JP4098127B2 - Packet tracking method and packet tracking program - Google Patents
Packet tracking method and packet tracking program Download PDFInfo
- Publication number
- JP4098127B2 JP4098127B2 JP2003070328A JP2003070328A JP4098127B2 JP 4098127 B2 JP4098127 B2 JP 4098127B2 JP 2003070328 A JP2003070328 A JP 2003070328A JP 2003070328 A JP2003070328 A JP 2003070328A JP 4098127 B2 JP4098127 B2 JP 4098127B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- tracking
- information
- printing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを流れる監視対象パケットを追跡するパケット追跡方法およびパケット追跡プログラムに関するものであり、特に、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるパケット追跡方法およびパケット追跡プログラムに関するものである。
【0002】
【従来の技術】
従来より、ネットワーク内の不審なパケットを検出するために、IDS(Intrusion Detection System:侵入検知装置)が使用されている。このIDSにより不審なパケットを検知し、そのパケットの追跡を行う場合には、発信元アドレスをキーとしてパケットの追跡を行う。
【0003】
そのため、発信元アドレスが詐称されていると、正確なパケットの追跡ができない。このような発信元の詐称されたパケットを特定し、追跡するために、パケット内に目印となる情報を付与する等、パケットに手を加える方法や、パケットの中身を精査する方法が考えられていた。
【0004】
しかし、上述したパケット内に目印となる情報を付与する従来の方法は、その中身を調べるため、プライバシを侵害するという問題点があった。また、第三者によってパケット内に追跡するためとして付与された情報が、悪意ある第三者によって付与された、または変更された欺購情報である場合には、そのパケットを正確に追跡することができなかった。
【0005】
また、従来では、ルータ等、既存のネットワーク機器において追跡する方法も考えられていた。しかし、この方法を実現するには、対象となるネットワーク装置内部の仕組みや、ネットワークの構成を一部変更しなければならない。そのため、機器の追加、設置場所変更等の構成変更を柔軟に行うことができなくなるという問題点があった。
【0006】
図33は、上記問題点を解決するための従来のパケット追跡システムの構成概要を示すブロック図である。同図において、ローカルネットワーク50A、50B、50Cおよび50Dは、イントラネット内のネットワークである。従って、これらのローカルネットワーク50A、50B、50Cおよび50Dでは、ローカルIP(Internet Protocol Address)アドレスが用いられる。
【0007】
これらのローカルネットワーク50A、50B、50Cおよび50Dを監視するため、それぞれのローカルネットワーク間には、パケットプリント装置101(101a、101b、101c)が、タッピングなどの手法を用いてIPアドレスなどの論理接続を持たない接続方式(ステルス接続方式)により接続されている。したがって、これらのパケットプリント装置101a、101bおよび101cは、監視対象ネットワーク内の他の装置から自己の存在を隠すことができる。
【0008】
また、パケットプリント装置101a、101bおよび101cは、監視対象ネットワークとは独立に存在する管理用ネットワークにも接続されている。この場合、パケットプリント装置101a、101bおよび101cは、監視対象ネットワークとの接続(ステルス接続)とは異なり、管理用ネットワークに接続された他の装置から認識可能な接続方式(例えばIP接続方式)で接続されている。
【0009】
これらのパケットプリント装置101a、101bおよび101cは、それぞれが接続されているローカルネットワーク間の接続リンクを監視の対象とし、それぞれの監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(PP)を生成するとともに、このパケットプリントを記憶する。
【0010】
ここで、パケットプリントとして最も一般的なのがハッシュ値と呼ばれるものである。このハッシュ値の生成には、ハッシュ関数と呼ばれる一方向性関数が用いられる。この一方向性関数に基づいて、パケットに含まれる文字、数字などを含んだ可変長の文字列データが固定長のデータに要約される。この要約された固定長データをハッシュ値と呼んでいる。なお、これ以降、このパケットプリントをハッシュ値として説明する。
【0011】
IDS103は、ローカルネットワーク50Cおよび管理用ネットワークに接続されている。このIDS103は、監視対象ネットワークに侵入した不正アクセスパケットの検知を行う装置である。追跡マネージャ102は、管理用ネットワークに接続され、パケットプリント装置101a、101bおよび101cと管理用ネットワークを介して通信する装置である。構成情報格納部126は監視対象ネットワークおよび管理用ネットワークの構成情報を記憶している。
【0012】
上記構成において、IDS103が、ローカルネットワーク50C内で不正アクセスパケットを検知したものとする。この不正アクセスパケットの検知は、ユーザが定義した不正アクセスの判定基準およびルールに基づいて行われる。
【0013】
例えば、ポートスキャンが行われた場合、IDS103は、このポートスキャンに対する警報と、このポートスキャンを行ったパケットを追跡対象パケットとして追跡マネージャ102に送信する。これにより、追跡マネージャ102は、これらのIDS103からの警報と、追跡対象パケットを受信すると、受信したパケットからパケットプリント(ハッシュ値)を生成する。
【0014】
つぎに、追跡マネージャ102は、パケットプリント装置の位置を確認し、生成したパケットプリント(ハッシュ値)を含む検索要求を送信する。ここでは、パケットプリント装置101a、101bおよび101cのすべてに生成したパケットプリント(ハッシュ値)を含む検索要求を送信するものとする。このとき、パケットプリント装置101a、101bおよび101cは、受信したパケットプリント(ハッシュ値)と一致するパケットプリント(ハッシュ値)を記憶しているかどうか検索する。
【0015】
そして、パケットプリント装置101a、101bおよび101cのそれぞれは、検索が終わると、検索結果を追跡マネージャ102に送信する。追跡マネージャ102は、パケットプリント装置101a、101bおよび101cから送信された検索結果と、ネットワークの構成情報とから、パケットの経路を得る。
【0016】
例えば、パケットプリント装置101b、101cから、一致するパケットプリント(ハッシュ値)を記憶しているという検索結果を受信した場合、追跡対象パケットは、ローカルネットワーク50Bを介してローカルネットワーク50Dから来たということが明らかになる。
【0017】
なお、図33に示す構成では、追跡マネージャ102やIDS103などを接続する管理用ネットワークは、監視対象ネットワークとは独立して存在するものとしているが、この接続形態に限定されるものではなく、監視対象ネットワークと論理的、物理的に同一な通信回線であってもよいし、物理的に同一であって、論理的に異なる通信回線であってもよい。
【0018】
図34は、パケットプリント装置101の機能構成を示すブロック図である。同図において、タッピング装置111は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。プリント制御部112は、予め、パケットプリント(ハッシュ値)を生成する方式(ハッシュ関数)を、パケットプリント部113に指示しておく。
【0019】
パケットプリント部113は、プリント制御部112に指示された方式(ハッシュ関数)で、タッピング装置111がコピーしたパケットのパケットプリント(ハッシュ値)を生成する。キャッシュ制御部114は、PP格納部115に記憶されているパケットプリント(ハッシュ値)の量を認識する。
【0020】
ここで、PP格納部115に記憶されているパケットプリント(ハッシュ値)が一定量以上であった場合、キャッシュ制御部114は、PP格納部115に記憶されている最も古いパケットプリント(ハッシュ値)を破棄する。
【0021】
PP格納部115に記憶されているパケットプリント(ハッシュ値)が一定量以下であった場合、キャッシュ制御部114は、PP格納部115に記憶されている情報の最後尾に新しいハッシュ値を追加して記憶する。このように、キャッシュ制御部114は、PP格納部115に記憶されているパケットプリントが常に一定量以下になるよう制御する。
【0022】
パケットプリント装置101a、101bおよび101cは、監視対象ネットワークを通過するすべてのパケットに対し、上述の動作を行っている。追跡エージェント部116は、管理用ネットワークと接続され、追跡マネージャ102と通信する。なお、追跡エージェント部116の動作については、後述する追跡マネージャ102の動作のところで説明する。
【0023】
図35は、追跡マネージャ102の機能構成を示すブロック図である。同図において、警報受信部121は、IDS103から不正アクセスパケットに対する警報を受信し、パケット受信部122は、IDS103から不正アクセスパケット(追跡対象パケット)を受信する。プリント制御部123は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリント部124に指示しておく。
【0024】
なお、パケットプリント装置101のプリント制御部112で指定される方式と、追跡マネージャ102のプリント制御部123で指定される方式は常に同じ方式である。パケットプリント部124は、プリント制御部123から指示された方式(ハッシュ関数)で、パケット受信部122で受信されたパケットのパケットプリント(ハッシュ値)を生成する。
【0025】
追跡要求部125は、パケットプリント部124で生成されたパケットプリント(ハッシュ値)を含む検索要求をパケットプリント装置101a、101bおよび101cに送信するとともに、パケットプリント装置101a、101bおよび101cからの検索結果を受信する。
【0026】
これらのパケットプリント装置101a、101bおよび101cから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報格納部126とに基づいて、通過ルート作成部127がパケットの通過経路を作成する。
【0027】
このようにして、通過ルート作成部127が作成した追跡対象パケットの通過経路の情報がシステム管理者等に通知される。システム管理者等は、この通過経路の情報に基づき、追跡対象パケットがどこから侵入してきたのかを判断することができ、不正アクセスのパケットに対する対策を打つことができる。
【0028】
【特許文献1】
特開2000−124952号公報
【非特許文献1】
武井,「トラヒックパターンを用いた不正アクセス検出及び追跡方式」,信学技報,財団法人電子情報通信学会,1999年11月18日,Vol.99 No.436,p.37−42
【非特許文献2】
小久保,「不正アクセス発信源追跡システムのモデル検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3-283−3-284
【非特許文献3】
渡辺,「不正アクセス発信源追跡のためのパケット識別情報の検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3-289−3-290
【非特許文献4】
渡辺,「不正アクセス発信源追跡におけるパケット識別情報の有効性検証」,第61回(平成12年度後期)全国大会講演論文集(3),財団法人情報処理学会,平成12年10月3日,p.3-259−3-260
【非特許文献5】
池田,「不正アクセス発信源追跡システムのアーキテクチャの有効性検証」,第62回(平成13年度前記)全国大会講演論文集(3),財団法人情報処理学会,平成13年3月13日,p.3-285−3-286
【非特許文献6】
Alex C Snoeren,「Hash-Based IP Traceback」,BBN Technical Memorandum No.1284,February 7,2001
【0029】
【発明が解決しようとする課題】
ところで、前述したように、従来のパケット追跡システムでは、図33に示したローカルネットワーク50A、50B、50Cおよび50Dを通じて、追跡対象パケットに含まれるローカルIPアドレス等が変化しない。
【0030】
このため、従来のパケット追跡システムでは、ローカルIPアドレス等が変化しない追跡対象パケットのパケットプリントをキーとして、追跡が可能となる。
【0031】
これに対して、NAT(Network Address Translation)やIPマスカレードが適用されたネットワークにおいては、追跡対象パケットに含まれるIPアドレス、ポート番号やシーケンス番号等が通過の途中で書き換えられるため、上述した従来のパケット追跡システムで追跡を行うことができないという問題があった。
【0032】
ここで、NATは、社内のみで通用するローカルIPアドレスと、インターネット等のグローバルネットワークへのアクセスに利用できる本来のグローバルIPアドレスとを相互に変換し、ローカルIPアドレスしか割り当てられていないローカルネットワークから、透過的にグローバルネットワークへアクセスできるようにする技術である。
【0033】
IPマスカレードは、NATによるIPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDP(Transmission Control Protocol/User Datagram Protocol)のポート番号やシーケンス番号等も変換することで、異なる通信ポートを利用するものについて、1つのグローバルIPアドレスを利用して、複数のローカルIPノードが外部と通信できるようにした技術である。
【0034】
図36には、上述したNATやIPマスカレードが適用されたネットワーク構成が図示されている。同図において、グローバルネットワークAとローカルネットワークBとの間には、パケット変換装置210が設けられている。ローカルネットワークBは、内部ネットワークであり、ローカルIPアドレスが適用される。
グローバルネットワークAは、外部ネットワークであり、グローバルIPアドレスが適用される。
【0035】
パケット変換装置210は、NATやIPマスカレードの機能により、通過するパケットのIPアドレスや、ポート番号等を変換する装置である。例えば、グローバルネットワークAからローカルネットワークBへ流れるパケット250は、パケット変換装置210でパケット250’に変換される。
【0036】
具体的には、パケット250のDstIP:210.162.74.2(発信先のグローバルIPアドレス)は、パケット250’のDstIP:192.168.1.5(発信先のローカルIPアドレス)に変換される。また、パケット250のDstPort:8080(発信先のポート番号)は、パケット250’のDstPort:80(発信先のポート番号)に変換される。
【0037】
ここで、図36に示したネットワークに、従来のパケット追跡システムを適用した場合には、パケット変換装置210の前後でパケットプリントが異なるため、追跡が行えないのである。同図の例では、パケット250に対応するパケットプリントPPが1A85DE81BCであるのに対して、パケット250’に対応するパケットプリントPPがC48EB4A58Dである。
【0038】
同様にして、ローカルネットワークBからグローバルネットワークAへ流れるパケット260は、パケット変換装置210でパケット260’に変換される。具体的には、パケット260のSrcIP:192.168.1.5(発信元のローカルIPアドレス)は、パケット260’のSrcIP:210.162.74.2(発信元のグローバルIPアドレス)に変換される。
【0039】
同図の例では、パケット260に対応するパケットプリントPPが8A5E616C8Bであるのに対して、パケット260’に対応するパケットプリントPPがF58EA85C64であるため、従来のパケット追跡システムが使えないのである。
【0040】
この発明は、上記に鑑みてなされたものであり、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるパケット追跡方法およびパケット追跡プログラムを提供することを目的とする。
【0041】
【課題を解決するための手段】
上述した課題を解決し、目的を達成するために、本発明は、監視対象のネットワークの要所に配置された複数のパケットプリント装置と、これらのパケットプリント装置との間で情報の送受を行う追跡マネージャとを備えたパケット追跡システムに適用されるパケット追跡方法であって、前記ネットワークを流れるパケットについて、該パケットに含まれる情報を通過時に書き換えるパケット変換装置における書き換え前のパケットを特定するための第1のパケット特定情報と、書き換え後のパケットを特定するための第2のパケット特定情報とを生成し、格納するパケット特定情報格納工程と、追跡対象パケットを特定するための追跡対象パケット特定情報を含む検索要求を前記追跡マネージャより受けて、前記第1のパケット特定情報または前記第2のパケット特定情報を検索し、検索結果を前記追跡マネージャへ送信する検索工程と、を含むことを特徴とする。
【0042】
この発明によれば、ネットワークを流れるパケットについて、パケット変換装置における書き換え前のパケットを特定するための第1のパケット特定情報と、書き換え後のパケットを特定するための第2のパケット特定情報とを生成、格納し、追跡対象パケット特定情報を含む検索要求を受けて、第1のパケット特定情報または第2のパケット特定情報を検索し、検索結果を追跡マネージャへ送信することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0043】
また、本発明は、監視対象のネットワークの要所に配置され、パケットに含まれる情報を通過時に書き換えるパケット変換装置を有するネットワークを流れるパケットを特定するためのパケット特定情報を生成し、格納する複数のパケットプリント装置と、これらのパケットプリント装置との間で情報の送受を行う追跡マネージャとを備えたパケット追跡システムに適用されるパケット追跡方法であって、前記パケット変換装置における書き換え前の追跡対象パケットを特定するための第1の追跡対象パケット特定情報と、書き換え後の追跡対象パケットを特定するための第2の追跡対象パケット特定情報とを生成するパケット特定情報生成工程と、前記追跡対象の位置に基づいて、前記第1の追跡対象パケット特定情報または前記第2の追跡対象パケット特定情報を前記パケットプリント装置へ通知し、前記パケット特定情報の検索を依頼する検索依頼工程と、を含むことを特徴とする。
【0044】
この発明によれば、パケット変換装置における書き換え前の追跡対象パケットを特定するための第1の追跡対象パケット特定情報と、書き換え後の追跡対象パケットを特定するための第2の追跡対象パケット特定情報とを生成し、追跡対象パケットの検出位置に基づいて、第1の追跡対象パケット特定情報または第2の追跡対象パケット特定情報をパケットプリント装置へ通知し、パケット特定情報の検索を依頼することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0058】
また、本発明にかかるパケット追跡プログラムによれば、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるようにしたので、そのパケット追跡プログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができる。
【0059】
【発明の実施の形態】
以下、図面を参照して本発明にかかるパケット追跡方法およびパケット追跡プログラムの実施の形態1〜7について詳細に説明する。
【0060】
(実施の形態1)
図1は、本発明にかかる実施の形態1の構成を示すブロック図である。同図には、パケットに含まれる情報を変換する機能を備えるネットワークにおいてもパケット追跡を行うためのパケット追跡システムが図示されている。
【0061】
IDS200は、グローバルネットワークA、ローカルネットワークBおよび管理用ネットワーク(図示略)に接続されており、監視対象ネットワークに侵入した不正アクセスパケットの検知を行う装置である。
【0062】
ローカルネットワークBは、内部ネットワークであり、ローカルIPアドレスが適用される。グローバルネットワークAは、外部ネットワークであり、グローバルIPアドレスが適用される。
【0063】
パケット変換装置500は、前述したパケット変換装置210(図36参照)と同様の機能を備えており、NATやIPマスカレードの機能により、通過するパケットのIPアドレスや、ポート番号等を変換する装置である。具体的には、パケット変換装置500は、変換ルール(IPアドレス変換データ)が記述された変換テーブル501に基づいて、例えば、グローバルネットワークAからローカルネットワークBへ流れるパケット250をパケット250’に変換する。
【0064】
追跡マネージャ300は、追跡マネージャ102(図33参照)と同様の機能を備えており、管理用ネットワーク(図示略)に接続され、パケットプリント装置400Aおよび400Bと管理用ネットワークを介して通信する装置である。
【0065】
パケットプリント装置400Aおよび400Bは、タッピングなどの手法を用いてIPアドレスなどの論理接続を持たない接続方式(ステルス接続方式)により接続されている。したがって、これらのパケットプリント装置400Aおよび400Bは、監視対象ネットワーク内の他の装置から自己の存在を隠すことができる。
【0066】
また、パケットプリント装置400Aおよび400Bは、監視対象ネットワークとは独立に存在する管理用ネットワークにも接続されている。この場合、パケットプリント装置400Aおよび400Bは、監視対象ネットワークとの接続(ステルス接続)とは異なり、管理用ネットワークに接続された他の装置から認識可能な接続方式(例えばIP接続方式)で接続されている。
【0067】
パケットプリント装置400Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(ハッシュ値)を生成するとともに、このパケットプリントを記憶する。
【0068】
ここで、パケットプリント装置400Aは、パケット変換装置500における処理前のパケット250からパケットプリント(PPa_1)を生成するとともに、パケット250から処理後のパケット250’を生成し、このパケット250’からパケットプリント(PPb_1)を生成する機能を備えている。パケット250には、グローバルIPアドレスが含まれている。また、パケット250’には、ローカルIPアドレスが含まれている。
【0069】
つまり、パケットプリント装置400Aは、パケット変換装置500のエミュレータとしても機能し、パケット変換装置500の処理前後の二種類のパケットプリント(PPa_1、PPb_1)を生成し、これらを第1のPP格納部406Aおよび第2のPP格納部406Bにそれぞれ格納する。
【0070】
一方、パケットプリント装置400Bは、ローカルネットワークBとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(ハッシュ値)を生成するとともに、このパケットプリントを記憶する。
【0071】
ここで、パケットプリント装置400Bも、パケット変換装置500における処理後のパケット250’からパケットプリント(PPb_1)を生成するとともに、パケット250’から処理前のパケット250を生成し、このパケット250からパケットプリント(PPa_1)を生成する機能を備えている。
【0072】
つまり、パケットプリント装置400Bも、パケットプリント装置400Aと同様にして、パケット変換装置500のエミュレータとしても機能し、パケット変換装置500の処理前後の二種類のパケットプリント(PPa_1、PPb_1)を生成し、これらを第1のPP格納部406Aおよび第2のPP格納部406Bにそれぞれ格納する。
【0073】
図2は、図1に示したパケットプリント装置400(400A、400B)の構成を示すブロック図である。同図において、タッピング装置401は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。
【0074】
プリント制御部402は、予め、パケットプリント(ハッシュ値)を生成する方式(ハッシュ関数)を、パケットプリント部403に指示しておく。変換テーブル404は、図1に示したパケット変換装置500の変換テーブル501と同様のテーブルであり、変換ルール(IPアドレス変換データ)を記述したものである。
【0075】
パケットプリント装置400Aのパケットプリント部403は、プリント制御部402に指示された方式(ハッシュ関数)で、タッピング装置401がコピーしたパケット250(図1参照)から第1のPP(ハッシュ値)を生成する。この第1のPPは、図1に示したパケットプリント装置400Aの第1のPP格納部406Aに格納されるPPa_1等に対応している。
【0076】
また、パケットプリント装置400Aのパケットプリント部403は、変換テーブル404を参照して、タッピング装置401からのパケット250(図1参照)からパケット250’を生成し、このパケット250’から第2のPPを生成する。この第2のPPは、図1に示したパケットプリント装置400Aの第2のPP格納部406Bに格納されるPPb_1等に対応している。
【0077】
第1のPP格納部406Aは、第1のPP(ハッシュ値)を格納する。第2のPP格納部406Bは、第2のPP(ハッシュ値)を格納する。
【0078】
キャッシュ制御部405は、第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントの量を認識し、パケットプリントが一定量以上であった場合、最も古いパケットプリントを破棄する。
【0079】
また、パケットプリントが一定量以下であった場合、キャッシュ制御部405は、パケットプリントを追加して格納する。このように、キャッシュ制御部405は、第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが常に一定量以下になるよう制御する。
【0080】
追跡エージェント部407は、管理用ネットワークと接続され、追跡マネージャ300からの検索要求を受け付け、第1のPP格納部406Aまたは第2のPP格納部406Bの検索結果を検索応答として追跡マネージャ300へ返す機能を備えている。
【0081】
また、パケットプリント装置400Bのパケットプリント部403は、プリント制御部402に指示された方式(ハッシュ関数)で、タッピング装置401がコピーしたパケット250’(図1参照)から第2のPP(ハッシュ値)を生成する。この第2のPPは、図1に示したパケットプリント装置400Bの第2のPP格納部406Bに格納されるPPb_1等に対応している。
【0082】
また、パケットプリント装置400Bのパケットプリント部403は、変換テーブル404を参照して、タッピング装置401からのパケット250’(図1参照)からパケット250を生成し、このパケット250から第1のPPを生成する。この第1のPPは、図1に示したパケットプリント装置400Bの第1のPP格納部406Aに格納されるPPa_1等に対応している。
【0083】
つぎに、実施の形態1の動作について、図3および図4を参照しつつ説明する。図3は、図1および図2に示したパケットプリント装置400(400A、400B)の動作を説明するフローチャートである。図4は、同実施の形態1の動作を説明するシーケンス図である。
【0084】
図3に示したステップSA1では、パケットプリント装置400Aのパケットプリント部403(図2参照)は、タッピング装置401により監視対象ネットワークを通過するパケットがコピーされたか否かを判断し、この場合、判断結果を「No」として、同判断を繰り返す。
【0085】
そして、パケットプリント装置400Aの監視対象ネットワーク(グローバルネットワークA〜パケット変換装置500の間)をパケット250(図1参照)が通過すると、パケットプリント装置400Aのタッピング装置401により当該パケット250がコピーされる。これにより、パケットプリント部403は、ステップSA1の判断結果を「Yes」とする。ステップSA2では、パケットプリント部403は、タッピング装置401よりコピーされたパケット250を取得する。
【0086】
ステップSA3では、パケットプリント部403は、パケット250からパケットプリントPPa_1(ハッシュ値)(図1参照)を生成する。ステップSA4では、パケットプリント部403は、変換テーブル404を参照して、パケット250をパケット250’に変換する。ステップSA5では、パケットプリント部403は、パケット250’からパケットプリントPPb_1(図1参照)を生成する。
【0087】
ステップSA6では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが一定量以上であるか否かを判断し、この場合、判断結果を「No」とする。ステップSA7では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bの最後尾に新しいパケットプリントPPa_1およびPPb_1を格納する。
【0088】
一方、ステップSA6の判断結果が「Yes」である場合、ステップSA8では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されている最も古いパケットプリントを破棄した後、ステップSA7の処理を実行する。
【0089】
そして、図1に示したパケット250は、監視対象ネットワーク(グローバルネットワークA〜パケット変換装置500の間)を通過した後、パケット変換装置500で変換テーブル501に基づき、パケット250’に変換される。
【0090】
さらに、パケットプリント装置400Bの監視対象ネットワーク(パケット変換装置500〜ローカルネットワークBの間)をパケット250’(図1参照)が通過すると、パケットプリント装置400Bのタッピング装置401により当該パケット250’がコピーされる。これにより、パケットプリント部403は、ステップSA1の判断結果を「Yes」とする。ステップSA2では、パケットプリント部403は、タッピング装置401よりコピーされたパケット250’を取得する。
【0091】
ステップSA3では、パケットプリント部403は、パケット250’からパケットプリントPPb_1(ハッシュ値)(図1参照)を生成する。ステップSA4では、パケットプリント部403は、変換テーブル404を参照して、パケット250’をパケット250に変換する。ステップSA5では、パケットプリント部403は、パケット250からパケットプリントPPa_1(図1参照)を生成する。
【0092】
ステップSA6では、キャッシュ制御部405は、パケットプリント装置400Bの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが一定量以上であるか否かを判断し、この場合、判断結果を「No」とする。
【0093】
ステップSA7では、キャッシュ制御部405は、パケットプリント装置400Bの第1のPP格納部406Aおよび第2のPP格納部406Bの最後尾に新しいパケットプリントPPa_1およびPPb_1を格納する。以後、パケットが通過する毎にパケットプリント装置400Aおよび400Bで二種類のパケットプリントが生成された後、格納される。
【0094】
そして、図4に示したステップSB1で、IDS200により、ローカルネットワークB内で不正アクセスパケットが検知されると、ステップSB2では、IDS200は、検知位置情報および不正アクセスパケットを追跡マネージャ300へ送信する。ここで、不正アクセスパケットは、図1に示したパケット250’であるものとする。また、検知位置情報は、当該不正アクセスパケットの検知位置(パケット変換装置500の前または後)を表す情報である。この場合の検知位置は、パケット変換装置500の後である。
【0095】
ステップSB3では、追跡マネージャ300は、不正アクセスパケット(パケット250’)からパケットプリント(ハッシュ値)を算出する。ステップSB4では、追跡マネージャ300は、パケットプリント装置400Aおよび400Bの中から、検索要求先のパケットプリント装置として、IDS200に最も近い、例えば、パケットプリント装置400Bを選択する。
【0096】
ステップSB5では、追跡マネージャ300は、パケットプリント装置400Bの位置を確認した後、管理用ネットワークを介して、不正アクセスパケット(パケット250’)のパケットプリントおよび検出位置情報を含む検索要求を送信する。すなわち、追跡マネージャ300は、不正パケットを検出したIDS200に最も近いパケットプリント装置から順番に追跡処理(検索要求の送信処理)を実行する。
【0097】
ステップSB6では、パケットプリント装置400Bの追跡エージェント部407(図2参照)は、追跡マネージャ300からの検索要求を受け付け、検出位置情報に基づき、検索先として、第1のPP格納部406A、第2のPP格納部406Bから一つを選択する。
【0098】
ここで、検出位置情報がパケット変換装置500の後である場合には、パケット250’に対応する第2のPP格納部406Bが選択される。一方、検出位置情報がパケット変換装置500の前である場合には、パケット250に対応する第1のPP格納部406Aが選択される。
【0099】
この場合、追跡エージェント部407は、第2のPP格納部406Bを選択する。ステップSB7では、追跡エージェント部407は、追跡マネージャ300からのパケットプリントをキーとして、第2のPP格納部406Bを検索する。この場合、検索結果がヒットであるものとする。ステップSB8では、追跡エージェント部407は、検索結果(検索結果=ヒット)を追跡マネージャ300へ通知する。
【0100】
ステップSB9では、追跡マネージャ300は、検索結果より当該不正アクセスパケットの通過ルートを判定する。ステップSB10では、追跡マネージャ300は、ステップSB9の判定に基づいて、検索継続が必要であるか否かを判断する。この場合、追跡マネージャ300は、検索継続の必要があるとし、判断結果を「Yes」とする。
【0101】
ステップSB4では、追跡マネージャ300は、つぎの検索要求先のパケットプリント装置として、例えば、パケットプリント装置400Aを選択する。以後、前述した動作が繰り返される。そして、ステップSB10の判断結果が「No」になると、ステップSB11では、パケットの追跡が終了される。
【0102】
以上説明したように、実施の形態1によれば、監視対象ネットワークを流れるパケットについて、パケット変換装置500における書き換え前のパケット250を特定するためのPPa_1(第1のパケット特定情報)と、書き換え後のパケット250’を特定するためのPPb_1(第2のパケット特定情報)とを生成し、第1のPP格納部406Aおよび第2のPP格納部406Bに格納し、追跡マネージャ300からの検索要求を受けて、第1のPP格納部406Aまたは第2のPP格納部406Bを検索し、検索結果を追跡マネージャ300へ送信することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0103】
(実施の形態2)
さて、前述した実施の形態1においては、パケットプリント装置側でパケット変換装置500の変換前後のパケットに対応する二種類のパケットプリントを生成する例について説明したが、パケットプリント装置に代えて、追跡マネージャ側で二種類のパケットプリントを生成するように構成してもよい。以下では、この構成例を実施の形態2として説明する。
【0104】
図5は、本発明にかかる実施の形態2の構成を示すブロック図である。この図において、図1の各部に対応する部分には同一の符号を付ける。図5においては、図1に示した追跡マネージャ300、パケットプリント装置400Aおよび400Bに代えて、追跡マネージャ310、パケットプリント装置410Aおよび410Bが設けられている。
【0105】
追跡マネージャ310は、追跡マネージャ102(図33参照)と同様の機能を備えており、管理用ネットワーク(図示略)に接続され、パケットプリント装置410Aおよび410Bと管理用ネットワークを介して通信する装置である。また、追跡マネージャ310は、IDS200から渡された不正アクセスパケットに基づいて、パケット変換装置500の変換前後の二種類のパケットプリントを生成する。
【0106】
図6は、追跡マネージャ310の機能構成を示すブロック図である。この図において、図35の各部に対応する部分には同一の符号を付ける。同図において、警報受信部121は、IDS200から不正アクセスパケットに対する警報を受信し、パケット受信部122は、IDS200から不正アクセスパケットを受信する。プリント制御部311は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリント部312に指示しておく。
【0107】
パケットプリント部312は、プリント制御部311に指示された方式(ハッシュ関数)で、パケット受信部122からのパケットから第1のPP(ハッシュ値)を生成する。また、パケットプリント部312は、変換テーブル313を参照して、パケット受信部122からのパケットから、変換後のパケットを生成し、このパケットから第2のPPを生成する。変換テーブル313は、図5に示した変換テーブル501と同一である。
【0108】
追跡要求部314は、パケットプリント部312で生成された二種類のパケットプリント(ハッシュ値)のうちいずれか一方を含む検索要求をパケットプリント装置410A、410Bに送信するとともに、パケットプリント装置410A、410Bからの検索結果を受信する。
【0109】
これらのパケットプリント装置410A、410Bから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報格納部126とに基づいて、通過ルート作成部127がパケットの通過経路を作成する。
【0110】
図5に戻り、パケットプリント装置410Aは、パケットプリント装置101(図34参照)と同一構成とされており、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象としている。
【0111】
すなわち、パケットプリント装置410Aは、監視対象ネットワークを通過するパケット250のコピーを取り込み、コピーしたパケット250を一意に特定するためのパケットプリントPPa_1等(ハッシュ値)を生成するとともに、このパケットプリントPPa_1等(ハッシュ値)をPP格納部416に格納する。
【0112】
一方、パケットプリント装置410Bも、パケットプリント装置101(図34参照)と同一構成とされており、パケット変換装置500とローカルネットワークBとの間の接続リンクを監視の対象としている。
【0113】
すなわち、パケットプリント装置410Bは、監視対象ネットワークを通過するパケット250’のコピーを取り込み、コピーしたパケット250’を一意に特定するためのパケットプリントPPb_1等(ハッシュ値)を生成するとともに、このパケットプリントPPb_1等(ハッシュ値)をPP格納部416に格納する。
【0114】
つぎに、実施の形態2の動作について、図7に示したシーケンス図を参照しつつ説明する。同図に示したステップSC1で、IDS200により、ローカルネットワークB内で不正アクセスパケットが検知されると、ステップSC2では、IDS200は、検知位置情報および不正アクセスパケットを追跡マネージャ310へ送信する。
【0115】
ここで、不正アクセスパケットは、図5に示したパケット250’であるものとする。また、検知位置情報は、当該不正アクセスパケットの検知位置(パケット変換装置500の前または後)を表す情報である。この場合の検知位置は、パケット変換装置500の後である。
【0116】
ステップSC3では、追跡マネージャ310のパケットプリント部312(図6参照)は、不正アクセスパケット(パケット250’)からパケットプリントPPb_1(ハッシュ値)を生成する。ステップSC4では、パケットプリント部312は、変換テーブル313を参照して、不正アクセスパケット(パケット250’)をパケット250に変換する。
【0117】
ステップSC5では、パケットプリント部312は、パケット250からパケットプリントPPa_1(ハッシュ値)を生成する。ステップSC6では、追跡マネージャ310は、パケットプリント装置410Aおよび410Bの中から、検索要求先のパケットプリント装置として、例えば、パケットプリント装置410Bを選択する。
【0118】
ステップSC7では、追跡マネージャ310の追跡要求部314は、パケットプリント装置410Bの位置を確認した後、管理用ネットワークを介して、パケットプリントPPa_1またはPPb_1をパケットプリント装置410Bへ送信する。
【0119】
ここで、検出位置情報がパケット変換装置500の前である場合には、パケット250に対応するパケットプリントPPa_1が追跡要求部314により選択された後、パケットプリント装置410Bへ送信される。
【0120】
一方、検出位置情報がパケット変換装置500の後である場合には、パケット250’に対応するパケットプリントPPb_1が追跡要求部314により選択された後、パケットプリント装置410Bへ送信される。この場合には、パケット250’に対応するパケットプリントPPb_1が送信される。
【0121】
ステップSC8では、パケットプリント装置410Bは、追跡マネージャ310からのパケットプリントPPb_1をキーとして、PP格納部416を検索する。この場合、検索結果がヒットであるものとする。ステップSC9では、パケットプリント装置410Bは、検索結果(検索結果=ヒット)を追跡マネージャ310へ通知する。
【0122】
ステップSC10では、追跡マネージャ310の追跡要求部314は、検索結果より当該不正アクセスパケットの通過ルートを判定する。ステップSC11では、追跡マネージャ310は、ステップSC10の判定に基づいて、検索継続が必要であるか否かを判断する。この場合、追跡マネージャ310は、検索継続の必要があるとし、判断結果を「Yes」とする。
【0123】
ステップSC6では、追跡マネージャ310は、つぎの検索要求先のパケットプリント装置として、例えば、パケットプリント装置410Aを選択する。以後、前述した動作が繰り返される。そして、ステップSC11の判断結果が「No」になると、ステップSC12では、パケットの追跡が終了される。
【0124】
以上説明したように、実施の形態2によれば、追跡マネージャ310でパケット変換装置500における書き換え前の追跡対象パケットを特定するためのPPa_1(第1の追跡対象パケット特定情報)と、書き換え後の追跡対象パケットを特定するためのPPb_1(第2の追跡対象パケット特定情報)とを生成し、追跡対象パケットの検出位置に基づいて、PPa_1またはPPb_1をパケットプリント装置410Aやパケットプリント装置410Bへ通知し、パケット特定情報の検索を依頼することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0125】
(実施の形態3)
図8は、本発明にかかる実施の形態3の構成を示すブロック図である。実施の形態3では、パケット変換装置500の前後のパケットを同定する方法について説明する。
【0126】
同図において、パケットプリント装置420Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250のコピーを取り込む。
【0127】
また、パケットプリント装置420Aは、コピーしたパケット250からPP(ハッシュ値)を生成・格納するとともに、該パケット250のうちパケット変換装置500の変換前後で変化する情報をマスクした状態で共通PPを生成・格納する。さらに、パケットプリント装置420Aは、PPと共通PPとの対応関係を表す対応テーブル421Aを格納する。
【0128】
一方、パケットプリント装置420Bは、パケット変換装置500とローカルネットワークBとの間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250’のコピーを取り込む。
【0129】
また、パケットプリント装置420Bは、コピーしたパケット250’からPP’(ハッシュ値)を生成・格納するとともに、該パケット250’のうちパケット変換装置500の変換前後で変化する情報をマスクした状態で共通PP’を生成・格納する。さらに、パケットプリント装置420Bは、PP’と共通PP’との対応関係を表す対応テーブル421Bを格納する。
【0130】
このように、実施の形態3においては、変化する情報をマスクすることにより、共通PPと共通PP’とが同一の値となるため、パケット変換装置500の前後におけるパケットの同定が可能となる。
【0131】
図9は、図8に示した共通PPおよび共通PP’を生成する場合のパケット250(250’)のマスク箇所を表す図である。同図において、網掛け部分がパケット変換装置500の前後で変換する情報でありマスクされる。
【0132】
なお、実施の形態3においては、パケットが流れる方向によって、マスク箇所を変えてもよい。図10は、グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合のマスク箇所を表す図である。同図の例では、主として発信先IPアドレスおよび発信先ポートがマスクされる。
【0133】
図11は、ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合のマスク箇所を表す図である。同図の例では、主として発信元IPアドレスおよび発信元ポートがマスクされる。
【0134】
また、パケット通信に用いられるプロトコルのうち、一部のプロトコル(FTP(File Transfer Protocol)、ICMP(Internet Control Message Protocol )、SNMP(Simple Network Management Protocol))においては、パケットのペイロードにもIPアドレスが記述され、パケット変換装置500で書き換えられる場合がある。
【0135】
そこで、実施の形態3においては、図12に示したように、パケット変換装置500によって書き換えられるIPアドレスを含むペイロードをマスク箇所としてもよい。
【0136】
さて、図8に示した例では、パケットプリント装置420Aとパケットプリント装置420Bとの間におけるパケットの同定時に、共通PPおよび共通PP’とを比較し、一致する場合にパケットを同定しているが、共通PPや共通PP’の値の衝突が発生し、一意に同定できない場合がある。
【0137】
例えば、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在する場合に、上記衝突が発生する。
【0138】
そこで、実施の形態3においては、同定精度を高めるため、図13に示したように、パケットプリント装置420A側で、パケットプリントを生成する前のパケット250から補足情報(識別子、TTL、TOS、パケット長、シーケンスID、Time(UTC))を取得しておき、PP、共通PPおよび補足情報を対応テーブル422Aとして格納しておいてもよい。ここで、補足情報は、マスクによってPPに反映されない情報である。
【0139】
同様にして、パケットプリント装置420B側でも、パケットプリントを生成する前のパケット250’から補足情報(識別子、TTL、TOS、パケット長、シーケンスID、Time(UTC))を取得しておき、PP’、共通PP’および補足情報を対応テーブル422Bとして格納しておいてもよい。
【0140】
このように構成することにより、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在(衝突発生)する場合であっても、補足情報同士を比較することにより、パケットの同定が可能となる。
【0141】
また、実施の形態3においては、ペイロードにデータを持たないパケットの場合、共通PPと共通PP’との間で上述した衝突が発生する可能性が高い。ここで、図8に示したパケットプリント装置420Aとパケットプリント装置420Bとの間で完全に時刻同期をとり、時刻に基づいてパケットを同定することも考えられるが、時刻同期を完全にとることが困難であり、実現が難しい。
【0142】
そこで、実施の形態3においては、図14に示したように、バリアパケットを発生させるバリアパケット発生装置500Aおよび500Bを設けて、パケットの同定精度を高めるようにしてもよい。
【0143】
バリアパケット発生装置500Aは、グローバルネットワークAとパケット変換装置500との間に設けられており、グローバルネットワークAからローカルネットワークB(外側から内側)へバリアパケット(同図では、バリアパケット510(out))を発生させるとともに、送出する。
【0144】
このバリアパケット(out)には、識別用のバリアNo(out)が付与されている。例えば、バリアパケット510には、バリアNo(out)として168463が付与されている。このバリアパケット510は、通常のパケットと同様にして、パケット変換装置500によりバリアパケット510’に変換される。
【0145】
一方、バリアパケット発生装置500Bは、パケット変換装置500とローカルネットワークBとの間に設けられており、ローカルネットワークBからグローバルネットワークA(内側から外側)へバリアパケット(同図では、バリアパケット520(in))を発生させるとともに、送出する。
【0146】
このバリアパケット(in)には、識別用のバリアNo(in)が付与されている。例えば、バリアパケット520には、バリアNo(in)として348586が付与されている。このバリアパケット520も、通常のパケットと同様にして、パケット変換装置500により、バリアパケット520’に変換される。
【0147】
パケットプリント装置420Aは、バリアパケット510(out)から、通常のパケットと同様にして、PPと共通PPとを生成し、これらとバリアNo(out)とを対応テーブル423Aに格納する。また、パケットプリント装置420Aは、バリアパケット520’(in)から、通常のパケットと同様にして、PPと共通PPとを生成し、これらとバリアNo(in)とを対応テーブル423Aに格納する。
【0148】
なお、パケットプリント装置420Aは、通常のパケットについても、前述した動作(図8参照)と同様にして、PPおよび共通PPとを生成し、これらを対応テーブル423Aに格納する。
【0149】
一方、パケットプリント装置420Bも、バリアパケット510’(out)から、通常のパケットと同様にして、PP’と共通PP’とを生成し、これらとバリアNo(out)とを対応テーブル423Bに格納する。また、パケットプリント装置420Bは、バリアパケット520(in)から、通常のパケットと同様にして、PP’と共通PP’とを生成し、これらとバリアNo(in)とを対応テーブル423Bに格納する。
【0150】
なお、パケットプリント装置420Bは、通常のパケットについても、前述した動作(図8参照)と同様にして、PP’および共通PP’とを生成し、これらを対応テーブル423Bに格納する。
【0151】
上記構成において、例えば、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在(衝突発生)する場合には、対応テーブル423A側における当該共通PP(図示略)を挟む前後の二つのバリアNo(同図では、168463、168464)と、対応テーブル423BのバリアNoとを比較することにより、パケットの同定が可能となる。
【0152】
つまり、対応テーブル423A側の二つのバリアNo(同図では、168463、168464)と同一の二つのバリアNoが対応テーブル423Bに存在する場合、対応テーブル423Bの二つのバリアNoに挟まれた共通PP’と、これに対応する対応テーブル423Aの共通PPとが同一であることがわかる。
【0153】
図15は、図14に示したバリアパケットを用いたパケット追跡を説明するブロック図である。この図において、図1および図14の各部に対応する部分には同一の符号を付ける。図15において、パケットプリント装置420Cは、ローカルネットワークBとローカルネットワークCとの間を流れるパケットからPPを生成し、これをPP格納部421Cに格納する。
【0154】
上記構成において、IDS200により不正アクセスパケットが検出されると、追跡マネージャ300は、パケットプリント装置420Aに対して、通常のPP1を問い合わせる(▲1▼)。この場合、対応テーブル423AからPP1が見つかったとすると、追跡マネージャ300は、PP1に対応する共通PPを取得する(▲2▼)。
【0155】
つぎに、追跡マネージャ300は、パケットプリント装置420Bに対して共通PPを問い合わせた後(▲3▼)、共通PPに対応するPP2を取得する(▲4▼)。つぎに、追跡マネージャ300は、パケットプリント装置420Cに対して、PP2を問い合わせた後(▲5▼)、パケットプリント装置420CからPP2が見つかったことの通知を受ける(▲6▼)。
【0156】
図16は、実施の形態3において追跡マネージャを高機能化した場合の具体例を説明するブロック図である。同図に示した構成例では、追跡マネージャ320は、不正アクセスパケットの検出位置に基づいて、問い合わせ先のパケットプリント装置、パケットプリントタイプ(通常パケットプリント(PP)、共通パケットプリント(共通PP))、問い合わせ順序等を判別する機能を備えている。
【0157】
また、追跡マネージャ320には、図17(a)に示したような対応表321が設けられている。この対応表321は、図17(b)に示したパケットプリント装置(PP1〜PP10)、ルータ(R)、パケット変換装置(NAT1、NAT2)の構成図321aに対応している。なお、構成図321aおよび対応表321は、例示である図16と異なるが、実際には、対応表321は、図16に対応する情報が格納されている。
【0158】
対応表321には、パケットプリント装置番号、隣接パケットプリント装置番号、パケットプリントタイプの情報が格納されている。隣接パケットプリント装置番号は、パケットプリント装置番号のパケット装置に隣接するパケット装置に対応するパケットプリント装置番号である。パケットプリントタイプは、パケットプリントのタイプ(通常または共通)である。
【0159】
図16に示した追跡マネージャ320は、対応表321に基づいて、パケット追跡を行う。すなわち、IDS200により不正アクセスパケットが検出されると、追跡マネージャ320は、パケットプリント装置420Aに対して、通常のPP1を問い合わせる(▲1▼)。この場合、PP1が見つかったとすると、追跡マネージャ320は、PP1に対応する共通PPを取得する(▲2▼)。
【0160】
つぎに、追跡マネージャ320は、パケットプリント装置420Bに対して共通PPを問い合わせた後(▲3▼)、共通PPに対応するPP2を取得する(▲4▼)。つぎに、追跡マネージャ320は、パケットプリント装置420Cに対して、PP2を問い合わせた後(▲5▼)、パケットプリント装置420CからPP2が見つかったことの通知を受ける(▲6▼)。
【0161】
以上説明したように、実施の形態3によれば、ネットワークを流れるパケットについて、パケット変換装置500における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置500の前後で共通な内容の共通PP(共通パケット特定情報)と、マスク前のパケットを特定するためのPP(通常パケット特定情報)とを生成、格納し、検索要求を受けて、共通PPおよびPPに基づいて、パケット変換装置500の前後におけるパケットを同定することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0162】
また、実施の形態3によれば、ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ共通PPを生成することとしたので、パケットの方向に応じてパケットの追跡を行うことができる。
【0163】
また、実施の形態3によれば、図14に示したように、ネットワークに送出されるバリアパケットの情報を格納し、共通PPおよびPPでパケットの同定ができない場合、バリアパケットの情報に基づいて、該パケットの同定を行うこととしたので、パケットの同定精度を高めることができる。
【0164】
また、実施の形態3によれば、追跡マネージャが主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0165】
(実施の形態4)
さて、前述した実施の形態3(図16参照)においては、追跡マネージャを高機能化した例について説明したが、パケットプリント装置を高機能化してもよい。以下では、この構成例を実施の形態4として説明する。
【0166】
図18は、本発明にかかる実施の形態4の構成を示すブロック図である。この図において、図1の各部に対応する部分には同一の符号を付ける。図18において、追跡マネージャ330は、追跡マネージャ300(図1参照)と同一の機能を備えている。
【0167】
パケットプリント装置430Aは、グローバルネットワークAを流れるパケットを監視対象とし、実施の形態1〜3と同様にしてパケットプリントを生成、格納する。パケットプリント装置430Bは、グローバルネットワークAとパケット変換装置500との間を流れるパケット(同図では、パケット250)を監視対象とし、パケットプリントを生成、格納する。
【0168】
パケットプリント装置430Cは、パケット変換装置500とローカルネットワークBとの間を流れるパケット(同図では、パケット250’)を監視対象とし、パケットプリントを生成、格納する。パケットプリント装置430Dは、ローカルネットワークBを流れるパケットを監視対象とし、パケットプリントを生成、格納する。
【0169】
また、パケットプリント装置430A、430B、430Cおよび430Dは、上述した高機能化を実現するための対応テーブルに基づいて、自装置の設置場所、追跡対象パケットの追跡経路、パケット変換の有無、問い合わせ先等について判断する。
【0170】
図19(a)、(b)、(c)および(d)は、対応テーブル431A、431B、431Cおよび431Dを示す図である。これらの対応テーブル431A、431B、431Cおよび431Dは、パケットプリント装置430A、430B、430Cおよび430Dで用いられる。
【0171】
これらの対応テーブル431A、431B、431Cおよび431Dは、パケットプリント装置番号、追跡開始パケットプリント装置番号、パケット変換装置有無、変換処理前のパケットプリントに関する問い合わせ先パケットプリント装置の情報を格納している。
【0172】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置430A〜430Dに一斉にパケットプリントPPa_1の有無を問い合わせる(▲1▼〜▲4▼)。これにより、パケットプリント装置430A〜430Dは、追跡マネージャ330の問い合わせ内容を各対応テーブルに基づいて、適切に解釈し、応答する。
【0173】
図20は、上述した実施の形態4(パケットプリント装置の高機能化)に実施の形態1を適用した構成例を示すブロック図である。同図において、図18の各部に対応する部分には同一の符号を付ける。
【0174】
図20においては、図18に示したパケットプリント装置430A〜430Dに代えて、パケットプリント装置400A〜400Dが設けられている。これらのパケットプリント装置400A〜400Dは、実施の形態1で説明した図2に示したパケットプリント装置400と同一構成とされている。また、パケットプリント装置400A〜400Dのそれぞれには、上述した対応テーブル(図19参照)と同様の対応テーブルがそれぞれ格納されている。
【0175】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置400A〜400Dに一斉にパケットプリントPPa_1の有無を問い合わせる(▲1▼〜▲4▼)。これにより、パケットプリント装置400A〜400Dは、追跡マネージャ330の問い合わせ内容を各対応テーブルに基づいて、適切に解釈し、応答する。
【0176】
図21は、上述した実施の形態4(パケットプリント装置の高機能化)に実施の形態3を適用した構成例を示すブロック図である。同図において、図18の各部に対応する部分には同一の符号を付ける。
【0177】
図21においては、図18に示したパケットプリント装置430A〜430Dに代えて、パケットプリント装置420Aおよび420Bが設けられている。これらのパケットプリント装置420Aおよび420Bは、実施の形態3で説明した図8に示したパケットプリント装置420Aおよび420Bと同一構成とされている。
【0178】
同図において、パケットプリント装置420Aの対応テーブル421Aには、PP(同図では、PPa_1等)および共通PP(同図では、Commonkey1等)が格納されている。
【0179】
一方、パケットプリント装置420Bの対応テーブル421Bにも、PP(同図では、PPb_1等)および共通PP(同図では、Commonkey1等)が格納されている。
【0180】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置420AにパケットプリントPPa_1の有無を問い合わせる(▲1▼)。
【0181】
これにより、パケットプリント装置420Aは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Aは、対応テーブル421Aから事前に他のパケットプリント装置を問い合わせる必要がないことを判断し、PPa_1を検索し(▲2▼)、PPa_1を見つける(▲3▼)。つぎに、パケットプリント装置420Aは、検索結果(PPa_1)を通知する。
【0182】
また、追跡マネージャ330は、パケットプリント装置420BにもパケットプリントPPa_1の有無を問い合わせる(▲1▼’)。
【0183】
これにより、パケットプリント装置420Bは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Bは、対応テーブル421BからPPa_1を検索する(▲2▼’)。
【0184】
この場合、パケットプリント装置420Bは、パケット変換装置500の外側に位置する追跡マネージャ330からのパケットプリント装置420Aを起点とした検索要求であると判断する。また、パケットプリント装置420Bは、対応テーブル421BにPPa_1が存在しないため、対応テーブル(図19参照)に基づいて、まず、対応テーブル421AからPPa_1を検索し(▲3▼’)、PPa_1および対応するCommonKey1(共通PP)を見つける(▲4▼’)。
【0185】
つぎに、パケットプリント装置420Bは、対応テーブル421AからのCommonKey1(共通PP)をキーとして、対応テーブル421Bを検索し(▲5▼’)、CommonKey1(共通PP)を見つける(▲6▼’)。そして、パケットプリント装置420Bは、検索結果(PPa_1)を通知する(▲7▼’)。
【0186】
また、実施の形態4においては、図22に示したように、図21に示した内側のパケットプリント装置420Bを複数台の構成としてもよい。図22においては、図21に示したパケットプリント装置420Bに代えて3台のパケットプリント装置420B1 〜420B3 が設けられている。
【0187】
これらのパケットプリント装置420B1 〜420B3 は、パケットプリント装置420Bと同一構成とされており、対応テーブル421B1 〜421B3 をそれぞれ備えている。
【0188】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置420AにパケットプリントPPa_1の有無を問い合わせる(▲1▼)。
【0189】
これにより、パケットプリント装置420Aは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Aは、対応テーブル421AからPPa_1を検索し、PPa_1を見つける(▲2▼)。つぎに、パケットプリント装置420Aは、検索結果(PPa_1)を通知する(▲2▼’)。
【0190】
また、追跡マネージャ330は、パケットプリント装置420B1 にもパケットプリントPPa_1の有無を問い合わせる(▲3▼)。これにより、パケットプリント装置420B1 は、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420B1 は、対応テーブル421B1 からPPa_1を検索する(▲4▼)。
【0191】
この場合、パケットプリント装置420B1 は、パケット変換装置500の外側に位置する追跡マネージャ330からのパケットプリント装置420Aを起点とした検索要求であると判断する。また、パケットプリント装置420B1 は、対応テーブル421B1 にPPa_1が存在しないため、対応テーブル(図19参照)に基づいて、まず、対応テーブル421AからPPa_1を検索する(▲5▼)。
【0192】
そして、パケットプリント装置420B1 と同様にして、追跡マネージャ330は、パケットプリント装置420B2 および420B3 に対しても、パケットプリントPPa_1の有無を並列的に問い合わせる。以後、パケットプリント装置420B2 および420B3 でも、パケットプリント装置420B1 と同様の動作が実行される(▲6▼以降)。
【0193】
また、実施の形態4では、図22に示したように、パケット変換装置500の外側に追跡マネージャ330およびパケットプリント装置420Aを設け、内側に複数台のパケットプリント装置420B1 〜420B3 を設けた構成例について説明したが、図23に示したように、パケット変換装置500の内側に追跡マネージャ330およびパケットプリント装置420Bを設け、外側に複数台のパケットプリント装置420A1 〜420A3 を設ける構成としてもよい。これらのパケットプリント装置420A1 〜420A3 には、対応テーブル421A1 〜421A3 が設けられている。
【0194】
また、実施の形態4では、図21に示したように、パケットプリント装置420Bが対応テーブル421AからPPa_1を検索し(▲3▼’)、PPa_1および対応するCommonKey1(共通PP)を見つける(▲4▼’)場合の構成例について説明したが、図24に示したように、取得部422Bにより、定期的に対応テーブル421Aをコピーし、パケットプリント装置420B側にコピーの対応テーブル421A’をパケットプリント装置420Bに設けてもよい。
【0195】
この場合には、パケットプリント装置420Bは、対応テーブル421A’を用いて自装置内で検索を行う。なお、実施の形態4において、取得部422Bは、全データをコピーすると容量の問題が生じるため、対応テーブル421Aと対応テーブル421A’との差分のみを対応テーブル421Aから対応テーブル421A’にコピーするようにしてもよい。
【0196】
また、実施の形態4においては、図25に示したように、図24に示した内側のパケットプリント装置420Bを複数台の構成としてもよい。図25においては、図24に示したパケットプリント装置420Bに代えて3台のパケットプリント装置420B1 〜420B3 が設けられている。
【0197】
これらのパケットプリント装置420B1 〜420B3 は、図24に示したパケットプリント装置420Bと同一構成とされており、取得部422B1 〜422B3 、対応テーブル421B1 〜421B3 、対応テーブル421Aのコピーである対応テーブル422A’をそれぞれ備えている。
【0198】
以上説明したように、実施の形態4によれば、パケットプリント装置が主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0199】
(実施の形態5)
さて、前述した実施の形態3においては、マスクをかけないパケットのPPと、マスクをかけたパケットの共通PPとを生成する例について説明したが、PPの生成時にもマスクをかけるようにしてもよい。以下では、この構成例を実施の形態5として説明する。
【0200】
図26は、本発明にかかる実施の形態5の構成を示すブロック図である。この図において、パケットプリント装置440Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250のコピーを取り込む。
【0201】
また、パケットプリント装置440Aは、コピーしたパケット250からPPa_1(ハッシュ値)等およびPPb_1(ハッシュ値)等を生成・格納する。
【0202】
具体的には、パケットプリント装置440Aは、図27(a)に示したように、パケット250にノーマルパターンでマスク(網掛け部分)をかけ、残りの部分250aからパケットプリントPPa_1を生成し、第1のPP格納部441A(図26参照)に格納する。
【0203】
また、パケットプリント装置440Aは、図27(b)に示したように、パケット250にNATパターンでマスク(網掛け部分)をかけ、残りの部分250bからパケットプリントPPb_1を生成し、第2のPP格納部441B(図26参照)に格納する。
【0204】
図26に示したパケットプリント装置440Bにおいても、同様にして、ノーマルマスクパターンおよびNATマスクパターンに対応するパケットプリントが生成、格納される。
【0205】
上記構成において、IDS200により不正アクセスパケット(例えば、パケット250)が検出されると、追跡マネージャ300は、パケット250からノーマルマスクパターンからPPa_1を生成するとともに、NATマスクパターンからPPb_1を生成する。
【0206】
つぎに、追跡マネージャ300は、パケットプリント装置440Aに対して、第1のPP格納部441AのPPa_1を問い合わせる(▲1▼)。これにより、パケットプリント装置440Aは、PPa_1をキーとして、第1のPP格納部441Aを検索し(▲2▼)、PPa_1を見つける(▲3▼)。つぎに、パケットプリント装置440Aは、追跡マネージャ300に対して、PPa_1が見つかったことを通知する。
【0207】
また、追跡マネージャ300は、パケットプリント装置440Bに対して、第2のPP格納部441BのPPb_1を問い合わせる(▲1▼’)。これにより、パケットプリント装置440Bは、PPb_1をキーとして、第2のPP格納部441Bを検索し(▲2▼’)、PPb_1を見つける(▲3▼’)。つぎに、パケットプリント装置440Bは、追跡マネージャ300に対して、PPb_1が見つかったことを通知する。
【0208】
(実施の形態6)
なお、実施の形態5においては、パケットが流れる方向によって、マスクパターンを変えてもよい。以下では、この構成例を実施の形態6として説明する。図28は、本発明にかかる実施の形態6の構成を示すブロック図である。
【0209】
この図において、パケットプリント装置450Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット(例えば、250(260’))のコピーを取り込む。
【0210】
また、パケットプリント装置450Aは、コピーしたパケットからPPa1_1、PPb_1およびPPc_1等を生成・格納する。
【0211】
具体的には、パケットプリント装置450Aは、図29(a)に示したように、パケットPにノーマルパターンでマスク(網掛け部分)をかけ、残りの部分PaからパケットプリントPPa_1を生成し、第1のPP格納部451A(図28参照)に格納する。
【0212】
また、グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合、パケットプリント装置450Aは、図29(b)に示したように、主として、パケット変換装置500で変更される発信先IPアドレスがマスクされる。
【0213】
この場合、パケットプリント装置450Aは、パケットPに発信元マスクパターンで(網掛け部分)をかけ、残りの部分PbからパケットプリントPPb_1を生成し、第2のPP格納部451B(図28参照)に格納する。
【0214】
また、ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合、パケットプリント装置450Aは、図29(c)に示したように、主として、パケット変換装置500で変更される発信元IPアドレスがマスクされる。
【0215】
この場合、パケットプリント装置450Aは、パケットPに発信先マスクパターンで(網掛け部分)をかけ、残りの部分PcからパケットプリントPPc_1を生成し、第3のPP格納部451C(図28参照)に格納する。
【0216】
なお、実施の形態6においては、図30(a)に示したように、パケットPにマスクをかけた残りの部分P’からパケットプリントを生成しているが、図30(b)に示したように、パケットPにマスクをかけた残りの部分を部分P1、P2およびP3に分割し、部分P1、P2およびP3に対応するパケットプリントA、BおよびCを生成してもよい。
【0217】
これらのパケットプリントA、BおよびCを組み合わせることにより、図30(c)に示したように、パケットプリント、発信先NATマスクパケットプリント、発信元NATマスクパケットプリントとしてもよい。
【0218】
パケットプリントは、パケットプリントA、パケットプリントBおよびパケットプリントCの組み合わせから生成され、図29(a)に示したPPa_1の代用としてもよい。発信先NATマスクパケットプリントは、パケットプリントAおよびパケットプリントCの組み合わせから生成され、図29(b)に示したPPb_1の代用としてもよい。
【0219】
発信元NATマスクパケットプリントは、パケットプリントAおよびパケットプリントBの組み合わせから生成され、図29(c)に示したPPc_1の代用としてもよい。
【0220】
このように、分割されたパケットプリントA、BおよびCを生成することにより、組み合わせで様々なパケットプリントを生成することができるため、図28に示したように、三つのPP格納部(第1のPP格納部451A、第2のPP格納部451B、第3のPP格納部451C)を持つ必要が無いため、構成を簡略化することができる。
【0221】
以上説明したように、実施の形態6によれば、図30に示したように、パケット変換装置500における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するためのパケットプリントを生成し、部分パケットのパケットプリントを組み合わせることにより共通PP等を生成し、格納することとしたので、共通PP等の生成効率を高めることができる。
【0222】
(実施の形態7)
さて、前述した実施の形態1〜6においては、図31に示したように、追跡マネージャやパケットプリント装置の機能を代理するプロキシ装置600を設けて、追跡マネージャ300からの指示に基づいて、プロキシ装置600にパケット追跡を行わせるようにしてもよい。
【0223】
プロキシ装置600は、追跡サブマネージャ300Sと、パケットプリント装置410Bと、パケットプリント装置410Cと、マッチング装置601とから構成されており、上記代理機能を備えている。追跡サブマネージャ300Sは、追跡マネージャ300と同様の機能を備えている。
【0224】
パケットプリント装置410Bは、PP格納部416を備えており、グローバルネットワークAとパケット変換装置500との間を流れるパケットを監視し、PPa_1等を生成、格納する。パケットプリント装置410Cは、PP格納部416を備えており、パケット変換装置500とローカルネットワークBとの間を流れるパケットを監視し、PPb_1等を生成、格納する。
【0225】
パケットプリント装置410Aは、PP格納部416を備えており、グローバルネットワークAを流れるパケットを監視し、PPa_1等を生成、格納する。マッチング装置601は、追跡サブマネージャ300Sがパケットプリント装置410Bおよびパケットプリント装置410Cに対して検索要求を行い、検索結果から追跡対象パケットがパケットプリント装置410Bおよびパケットプリント装置410Cの双方を通過したことを判断するために必要な情報および手段を提供する。また、追跡サブマネージャ300Sは、図1に示したようなパケット変換装置500から変換テーブル501の情報を取得し、パケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図8および図13に示したような共通PPおよび共通PP’の同定処理および補足情報を追加利用した同定処理を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図14に示したようなバリアパケットを用いた共通PPおよび共通PP’の同定処理の支援を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図21に示したような他パケットプリント装置に対するCommonkey(共通PP)の問い合わせ処理を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図24に示したような他パケットプリント装置からのCommonkey(共通PP)の定期的コピー処理を行う。
【0226】
上記構成において、IDS200が不正アクセスパケット(パケット250’)を検出すると、追跡マネージャ300は、当該不正アクセスパケットに対応するPPb_1を生成し、追跡サブマネージャ300Sに追跡の代理を依頼する(▲1▼)。これにより、追跡サブマネージャ300Sは、不正アクセスパケットの検出位置(パケット変換装置500の前後)に基づいて、パケットプリント装置410Bまたはパケットプリント装置410Cにアクセスし、パケットプリントの検索を行う(▲2▼)。
【0227】
また、追跡サブマネージャ300Sは、パケットプリント装置410B、パケットプリント装置410Cの検索終了後、さらに追跡が必要な場合、パケットプリント装置410Aなど、他のパケットプリント装置に対して、PPa_1の検索を要求する。追跡サブマネージャ300Sは、パケットの追跡処理の経過および結果を追跡マネージャ300へ通知する(▲1▼’)。なお、実施の形態7において、プロキシ装置600には、実施の形態1〜6で開示した機能の組み合わせも含まれる。なお、実施の形態7においては、図31に示したプロキシ装置600をネットワーク上に複数設け、あるプロキシ装置600から他のプロキシ装置600へと多段的に問い合わせる構成としてもよい。
【0228】
以上説明したように、実施の形態7によれば、追跡対象パケットの追跡を、追跡マネージャ、パケットプリント装置の機能を有するプロキシ装置600へ代理依頼することとしたので、追跡マネージャ300の追跡処理負荷を軽減することができる。また、実施の形態7によれば、追跡マネージャ、パケットプリント装置等が一つのプロキシ装置600としてまとめられ、一つのハードウェアとして実装、運用管理のコストを削減することができ、パケットプリント装置、追跡マネージャ間の通信の高速化、秘匿性の向上を図ることができる。
【0229】
以上本発明にかかる実施の形態1〜7について図面を参照して詳述してきたが、具体的な構成例はこれらの実施の形態1〜7に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等があっても本発明に含まれる。
【0230】
例えば、前述した実施の形態1〜7においては、追跡マネージャ、パケットプリント装置の各機能を実現するためのプログラムを図32に示したコンピュータ読み取り可能な記録媒体800に記録して、この記録媒体800に記録されたプログラムを同図に示したコンピュータ700に読み込ませ、実行することにより各機能を実現してもよい。
【0231】
同図に示したコンピュータ700は、上記プログラムを実行するCPU(Central Processing Unit)710と、キーボード、マウス等の入力装置720と、各種データを記憶するROM(Read Only Memory)730と、演算パラメータ等を記憶するRAM(Random Access Memory)740と、記録媒体800からプログラムを読み取る読取装置750と、ディスプレイ、プリンタ等の出力装置760と、装置各部を接続するバス770とから構成されている。
【0232】
CPU710は、読取装置750を経由して記録媒体800に記録されているプログラムを読み込んだ後、プログラムを実行することにより、前述した機能を実現する。なお、記録媒体800としては、光ディスク、フレキシブルディスク、ハードディスク等が挙げられる。
【0233】
【発明の効果】
以上説明したように、本発明によれば、ネットワークを流れるパケットについて、パケット変換装置における書き換え前のパケットを特定するための第1のパケット特定情報と、書き換え後のパケットを特定するための第2のパケット特定情報とを生成、格納し、追跡対象パケット特定情報を含む検索要求を受けて、第1のパケット特定情報または第2のパケット特定情報を検索し、検索結果を追跡マネージャへ送信することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるという効果を奏する。
【0234】
また、本発明によれば、パケット変換装置における書き換え前の追跡対象パケットを特定するための第1の追跡対象パケット特定情報と、書き換え後の追跡対象パケットを特定するための第2の追跡対象パケット特定情報とを生成し、追跡対象パケットの検出位置に基づいて、第1の追跡対象パケット特定情報または第2の追跡対象パケット特定情報をパケットプリント装置へ通知し、パケット特定情報の検索を依頼することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるという効果を奏する。
【0242】
また、本発明にかかるパケット追跡プログラムによれば、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるようにしたので、そのパケット追跡プログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明にかかる実施の形態1の構成を示すブロック図である。
【図2】図1に示したパケットプリント装置400(400A、400B)の構成を示すブロック図である。
【図3】図1および図2に示したパケットプリント装置400(400A、400B)の動作を説明するフローチャートである。
【図4】同実施の形態1の動作を説明するシーケンス図である。
【図5】本発明にかかる実施の形態2の構成を示すブロック図である。
【図6】図5に示した追跡マネージャ310の構成を示すブロック図である。
【図7】同実施の形態2の動作を説明するシーケンス図である。
【図8】本発明にかかる実施の形態3の構成を示すブロック図である。
【図9】図8に示した共通PPおよび共通PP’を生成する場合のパケット250(250’)のマスク状態を表す図である。
【図10】グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合のマスク箇所を表す図である。
【図11】ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合のマスク箇所を表す図である。
【図12】同実施の形態3においてパケット変換装置500よって書き換えられるIPアドレスを含むペイロードをマスク箇所とする場合を説明する図である。
【図13】同実施の形態3において補足情報を用いてパケットの同定精度を高めるための構成を示すブロック図である。
【図14】同実施の形態3においてバリアパケットを用いてパケットの同定精度を高めるための構成を示すブロック図である。
【図15】図14に示したバリアパケットを用いたパケット追跡を説明するブロック図である。
【図16】同実施の形態3において追跡マネージャを高機能化した場合の具体例を説明するブロック図である。
【図17】同実施の形態3における対応表321および構成図321aを示す図である。
【図18】本発明にかかる実施の形態4の構成を示すブロック図である。
【図19】対応テーブル431A、431B、431Cおよび431Dを示す図である。
【図20】同実施の形態4(パケットプリント装置の高機能化)に実施の形態1を適用した構成例を示すブロック図である。
【図21】同実施の形態4(パケットプリント装置の高機能化)に実施の形態3を適用した構成例を示すブロック図である。
【図22】同実施の形態4において、内側のパケットプリント装置を複数台とした場合の構成例を示すブロック図である。
【図23】同実施の形態4において、パケット変換装置500の内側に追跡マネージャ330およびパケットプリント装置420Bを設け、外側に複数台のパケットプリント装置420A1 〜420A3 を設けた構成例を示すブロック図である。
【図24】同実施の形態4における図21に示した構成の変形例を示すブロック図である。
【図25】図24に示した内側のパケットプリント装置420Bを複数台とした場合の構成例を示すブロック図である。
【図26】本発明にかかる実施の形態5の構成を示すブロック図である。
【図27】同実施の形態5におけるマスクパターンを説明する図である。
【図28】本発明にかかる実施の形態6の構成を示すブロック図である。
【図29】同実施の形態6におけるマスクパターンを説明する図である。
【図30】同実施の形態6における変形例を説明する図である。
【図31】本発明にかかる実施の形態7の構成を示すブロック図である。
【図32】本発明にかかる実施の形態1〜7の変形例の構成を示すブロック図である。
【図33】従来のパケット追跡システムの構成を示すブロック図である。
【図34】図33に示したパケットプリント装置101(101a、101b、101c)の構成を示すブロック図である。
【図35】図33に示した追跡マネージャ102の構成を示すブロック図である。
【図36】従来のパケット追跡システムの問題点を説明する図である。
【符号の説明】
200 IDS
300 追跡マネージャ
310 追跡マネージャ
400A パケットプリント装置
410A パケットプリント装置
420A パケットプリント装置
430A パケットプリント装置
500 パケット変換装置[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a packet tracking method and a packet tracking program for tracking a monitoring target packet flowing in a network, and in particular, a packet tracking method and a packet capable of performing packet tracking even in a network in which information included in the packet is rewritten. It is about a tracking program.
[0002]
[Prior art]
Conventionally, an IDS (Intrusion Detection System) has been used to detect suspicious packets in a network. When a suspicious packet is detected by this IDS and the packet is traced, the packet is traced using the source address as a key.
[0003]
Therefore, if the source address is spoofed, accurate packet tracking cannot be performed. In order to identify and trace such a spoofed packet from the sender, methods such as adding a mark to the packet and modifying the packet and examining the packet contents are considered. It was.
[0004]
However, the conventional method of adding information serving as a mark in the packet described above has a problem of infringing privacy because the contents are examined. In addition, if the information given by the third party for tracking in the packet is fraudulent information given or modified by a malicious third party, the packet shall be accurately tracked. I could not.
[0005]
Conventionally, a method of tracking in an existing network device such as a router has been considered. However, in order to realize this method, it is necessary to partially change the mechanism inside the target network device and the network configuration. For this reason, there has been a problem in that it is not possible to flexibly make configuration changes such as addition of devices and change of installation location.
[0006]
FIG. 33 is a block diagram showing an outline of the configuration of a conventional packet tracking system for solving the above problem. In the figure,
[0007]
In order to monitor these
[0008]
The
[0009]
Each of these
[0010]
Here, the most common packet print is called a hash value. A one-way function called a hash function is used to generate the hash value. Based on this one-way function, variable-length character string data including characters, numbers, and the like included in the packet is summarized into fixed-length data. This summarized fixed-length data is called a hash value. Hereinafter, this packet print will be described as a hash value.
[0011]
The IDS 103 is connected to the local network 50C and the management network. The IDS 103 is a device that detects unauthorized access packets that have entered the monitored network. The
[0012]
In the above configuration, it is assumed that the IDS 103 detects an unauthorized access packet in the local network 50C. The detection of the unauthorized access packet is performed based on the unauthorized access determination criteria and rules defined by the user.
[0013]
For example, when a port scan is performed, the IDS 103 transmits an alarm for the port scan and a packet subjected to the port scan to the
[0014]
Next, the
[0015]
Then, each of the
[0016]
For example, when a search result indicating that a matching packet print (hash value) is stored is received from the
[0017]
In the configuration shown in FIG. 33, the management network for connecting the
[0018]
FIG. 34 is a block diagram illustrating a functional configuration of the
[0019]
The
[0020]
When the packet print (hash value) stored in the
[0021]
If the packet print (hash value) stored in the
[0022]
The
[0023]
FIG. 35 is a block diagram illustrating a functional configuration of the
[0024]
The method specified by the
[0025]
The tracking request unit 125 transmits a search request including the packet print (hash value) generated by the
[0026]
Based on the search results transmitted from these
[0027]
In this way, information on the passage route of the tracking target packet created by the passage
[0028]
[Patent Document 1]
JP 2000-124952 A
[Non-Patent Document 1]
Takei, “Unauthorized Access Detection and Tracking Method Using Traffic Patterns”, IEICE Technical Report, The Institute of Electronics, Information and Communication Engineers, November 18, 1999, Vol. 99 No. 436, p. 37-42
[Non-Patent Document 2]
Kokubo, “Model Review of Unauthorized Access Source Tracking System”, Proceedings of the 60th National Conference (3), Information Processing Society of Japan, March 14, 2000, p. 3-283-3-284
[Non-Patent Document 3]
Watanabe, “Examination of Packet Identification Information for Unauthorized Access Source Tracking”, Proceedings of the 60th National Conference (3), Information Processing Society of Japan, March 14, 2000, p. 3-289-3-290
[Non-Patent Document 4]
Watanabe, “Verification of validity of packet identification information in tracking illegal access sources”, Proceedings of the 61st (late 2000) National Convention (3), Information Processing Society of Japan, October 3, 2000, p. 3-259-3-260
[Non-Patent Document 5]
Ikeda, “Validation of architecture of unauthorized access source tracking system”, Proceedings of the 62nd (2001) National Convention, Information Processing Society of Japan, March 13, 2001, p . 3-285-3-286
[Non-Patent Document 6]
Alex C Snoeren, “Hash-Based IP Traceback”, BBN Technical Memorandum No.1284, February 7,2001
[0029]
[Problems to be solved by the invention]
Incidentally, as described above, in the conventional packet tracking system, the local IP address included in the tracking target packet does not change through the
[0030]
For this reason, in the conventional packet tracking system, it is possible to track using the packet print of the tracking target packet whose local IP address or the like does not change as a key.
[0031]
On the other hand, in a network to which NAT (Network Address Translation) or IP masquerading is applied, the IP address, port number, sequence number, etc. included in the tracked packet are rewritten in the middle of passage. There was a problem that the packet tracking system could not perform tracking.
[0032]
Here, NAT mutually converts a local IP address that can be used only within the company and an original global IP address that can be used to access a global network such as the Internet, and from a local network to which only a local IP address is assigned. , A technology that enables transparent access to the global network.
[0033]
IP masquerade uses different communication ports by converting not only the IP address conversion by NAT but also the TCP / UDP (Transmission Control Protocol / User Datagram Protocol) port number, sequence number, etc. This is a technology that allows a plurality of local IP nodes to communicate with the outside by using one global IP address.
[0034]
FIG. 36 illustrates a network configuration to which the above-described NAT or IP masquerade is applied. In the figure, a
The global network A is an external network, and a global IP address is applied.
[0035]
The
[0036]
Specifically, DstIP: 210.162.74.2 (destination global IP address) of
[0037]
Here, when the conventional packet tracking system is applied to the network shown in FIG. 36, the packet printing is different before and after the
[0038]
Similarly, a
[0039]
In the example shown in the figure, the packet print PP corresponding to the
[0040]
The present invention has been made in view of the above, and an object of the present invention is to provide a packet tracking method and a packet tracking program that can perform packet tracking even in a network in which information included in a packet is rewritten.
[0041]
[Means for Solving the Problems]
In order to solve the above-described problems and achieve the object, the present invention performs transmission / reception of information between a plurality of packet printing apparatuses arranged at important points of a monitored network and these packet printing apparatuses. A packet tracking method applied to a packet tracking system including a tracking manager, for identifying a packet before rewriting in a packet conversion device that rewrites information included in the packet when passing through the network Packet specifying information storing step for generating and storing first packet specifying information and second packet specifying information for specifying the rewritten packet, and tracking target packet specifying information for specifying the tracking target packet Is received from the tracking manager, and the first packet specifying information is received. Retrieves the second packet identification information, characterized by comprising a search step of transmitting the search result to the tracking manager, a.
[0042]
According to the present invention, for a packet flowing through a network, the first packet specifying information for specifying a packet before rewriting in the packet conversion device and the second packet specifying information for specifying a packet after rewriting are provided. Since the search request including the packet identification information to be generated and stored is received, the first packet identification information or the second packet identification information is searched, and the search result is transmitted to the tracking manager. Packet tracking can also be performed in a network in which the included information is rewritten.
[0043]
The present invention also provides a plurality of packet generating information for generating and storing packet specifying information for specifying a packet flowing in a network having a packet conversion device which is arranged at a key point of a network to be monitored and rewrites information included in the packet when passing Packet tracking method applied to a packet tracking system comprising a packet printing apparatus of this type and a tracking manager that transmits and receives information between these packet printing apparatuses, and is a tracking target before rewriting in the packet conversion apparatus A packet specifying information generating step for generating first tracking target packet specifying information for specifying a packet and second tracking target packet specifying information for specifying the rewritten tracking target packet; Based on the position, the first tracking target packet specifying information or the second additional packet identification information. Notifies the target packet identification information to the packet printing apparatus, characterized in that it comprises a and a search request step of requesting retrieval of the packet identification information.
[0044]
According to the present invention, the first tracking target packet specifying information for specifying the tracking target packet before rewriting in the packet converter and the second tracking target packet specifying information for specifying the tracking target packet after rewriting Generating the first tracking target packet specifying information or the second tracking target packet specifying information to the packet printing apparatus based on the detection position of the tracking target packet, and requesting the search of the packet specifying information. Therefore, packet tracking can be performed even in a network in which information included in a packet is rewritten.
[0058]
Further, according to the packet tracking program of the present invention, since the computer executes the method described in any one of the above inventions, the packet tracking program can be read by the computer. Any one of the operations of the present invention can be executed by a computer.
[0059]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter,
[0060]
(Embodiment 1)
FIG. 1 is a block diagram showing the configuration of the first embodiment according to the present invention. The figure shows a packet tracking system for performing packet tracking even in a network having a function of converting information contained in a packet.
[0061]
The
[0062]
The local network B is an internal network, and a local IP address is applied. The global network A is an external network, and a global IP address is applied.
[0063]
The
[0064]
The
[0065]
The
[0066]
The
[0067]
The
[0068]
Here, the
[0069]
That is, the
[0070]
On the other hand, the
[0071]
Here, the
[0072]
That is, the
[0073]
FIG. 2 is a block diagram showing a configuration of the packet printing apparatus 400 (400A, 400B) shown in FIG. In the figure, a
[0074]
The
[0075]
The
[0076]
The
[0077]
The first
[0078]
The
[0079]
If the packet print is less than a certain amount, the
[0080]
The
[0081]
Further, the
[0082]
Further, the
[0083]
Next, the operation of the first embodiment will be described with reference to FIG. 3 and FIG. FIG. 3 is a flowchart for explaining the operation of the packet printing apparatus 400 (400A, 400B) shown in FIGS. FIG. 4 is a sequence diagram for explaining the operation of the first embodiment.
[0084]
In step SA1 shown in FIG. 3, the packet printing unit 403 (see FIG. 2) of the
[0085]
When the packet 250 (see FIG. 1) passes through the monitoring target network (between the global network A and the packet conversion device 500) of the
[0086]
In step SA3, the
[0087]
In step SA6, the
[0088]
On the other hand, when the determination result in step SA6 is “Yes”, in step SA8, the
[0089]
The
[0090]
Further, when the
[0091]
In step SA3, the
[0092]
In step SA6, the
[0093]
In step SA7, the
[0094]
When an unauthorized access packet is detected in the local network B by the
[0095]
In step SB3, the
[0096]
In step SB5, the
[0097]
In step SB6, the tracking agent unit 407 (see FIG. 2) of the
[0098]
Here, when the detected position information is after the
[0099]
In this case, the
[0100]
In step SB9, the
[0101]
In Step SB4, the
[0102]
As described above, according to the first embodiment, PPa_1 (first packet specifying information) for specifying the
[0103]
(Embodiment 2)
In the first embodiment described above, an example in which two types of packet prints corresponding to the packets before and after the conversion of the
[0104]
FIG. 5 is a block diagram showing a configuration of the second embodiment according to the present invention. In this figure, parts corresponding to those in FIG. 5, a
[0105]
The
[0106]
FIG. 6 is a block diagram showing a functional configuration of the
[0107]
The
[0108]
The trace request unit 314 transmits a search request including any one of the two types of packet prints (hash values) generated by the
[0109]
Based on the search results transmitted from the
[0110]
Returning to FIG. 5, the
[0111]
That is, the
[0112]
On the other hand, the
[0113]
That is, the
[0114]
Next, the operation of the second embodiment will be described with reference to the sequence diagram shown in FIG. When an unauthorized access packet is detected in the local network B by the
[0115]
Here, it is assumed that the unauthorized access packet is the
[0116]
In step SC3, the packet print unit 312 (see FIG. 6) of the
[0117]
In step SC5, the
[0118]
In step SC7, the tracking request unit 314 of the
[0119]
Here, if the detected position information is before the
[0120]
On the other hand, when the detected position information is after the
[0121]
In step SC8, the
[0122]
In step SC10, the tracking request unit 314 of the
[0123]
In step SC6, the
[0124]
As described above, according to the second embodiment, the
[0125]
(Embodiment 3)
FIG. 8 is a block diagram showing a configuration of the third embodiment according to the present invention. In the third embodiment, a method for identifying packets before and after the
[0126]
In the figure, a
[0127]
Further, the
[0128]
On the other hand, the
[0129]
Further, the
[0130]
As described above, in the third embodiment, by masking the changing information, the common PP and the common PP ′ have the same value, so that the packets can be identified before and after the
[0131]
FIG. 9 is a diagram illustrating mask portions of the packet 250 (250 ′) when the common PP and the common PP ′ illustrated in FIG. 8 are generated. In this figure, the shaded portion is information that is converted before and after the
[0132]
In the third embodiment, the mask location may be changed depending on the direction in which the packet flows. FIG. 10 is a diagram illustrating mask portions when a packet flows from the global network A (outside) to the local network B (inside). In the example shown in the figure, the destination IP address and the destination port are mainly masked.
[0133]
FIG. 11 is a diagram illustrating mask portions when a packet flows from the local network B (inside) to the global network A (outside). In the example shown in the figure, the source IP address and the source port are mainly masked.
[0134]
Further, in some protocols (FTP (File Transfer Protocol), ICMP (Internet Control Message Protocol), SNMP (Simple Network Management Protocol)) among protocols used for packet communication, an IP address is also included in the packet payload. May be described and rewritten by the
[0135]
Therefore, in the third embodiment, as shown in FIG. 12, a payload including an IP address rewritten by the
[0136]
In the example shown in FIG. 8, the common PP and the common PP ′ are compared when identifying the packet between the
[0137]
For example, the collision occurs when there is a plurality of common PP ′ having the same value on the
[0138]
Therefore, in the third embodiment, in order to increase the identification accuracy, supplemental information (identifier, TTL, TOS, packet) is generated from the
[0139]
Similarly, on the
[0140]
With this configuration, even if there is a plurality of common PP ′ having the same value on the
[0141]
In the third embodiment, in the case of a packet having no data in the payload, there is a high possibility that the above-described collision occurs between the common PP and the common PP ′. Here, it is conceivable to completely synchronize the time between the
[0142]
Therefore, in the third embodiment, as shown in FIG. 14, barrier
[0143]
The
[0144]
The barrier packet (out) is given an identification barrier No (out). For example, 168463 is assigned to the
[0145]
On the other hand, the barrier
[0146]
The barrier packet (in) is given an identification barrier No (in). For example, 348586 is assigned to the
[0147]
The
[0148]
Note that the
[0149]
On the other hand, the
[0150]
Note that the
[0151]
In the above configuration, for example, when there is a plurality of common PP's having the same value on the
[0152]
That is, when two barrier numbers that are the same as the two barrier numbers on the correspondence table 423A side (168463 and 168464 in the figure) exist in the correspondence table 423B, the common PP sandwiched between the two barrier numbers in the correspondence table 423B. It can be seen that 'and the common PP of the corresponding table 423A corresponding thereto are the same.
[0153]
FIG. 15 is a block diagram for explaining packet tracking using the barrier packet shown in FIG. In this figure, parts corresponding to those in FIGS. 1 and 14 are given the same reference numerals. In FIG. 15, the
[0154]
In the above configuration, when an unauthorized access packet is detected by the
[0155]
Next, the
[0156]
FIG. 16 is a block diagram for explaining a specific example when the tracking manager is enhanced in the third embodiment. In the configuration example shown in the figure, the
[0157]
The
[0158]
The correspondence table 321 stores information on packet print device numbers, adjacent packet print device numbers, and packet print types. The adjacent packet printing apparatus number is a packet printing apparatus number corresponding to a packet apparatus adjacent to the packet apparatus having the packet printing apparatus number. The packet print type is a packet print type (normal or common).
[0159]
The
[0160]
Next, the
[0161]
As described above, according to the third embodiment, for a packet flowing through a network, a packet in which information that is changed by rewriting in the
[0162]
Further, according to the third embodiment, since the common PP is generated by changing the masking information in accordance with the direction of the packet flowing through the network, the packet can be traced according to the direction of the packet. it can.
[0163]
Further, according to the third embodiment, as shown in FIG. 14, when the information of the barrier packet transmitted to the network is stored and the packet cannot be identified by the common PP and PP, the information is based on the information of the barrier packet. Since the packet is identified, the packet identification accuracy can be improved.
[0164]
Further, according to the third embodiment, packet tracking can be performed even in a network in which information included in a packet is rewritten led by a tracking manager.
[0165]
(Embodiment 4)
In the above-described third embodiment (see FIG. 16), the example in which the tracking manager has a higher function has been described. However, the packet printing apparatus may have a higher function. Hereinafter, this configuration example will be described as a fourth embodiment.
[0166]
FIG. 18 is a block diagram showing a configuration of the fourth embodiment according to the present invention. In this figure, parts corresponding to those in FIG. 18, the
[0167]
The
[0168]
The
[0169]
Further, the
[0170]
FIGS. 19A, 19B, 19C, and 19D are diagrams showing correspondence tables 431A, 431B, 431C, and 431D. These correspondence tables 431A, 431B, 431C and 431D are used in the
[0171]
These correspondence tables 431A, 431B, 431C, and 431D store packet print device numbers, tracking start packet print device numbers, presence / absence of packet conversion devices, and information on inquiry destination packet print devices related to packet printing before conversion processing.
[0172]
In the above configuration, when the
[0173]
FIG. 20 is a block diagram illustrating a configuration example in which the first embodiment is applied to the above-described fourth embodiment (high performance of the packet printing apparatus). In the figure, parts corresponding to the parts in FIG.
[0174]
20,
[0175]
In the above configuration, when the
[0176]
FIG. 21 is a block diagram showing a configuration example in which the third embodiment is applied to the above-described fourth embodiment (high performance of the packet printing apparatus). In the figure, parts corresponding to the parts in FIG.
[0177]
In FIG. 21, instead of the
[0178]
In the figure, the correspondence table 421A of the
[0179]
On the other hand, the correspondence table 421B of the
[0180]
In the above configuration, when the
[0181]
Thereby, the
[0182]
The
[0183]
Accordingly, the
[0184]
In this case, the
[0185]
Next, the
[0186]
Further, in the fourth embodiment, as shown in FIG. 22, the inner
[0187]
These
[0188]
In the above configuration, when the
[0189]
Thereby, the
[0190]
In addition, the
[0191]
In this case, the
[0192]
Then, the
[0193]
In the fourth embodiment, as shown in FIG. 22, the
[0194]
In the fourth embodiment, as shown in FIG. 21, the
[0195]
In this case, the
[0196]
Further, in the fourth embodiment, as shown in FIG. 25, the inner
[0197]
These
[0198]
As described above, according to the fourth embodiment, packet tracking can be performed even in a network in which information included in a packet is rewritten by the packet printing apparatus.
[0199]
(Embodiment 5)
In the third embodiment described above, an example of generating a PP of a packet that is not masked and a common PP of a packet that is masked has been described. However, a mask may be applied even when a PP is generated. Good. Hereinafter, this configuration example will be described as a fifth embodiment.
[0200]
FIG. 26 is a block diagram showing a configuration of the fifth embodiment according to the present invention. In this figure, the packet printing apparatus 440A takes a connection link between the global network A and the
[0201]
Further, the packet printing apparatus 440A generates and stores PPa_1 (hash value) and the like, PPb_1 (hash value), and the like from the copied
[0202]
Specifically, as shown in FIG. 27A, the packet printing apparatus 440A applies a mask (shaded part) to the
[0203]
Further, as shown in FIG. 27B, the packet printing apparatus 440A masks the
[0204]
Similarly,
[0205]
In the above configuration, when an unauthorized access packet (for example, packet 250) is detected by the
[0206]
Next, the
[0207]
Further, the
[0208]
(Embodiment 6)
In the fifth embodiment, the mask pattern may be changed depending on the direction in which the packet flows. Hereinafter, this configuration example will be described as a sixth embodiment. FIG. 28 is a block diagram showing a configuration of the sixth embodiment according to the present invention.
[0209]
In this figure, the
[0210]
Further, the
[0211]
Specifically, as shown in FIG. 29A, the
[0212]
In addition, when a packet flows from the global network A (outside) to the local network B (inside), the
[0213]
In this case, the
[0214]
In addition, when a packet flows from the local network B (inside) to the global network A (outside), the
[0215]
In this case, the
[0216]
In the sixth embodiment, as shown in FIG. 30A, the packet print is generated from the remaining portion P ′ obtained by masking the packet P. However, as shown in FIG. In this way, the remaining part of the packet P that has been masked may be divided into parts P1, P2, and P3 to generate packet prints A, B, and C corresponding to the parts P1, P2, and P3.
[0217]
By combining these packet prints A, B, and C, as shown in FIG. 30C, packet prints, destination NAT mask packet prints, and source NAT mask packet prints may be used.
[0218]
The packet print is generated from a combination of packet print A, packet print B, and packet print C, and may be used in place of PPa_1 shown in FIG. The destination NAT mask packet print is generated from a combination of packet print A and packet print C, and may be used in place of PPb_1 shown in FIG.
[0219]
The sender NAT mask packet print is generated from a combination of packet print A and packet print B, and may be used in place of PPc_1 shown in FIG.
[0220]
In this way, by generating the divided packet prints A, B, and C, various packet prints can be generated in combination. Therefore, as shown in FIG. The
[0221]
As described above, according to the sixth embodiment, as shown in FIG. 30, a packet masked with information that changes by rewriting in
[0222]
(Embodiment 7)
In the first to sixth embodiments described above, as shown in FIG. 31, the
[0223]
The
[0224]
The
[0225]
The
[0226]
In the above configuration, when the
[0227]
The tracking sub-manager 300S requests another packet printing device such as the
[0228]
As described above, according to the seventh embodiment, the tracking target load is traced to the
[0229]
Although
[0230]
For example, in the above-described first to seventh embodiments, a program for realizing the functions of the tracking manager and the packet printing apparatus is recorded on the computer-
[0231]
A
[0232]
The
[0233]
【The invention's effect】
As described above, according to the present invention, for the packet flowing through the network, the first packet specifying information for specifying the packet before rewriting in the packet conversion device, and the second for specifying the packet after rewriting. Packet identification information is generated and stored, and a search request including the packet identification information to be tracked is received, the first packet identification information or the second packet identification information is searched, and the search result is transmitted to the tracking manager. Therefore, there is an effect that packet tracking can be performed even in a network in which information included in a packet is rewritten.
[0234]
Further, according to the present invention, the first tracking target packet specifying information for specifying the tracking target packet before rewriting in the packet converter and the second tracking target packet for specifying the tracking target packet after rewriting Specific information is generated, the first tracking target packet specifying information or the second tracking target packet specifying information is notified to the packet printing apparatus based on the detection position of the tracking target packet, and a search for the packet specifying information is requested. As a result, it is possible to perform packet tracking even in a network in which information included in a packet is rewritten.
[0242]
Further, according to the packet tracking program of the present invention, since the computer executes the method described in any one of the above inventions, the packet tracking program can be read by the computer. There is an effect that any one of the operations of the invention can be executed by a computer.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a first exemplary embodiment according to the present invention.
FIG. 2 is a block diagram showing a configuration of the packet printing apparatus 400 (400A, 400B) shown in FIG.
3 is a flowchart for explaining the operation of the packet printing apparatus 400 (400A, 400B) shown in FIGS. 1 and 2. FIG.
FIG. 4 is a sequence diagram for explaining the operation of the first embodiment.
FIG. 5 is a block diagram showing a configuration of a second embodiment according to the present invention.
6 is a block diagram showing a configuration of the
FIG. 7 is a sequence diagram for explaining the operation of the second embodiment.
FIG. 8 is a block diagram showing a configuration of a third embodiment according to the present invention.
9 is a diagram illustrating a mask state of a packet 250 (250 ′) when the common PP and the common PP ′ illustrated in FIG. 8 are generated. FIG.
FIG. 10 is a diagram illustrating mask portions when a packet flows from the global network A (outside) to the local network B (inside).
FIG. 11 is a diagram illustrating mask portions when a packet flows from the local network B (inside) to the global network A (outside).
12 is a diagram for explaining a case where a payload including an IP address rewritten by the
FIG. 13 is a block diagram showing a configuration for increasing packet identification accuracy using supplementary information in the third embodiment.
FIG. 14 is a block diagram showing a configuration for improving packet identification accuracy using a barrier packet in the third embodiment.
FIG. 15 is a block diagram illustrating packet tracking using the barrier packet shown in FIG. 14;
FIG. 16 is a block diagram for explaining a specific example in the case where the tracking manager is enhanced in the third embodiment.
FIG. 17 is a diagram showing a correspondence table 321 and a configuration diagram 321a according to the third embodiment.
FIG. 18 is a block diagram showing a configuration of a fourth embodiment according to the present invention.
FIG. 19 is a diagram showing correspondence tables 431A, 431B, 431C, and 431D.
FIG. 20 is a block diagram illustrating a configuration example in which the first embodiment is applied to the fourth embodiment (high performance of the packet printing apparatus).
FIG. 21 is a block diagram showing a configuration example in which the third embodiment is applied to the fourth embodiment (enhancing the functionality of the packet printing apparatus).
FIG. 22 is a block diagram showing a configuration example when a plurality of inner packet printing apparatuses are used in the fourth embodiment.
23 shows a
24 is a block diagram showing a modified example of the configuration shown in FIG. 21 in the fourth embodiment. FIG.
FIG. 25 is a block diagram illustrating a configuration example when a plurality of inner
FIG. 26 is a block diagram showing a configuration of the fifth embodiment according to the present invention.
FIG. 27 is a diagram for explaining a mask pattern according to the fifth embodiment.
FIG. 28 is a block diagram showing a configuration of a sixth embodiment according to the present invention.
FIG. 29 is a diagram for explaining a mask pattern according to the sixth embodiment.
FIG. 30 is a diagram for explaining a modification of the sixth embodiment.
FIG. 31 is a block diagram showing a configuration of a seventh embodiment according to the present invention.
FIG. 32 is a block diagram showing a configuration of a modified example of the first to seventh embodiments according to the present invention.
FIG. 33 is a block diagram showing a configuration of a conventional packet tracking system.
34 is a block diagram showing a configuration of the packet printing apparatus 101 (101a, 101b, 101c) shown in FIG.
35 is a block diagram showing a configuration of the
FIG. 36 is a diagram illustrating a problem of a conventional packet tracking system.
[Explanation of symbols]
200 IDS
300 Tracking manager
310 Tracking Manager
400A packet printing device
410A packet printing device
420A packet printing device
430A packet printing device
500 packet converter
Claims (3)
前記ネットワークを流れるパケットについて、該パケットに含まれる情報を通過時に書き換えるパケット変換装置における書き換え前のパケットを特定するための第1のパケット特定情報と、書き換え後のパケットを特定するための第2のパケット特定情報とを生成し、格納するパケット特定情報格納工程と、
追跡対象パケットを特定するための追跡対象パケット特定情報を含む検索要求を前記追跡マネージャより受けて、前記第1のパケット特定情報または前記第2のパケット特定情報を検索し、検索結果を前記追跡マネージャへ送信する検索工程と、
を含むことを特徴とするパケット追跡方法。A packet tracking method applied to a packet tracking system including a plurality of packet printing apparatuses arranged at important points of a monitored network and a tracking manager that transmits and receives information to and from these packet printing apparatuses. And
For packet flowing through the network, first packet specifying information for specifying a packet before rewriting in a packet conversion device that rewrites information included in the packet when passing, and second for specifying a packet after rewriting Packet specific information storing step for generating and storing packet specific information;
A search request including tracking target packet specifying information for specifying a tracking target packet is received from the tracking manager, the first packet specifying information or the second packet specifying information is searched, and a search result is sent to the tracking manager. Search process to send to,
The packet tracking method characterized by including.
前記パケット変換装置における書き換え前の追跡対象パケットを特定するための第1の追跡対象パケット特定情報と、書き換え後の追跡対象パケットを特定するための第2の追跡対象パケット特定情報とを生成するパケット特定情報生成工程と、
前記追跡対象パケットの検出位置に基づいて、前記第1の追跡対象パケット特定情報または前記第2の追跡対象パケット特定情報を前記パケットプリント装置へ通知し、前記パケット特定情報の検索を依頼する検索依頼工程と、
を含むことを特徴とするパケット追跡方法。A plurality of packet printing devices for generating and storing packet specifying information for specifying a packet flowing in a network having a packet conversion device arranged at a key point of a monitored network and rewriting information included in the packet when passing; A packet tracking method applied to a packet tracking system comprising a tracking manager for sending and receiving information to and from these packet printing devices,
A packet for generating first tracking target packet specifying information for specifying a tracking target packet before rewriting in the packet conversion device and second tracking target packet specifying information for specifying a tracking target packet after rewriting Specific information generation process;
A search request for notifying the packet printer of the first tracking target packet specifying information or the second tracking target packet specifying information based on the detection position of the tracking target packet and requesting the search of the packet specifying information Process,
The packet tracking method characterized by including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003070328A JP4098127B2 (en) | 2003-03-14 | 2003-03-14 | Packet tracking method and packet tracking program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003070328A JP4098127B2 (en) | 2003-03-14 | 2003-03-14 | Packet tracking method and packet tracking program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007257978A Division JP4406660B2 (en) | 2007-10-01 | 2007-10-01 | Packet tracking method and packet tracking program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004282364A JP2004282364A (en) | 2004-10-07 |
JP4098127B2 true JP4098127B2 (en) | 2008-06-11 |
Family
ID=33287108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003070328A Expired - Lifetime JP4098127B2 (en) | 2003-03-14 | 2003-03-14 | Packet tracking method and packet tracking program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4098127B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4664257B2 (en) * | 2006-09-06 | 2011-04-06 | 富士通株式会社 | Attack detection system and attack detection method |
JP4673925B2 (en) | 2007-05-31 | 2011-04-20 | 富士通株式会社 | Information acquisition apparatus, information acquisition method, and information acquisition program |
JP4710889B2 (en) * | 2007-08-24 | 2011-06-29 | 日本電気株式会社 | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program |
JP4867949B2 (en) * | 2008-05-13 | 2012-02-01 | 日本電気株式会社 | Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program |
JP6096084B2 (en) * | 2013-08-27 | 2017-03-15 | 日本電信電話株式会社 | Traffic scanning apparatus and method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3819364B2 (en) * | 2001-04-27 | 2006-09-06 | 株式会社エヌ・ティ・ティ・データ | Packet tracking system |
JP3934030B2 (en) * | 2002-08-30 | 2007-06-20 | 株式会社エヌ・ティ・ティ・データ | Packet passing route search method and program causing computer to execute the method |
JP3934029B2 (en) * | 2002-10-25 | 2007-06-20 | 株式会社エヌ・ティ・ティ・データ | Multiprotocol packet tracking method, multiprotocol packet tracking program, and multiprotocol packet tracking apparatus |
-
2003
- 2003-03-14 JP JP2003070328A patent/JP4098127B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2004282364A (en) | 2004-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3819364B2 (en) | Packet tracking system | |
US8059551B2 (en) | Method for source-spoofed IP packet traceback | |
DiBenedetto et al. | Mitigating poisoned content with forwarding strategy | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
US8874723B2 (en) | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof | |
Vanaubel et al. | Network fingerprinting: TTL-based router signatures | |
US20020032717A1 (en) | Method and system for profiling network flows at a measurement point within a computer network | |
Chatterjee et al. | Security issues in named data networks | |
US7684339B2 (en) | Communication control system | |
Hilgenstieler et al. | Extensions to the source path isolation engine for precise and efficient log-based IP traceback | |
JP4098127B2 (en) | Packet tracking method and packet tracking program | |
CN101699796B (en) | Stream trust-based method and system for transmitting data message at high speed and router thereof | |
Wang et al. | Design and implementation of an SDN-enabled DNS security framework | |
JP4406660B2 (en) | Packet tracking method and packet tracking program | |
Wang et al. | Anonymous sensory data collection approach for mobile participatory sensing | |
JP4758302B2 (en) | Network node | |
US20100183019A1 (en) | Method and apparatus for distributing data packets to multiple network addresses | |
KR101081433B1 (en) | An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof | |
Gao et al. | Protecting router cache privacy in named data networking | |
KR20030039732A (en) | Attacker traceback method by using edge router's log information in the internet | |
JP3934030B2 (en) | Packet passing route search method and program causing computer to execute the method | |
Subbulakshmi et al. | Attack source identification at router level in real time using marking algorithm deployed in programmable routers | |
JP2007104472A (en) | Apparatus and method for acquiring statistic data | |
JP4319609B2 (en) | Attack path analysis device, attack path analysis method and program | |
Pilli et al. | An IP traceback model for network forensics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051219 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070731 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080312 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4098127 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110321 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110321 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120321 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120321 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130321 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130321 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140321 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |