JP4235907B2 - Worm propagation monitoring system - Google Patents

Worm propagation monitoring system Download PDF

Info

Publication number
JP4235907B2
JP4235907B2 JP2003414132A JP2003414132A JP4235907B2 JP 4235907 B2 JP4235907 B2 JP 4235907B2 JP 2003414132 A JP2003414132 A JP 2003414132A JP 2003414132 A JP2003414132 A JP 2003414132A JP 4235907 B2 JP4235907 B2 JP 4235907B2
Authority
JP
Japan
Prior art keywords
worm
packet
monitoring system
propagation monitoring
illegal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003414132A
Other languages
Japanese (ja)
Other versions
JP2005175993A (en
Inventor
浩志 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2003414132A priority Critical patent/JP4235907B2/en
Publication of JP2005175993A publication Critical patent/JP2005175993A/en
Application granted granted Critical
Publication of JP4235907B2 publication Critical patent/JP4235907B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムに関し、特に未知のワームの感染拡大の際の不正なパケットの伝播経路を特定ことが可能なパケット選別装置に関する。   The present invention relates to a worm propagation monitoring system that identifies a propagation path of an unauthorized packet transmitted by a worm, and more particularly to a packet sorting device that can identify a propagation path of an unauthorized packet when an unknown worm is infected.

従来のワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムに関連する先行技術文献としては次のようなものがある。   Prior art documents related to a worm propagation monitoring system for specifying a propagation path of an illegal packet transmitted by a conventional worm include the following.

特開2000−049852号公報JP 2000-049852 A 特開2000−261483号公報JP 2000-26183 A 特開2001−217834号公報JP 2001-217834 A 特開2002−158699号公報JP 2002-158699 A 特開2003−298648号公報JP 2003-298648 A 特開2003−298651号公報JP 2003-298651 A

近年のインターネットにおいては、”MS−SQL Slammer”や”Blaster”等と言った急速にサーバマシン等の装置に感染し拡大してゆくワーム(ネットワークを徘徊して感染するタイプのウイルス。単体で動作し、ほかのファイルへの感染は行わない。)が流行している。   On the Internet in recent years, worms (types of viruses that infect networks and infect themselves) that rapidly infect devices such as server machines such as “MS-SQL Slammer” and “Blaster”. However, it does not infect other files.)

そして、このようなワームにより世界的にネットワークの障害が起こる等、深刻な社会問題となっており、広範囲でのワームの活動の監視強化が望まれている。   Such worms cause serious social problems such as global network failures, and it is desired to strengthen monitoring of worm activities over a wide area.

一方、このようなワームが感染時に送信する不正なパケットのデータ部分には、感染先のシステムの脆弱性を利用して不正に実行されるプログラムが含まれており、このようなデータ部分は一般にワーム固有の特定のデータパターンを有している。   On the other hand, the data part of malicious packets sent by such worms at the time of infection includes programs that are illegally executed using the vulnerability of the infected system. It has a specific data pattern specific to the worm.

従って、ネットワークの各観測点において、このようなワーム固有の特定のデータパターンを検出することにより、当該データパターンを有するパケットの伝播経路を特定することが可能になる。   Therefore, by detecting such a specific data pattern unique to the worm at each observation point of the network, it is possible to specify the propagation path of the packet having the data pattern.

図12はこのような従来のワーム伝播監視システムの一例を示す構成ブロック図である。図12において1,2及び3はNIDS(Network Intrusion Detection System:ネットワーク侵入検知システム:以下、単にNIDSと呼ぶ。)、4は各NIDS1〜3を管理するIDS監視装置、100はインターネット上でネットワークとネットワークを結んでいる高速・大容量の基幹の回線であるバックボーン・ネットワーク、101はIDS監視装置4が接続される管理用ネットワーク、102、103及び104は監視対象となる汎用のネットワークである。   FIG. 12 is a configuration block diagram showing an example of such a conventional worm propagation monitoring system. In FIG. 12, 1, 2 and 3 are NIDS (Network Intrusion Detection System: hereinafter simply referred to as NIDS), 4 is an IDS monitoring apparatus for managing each of the NIDS 1 to 3, and 100 is a network on the Internet. A backbone network, which is a high-speed and large-capacity backbone line connecting the networks, 101 is a management network to which the IDS monitoring device 4 is connected, and 102, 103 and 104 are general-purpose networks to be monitored.

管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはIDS監視装置4が接続される。   The management network 101 is connected to the backbone network 100, and the networks 102, 103, and 104 are also connected to the backbone network 100. The IDS monitoring device 4 is connected to the management network 101.

ネットワーク102の出入り口にはNIDS1が接続され、同様に、ネットワーク103及び104の出入り口にはNIDS2及び3がそれぞれ接続される。   NIDS 1 is connected to the gateway of the network 102, and similarly, NIDS 2 and 3 are connected to the gateways of the networks 103 and 104, respectively.

ここで、図12に示す従来例の動作を図13を用いて説明する。図13はワーム伝播監視システムの動作を説明するフロー図である。   Here, the operation of the conventional example shown in FIG. 12 will be described with reference to FIG. FIG. 13 is a flowchart for explaining the operation of the worm propagation monitoring system.

図13中”S001”において各NIDS1〜3には不正なパケットを特定するための情報である定義情報(シグニチャ:例えば、ワーム固有の特定のデータパターン)が予め設定される。そして、図13中”S002”において各NIDS1〜3はネットワーク102〜104の出入り口をそれぞれ通過するパケットを監視する。   In “S001” in FIG. 13, definition information (signature: for example, a specific data pattern specific to a worm) is set in advance in each of the NIDSs 1 to 3. Then, in “S002” in FIG. 13, each of the NIDSs 1 to 3 monitors the packets passing through the gateways of the networks 102 to 104.

図13中”S003”においてNIDS1〜3が前述の定義情報(シグニチャ)に基づき不正なパケットを特定した場合には、図13中”S004”においてIDS監視装置4は、各NIDS1〜3のうち不正なパケットを特定したNIDSから不正なパケットに関する情報を収集し、図13中”S005”においてIDS監視装置4は、不正なパケットの伝播経路を特定する。   In FIG. 13, when the NIDS 1 to 3 identify an invalid packet based on the above-described definition information (signature) in “S003”, the IDS monitoring device 4 is illegal among the NIDS 1 to 3 in “S004” in FIG. 13. Information regarding illegal packets is collected from the NIDS that identifies the invalid packet, and the IDS monitoring device 4 identifies the propagation path of the illegal packet in “S005” in FIG.

具体的には、各NIDS1〜3は通過するパケットを取得し、予め設定されている定義情報(シグニチャ)と比較して取得したパケットが当該定義情報(シグニチャ)に該当する不正なパケットであるか否かを判断すると共にIDS監視装置4にその旨を通知する。   Specifically, each of the NIDS 1 to 3 acquires a passing packet, and whether the acquired packet is compared with the definition information (signature) set in advance is an illegal packet corresponding to the definition information (signature). It is judged whether or not and the IDS monitoring device 4 is notified accordingly.

一方、このような通知を受信したIDS監視装置4は、通知の発信元であるNIDSから特定された不正なパケットに関する送信先アドレス、送信元アドレス等の情報を収集し、通知の発信元のNIDSの設置位置(当該NIDSのIP(Internet Protocol)アドレス等から設置位置を特定する。)から当該不正なパケットが伝播したネットワークの出入り口を特定する。   On the other hand, the IDS monitoring apparatus 4 that has received such a notification collects information such as a transmission destination address and a transmission source address related to an illegal packet identified from the NIDS that is the notification transmission source, and then transmits the NIDS of the notification transmission source. The location of the network through which the illegal packet has been propagated is identified from the location of the network (the location is identified from the IP (Internet Protocol) address or the like of the NIDS).

この結果、各ネットワークの出入り口に各々NIDSを配置すると共に不正なパケットの定義情報(シグニチャ)を設定して、通過するパケットを監視させ、定義情報(シグニチャ)から不正なパケットを特定した場合にはIDS監視装置4が該当するNIDSから情報を収集することにより、不正なパケットの伝播経路、言い換えれば、ワームの感染拡大の際の伝播経路を特定することが可能になる。   As a result, when the NIDS is arranged at the entrance and exit of each network and the definition information (signature) of the illegal packet is set, the passing packet is monitored, and the illegal packet is specified from the definition information (signature) When the IDS monitoring device 4 collects information from the corresponding NIDS, it becomes possible to identify an unauthorized packet propagation path, in other words, a propagation path when a worm infection spreads.

しかし、図12に示す従来例では、各ネットワークの出入り口に設置された各NIDSに対して予め不正なパケットの定義情報(シグニチャ)を設定しておく必要性があるものの、当該定義情報(シグニチャ)はワームが送信したパケットに基づき作成するものであり、これまで未知であったワームが送信したパケットの定義情報(シグニチャ)が準備されるまでには数時間の時間を要する。   However, in the conventional example shown in FIG. 12, it is necessary to set definition information (signature) of invalid packets in advance for each NIDS installed at the entrance and exit of each network, but the definition information (signature). Is created based on the packet transmitted by the worm, and it takes several hours until the definition information (signature) of the packet transmitted by the worm, which has been unknown until now, is prepared.

これに対して、昨今のワームは発生してから感染が拡大するまで10数分程度しかかからない場合もあるため、未知のワームが送信したパケットの定義情報(シグニチャ)をNIDSに設定した時点では、既に当該ワームが蔓延した後であったり、或いは、既に当該ワームの感染が終息した後になってしまう場合が想定され、ワームの送信する不正なパケットの検知が手遅れになってしまうと言った問題点があった。   On the other hand, since the worm of recent times may only take about 10 or more minutes until the infection spreads, when the definition information (signature) of the packet transmitted by the unknown worm is set to NIDS, The problem that the detection of an illegal packet transmitted by the worm would be too late because it is assumed that the worm has already spread or after the infection of the worm has already ended. was there.

このため、ワームの感染拡大に際しては、各ネットワークの出入り口に設置されたNIDSにおいては、ワームの送信する不正なパケットを特定することができず、実際にワームの感染が拡大したときの当該不正なパケットの伝播経路を把握できないと言った問題点があった。
従って本発明が解決しようとする課題は、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能なワーム伝播監視システムを実現することにある。 For this reason, when the worm infection spreads, the NIDS installed at the entrance / exit of each network cannot identify the malicious packet transmitted by the worm, and the illegal transmission when the worm infection actually spreads. There was a problem that the propagation path of the packet could not be grasped.
Therefore, the problem to be solved by the present invention is to realize a worm propagation monitoring system capable of specifying an unauthorized packet propagation path when an unknown worm is spread.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とを備えたことにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
In order to achieve such a problem, the invention according to claim 1 of the present invention is:
In a worm propagation monitoring system that identifies the propagation path of illegal packets sent by worms,
It is provided at the connection point between the backbone network and multiple networks, records the data part of the passing packet, the passage time, the source address and the destination address, and corresponds to the matched data part when there is a search request Multiple worm packet recording devices that send transit time, source address, and destination address as information, and worm packets that capture illegal packets transmitted by unknown worms that are spreading from packets that reach unassigned address blocks A worm propagation that requests a search from each worm packet recording device based on a data portion of an illegal packet acquired from the acquisition device and the worm packet acquisition device, and analyzes and displays the information acquired from each worm packet recording device With the monitoring device, the unknown It is possible to identify the propagation path of worm currently infected has expanded to capture over arm.

請求項2記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention according to claim 2
In the worm propagation monitoring system according to claim 1 ,
The worm packet recording device,
By converting the data part into a hash value using a hash function and recording the hash value and the information together, an unknown worm that is spreading the infection is captured and the worm whose infection is currently spreading It becomes possible to specify the propagation path.

請求項3記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
The invention described in claim 3
In the worm propagation monitoring system according to claim 1 ,
The worm packet recording device,
By converting the data part into a hash value using a hash function, counting the appearance frequency of the same hash value, and sequentially recording the transit time, the source address, and the destination address corresponding to the hash value, It is possible to capture unknown worms that are spreading and identify the propagation path of the worm that is currently spreading. In addition, it is possible to shorten the hash value search time and the storage capacity of the storage means.

請求項4記載の発明は、
請求項3記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
ハッシュ値の出現頻度の低い情報を順次削除することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。また、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。
The invention according to claim 4
In the worm propagation monitoring system as claimed in claim 3 ,
The worm packet recording device,
By sequentially deleting information with a low appearance frequency of hash values, it becomes possible to capture an unknown worm that is spreading and identify the propagation path of the worm that is currently spreading. In addition, it is possible to shorten the hash value search time and the storage capacity of the storage means.

請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット記録装置が、
記憶手段と、前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention according to claim 5
In the worm propagation monitoring system according to any one of claims 1 to 4 ,
The worm packet recording device,
The storage means, the data portion, or the hash value obtained by converting the data portion with a hash function and the information are recorded together, and the data portion that matches when there is a search request, or the data portion It is composed of an arithmetic control means that sends the information corresponding to the hash value converted by the hash function, thereby capturing the unknown worm that is spreading and identifying the propagation path of the worm that is currently spreading. It becomes possible to do.

請求項6記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワームパケット捕捉装置が、
同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention described in claim 6
In the worm propagation monitoring system according to claim 1 ,
The worm packet capture device comprises:
When the acquisition number of packets having the same data portion in the same protocol exceeds a preset threshold, the packet is regarded as a packet transmitted by an unknown worm, and the protocol of the packet is transmitted to the worm propagation monitoring device. By transmitting the data portion, it is possible to capture an unknown worm that is spreading and identify the propagation path of the worm that is currently spreading.

請求項7記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention described in claim 7
In the worm propagation monitoring system according to claim 1 ,
The worm propagation monitoring device is
Based on the information obtained from the worm packet recording device, an unknown worm is displayed by displaying the distribution of illegal packets that have passed with the x-axis or y-axis as the source address and the y-axis or x-axis as the destination address. It becomes possible to specify the propagation path of an illegal packet when the infection spreads. In addition, it is possible to identify unknown worms that are spreading and identify the propagation path of worms that are currently spreading.

請求項8記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention described in claim 8
In the worm propagation monitoring system according to claim 1 ,
The worm propagation monitoring device is
Based on the information obtained from one of the worm packet recording devices, by displaying the x-axis as time and the number of packets of illegal packets that have passed through the y-axis, It becomes possible to specify the propagation path. In addition, it is possible to identify unknown worms that are spreading and identify the propagation path of worms that are currently spreading.

請求項9記載の発明は、
請求項1記載の発明であるワーム伝播監視システムにおいて、
前記ワーム伝播監視装置が、
前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。また、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The invention according to claim 9
In the worm propagation monitoring system according to claim 1 ,
The worm propagation monitoring device is
Based on the information acquired from each worm packet recording device, the transmission source address and the transmission destination address of the detected illegal packet are combined and displayed by a line segment, so that the infection of the unknown worm can be expanded. It becomes possible to specify the propagation path of an illegal packet. In addition, it is possible to identify unknown worms that are spreading and identify the propagation path of worms that are currently spreading.

本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8及び請求項9の発明によれば、各ネットワークの出入り口に設置された各ワームパケット記録装置が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワームパケット捕捉装置が未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉し、ワーム伝播監視装置がワームパケット捕捉装置から受信した捕捉された不正なパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。
The present invention has the following effects.
According to the first, second, third, fourth, fifth, sixth, seventh, eighth, and ninth aspects of the present invention, the data portion and the passage time of the packet that each worm packet recording device installed at the entrance / exit of each network passes through. The source address and destination address are recorded, and the worm packet capture device captures an illegal packet transmitted by an unknown worm that is spreading the infection from the packet that reaches the unassigned address block. The worm packet recording device is requested to search based on the data part of the captured illegal packet received from the packet capture device, and the acquired information is analyzed and displayed to capture the unknown worm that is spreading the infection. It is possible to identify the transmission route of the worm that is currently spreading.

また、請求項3及び請求項4の発明によれば、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレス等を順次記録、或いは、ハッシュ値の出現頻度の低い情報を順次削除することにより、ハッシュ値の検索時間の短縮及び記憶手段の記憶容量の低減が可能になる。

 According to the invention of claim 3 and claim 4, the appearance frequency of the same hash value is counted, and the transit time, the source address and the destination address corresponding to the hash value are sequentially recorded, or the hash By sequentially deleting information with a low value appearance frequency, it is possible to reduce the hash value search time and the storage capacity of the storage means.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係るワーム伝播監視システムの一実施例を示す構成ブロック図である。図1において100,101,102,103及び104は図12と同一符号を付してあり、5,6及び7は通過する全てのパケットを取得してパケットのデータ部分等を記録するワームパケット記録装置、8は各ワームパケット記録装置5〜7に対して検索を依頼するコンピュータ等のワーム伝播監視装置である。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a configuration block diagram showing an embodiment of a worm propagation monitoring system according to the present invention. In FIG. 1, 100, 101, 102, 103 and 104 are given the same reference numerals as in FIG. 12, and 5, 6 and 7 are worm packet records for acquiring all the packets passing through and recording the data portion of the packets. A device 8 is a worm propagation monitoring device such as a computer that requests the worm packet recording devices 5 to 7 to search.

管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはワーム伝播監視装置8が設置される。   The management network 101 is connected to the backbone network 100, and the networks 102, 103, and 104 are also connected to the backbone network 100. A worm propagation monitoring device 8 is installed in the management network 101.

ネットワーク102の出入り口(バックボーン・ネットワーク100とネットワーク102の接続点)にはワームパケット記録装置5が接続され、同様に、ネットワーク103及び104の出入り口(バックボーン・ネットワーク100とネットワーク103若しくはネットワーク104の接続点)にはワームパケット記録装置6及び7がそれぞれ接続される。   The worm packet recording device 5 is connected to an entrance / exit of the network 102 (a connection point between the backbone network 100 and the network 102), and similarly, an entrance / exit of the networks 103 and 104 (a connection point between the backbone network 100 and the network 103 or the network 104). ) Are connected to the worm packet recording devices 6 and 7, respectively.

ここで、図1に示す実施例の動作を図2、図3、図4及び図5を用いて説明する。図2及び図4はワームパケット記録装置の動作を説明するフロー図、図3はワームパケット記録装置6〜8の具体例を示す構成ブロック図、図5はワーム伝播監視装置9の動作を説明するフロー図である。   Here, the operation of the embodiment shown in FIG. 1 will be described with reference to FIG. 2, FIG. 3, FIG. 4 and FIG. 2 and 4 are flowcharts for explaining the operation of the worm packet recording device, FIG. 3 is a block diagram showing a specific example of the worm packet recording devices 6 to 8, and FIG. 5 is for explaining the operation of the worm propagation monitoring device 9. FIG.

図2中”S101”においてワームパケット記録装置5〜7はネットワークの出入り口を通過するパケットを取得し、図2中”S102”において取得したパケットのワーム固有の特定のデータパターンを有しているデータ部分を抽出すると共に、抽出されたデータ部分をハッシュ関数を用いてハッシュ値に変換する。   In “S101” in FIG. 2, the worm packet recording devices 5 to 7 acquire packets that pass through the network entrance and exit, and have the specific data pattern unique to the worm acquired in “S102” in FIG. 2. The part is extracted, and the extracted data part is converted into a hash value using a hash function.

そして、図2中”S103”においてワームパケット記録装置5〜7は、前述のハッシュ値と共に取得したパケットの通過時刻、送信元アドレス及び送信先アドレス等を併せて記録する。   Then, in “S103” in FIG. 2, the worm packet recording devices 5 to 7 also record the passage time, the transmission source address, the transmission destination address, and the like of the packet acquired together with the above hash value.

ここで、ワームパケット記録装置5〜7の具体例である図3において、9はCPU(Central Processing Unit)等の演算制御手段、10はRAM(Random Access Memory)等の記憶手段である。   Here, in FIG. 3, which is a specific example of the worm packet recording devices 5 to 7, 9 is a calculation control means such as a CPU (Central Processing Unit), and 10 is a storage means such as a RAM (Random Access Memory).

観測点である回線からの入力は演算制御手段9に接続され、演算制御手段9の出力は記憶手段10に接続される。   The input from the line that is the observation point is connected to the arithmetic control means 9, and the output of the arithmetic control means 9 is connected to the storage means 10.

例えば、図3中”LG01”に示すように観測点である回線から入力されたパケットは演算制御手段9に取り込まれ、IP(Internet Protocol)パケットの中でワーム固有の特定のデータパターンを有しているデータ部分を抽出する。   For example, as indicated by “LG01” in FIG. 3, a packet input from a line as an observation point is taken into the arithmetic control means 9, and has a specific data pattern specific to a worm in an IP (Internet Protocol) packet. To extract the data part.

そして、演算制御手段9は抽出されたデータ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と取得したパケットの通過時刻、送信元アドレス及び送信先アドレス等の情報とを併せて記憶手段10に記録する。   Then, the arithmetic control means 9 converts the extracted data portion into a hash value using a hash function, and stores this hash value together with information such as the transit time, source address, and destination address of the acquired packet. Record in means 10.

そして、図4中”S201”においてワームパケット記録装置5〜7は、ワーム伝播監視装置8からの不正なパケットの検索の依頼があったか否かを判断し、もし、不正なパケットの検索の依頼がなかった場合には図4中”S201”のステップに戻る。   Then, in “S201” in FIG. 4, the worm packet recording devices 5 to 7 determine whether or not there is a request for searching for an illegal packet from the worm propagation monitoring device 8, and if there is a request for searching for an illegal packet. If not, the process returns to the step “S201” in FIG.

もし、図4中”S201”において不正なパケットの検索の依頼があったと判断した場合には、図4中”S202”においてワームパケット記録装置5〜7は、問い合わせのあった不正なパケットを検索する。   If it is determined in “S201” in FIG. 4 that there is a request for searching for an invalid packet, the worm packet recording devices 5 to 7 in “S202” in FIG. To do.

具体的には、ワームパケット記録装置5〜7を構成する演算制御手段9は、問い合わせのあった(ワーム伝播監視装置から送られてくる)パケットのデータ部分をハッシュ値に変換すると共に、記憶手段10内に記録されたデータを変換したハッシュ値に基づき検索する。   Specifically, the arithmetic control unit 9 constituting the worm packet recording devices 5 to 7 converts the data part of the packet (sent from the worm propagation monitoring device) that has been inquired into a hash value, and also stores the storage unit. A search is performed based on the hash value obtained by converting the data recorded in 10.

図4中”S203”においてワームパケット記録装置5〜7は、不正なパケットの記録があったか否かを判断し、もし、不正なパケット(正確には不正なパケットのデータ部分)の記録がなかったと判断した場合には図4中”S201”のステップにも戻る。   In “S203” in FIG. 4, the worm packet recording devices 5 to 7 determine whether or not an illegal packet has been recorded, and if there is no illegal packet (to be exact, the data portion of the illegal packet). If it is determined, the process returns to the step “S201” in FIG.

もし、図4中”S203”において不正なパケット(正確には不正なパケットのデータ部分)の記録があったと判断した場合には、図4中”S204”においてワームパケット記録装置5〜7は、不正なパケット(正確には不正なパケットのデータ部分)に関して記録されている通過時刻、送信元アドレス及び送信先アドレス等の情報をワーム伝播監視装置8に送信する。   If it is determined in “S203” in FIG. 4 that an invalid packet (to be exact, the data portion of the invalid packet) has been recorded, the worm packet recording devices 5 to 7 in “S204” in FIG. Information such as passage time, transmission source address, transmission destination address, and the like recorded for the illegal packet (more precisely, the data portion of the illegal packet) is transmitted to the worm propagation monitoring device 8.

具体的には、ワームパケット記録装置5〜7を構成する演算制御手段9は、問い合わせのあったパケットのデータ部分から生成したハッシュ値と一致するハッシュ値と共に記憶手段10に記憶されている通過時刻、送信元アドレス及び送信先アドレス等の情報を読み出しワーム伝播監視装置8に送信する。   Specifically, the arithmetic control unit 9 constituting the worm packet recording devices 5 to 7 passes the transit time stored in the storage unit 10 together with the hash value that matches the hash value generated from the data portion of the packet that has been inquired. The information such as the transmission source address and the transmission destination address is read and transmitted to the worm propagation monitoring device 8.

一方、図5中”S301”においてワーム伝播監視装置8は、未知のワームが送信するパケットのデータ部分に関する情報が入力されたか否かを判断する。具体的には、未知のワーム感染拡大の後にワームの分析を行う組織等から入手した当該未知のワームの送信する不正なパケットのデータ部分の情報が入力されたか否かを判断する。   On the other hand, in “S301” in FIG. 5, the worm propagation monitoring device 8 determines whether or not information related to the data portion of the packet transmitted by the unknown worm has been input. Specifically, it is determined whether or not information on the data portion of an illegal packet transmitted by the unknown worm obtained from an organization that analyzes the worm after the expansion of the unknown worm infection is input.

もし、図5中”S301”において不正なパケットのデータ部分の情報が入力されなかったと判断した場合には図5中”S301”のステップに戻り、不正なパケットのデータ部分が入力されたと判断した場合には、図5中”S302”においてワーム伝播監視装置8は、各ネットワークの出入り口に配置されたワームパケット記録装置5〜7に対して当該不正なパケットの検索を依頼する。   If it is determined in step S301 in FIG. 5 that information on the data portion of the illegal packet has not been input, the process returns to step S301 in FIG. 5 to determine that the data portion of the illegal packet has been input. In this case, in “S302” in FIG. 5, the worm propagation monitoring device 8 requests the worm packet recording devices 5 to 7 arranged at the entrance and exit of each network to search for the illegal packet.

具体的には、ワーム伝播監視装置8は、入力された不正なパケットのデータ部分を各ワームパケット記録装置5〜7に送信して記録の検索を依頼する。   Specifically, the worm propagation monitoring device 8 transmits the data portion of the input illegal packet to each of the worm packet recording devices 5 to 7 and requests a search for recording.

そして、図5中”S303”においてワーム伝播監視装置8は、各ワームパケット記録装置5〜7から不正なパケットに関する情報を取得したか否かを判断し、もし、当該情報を取得しなかったと判断した場合には図5中”S301”のステップに戻る。   Then, in “S303” in FIG. 5, the worm propagation monitoring device 8 determines whether or not information related to an illegal packet has been acquired from each of the worm packet recording devices 5 to 7, and determines that the information has not been acquired. In that case, the process returns to the step “S301” in FIG.

もし、図5中”S303”において各ワームパケット記録装置から不正なパケットに関する情報を取得したと判断した場合には、図5中”S304”においてワーム伝播監視装置8は、取得した情報を解析して表示手段に表示させる。   If it is determined in S303 in FIG. 5 that information regarding an illegal packet has been acquired from each worm packet recording device, the worm propagation monitoring device 8 analyzes the acquired information in S304 in FIG. Display on the display means.

例えば、図6は、x軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を示した場合の表示画面の一例を示す説明図である。図6に示すように今回検出されたワームが送信した不正なパケットは図6中”SA21”に示す送信元アドレスから主に送信され、図6中”DS21”に示す送信先アドレスに集中していることを容易に把握することができる。   For example, FIG. 6 is an explanatory diagram showing an example of a display screen when the distribution of illegal packets that have passed is shown with the x-axis as the source address and the y-axis as the destination address. As shown in FIG. 6, the illegal packets transmitted by the worm detected this time are mainly transmitted from the source address indicated by “SA21” in FIG. 6 and concentrated on the destination address indicated by “DS21” in FIG. You can easily grasp that you are.

また、例えば、図7は、ある特定のネットワークの出入り口(具体的には、ワームパケット記録装置6等)においてx軸を通過時刻、y軸を通過した不正なパケットのパケット数とした場合の表示画面の一例を示す説明図である。   For example, FIG. 7 shows a display when the x-axis is the passage time and the number of illegal packets that have passed the y-axis at the entrance / exit of a specific network (specifically, the worm packet recording device 6). It is explanatory drawing which shows an example of a screen.

図7中”UP31”及び”DP31”は上り方向及び下り方向の通過パケット数をそれぞれ示しており、図7に示すように図7中”TM31”に示す通過時刻を中心にワームが送信した不正なパケットが伝播したことを把握することができる。   “UP31” and “DP31” in FIG. 7 indicate the number of packets passing in the upstream and downstream directions, respectively, and as shown in FIG. 7, the worms transmitted around the passage time indicated by “TM31” in FIG. It is possible to grasp that a correct packet has been propagated.

また、例えば、図8は、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合した場合の表示画面の一例を示す説明図である。   Further, for example, FIG. 8 is an explanatory diagram illustrating an example of a display screen when a transmission source address and a transmission destination address of a detected illegal packet are combined with a line segment.

図8に示すように、図8中”SA41”に示す送信元アドレスから図8中”DA41”、”DA42”、”DA43”、”DA44”、”DA45”及び”DA46”に示す各送信先アドレスに対して不正なパケットが送信されていることが容易に把握できる   As shown in FIG. 8, each transmission destination shown in “DA41”, “DA42”, “DA43”, “DA44”, “DA45” and “DA46” in FIG. 8 from the source address shown in “SA41” in FIG. Easily understand that an invalid packet is being sent to the address

すなわち、各ワームパケット記録装置5〜7で通過する全てのパケットのデータ部分等を記録しておき、未知のワームの感染拡大の後に未知のワームが送信する不正なパケットのデータ部分に基づき各ワームパケット記録装置を検索することにより、未知のワームであってもワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。   That is, the worm packet recording devices 5 to 7 record the data portions of all the packets that pass through the worm packet recording devices 5-7, and each worm is based on the data portion of an illegal packet transmitted by an unknown worm after the spread of unknown worm infection By searching the packet recording device, it is possible to identify an illegal packet propagation path when the worm infection spreads even if it is an unknown worm.

この結果、各ネットワークの出入り口に設置されたワームパケット記録装置5〜7が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワーム伝播監視装置8が入力されたパケットのデータ部分に基づき各ワームパケット記録装置に検索を依頼し、取得した情報を解析し表示させることにより、未知のワームの感染拡大の際の不正なパケットの伝播経路を特定することが可能になる。   As a result, the worm packet recording devices 5 to 7 installed at the entrances and exits of each network record the data portion of the packet passing through, the passage time, the transmission source address and the transmission destination address, and the worm propagation monitoring device 8 is input. By requesting each worm packet recording device to search based on the data portion of the packet, and analyzing and displaying the acquired information, it is possible to identify the propagation path of an illegal packet when an unknown worm spreads Become.

ちなみに、図1に示す実施例においては未知のワームの感染拡大後に、分析によって得られた未知のワームが送信する不正なパケットのデータ部分に基づき未知のワームの感染拡大の際の不正なパケットの伝播経路を特定しているが、未知のワームの感染拡大中に、未知のワームが送信する不正なパケットを捕捉して、現在感染が拡大しているワームの伝播経路を特定しても構わない。   Incidentally, in the embodiment shown in FIG. 1, after the unknown worm infection spread, the malicious packet of the unknown worm infection spread based on the data portion of the malicious packet transmitted by the unknown worm obtained by analysis. While the propagation path is specified, it is possible to capture the malicious packet sent by the unknown worm while the infection spread of the unknown worm and identify the propagation path of the worm that is currently spreading. .

図9はこのような感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定する本発明に係るワームワーム伝播監視システムの他の実施例を示す構成ブロック図である。図9において5,6,7,8,100,101,102,103及び104は図1と同一符号を付してあり、11は感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置、105は現在コンピュータ等のネットワーク機器に割り振られていないアドレスを使用した未割り当てアドレスブロックである。   FIG. 9 is a configuration block diagram showing another embodiment of the worm worm propagation monitoring system according to the present invention for capturing an unknown worm that is spreading such infection and identifying the propagation path of the worm currently spreading. It is. 9, 5, 6, 7, 8, 100, 101, 102, 103, and 104 are assigned the same reference numerals as in FIG. 1, and 11 captures an illegal packet transmitted by an unknown worm that is spreading infection. A worm packet capturing device 105 is an unassigned address block that uses addresses that are not currently allocated to network devices such as computers.

管理用ネットワーク101はバックボーン・ネットワーク100に接続され、ネットワーク102,103及び104もまたバックボーン・ネットワーク100に接続される。また、管理用ネットワーク101にはワーム伝播監視装置8が設置される。   The management network 101 is connected to the backbone network 100, and the networks 102, 103, and 104 are also connected to the backbone network 100. A worm propagation monitoring device 8 is installed in the management network 101.

ネットワーク102の出入り口(バックボーン・ネットワーク100とネットワーク102の接続点)にはワームパケット記録装置5が接続され、同様に、ネットワーク103及び104の出入り口(バックボーン・ネットワーク100とネットワーク103若しくはネットワーク104の接続点)にはワームパケット記録装置6及び7がそれぞれ接続される。   The worm packet recording device 5 is connected to an entrance / exit of the network 102 (a connection point between the backbone network 100 and the network 102), and similarly, an entrance / exit of the networks 103 and 104 (a connection point between the backbone network 100 and the network 103 or the network 104). ) Are connected to the worm packet recording devices 6 and 7, respectively.

さらに、未割り当てアドレスブロック105はバックボーン・ネットワーク100に接続され、未割り当てアドレスブロック105にはワームパケット捕捉装置11が設置される。   Further, the unassigned address block 105 is connected to the backbone network 100, and the worm packet capturing device 11 is installed in the unassigned address block 105.

ここで、図9に示す他の実施例の動作を図10及び図11を用いて説明する。図10はワームパケット捕捉装置11の動作を説明するフロー図、図11はワーム伝播監視装置8の動作を説明するフロー図である。但し、図1に示す実施例と同様の動作に関して、特にワームパケット記録装置5〜7の動作に関しては図1に示す実施例と同様であるので説明は省略する。   Here, the operation of another embodiment shown in FIG. 9 will be described with reference to FIGS. FIG. 10 is a flowchart for explaining the operation of the worm packet capturing device 11, and FIG. 11 is a flowchart for explaining the operation of the worm propagation monitoring device 8. However, the operation similar to that of the embodiment shown in FIG. 1 and particularly the operation of the worm packet recording devices 5 to 7 are the same as those of the embodiment shown in FIG.

図10中”S401”においてワームパケット捕捉装置11は未割り当てアドレスブロック105に到達したパケットを取得し、図10中”S402”において取得したパケットのプロトコルとデータ部分を抽出する。   In “S401” in FIG. 10, the worm packet capturing device 11 acquires the packet that has reached the unassigned address block 105, and extracts the protocol and data portion of the packet acquired in “S402” in FIG.

未割り当てアドレスブロック105には到達するパケットは本来の通信とは無関係のパケットであり、それらのパケットの中には未知のワームが送信した不正なパケットが含まれている可能性が非常に高い。   The packets that arrive at the unassigned address block 105 are packets that are unrelated to the original communication, and it is very likely that these packets include an illegal packet transmitted by an unknown worm.

このため、同一プロトコルでデータ部分が同一であるパケットの取得数を監視し、その取得数が閾値を超えた場合に、当該パケットを未知のワームが送信したパケットとみなすことにより、感染拡大中の未知のワームを捕捉(特定)する。   For this reason, the number of acquired packets with the same protocol in the same protocol is monitored, and if the acquired number exceeds the threshold, the packet is regarded as a packet transmitted by an unknown worm, Catch (identify) unknown worms.

すなわち、図10中”S403”においてワームパケット捕捉装置11は、同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過したか否かを判断し、閾値を超過しなかったと判断した場合には図10中”S401”のステップに戻る。   That is, in “S403” in FIG. 10, the worm packet capture device 11 determines whether or not the number of acquired packets with the same protocol and the same data portion exceeds a preset threshold, and does not exceed the threshold. If it is determined that the process has been completed, the process returns to the step “S401” in FIG.

もし、図10中”S403”において同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過したと判断した場合には、図10中”S404”において、ワームパケット捕捉装置11は、当該パケットを未知のワームが送信したパケットとみなして、ワーム伝播監視装置8に当該不正なパケットのプロトコルとデータ部分を送信する。   If it is determined in “S403” in FIG. 10 that the number of acquired packets with the same protocol and the same data portion has exceeded a preset threshold value, the worm packet capturing device in “S404” in FIG. 11 regards the packet as a packet transmitted by an unknown worm, and transmits the protocol and data portion of the illegal packet to the worm propagation monitoring device 8.

一方、図11中”S501”においてワーム伝播監視装置8は、ワームパケット捕捉装置11から捕捉されたパケットのプロトコル及びデータ部分を受信したか否かを判断し、もし、捕捉されたパケットのプロトコル及びデータ部分を受信しなかったと判断した場合には図11中”S501”のステップに戻る。   On the other hand, in “S501” in FIG. 11, the worm propagation monitoring device 8 determines whether or not the protocol and data portion of the packet captured from the worm packet capturing device 11 has been received. If it is determined that the data portion has not been received, the process returns to the step “S501” in FIG.

もし、捕捉された不正なパケットのプロトコル及びデータ部分を受信したと判断した場合には、図11中”S502”においてワーム伝播監視装置8は、各ネットワークの出入り口に配置されたワームパケット記録装置5〜7に対して当該不正なパケットの検索を依頼する。   If it is determined that the protocol and data part of the captured illegal packet have been received, the worm propagation monitoring device 8 in “S502” in FIG. 11 causes the worm packet recording device 5 arranged at the entrance / exit of each network. To search for the illegal packet.

具体的には、ワーム伝播監視装置8は、受信した捕捉された不正なパケットのデータ部分を各ワームパケット記録装置5〜7に送信して記録の検索を依頼する。   Specifically, the worm propagation monitoring device 8 transmits the data portion of the received illegal packet received to each of the worm packet recording devices 5 to 7 to request a record search.

そして、図11中”S503”においてワーム伝播監視装置8は、各ワームパケット記録装置から捕捉されたパケットに関する情報を取得したか否かを判断し、もし、当該情報を取得しなかったと判断した場合には図11中”S501”のステップに戻る。   Then, in “S503” in FIG. 11, the worm propagation monitoring device 8 determines whether or not the information regarding the packet captured from each worm packet recording device is acquired, and if it is determined that the information has not been acquired. Return to the step of “S501” in FIG.

もし、図11中”S503”において各ワームパケット記録装置から捕捉された不正なパケットに関する情報を取得したと判断した場合には、図11中”S504”においてワーム伝播監視装置8は、取得した情報を解析して表示手段に表示させる。   If it is determined that information regarding an illegal packet captured from each worm packet recording device is acquired in “S503” in FIG. 11, the worm propagation monitoring device 8 acquires the acquired information in “S504” in FIG. Is displayed on the display means.

例えば、図6に示す表示画面からは、検出された未知のワームが送信した不正なパケットは図6中”SA21”に示す送信元アドレスから主に送信され、図6中”DS21”に示す送信先アドレスに集中していることを容易に把握することができる。   For example, from the display screen shown in FIG. 6, an illegal packet transmitted by the detected unknown worm is mainly transmitted from the source address indicated by “SA21” in FIG. 6, and the transmission indicated by “DS21” in FIG. It is possible to easily grasp that the address is concentrated on the destination address.

また、例えば、図7に示す表示画面からは、図7に示すように図7中”TM31”に示す通過時刻を中心に未知のワームが送信した不正なパケットが伝播したことを把握することができる。   Further, for example, from the display screen shown in FIG. 7, it is possible to grasp that an illegal packet transmitted by an unknown worm has propagated around the passage time indicated by “TM31” in FIG. 7 as shown in FIG. it can.

さらに、例えば、図8に示す表示画面からは、未知のワームが、図8中”SA41”に示す送信元アドレスから図8中”DA41”、”DA42”、”DA43”、”DA44”、”DA45”及び”DA46”に示す各送信先アドレスに対して不正なパケットが送信していることを容易に把握することができる。   Further, for example, from the display screen shown in FIG. 8, an unknown worm is sent from the source address shown in “SA41” in FIG. 8 to “DA41”, “DA42”, “DA43”, “DA44”, “ It can be easily understood that an illegal packet is transmitted to each destination address indicated by DA45 "and" DA46 ".

この結果、各ネットワークの出入り口に設置されたワームパケット記録装置5〜7が通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレス等を記録し、ワームパケット捕捉装置11が未割り当てアドレスブロック105に到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉し、ワーム伝播監視装置8がワームパケット捕捉装置11から受信した捕捉された不正なパケットのデータ部分に基づき各ワームパケット記録装置5〜7に検索を依頼し、取得した情報を解析し表示させることにより、感染拡大中の未知のワームを捕捉して現在感染が拡大しているワームの伝播経路を特定することが可能になる。   As a result, the data portion of the packet passed by the worm packet recording devices 5 to 7 installed at the entrance / exit of each network, the passage time, the transmission source address, the transmission destination address, etc. are recorded, and the worm packet capturing device 11 stores the unassigned address. An illegal packet transmitted by an unknown worm whose infection is spreading is captured from the packet reaching the block 105, and each of the worm propagation monitoring device 8 receives each of the data based on the data portion of the captured malicious packet received from the worm packet capture device 11. By searching the worm packet recording devices 5 to 7 and analyzing and displaying the acquired information, the unknown worm that is spreading the infection is captured and the propagation path of the worm that is currently spreading is identified. Is possible.

なお、図1若しくは図9に示す実施例においては監視対象のネットワーク101〜104としては3つのネットワークを例示しているが、勿論、この数に限定されるものではなく任意の数のネットワークに対して適用することが可能である。   In the embodiment shown in FIG. 1 or FIG. 9, three networks are exemplified as the monitoring target networks 101 to 104. However, the number of networks is not limited to this number of course. It is possible to apply.

この場合には、監視対象であるネットワークの数に応じてワームパケット記録装置を各ネットワークの出入り口に設置する必要がある。   In this case, it is necessary to install a worm packet recording device at the entrance / exit of each network according to the number of networks to be monitored.

また、図1等に示す実施例では、ワームパケット記録装置が不正なパケットのデータ部分を記録する際に、当該データ部分をハッシュ値に変換して記憶手段10に記録していたが、勿論、ハッシュ値に変換することなくデータ部分そのものを記憶手段10に記録しても構わない。   Further, in the embodiment shown in FIG. 1 and the like, when the worm packet recording device records the data portion of the illegal packet, the data portion is converted into a hash value and recorded in the storage means 10. The data portion itself may be recorded in the storage means 10 without being converted into a hash value.

また、図1等に示す実施例では、ワームパケット記録装置が不正なパケットのデータ部分を記録する際に、当該データ部分をハッシュ値に変換して記憶手段10に記録していたが、全てのハッシュ値を時系列的に記録するのではなく、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレス等を順次記録しても構わない。   Further, in the embodiment shown in FIG. 1 and the like, when the worm packet recording device records the data portion of the illegal packet, the data portion is converted into a hash value and recorded in the storage means 10. Instead of recording the hash values in time series, the appearance frequency of the same hash value may be counted and the transit time, the transmission source address, the transmission destination address, and the like corresponding to the hash value may be sequentially recorded.

この場合には、ワームが送信する不正なパケットは大量のパケットとなる場合が多いので、出現頻度の高いハッシュ値から順番に検索することにより、ハッシュ値の検索時間の短縮が可能になる。また、同一のハッシュ値が多量に通過した場合であっても1つのハッシュ値の記録ですむことになるので記憶手段の記憶容量の低減が可能になる。   In this case, since illegal packets transmitted by the worm often become a large number of packets, the search time for hash values can be shortened by searching in order from hash values having a high appearance frequency. Further, even when the same hash value passes in large quantities, only one hash value needs to be recorded, so that the storage capacity of the storage means can be reduced.

さらに、ハッシュ値の出現頻度の低い情報を順次削除しても構わない。具体的には、ハッシュ値の出現頻度の上位100位までを記憶しておき、101位以下の出現頻度のハッシュ値及びこのハッシュ値に対応する情報を破棄する。   Furthermore, information with low appearance frequency of hash values may be deleted sequentially. Specifically, the top 100 appearance frequencies of the hash value are stored, and the hash value having the appearance frequency of the 101st or lower and the information corresponding to the hash value are discarded.

この場合には、ハッシュ値の出現頻度の高い情報のみの記録ですむことになるので記憶手段の記憶容量の低減が可能になる。   In this case, it is only necessary to record information with a high frequency of appearance of hash values, so that the storage capacity of the storage means can be reduced.

また、ワーム伝播監視装置8が表示手段に表示させる表示画面の一例として図6、図7及び図8に示す表示画面を例示しているが、勿論、これらの表示画面に限定されるものではない。   Moreover, although the display screen shown in FIG.6, FIG7 and FIG.8 is illustrated as an example of the display screen which the worm propagation monitoring apparatus 8 displays on a display means, of course, it is not limited to these display screens. .

また、図6示す表示画面では各ワームパケット記録装置から取得した送信元アドレス及び送信先アドレスに基づきx軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を表示させるているが、勿論、y軸を送信元アドレス、x軸を送信先アドレスとしても構わない。   Also, the display screen shown in FIG. 6 displays the distribution of illegal packets that have passed, with the x-axis as the source address and the y-axis as the destination address based on the source address and destination address acquired from each worm packet recording device. Of course, the y-axis may be the transmission source address and the x-axis may be the transmission destination address.

本発明に係るワーム伝播監視システムの一実施例を示す構成ブロック図である。1 is a configuration block diagram showing an embodiment of a worm propagation monitoring system according to the present invention. FIG. ワームパケット記録装置の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm packet recording apparatus. ワームパケット記録装置の具体例を示す構成ブロック図である。It is a block diagram which shows the specific example of a worm packet recording apparatus. ワームパケット記録装置の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm packet recording apparatus. ワーム伝播監視装置の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm propagation monitoring apparatus. x軸を送信元アドレス、y軸を送信先アドレスとし、通過した不正なパケットの分布を示した場合の表示画面の一例を示す説明図である。It is explanatory drawing which shows an example of the display screen when the x-axis is a transmission source address and the y-axis is a transmission destination address and the distribution of illegal packets passed is shown. あるネットワークの出入り口においてx軸を通過時刻、y軸を通過した不正なパケットのパケット数とした場合の表示画面の一例を示す説明図である。It is explanatory drawing which shows an example of a display screen at the time of making the x-axis the passage time and the packet number of the illegal packet which passed the y-axis at the entrance and exit of a certain network. 検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合した場合の表示画面の一例を示す説明図である。It is explanatory drawing which shows an example of the display screen at the time of combining the transmission source address and transmission destination address of the detected illegal packet with a line segment. 本発明に係るワームワーム伝播監視システムの他の実施例を示す構成ブロック図である。It is a block diagram which shows the other Example of the worm worm propagation monitoring system which concerns on this invention. ワームパケット捕捉装置の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm packet capture apparatus. ワーム伝播監視装置の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm propagation monitoring apparatus. 従来のワーム伝播監視システムの一例を示す構成ブロック図である。It is a block diagram which shows an example of the conventional worm propagation monitoring system. ワーム伝播監視システムの動作を説明するフロー図である。It is a flowchart explaining operation | movement of a worm propagation monitoring system.

符号の説明Explanation of symbols

1,2,3 NIDS(ネットワーク侵入検知システム)
4 IDS監視装置
5,6,7 ワームパケット記録装置
8 ワーム伝播監視装置
9 演算制御手段
10 記憶手段
11 ワームパケット捕捉装置
100 バックボーン・ネットワーク
101 管理用ネットワーク
102,103,104 ネットワーク
105 未割り当てアドレスブロック
1,2,3 NIDS (Network Intrusion Detection System)
4 IDS monitoring device 5, 6, 7 Worm packet recording device 8 Worm propagation monitoring device 9 Arithmetic control means 10 Storage means 11 Worm packet capture device 100 Backbone network 101 Management network 102, 103, 104 Network 105 Unassigned address block

Claims (9)

ワームが送信する不正なパケットの伝播経路を特定するワーム伝播監視システムにおいて、In a worm propagation monitoring system that identifies the propagation path of illegal packets sent by worms,
バックボーン・ネットワークと複数のネットワークの接続点に設けられ、通過するパケットのデータ部分と通過時刻、送信元アドレス及び送信先アドレスを記録し、検索の依頼があった場合に一致したデータ部分に対応する通過時刻、送信元アドレス及び送信先アドレスを情報として送信する複数のワームパケット記録装置と、It is provided at the connection point between the backbone network and multiple networks, records the data part of the passing packet, the passage time, the source address and the destination address, and corresponds to the matched data part when there is a search request A plurality of worm packet recording devices that transmit passage time, source address and destination address as information;
未割り当てアドレスブロックに到達するパケットから感染拡大中の未知のワームが送信する不正なパケットを捕捉するワームパケット捕捉装置と、A worm packet capturing device that captures an illegal packet transmitted by an unknown worm that is spreading from a packet that reaches an unassigned address block;
このワームパケット捕捉装置から取得した不正なパケットのデータ部分に基づき前記各ワームパケット記録装置に検索を依頼し、前記各ワームパケット記録装置から取得した前記情報を解析し表示させるワーム伝播監視装置とA worm propagation monitoring device for requesting each worm packet recording device to search based on a data portion of an illegal packet acquired from the worm packet capturing device, and analyzing and displaying the information acquired from each worm packet recording device;
を備えたことを特徴とするワーム伝播監視システム。A worm propagation monitoring system characterized by comprising: 前記ワームパケット記録装置が、The worm packet recording device,
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値と前記情報とを併せて記録することを特徴とするThe data part is converted into a hash value using a hash function, and the hash value and the information are recorded together.
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1. 前記ワームパケット記録装置が、The worm packet recording device,
前記データ部分をハッシュ関数を用いてハッシュ値に変換し、同一なハッシュ値の出現頻度をカウントすると共に当該ハッシュ値に対応する通過時刻、送信元アドレス及び送信先アドレスを順次記録することを特徴とするThe data part is converted into a hash value using a hash function, the appearance frequency of the same hash value is counted, and a transit time, a source address, and a destination address corresponding to the hash value are sequentially recorded. Do
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1. 前記ワームパケット記録装置が、The worm packet recording device,
ハッシュ値の出現頻度の低い情報を順次削除することを特徴とするIt is characterized by deleting information with low appearance frequency of hash values sequentially
請求項3記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 3. 前記ワームパケット記録装置が、The worm packet recording device,
記憶手段と、Storage means;
前記データ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値と前記情報とを併せて記録し、検索の依頼があった場合に一致したデータ部分、若しくは、前記データ部分をハッシュ関数により変換したハッシュ値に対応する前記情報を送信する演算制御手段とから構成されることを特徴とするThe data part or a hash value obtained by converting the data part with a hash function and the information are recorded together, and the matched data part or the data part is converted by the hash function when a search request is made. And an arithmetic control means for transmitting the information corresponding to the hash value.
請求項1乃至請求項4のいずれかに記載のワーム伝播監視システム。The worm propagation monitoring system according to any one of claims 1 to 4. 前記ワームパケット捕捉装置が、The worm packet capture device comprises:
同一プロトコルでデータ部分が同一であるパケットの取得数が予め設定された閾値を超過した場合に、前記パケットを未知のワームが送信したパケットとみなして、前記ワーム伝播監視装置に前記パケットのプロトコルとデータ部分を送信することを特徴とするWhen the acquisition number of packets having the same data portion in the same protocol exceeds a preset threshold, the packet is regarded as a packet transmitted by an unknown worm, and the protocol of the packet is transmitted to the worm propagation monitoring device. Characterized by transmitting the data part
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1. 前記ワーム伝播監視装置が、The worm propagation monitoring device is
前記ワームパケット記録装置から取得した前記情報に基づき、x軸若しくはy軸を送信元アドレス、y軸若しくはx軸を送信先アドレスとし、通過した不正なパケットの分布を表示させることを特徴とするBased on the information acquired from the worm packet recording device, the distribution of illegal packets that have passed is displayed using the x-axis or y-axis as the source address and the y-axis or x-axis as the destination address.
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1. 前記ワーム伝播監視装置が、The worm propagation monitoring device is
前記ワームパケット記録装置の一から取得した前記情報に基づき、x軸を時間、y軸を通過した不正なパケットのパケット数として表示させることを特徴とするBased on the information acquired from one of the worm packet recording devices, the x-axis is displayed as time, and the number of illegal packets passing through the y-axis is displayed.
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1. 前記ワーム伝播監視装置が、The worm propagation monitoring device is
前記各ワームパケット記録装置から取得した前記情報に基づき、検出された不正なパケットの送信元アドレスと送信先アドレスとを線分で結合して表示させることを特徴とするBased on the information acquired from each of the worm packet recording devices, a source address and a destination address of a detected illegal packet are combined and displayed by a line segment.
請求項1記載のワーム伝播監視システム。The worm propagation monitoring system according to claim 1.
JP2003414132A 2003-12-12 2003-12-12 Worm propagation monitoring system Expired - Fee Related JP4235907B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003414132A JP4235907B2 (en) 2003-12-12 2003-12-12 Worm propagation monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003414132A JP4235907B2 (en) 2003-12-12 2003-12-12 Worm propagation monitoring system

Publications (2)

Publication Number Publication Date
JP2005175993A JP2005175993A (en) 2005-06-30
JP4235907B2 true JP4235907B2 (en) 2009-03-11

Family

ID=34734027

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003414132A Expired - Fee Related JP4235907B2 (en) 2003-12-12 2003-12-12 Worm propagation monitoring system

Country Status (1)

Country Link
JP (1) JP4235907B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006077666A1 (en) * 2004-12-28 2008-06-19 国立大学法人京都大学 Observation data display device, observation data display method, observation data display program, and computer-readable recording medium recording the same
JP5476578B2 (en) * 2009-01-06 2014-04-23 独立行政法人情報通信研究機構 Network monitoring system and method
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method
JP6252254B2 (en) 2014-02-28 2017-12-27 富士通株式会社 Monitoring program, monitoring method and monitoring apparatus

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3483782B2 (en) * 1998-10-15 2004-01-06 株式会社エヌ・ティ・ティ・データ Electronic data tracking system and data relay device
WO2002089426A1 (en) * 2001-04-27 2002-11-07 Ntt Data Corporation Packet tracing system
JP2003330820A (en) * 2002-05-10 2003-11-21 Mitsubishi Electric Corp Unauthorized access management device

Also Published As

Publication number Publication date
JP2005175993A (en) 2005-06-30

Similar Documents

Publication Publication Date Title
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US11057403B2 (en) Suspicious packet detection device and suspicious packet detection method thereof
JP4479459B2 (en) Packet analysis system
CN1656731B (en) Multi-method gateway-based network security systems and methods
KR100800370B1 (en) Network attack signature generation
JP3819364B2 (en) Packet tracking system
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
CN107666476A (en) A kind of CAN risk checking method and device
JP2001217834A (en) System for tracking access chain, network system, method and recording medium
KR20090087437A (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
CN101803305A (en) Network monitoring device, network monitoring method, and network monitoring program
JP2006279930A (en) Method and device for detecting and blocking unauthorized access
JP4823813B2 (en) Abnormality detection device, abnormality detection program, and recording medium
CN110035062A (en) A kind of network inspection method and apparatus
KR20170054215A (en) Method for connection fingerprint generation and traceback based on netflow
JP4235907B2 (en) Worm propagation monitoring system
JP2005323322A (en) System for storing and analyzing log information
JP3892322B2 (en) Unauthorized access route analysis system and unauthorized access route analysis method
CN114189361B (en) Situation awareness method, device and system for defending threat
CN114006719B (en) AI verification method, device and system based on situation awareness
JP2010239392A (en) System, device and program for controlling service disabling attack
RU186198U1 (en) Host Level Intrusion Detector

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060602

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080602

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081120

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081203

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111226

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees