JP4319609B2 - 攻撃経路解析装置及び攻撃経路解析方法及びプログラム - Google Patents
攻撃経路解析装置及び攻撃経路解析方法及びプログラム Download PDFInfo
- Publication number
- JP4319609B2 JP4319609B2 JP2004325249A JP2004325249A JP4319609B2 JP 4319609 B2 JP4319609 B2 JP 4319609B2 JP 2004325249 A JP2004325249 A JP 2004325249A JP 2004325249 A JP2004325249 A JP 2004325249A JP 4319609 B2 JP4319609 B2 JP 4319609B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- header information
- packet
- relay device
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの侵入経路を解析する侵入経路解析技術に関する。
従来技術(特許文献1)では、図6に示すように、監視対象の各サブネットワークにパケット収集装置を配置するとともに、各ホストにホスト内部情報収集装置を設けている。パケット収集装置はそれぞれが接続されているサブネットワークを流れるパケットを捕捉し、パケットヘッダの内容をヘッダ情報として侵入経路解析装置251に通知する。また、ホスト内部情報収集装置はホスト内のプロセス管理情報を収集し、侵入経路解析装置251に通知する。侵入経路解析装置251では、パケット収集装置ならびにホスト内部情報収集装置からそれぞれ収集したヘッダ情報及びプロセス管理情報を、データベースへ格納しておく。また、侵入検知装置にて攻撃パケットの侵入を検知した場合には、侵入経路解析装置251において、3つの異なる解析手段(ホストレベル解析、ルータレベル解析、ホスト内部解析)をスケジューリングアルゴリズムによってスケジューリングすることにより、送信元IP(Internet Protocol)アドレスの詐称や踏み台ホストといった、真の攻撃元端末を隠蔽するような手段を用いた場合であっても、その侵入経路の特定を可能としている。
ルータレベル解析では、ヘッダ情報をキーとしたデータベース検索により抽出した複数の攻撃のパケットを、TTL(Time To Live)データによってソートをした後に、パケットの送受信MAC(Media Access Control)アドレスとネットワーク上のルータのMACアドレスを関連付けることで、パケットの送出元からあて先までの経路を特定する。これにより、送信元IPアドレスを詐称されていた場合であっても攻撃の経路を特定可能である。
また、ホスト内部解析では、パケットを送出したプロセスの親子関係を辿り、親プロセスの中にリモートの端末と通信した履歴を持つものがあるかどうかを解析する。リモート端末との通信の履歴があった場合には、ホストレベル解析ならびにルータレベル追跡によって、リモートの端末までの経路を特定する。これにより、踏み台を含む侵入経路を追跡可能としている。
ルータレベル解析では、ヘッダ情報をキーとしたデータベース検索により抽出した複数の攻撃のパケットを、TTL(Time To Live)データによってソートをした後に、パケットの送受信MAC(Media Access Control)アドレスとネットワーク上のルータのMACアドレスを関連付けることで、パケットの送出元からあて先までの経路を特定する。これにより、送信元IPアドレスを詐称されていた場合であっても攻撃の経路を特定可能である。
また、ホスト内部解析では、パケットを送出したプロセスの親子関係を辿り、親プロセスの中にリモートの端末と通信した履歴を持つものがあるかどうかを解析する。リモート端末との通信の履歴があった場合には、ホストレベル解析ならびにルータレベル追跡によって、リモートの端末までの経路を特定する。これにより、踏み台を含む侵入経路を追跡可能としている。
また、図7は、従来技術(特許文献2)の構成を表している。特許文献2では、パケットプリンティング装置311〜313をネットワークの要所に設置して、パケットプリンティング装置が接続されているネットワークを通過するパケットの識別情報(パケットのハッシュ値やパケットの一部)(図7では、符号321〜323で示している)をパケットプリンティング装置に保存しておく。侵入パケット検知装置(図7では図示していない)で攻撃パケットの侵入を検知した場合、その攻撃パケットの識別情報を生成し、各パケットプリンティング装置に、攻撃パケットの識別情報と一致するデータが保存されているか問い合わせを行うことにより、侵入経路を特定している。問い合わせの方法として、(1)全てのパケットプリンティング装置へ問い合わせる方式、(2)管理マネージャが、経路を辿りながら、逐次問い合わせる方式、(3)パケットプリンティング装置同士が、自律的に問い合わせを行う方式がある。
また、図8は、従来技術(特許文献3)の概要を表している。特許文献3では、認証サーバである一定以上のリソース消費を検知した場合に、DoS(Denial of Service)攻撃と判断し、DoS攻撃パケットのソースアドレスを持つパケットを、DoS攻撃経路を遡りながら、ネットワーク上のルータでフィルタリングすることにより、DoS攻撃を無効化する。ただし、ソースアドレスが詐称された場合は、正当なユーザの通信をフィルタリングしてしまうという問題点があり、これに対しては、ネットワーク・イングレス・フィルタリング技術(RFC2827)と組み合わせることよって、回避するとしている。ネットワーク・イングレス・フィルタリング技術とは、ルータが他の装置からパケットを受信した際に、ソースアドレスが通常ありえないアドレス(プライベートIPアドレスや、ルータが接続されているサブネットに直接接続されている端末からサブネット以外のソースアドレス)であった場合に、ルータはそのパケットを破棄するというフィルタリング技術である。
上述したように、従来技術(特許文献1)におけるルータレベル解析を行うためには、解析対象であるパケットを収集するために、パケット収集装置をネットワークの各サブネット上に設置する必要がある。しかしながら、ルータ間(例えば、ルータ241とルータ242の間)に配置されたパケット収集装置(例えば、パケット収集装置231)はルータ間に流れるパケットを収集するため、バックボーンネットワークのような広帯域ネットワークの場合は、パケット収集装置から集積されるパケットログ件数が多くなる。このため、侵入経路解析に必要な計算量が多くなり侵入経路解析に長時間を要するとの問題がある。また、集積するパケットログ件数が多いため、ログの転送処理やデータベースへの格納処理にかかるコスト、ならびに、ログを保存しておくための領域を多く必要とする。これらにより、監視対象ネットワークの規模が大きくなった場合には、対応できなくなってしまうという問題点がある。また、ルータレベル解析に関連した経路上のパケットが1つでも欠けており、またIPアドレスを詐称されていた場合には、経路を特定できないといった問題点もある。
特許文献2におけるパケットプリンティング装置は、サブネットごとに設置する必要はない。しかしながら、侵入経路を特定するために設置するパケットプリンティング装置の数を減らした場合に、攻撃パケットとパケット識別情報が偶然一致するパケットを保持しているパケットプリンティング装置があった場合には、誤った経路が導き出されてしまうという問題点がある。
また、特許文献3では、ネットワーク・イングレス・フィルタリング技術を回避するようなIPアドレスの詐称(同一サブネットの他の端末のIPアドレスによる詐称など)も可能であり、その場合には、攻撃経路を遡った正確なフィルタリングを行うことができないという問題点が残る。
この発明は上記のような問題点を解決するためになされたもので、ルータレベル解析で必要とする収集パケットの総量の削減および攻撃経路の特定性能の向上を目的とする。
特開2003−258910号公報
特開2004−145687号公報
特開2003−298915号公報
本発明に係る攻撃経路解析装置は、
複数の中継装置を介して接続された複数のネットワークを監視対象とし、
いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析装置であって、
中継装置間の接続関係を示す中継装置情報を記憶する中継装置情報記憶部と、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信部と、
前記流通パケットヘッダ情報受信部により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶部と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信部と、
前記中継装置情報記憶部に記憶されている中継装置情報と、前記ヘッダ情報記憶部に記憶されている各ネットワークからのヘッダ情報と、攻撃パケットヘッダ情報受信部により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った中継装置を特定し、攻撃経路を解析する攻撃経路解析部とを有することを特徴とする。
複数の中継装置を介して接続された複数のネットワークを監視対象とし、
いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析装置であって、
中継装置間の接続関係を示す中継装置情報を記憶する中継装置情報記憶部と、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信部と、
前記流通パケットヘッダ情報受信部により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶部と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信部と、
前記中継装置情報記憶部に記憶されている中継装置情報と、前記ヘッダ情報記憶部に記憶されている各ネットワークからのヘッダ情報と、攻撃パケットヘッダ情報受信部により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った中継装置を特定し、攻撃経路を解析する攻撃経路解析部とを有することを特徴とする。
本発明によれば、中継装置間の接続関係を示す中継装置情報を用いて攻撃経路を解析するため、パケットの収集量を減らすことができ、これにより、攻撃経路解析に必要な計算量を削減することができ、より高速に侵入経路解析を行うことができる。また、パケットの収集量を減らすことにより、攻撃経路解析に使用するデータの格納や保存にかかるコストを抑えることも可能である。また、一定のパケットが欠けていた場合であっても、正確に攻撃経路を特定することができる。
実施の形態1.
図1は、本実施の形態に係るシステム構成例を示す構成図である。図1において101はインターネットなどの広域ネットワークを表し、ルータ121〜124は、異なるサブネットワーク間を接続して通信を中継する。ルータのそれぞれは、中継装置に相当する。ルータ121〜124により接続されている各サブネットワーク(破線で表示)は、監視対象のネットワークに相当する。
侵入検知装置131は、接続されているサブネットワーク上を常時監視して攻撃パケットを検知した場合には、検知した攻撃の内容および検知したパケットのヘッダ情報を含む情報をアラートとして、侵入経路解析装置171へ通知する。アラートとして通知する内容には、パケット検知日時並びに、パケットを識別するために一般的に用いられるパケットヘッダ内の送信元MACアドレス、送信先MACアドレス、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、TTL(Time To Live)、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの情報が含まれる。
図1は、本実施の形態に係るシステム構成例を示す構成図である。図1において101はインターネットなどの広域ネットワークを表し、ルータ121〜124は、異なるサブネットワーク間を接続して通信を中継する。ルータのそれぞれは、中継装置に相当する。ルータ121〜124により接続されている各サブネットワーク(破線で表示)は、監視対象のネットワークに相当する。
侵入検知装置131は、接続されているサブネットワーク上を常時監視して攻撃パケットを検知した場合には、検知した攻撃の内容および検知したパケットのヘッダ情報を含む情報をアラートとして、侵入経路解析装置171へ通知する。アラートとして通知する内容には、パケット検知日時並びに、パケットを識別するために一般的に用いられるパケットヘッダ内の送信元MACアドレス、送信先MACアドレス、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、TTL(Time To Live)、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの情報が含まれる。
パケット収集装置141〜143では、接続された各サブネットワーク上を流通するパケットを決められた収集ルールにしたがって、常時収集し、ヘッダの内容をヘッダ情報として記憶領域に記録する。記録するヘッダ情報には、パケットを識別するための情報が含まれる。例えば、侵入検知装置131がアラートとして侵入経路解析装置171に通知する内容と同じでもよい。具体的には、パケット取得日時並びに、パケットを識別するために一般的に用いられるパケットヘッダ内の送信元MACアドレス、送信先MACアドレス、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、TTL(Time To Live)、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの情報が含まれる。
また、パケット収集装置141〜143は、収集ルールによって、取得するパケットの種類をあらかじめ限定して収集することより、パケット情報件数を削減可能である。
たとえば、収集ルールとして、TCP(Trancemission Control Protocol)のSYNパケット、UDP(User Data Protocol)パケット、ICMP(Internet Control Message Protocol)パケットのみを取得することとすれば、TCPにおけるSYNパケット以外のパケットや、その他のプロトコルに関するパケットの分だけパケットログを削減可能である。収集ルールを特に指定しない場合は、全てのパケットを収集する。また、パケットのペイロード部分は、侵入経路の特定に直接影響を及ぼさないため、パケット取得時に破棄することでパケットログ1件あたりのデータ量を減らすこともできる。
パケット収集装置で収集したヘッダ情報は、侵入経路解析装置171からの記録データ送信要求発行後もしくは、定期的に侵入経路解析装置171へ送信される。
たとえば、収集ルールとして、TCP(Trancemission Control Protocol)のSYNパケット、UDP(User Data Protocol)パケット、ICMP(Internet Control Message Protocol)パケットのみを取得することとすれば、TCPにおけるSYNパケット以外のパケットや、その他のプロトコルに関するパケットの分だけパケットログを削減可能である。収集ルールを特に指定しない場合は、全てのパケットを収集する。また、パケットのペイロード部分は、侵入経路の特定に直接影響を及ぼさないため、パケット取得時に破棄することでパケットログ1件あたりのデータ量を減らすこともできる。
パケット収集装置で収集したヘッダ情報は、侵入経路解析装置171からの記録データ送信要求発行後もしくは、定期的に侵入経路解析装置171へ送信される。
収集したパケット情報などのログの送信や管理用コマンド要求・応答などの管理通信は、別の管理用ネットワークを構築するか、もしくは、監視対象ネットワークを使用して行うことを考える。監視対象ネットワークを使用して送信する場合には、取得したパケットログが、管理通信パケットかどうかを収集ルールによって判別し、管理通信パケットであった場合には、当該パケットログを破棄する。これにより、ログの送信や管理用コマンド要求・応答などの管理通信パケットなどの余分なパケットログを取得しないようにすることにより、侵入経路解析に使用するデータの格納や保存にかかるコストを抑えられる。
管理通信パケットの識別の方式としては、たとえば、パケット収集装置や侵入経路解析装置など管理通信を行う装置のIPアドレスを送信元IPアドレス、あるいは、宛先IPアドレスとして持つパケットを取得しないようにすればよい。また、管理用通信パケットにそのパケットが管理用通信のためのパケットであることを示す識別子をパケットのヘッダ部分につけておくことでも識別可能である。
本実施の形態では、パケット収集装置141〜143を最低限、ホスト151〜152や利用者端末161〜164など、通常の通信において、発信元または宛先となりうる端末が接続されているサブネットワークに設置する。つまり、本実施の形態に係る侵入経路解析装置171では、ルータ間を流通するパケットのヘッダ情報がなくても攻撃経路の解析が可能であり、このため、ルータ121とルータ122との間、ルータ121とルータ123との間、ルータ121とルータ124との間には、パケット収集装置は設置しなくてもよい。これにより、ルータ間を流通するパケットの収集を行わないので、パケット収集量を抑えることができる。
ホスト151〜152では、何らかのネットワークサービスが提供されており、利用者端末161〜163は、そのネットワークサービスを利用する端末である。ただし、ホスト間ならびに利用者端末間でも通信は可能とする。
侵入経路解析装置171は、パケット収集装置から受信したヘッダ情報を蓄積する。また、侵入経路解析装置171は、更に、ルータ情報を管理している。ルータ情報は、ルータ間の接続関係を示すルータ間接続情報と、各ルータのMACアドレスを示すルータMACアドレス情報からなる。ルータ間接続情報及びルータMACアドレス情報の詳細は後述する。
侵入検知装置131からアラートが通知された場合に、侵入経路解析装置171は、アラートに含まれている攻撃パケットのヘッダ情報を検索キーとして蓄積しているパケット収集装置からのヘッダ情報及びルータ情報を照合することにより攻撃パケットの中継を行ったルータを特定し、攻撃経路を解析する。侵入経路解析装置171は、攻撃経路解析装置に相当する。
侵入検知装置131からアラートが通知された場合に、侵入経路解析装置171は、アラートに含まれている攻撃パケットのヘッダ情報を検索キーとして蓄積しているパケット収集装置からのヘッダ情報及びルータ情報を照合することにより攻撃パケットの中継を行ったルータを特定し、攻撃経路を解析する。侵入経路解析装置171は、攻撃経路解析装置に相当する。
図2は、侵入経路解析装置171の構成例を示す図である。
通信部は、パケット収集装置141〜143、侵入検知装置131、及び各ルータ121〜124との通信を行う。パケット収集装置141〜143との間では、各パケット収集装置で収集されたパケットのヘッダ情報を受信する。侵入検知装置131との間では、攻撃パケットのヘッダ情報を含むアラートを受信する。また、各ルータ121〜124との間では、動的にルータ間接続情報を管理する場合に、構成に変更のあったネットワークのルータからIPルーティングテーブルなどを受信する。通信部1711は、流通パケットヘッダ情報受信部、攻撃パケットヘッダ情報受信部、中継装置情報受信部に相当する。
通信部は、パケット収集装置141〜143、侵入検知装置131、及び各ルータ121〜124との通信を行う。パケット収集装置141〜143との間では、各パケット収集装置で収集されたパケットのヘッダ情報を受信する。侵入検知装置131との間では、攻撃パケットのヘッダ情報を含むアラートを受信する。また、各ルータ121〜124との間では、動的にルータ間接続情報を管理する場合に、構成に変更のあったネットワークのルータからIPルーティングテーブルなどを受信する。通信部1711は、流通パケットヘッダ情報受信部、攻撃パケットヘッダ情報受信部、中継装置情報受信部に相当する。
アラート判断部1712は、通信部1711により受信されたデータの種類を判断し、侵入検知装置131からのアラートの場合は、受信されたアラートを侵入経路解析部1715に転送し、侵入経路解析部1715に侵入経路の解析を行わせる。パケット収集装置からのヘッダ情報である場合には、ヘッダ情報記憶部1714に転送し、ヘッダ情報記憶部1714にヘッダ情報の記憶を行わせる。ルータからのIPルーティングテーブルである場合は、ルータ情報記憶部1713に転送し、ルータ情報記憶部1713にIPルーティングテーブルの記憶を行わせる。
ルータ情報記憶部173は、ネットワーク上のルータ同士の接続関係を示すルータ間接続情報及び各ルータのMACアドレスを示すルータMACアドレス情報を、静的あるいは動的に管理する。動的にルータ間接続情報を作成および更新する場合は、ネットワーク構成に変更があった場合でも、侵入経路解析装置上のデータを変更する必要がなく、侵入経路解析装置の運用・管理コストの削減が可能となる。動的にルータ間接続情報を作成する手段としては、たとえば、SNMP(Simple Network Management Protocol)などにより、ネットワーク上のルータが保持しているIPルーティングテーブルを収集することで実現可能である。
図3は、ルータ情報記憶部173が記憶するルータ間接続情報の例を示す。図3では、一例として、ルータ間接続情報の記述形式を(送信元ルータ、送信先ルータ)としており、図1のネットワーク構成におけるルータ間接続情報は、(ルータ121、ルータ122)、(ルータ121、ルータ123)、(ルータ121、ルータ124)、(ルータ122、ルータ121)、(ルータ123、ルータ121)、(ルータ124、ルータ121)のように、パケットの送受信が行われるルータの全ての組み合わせで表される。
また、図4は、ルータ情報記憶部173が記憶するルータMACアドレス情報の例を示す。図4の例では、各ルータのネットワークインターフェースカードに割り振られているMACアドレスを、ルータ121(M1、M2、M3、M4)、ルータ122(M5、M6)、ルータ123(M7、M8)、ルータ124(M9、M10)とする。
図3は、ルータ情報記憶部173が記憶するルータ間接続情報の例を示す。図3では、一例として、ルータ間接続情報の記述形式を(送信元ルータ、送信先ルータ)としており、図1のネットワーク構成におけるルータ間接続情報は、(ルータ121、ルータ122)、(ルータ121、ルータ123)、(ルータ121、ルータ124)、(ルータ122、ルータ121)、(ルータ123、ルータ121)、(ルータ124、ルータ121)のように、パケットの送受信が行われるルータの全ての組み合わせで表される。
また、図4は、ルータ情報記憶部173が記憶するルータMACアドレス情報の例を示す。図4の例では、各ルータのネットワークインターフェースカードに割り振られているMACアドレスを、ルータ121(M1、M2、M3、M4)、ルータ122(M5、M6)、ルータ123(M7、M8)、ルータ124(M9、M10)とする。
ヘッダ情報記憶部1714は、パケット収集装置141〜144から受信したヘッダ情報を、検索可能な形式でデータベースに格納しておく。格納するヘッダ情報は、前述したように、パケットヘッダ内の送信元MACアドレス、送信先MACアドレス、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、TTL(Time To Live)、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの情報である。
侵入経路解析部1715は、アラート判断部1712により侵入検知装置131からのアラートが転送されてきた場合に、アラートに含まれている攻撃パケットのヘッダ情報を検索キーとして、ヘッダ情報記憶部1714に蓄積されているヘッダ情報とルータ情報記憶部1713に記憶されているルータ間接続情報及びルータMACアドレス情報を照合することにより攻撃パケットの中継を行ったルータを特定し、攻撃経路を解析する。侵入経路解析部1715は、攻撃経路解析部に相当する。
本実施の形態に係る侵入経路解析装置171の動作を図5を参照しながら説明する。なお、以下では、攻撃者が利用者端末163(MACアドレスとしてM11を持つ)からホスト151(MACアドレスとしてM12を持つ)へ攻撃を行った場合を想定して、侵入経路解析装置171において攻撃経路を解析する際の手順を説明する。ただし、攻撃は侵入検知装置131で検知可能なものであると仮定する。また、各パケット収集装置では、取りこぼしなくパケットの収集が行われているものとする。また、侵入検知装置131で検知された攻撃パケットをP1、パケット収集装置143で収集された攻撃パケットをP2とする。また、これらのパケットを(送信元MACアドレス、宛先MACアドレス、TTL)として表現し、端末からのパケット送出時のTTLの初期値を10と置くと、P1(M6、M11、7)、P2(M12、M10、10)と表される。
先ず、侵入検知装置131からのアラートが通知される前は、ステップS501において、例えば定期的に、通信部1711が、パケット収集装置からのヘッダ情報を受信する(流通パケットヘッダ情報受信ステップ)。
次に、アラート判断部1712が、受信されたデータがパケット収集装置からのヘッダ情報であると判断し、ステップS502において、ヘッダ情報記憶部1714がヘッダ情報を記憶する(ヘッダ情報記憶ステップ)。
また、アラート判断部1712は、通信部1711によりアラートが受信されたか否かを常にチェックしており侵入検知装置131からのアラートを受信した場合は(S503、攻撃パケットヘッダ情報受信ステップ)は、アラートを侵入経路解析部1715に転送する。
侵入経路解析部1715では、ステップS504において、アラート判断部1712からのアラートに含まれたヘッダ情報と侵入検知装置131でホスト151への攻撃を検知したときのパケットの検知時刻に基づき、ヘッダ情報記憶部1714に記憶されているヘッダ情報の検索を行い(攻撃経路解析ステップ)、ステップS505において、攻撃パケットのヘッダ情報とMACアドレス、TTL以外のデータが一致するヘッダ情報を抽出する(攻撃経路解析ステップ)。検索キーとするパケットのヘッダ情報は、攻撃パケットの種類(プロトコル)に応じて、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの項目を組み合わせて使用する。パケットヘッダに含まれるこれらの情報は、攻撃元から宛先ホストにパケットが到着するまで変更されない値であり、攻撃パケットを識別可能な情報である。したがって、以上の検索により、攻撃対象であるホスト151へ届いたパケットP1に対して、攻撃元である利用者端末163から送信されたパケットP2が得られる。しかしながら、この時点では、パケットP2が偶然検索でヒットしたものであるのかどうかは判定できない。
次に、アラート判断部1712が、受信されたデータがパケット収集装置からのヘッダ情報であると判断し、ステップS502において、ヘッダ情報記憶部1714がヘッダ情報を記憶する(ヘッダ情報記憶ステップ)。
また、アラート判断部1712は、通信部1711によりアラートが受信されたか否かを常にチェックしており侵入検知装置131からのアラートを受信した場合は(S503、攻撃パケットヘッダ情報受信ステップ)は、アラートを侵入経路解析部1715に転送する。
侵入経路解析部1715では、ステップS504において、アラート判断部1712からのアラートに含まれたヘッダ情報と侵入検知装置131でホスト151への攻撃を検知したときのパケットの検知時刻に基づき、ヘッダ情報記憶部1714に記憶されているヘッダ情報の検索を行い(攻撃経路解析ステップ)、ステップS505において、攻撃パケットのヘッダ情報とMACアドレス、TTL以外のデータが一致するヘッダ情報を抽出する(攻撃経路解析ステップ)。検索キーとするパケットのヘッダ情報は、攻撃パケットの種類(プロトコル)に応じて、ICMPプロトコルヘッダのType、Code、Checksum、IPプロトコルヘッダのIdentification、Protocol、発信元IPアドレス、宛先IPアドレス、TCP/UDPプロトコルヘッダの発信元ポート番号、宛先ポート番号、Checksum、TCPプロトコルヘッダのSequenceNumber、AcknowledgmentNumberなどの項目を組み合わせて使用する。パケットヘッダに含まれるこれらの情報は、攻撃元から宛先ホストにパケットが到着するまで変更されない値であり、攻撃パケットを識別可能な情報である。したがって、以上の検索により、攻撃対象であるホスト151へ届いたパケットP1に対して、攻撃元である利用者端末163から送信されたパケットP2が得られる。しかしながら、この時点では、パケットP2が偶然検索でヒットしたものであるのかどうかは判定できない。
次に、侵入経路解析部1715では、ステップS506において、抽出したヘッダ情報のMACアドレス、TTL、攻撃パケットのMACアドレス、TTL、ルータ情報(ルータ間接続情報、ルータMACアドレス情報)により攻撃パケットを中継したルータを特定し、攻撃経路を解析する(攻撃経路解析ステップ)。図1に示す利用者端末163からホスト151に対して攻撃パケットが送信された場合に基づいて説明すると、ステップS505の抽出結果から、(A)パケットP1の送信元MACアドレスがM6であることから、P1はMACアドレスM6を持つルータ122から送信された、(B)P2の送信先MACアドレスがM10であることから、P2はMACアドレスM10を持つルータ124へ送信された、(C)P2のTTLとP1のTTLの差(=3)より、仮にP2を攻撃パケットと仮定した場合には、経路上に3つのルータが存在する(IPプロトコルの仕様により、パケットがルータを通過するたびにTTLが1減るため)ことが分かる。
これにより、上記(A)とルータ間接続情報より、ルータ122を送信先とする可能性のあるルータはルータ121であることが分かる。
次に、ルータ121を送信先とする可能性のあるルータは、ルータ122、ルータ123、ルータ124であることが分かる。
ここまでの処理で、(ルータ122→ルータ121→ルータ122)、(ルータ123→ルータ121→ルータ122)、(ルータ124→ルータ121→ルータ122)がルータを3つ含む経路の候補となる。このうち、P2を攻撃パケットと仮定した場合、(ルータ124→ルータ121→ルータ122)の経路により(A)、(B)、(C)に矛盾なく経路を構成可能であることがわかる。よって、攻撃元から送信されたP2は、ルータ124、ルータ121、ルータ122を経由して、ホスト151への攻撃パケットP1として検知されたと断定する。
ここで、もし、矛盾なく経路を構成できなかった場合には、P2は、攻撃パケットではないことが分かり、その時点で経路の解析を終了する(侵入経路は未確定)。
また、経路に矛盾がない経路が複数導き出された場合には、それら全てを侵入経路とする。
これにより、上記(A)とルータ間接続情報より、ルータ122を送信先とする可能性のあるルータはルータ121であることが分かる。
次に、ルータ121を送信先とする可能性のあるルータは、ルータ122、ルータ123、ルータ124であることが分かる。
ここまでの処理で、(ルータ122→ルータ121→ルータ122)、(ルータ123→ルータ121→ルータ122)、(ルータ124→ルータ121→ルータ122)がルータを3つ含む経路の候補となる。このうち、P2を攻撃パケットと仮定した場合、(ルータ124→ルータ121→ルータ122)の経路により(A)、(B)、(C)に矛盾なく経路を構成可能であることがわかる。よって、攻撃元から送信されたP2は、ルータ124、ルータ121、ルータ122を経由して、ホスト151への攻撃パケットP1として検知されたと断定する。
ここで、もし、矛盾なく経路を構成できなかった場合には、P2は、攻撃パケットではないことが分かり、その時点で経路の解析を終了する(侵入経路は未確定)。
また、経路に矛盾がない経路が複数導き出された場合には、それら全てを侵入経路とする。
このように、本実施の形態では、ルータ間接続情報を含むルータ情報を用いて、攻撃パケットの転送経路を特定するため、従来技術で必要であったルータ間を流れるパケットを収集する必要がなくなる。つまり、従来必要であった図1のルータ121とルータ122との間(ルータ121とルータ123との間、ルータ121とルータ124との間も同様である)のパケットの収集が不要になる。このため、収集するパケットの総量を減らすことが可能である。これにより、侵入経路解析に必要な計算量を削減することができ、より高速に侵入経路解析を行うことができる。また、収集するパケットの総量を減らすことにより、侵入経路解析に使用するデータの格納や保存にかかるコストを抑えることも可能である。
また、本実施の形態によれば、ルータ間接続情報を含むルータ情報を用いるため、ルータレベル解析に関連した経路上のパケットが欠けていた場合であっても、正確に攻撃経路を特定可能となる。
また、本実施の形態によれば、ルータ間接続情報を含むルータ情報を用いるため、ルータレベル解析に関連した経路上のパケットが欠けていた場合であっても、正確に攻撃経路を特定可能となる。
実施の形態2.
実施の形態1では、ルータ間接続情報を(送信元ルータ、送信先ルータ)という接続されたルータのペアで保持していたが、端末が繋がっているサブネットワーク間の経路をあらかじめ特定して、
テーブルとして持つことにより、侵入経路追跡の解析手順を簡略化可能である。
たとえば、図面1の場合は、(ルータ122⇔ルータ121⇔ルータ123)、(ルータ122⇔ルータ121⇔ルータ124)、(ルータ123⇔ルータ121⇔ルータ124)という情報をあらかじテーブルとしてもっていれば、侵入経路解析でP1、P2が得られたときに、利用者端末163からホスト151へ、3つのルータ(ルータ124、ルータ121、ルータ122)を含む経路を構成可能であることが分かる。このように、本実施の形態では、ルータ間接続情報として、監視対象のサブネットワーク上に存在する中継経路ごとに、それぞれの中継経路に含まれるルータ及び中継の順序を示す情報を記憶することにより、実施の形態1に比べて、侵入経路の解析に要する時間を短縮することができる。
実施の形態1では、ルータ間接続情報を(送信元ルータ、送信先ルータ)という接続されたルータのペアで保持していたが、端末が繋がっているサブネットワーク間の経路をあらかじめ特定して、
テーブルとして持つことにより、侵入経路追跡の解析手順を簡略化可能である。
たとえば、図面1の場合は、(ルータ122⇔ルータ121⇔ルータ123)、(ルータ122⇔ルータ121⇔ルータ124)、(ルータ123⇔ルータ121⇔ルータ124)という情報をあらかじテーブルとしてもっていれば、侵入経路解析でP1、P2が得られたときに、利用者端末163からホスト151へ、3つのルータ(ルータ124、ルータ121、ルータ122)を含む経路を構成可能であることが分かる。このように、本実施の形態では、ルータ間接続情報として、監視対象のサブネットワーク上に存在する中継経路ごとに、それぞれの中継経路に含まれるルータ及び中継の順序を示す情報を記憶することにより、実施の形態1に比べて、侵入経路の解析に要する時間を短縮することができる。
ただし、監視対象ネットワークが大規模ネットワークであった場合には、この方式ではルータ間接続情報のテーブルが巨大になってしまうことが考えられるため、ネットワークの規模により、ルータ間接続情報の持ち方を選択可能とする。
なお、本実施の形態では、ルート間接続情報の内容が異なるのみであり、全体のシステム構成、侵入経路解析装置の構成例、侵入経路解析装置の動作例などは、実施の形態1と同様である。
このように、実施の形態2によれば、ルータ間接続情報を経路の候補となるデータ列として保持しておくことによって、より高速かつ簡単な手順で侵入経路の特定が可能となる。
前述した各実施の形態で、侵入経路解析装置171は、コンピュータで実現できるものである。
図示していないが、侵入経路解析装置171は、プログラムを実行するCPU(Central Processing Unit)を備えている。
図示していないが、侵入経路解析装置171は、プログラムを実行するCPU(Central Processing Unit)を備えている。
例えば、CPUは、バスを介して、ROM(Read Only Memory)、RAM(Random Access Memory)、通信ボード、表示装置、K/B(キーボード)、マウス、FDD(Flexible Disk Drive)、CDD(コンパクトディスクドライブ)、磁気ディスク装置、光ディスク装置、プリンタ装置、スキャナ装置等と接続していてもよい。
RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
前述した各実施の形態の侵入経路解析装置171が扱うデータや情報は、記憶装置あるいは記憶部に保存され、侵入経路解析装置171の各部により、記録され読み出されるものである。
RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
前述した各実施の形態の侵入経路解析装置171が扱うデータや情報は、記憶装置あるいは記憶部に保存され、侵入経路解析装置171の各部により、記録され読み出されるものである。
また、通信ボードは、例えば、LAN、インターネット、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されている。
磁気ディスク装置には、オペレーティングシステム(OS)、ウィンドウシステム、プログラム群、ファイル群(データベース)が記憶されている。
プログラム群は、CPU、OS、ウィンドウシステムにより実行される。
プログラム群は、CPU、OS、ウィンドウシステムにより実行される。
上記侵入経路解析装置171の各部は、一部或いはすべてコンピュータで動作可能なプログラムにより構成しても構わない。或いは、ROMに記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェア或いは、ハードウェア或いは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実施されても構わない。
上記プログラム群には、実施の形態の説明において「〜部」として説明した処理をCPUに実行させるプログラムが記憶される。これらのプログラムは、例えば、C言語やHTMLやSGMLやXMLなどのコンピュータ言語により作成される。
また、上記プログラムは、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記憶され、CPUにより読み出され実行される。
101 広域ネットワーク、121 ルータ、122 ルータ、123 ルータ、124 ルータ、131 侵入検知装置、141 パケット収集装置、142 パケット収集装置、143 パケット収集装置、151 ホスト、152 ホスト、161 利用者端末、162 利用者端末、163 利用者端末、164 利用者端末、1711 通信部、1712 アラート判断部、1713 ルータ情報記憶部、1714 ヘッダ情報記憶部、1715 侵入経路解析部。
Claims (7)
- 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析装置であって、
中継装置間の接続関係を示す中継装置情報を記憶する中継装置情報記憶部と、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信部と、
前記流通パケットヘッダ情報受信部により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶部と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信部と、
前記中継装置情報記憶部に記憶されている中継装置情報と、前記ヘッダ情報記憶部に記憶されている各ネットワークからのヘッダ情報と、前記攻撃パケットヘッダ情報受信部により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析部とを有することを特徴とする攻撃経路解析装置。 - 前記中継装置情報記憶部は、
各中継装置のMAC(Media Access Control)アドレスが示された中継装置情報を記憶し、
前記ヘッダ情報記憶部は、
送信先MACアドレス、送信元MACアドレス、及びTTL(Time to Live)データを含む各ネットワークからのヘッダ情報を記憶し、
前記攻撃パケットヘッダ情報受信部は、
送信先MACアドレス、送信元MACアドレス、及びTTLデータを含む攻撃パケットのヘッダ情報を受信し、
前記攻撃経路解析部は、
送信先MACアドレス、送信元MACアドレス、及びTTLデータ以外のデータが、攻撃パケットのヘッダ情報の送信先MACアドレス、送信元MACアドレス、及びTTLデータ以外のデータと一致するヘッダ情報を前記ヘッダ情報記憶部に記憶されているヘッダ情報の中から抽出し、抽出したヘッダ情報の送信先MACアドレス及びTTLデータと、攻撃パケットのヘッダ情報の送信元MACアドレス及びTTLデータと、中継装置情報に示された各中継装置のMACアドレス及び中継装置間の接続関係とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析することを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記中継装置情報記憶部は、
中継装置間の接続関係として、二つの中継装置ごとに、送信先中継装置及び送信元中継装置を示す中継装置情報を記憶していることを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記中継装置情報記憶部は、
中継装置間の接続関係として、監視対象のネットワーク上に存在する中継経路ごとに、それぞれの中継経路に含まれる中継装置及び中継の順序を示す中継装置情報を記憶していることを特徴とする請求項1に記載の攻撃経路解析装置。 - 前記攻撃経路解析装置は、更に、
中継装置間の接続関係に変更が生じた際に、変更後の接続関係を示す中継装置情報をいずれかの中継装置から受信する中継装置情報受信部を有し、
前記中継装置情報記憶部は、
前記中継装置情報受信部により新たな中継装置情報が受信された際に、新たな中継装置情報を用いて中継装置情報の更新を行うことを特徴とする請求項1に記載の攻撃経路解析装置。 - 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
中継装置間の接続関係を示す中継装置情報を管理し、いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析を行う攻撃経路解析方法であって、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信ステップと、
前記流通パケットヘッダ情報受信ステップにより受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶ステップと、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信ステップと、
管理している中継装置情報と、前記ヘッダ情報記憶ステップにより記憶された各ネットワークからのヘッダ情報と、攻撃パケットヘッダ情報受信ステップにより受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析ステップとを有することを特徴とする攻撃経路解析方法。 - 複数の中継装置を介して接続された複数のネットワークを監視対象とし、
中継装置間の接続関係を示す中継装置情報をコンピュータに管理させるとともに、いずれかのネットワークに対する攻撃パケットが検知された場合に、攻撃パケットの送信に用いられた攻撃経路の解析をコンピュータに実行させるプログラムであって、
各ネットワークを流通するパケットを収集して得られた各パケットのヘッダ情報を各ネットワークより受信する流通パケットヘッダ情報受信処理と、
前記流通パケットヘッダ情報受信処理により受信された各ネットワークからのヘッダ情報を記憶するヘッダ情報記憶処理と、
いずれかのネットワークに対する攻撃パケットが検知された場合に、検知された攻撃パケットのヘッダ情報を受信する攻撃パケットヘッダ情報受信処理と、
管理している中継装置情報と、前記ヘッダ情報記憶処理により記憶された各ネットワークからのヘッダ情報と、前記攻撃パケットヘッダ情報受信処理により受信された攻撃パケットのヘッダ情報とに基づき、攻撃パケットの中継を行った可能性のある中継装置を導出し、攻撃経路を解析する攻撃経路解析処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325249A JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325249A JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006135885A JP2006135885A (ja) | 2006-05-25 |
| JP4319609B2 true JP4319609B2 (ja) | 2009-08-26 |
Family
ID=36728970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004325249A Expired - Fee Related JP4319609B2 (ja) | 2004-11-09 | 2004-11-09 | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4319609B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
| JPWO2008084729A1 (ja) | 2006-12-28 | 2010-04-30 | 日本電気株式会社 | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| JP4579995B2 (ja) * | 2008-01-28 | 2010-11-10 | 日本電信電話株式会社 | 経路同定システム |
| CN112448912B (zh) * | 2019-08-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
-
2004
- 2004-11-09 JP JP2004325249A patent/JP4319609B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006135885A (ja) | 2006-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9009830B2 (en) | Inline intrusion detection | |
| US20200280584A1 (en) | Method and Apparatus for Identifying Encrypted Data Stream | |
| CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| US6496935B1 (en) | System, device and method for rapid packet filtering and processing | |
| US7801980B1 (en) | Systems and methods for determining characteristics of a network | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US8874723B2 (en) | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof | |
| US9455995B2 (en) | Identifying source of malicious network messages | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
| US7684339B2 (en) | Communication control system | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| JP4319609B2 (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム | |
| WO2005111805A1 (en) | Method of network traffic signature detection | |
| JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| JP4655028B2 (ja) | ワームの感染防止システム | |
| JP3903969B2 (ja) | ワームの感染防止システム | |
| KR20030039732A (ko) | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| JP7008451B2 (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
| JP2007104472A (ja) | 統計データ取得装置及び統計データ取得方法 | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| KR100761984B1 (ko) | 자국어 인터넷주소의 처리방법 및 이를 실행시키기 위한프로그램을 기록한 기록매체 | |
| JP2024031017A (ja) | 情報処理装置、情報処理方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070615 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090324 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090507 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090526 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090528 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |