間隔(30分程度)で、データベース中に記録している各IPアドレスの参照時刻を検査し、参照時刻が古いもの(1時間程度送信開始要求がないもの)は、データベースから消去する。
ただし、LANからインターネットに向かうパケットに関しては、すべて外部キューに置き、遅延させない。
2. 実装
2.1 全体構成
装置全体の流れを図2に示す。装置は一方のネットワークに流れるパケットを全て受信し、もう一方のネットワークに送信する。ただし、送信の前に、受信したパケットの解析を行い、throttlingを行うかどうかを判断する。throttlingを行う場合は、パケットに遅延をかけた後に送信を行う。
2.2 受信・解析部100
ここでは受信したパケットにthrottlingを行うかを判断するために、表1、表2に示す例のように、パケットを解析し、解析結果を保存しておく。
まず、パケットを受信し、TCPヘッダ、IPヘッダの解析を行う。本装置で使用するものは、送信元IPアドレス、宛先IPアドレス、宛先ポート番号、TCPコントロールフラグビット、到着時刻の情報である。解析結果の保存では送信元IPアドレス毎および宛先IPアドレス毎に到着時刻とTCPコネクション試行回数を保存していく。到着時刻は最終アクセス時刻として使用する。TCPコントロールフラグビットのSYNフラグが1、ACKフラグが0である場合に、TCPコネクションが試行されたものとしてカウントを行う。既にIPアドレスの情報が保存されている場合には、回数、アクセス時刻の更新を行う。
解析結果をいつまでも保持していると、正規のユーザのTCPコネクションの試行回数がしきい値を超えるという問題が発生する。そのため、定期的に保存している情報を整理する。送信元IPアドレスにおいては、一定周期で、保存されている各IPアドレスの最終アクセス時間と現在時間を比較し、一定時間更新が無いアドレスの情報を破棄する。宛先IPアドレスにおいては一定周期で全ての情報を破棄する。
2.1 全体構成
装置全体の流れを図2に示す。装置は一方のネットワークに流れるパケットを全て受信し、もう一方のネットワークに送信する。ただし、送信の前に、受信したパケットの解析を行い、throttlingを行うかどうかを判断する。throttlingを行う場合は、パケットに遅延をかけた後に送信を行う。
2.2 受信・解析部100
ここでは受信したパケットにthrottlingを行うかを判断するために、表1、表2に示す例のように、パケットを解析し、解析結果を保存しておく。
まず、パケットを受信し、TCPヘッダ、IPヘッダの解析を行う。本装置で使用するものは、送信元IPアドレス、宛先IPアドレス、宛先ポート番号、TCPコントロールフラグビット、到着時刻の情報である。解析結果の保存では送信元IPアドレス毎および宛先IPアドレス毎に到着時刻とTCPコネクション試行回数を保存していく。到着時刻は最終アクセス時刻として使用する。TCPコントロールフラグビットのSYNフラグが1、ACKフラグが0である場合に、TCPコネクションが試行されたものとしてカウントを行う。既にIPアドレスの情報が保存されている場合には、回数、アクセス時刻の更新を行う。
解析結果をいつまでも保持していると、正規のユーザのTCPコネクションの試行回数がしきい値を超えるという問題が発生する。そのため、定期的に保存している情報を整理する。送信元IPアドレスにおいては、一定周期で、保存されている各IPアドレスの最終アクセス時間と現在時間を比較し、一定時間更新が無いアドレスの情報を破棄する。宛先IPアドレスにおいては一定周期で全ての情報を破棄する。
判定部200では、受信・解析部100で得られた情報からthrottlingを行うかを判断する。throttlingを行わないのは、次の3つの場合である。
<throttlingを行わない場合>
(1)パケットがTCPを使用していない。
(2)ポートあるいは送信元、あて先IPアドレスが、white listに該当する。
(3)宛先IPアドレスのTCPコネクション試行回数と送信元IPアドレスのTCPコネクション試行回数がともに0回である。
throttlingを行わない場合は、パケットを送信部300が持つ遅延なしの内部キューに挿入する。
throttlingを行う場合は、まず遅延時間の計算を行う。遅延時間は、宛先IPアドレスのTCPコネクション試行回数と送信元IPアドレスのTCPコネクション試行回数からそれぞれ計算された値の合計となる。それぞれの計算時間は次の例1の関数例のとおりである。
例1
遅延時間=試行回数×α
(試行回数が閾値未満のとき)
遅延時間=(試行回数−閾値)×β+閾値×α
(試行回数が閾値以上のとき)
閾値、α、βの現在の値を表3に示す。
次に、得られた遅延時間を現在時刻に加算して送信時刻を求める。最後に、パケットに送信時刻を設定し、送信部300が持つ遅延キューにパケットを挿入する。
例2
遅延時間=要求回数×aミリ秒(要求回数<10)
遅延時間=(要求回数−9)×bミリ秒(要求回数≧10)
ただし、a<b
例3
遅延時間=c×2^(要求回数−1)ミリ秒
2.4 送信部300
送信部300はパケットの送信を行う。送信するパケットはthrottlingを行うパケットと、行わないパケットの2つに分けられる。それぞれのパケットに対する送信部300の働きについて述べる。
2.4.1 throttlingを行わない場合
遅延なしの内部キューからパケットを取り出し、すぐに送信する。
2.4.2 throttlingを行う場合
パケットに遅延をかける必要があるため、装置内でパケットを保持する機能が必要となる。このため、パケットを保持する遅延用の内部キューを持つ。遅延用の内部キューには、送信時刻が設定されたパケットが挿入される。
この挿入は判定部200が行う。各パケットは送信時刻が早い順に並ぶように挿入される。送信部300は遅延用の内部キューの先頭の送信時刻と現在の時刻を比較し、送信時刻をすぎているパケットを図4に示す遅延用の内部キューから取り出し、送信を行う。
3. 性能評価実験
性能評価実験として、実験環境を作成し、スキャン攻撃にどの程度の効果があるかを確認した。
3.1 実験方法
攻撃用コンピュータを一方のネットワークに配置し、もう一方のネットワークに攻撃対象とするコンピュータ設置し、その間に本抑制装置を配置する。そして、ポートスキャンツールであるnmap(非特許文献3)を用いてスキャン攻撃を行う。次に、本装置を外し、再度スキャン攻撃を行う。実験環境を図4の実験用ネットワークに示す。
3.2 実験結果
実験結果のログを以下に抜粋する。ログの分量が多いため、必要のない部分は省略してある。
3.2.1 装置使用時の結果を次に記載した。
Starting Nmap 4.11
Initiating SYN Stealth Scan against example.csis.oita-u.ac.jp (133.37.56.xxx) [1680 ports] at 02:07
Discovered open port 80/tcp on 133.37.56.xxx
Discovered open port 22/tcp on 133.37.56.xxx
Discovered open port 21/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 18.07% done; ETC: 02:10 (0:02:30 remaining)
Discovered open port 2601/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 44.61% done; ETC: 02:14 (0:03:52 remaining)
SYN Stealth Scan Timing: About 45.74% done; ETC: 02:22 (0:08:23 remaining)
SYN Stealth Scan Timing: About 59.54% done; ETC: 02:54 (0:19:11 remaining)
Warning: Giving up on port early because retransmission cap hit.
SYN Stealth Scan Timing: About 76.66% done; ETC: 03:09 (0:14:26 remaining)
Discovered open port 111/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 98.70% done; ETC: 03:25 (0:01:00 remaining)
The SYN Stealth Scan took 4700.06s to scan 1680 total ports.
Host example.csis.oita-u.ac.jp (133.37.56.xxx) appears to be up ... good.
Nmap finished: 1 IP address (1 host up) scanned in 4700.315 seconds
Raw packets sent: 2426 (106.742KB) | Rcvd: 2432 (111.982KB)
3.2.2 装置非使用時の結果を次に記載した。
Starting Nmap 4.11
Initiating SYN Stealth Scan against example.csis.oita-u.ac.jp (133.37.56.xxx) [1680 ports] at 04:30
Discovered open port 22/tcp on 133.37.56.xxx
Discovered open port 80/tcp on 133.37.56.xxx
Discovered open port 21/tcp on 133.37.56.xxx
Discovered open port 2601/tcp on 133.37.56.xxx
Discovered open port 111/tcp on 133.37.56.xxx
The SYN Stealth Scan took 1.58s to scan 1680 total ports.
Host example.csis.oita-u.ac.jp (133.37.56.xxx) appears to be up ... good.
Nmap finished: 1 IP address (1 host up) scanned in 1.820 seconds
Raw packets sent: 1683 (74.050KB) | Rcvd: 1679 (77.230KB)
装置の非使用時は1.820秒でスキャン攻撃が終了しているのに対し、装置の使用時は、攻撃終了まで4700.315秒の時間が経過している。終了までに2500倍以上の時間がかかっている。攻撃者がscanの終了を待たずに攻撃を断念する可能性は十分考えられる。また装置が無い場合に比べて、不正アクセスの前に対策を行える可能性は高いと考えられる。
4. まとめ
本発明は、throttlingを利用したスキャン攻撃抑制装置について述べた。スキャン攻撃を抑止することで、スキャン攻撃につづく不正アクセスを予防できると考えられる。
本装置では、TCPコネクションの開始を検知してthrottlingを行うため、FINパケットやPUSHパケットを送りつけるXmasTree スキャン攻撃などに対応していない。これらの攻撃に対してもthrottlingを行えるよう判定部200の改良が必要である。
性能評価実験として、実験環境を作成し、スキャン攻撃にどの程度の効果があるかを確認した。
3.1 実験方法
攻撃用コンピュータを一方のネットワークに配置し、もう一方のネットワークに攻撃対象とするコンピュータ設置し、その間に本抑制装置を配置する。そして、ポートスキャンツールであるnmap(非特許文献3)を用いてスキャン攻撃を行う。次に、本装置を外し、再度スキャン攻撃を行う。実験環境を図4の実験用ネットワークに示す。
3.2 実験結果
実験結果のログを以下に抜粋する。ログの分量が多いため、必要のない部分は省略してある。
3.2.1 装置使用時の結果を次に記載した。
Starting Nmap 4.11
Initiating SYN Stealth Scan against example.csis.oita-u.ac.jp (133.37.56.xxx) [1680 ports] at 02:07
Discovered open port 80/tcp on 133.37.56.xxx
Discovered open port 22/tcp on 133.37.56.xxx
Discovered open port 21/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 18.07% done; ETC: 02:10 (0:02:30 remaining)
Discovered open port 2601/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 44.61% done; ETC: 02:14 (0:03:52 remaining)
SYN Stealth Scan Timing: About 45.74% done; ETC: 02:22 (0:08:23 remaining)
SYN Stealth Scan Timing: About 59.54% done; ETC: 02:54 (0:19:11 remaining)
Warning: Giving up on port early because retransmission cap hit.
SYN Stealth Scan Timing: About 76.66% done; ETC: 03:09 (0:14:26 remaining)
Discovered open port 111/tcp on 133.37.56.xxx
SYN Stealth Scan Timing: About 98.70% done; ETC: 03:25 (0:01:00 remaining)
The SYN Stealth Scan took 4700.06s to scan 1680 total ports.
Host example.csis.oita-u.ac.jp (133.37.56.xxx) appears to be up ... good.
Nmap finished: 1 IP address (1 host up) scanned in 4700.315 seconds
Raw packets sent: 2426 (106.742KB) | Rcvd: 2432 (111.982KB)
3.2.2 装置非使用時の結果を次に記載した。
Starting Nmap 4.11
Initiating SYN Stealth Scan against example.csis.oita-u.ac.jp (133.37.56.xxx) [1680 ports] at 04:30
Discovered open port 22/tcp on 133.37.56.xxx
Discovered open port 80/tcp on 133.37.56.xxx
Discovered open port 21/tcp on 133.37.56.xxx
Discovered open port 2601/tcp on 133.37.56.xxx
Discovered open port 111/tcp on 133.37.56.xxx
The SYN Stealth Scan took 1.58s to scan 1680 total ports.
Host example.csis.oita-u.ac.jp (133.37.56.xxx) appears to be up ... good.
Nmap finished: 1 IP address (1 host up) scanned in 1.820 seconds
Raw packets sent: 1683 (74.050KB) | Rcvd: 1679 (77.230KB)
装置の非使用時は1.820秒でスキャン攻撃が終了しているのに対し、装置の使用時は、攻撃終了まで4700.315秒の時間が経過している。終了までに2500倍以上の時間がかかっている。攻撃者がscanの終了を待たずに攻撃を断念する可能性は十分考えられる。また装置が無い場合に比べて、不正アクセスの前に対策を行える可能性は高いと考えられる。
4. まとめ
本発明は、throttlingを利用したスキャン攻撃抑制装置について述べた。スキャン攻撃を抑止することで、スキャン攻撃につづく不正アクセスを予防できると考えられる。
本装置では、TCPコネクションの開始を検知してthrottlingを行うため、FINパケットやPUSHパケットを送りつけるXmasTree スキャン攻撃などに対応していない。これらの攻撃に対してもthrottlingを行えるよう判定部200の改良が必要である。
実施例2を図7と図8に示し、その装置の基本ソフトウェアは、図3に示す実施例1と同様に受信・解析部100、判定部200、送信部300の3つの部分と判定部が参照するデーターベース400からなる。
実施例2は、実施例1のthrottlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加するものである。
実施例2は、実施例1のthrottlingを用いたスキャン攻撃抑制システムの利点を継承しながら、“外部ネットワークに対してホストの存在を隠蔽する”ことを指針とした偽装応答という機軸を追加するものである。
1. 本発明のスキャン攻撃不正侵入防御装置における偽装応答のアルゴリズムについて
1.1 概要
本発明のthrottlingを用いたスキャン攻撃抑制システムでは、パケットに遅延を設けたとしても攻撃者に対して必ず正常に応答しているため、結果としてネットワーク内で動作しているホストの情報を調べるというスキャン攻撃の目的達成に貢献している状況にある。
そこで、実施例1のthrottlingを用いたスキャン攻撃抑制システムの利点を継承しながら、図7に示すように、“外部ネットワークの攻撃者に対して偽装のターゲットホストの存在を隠蔽し時間を掛けて偽装ホストに誘導して応答することを一回又は数回繰り返すことにより攻撃者に無駄時間と通信費を嵩ませて諦めさせる所謂偽装応答撃退という機軸を追加するものである。
1.2 システムの構成
システムの全体の流れを図5に示す。新システムでは、throttlingシステムの利点を継承しながら偽装応答という新たな機軸を追加する。従って、throttlingシステムと内部構成はほとんど変わらない。パケットの受信を行う受信部、パケットに対してthrottling又は偽装応答の処理を行う解析・応答部、パケットを送信する送信部から構成されている。
新たに導入された解析・応答部は従来システムでthrottlingの遅延時間を決定していた解析部に偽装応答のための機構を追加定義したものである。解析・応答部は内部ネットワーク内に存在しない偽装ホストへのコネクション要求を受け取った場合、送信部へ偽装応答を行うように指示する。なお、内部ネットワークに対しては偽装応答を適用しない。
1.3 偽装応答
外部ネットワークから内部ネットワークで動作していないホスト宛のコネクション要求が到着した場合、本システムでは偽装応答を行う。具体的には図8に示すように、攻撃者からの内部ネットワーク中の存在しないホスト宛に来たSYNパケットに対して、その存在しない宛先ホストとしてACK/SYNパケットを返信してコネクションが確立可能なように振舞う。その後の攻撃者からのサービス要求に対しては一切応答しない。つまり、偽装応答は攻撃者に存在しないホストに向けて攻撃を行うように誘導するための処理である。
1.4 偽装応答を組み込んだ遅延アルゴリズム
偽装応答を組み込んだ遅延アルゴリズムは以下のようになる。
(1)インターネット側からのパケットを1つ受け取る。
(2)パケットの送信元アドレス、宛先アドレス、宛先ポートのいずれかがポート番号white list、IPアドレスwhite listにある、あるいは、プロトコルフィールドがTCP以外のときは、遅延なしの内部キューに置き、(1)へ戻る。
(3)パケットがTCPコネクション開始パケット(SYN=1,ACK=0)のとき、送信元アドレス、宛先アドレスそれぞれの試行回数、遅延時間を更新する。
(4)宛先アドレスがあらかじめ偽装応答用に設定したIPアドレスであれば、偽装応答パケットを生成して、インターネットに向かう外部キューに置き所定時間遅延させた後送信部から送信元アドレスに偽装の応答送信を行う。
(5)送信元アドレスに対する遅延時間、宛先アドレスに対する遅延時間を検索し、前述の関数例1〜3によりパケットの遅延時間とする。
(6)送出時刻=現在時刻+遅延時間を計算し、パケット自身とともに遅延キューへ送り、(1)へ戻る。ヒープに置く。
ヒープとは、パケットとその送信時刻とを蓄え、送信可能時刻が来るたびに送信部にパケットを渡す手段をいう。
(7)内部/外部の2つの送信部では、それぞれ「1」、「3」のキューを調べてパケットがあれば、すぐに送信し、さらに内部送信部では「5」のヒープ中にある一番古いパケットが送出時刻になって入れば送出する。
(8)あらかじめ設定した時間間隔(30分程度)で、データベース中に記録している各IPアドレスの参照時刻を検査し、参照時刻が古いもの(1時間程度送信開始要求がないもの)は、データベースから消去する。
ただし、LANからインターネットに向かうパケットに関しては、すべて外部キューに置き、遅延させない。
4. まとめ
本発明は、throttlingを用いたスキャン攻撃抑制システムの運用経験に基づき、攻撃側の資源を使って十分な遅延時間を確保する偽装応答を用いたスキャン攻撃抑制システムの提案を行った。
偽装応答を行うことにより、攻撃者のターゲットホストを防御対象ネットワークから排除することができると考えられる。同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができると考えられる。また、throttlingと併用することによりスキャン攻撃後のパスワードクラッキングなどの攻撃に対して対策を行うことが可能になる。
1.1 概要
本発明のthrottlingを用いたスキャン攻撃抑制システムでは、パケットに遅延を設けたとしても攻撃者に対して必ず正常に応答しているため、結果としてネットワーク内で動作しているホストの情報を調べるというスキャン攻撃の目的達成に貢献している状況にある。
そこで、実施例1のthrottlingを用いたスキャン攻撃抑制システムの利点を継承しながら、図7に示すように、“外部ネットワークの攻撃者に対して偽装のターゲットホストの存在を隠蔽し時間を掛けて偽装ホストに誘導して応答することを一回又は数回繰り返すことにより攻撃者に無駄時間と通信費を嵩ませて諦めさせる所謂偽装応答撃退という機軸を追加するものである。
1.2 システムの構成
システムの全体の流れを図5に示す。新システムでは、throttlingシステムの利点を継承しながら偽装応答という新たな機軸を追加する。従って、throttlingシステムと内部構成はほとんど変わらない。パケットの受信を行う受信部、パケットに対してthrottling又は偽装応答の処理を行う解析・応答部、パケットを送信する送信部から構成されている。
新たに導入された解析・応答部は従来システムでthrottlingの遅延時間を決定していた解析部に偽装応答のための機構を追加定義したものである。解析・応答部は内部ネットワーク内に存在しない偽装ホストへのコネクション要求を受け取った場合、送信部へ偽装応答を行うように指示する。なお、内部ネットワークに対しては偽装応答を適用しない。
1.3 偽装応答
外部ネットワークから内部ネットワークで動作していないホスト宛のコネクション要求が到着した場合、本システムでは偽装応答を行う。具体的には図8に示すように、攻撃者からの内部ネットワーク中の存在しないホスト宛に来たSYNパケットに対して、その存在しない宛先ホストとしてACK/SYNパケットを返信してコネクションが確立可能なように振舞う。その後の攻撃者からのサービス要求に対しては一切応答しない。つまり、偽装応答は攻撃者に存在しないホストに向けて攻撃を行うように誘導するための処理である。
1.4 偽装応答を組み込んだ遅延アルゴリズム
偽装応答を組み込んだ遅延アルゴリズムは以下のようになる。
(1)インターネット側からのパケットを1つ受け取る。
(2)パケットの送信元アドレス、宛先アドレス、宛先ポートのいずれかがポート番号white list、IPアドレスwhite listにある、あるいは、プロトコルフィールドがTCP以外のときは、遅延なしの内部キューに置き、(1)へ戻る。
(3)パケットがTCPコネクション開始パケット(SYN=1,ACK=0)のとき、送信元アドレス、宛先アドレスそれぞれの試行回数、遅延時間を更新する。
(4)宛先アドレスがあらかじめ偽装応答用に設定したIPアドレスであれば、偽装応答パケットを生成して、インターネットに向かう外部キューに置き所定時間遅延させた後送信部から送信元アドレスに偽装の応答送信を行う。
(5)送信元アドレスに対する遅延時間、宛先アドレスに対する遅延時間を検索し、前述の関数例1〜3によりパケットの遅延時間とする。
(6)送出時刻=現在時刻+遅延時間を計算し、パケット自身とともに遅延キューへ送り、(1)へ戻る。ヒープに置く。
ヒープとは、パケットとその送信時刻とを蓄え、送信可能時刻が来るたびに送信部にパケットを渡す手段をいう。
(7)内部/外部の2つの送信部では、それぞれ「1」、「3」のキューを調べてパケットがあれば、すぐに送信し、さらに内部送信部では「5」のヒープ中にある一番古いパケットが送出時刻になって入れば送出する。
(8)あらかじめ設定した時間間隔(30分程度)で、データベース中に記録している各IPアドレスの参照時刻を検査し、参照時刻が古いもの(1時間程度送信開始要求がないもの)は、データベースから消去する。
ただし、LANからインターネットに向かうパケットに関しては、すべて外部キューに置き、遅延させない。
4. まとめ
本発明は、throttlingを用いたスキャン攻撃抑制システムの運用経験に基づき、攻撃側の資源を使って十分な遅延時間を確保する偽装応答を用いたスキャン攻撃抑制システムの提案を行った。
偽装応答を行うことにより、攻撃者のターゲットホストを防御対象ネットワークから排除することができると考えられる。同時にスキャン攻撃を実在しないホストへと誘導することは、内部ネットワークのホストの存在をスキャン攻撃により確認するまでの時間を延長させることができると考えられる。また、throttlingと併用することによりスキャン攻撃後のパスワードクラッキングなどの攻撃に対して対策を行うことが可能になる。
既存のファイアウォール、IDP(Intrusion Detention and Prevention System)では、あらかじめ作成されたパターンのデーターベース400を持ち、それに合致するパケットのみの侵入を阻止するが、本発明装置は、怪しい動き(多数の通信開始要求)を検知し、本装置自身がデーターベース400を構築する優れた装置である。このため本装置単体で製品化することの他、本装置のアルゴリズムを、既存のファイアウォールの中に組み込可能であるなどインターネット通信産業などに広く活用されるものである。
100 受信・解析部
200 判定部
300 送信部
400 データーベース
200 判定部
300 送信部
400 データーベース
Claims (2)
- インターネット側から受信したパケットについて、予め登録してある信頼できる送信元及び適用外のアプリケーション(宛先ポート番号)であれば、後記の送信部にそのパケットを送信するよう指令し、それ以外のときは、判定部に送る受信・解析部と、
前記受信・解析部からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベースに記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、すべてのパケットに関して送信元IPアドレスを抽出し、データーベースからそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部に送る判定部と、
前記受信・解析部から来た送出時刻がないパケットについては、すぐに送信し、判定部から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出する送信部と、
前記送信部から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベースと、
からなることを特徴とするスキャン攻撃不正侵入防御装置。 - インターネット側から受信したパケットについて、予め登録してある信頼できる送信元及び適用外のアプリケーション(宛先ポート番号)であれば、後記の送信部にそのパケットを送信するよう指令し、それ以外のときは、判定部に送る受信・解析部と、
前記受信・解析部からのパケットが通信開始要求パケット(SYN)であれば、送信元IPアドレスを抽出し、後記のデーターベースに記録しているIPアドレスの要求回数に1を加え、参照時刻を現在の時刻に修正すると共に、
すべてのパケットに関して送信元IPアドレスを抽出し、データーベースからそのIPアドレスに対応する要求回数を検索し、その要求回数に応じて遅延時間を計算し、前記現在の時刻と遅延時間に基づき送出時刻を算出し、当該パケットとともに送信部に送ると共に、前記受信・解析部からの通信開始要求パケット(SYN)の宛先が、内部ネットワーク内の予め偽装用に登録してあるIPアドレスであれば、その偽装IPアドレスの接続許可パケット(ACK/SYN)を送信部に送信するよう指令する判定部と、
前記受信・解析部から来た送出時刻がないパケットについては、すぐに送信し、判定部から来た送出時刻が指定されたパケットに関しては、送出時刻まで待機したのち送出し、判定部から来た偽装IPアドレスの接続許可パケット(ACK/SYN)を遅延後に送信元IPアドレスに偽装送信する送信部と、
前記送信部から送出されたパケットと送出時刻を記憶し、これらについて、あらかじめ設定した所定時間間隔で、データーベース中に記録している各パケットのIPアドレスの参照時刻を検査し、参照時刻から所定時間経過しても送信開始要求がないものをデーターベースから消去するデーターベースと、
からなることを特徴とするスキャン攻撃不正侵入防御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007226724A JP4304249B2 (ja) | 2007-01-04 | 2007-08-31 | スキャン攻撃不正侵入防御装置 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007000184 | 2007-01-04 | ||
| JP2007226724A JP4304249B2 (ja) | 2007-01-04 | 2007-08-31 | スキャン攻撃不正侵入防御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008187701A true JP2008187701A (ja) | 2008-08-14 |
| JP4304249B2 JP4304249B2 (ja) | 2009-07-29 |
Family
ID=39730405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007226724A Expired - Fee Related JP4304249B2 (ja) | 2007-01-04 | 2007-08-31 | スキャン攻撃不正侵入防御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4304249B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2988468A1 (en) | 2014-08-22 | 2016-02-24 | Fujitsu Limited | Apparatus, method, and program |
| JP2016520237A (ja) * | 2013-06-01 | 2016-07-11 | ゼネラル・エレクトリック・カンパニイ | ハニーポートが有効なネットワークセキュリティ |
| JP6028839B1 (ja) * | 2015-07-16 | 2016-11-24 | 日本電気株式会社 | 通信装置、通信処理方法、プログラム |
| WO2020075330A1 (ja) * | 2018-10-10 | 2020-04-16 | 日本電信電話株式会社 | 検知装置および検知プログラム |
| JPWO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 |
-
2007
- 2007-08-31 JP JP2007226724A patent/JP4304249B2/ja not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016520237A (ja) * | 2013-06-01 | 2016-07-11 | ゼネラル・エレクトリック・カンパニイ | ハニーポートが有効なネットワークセキュリティ |
| EP2988468A1 (en) | 2014-08-22 | 2016-02-24 | Fujitsu Limited | Apparatus, method, and program |
| US9813451B2 (en) | 2014-08-22 | 2017-11-07 | Fujitsu Limited | Apparatus and method for detecting cyber attacks from communication sources |
| JP6028839B1 (ja) * | 2015-07-16 | 2016-11-24 | 日本電気株式会社 | 通信装置、通信処理方法、プログラム |
| WO2020075330A1 (ja) * | 2018-10-10 | 2020-04-16 | 日本電信電話株式会社 | 検知装置および検知プログラム |
| JPWO2020075330A1 (ja) * | 2018-10-10 | 2021-04-30 | 日本電信電話株式会社 | 検知装置および検知プログラム |
| JPWO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | ||
| WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| JP7215571B2 (ja) | 2019-06-04 | 2023-01-31 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| US11997121B2 (en) | 2019-06-04 | 2024-05-28 | Nippon Telegraph And Telephone Corporation | Detection device, detection method, and detection program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4304249B2 (ja) | 2009-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| US10587636B1 (en) | System and method for bot detection | |
| US8423645B2 (en) | Detection of grid participation in a DDoS attack | |
| Kargl et al. | Protecting web servers from distributed denial of service attacks | |
| US7093294B2 (en) | System and method for detecting and controlling a drone implanted in a network attached device such as a computer | |
| US7844700B2 (en) | Latency free scanning of malware at a network transit point | |
| US7225468B2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US8176553B1 (en) | Secure gateway with firewall and intrusion detection capabilities | |
| KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
| JP2006512856A (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
| Thing et al. | A survey of bots used for distributed denial of service attacks | |
| CA2548336A1 (en) | Upper-level protocol authentication | |
| AU2003222180A1 (en) | System and method for detecting an infective element in a network environment | |
| WO2011012056A1 (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| JP4304249B2 (ja) | スキャン攻撃不正侵入防御装置 | |
| CN114301647B (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| Al-Hakbani et al. | Avoiding honeypot detection in peer-to-peer botnets | |
| Miu et al. | Universal DDoS mitigation bypass | |
| JP2005134972A (ja) | ファイアウォール装置 | |
| Jhi et al. | PWC: A proactive worm containment solution for enterprise networks | |
| Mopari et al. | Detection of DDoS attack and defense against IP spoofing | |
| JP2010212916A (ja) | スキャン攻撃不正侵入防御装置 | |
| Bruschi et al. | Disarming offense to facilitate defense | |
| WO2005065023A2 (en) | Internal network security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080801 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20080801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080902 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080902 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20081104 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090210 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090302 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090325 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4304249 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150515 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |