JP3483782B2 - 電子データの追跡システム及びデータ中継装置 - Google Patents

電子データの追跡システム及びデータ中継装置

Info

Publication number
JP3483782B2
JP3483782B2 JP29324598A JP29324598A JP3483782B2 JP 3483782 B2 JP3483782 B2 JP 3483782B2 JP 29324598 A JP29324598 A JP 29324598A JP 29324598 A JP29324598 A JP 29324598A JP 3483782 B2 JP3483782 B2 JP 3483782B2
Authority
JP
Japan
Prior art keywords
tracking
data
address
instruction
electronic data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP29324598A
Other languages
English (en)
Other versions
JP2000124952A (ja
Inventor
達也 馬場
栄之 松田
博孝 渕沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP29324598A priority Critical patent/JP3483782B2/ja
Publication of JP2000124952A publication Critical patent/JP2000124952A/ja
Application granted granted Critical
Publication of JP3483782B2 publication Critical patent/JP3483782B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、例えばインターネ
ットを介して流通する電子データの流通経路または発信
源を、送信元プロトコルアドレスが偽れた場合であって
も正確に特定できるようにするためのデータ追跡技術に
関する。
【0002】
【従来の技術】インターネット等の通信網を用いて電子
データの送受信を行う場合、その電子データには、宛先
プロトコルアドレスと送信元プロトコルアドレスが付与
される。そのため、電子データを受信したシステムで
は、その電子データに付与された送信元プロトコルアド
レスを調べることによって、どの装置またはシステムか
ら送られてきたのか、つまり発信源を確認できるように
なっている。
【0003】
【発明が解決しようとする課題】しかし、送信元プロト
コルアドレスは、送信元システムによって任意に付与さ
れるものなので、これを偽ることにより送信元システム
を隠すことは容易である。通常、あるシステムに不正に
アクセスする者(以下、不正アクセスを「攻撃」、不正
アクセスを行う者を「攻撃者」と称する場合がある)
は、身元を隠すために自己のシステムの送信元プロトコ
ルアドレスではなく、別のシステムのプロトコルアドレ
スを用いて攻撃する場合が多い。この場合、不正にアク
セスされたシステム側では、送信元プロトコルアドレス
を信用することができず、また、攻撃者を正しく特定す
ることができないという問題があった。
【0004】そこで本発明は、電子データを受信した側
で、その電子データの送信元を正しく特定することがで
きる電子データの追跡方法を提供することを課題とす
る。本発明の他の課題は、この追跡方法の実施に適した
電子データの追跡システム及びその構成装置を提供する
ことにある。
【0005】
【課題を解決するための手段】上記課題を解決する本発
明の追跡方法は、電子データを流通させる装置が連鎖状
に接続されたネットワーク上で前記電子データを運ぶデ
ータリンク層の識別子を解析し、当該電子データが通過
した前記装置を前記識別子の解析結果に基づいて特定す
る過程を含むことを特徴とする。より具体的には、個々
の前記装置が前記識別子を解析することで前記電子デー
タが通過した自装置の一つ前の装置を特定した後、この
特定した装置に、当該電子データが当該装置の一つ前に
通過した他の装置を特定させる。
【0006】好ましくは、予め追跡すべき電子データの
特徴情報を特定しておき、流通する前記電子データが前
記特徴情報に合致するときに、当該合致する電子データ
を運ぶデータリンク層の識別子を解析するようにする。
また、それぞれの装置が、前記他の装置を特定できたと
きは自装置における前記解析の識別情報を当該他の装置
及び所定のデータ追跡手段に通知するとともに、前記他
の装置を特定できなかったとき(前記識別子を解析する
ことで前記電子データが通過した自装置の一つ前の装置
を特定する機能を持つ装置でない場合を含む)は当該特
徴情報に基づく最終通知情報を前記データ追跡手段に通
知するようにしても良い。
【0007】上記他の課題を解決する本発明の追跡シス
テムは、流通する電子データの中継を行う複数のデータ
中継装置をネットワーク上で連鎖状に接続して成る。あ
るいは、これらのデータ中継装置に対して双方向通信可
能に接続されたデータ追跡装置とを含んで成る。個々の
データ中継装置は、それぞれ下記の要素を有するもので
ある。 (1−1)追跡すべき電子データの特徴情報と追跡結果
の通知先アドレス(例えば、データ追跡装置のアドレ
ス)とを含む所定の追跡指示の受信を契機に、自装置を
通過する電子データから前記特徴情報に適合するもの
(追跡対象データ)を探索する第1の手段、(1−2)
探索した前記追跡対象データを前記ネットワーク上で運
ぶデータリンク層の識別子を解析し、この解析結果に基
づいて当該追跡対象データが自装置の前に通過した他の
装置の特定を試みる第2の手段、(1−3)前記他の装
置を特定でき且つ特定した装置が自装置と同等の機能を
備えている場合に、その装置に対して前記受信した追跡
指示と同一内容の追跡指示を与える第3の手段、(1−
4)自装置における追跡結果を前記通知先アドレス宛に
通知する第4の手段。
【0008】この第4の手段は、好ましくは、自装置に
おける追跡結果と共に、当該追跡結果が何番目の追跡結
果かを表す追跡順序情報を前記通知先アドレスに通知す
るように構成し、前記第3の手段で他の装置に前記追跡
指示を与えることができなかった場合は、自装置が前記
追跡指示に基づく最終のデータ中継装置である旨の付加
情報を添付するように構成する。当該他の装置のプロト
コルアドレスが特定できた場合は、そのプロトコルアド
レスをも添付するように構成する。前記データ追跡装置
を設ける場合は、少なくとも前記第3の手段で他の装置
に前記追跡指示を与えることができなかったデータ中継
装置からの通知情報をもとに当該追跡対象データの発信
源を特定するように、それを構成する。
【0009】本発明はまた、上記データ追跡システムの
一部を構成するデータ中継装置、データ追跡装置、及び
これらの装置をコンピュータ装置により実現するための
記録媒体を提供する。
【0010】本発明のデータ中継装置は、下記の要素を
有するものである。 (2−1)ネットワーク上で流通する電子データを受信
し、受信した電子データを連鎖状に接続された他の装置
へ転送する中継機構、(2−2)追跡対象データの特徴
情報と追跡結果の通知先アドレスとを含む所定の追跡指
示の受信を契機に、自装置を通過する電子データから追
跡対象データを探索する第1の手段と、前述の第2乃至
第4の手段を備えたデータ追跡機構。
【0011】本発明のデータ追跡装置は、下記の要素を
有するものである。 (3−1)ネットワーク上で連鎖状に接続された複数の
データ中継装置及び前記ネットワークを流通する電子デ
ータの到達先に備えられた装置との間で通信を行う通信
手段、(3−2)前記到達先に備えられた装置より知得
した、追跡対象となる電子データの特徴情報に基づい
て、当該到達先の直前のデータ中継装置を特定し、特定
したデータ中継装置宛てに前記特徴情報及び自装置のア
ドレスを含む追跡指示を発行する手段、(3−3)前記
追跡指示の宛先となるデータ中継装置またはそのデータ
中継装置が前記追跡指示と同一の追跡指示を与えた他の
データ中継装置より受領した通知情報に基づいて前記追
跡対象データの流通経路を解析する手段。
【0012】好ましい実施の形態では、上記(3−1)
〜(3−3)のほかに、前記到達先に備えられた不正ア
クセスセンサの種別毎に攻撃パターンとそのときのセン
サ出力コードとを対応付けて記録した第1記録手段と、
前記センサ出力コードの受領を契機に前記第1記録手段
を参照して該当する攻撃パターンとその攻撃パターンに
対応する前記特徴情報を特定する手段とを具備し、必要
に応じて、前記不正アクセスセンサの種別とそのセンサ
を採用するシステムの管理者のメールアドレスとを登録
元毎に記録しておき所定の場合に前記管理者のメールア
ドレス宛てに警告メールを自動送信する手段と、前記流
通経路を解析して攻撃者を特定したときに当該攻撃者ま
たは攻撃者に関わる者宛に警告メールを発信する手段を
さらに具備してデータ追跡装置を構成する。
【0013】本発明の記録媒体は、データ中継装置を構
成するためのもので、ネットワーク上で連鎖状に接続さ
れた他の装置及び所定のデータ追跡装置と双方向通信可
能に接続されたコンピュータ装置に下記の処理を実行さ
せるためのプログラムコードが記録された、コンピュー
タ読取可能な記録媒体である。 (4−1)追跡すべき電子データの特徴情報と追跡結果
の通知先アドレスとを含む所定の追跡指示の受信を契機
に、自装置で受信し前記他の装置のいずれかへ転送する
電子データから追跡対象データを探索する処理、(4−
2)探索した前記追跡対象データを前記ネットワーク上
で運ぶデータリンク層の識別子を解析し、この解析結果
に基づいて当該追跡対象データが自装置の前に通過した
他の装置の特定を試みる処理、(4−3)前記他の装置
を特定でき且つ特定した装置が自装置と同等の機能を備
えている場合に、その装置に対して前記受信した追跡指
示と同一内容の追跡指示を与える処理、(4−4)自装
置における追跡結果を所定の識別情報と共に前記通知先
アドレス宛に通知する処理。
【0014】本発明の他の記録媒体は、データ追跡装置
を構成するためのもので、ネットワーク上で連鎖状に接
続された複数のデータ中継装置及び前記ネットワークを
流通する電子データの到達先に備えられた装置との間で
通信を行う通信手段を備えたコンピュータ装置に下記の
処理を実行させるためのプログラムコードが記録され
た、コンピュータ読取可能な記録媒体である。 (5−1)前記到達先に備えられた装置より追跡すべき
電子データの特徴情報を知得する処理、(5−2)当該
到達先の直前のデータ中継装置を特定し、特定したデー
タ中継装置宛てに前記知得した特徴情報及び自装置のア
ドレスを含む追跡指示を発行する処理、(5−3)前記
追跡指示の宛先となるデータ中継装置またはそのデータ
中継装置が前記追跡指示と同一の追跡指示を与えた他の
データ中継装置より受領した通知情報に基づいて追跡対
象データの流通経路を解析する処理。
【0015】なお、上記各記録媒体において、前記各処
理の一部を前記コンピュータ装置に搭載されたオペレー
ティングシステムに実行させるためのディジタル情報を
記録するようにしても良い。
【0016】
【発明の実施の形態】次に、本発明の電子データの追跡
方法の実施の形態を説明する。本発明では、送信元プロ
トコルアドレスや送信先プロトコルアドレスよりも下位
に位置する層(以下、この下位層を総称したものを「デ
ータリンク層」とする)のフレームまたはセル(以下、
両者を区別する必要がない場合は「フレーム等」と略称
する)に含まれる識別子をもとに、電子データの通過し
てきた経路を受信側から送信側に向かって逆に辿ってい
く。ここで、「識別子」とは、電子データを運ぶメディ
アがLAN(Local Area Network)の場合はMAC(Me
dia Access Contorol)アドレス、フレームリレー網の
場合はDLCI(Data Link Connection Identifie
r)、ATM(Asynchronous Transfer Mode)網の場合
はVPI(Virtual Path Identifier)/VCI(Virtu
al Channel Identifier)等の情報である。
【0017】上記メディアとしては、イーサネット(登
録商標)やFDDI(Fiber Distributed Data interfa
ce)等を用いたLANや、専用線、フレームリレー網、
ATM網等が使用される。専用線を介して装置(データ
を発信した装置/システム/データ中継装置等)が接続
される場合には、一つのインタフェースに対して、一つ
の装置しか接続されないため、辿るべき経路は一意に決
定される。フレームリレー網やATM網の場合も、PV
C(相手先固定)接続の場合には、接続される相手装置
とDLCI(フレームリレー網の場合)、VPI/VC
I(ATM網の場合)が1対1に対応しているため、追
跡すべき電子データが含まれるデータリンク層のフレー
ム等のDLCIやVPI/VCIを確認すれば、一つ前
の装置を特定することができる。LANの場合は、その
フレームに送信元MACアドレスが付与されるので、そ
のMACアドレスから一つ前の装置を特定することがで
きる。
【0018】但し、フレーム等に含まれる識別子は、通
常、そのフレーム等が送信されるLANやフレームリレ
ー網、ATM網等を介した際のデータ中継装置のものな
ので、隣の装置までは特定できても、発信源の装置まで
は直ちに特定することができない。そこで、この実施形
態では、フレーム等の識別子から、追跡すべき電子デー
タが通過した一つ前の装置をまず特定し、その装置上
で、追跡すべき電子データの特徴情報に適合する電子デ
ータ(これが追跡対象データとなる)を再び捕捉し、そ
の追跡対象データのフレーム等の識別子を調べることに
よって、さらに先の装置を探索していくという動作を繰
り返していく。このような動作を繰り返していくこと
で、最終的に追跡対象データの発信源を特定する。
【0019】上述の追跡方法は、例えば、図1に示すよ
うに構成されるデータ追跡システムによって実施するこ
とができる。このデータ追跡システム1は、既存の通信
システムや内部ネットワーク等が接続され、公衆通信
網、例えばインターネット上で連鎖状に接続された複数
のデータ中継装置10と、各データ中継装置10との間
で双方向通信ができる形態で接続されたデータ追跡装置
(この実施の形態では、「管理システム」と称する)2
0とを含んで構成されるものである。以後、通信システ
ムや内部ネットワークのうち、攻撃者が操作したものを
「発信源装置」、攻撃された通信システム等を「被害者
ネットワーク」と称する。被害者ネットワークには、攻
撃者による不正アクセスの事実を検知するための装置、
(以下、「センサ」:図示省略)が備えられており、こ
のセンサで攻撃パターンが検知されたときに、その旨と
追跡すべき電子データの特徴情報が、自センサの識別子
と共に管理システム20に通知されるようになってい
る。
【0020】各データ中継装置10は、例えば中継機構
を備えた既存の「ルータ」に、データ追跡機構を付加す
ることで実現が可能である。中継機構は、特定の通信機
器等から発信された電子データを、他のデータ中継装置
10を含む最適ルートを通じて宛先となるシステム(以
下、「宛先システム」)へ中継する機構である。
【0021】データ追跡機構は、フレーム等の識別子、
例えばLANの場合はMACアドレス、フレームリレー
網の場合はDLCI、ATM網の場合はVPI/VCI
等の情報をもとに、電子データが通過してきた経路を受
信側から送信側に向かって辿っていくためのもので、図
2に示すように、指示データ受領部11、データ捕捉部
12、データ比較部13、装置等特定部14、通知部1
5の機能を含んで構成される。
【0022】指示データ受領部11は、被害者ネットワ
ークが攻撃されたときに、管理システム20から追跡指
示と共に取得した、追跡対象データの特徴情報、すなわ
ち送信元IPアドレス、宛先IPアドレス、その上位プ
ロトコルの種類等の情報と、追跡結果の通知先アドレス
である管理システム20のアドレスと、追跡IDとを保
持しておくものである。「追跡ID」は、個々の追跡対
象データを識別するための情報である。これは、追跡対
象データが複数の場合に有効となる。
【0023】データ捕捉部12は、自装置を通過する電
子データを捕捉するものであり、データ比較部13は、
捕捉された電子データの特徴情報と追跡すべき電子デー
タの特徴情報とを比較して一致するものを特定するもの
である。
【0024】装置等特定部14は、追跡対象データが特
定されたときにそれを運ぶフレーム等の識別子を調べる
ことにより、一つ前の他のデータ中継装置及びそのIP
アドレスを特定するものである。具体的には、装置毎の
IPアドレスとフレーム等の識別子、例えばMACアド
レスとを対応付けたARP(Address Resolution Proto
col)を有しており、このARPテーブルを参照するこ
とによって、データ中継装置等を特定する。
【0025】通知部15は、MACアドレスを特定した
データ中継装置に、自装置が受領した上述の追跡指示と
同一内容の追跡指示を通知するとともに、管理システム
20に自装置の追跡結果を通知する機能を有するもので
ある。追跡指示及び追跡結果の通知に際しては、自装置
における追跡結果が何番目の追跡結果かを表す追跡順序
情報を生成し、これを添付する。追跡順序情報は、具体
的には、管理システム20から最初に追跡指示を受けた
最初のデータ中継装置を起算点とするシーケンシャル番
号であり、追跡指示を次のデータ中継装置に通知する際
に“1”ずつインクリメントする。次のデータ中継装置
を特定できなかったときは、自装置がその追跡対象デー
タについての最終のデータ中継装置であることを意味す
るので、管理システム20宛の追跡順序番号に代えて、
あるいは追跡順序番号と共に、最終であることを表すフ
ラグ等を添付する。なお、次のデータ中継装置を特定で
きなかった場合の態様として、装置特定のための処理、
あるいは追跡対象データの探索についての処理が一定時
間経過しても完了しなかった場合を含めるようにしても
良い。つまり、上記各処理がタイムアウトした場合に、
エラーと共に、自装置での追跡が最終であることを表す
フラグ等を添付するようにする。また、通信対象データ
が通過した一つ前の装置は特定できたが、それがデータ
中継装置でなく、且つその装置のIPアドレスを特定で
きたときは、このIPアドレスを管理システム20に通
知するようにする。
【0026】このような機能を有する複数のデータ中継
装置10を用いて発信源装置を追跡するための原理を模
式的に示したのが図3である。図3(a)は発信源装置
30からインターネットを通じて発信され、流通する電
子データの構造図、同(b)は、到達先がデータ中継装
置10cの後の被害者ネットワーク(その中の通信装置
またはシステム)である場合に、このデータ中継装置1
0cと他のデータ中継装置10a,10bとの協働処理
によって発信源装置30を特定する場合の手順(〜
)を示した図である。
【0027】追跡すべき電子データは、例えばパケット
状のもので、図3(a)に示されるように、最初にフレ
ーム等のヘッダ31、次いでIPヘッダ32、その後に
データ成分33が配置されるようになっている。この電
子データは、図3(b)に示されるように、発信源装置
30から最初にデータ中継装置10aを介してインター
ネットに発信され、次いで、データ中継装置10b、デ
ータ中継装置10cでそれぞれ中継されて被害者ネット
ワークに到達する。管理システムは、被害者ネットワー
クに接続されたセンサからの依頼に基づいて、センサの
一つ前のデータ中継装置10cを特定し、このデータ中
継装置10cに、追跡すべき電子データの特徴情報や追
跡結果の通知先アドレス(自己のアドレス)を含む追跡
指示を通知する。
【0028】データ中継装置10cは、この追跡指示の
受信を契機に自装置を通過する電子データから追跡対象
データに該当するものを捕捉してそのデータリンク層を
解析し、送信元のMACアドレスを調べる。これによ
り、一つ前のデータ中継装置10bが特定されるので、
自装置における追跡結果を追跡順序識別情報と共に管理
システムへ通知し、さらに、データ中継装置10bへ同
一内容の追跡指示を通知する。データ中継装置10b
も、データ中継装置10cと同様の手順で追跡対象デー
タが通過した一つ前のデータ中継装置10aを特定す
る。そして、自装置の追跡結果等を管理システムへ通知
するとともにデータ中継装置10aへ自装置による追跡
順序識別情報と同一内容の追跡指示とを通知する。
【0029】データ中継装置10aでも同種の追跡処理
を行うが、その一つ前には同等の機能を有する装置が存
在しないので、目的の発信源装置30、あるいは発信源
装置30の所属する組織のネットワークまで辿り着いた
ことになる。そこで、発信源装置30のIPアドレスを
特定し、このIPアドレスを自装置の追跡結果等と共に
管理システム20に通知する。このときのIPアドレス
は、当該発信源装置30が通常のデータ通信を行ううえ
で欠かせないMACアドレスからARPテーブル等を利
用して得られたものであり、これを発信源装置30側で
攻撃者が偽ることは事実上不可能である。このようにし
て、発信源装置30を正確に特定することができる。
【0030】データ中継装置10による上述のデータ追
跡機構の機能は、個々のデータ中継装置本体にCPUと
メモリとを設け、メモリに所定のプログラムコードをC
PUが読みとれる形態で記録しておくことで実現するこ
とができる。また、CPUが上記プログラムコードを実
行することによって各機能ブロックが形成されるだけで
なく、そのプログラムコードの指示に基づいてオペレー
ティングシステム(OS)が実際の処理の一部を行い、
その処理を通じて上記各機能ブロックが形成されるよう
にしても良い。エージェントを組み込んでデータ追跡機
構の機能を実現するようにすれば、データ中継装置10
の構成をより簡略化することができる。
【0031】管理システム20は、被害者ネットワーク
のセンサや各データ中継装置10等からの通知情報をも
とに電子データの流通経路を管理するためのもので、所
定のOSのもとで動作するコンピュータシステムによっ
て実現される。この管理システム10は、図4に示すよ
うに、被害者ネットワークを含む種々のネットワークに
設置されたセンサや各データ中継装置10等との間で双
方向通信を行うための通信制御機構21、攻撃パターン
データベース22、不正アクセス発信元統計ファイル2
3、不正アクセス状況統計ファイル24、登録センサ情
報ファイル25のほか、コンピュータシステム本体のC
PUが所定の記録媒体に記録されたプログラムコードを
読み込んでOSと共に協同実行することによって形成さ
れる、追跡指示部26、経路管理部27、警告部28の
機能ブロックを少なくとも具備している。
【0032】攻撃パターンデータベース22は、例えば
被害者ネットワークのセンサが検知する攻撃パターンと
検知時に出力されるコードが、そのセンサの製造メーカ
によってまちまちである点に鑑み、センサ毎に攻撃パタ
ーンとそのときの出力コードとを対応付け、一律的な処
理を行えるようにするものである。必要に応じて重大度
も対応付けておき、センサからの出力コードが複数の場
合に、いずれかを優先的に処理できるようにする。新し
いセンサが使用された場合は、そのセンサの識別情報と
そのセンサが検出する攻撃パターン、出力コード、重大
度が追加記録されるようになっている。図5は、この攻
撃パターンデータベース22の内容の一例を示した図表
である。
【0033】不正アクセス発信元統計ファイル23は、
攻撃者が特定されたときに、そのときの攻撃パターン、
日時、回数等を攻撃者毎に蓄積したものであり、不正ア
クセス状況統計ファイル24は、検知された攻撃パター
ンの数をパターン毎に蓄積したものである。これらのフ
ァイルは、警告メール等を発するときに使用される。図
6は不正アクセス発信元統計ファイル23、図7は不正
アクセス状況統計ファイル24の内容例を示した図表で
ある。
【0034】登録センサ情報ファイル25は、使用セン
サの種別、使用センサの識別子(アドレス若しくはベン
ダ固有の文字列)、管理者の連絡先、使用センサの直上
の(つまり追跡始点となる)データ中継装置のアドレス
を登録したものである。これによって、どの登録元がど
の種類のセンサを使用しているかを知ることができるよ
うになっている。図8は、この登録センサ情報ファイル
25の内容例を示した図表である。
【0035】追跡指示部26は、被害者ネットワークの
センサから、検知した攻撃パターンを受領するととも
に、その被害者ネットワークのセンサのアドレス等の識
別子から、登録センサ情報ファイル25を参照すること
により、センサの一つ前のデータ中継装置10のIPア
ドレスを特定し、特定したデータ中継装置10宛てに、
上述の追跡指示を通知するものである。
【0036】経路管理部22は、複数のデータ中継装置
10からの追跡結果の通知に基づいて各データ中継装置
10を通過した追跡対象データの流通経路を管理し、発
信源装置、及び/又は、その管理者を特定するものであ
る。
【0037】警告部23は、以下の場合に警告メールを
発信するものである。 (1)センサから攻撃の通知を受けた場合において、そ
の攻撃パターンをサポートしていないセンサがあるかど
うかを攻撃パターンデータベース22をもとに調査し、
有る場合はそのセンサを使用している登録元を登録セン
サ情報ファイル25から探し出して、その管理者に注意
を促すための警告メールを自動的に発信する。 (2)被害者ネットワークのセンサの管理者に対し、不
正アクセス発信元統計ファイル23で規定した重大度
や、不正アクセス状況統計ファイル24に蓄積された検
知数が規定値に達したときに警告メールを自動的に発信
する。 (3)攻撃者の管理者宛に警告メールを発信する。攻撃
者の管理者のメールアドレスは、発信源装置のIPアド
レスからDNS(Domain Name Service)の逆引き機能
やWHOISデータベースを利用することにより割り出
すことができる。WHOISデータベースは、アドレス
やドメイン名をキーにして、利用しているIPアドレ
ス、ドメイン(組織)名、管理者のアドレスをオンライ
ン検索することができる公知のデータベースである。
【0038】なお、上記プログラムコードを記録した記
録媒体は、通常、CPUが随時読み取り可能な固定型デ
ィスクや半導体メモリであるが、フレキシブルディス
ク、ハードディスク、光ディスク、光磁気ディスク、C
D−ROM、DVD、磁気テープ等の可搬性メディア、
あるいはコンピュータがアクセス可能なプログラムコー
ドサーバ等に記録されて流通し、運用時に上記固定型デ
ィスクにインストールされるものであっても良い。ま
た、CPUが上記プログラムコードを実行することによ
って各機能ブロック26〜28が形成されるだけでな
く、そのプログラムコードの指示に基づいてOSが実際
の処理の一部を行い、その処理を通じて上記各機能ブロ
ック26〜28が形成されるようにしても良い。
【0039】次に、上記のように構成されるデータ追跡
システム1の運用手順を、図9の手順図に従って具体的
に説明する。ここでは、各データ中継装置10を通過す
る電子データ(及び追跡対象データ)が一定サイズのパ
ケットであるものとする。被害者ネットワークのセンサ
が、攻撃パターンと追跡すべきパケットの特徴情報とを
管理システム20に通知する(ステップS101)。通
知を受けた管理システム20は、この特徴情報や追跡結
果の通知アドレスを含む追跡指示を被害者ネットワーク
の一つ前のデータ中継装置10に組み込まれたデータ追
跡機構に伝える(ステップS102)。
【0040】追跡指示を受けたデータ中継装置10は、
自装置において追跡すべき経路が複数あるかどうかを調
べ、複数の経路がある場合は、管理システム20から渡
された特徴情報と一致するパケットを監視する(ステッ
プS103:Yes、S104)。該当するパケットが通
過したときは、それを追跡対象パケットとして捕捉し、
この追跡対象パケットが通過したインタフェースを特定
する(ステップS105:Yes、S106)。
【0041】インタフェースがイーサネット、FDDI
等のLANであった場合は、追跡対象パケットに含まれ
ている送信元のMACアドレスを調べて一つ前の装置を
特定する(ステップS108a)。インタフェースがフ
レームリレー網であった場合は、その追跡対象パケット
が含まれているデータリンク層フレームのDLCIから
相手側装置を特定する(ステップS108b)。インタ
フェースがATM網であった場合は、その追跡対象パケ
ットが含まれているセルのVPI/VCIから相手側装
置を特定する(ステップS108c)。インタフェース
が専用線であった場合は、直ちに次の処理に進む。
【0042】その後、特定した装置のIPアドレスを自
装置の持つARPテーブル等から調べ、これを追跡結果
として自装置の追跡順序情報と共に管理システム20に
通知する(ステップS109)。特定した装置に自装置
のものと同様のデータ追跡機構が存在する場合は、この
装置宛てに、上記特徴情報と自装置の追跡順序情報とを
含む追跡指示を出す(ステップS110:Yes、S11
1)。
【0043】この動作を、特定した装置にデータ追跡機
構が存在しなくなるまで繰り返す(ステップS110:
No)。データ追跡機構が存在しなくなった場合は、自装
置が最終のデータ中継装置である旨を含む解析結果と一
つ前の装置について特定したIPアドレスとを管理シス
テム20に通知して処理を終える。これにより、管理シ
ステム20では、追跡対象パケットの発信源装置ないし
その近傍のシステムを特定することが可能となる。な
お、パケットの監視の際、一定の時間を過ぎても該当す
るパケットを捕捉できなかった場合は、該当パケットが
もはや流通しないと考えられるので、処理を終える(ス
テップS107:Yes)。この場合は、前述のように、
エラーと共に最終である旨を添付して管理システム20
に通知する。
【0044】管理システム20は、各データ中継装置1
0からの通知情報をもとに、追跡対象データの流通経路
を特定する。また、最終のデータ中継装置10(最終で
ある旨を通知したデータ中継装置10)からの通知情報
をもとに前述のWHOISデータベースその他の外部デ
ータベース等を利用して発信源装置を管理するシステム
の組織を特定し、必要に応じて警告メールを送出する。
【0045】このように、本実施形態のデータ追跡シス
テム1では、送信元のIPアドレスが偽われた場合であ
っても、その下位層のフレーム等の識別子を解析するこ
とにより発信源装置を正しく特定することができる。ま
た、追跡対象データが通ってきた流通経路を特定するこ
ともできる。これにより、送信元のIPアドレスを偽る
ことによる不正者の利益がなくなるため、不正アクセス
の抑止効果にもつながる。
【0046】なお、本実施形態では、インターネット上
を流通する電子データの発信源を特定する場合の例につ
いて説明したが、本発明は、他の通信形態にも応用が可
能なものである。また、パケット通信のみならず、画像
データその他のコンテンツの流通監視にも応用が可能で
ある。
【0047】
【発明の効果】以上の説明から明らかなように、本発明
によれば、電子データを受信した側で、その電子データ
の送信元を正しく特定できるようになる。
【図面の簡単な説明】
【図1】本発明を適用したデータ追跡システムの構成
図。
【図2】本実施形態によるデータ中継装置の機能ブロッ
ク構成図。
【図3】(a)は追跡対象となる電子データの構造図、
(b)はデータ発信源追跡の原理説明図。
【図4】本実施形態による管理システムの機能ブロック
構成図。
【図5】攻撃パターンデータベースの内容の一例を示し
た図表。
【図6】不正アクセス発信元統計ファイルの内容例を示
した図表。
【図7】不正アクセス状況統計ファイルの内容例を示し
た図表。
【図8】登録センサ情報ファイルの内容例を示した図
表。
【図9】本実施形態によるデータ追跡システムの運用手
順図。
【符号の説明】
1 データ追跡システム 10 データ中継装置 11 指示データ受領部 12 データ捕捉部 13 データ比較部 14 装置等特定部 15 通知部 20 管理システム 21 通信制御機構 22 攻撃パターンデータベース 23 不正アクセス発信元統計ファイル 24 不正アクセス状況統計ファイル 25 登録センサ情報ファイル 26 追跡指示部 27 経路管理部 28 警告部 30 発信源装置
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平10−164064(JP,A) 特開 平8−331146(JP,A) 特開2003−178024(JP,A) 特開2000−341315(JP,A) 竹爪慎治 他4名,不正アクセス発信 源追跡アーキテクチャの一検討,第60回 (平成12年前期)情報処理学会全国大会 講演論文集(3),日本,社団法人 情 報処理学会,2000年 3月14日,6Q− 6 (58)調査した分野(Int.Cl.7,DB名) H04L 12/56 400

Claims (11)

    (57)【特許請求の範囲】
  1. 【請求項1】 流通する電子データの中継を行う複数の
    データ中継装置をネットワーク上で連鎖状に接続して成
    り、 個々のデータ中継装置が、それぞれ、 追跡すべき電子データの特徴情報と追跡結果の通知先ア
    ドレスとを含む所定の追跡指示の受信を契機に、自装置
    を通過する電子データから前記特徴情報に適合するもの
    (以下、「追跡対象データ」)を探索する第1の手段
    と、 探索した前記追跡対象データを前記ネットワーク上で運
    ぶデータリンク層の識別子を解析し、この解析結果に基
    づいて当該追跡対象データが自装置の前に通過した他の
    装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
    等の機能を備えている場合に、その装置に対して前記受
    信した追跡指示と同一内容の追跡指示を与える第3の手
    段と、 自装置における追跡結果を前記通知先アドレス宛に通知
    する第4の手段と、を有することを特徴とする、 電子データの追跡システム。
  2. 【請求項2】 前記第3の手段は、前記追跡対象データ
    について自装置が何番目に追跡指示を受けたかを表す追
    跡順序情報を前記他の装置宛の追跡指示に添付するよう
    に構成され、前記第4の手段は、自装置における追跡結
    果と共に前記追跡順序情報を前記通知先アドレス宛に通
    知するように構成されていることを特徴とする、 請求項1記載の追跡システム。
  3. 【請求項3】 前記第3の手段で他の装置に前記追跡指
    示を与えることができなかったデータ中継装置が有する
    前記第4の手段は、自装置における追跡結果が前記追跡
    指示に基づく最終のデータ中継装置である旨を表す付加
    情報を添付することを特徴とする、 請求項2記載の追跡システム。
  4. 【請求項4】 前記第4の手段は、前記他の装置のプロ
    トコルアドレスを特定して前記付加情報に添付すること
    を特徴とする、 請求項3記載の追跡システム。
  5. 【請求項5】 流通経路を解析して攻撃者を特定したと
    きに当該攻撃者または攻撃者に関わる者宛に警告メール
    を発信する手段をさらに有する、 請求項4記載の追跡システム。
  6. 【請求項6】 前記攻撃者の管理者のメールアドレス
    は、前記追跡対象データの発信源装置のIPアドレスを
    キーにして、IPアドレスから当該IPアドレスの管理
    者のメールアドレスの検索が可能である外部データベー
    スから割り出すことを特徴とする請求項5記載の追跡シ
    ステム。
  7. 【請求項7】 前記データ中継装置及び前記ネットワー
    クを流通する電子データの到達先に備えられた装置との
    間で通信を行う通信手段と、 前記到達先に備えられた不正アクセスセンサの種別毎
    に、攻撃パターンとそのときのセンサ出力コードとを対
    応付けて記録した第1記録手段と、 前記不正アクセスセンサの種別とそのセンサを採用する
    システムの管理者のメールアドレスとを登録しておき、
    所定の場合に前記管理者のメールアドレス宛てに警告メ
    ールを自動送信する手段をさらに有する、 請求項1記載の追跡システム。
  8. 【請求項8】 前記検知された攻撃パターンの数をパタ
    ーン毎に蓄積する不正アクセス状況統計ファイルを更に
    有し、当該蓄積された検知数が規定値に達したときに前
    記警告メールを自動的に発信することを特徴とする請求
    項7記載の追跡システム。
  9. 【請求項9】 ネットワーク上で連鎖状に接続された複
    数のデータ中継装置と、各データ中継装置に対して双方
    向通信可能に接続されたデータ追跡装置とを含み、 個々のデータ中継装置は、それぞれ、 追跡すべき電子データの特徴情報と前記データ追跡装置
    のアドレスとを含む所定の追跡指示の受信を契機に、自
    装置で受信し、他の装置へ転送する電子データから前記
    特徴情報に適合するもの(以下、「追跡対象データ」)
    を探索する第1の手段と、 探索した前記追跡対象データを前記ネットワーク上で運
    ぶデータリンク層の識別子を解析し、この解析結果に基
    づいて当該追跡対象データが自装置の前に通過した他の
    装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
    等の機能を備えている場合に、その装置に対して前記受
    信した追跡指示と同一内容の追跡指示を与える第3の手
    段と、 自装置における追跡結果を前記アドレス宛に通知する第
    4の手段と、を有するものであり、 前記データ追跡装置は、 少なくとも前記第3の手段で他の装置に前記追跡指示を
    与えることができなかったデータ中継装置からの通知情
    報をもとに当該追跡対象データの発信源を特定するよう
    に構成されていることを特徴とする、電子データの追跡
    システム。
  10. 【請求項10】 ネットワーク上で流通する電子データ
    を受信し、受信した電子データを連鎖状に接続された他
    の装置へ転送する中継機構と、 追跡すべき電子データの特徴情報と追跡結果の通知先ア
    ドレスとを含む所定の追跡指示の受信を契機に、自装置
    を通過する電子データから前記特徴情報に適合するもの
    (以下、「追跡対象データ」)を探索する第1の手段
    と、 探索した前記追跡対象データを前記ネットワーク上で運
    ぶデータリンク層の識別子を解析し、この解析結果に基
    づいて当該追跡対象データが自装置の前に通過した他の
    装置の特定を試みる第2の手段と、 前記他の装置を特定でき且つ特定した装置が自装置と同
    等の機能を備えている場合に、その装置に対して前記受
    信した追跡指示と同一内容の追跡指示を与える第3の手
    段と、 自装置における追跡結果を所定の識別情報と共に前記通
    知先アドレス宛に通知する第4の手段と、 を有することを特徴とする、データ中継装置。
  11. 【請求項11】 前記第4の手段は、前記第3の手段で
    他の装置に前記追跡指示を与えることができなかった場
    合にのみ前記通知を行うことを特徴とする、 請求項10記載のデータ中継装置。
JP29324598A 1998-10-15 1998-10-15 電子データの追跡システム及びデータ中継装置 Expired - Lifetime JP3483782B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP29324598A JP3483782B2 (ja) 1998-10-15 1998-10-15 電子データの追跡システム及びデータ中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP29324598A JP3483782B2 (ja) 1998-10-15 1998-10-15 電子データの追跡システム及びデータ中継装置

Publications (2)

Publication Number Publication Date
JP2000124952A JP2000124952A (ja) 2000-04-28
JP3483782B2 true JP3483782B2 (ja) 2004-01-06

Family

ID=17792331

Family Applications (1)

Application Number Title Priority Date Filing Date
JP29324598A Expired - Lifetime JP3483782B2 (ja) 1998-10-15 1998-10-15 電子データの追跡システム及びデータ中継装置

Country Status (1)

Country Link
JP (1) JP3483782B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3723076B2 (ja) 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
EP1401160A4 (en) * 2001-04-27 2008-07-30 Ntt Data Corp PACKAGE TRACKING SYSTEM
JP4020912B2 (ja) 2002-05-28 2007-12-12 富士通株式会社 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP3934030B2 (ja) * 2002-08-30 2007-06-20 株式会社エヌ・ティ・ティ・データ パケット通過ルート探索方法およびその方法をコンピュータに実行させるプログラム
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP4235907B2 (ja) * 2003-12-12 2009-03-11 横河電機株式会社 ワーム伝播監視システム
JP4641848B2 (ja) * 2005-03-30 2011-03-02 富士通株式会社 不正アクセス探索方法及び装置
JP4547340B2 (ja) * 2006-01-30 2010-09-22 アラクサラネットワークス株式会社 トラフィック制御方式、装置及びシステム
JP4710889B2 (ja) * 2007-08-24 2011-06-29 日本電気株式会社 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP4867949B2 (ja) * 2008-05-13 2012-02-01 日本電気株式会社 パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08331146A (ja) * 1995-06-02 1996-12-13 Hitachi Electron Service Co Ltd Lanアナライザ
JPH10164064A (ja) * 1996-12-05 1998-06-19 Hitachi Ltd ネットワーク侵入経路追跡方式
JP2000341315A (ja) * 1999-05-31 2000-12-08 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
JP2003178024A (ja) * 2001-12-10 2003-06-27 Ntt Comware Corp 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
竹爪慎治 他4名,不正アクセス発信源追跡アーキテクチャの一検討,第60回(平成12年前期)情報処理学会全国大会講演論文集(3),日本,社団法人 情報処理学会,2000年 3月14日,6Q−6

Also Published As

Publication number Publication date
JP2000124952A (ja) 2000-04-28

Similar Documents

Publication Publication Date Title
US6775657B1 (en) Multilayered intrusion detection system and method
CN100490377C (zh) 防止非法使用ip地址的方法和装置
US9444821B2 (en) Management server, communication cutoff device and information processing system
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
US8776217B2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20040003292A1 (en) User identifying technique on networks having different address systems
US6738911B2 (en) Method and apparatus for providing client-based network security
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
US7733844B2 (en) Packet filtering apparatus, packet filtering method, and computer program product
US6715083B1 (en) Method and system of alerting internet service providers that a hacker may be using their system to gain access to a target system
JP3483782B2 (ja) 電子データの追跡システム及びデータ中継装置
CN103095675A (zh) Arp欺骗攻击检测系统及方法
CN101176331A (zh) 计算机网络入侵检测系统和方法
JP2000261483A (ja) ネットワーク監視システム
KR19980024526A (ko) 정보 유출을 추적하기 위한 정보 보안 시스템 및 방법
Ko et al. Analysis of an algorithm for distributed recognition and accountability
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN112104590B (zh) 一种检测私网内网络设备私接公网的方法及系统
JP3685062B2 (ja) 不正アクセス監視方法および内部通信ネットワーク
Asaka et al. Local attack detection and intrusion route tracing
JP2000341315A (ja) 電子データの追跡方法及びシステム、記録媒体
JP2005210451A (ja) 不正アクセス防止装置及びプログラム
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
JP4661554B2 (ja) 不正アクセス検知方法および装置ならびにプログラム

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071017

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081017

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091017

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101017

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111017

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121017

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131017

Year of fee payment: 10

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term