JP2009278293A - パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム - Google Patents
パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム Download PDFInfo
- Publication number
- JP2009278293A JP2009278293A JP2008126516A JP2008126516A JP2009278293A JP 2009278293 A JP2009278293 A JP 2009278293A JP 2008126516 A JP2008126516 A JP 2008126516A JP 2008126516 A JP2008126516 A JP 2008126516A JP 2009278293 A JP2009278293 A JP 2009278293A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- packet
- relay
- relay device
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】送信元を示す情報が変更されたパケット通信の送信元を特定する。
【解決手段】通信ネットワークを介して送り込まれた通信パケットの中継転送を行い、この中継転送に際し通信パケットに含まれるアドレス情報の変換を行う中継装置と、この中継装置を介して相互に通信を行う複数の通信端末とを備え、中継装置が、変換前および変換後のアドレス情報を含み、中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、通信端末に対して攻撃パケットが送り込まれた場合に、通信特定情報に基づき攻撃パケットの送信元を特定する手段を備えた。
【選択図】図1
【解決手段】通信ネットワークを介して送り込まれた通信パケットの中継転送を行い、この中継転送に際し通信パケットに含まれるアドレス情報の変換を行う中継装置と、この中継装置を介して相互に通信を行う複数の通信端末とを備え、中継装置が、変換前および変換後のアドレス情報を含み、中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、通信端末に対して攻撃パケットが送り込まれた場合に、通信特定情報に基づき攻撃パケットの送信元を特定する手段を備えた。
【選択図】図1
Description
本発明は、ネットワークに接続された機器に対して行われるネットワーク経由の不正な通信パケットおよび通信アクセスの発信元を特定する手法に関する。
通信ネットワーク(インターネット)においては、サーバや通信端末に通信ネットワークを介して大量の通信トラフィックが送り込まれたり、悪意のある通信アクセスが行われたりすることによって、正当なユーザの利用が妨げられたり、サーバの動作に障害が引き起こされ、深刻な問題となっている。
また、上記のような通信ネットワークを介して行われる攻撃は、プロキシサーバやアドレス変換NAT(Network Address Translation)/NAPT(Network Address Port Translation)を行うパケット中継装置を介して行われた場合、パケット中継装置が通信を中継する際にパケット情報内の送信元のアドレス情報を書き換えてしまう。
このため、攻撃を受けた側から攻撃元を一意に特定し通信を制御することが困難であり、複数のパケット中継装置を介して攻撃が行われた場合には、攻撃元を特定することがさらに困難となっていた。
また、上記のような通信ネットワークを介して行われる攻撃は、プロキシサーバやアドレス変換NAT(Network Address Translation)/NAPT(Network Address Port Translation)を行うパケット中継装置を介して行われた場合、パケット中継装置が通信を中継する際にパケット情報内の送信元のアドレス情報を書き換えてしまう。
このため、攻撃を受けた側から攻撃元を一意に特定し通信を制御することが困難であり、複数のパケット中継装置を介して攻撃が行われた場合には、攻撃元を特定することがさらに困難となっていた。
これに対して、ネットワーク毎にIDS(Intrusion Detection System)を設置し、各IDSのログを一箇所に集めて相関分析を行うことにより、攻撃元の不正端末を特定することができる。
しかしながら、この場合、ネットワーク毎に攻撃を検知する装置が必要となり、運用上のコストが膨大になり、更には、相関分析を行う管理装置が停止した場合にシステム全体が機能しなくなるという不都合が生じる。
また、上記ネットワークが複数のサブネットに分割されているような大規模なネットワークの場合に、ログの相関分析だけでは攻撃元を一意に特定すること困難であり、更には、ログを一箇所に集めると、ディスクを圧迫することになるという不都合があった。
しかしながら、この場合、ネットワーク毎に攻撃を検知する装置が必要となり、運用上のコストが膨大になり、更には、相関分析を行う管理装置が停止した場合にシステム全体が機能しなくなるという不都合が生じる。
また、上記ネットワークが複数のサブネットに分割されているような大規模なネットワークの場合に、ログの相関分析だけでは攻撃元を一意に特定すること困難であり、更には、ログを一箇所に集めると、ディスクを圧迫することになるという不都合があった。
又、上記問題に対して、プロキシサーバを使わず、又アドレス変換も行うことなくネットワークシステムを運用することにより、不正端末を特定する手法が考えられる。
しかしながら、この場合、割り当てできるIPアドレスには限りがあるため、ネットワークの規模が大きくなった場合には、対応できなくなる。
また、攻撃元の検索範囲は、ネットワーク構成を把握できる範囲に限定されてしまい、更には、プロキシサーバによるネットワーク運用の各種メリットが得られなくなるという不都合がある。
しかしながら、この場合、割り当てできるIPアドレスには限りがあるため、ネットワークの規模が大きくなった場合には、対応できなくなる。
また、攻撃元の検索範囲は、ネットワーク構成を把握できる範囲に限定されてしまい、更には、プロキシサーバによるネットワーク運用の各種メリットが得られなくなるという不都合がある。
これに対する関連技術として、攻撃が検知されたネットワーク装置に予め設定されたエージェントプログラム部が、攻撃元により近いネットワーク装置に対して攻撃パケットを制御するエージェントプログラム部自身の複製(プログラム)を送信し、攻撃元により近いネットワーク装置にさかのぼって攻撃パケットを制御する手法が開示されている(特許文献1、2)。
しかしながら、上記特許文献1および2ではいずれも、攻撃がアドレス変換を行うパケット中継装置を介して行われた場合を考慮しておらず、攻撃元を特定すること困難となる不都合がある。
また、送信元の情報を書き換える特定のパケット中継装置を介する通信アクセスをすべてブロックすることにより、それを利用する他の正当な端末からの通信も全てブロックされてしまうという不都合が生じ得る。
また、送信元の情報を書き換える特定のパケット中継装置を介する通信アクセスをすべてブロックすることにより、それを利用する他の正当な端末からの通信も全てブロックされてしまうという不都合が生じ得る。
更には、通信ネットワーク上に攻撃元を特定する専用装置の設置が必要となるため運用上のコストが高くなるという不都合もある。
[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、送信元を示す情報が変更されたパケット通信が行われた場合に前記パケット通信の送信元を特定するパケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラムを提供することを、その目的とする。
本発明は、上記関連技術の有する不都合を改善し、送信元を示す情報が変更されたパケット通信が行われた場合に前記パケット通信の送信元を特定するパケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラムを提供することを、その目的とする。
上記目的を達成するために、本発明に係るパケット送信元特定システムは、通信ネットワークを介して送り込まれた通信パケットの中継転送を行うと共に当該中継転送に際して前記通信パケットに含まれるアドレス情報の変換を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えた構成をとっている。
又、本発明にかかるパケット送信元特定方法は、通信ネットワーク上で通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するパケット送信元特定方法であって、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴としている。
更に、本発明にかかるパケット送信元特定プログラムは、通信ネットワークを介して通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するためのパケット送信元特定プログラムであって、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としている。
本発明は、以上のように構成され機能するので、これによると、通信パケットの通信を行う中継装置は、当該中継装置を介して実行された各パケット通信を示す通信特定情報を他の中継装置との間で相互に通知する手段と、通信特定情報に基づき攻撃パケットの送信元を特定する手段とを備えたことにより、前記中継装置を介して送信元アドレス情報の変更された通信パケットが送り込まれた場合に、当該通信パケットの送信元(例えば不正端末)を、迅速に特定することができる。
[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
次に、本発明の実施形態について、その基本的構成内容を説明する。
本実施形態のパケット送信元特定システムは、図1に示すように、通信回線を介して相互に接続されLANを設定する中継ルータ(中継装置に相当)11、管理端末(検索要求端末に相当)12、および通信回線を介してサービスを提供を行うサーバ(通信端末に相当)13と、中継ルータ11を介して接続され上記LAN1とは別のLAN2を構成するプロキシサーバ14、および中継ルータ15と、この中継ルータ15を介して接続され、更に異なるLAN3に接続された不正端末16とを備えた構成となっている。
ここで、上記中継ルータ11は、プロキシサーバ14の属するネットワーク(LAN2)から管理端末12の属するネットワーク(LAN1)へ通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
また、管理端末12は、サーバ13を監視し、サーバ13に対して攻撃パケットが送り込まれた場合に、それを調査し対策を行う。
ここで、上記中継ルータ11は、プロキシサーバ14の属するネットワーク(LAN2)から管理端末12の属するネットワーク(LAN1)へ通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
また、管理端末12は、サーバ13を監視し、サーバ13に対して攻撃パケットが送り込まれた場合に、それを調査し対策を行う。
更に、上記プロキシサーバ14は、不正端末16からサーバ13へのアクセス(不正アクセス)を中継し、中継ルータ15は、不正端末16の属するネットワーク(LAN3)からプロキシサーバ14の属するネットワーク(LAN2)に対する通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
不正端末16は、サーバ13に対する攻撃パケットの送信(又は通信アクセス)を行う。
不正端末16は、サーバ13に対する攻撃パケットの送信(又は通信アクセス)を行う。
また、上記図1に示されたパケット送信元特定システムは、図2に示すように、オーバレイネットワークとして表すことができる。
ここでは、中継ルータ11内に設定され当該中継ルータ11を介して実行される中継通信を制御するエージェントプログラム部21と、同様に、プロキシサーバ14内に設定されこのプロキシサーバ14を介して実行される中継通信の制御を行うエージェントプログラム部22、および、中継ルータ15内に設定されこの中継ルータ15を介して実行される中継通信の制御を行うエージェントプログラム部23を備えた構成となっている。
ここでは、中継ルータ11内に設定され当該中継ルータ11を介して実行される中継通信を制御するエージェントプログラム部21と、同様に、プロキシサーバ14内に設定されこのプロキシサーバ14を介して実行される中継通信の制御を行うエージェントプログラム部22、および、中継ルータ15内に設定されこの中継ルータ15を介して実行される中継通信の制御を行うエージェントプログラム部23を備えた構成となっている。
これにより、パケットの送信元(アドレス)情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して、攻撃が行われた場合でも、攻撃元を正確にかつ高速に特定できる。
更に、図1および2では、不正端末16から攻撃パケットが送出され、当該攻撃パケットが中継ルータ15、プロキシサーバ14、および中継ルータ11を介してサーバ13に送り込まれた場合を示している。また、図1および2における点線矢印は、サーバ13に送り込まれた攻撃パケットを検出した管理端末12が、中継ルータ15に対して行う不正端末16の制御要求を示している。
尚、管理端末12は、不正端末16の制御指令および制御コマンド等を中継ルータ11を介して中継ルータ15に送信してもよい。
尚、管理端末12は、不正端末16の制御指令および制御コマンド等を中継ルータ11を介して中継ルータ15に送信してもよい。
ここで、上記実施形態の各エージェントプログラム部について、図3のブロック図に基づき説明する。
中継ルータ11は、少なくとも、予め設定され演算処理を行う中央演算処理部(CPU)、処理対象のデータおよびプログラムを一時的に記憶する記憶装置など、一般的なコンピュータが有する構成を有し、上記CPUが予め設定されたプログラムの実行を行うことにより機能するエージェントプログラム部21を備えている。
また、中継ルータ11は、当該中継ルータ11を介して実行された通信セッションを特定するセッション情報を、セッション情報管理テーブルとして記憶管理するセッション情報管理データベース(DB)41と、中継ルータ11を介して実行された通信パケットの通信ログを記憶する通信ログ記憶部42を有する構成となっている。
また、中継ルータ11は、当該中継ルータ11を介して実行された通信セッションを特定するセッション情報を、セッション情報管理テーブルとして記憶管理するセッション情報管理データベース(DB)41と、中継ルータ11を介して実行された通信パケットの通信ログを記憶する通信ログ記憶部42を有する構成となっている。
また、エージェントプログラム部21は、上記セッション情報管理テーブルを参照して不正端末16を検索し特定する不正端末検索部32と、パケット中継装置11の通信ログ、およびセッション情報管理テーブルに基づきセッション情報を送信する、又は上記セッション情報管理DB内のセッション情報管理テーブルを更新するセッション情報収集部33と、他のエージェントプログラム部(22、23)から送り込まれた不正端末制御依頼情報(以下「制御依頼」という)を解析すると共に、隣接して接続されたネットワーク装置(ここでは、中継ルータまたはプロキシサーバ)を制御して、不正端末16からの通信を制御する不正端末制御部34からなる。
また、エージェントプログラム部21は、他のエージェントプログラム部(22、23)から送り込まれたセッション情報、又は制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行い、必要に応じて攻撃元端末(不正端末16)に対してより近接したネットワーク装置のエージェントプログラム部(ここでは23)に制御依頼を中継送信するエージェント機能制御部31を備えている。
また、エージェントプログラム部21は、他のエージェントプログラム部(22、23)から送り込まれたセッション情報、又は制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行い、必要に応じて攻撃元端末(不正端末16)に対してより近接したネットワーク装置のエージェントプログラム部(ここでは23)に制御依頼を中継送信するエージェント機能制御部31を備えている。
尚、上記では、パケット中継装置11、および当該パケット中継装置11に設定されたエージェントプログラム部21について説明したが、プロキシサーバ14、およびパケット中継装置15それぞれの内部に設定されるエージェントプログラム部22、および23も同じ構成を有するものとする。
ここで、上記エージェントプログラム部は、パケット中継装置(中継ルータ又はプロキシサーバ)内ではなく通信ネットワークに接続された他の装置内に設置されてもよい。
また、エージェントプログラム部は、他のパケット中継装置上の通信ログを参照できると共に、他のパケット中継装置を制御可能であれば、通信端末内に設定されていてもよい。
また、エージェントプログラム部は、他のパケット中継装置上の通信ログを参照できると共に、他のパケット中継装置を制御可能であれば、通信端末内に設定されていてもよい。
又、エージェントプログラム部を連携させることで、攻撃元を正確にかつ高速に特定し、攻撃元直近のネットワーク装置で不正な通信を制御できる。
更に、不正端末(攻撃元)の検索依頼と制御依頼を、パケット中継装置上の前記エージェントプログラムに中継させることで、ネットワークの匿名性を維持しつつ、不正端末からの通信をピンポイントで制御できる。
更に、不正端末(攻撃元)の検索依頼と制御依頼を、パケット中継装置上の前記エージェントプログラムに中継させることで、ネットワークの匿名性を維持しつつ、不正端末からの通信をピンポイントで制御できる。
更に、異なるエージェントプログラム部を相互に連携させることによって、攻撃パケットの送信元を一意に特定し、不正端末からの通信を制御することができる。
また、上記エージェントプログラム部における処理を、異なる通信端末内に分散して実行することにより、各パケット中継装置における処理負荷を軽減することができる。
また、上記エージェントプログラム部における処理を、異なる通信端末内に分散して実行することにより、各パケット中継装置における処理負荷を軽減することができる。
以下、これを詳説する。
上記エージェントプログラム部21は、上述のように、中継ルータ11内部に予め備えられたセッション情報管理テーブルを参照して不正端末を特定する不正端末検索部32と、セッション情報管理データベース(DB)41に予め設けられたセッション情報収集ルールに基づき、エージェントプログラム部21に近接して接続された他のエージェントプログラム部にセッション情報を送信するセッション情報収集部33とを備えている。
ここで、セッション情報管理データベース(DB)41には、当該セッション情報DB41の設定された中継ルータ又はプロキシサーバ(総称として「パケット中継装置」という)で実行された中継通信を示すセッション情報がセッション情報管理テーブルとして管理されている。
また、セッション情報管理データベース(DB)41は、エージェントプログラム部21が他のエージェントプログラム部との間でセッション情報の通信を行う場合に、当該通信において指定されるパラメータ(宛先、プロトコルなど)がリスト化されたセッション情報収集ルール管理テーブルを記憶している。
また、セッション情報管理データベース(DB)41は、エージェントプログラム部21が他のエージェントプログラム部との間でセッション情報の通信を行う場合に、当該通信において指定されるパラメータ(宛先、プロトコルなど)がリスト化されたセッション情報収集ルール管理テーブルを記憶している。
また、セッション情報収集部33は、通信ログ記憶部42、およびセッション情報管理DB41を参照すると共に、上述のように、セッション情報収集ルール管理テーブルに基づき予め設定された近隣のエージェントプログラム部にセッション情報を送信する機能と、セッション情報管理DB41内に設定されたセッション情報管理テーブルを更新する機能を有する。
ここで、通信ログ記憶部42に記憶された通信ログには、攻撃元端末(不正端末)を特定するための情報として少なくとも、中継前の送信元IPアドレス、中継前の送信元ポート番号、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継前の宛先IPアドレス、中継前の宛先ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間情報を有するものとする。
更に、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれた制御依頼を解析すると共に、隣接するネットワーク装置を制御して、不正端末からの通信を制限制御する不正端末制御部34を有する。
また、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれたセッション情報、もしくは制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行うと共に、必要に応じて攻撃元に対してより近いエージェントプログラム部に制御依頼を転送するエージェント機能制御部31を備えている。
また、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれたセッション情報、もしくは制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行うと共に、必要に応じて攻撃元に対してより近いエージェントプログラム部に制御依頼を転送するエージェント機能制御部31を備えている。
更に、エージェントプログラム部21は、セッション情報や制御依頼を受信して処理するサーバ機能を備え、このサーバ機能の設定パラメータとして、このサーバ機能を実行する際に指定される待ち受けポート番号を有する。
また、エージェントプログラム部21は、他の隣接するエージェントプログラム部のIPアドレスが登録された下流ノードリストを有し、当該他のエージェントプログラム部から送り込まれたセッション情報を受信する際に、この下流ノードリストに予め登録してあるIPアドレスからのみセッション情報を受信する。
また、エージェントプログラム部21は、取得されたセッション情報をセッション情報管理テーブル内に保持する期間を示すセッション情報保持期間情報と、前記セッション情報収集部33が隣接するパケット中継装置の通信ログを差分チェックし通信セッションを特定する際に必要な情報を取得する時間間隔を示すセッション更新間隔情報を、保持している。
ここで、エージェント機能制御部31は、セッション情報管理DB41内に設定されたセッション情報収集ルールに基づき、予め設定されたエージェントプログラム部に対して、取得されたセッション情報の送信を行うか、もしくはセッション情報管理DB41内のセッション情報管理テーブルの更新を行う機能を有する。
更に、エージェント機能制御部31は、セッション情報管理テーブルを確認した場合に、予め設定された期間より古いセッション情報を破棄する処理を行う機能を備えている。
更に、エージェント機能制御部31は、セッション情報管理テーブルを確認した場合に、予め設定された期間より古いセッション情報を破棄する処理を行う機能を備えている。
これにより、エージェント機能制御部が、近接して接続されたエージェントプログラム部との間で、予め設定された期間内の新しいセッション情報を相互に通知することできる。
このため、エージェントプログラム部は、近隣の他のエージェントプログラム部との間で相互にセッション情報の通信および更新を行うことにより、セッション情報の分散管理を行うことができ、上記の攻撃元特定処理にかかる各パケット中継装置で必要とされるマシンリソースを抑制することができる。
不正端末検索部32は、セッション情報管理DB41内に記憶されたセッション情報管理テーブル(図4)を、必要に応じて更新するセッション情報管理テーブル更新機能を有している。
このため、エージェントプログラム部は、近隣の他のエージェントプログラム部との間で相互にセッション情報の通信および更新を行うことにより、セッション情報の分散管理を行うことができ、上記の攻撃元特定処理にかかる各パケット中継装置で必要とされるマシンリソースを抑制することができる。
不正端末検索部32は、セッション情報管理DB41内に記憶されたセッション情報管理テーブル(図4)を、必要に応じて更新するセッション情報管理テーブル更新機能を有している。
ここで、図4に示されるセッション情報管理テーブルの各カラムについて説明する。
「セッションID」は、通信セッションそれぞれ対応して設定され通信セッションを一意に特定するIDである。次いで、「セッションキー」は、通信ログ、もしくは近隣のエージェントプログラムから取得したセッション情報の以下の5つのパラメータ中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとして計算したハッシュ値を示す。
「セッションID」は、通信セッションそれぞれ対応して設定され通信セッションを一意に特定するIDである。次いで、「セッションキー」は、通信ログ、もしくは近隣のエージェントプログラムから取得したセッション情報の以下の5つのパラメータ中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとして計算したハッシュ値を示す。
また、「セッション開始時刻」は、通信セッションの開始時刻を示し、セッション終了までの時間は、セッションの開始から終了までの時間(単位は秒)を示す。
更に、「直近のエージェントID」は、通信の発信元直近のエージェントプログラムのIDを示し、例えば、LAN組織内の全エージェントプログラム部からアクセス可能な待ち受けIPアドレスおよび待ち受けポート番号とすることができる。
そして、「末端ノードID」は、通信の発信元を示すIDであり、直近のエージェントプログラムからみて通信の発信元を一意に特定可能なIDを示す。
更に、「直近のエージェントID」は、通信の発信元直近のエージェントプログラムのIDを示し、例えば、LAN組織内の全エージェントプログラム部からアクセス可能な待ち受けIPアドレスおよび待ち受けポート番号とすることができる。
そして、「末端ノードID」は、通信の発信元を示すIDであり、直近のエージェントプログラムからみて通信の発信元を一意に特定可能なIDを示す。
また、不正端末検索部32は、エージェント機能制御部31から不正端末の検索依頼情報を受け取ると共に、受け取った依頼情報の中から被害端末のIPアドレスおよびポート番号、検索対象のIPアドレスおよびポート番号、プロトコル番号を取得し、ここで取得された5つのパラメータ(被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、およびプロトコル番号)を組みとしたハッシュ値を算出するハッシュ値算出機能を有する。
更に、不正端末検索部32は、算出されたハッシュ値および攻撃を受けた時刻をキーとしてセッション情報管理DB41内のセッション情報管理テーブルを検索し、一致するセッション情報があるか否かの判定を行うセッション情報判定機能を有する。
ここで、不正端末検索部32が、検索に失敗した場合や、不正端末の制御で必要となる情報が得られない場合、不正端末検索部32は、検索結果として不正端末の検索に失敗したことを示すエラーコードをエージェント機能制御部31に通知するエラーコード通知機能を有する。
また、不正端末の制御に必要となる不正端末のID(セッション情報管理テーブルの末端ノードIDカラムの情報)と不正端末直近のエージェントプログラムのID(セッション情報管理テーブルの直近のエージェントIDカラムの情報)を取得できた場合に、不正端末検索部32は、検索結果として検索成功を示すメッセージと不正端末のID、および不正端末直近のエージェントプログラムのIDをエージェント機能制御部31に通知する不正端末特定情報通知機能を備えている。
セッション情報収集部33は、セッション情報管理DBに記憶されたセッション情報収集ルール管理テーブル(図6)を、必要に応じて更新を行う収集ルール管理テーブル更新機能を有している。
ここで、図6に示すセッション情報収集ルール管理テーブルの各カラムの意味は以下の通りである。
「ルールID」は、セッション情報収集ルールを一意に特定するためのIDである。
「送信元」は、アドレス変換後の送信元IPアドレスを示し、「宛先」は、アドレス変換後の宛先IPアドレスを示し、「宛先ポート番号」は、アドレス変換後の宛先ポート番号を示す。
次に、「プロトコル番号」は、通信におけるプロトコル番号を示し、「転送先」は、セッション情報の転送先を示す。
尚、ここに示される転送先は、転送先のエージェントプログラム部の待ち受けIPアドレスと待ち受けポート番の組を示している。
また、セッション情報収集部33は、この「転送先」で指定されたIPアドレス及びポート番号が自身のIPアドレス、ポート番号であった場合に、上述のように、取得されたセッション情報を書き出し、セッション情報収集ルール管理テーブルの更新を行う。
最後に、「備考」は、セッション情報収集ルールに対するコメント情報を示す。
「ルールID」は、セッション情報収集ルールを一意に特定するためのIDである。
「送信元」は、アドレス変換後の送信元IPアドレスを示し、「宛先」は、アドレス変換後の宛先IPアドレスを示し、「宛先ポート番号」は、アドレス変換後の宛先ポート番号を示す。
次に、「プロトコル番号」は、通信におけるプロトコル番号を示し、「転送先」は、セッション情報の転送先を示す。
尚、ここに示される転送先は、転送先のエージェントプログラム部の待ち受けIPアドレスと待ち受けポート番の組を示している。
また、セッション情報収集部33は、この「転送先」で指定されたIPアドレス及びポート番号が自身のIPアドレス、ポート番号であった場合に、上述のように、取得されたセッション情報を書き出し、セッション情報収集ルール管理テーブルの更新を行う。
最後に、「備考」は、セッション情報収集ルールに対するコメント情報を示す。
また、セッション情報収集部33は、予め設定された周期(セッション情報更新間隔)で隣接するパケット中継装置における通信ログの差分チェックを行うと共に、以下に示すセッション情報を取得するセッション情報取得機能を備えている。
尚、このセッション情報の内容は、中継前の送信元IPアドレス、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間からなる。
尚、このセッション情報の内容は、中継前の送信元IPアドレス、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間からなる。
ここで、セッション情報収集部33は、通常複数のセッション情報を取得すると共に、取得されたセッション情報それぞれについて処理を行うが、ここでは、セッション情報収集部33が、特定の一つのセッション情報にかかる処理について場合について説明する。
又、セッション情報収集部33は、セッション情報の取得後、取得されたセッション情報に含まれる中継前の送信元IPアドレスと前記下流ノードリストとを比較し、マッチする送信元IPアドレスが存在するか否かを判定する送信元アドレス判定機能を有する。
ここで、マッチする送信元IPアドレスが存在する場合、つまり、送信元IPアドレスが隣接する他のパケット中継装置である場合には、セッション情報収集部33は、処理を打ち切り、以下の処理を行わないものとする。
一方、マッチする送信元IPアドレスが存在しない場合、セッション情報収集部33は、取得されたセッション情報の中継後の送信元IPアドレス、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号をキーとしてセッション情報収集ルール管理テーブルを検索すると共に、マッチした行の転送先カラムが、当該セッション情報収集部33の設けられた中継ルータ11(自身)を指定しているか否かの判定を行うテーブル検索判定機能を備えている。
ここで、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11を指定している場合に、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとしてハッシュ値を計算する。
また、セッション情報収集部33は、ここで算出されたハッシュ値、セッション開始時刻、セッション開始から終了までの時間、エージェントプログラム自身のID、中継前の送信元IPアドレスを持つホストのIDを一つの組として、自身のセッション情報管理テーブルにエントリに追加登録を行うセッション情報追加登録機能を備えている。
また、セッション情報収集部33は、ここで算出されたハッシュ値、セッション開始時刻、セッション開始から終了までの時間、エージェントプログラム自身のID、中継前の送信元IPアドレスを持つホストのIDを一つの組として、自身のセッション情報管理テーブルにエントリに追加登録を行うセッション情報追加登録機能を備えている。
一方、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11以外の場合に、転送先のエージェントプログラム部に対して、取得されたセッション情報を送信するセッション情報転送機能を備えている。
ここで、送信されるセッション情報は、少なくとも中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、セッション開始から終了までの時間、自身のID、および中継前の送信元IPアドレスを持つホストのIDを含む。
ここで、送信されるセッション情報は、少なくとも中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、セッション開始から終了までの時間、自身のID、および中継前の送信元IPアドレスを持つホストのIDを含む。
尚、セッション情報を受信したエージェント機能制御部31は、当該セッション情報をセッション情報収集部33に送信する機能を有するものとする。
セッション情報収集部33は、エージェント機能制御部31からデータを受け取ると、上述のように、セッション情報収集ルール管理テーブルに基づいて、セッション情報を近隣のエージェントプログラム部に転送する、又は、自身のセッション情報管理テーブルを更新する機能を備えている。
また、セッション情報収集部33は、受信されたセッション情報を近隣のエージェントプログラムに転送する場合、転送前にパケット中継装置の通信ログを参照し、該当するセッション情報があるか否かの判定を行う通信ログ参照判定機能を有する。
このとき、セッション情報収集部33は、通信ログに該当するセッション情報がない場合に、そのまま近隣のエージェントプログラム部にセッション情報を転送する。
一方、通信ログ内に該当するセッション情報が見つかった場合、セッション情報収集部33は、見つかったセッション情報に基づき、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、および中継後の宛先ポート番号を更新し、更新されたセッション情報を近隣のエージェントプログラム部に対して転送する。
一方、通信ログ内に該当するセッション情報が見つかった場合、セッション情報収集部33は、見つかったセッション情報に基づき、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、および中継後の宛先ポート番号を更新し、更新されたセッション情報を近隣のエージェントプログラム部に対して転送する。
ここで、上記エージェントプログラム部は、直近のエージェントIDと末端ノードIDについて、受け取った値の更新を行わず、そのままセッション情報管理テーブルに書き出す。
これにより、エージェントプログラム部は、他のエージェントプログラム部から送り込まれた制御依頼を、上記直近のエージェントIDと末端ノードIDに基づき転送することができ、このため、不正端末側のエージェントプログラム部へと制御依頼を迅速に転送することができる。
これにより、エージェントプログラム部は、他のエージェントプログラム部から送り込まれた制御依頼を、上記直近のエージェントIDと末端ノードIDに基づき転送することができ、このため、不正端末側のエージェントプログラム部へと制御依頼を迅速に転送することができる。
不正端末制御部34は、を制御ルールDBに記憶された制御ルール管理テーブル(図7)に対して、必要に応じて更新を行う制御ルール管理テーブル更新機能を有している。
ここで、図7に示す制御ルール管理テーブルの各カラムの意味は以下の通りである。
先ず、「ルールID」は、制御ルールを一意に特定するためのIDであり、「制御元」は、制御依頼を受けつけるネットワークのアドレスを、「制御先」は、制御先のネットワークアドレスを示す。
ここで、図7に示す制御ルール管理テーブルの各カラムの意味は以下の通りである。
先ず、「ルールID」は、制御ルールを一意に特定するためのIDであり、「制御元」は、制御依頼を受けつけるネットワークのアドレスを、「制御先」は、制御先のネットワークアドレスを示す。
又、「制御タイプ」は、どの方法で通信の制御を行うかを示す値であって、図7の例では、0が警告、1が帯域制御、2が検疫、3が遮断を示す。
更に、「制御コマンド」は、隣接するネットワーク装置を制御するためのコマンド、「制御オプション」は、制御コマンドのオプションに関する情報(制御コマンドの仕様)を示し、備考は、制御ルールに対するコメント情報を示す。
更に、「制御コマンド」は、隣接するネットワーク装置を制御するためのコマンド、「制御オプション」は、制御コマンドのオプションに関する情報(制御コマンドの仕様)を示し、備考は、制御ルールに対するコメント情報を示す。
更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、図6に示すセッション情報収集ルール管理テーブルを参照し、不正端末の特定に必要なセッション情報を持っているかどうかの判定を行うセッション情報判定機能を備えている。ここで、上記セッション情報の内容は、制御依頼、制御元のIPアドレス、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプを少なくとも含んでいるものとする。
また、不正端末制御部34は、セッション情報収集ルール管理テーブルを、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、およびプロトコル番号をキーとして検索すると共に、特定された行の転送先カラムが自身(不正端末制御部34の設けられた中継端末)と一致するか否かを判定する。
ここで、自身と一致する場合には、一致することを示すメッセージをエージェント機能制御部31に通知する一致メッセージ通知機能を有する。
このとき、エージェント機能制御部31は、不正端末検索部32に検索依頼を送信すると共に、得られた検索結果に基づいて、制御依頼を不正端末16直近のエージェントプログラム部へ転送(中継)する。
このとき、エージェント機能制御部31は、不正端末検索部32に検索依頼を送信すると共に、得られた検索結果に基づいて、制御依頼を不正端末16直近のエージェントプログラム部へ転送(中継)する。
一方、自身と一致しない場合には、その旨と特定された行の転送先カラムの値をエージェント機能制御部31に通知する。
このとき、エージェント機能制御部31は取得された転送先の情報を基づいて、制御依頼を近隣のエージェントプログラムへ転送(中継)する。
このとき、エージェント機能制御部31は取得された転送先の情報を基づいて、制御依頼を近隣のエージェントプログラムへ転送(中継)する。
更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、制御ルールDB43に格納された制御ルールテーブル(図7)を参照し、制御元のIPアドレスをキーとしてマッチする制御ルールを特定する制御ルール参照特定機能を備えている。
ここで、上記制御ルールDB43に格納された制御ルールテーブルは、制御元のIPアドレス、末端ノードID、制御タイプ、制御コマンド、および制御コマンドオプションからなる。
ここで、上記制御ルールDB43に格納された制御ルールテーブルは、制御元のIPアドレス、末端ノードID、制御タイプ、制御コマンド、および制御コマンドオプションからなる。
また、制御ルールテーブルを確認した結果、どのルールの制御元アドレスにも制御元のIPアドレスがマッチしない場合、不正端末制御部34は、制御依頼を拒否し、制御結果としてエラーを返す。
更に、不正端末制御部34は、特定された制御ルールと制御依頼の中で指定された制御タイプとがマッチしない場合に、上記制御依頼を拒否し、制御結果としてエラーを返す。
更に、不正端末制御部34は、特定された制御ルールと制御依頼の中で指定された制御タイプとがマッチしない場合に、上記制御依頼を拒否し、制御結果としてエラーを返す。
制御元アドレスと制御タイプとがマッチする制御ルールが特定された場合に、不正端末制御部34は、予め設定された該当する制御コマンドを、制御依頼情報で指定された制御オプションに基づき実行し、隣接するパケット中継装置を制御する隣接中継装置制御機能を備えている。また、この制御による制御結果をエージェント機能制御部31に返信する機能を有する。
これにより、攻撃元(不正端末)の特定後、攻撃元直近のネットワーク装置で不正な通信を制御できる。
また、あるネットワーク上に存在する不正端末からの攻撃を、ネットワーク構成を知らない別のネットワーク上の装置からも柔軟に制御できることができる。
また、あるネットワーク上に存在する不正端末からの攻撃を、ネットワーク構成を知らない別のネットワーク上の装置からも柔軟に制御できることができる。
尚、上記制御ルールDB43は、組織LAN組織内に接続されて設けられてもよいし、パケット中継装置(中継ルータまたはプロキシサーバ)内部のエージェントプログラム部に併設されていてもよい。
ここでは、制御ルールDB43は、全エージェントプログラム部で共有して使用されるものとする。
又、セッション情報収集ルールを追加し、リソースのあまっている通信端末(サーバなど)にセッション情報の管理や不正端末の検索処理を分散させてもよい。
ここでは、制御ルールDB43は、全エージェントプログラム部で共有して使用されるものとする。
又、セッション情報収集ルールを追加し、リソースのあまっている通信端末(サーバなど)にセッション情報の管理や不正端末の検索処理を分散させてもよい。
制御ルール管理テーブルに不正端末からの通信を遮断するルールを追加する際、不正端末からの通信を全て遮断するのではなく、制御コマンドのオプションを利用して、ある特定のプロトコルやポート番号を使用する通信のみを遮断してもよい。
これにより、プロトコルやポート番号による制御は遮断のルールだけでなく、帯域制御のルールなどにも適用できる。
これにより、プロトコルやポート番号による制御は遮断のルールだけでなく、帯域制御のルールなどにも適用できる。
[実施形態の動作説明]
次に、本実施形態の全体の動作について説明する。
次に、本実施形態の全体の動作について説明する。
先ず、各中継装置(11、14、15)のエージェントプログラム部は、各中継転送を特定する通信特定情報を、予め設定された他の中継装置に通知する(通信特定情報通知工程)。ここで、不正端末16から通信端末13に対して攻撃パケットが送り込まれた場合に、検索要求端末12が、中継装置11に対して不正端末16の検索を要求し(不正端末検索要求工程)、中継装置11は、通信特定情報および検索要求に基づき不正端末16を特定する(不正端末特定工程)。
次いで、中継装置11が、特定された不正端末16に対してより近接して接続された中継装置15を特定し(中継装置特定工程)、検索要求端末12からの検索依頼(および制御依頼:図4)を受け取った中継装置15のエージェントプログラム部は、予め設定されたルールに基き隣接する前記不正端末16からの通信を抑制させる制御を行う(転送装置制御工程)。
次いで、中継装置11が、特定された不正端末16に対してより近接して接続された中継装置15を特定し(中継装置特定工程)、検索要求端末12からの検索依頼(および制御依頼:図4)を受け取った中継装置15のエージェントプログラム部は、予め設定されたルールに基き隣接する前記不正端末16からの通信を抑制させる制御を行う(転送装置制御工程)。
尚、上記不正端末検索工程、上記通信特定情報通知工程、不正端末特定工程、中継装置特定工程、および転送装置制御工程については、その実行内容をプログラム化し、上記中継装置、管理端末それぞれに設けられたコンピュータに実行させる構成としてもよい。
ここで、本実施形態の中継ルータ11、15、およびプロキシサーバ14を介して上記不正端末16を特定する動作について、図4のシーケンスチャートに基づき詳説する。
先ず、中継ルータ(中継装置に相当)11、15、およびプロキシサーバ14におけるエージェントプログラム部は相互にセッション情報の通信を定期的に行っており、セッション情報管理DB41に格納されたテーブルの内容の更新処理が、常時行われているものとする(通信特定情報通知工程)。
ここで、サーバ(通信端末に相当)13に対して攻撃パケットが送り込まれたことを、サーバ13と同一ネットワーク(LAN1)内にある管理端末(検索要求端末に相当)12で検出する。このとき、管理端末12は、攻撃パケットの中継場所である中継ルータ(NAPT有)11のエージェントプログラム部21に対して、攻撃パケット送信元(不正端末)からの通信の抑制制御を要求する制御依頼情報を送信する(ステップS111:不正端末検索要求工程に相当)。
このとき、制御依頼情報は、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプが含まれているものとする。
次に、制御依頼情報を受信したエージェントプログラム部21は、セッション情報収集ルール管理テーブル(図6)を参照して、不正端末16の特定に必要なセッション情報(特定情報に相当)が登録されているか判定を行う(ステップS112)。
具体的には、セッション情報収集ルール管理テーブル(図6)を、制御要求情報に含まれる被害端末(サーバ13)のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、プロトコル番号をキーとして検索し、特定された行の転送先カラムが、エージェント21であるか否かの判定を行う。
ここでは、以下、転送先カラムがエージェントプログラム部21を示すものとして説明する。
ここでは、以下、転送先カラムがエージェントプログラム部21を示すものとして説明する。
次いで、転送先カラムがエージェントプログラム部21であると判定された場合、エージェントプログラム部21のエージェント機能制御部31は、不正端末検索部32に検索要求を行う。
ここで、不正端末検索部32は、セッション情報に基づき不正端末16を特定する(不正端末特定工程)と共に、当該不正端末16に直近のエージェントプログラム部が、中継ルータ15のエージェントプログラム部23であることを特定する(ステップS112:中継装置特定工程)。
ここで、不正端末検索部32は、セッション情報に基づき不正端末16を特定する(不正端末特定工程)と共に、当該不正端末16に直近のエージェントプログラム部が、中継ルータ15のエージェントプログラム部23であることを特定する(ステップS112:中継装置特定工程)。
次いで、上記検索結果に基づき、制御依頼を不正端末16直近の特定されたエージェントプログラム部23に対して中継送信する(ステップS113)。
ここで、制御依頼(不正端末制御依頼情報)には、少なくとも制御元のIPアドレス、末端ノードID、および制御タイプが含まれるものとする。
ここで、制御依頼(不正端末制御依頼情報)には、少なくとも制御元のIPアドレス、末端ノードID、および制御タイプが含まれるものとする。
次いで、制御依頼を受け取ったエージェントプログラム部23は、予め設定された制御ルールに基づいて、制御依頼により指定された制御コマンドを実行し(ステップS114:転送装置制御工程)、不正端末16からサーバ13に対して送り込まれる次回攻撃を抑制する制御を行う。
次いで、エージェントプログラム部23は、制御依頼元である中継ルータ11のエージェントプログラム部21に制御コマンドの実行結果(制御結果213)を通知する(ステップS115)。
更に、エージェントプログラム部21は、制御結果213を受信すると共に、要求元である管理端末12に制御コマンドの実行結果として制御結果214を通知する(ステップS116)。
更に、エージェントプログラム部21は、制御結果213を受信すると共に、要求元である管理端末12に制御コマンドの実行結果として制御結果214を通知する(ステップS116)。
尚、上記エージェントプログラム部間の通信は公開鍵暗号方式を用いて暗号化し、機密性、完全性を保持するものとする。
また、隣接するパケット中継装置(エージェントプログラム部)の制御は、SNMP(Simple Network Management Protocol)、NETCONFコンフィギュレーションプロトコル、又は予め登録されたコマンド(装置専用のツール)等により実行されるものとする。
また、隣接するパケット中継装置(エージェントプログラム部)の制御は、SNMP(Simple Network Management Protocol)、NETCONFコンフィギュレーションプロトコル、又は予め登録されたコマンド(装置専用のツール)等により実行されるものとする。
上記手順により、パケット情報の送信元情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して攻撃パケットが送り込まれた場合でも、攻撃元を正確に特定でき、また、攻撃元の通信動作を攻撃元直近のパケット中継装置を介して制御することができる。
また、本実施形態では、ある組織のネットワーク(LAN3)に属する不正端末16を、ネットワークの匿名性を維持しつつ、別組織のネットワーク(LAN1)に属する装置(管理端末12)から一意に特定することができ、更に、不正端末直近のネットワーク装置(中継ルータ15)を介して不正端末からの通信を制御することができる。
更に、攻撃元の不正端末16を特定した後、制御依頼情報を攻撃元直近のパケット中継装置(中継ルータ15)に対してダイレクトに送信できるため、迅速に攻撃元からの通信を抑制制御可能である。
また、攻撃元までのパケット中継装置の中継数が多くなる場合でも、通信ネットワークに接続された通信端末内にエージェントプログラム部を設け、他のパケット中継装置上の通信ログを参照すると共に他のパケット中継装置を制御可能な設定とすることにより、不正端末の検索に要する各中継装置のマシンリソースを抑制することができ、且つ、より迅速に攻撃元の特定を行うことができる。
また、攻撃元までのパケット中継装置の中継数が多くなる場合でも、通信ネットワークに接続された通信端末内にエージェントプログラム部を設け、他のパケット中継装置上の通信ログを参照すると共に他のパケット中継装置を制御可能な設定とすることにより、不正端末の検索に要する各中継装置のマシンリソースを抑制することができ、且つ、より迅速に攻撃元の特定を行うことができる。
本発明は、ISP(Internet Service Provider)などのネットワーク事業に適用することができ、ISP事業者側は、利用者に対してセキュリティの高いネットワーク環境を提供でき、更には運用コストを軽減することができる。
11、15 中継ルータ
12 管理端末
13 サーバ
14 プロキシサーバ
16 不正端末
21、22、23 エージェントプログラム部
31 エージェント機能制御部
32 不正端末検索部
33 セッション情報収集部
34 不正端末制御部
41 セッション情報管理データベース
42 通信ログ記憶部
43 制御ルールデータベース
12 管理端末
13 サーバ
14 プロキシサーバ
16 不正端末
21、22、23 エージェントプログラム部
31 エージェント機能制御部
32 不正端末検索部
33 セッション情報収集部
34 不正端末制御部
41 セッション情報管理データベース
42 通信ログ記憶部
43 制御ルールデータベース
Claims (11)
- 通信ネットワークを介して送り込まれた通信パケットの中継転送を行うと共に当該中継転送に際して前記通信パケットに含まれるアドレス情報の変換を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備えたパケット送信元特定システムであって、
前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えたことを特徴とするパケット送信元特定システム。 - 前記請求項1に記載のパケット送信元特定システムにおいて、
前記通信端末に前記攻撃パケットが送り込まれたことを検出すると共に前記中継装置に対して前記攻撃パケット送信元の検索を要求する検索要求端末を、前記通信端末に併設したことを特徴とするパケット送信元特定システム。 - 前記請求項2に記載のパケット送信元特定システムにおいて、
前記中継装置は、前記検索要求端末から送り込まれた検索要求および他の中継装置から送り込まれた前記通信特定情報に基づき前記攻撃パケットの送信元である不正端末の特定が可能か否かを判定する端末特定判定手段と、前記不正端末の特定ができない場合に、前記検索要求および通信特定情報を予め設定された他の中継装置に転送する通信特定情報転送手段とを備えたことを特徴とするパケット送信元特定システム。 - 前記請求項3に記載のパケット送信元特定システムにおいて、
前記不正端末が特定された場合に、前記検索要求端末が、前記不正端末の通信抑制ルールを示す制御要求を前記中継端末に送信する制御要求手段を備え、前記中継装置は、当該不正端末により近接して接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置に前記制御要求を通知する制御要求通知手段とを備えたことを特徴とするパケット送信元特定システム。 - 前記請求項3に記載のパケット送信元特定システムにおいて、
前記中継装置は、前記不正端末が特定された場合に、当該不正端末のより近くに接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる転送装置制御手段を備えたことを特徴とするパケット送信元特定システム。 - 前記請求項4に記載のパケット送信元特定システムにおいて、
前記中継装置は、当該中継装置に予め記憶された通信特定情報を、前記他の中継装置から通知された通信特定情報に基づき更新する自通信特定情報更新手段と、前記送り込まれた通信特定情報を更新し前記不正端末のより近くに接続された中継装置に転送する通信特定情報更新転送手段とを備えたことを特徴とするパケット送信元特定システム。 - 前記請求項4又は6に記載のパケット送信元特定システムにおいて、
前記中継装置に、前記不正端末からの通信パケットを中継転送する条件を示す中継転送ルール情報が予め記憶された抑制制御ルール記憶部を併設し、前記中継装置が、前記中継転送ルールに基づき前記通信パケットの中継転送を制御する転送指定制御手段を備えたことを特徴とするパケット送信元特定システム。 - 通信ネットワーク上で通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するパケット送信元特定方法であって、
前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴とするパケット送信元特定方法。 - 前記請求項8に記載のパケット送信元特定方法であって、
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定工程と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御工程とを前記不正端末特定工程の後に備えたことを特徴とするパケット送信元特定方法。 - 通信ネットワークを介して通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するためのパケット送信元特定プログラムであって、
前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としたパケット送信元特定プログラム。 - 前記請求項10に記載のパケット送信元特定方法であって、
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定機能と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御機能とを、前記コンピュータに実行させることを特徴とするパケット送信元特定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008126516A JP4867949B2 (ja) | 2008-05-13 | 2008-05-13 | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008126516A JP4867949B2 (ja) | 2008-05-13 | 2008-05-13 | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009278293A true JP2009278293A (ja) | 2009-11-26 |
| JP4867949B2 JP4867949B2 (ja) | 2012-02-01 |
Family
ID=41443316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008126516A Active JP4867949B2 (ja) | 2008-05-13 | 2008-05-13 | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4867949B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011146968A (ja) * | 2010-01-15 | 2011-07-28 | Oki Networks Co Ltd | 攻撃端末特定装置及びプログラム |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| WO2019168071A1 (ja) * | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | 特定システム及び特定方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
| JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
| JP2005210518A (ja) * | 2004-01-23 | 2005-08-04 | Matsushita Electric Works Ltd | 発信源追跡情報提供装置及び発信源追跡装置 |
-
2008
- 2008-05-13 JP JP2008126516A patent/JP4867949B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
| JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
| JP2005210518A (ja) * | 2004-01-23 | 2005-08-04 | Matsushita Electric Works Ltd | 発信源追跡情報提供装置及び発信源追跡装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011146968A (ja) * | 2010-01-15 | 2011-07-28 | Oki Networks Co Ltd | 攻撃端末特定装置及びプログラム |
| WO2014155650A1 (ja) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| JP5844944B2 (ja) * | 2013-03-29 | 2016-01-20 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| JPWO2014155650A1 (ja) * | 2013-03-29 | 2017-02-16 | 株式会社日立製作所 | 情報制御装置、情報制御システム、及び情報制御方法 |
| WO2019168071A1 (ja) * | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | 特定システム及び特定方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4867949B2 (ja) | 2012-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2612488B1 (en) | Detecting botnets | |
| JP5790827B2 (ja) | 制御装置、制御方法、及び通信システム | |
| EP2779574B1 (en) | Attack detection and prevention using global device fingerprinting | |
| JP6083009B1 (ja) | Sdnコントローラ | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US11108738B2 (en) | Communication apparatus and communication system | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| US10560452B2 (en) | Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| JP6973227B2 (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
| JPWO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| JP6117050B2 (ja) | ネットワーク制御装置 | |
| US8234503B2 (en) | Method and systems for computer security | |
| JP4867949B2 (ja) | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム | |
| JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| JP4321375B2 (ja) | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム | |
| JP2007174406A (ja) | 不正アクセス防止装置および不正アクセス防止プログラム | |
| WO2016170598A1 (ja) | 情報処理装置、方法およびプログラム | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| CN102571816B (zh) | 一种防止邻居学习攻击的方法和系统 | |
| JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
| WO2008047141A1 (en) | Method and apparatus for monitoring a digital network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111018 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111031 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4867949 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141125 Year of fee payment: 3 |