JP3826399B2 - パケットログ記録装置 - Google Patents
パケットログ記録装置 Download PDFInfo
- Publication number
- JP3826399B2 JP3826399B2 JP2002285644A JP2002285644A JP3826399B2 JP 3826399 B2 JP3826399 B2 JP 3826399B2 JP 2002285644 A JP2002285644 A JP 2002285644A JP 2002285644 A JP2002285644 A JP 2002285644A JP 3826399 B2 JP3826399 B2 JP 3826399B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- storage means
- storage
- log
- log recording
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムで用いられるパケットログ記録装置に関し、特にハッシュ値がたまたま一致してしまう確率を低減することが可能なパケットログ記録装置に関する。
【0002】
【従来の技術】
従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムで用いられるパケットログ記録装置に関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開平10−164064号公報
【0004】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS攻撃(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0005】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
【0006】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0007】
図4はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図4において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0008】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0009】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0010】
ここで、図4に示す従来のパケット経路追跡システムの動作を図5及び図6を用いて説明する。図5は攻撃者(アタッカー)の攻撃経路を示す説明図、図6はパケットの記録状況を説明する説明図である。
【0011】
図5中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0012】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0013】
例えば、図6中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0014】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0015】
例えば、図5に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図5中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0016】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0017】
図7はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0018】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0019】
ここで、図7に示すパケットログ記録装置の動作を図8を用いて説明する。図8は取得したパケットの記録方法を説明する説明図である。
【0020】
図7中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0021】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0022】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0023】
例えば、演算制御手段12が、図8中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図8中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0024】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図8中”WD31”に示すようにデータを書き込む。
【0025】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0026】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0027】
この結果、図7に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0028】
また、1つのパケットに対して複数のハッシュ関数を適用することにより、言い換えれば、1つのパケットに対して記憶手段13の複数箇所のアドレスにデータを書き込んでおくことにより、不正なパケットをより確実に記録することが可能になる。
【0029】
【発明が解決しようとする課題】
しかし、図7に示すパケットログ記録装置では、IPパケットの中で伝播中に不変である部分等を抽出してハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段のアドレスとみなしてデータの書き込み行っているが、全く異なるIPパケットであってもたまたま変換されたハッシュ値が一致してしまう可能性が僅かながら存在する。
【0030】
このため、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていても、当該不正なパケットではない可能性も否定できず、また、当該不正なパケットであるか否かを判断することもできないと言った問題点があった。
従って本発明が解決しようとする課題は、ハッシュ値がたまたま一致してしまう確率を低減することが可能なパケットログ記録装置を実現することにある。
【0031】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置において、
前記パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスの特定のビットにデータを書き込むと共に前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するパラメータが予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減する演算制御手段とを備えたことにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0032】
請求項2記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するが予め設定した前記閾値を超過した場合に前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0033】
請求項3記載の発明は、
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段の一部をログ記憶領域としておき、必要に応じて未使用の記憶領域をログの記憶領域として用いることによって前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0034】
請求項4記載の発明は、
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段の他に未使用の記憶手段を別途準備しておき、必要に応じて未使用の記憶手段をログの記憶領域として用いることによって実質的に前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0037】
請求項5記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記埋まり率から演算して求めた正解確率を前記パラメータとして予め設定した前記閾値と比較し、パラメータが閾値未満の場合にはハッシュ関数の数を削減することを特徴とすることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0039】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【0040】
図1において13は図7と同一符号を付してあり、12aは演算制御手段である。観測点である回線からの入力は演算制御手段12aに接続され、演算制御手段12aの出力は記憶手段13に接続される。
【0041】
ここで、図1に示す実施例の動作を図2及び図3を用いて説明する。図2は演算制御手段12aの動作を説明するフロー図、図3は記憶手段13の状況の一例を示す説明図である。
【0042】
全く異なるIPパケットであってもたまたま変換されたハッシュ値が一致してしまう確率はログを記録する記憶手段13にデータが埋まってゆくほど高くなるため、記憶手段13におけるデータの埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減させる。
【0043】
すなわち、図2中”S001”において演算制御手段12aは記憶手段13の状況を検索して記憶手段13に記録されているデータの数を取得する。
【0044】
例えば、図3に示す記憶手段13の状況から、図3中”SD01”,”SD02”,”SD03”,”SD04”,”SD05”,”SD06”及び”SD07”に示すアドレス部分にデータが書き込まれているのでそのデータ数を取得する。
【0045】
そして、図2中”S002”において演算制御手段12aは取得した記憶手段13に記録されているデータの数を記憶手段13の最大記録数で除算して埋まり率を求める。
【0046】
図2中”S003”において演算制御手段12aが求めた埋まり率が予め設定した閾値を超過した否かを判断し、もし、埋まり率が閾値を超過した場合には、図2中”S004”において演算制御手段12aは1つのパケットに適用するハッシュ関数の数を減少させる。
【0047】
例えば、演算制御手段12aが1つのパケットに対して3つのハッシュ関数を適用して記憶手段13の3箇所のアドレスにデータを書き込んでいた場合、適用するハッシュ関数の数を2つに削減する。
【0048】
すなわち、1つのパケットに適用していたハッシュ関数の数を削減することにより、記憶手段13に書き込まれるアドレス数が減少して、記憶手段13の埋まり率が大きくなることが防止され、ハッシュ値がたまたま一致してしまう確率を低減させることが可能になる。
【0049】
この結果、演算制御手段12aがログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減して埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0050】
なお、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減しているが、記憶手段13の記憶容量を増加させることにより、埋まり率が大きくなることを防止しても構わない。
【0051】
この場合、大きな記憶容量の記憶手段13の一部をログ記憶領域としておき、必要に応じて未使用の記憶領域をログの記憶領域として用いることによって記憶手段13の記憶容量を増加させても良い。
【0052】
或いは、記憶手段13の他に未使用の記憶手段を別途準備しておき、必要に応じて未使用の記憶手段をログの記憶領域として用いることによって実質的に記憶手段13の記憶容量を増加させても良い。
【0053】
また、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減しているが、記憶手段13内に複数のログの記憶領域を設けて当該複数のログの記憶領域の切り替え使用する場合には、当該切り替え周期を変えることにより、埋まり率が大きくなることを防止しても構わない。
【0054】
また、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率に基づき1つのパケットに適用するハッシュ関数の数を削減等しているが、パケットの通過量に基づき1つのパケットに適用するハッシュ関数の数を削減等の処理をしても構わない。
【0055】
また、埋まり率を”A”とした場合、演算制御手段12aで”(1−A)×100[%]”等の演算をして、これを正解確率とし、当該正解確率に基づき1つのパケットに適用するハッシュ関数の数を削減等の処理をしても構わない。
【0056】
また、図2に示す説明に際しては演算制御手段12aは記憶手段13の状況を検索している旨記載しているが、記憶手段13に新たに記録する回数を予めカウントしておいて、当該カウント値を参照しても構わない。
【0057】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,3,4及び請求項5の発明によれば、演算制御手段がログを記録する記憶手段のデータの埋まり率等のパラメータを取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減等して埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【図2】演算制御手段の動作を説明するフロー図である。
【図3】記憶手段の状況の一例を示す説明図である。
【図4】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図5】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図6】パケットの記録状況を説明する説明図である。
【図7】パケットログ記録装置の具体例を示す構成ブロック図である。
【図8】取得したパケットの記録方法を説明する説明図である。
【符号の説明】
1 端末
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11 パケットログ記録装置
12,12a 演算制御手段
13 記憶手段
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムで用いられるパケットログ記録装置に関し、特にハッシュ値がたまたま一致してしまう確率を低減することが可能なパケットログ記録装置に関する。
【0002】
【従来の技術】
従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムで用いられるパケットログ記録装置に関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開平10−164064号公報
【0004】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS攻撃(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0005】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
【0006】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0007】
図4はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図4において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0008】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0009】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0010】
ここで、図4に示す従来のパケット経路追跡システムの動作を図5及び図6を用いて説明する。図5は攻撃者(アタッカー)の攻撃経路を示す説明図、図6はパケットの記録状況を説明する説明図である。
【0011】
図5中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0012】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0013】
例えば、図6中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0014】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0015】
例えば、図5に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図5中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0016】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0017】
図7はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0018】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0019】
ここで、図7に示すパケットログ記録装置の動作を図8を用いて説明する。図8は取得したパケットの記録方法を説明する説明図である。
【0020】
図7中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0021】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0022】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0023】
例えば、演算制御手段12が、図8中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図8中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0024】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図8中”WD31”に示すようにデータを書き込む。
【0025】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0026】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0027】
この結果、図7に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0028】
また、1つのパケットに対して複数のハッシュ関数を適用することにより、言い換えれば、1つのパケットに対して記憶手段13の複数箇所のアドレスにデータを書き込んでおくことにより、不正なパケットをより確実に記録することが可能になる。
【0029】
【発明が解決しようとする課題】
しかし、図7に示すパケットログ記録装置では、IPパケットの中で伝播中に不変である部分等を抽出してハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段のアドレスとみなしてデータの書き込み行っているが、全く異なるIPパケットであってもたまたま変換されたハッシュ値が一致してしまう可能性が僅かながら存在する。
【0030】
このため、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていても、当該不正なパケットではない可能性も否定できず、また、当該不正なパケットであるか否かを判断することもできないと言った問題点があった。
従って本発明が解決しようとする課題は、ハッシュ値がたまたま一致してしまう確率を低減することが可能なパケットログ記録装置を実現することにある。
【0031】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置において、
前記パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスの特定のビットにデータを書き込むと共に前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するパラメータが予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減する演算制御手段とを備えたことにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0032】
請求項2記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するが予め設定した前記閾値を超過した場合に前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0033】
請求項3記載の発明は、
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段の一部をログ記憶領域としておき、必要に応じて未使用の記憶領域をログの記憶領域として用いることによって前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0034】
請求項4記載の発明は、
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記記憶手段の他に未使用の記憶手段を別途準備しておき、必要に応じて未使用の記憶手段をログの記憶領域として用いることによって実質的に前記記憶手段の記憶容量を増加させることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0037】
請求項5記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記埋まり率から演算して求めた正解確率を前記パラメータとして予め設定した前記閾値と比較し、パラメータが閾値未満の場合にはハッシュ関数の数を削減することを特徴とすることにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0039】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【0040】
図1において13は図7と同一符号を付してあり、12aは演算制御手段である。観測点である回線からの入力は演算制御手段12aに接続され、演算制御手段12aの出力は記憶手段13に接続される。
【0041】
ここで、図1に示す実施例の動作を図2及び図3を用いて説明する。図2は演算制御手段12aの動作を説明するフロー図、図3は記憶手段13の状況の一例を示す説明図である。
【0042】
全く異なるIPパケットであってもたまたま変換されたハッシュ値が一致してしまう確率はログを記録する記憶手段13にデータが埋まってゆくほど高くなるため、記憶手段13におけるデータの埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減させる。
【0043】
すなわち、図2中”S001”において演算制御手段12aは記憶手段13の状況を検索して記憶手段13に記録されているデータの数を取得する。
【0044】
例えば、図3に示す記憶手段13の状況から、図3中”SD01”,”SD02”,”SD03”,”SD04”,”SD05”,”SD06”及び”SD07”に示すアドレス部分にデータが書き込まれているのでそのデータ数を取得する。
【0045】
そして、図2中”S002”において演算制御手段12aは取得した記憶手段13に記録されているデータの数を記憶手段13の最大記録数で除算して埋まり率を求める。
【0046】
図2中”S003”において演算制御手段12aが求めた埋まり率が予め設定した閾値を超過した否かを判断し、もし、埋まり率が閾値を超過した場合には、図2中”S004”において演算制御手段12aは1つのパケットに適用するハッシュ関数の数を減少させる。
【0047】
例えば、演算制御手段12aが1つのパケットに対して3つのハッシュ関数を適用して記憶手段13の3箇所のアドレスにデータを書き込んでいた場合、適用するハッシュ関数の数を2つに削減する。
【0048】
すなわち、1つのパケットに適用していたハッシュ関数の数を削減することにより、記憶手段13に書き込まれるアドレス数が減少して、記憶手段13の埋まり率が大きくなることが防止され、ハッシュ値がたまたま一致してしまう確率を低減させることが可能になる。
【0049】
この結果、演算制御手段12aがログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減して埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【0050】
なお、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減しているが、記憶手段13の記憶容量を増加させることにより、埋まり率が大きくなることを防止しても構わない。
【0051】
この場合、大きな記憶容量の記憶手段13の一部をログ記憶領域としておき、必要に応じて未使用の記憶領域をログの記憶領域として用いることによって記憶手段13の記憶容量を増加させても良い。
【0052】
或いは、記憶手段13の他に未使用の記憶手段を別途準備しておき、必要に応じて未使用の記憶手段をログの記憶領域として用いることによって実質的に記憶手段13の記憶容量を増加させても良い。
【0053】
また、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率を取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減しているが、記憶手段13内に複数のログの記憶領域を設けて当該複数のログの記憶領域の切り替え使用する場合には、当該切り替え周期を変えることにより、埋まり率が大きくなることを防止しても構わない。
【0054】
また、図1に示す実施例ではログを記録する記憶手段13のデータの埋まり率に基づき1つのパケットに適用するハッシュ関数の数を削減等しているが、パケットの通過量に基づき1つのパケットに適用するハッシュ関数の数を削減等の処理をしても構わない。
【0055】
また、埋まり率を”A”とした場合、演算制御手段12aで”(1−A)×100[%]”等の演算をして、これを正解確率とし、当該正解確率に基づき1つのパケットに適用するハッシュ関数の数を削減等の処理をしても構わない。
【0056】
また、図2に示す説明に際しては演算制御手段12aは記憶手段13の状況を検索している旨記載しているが、記憶手段13に新たに記録する回数を予めカウントしておいて、当該カウント値を参照しても構わない。
【0057】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,3,4及び請求項5の発明によれば、演算制御手段がログを記録する記憶手段のデータの埋まり率等のパラメータを取得して予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減等して埋まり率が大きくなることを防止することにより、ハッシュ値がたまたま一致してしまう確率を低減することが可能になる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【図2】演算制御手段の動作を説明するフロー図である。
【図3】記憶手段の状況の一例を示す説明図である。
【図4】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図5】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図6】パケットの記録状況を説明する説明図である。
【図7】パケットログ記録装置の具体例を示す構成ブロック図である。
【図8】取得したパケットの記録方法を説明する説明図である。
【符号の説明】
1 端末
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11 パケットログ記録装置
12,12a 演算制御手段
13 記憶手段
Claims (5)
- ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置において、
前記パケットの情報を記録する記憶手段と、
複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスの特定のビットにデータを書き込むと共に前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するパラメータが予め設定した閾値を超過した場合に1つのパケットに適用するハッシュ関数の数を削減する演算制御手段と
を備えたことを特徴とするパケットログ記録装置。 - 前記演算制御手段が、
前記記憶手段のデータの埋まり率若しくはパケットの通過量に関するパラメータが予め設定した前記閾値を超過した場合に前記記憶手段の記憶容量を増加させることを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
前記記憶手段の一部をログ記憶領域としておき、必要に応じて未使用の記憶領域をログの記憶領域として用いることによって前記記憶手段の記憶容量を増加させることを特徴とする
請求項2記載のパケットログ記録装置。 - 前記演算制御手段が、
前記記憶手段の他に未使用の記憶手段を別途準備しておき、必要に応じて未使用の記憶手段をログの記憶領域として用いることによって実質的に前記記憶手段の記憶容量を増加させることを特徴とする
請求項2記載のパケットログ記録装置。 - 前記演算制御手段が、
前記埋まり率から演算して求めた正解確率を前記パラメータとして予め設定した前記閾値と比較し、パラメータが閾値未満の場合にはハッシュ関数の数を削減することを特徴とする
請求項1記載のパケットログ記録装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002285644A JP3826399B2 (ja) | 2002-09-30 | 2002-09-30 | パケットログ記録装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002285644A JP3826399B2 (ja) | 2002-09-30 | 2002-09-30 | パケットログ記録装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004128545A JP2004128545A (ja) | 2004-04-22 |
| JP3826399B2 true JP3826399B2 (ja) | 2006-09-27 |
Family
ID=32278891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002285644A Expired - Fee Related JP3826399B2 (ja) | 2002-09-30 | 2002-09-30 | パケットログ記録装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3826399B2 (ja) |
-
2002
- 2002-09-30 JP JP2002285644A patent/JP3826399B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004128545A (ja) | 2004-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Xu et al. | Sustaining availability of web services under distributed denial of service attacks | |
| Kim et al. | Autograph: Toward Automated, Distributed Worm Signature Detection. | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| US8856884B2 (en) | Method, apparatus, signals, and medium for managing transfer of data in a data network | |
| US6944663B2 (en) | Method and apparatus for using client puzzles to protect against denial-of-service attacks | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US20150281265A1 (en) | Out-of-band ip traceback using ip packets | |
| US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| CN110324295A (zh) | 一种域名系统泛洪攻击的防御方法和装置 | |
| Basyoni et al. | QuicTor: Enhancing tor for real-time communication using QUIC transport protocol | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| US20230283588A1 (en) | Packet processing method and apparatus | |
| Echevarria et al. | An experimental study on the applicability of SYN cookies to networked constrained devices | |
| KR101081433B1 (ko) | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 | |
| JP3826399B2 (ja) | パケットログ記録装置 | |
| CN111049794A (zh) | 一种页面反爬的方法、装置、存储介质和网关设备 | |
| KR100656348B1 (ko) | 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치 | |
| US20050289245A1 (en) | Restricting virus access to a network | |
| JP3750803B2 (ja) | パケットログ記録装置 | |
| JP3797308B2 (ja) | パケットログ記録装置 | |
| JP3889701B2 (ja) | パケット経路追跡システム | |
| JP3832412B2 (ja) | パケット経路追跡システム | |
| Parashar et al. | Improved deterministic packet marking algorithm | |
| JP7221170B2 (ja) | 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040316 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051004 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060328 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060519 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060612 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060625 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100714 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110714 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |