JP4319609B2 - 攻撃経路解析装置及び攻撃経路解析方法及びプログラム - Google Patents
攻撃経路解析装置及び攻撃経路解析方法及びプログラム Download PDFInfo
- Publication number
- JP4319609B2 JP4319609B2 JP2004325249A JP2004325249A JP4319609B2 JP 4319609 B2 JP4319609 B2 JP 4319609B2 JP 2004325249 A JP2004325249 A JP 2004325249A JP 2004325249 A JP2004325249 A JP 2004325249A JP 4319609 B2 JP4319609 B2 JP 4319609B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- header information
- packet
- relay device
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
ルータレベル解析では、ヘッダ情報をキーとしたデータベース検索により抽出した複数の攻撃のパケットを、TTL(Time To Live)データによってソートをした後に、パケットの送受信MAC(Media Access Control)アドレスとネットワーク上のルータのMACアドレスを関連付けることで、パケットの送出元からあて先までの経路を特定する。これにより、送信元IPアドレスを詐称されていた場合であっても攻撃の経路を特定可能である。
また、ホスト内部解析では、パケットを送出したプロセスの親子関係を辿り、親プロセスの中にリモートの端末と通信した履歴を持つものがあるかどうかを解析する。リモート端末との通信の履歴があった場合には、ホストレベル解析ならびにルータレベル追跡によって、リモートの端末までの経路を特定する。これにより、踏み台を含む侵入経路を追跡可能としている。
複数の中継装置を介して接続された複数のネットワークを監視対象とし、
いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析装置であって、
中継装置間の接続関係を示す中継装置情報を記憶する中継装置情報記憶部と、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信部と、
前記流通パケットヘッダ情報受信部により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶部と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信部と、
前記中継装置情報記憶部に記憶されている中継装置情報と、前記ヘッダ情報記憶部に記憶されている各ネットワークからのヘッダ情報と、攻撃パケットヘッダ情報受信部により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った中継装置を特定し、攻撃経路を解析する攻撃経路解析部とを有することを特徴とする。
図1は、本実施の形態に係るシステム構成例を示す構成図である。図1において101はインターネットなどの広域ネットワークを表し、ルータ121〜124は、異なるサブネットワーク間を接続して通信を中継する。ルータのそれぞれは、中継装置に相当する。ルータ121〜124により接続されている各サブネットワーク(破線で表示)は、監視対象のネットワークに相当する。
侵入検知装置131は、接続されているサブネットワーク上を常時監視して攻撃パケットを検知した場合には、検知した攻撃の内容および検知したパケットのヘッダ情報を含む情報をアラートとして、侵入経路解析装置171へ通知する。アラートとして通知する内容には、パケット検知日時並びに、パケットを識別するために一般的に用いられるパケットヘッダ内の送信元MACアドレス、送信先MACアドレス、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、TTL(Time To Live)、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの情報が含まれる。
たとえば、収集ルールとして、TCP(Trancemission Control Protocol)のSYNパケット、UDP(User Data Protocol)パケット、ICMP(Internet Control Message Protocol)パケットのみを取得することとすれば、TCPにおけるSYNパケット以外のパケットや、その他のプロトコルに関するパケットの分だけパケットログを削減可能である。収集ルールを特に指定しない場合は、全てのパケットを収集する。また、パケットのペイロード部分は、侵入経路の特定に直接影響を及ぼさないため、パケット取得時に破棄することでパケットログ1件あたりのデータ量を減らすこともできる。
パケット収集装置で収集したヘッダ情報は、侵入経路解析装置171からの記録データ送信要求発行後もしくは、定期的に侵入経路解析装置171へ送信される。
侵入検知装置131からアラートが通知された場合に、侵入経路解析装置171は、アラートに含まれている攻撃パケットのヘッダ情報を検索キーとして蓄積しているパケット収集装置からのヘッダ情報及びルータ情報を照合することにより攻撃パケットの中継を行ったルータを特定し、攻撃経路を解析する。侵入経路解析装置171は、攻撃経路解析装置に相当する。
通信部は、パケット収集装置141〜143、侵入検知装置131、及び各ルータ121〜124との通信を行う。パケット収集装置141〜143との間では、各パケット収集装置で収集されたパケットのヘッダ情報を受信する。侵入検知装置131との間では、攻撃パケットのヘッダ情報を含むアラートを受信する。また、各ルータ121〜124との間では、動的にルータ間接続情報を管理する場合に、構成に変更のあったネットワークのルータからIPルーティングテーブルなどを受信する。通信部1711は、流通パケットヘッダ情報受信部、攻撃パケットヘッダ情報受信部、中継装置情報受信部に相当する。
図3は、ルータ情報記憶部173が記憶するルータ間接続情報の例を示す。図3では、一例として、ルータ間接続情報の記述形式を(送信元ルータ、送信先ルータ)としており、図1のネットワーク構成におけるルータ間接続情報は、(ルータ121、ルータ122)、(ルータ121、ルータ123)、(ルータ121、ルータ124)、(ルータ122、ルータ121)、(ルータ123、ルータ121)、(ルータ124、ルータ121)のように、パケットの送受信が行われるルータの全ての組み合わせで表される。
また、図4は、ルータ情報記憶部173が記憶するルータMACアドレス情報の例を示す。図4の例では、各ルータのネットワークインターフェースカードに割り振られているMACアドレスを、ルータ121(M1、M2、M3、M4)、ルータ122(M5、M6)、ルータ123(M7、M8)、ルータ124(M9、M10)とする。
次に、アラート判断部1712が、受信されたデータがパケット収集装置からのヘッダ情報であると判断し、ステップS502において、ヘッダ情報記憶部1714がヘッダ情報を記憶する(ヘッダ情報記憶ステップ)。
また、アラート判断部1712は、通信部1711によりアラートが受信されたか否かを常にチェックしており侵入検知装置131からのアラートを受信した場合は(S503、攻撃パケットヘッダ情報受信ステップ)は、アラートを侵入経路解析部1715に転送する。
侵入経路解析部1715では、ステップS504において、アラート判断部1712からのアラートに含まれたヘッダ情報と侵入検知装置131でホスト151への攻撃を検知したときのパケットの検知時刻に基づき、ヘッダ情報記憶部1714に記憶されているヘッダ情報の検索を行い(攻撃経路解析ステップ)、ステップS505において、攻撃パケットのヘッダ情報とMACアドレス、TTL以外のデータが一致するヘッダ情報を抽出する(攻撃経路解析ステップ)。検索キーとするパケットのヘッダ情報は、攻撃パケットの種類(プロトコル)に応じて、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの項目を組み合わせて使用する。パケットヘッダに含まれるこれらの情報は、攻撃元から宛先ホストにパケットが到着するまで変更されない値であり、攻撃パケットを識別可能な情報である。したがって、以上の検索により、攻撃対象であるホスト151へ届いたパケットP1に対して、攻撃元である利用者端末163から送信されたパケットP2が得られる。しかしながら、この時点では、パケットP2が偶然検索でヒットしたものであるのかどうかは判定できない。
これにより、上記(A)とルータ間接続情報より、ルータ122を送信先とする可能性のあるルータはルータ121であることが分かる。
次に、ルータ121を送信先とする可能性のあるルータは、ルータ122、ルータ123、ルータ124であることが分かる。
ここまでの処理で、(ルータ122→ルータ121→ルータ122)、(ルータ123→ルータ121→ルータ122)、(ルータ124→ルータ121→ルータ122)がルータを3つ含む経路の候補となる。このうち、P2を攻撃パケットと仮定した場合、(ルータ124→ルータ121→ルータ122)の経路により(A)、(B)、(C)に矛盾なく経路を構成可能であることがわかる。よって、攻撃元から送信されたP2は、ルータ124、ルータ121、ルータ122を経由して、ホスト151への攻撃パケットP1として検知されたと断定する。
ここで、もし、矛盾なく経路を構成できなかった場合には、P2は、攻撃パケットではないことが分かり、その時点で経路の解析を終了する(侵入経路は未確定)。
また、経路に矛盾がない経路が複数導き出された場合には、それら全てを侵入経路とする。
また、本実施の形態によれば、ルータ間接続情報を含むルータ情報を用いるため、ルータレベル解析に関連した経路上のパケットが欠けていた場合であっても、正確に攻撃経路を特定可能となる。
実施の形態1では、ルータ間接続情報を(送信元ルータ、送信先ルータ)という接続されたルータのペアで保持していたが、端末が繋がっているサブネットワーク間の経路をあらかじめ特定して、
テーブルとして持つことにより、侵入経路追跡の解析手順を簡略化可能である。
たとえば、図面1の場合は、(ルータ122⇔ルータ121⇔ルータ123)、(ルータ122⇔ルータ121⇔ルータ124)、(ルータ123⇔ルータ121⇔ルータ124)という情報をあらかじテーブルとしてもっていれば、侵入経路解析でP1、P2が得られたときに、利用者端末163からホスト151へ、3つのルータ(ルータ124、ルータ121、ルータ122)を含む経路を構成可能であることが分かる。このように、本実施の形態では、ルータ間接続情報として、監視対象のサブネットワーク上に存在する中継経路ごとに、それぞれの中継経路に含まれるルータ及び中継の順序を示す情報を記憶することにより、実施の形態1に比べて、侵入経路の解析に要する時間を短縮することができる。
図示していないが、侵入経路解析装置171は、プログラムを実行するCPU(Central Processing Unit)を備えている。
RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
前述した各実施の形態の侵入経路解析装置171が扱うデータや情報は、記憶装置あるいは記憶部に保存され、侵入経路解析装置171の各部により、記録され読み出されるものである。
プログラム群は、CPU、OS、ウィンドウシステムにより実行される。
Claims (7)
- 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析装置であって、
中継装置間の接続関係を示す中継装置情報を記憶する中継装置情報記憶部と、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信部と、
前記流通パケットヘッダ情報受信部により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶部と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信部と、
前記中継装置情報記憶部に記憶されている中継装置情報と、前記ヘッダ情報記憶部に記憶されている各ネットワークからのヘッダ情報と、前記攻撃パケットヘッダ情報受信部により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析部とを有することを特徴とする攻撃経路解析装置。 - 前記中継装置情報記憶部は、
各中継装置のMAC(Media Access Control)アドレスが示された中継装置情報を記憶し、
前記ヘッダ情報記憶部は、
送信先MACアドレス、送信元MACアドレス、及びTTL(Time to Live)データを含む各ネットワークからのヘッダ情報を記憶し、
前記攻撃パケットヘッダ情報受信部は、
送信先MACアドレス、送信元MACアドレス、及びTTLデータを含む攻撃パケットのヘッダ情報を受信し、
前記攻撃経路解析部は、
送信先MACアドレス、送信元MACアドレス、及びTTLデータ以外のデータが、攻撃パケットのヘッダ情報の送信先MACアドレス、送信元MACアドレス、及びTTLデータ以外のデータと一致するヘッダ情報を前記ヘッダ情報記憶部に記憶されているヘッダ情報の中から抽出し、抽出したヘッダ情報の送信先MACアドレス及びTTLデータと、攻撃パケットのヘッダ情報の送信元MACアドレス及びTTLデータと、中継装置情報に示された各中継装置のMACアドレス及び中継装置間の接続関係とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析することを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記中継装置情報記憶部は、
中継装置間の接続関係として、二つの中継装置ごとに、送信先中継装置及び送信元中継装置を示す中継装置情報を記憶していることを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記中継装置情報記憶部は、
中継装置間の接続関係として、監視対象のネットワーク上に存在する中継経路ごとに、それぞれの中継経路に含まれる中継装置及び中継の順序を示す中継装置情報を記憶していることを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記攻撃経路解析装置は、更に、
中継装置間の接続関係に変更が生じた際に、変更後の接続関係を示す中継装置情報をいずれかの中継装置から受信する中継装置情報受信部を有し、
前記中継装置情報記憶部は、
前記中継装置情報受信部により新たな中継装置情報が受信された際に、新たな中継装置情報を用いて中継装置情報の更新を行うことを特徴とする請求項1に記載の攻撃経路解析装置。 - 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
中継装置間の接続関係を示す中継装置情報を管理し、いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析方法であって、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信ステップと、
前記流通パケットヘッダ情報受信ステップにより受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶ステップと、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信ステップと、
管理している中継装置情報と、前記ヘッダ情報記憶ステップにより記憶された各ネットワークからのヘッダ情報と、攻撃パケットヘッダ情報受信ステップにより受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析ステップとを有することを特徴とする攻撃経路解析方法。 - 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
中継装置間の接続関係を示す中継装置情報をコンピュータに管理させるとともに、いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析をコンピュータに実行させるプログラムであって、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信処理と、
前記流通パケットヘッダ情報受信処理により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶処理と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信処理と、
管理している中継装置情報と、前記ヘッダ情報記憶処理により記憶された各ネットワークからのヘッダ情報と、前記攻撃パケットヘッダ情報受信処理により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004325249A JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004325249A JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006135885A JP2006135885A (ja) | 2006-05-25 |
JP4319609B2 true JP4319609B2 (ja) | 2009-08-26 |
Family
ID=36728970
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004325249A Expired - Fee Related JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4319609B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
JPWO2008084729A1 (ja) | 2006-12-28 | 2010-04-30 | 日本電気株式会社 | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
JP4579995B2 (ja) * | 2008-01-28 | 2010-11-10 | 日本電信電話株式会社 | 経路同定システム |
CN112448912B (zh) * | 2019-08-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
-
2004
- 2004-11-09 JP JP2004325249A patent/JP4319609B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006135885A (ja) | 2006-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9009830B2 (en) | Inline intrusion detection | |
US20200280584A1 (en) | Method and Apparatus for Identifying Encrypted Data Stream | |
CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
US6496935B1 (en) | System, device and method for rapid packet filtering and processing | |
US7801980B1 (en) | Systems and methods for determining characteristics of a network | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US8874723B2 (en) | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof | |
US9455995B2 (en) | Identifying source of malicious network messages | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
US7684339B2 (en) | Communication control system | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
JP4319609B2 (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム | |
WO2005111805A1 (en) | Method of network traffic signature detection | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
JP4655028B2 (ja) | ワームの感染防止システム | |
JP3903969B2 (ja) | ワームの感染防止システム | |
KR20030039732A (ko) | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
JP7008451B2 (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
JP2007104472A (ja) | 統計データ取得装置及び統計データ取得方法 | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
KR100761984B1 (ko) | 자국어 인터넷주소의 처리방법 및 이를 실행시키기 위한프로그램을 기록한 기록매체 | |
JP2024031017A (ja) | 情報処理装置、情報処理方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070615 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090324 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090507 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090526 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090528 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |