JP4687978B2 - パケット解析システム - Google Patents

パケット解析システム Download PDF

Info

Publication number
JP4687978B2
JP4687978B2 JP2006037685A JP2006037685A JP4687978B2 JP 4687978 B2 JP4687978 B2 JP 4687978B2 JP 2006037685 A JP2006037685 A JP 2006037685A JP 2006037685 A JP2006037685 A JP 2006037685A JP 4687978 B2 JP4687978 B2 JP 4687978B2
Authority
JP
Japan
Prior art keywords
packet
address
packets
propagation
pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006037685A
Other languages
English (en)
Other versions
JP2007221311A (ja
Inventor
俊輔 馬場
和也 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2006037685A priority Critical patent/JP4687978B2/ja
Publication of JP2007221311A publication Critical patent/JP2007221311A/ja
Application granted granted Critical
Publication of JP4687978B2 publication Critical patent/JP4687978B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、インターネット等のネットワークを伝播するパケットを捕捉して解析するパケット解析システムに関し、特に複数のパケットの伝播のパターンを自動的に分離すると共にパケットのふるまいを可視化することが可能なパケット解析システムに関する。
従来のインターネット等のネットワークを伝播するパケットによる攻撃手法の特定やネットワーク状況把握するパケット解析システムに関連する先行技術文献としては次のようなものがある。
特開2004−186878号公報 特開2004−280724号公報 特開2004−302956号公報 特開2004−304752号公報 特開2005−333200号公報
図16は特定された攻撃手法を排除するためのIDS(Intrusion Detection System:侵入検知システム:以下、単にIDSと呼ぶ。)の一例を示す構成ブロック図である。図16において1,2及び3はコンピュータ、4は不正アクセスが検知された場合にトラフィックを遮断するIDS、5はサーバ、100はインターネット等の汎用のネットワークである。
コンピュータ1,2及び3はネットワーク100に相互に接続され、IDS4の一方の入出力端子もまたネットワーク100に相互に接続される。そして、IDS4の他方の入出力端子はサーバ5に接続される。
ここで、図16に示す従来例の動作を図17を用いて説明する。図17は各コンピュータからのパケットの伝播の状況を説明する説明図である。但し、IDS4はシグネチャ型のIDSとして説明する。
図17中”CP01”に示すようにコンピュータ1からサーバ5へパケットの伝播があった場合、IDS4は伝播しているパケットの中身と予め設定されている不正パケットの情報(以下、単に、シグネチャと呼ぶ。)とを照合する。
例えば、図17中”CP01”に示すパケットの中身がシグネチャと一致しなければ、IDS4は正常なパケットとしてサーバ5に転送する。
一方、図17中”CP02”に示すようなコンピュータ3からのパケットが、パケットの中身と予め設定されているシグネチャと一致した場合には、IDS4は不正パケットと判断して図17中”BK01”に示すように当該不正なパケットの通過を遮断する。
これに対して、IDS4がアノマリ型であった場合には、IDS4は統計的な手法で予め正常状態が定義されており、現在の状態が予め定義されている正常状態から逸脱した場合に異常であると判断して不正パケットの通過を遮断する。
この結果、シグネチャ型(或いは、アノマリ型)のIDSを介してインターネット等の汎用のネットワークに接続することにより、不正なパケットの侵入を検知してこれを遮断することが可能になる。
しかし、図16に示す従来例では、特に、シグネチャ型のIDSでは、予め設定されたシグネチャとの対比によって不正なパケットを検知するため、新種や亜種の不正パケットをうまく検知できないといった問題点があった。
また、伝播してくるパケットの中身とシグネチャを対比するため、複数のパケットの伝播のパターンを検知することはできないといった問題点があった。
また、アノマリ型のIDSでは、統計的な手法で正常状態を判定するものであり、パケット数が少ない新規の伝播のパターンを検知することが困難であるといった問題点があった。
従って本発明が解決しようとする課題は、複数のパケットの伝播のパターンを自動的に分離すると共にパケットのふるまいを可視化することが可能なパケット解析システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
複数の場所に設置され、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶して前記IPアドレスからの複数のパケットの伝播のパターンを分類する端末ノード型センサと、
前記ネットワークを介して前記複数の端末ノード型センサから分類された複数のパケットの伝播のパターンを取得してシステムの全体的な管理を行うサーバと
を備え
前記端末ノード型センサが、
前記ネットワークを伝播するパケットを捕捉する通信手段と、
記憶手段と、
前記IPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを前記記憶手段に格納すると共に格納された前記IPアドレスからの複数の前記パケットの伝播のパターンを分類し前記記憶手段に保存する演算制御手段とから構成され、
前記サーバが、
表示手段上に、左右に隣接する2つの領域から構成される表示画面を表示させ、
左側の領域では縦軸に送信元ポート番号、横軸にパケットを受信した時刻をそれぞれ目盛り、
右側の領域では縦軸に送信先ポート番号、横軸に送信先IPアドレスを目盛し、
前記端末ノード型センサの前記記憶手段に格納されている前記IPアドレスからの各々の前記パケットの情報が有する送信元ポート番号と時刻の交点と、送信先ポート番号と送信先IPアドレスの交点を求め、
前記2つの交点を線分で結ぶように順次表示させることにより、端末ノード型センサにおいて複数のパケットの伝播のパターンを自動的に分類することができる。
請求項2記載の発明は、
請求項1記載の発明であるパケット解析システムにおいて、
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
複数の場所に設置され、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶して前記IPアドレスからの複数のパケットの伝播のパターンを分類する端末ノード型センサと、
前記ネットワークを介して前記複数の端末ノード型センサから分類された複数のパケットの伝播のパターンを取得してシステムの全体的な管理を行うサーバと
を備え、
前記サーバが、
表示手段上に、左右に隣接する2つの領域から構成される表示画面を表示させ、
左側の領域では縦軸に送信元ポート番号、横軸にパケットを受信した時刻をそれぞれ目盛り、
右側の領域では縦軸に送信先ポート番号、横軸に送信先IPアドレスを目盛し、
前記端末ノード型センサに記憶されている前記IPアドレスからの各々の前記パケットの情報が有する送信元ポート番号と時刻の交点と、送信先ポート番号と送信先IPアドレスの交点を求め、
前記2つの交点を線分で結ぶように順次表示させることにより、端末ノード型センサにおいて複数のパケットの伝播のパターンを自動的に分類することができる。
請求項3記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
前記IPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶し、送信元アドレスの種類数、送信元ポート番号の種類数、送信先ポート番号の種類数、パケットの数、パケットが連続したIPアドレスを走査するように伝播、パケットがランダムなIPアドレスに伝播に基づき前記IPアドレスからの複数のパケットの伝播のパターンを分類することにより、端末ノード型センサにおいて複数のパケットの伝播のパターンを自動的に分類することができる。
請求項記載の発明は、
請求項1または2に記載の発明であるパケット解析システムにおいて、
前記サーバが、
表示手段に、前記表示画面を複数枚同時に別々のウィンドウで表示させ、或いは、前記
表示画面を複数枚同時に重ねて表示させることにより、複数の表示画面の相違点を対比す
ることができるので、これまで検出された既知の複数のパケットの伝播のパターンと同様
のパターンであるか否かを判断することが可能になる。
請求項記載の発明は、
請求項1または3に記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
前記IPアドレスからのパケットを受信後一定時間の間に伝播してきた前記IPアドレスからのパケットを前記記憶手段から読み出し、送信元アドレスの種類数、送信元ポート番号の種類数、送信先ポート番号の種類数、パケットの数、パケットが連続したIPアドレスを走査するように伝播、パケットがランダムなIPアドレスに伝播に基づき前記IPアドレスからの複数のパケットの伝播のパターンを分類し、前記分類した複数のパケットの伝播のパターンに対してハッシュ関数を適用してハッシュ値を生成し、前記生成したハッシュ値が予め蓄積されているデータベース内に存在するかを検索し、前記データベースに前記生成したハッシュ値が存在しない場合に前記IPアドレスからのパケットを受信後一定時間の間に伝播してきたパケットが新規の伝播のパターンであると判断すると共に前記生成したハッシュ値を前記データベースに登録することにより、新規の伝播のパターンの自動検知することが可能になる。
本発明によれば次のような効果がある。
請求項の発明によれば、あるIPアドレスから伝播してきたパケットを受信した場合に、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してくる当該IPアドレスからのパケットを記憶し、送信元アドレスの種類数、送信元ポート番号の種類数、送信先ポート番号の種類数、パケットの数、パケットが連続したIPアドレスを走査するように伝播、パケットがランダムなIPアドレスに伝播と言ったパケットが有するパラメータに基づき複数のパケットの伝播のパターンを分類することにより、端末ノード型センサにおいて複数のパケットの伝播のパターンを自動的に分類することができる。
また、請求項1、2の発明によれば、請求項3の発明で得られる効果に加えて、表示手段に、左右に隣接する2つの領域から構成される表示画面を表示させ、左側の領域では縦軸に”送信元ポート番号”、横軸にパケットを受信した”時刻”をそれぞれ目盛り、右側の領域では縦軸に”送信先ポート番号”、横軸に”送信先IPアドレス”を目盛し、端末ノード型センサの記憶手段に格納されている各々のパケットの情報が有する”送信元ポート番号”と”時刻”の交点と、”送信先ポート番号”と”送信先IPアドレス”の交点を求め、2つの交点を線分で結ぶように順次表示させることにより、複数のパケットの伝播のパターンを可視化することができる。
また、請求項の発明によれば、このような表示画面を複数枚同時に別々のウィンドウで表示させ、或いは、表示画面を複数枚同時に重ねて表示させることにより、複数の表示画面の相違点を対比することができるので、これまで検出された既知の複数のパケットの伝播のパターンと同様のパターンであるか否かを判断することが可能になる。
また、請求項の発明によれば、分類した複数のパケットの伝播のパターンに対してハッシュ関数を適用して生成されたハッシュ値が蓄積されたデータベースを予め備え、分類した複数のパケットの伝播のパターンに対してハッシュ関数を適用して生成したハッシュ値が当該データベースに存在するか否かを検査することにより、新規の伝播のパターンの自動検知することが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット解析システムの一実施例を示す構成ブロック図である。
図1において6はパケット解析システムの全体的な管理をするサーバ、7及び8はコンピュータ、9,10及び11はコンピュータと接続され、或いは、単独で複数の場所に設置され伝播するパケットを捕捉して複数のパケットの伝播のパターンを分類する端末ノード型センサ、101はインターネット等の汎用のネットワークである。
サーバ6はネットワーク101に相互に接続され、端末ノード型センサ9,10及び11もまたネットワーク101に相互に接続される。端末ノード型センサ9及び10の端子にはコンピュータ7及び8がそれぞれ接続される。
また、図2は端末ノード型センサ9〜11の具体例を示す構成ブロック図である。図2において12はネットワーク101(図示せず。)を介して伝播するパケットを捕捉等する通信手段、13はCPU(Central Processing Unit)等の演算制御手段、14は端子に接続されるコンピュータ等の機器との間でパケットのやり取りを行なう入出力手段、15は端末ノード型センサ自体を制御するプログラムや捕捉したパケット及びそれを分類した情報等が格納される記憶手段である。また、12,13,14及び15は端末ノード型センサ50を構成している。
ここで、図1及び図2に示す実施例の動作、特に端末ノード型センサの動作を図3,図4,図5,図6,図7及び図8を用いて説明する。
図3及び図6は端末ノード型センサの動作を説明するフロー図、図4及び図5はパケット等の情報の流れを説明する説明図、図7及び図8は複数のパケットの伝播のパターンの分類方法を説明する説明図である。
図3中”S001”において端末ノード型センサ、具体的には演算制御手段13は、定常状態において通信手段12を介して、あるIPアドレスからネットワーク101を伝播してきたパケットを受信(捕捉)したか否かを判断し、もし、パケットを受信(捕捉)したと判断した場合には、図3中”S002”において端末ノード型センサ、具体的には演算制御手段13は、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してくる全てのパケットを記憶手段15に格納する。また、演算制御手段13は必要に応じて受信(捕捉)したパケットを入出力手段14を介して後段の機器に転送する。
例えば、端末ノード型センサ9(具体的には演算制御手段13)は、図4中”CP11”に示すように通信手段12を介して、あるIPアドレスからネットワーク101を伝播してきたパケットを受信(捕捉)した場合には図4中”ST11”に示すように、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくる全てのパケットを記憶手段15に格納する。
例えば、同様に、端末ノード型センサ10及び11(具体的には演算制御手段13)は、図5中”CP21”及び”CP22”に示すように通信手段12を介して、あるIPアドレスからネットワーク101を伝播してきたパケットを受信(捕捉)した場合には図5中”ST21”及び”ST22”に示すように、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくる全てのパケットをそれぞれの記憶手段15に格納する。
一方、図6中”S101”において端末ノード型センサ、具体的には演算制御手段13は、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してきた当該IPアドレスからのパケットを記憶手段15から読み出すと共に図6中”S102”において、
(1)送信元アドレスの種類数(dstAddr)
(2)送信元ポート番号の種類数(srcPort)
(3)送信先ポート番号の種類数(dstPort)
(4)パケットの数(packet)
(5)パケットが連続したIPアドレスを走査するように伝播(sequence)
(6)パケットがランダムなIPアドレスに伝播(random)
と言ったパケットが有するパラメータに基づき図7及び図8に示す表にから当該IPアドレスからの複数のパケットの伝播のパターンを分類する。
図6中”S103”において端末ノード型センサ、具体的には演算制御手段13は、それぞれ分類された複数のパケットの伝播のパターンを記憶手段16に保存する。
例えば、図7に示す表から分かるように、
dstPort=1
dstAddr=1
srcPort=1
であれば、複数の(或いは、単数の)パケットの伝播のパターン”Normal 1”若しくは”Normal N”に分類される。
同様に、例えば、図7に示す表から分かるように、
dstPort=1
dstAddr=1
srcPort>1
であれば、”packet=srcPort”若しくは”packet>srcPort”の違いにより、複数のパケットの伝播のパターン”barrage 1”若しくは”barrage 2”に分類される。
同様に、例えば、図7に示す表から分かるように、
dstPort=1
dstAddr>1
srcPort=1
packet>1
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Scan 1”若しくは”Network Scan 2”に分類される。
同様に、例えば、図7に示す表から分かるように、
dstPort=1
dstAddr>1
srcPort>1
packet=srcPort
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Scan 3”若しくは”Network Scan 4”に分類される。
さらに、例えば、図7に示す表から分かるように、
dstPort=1
dstAddr>1
srcPort>1
packet>srcPort
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Scan 5”若しくは”Network Scan 6”に分類される。
一方、図8に示す表から分かるように、
dstPort>1
dstAddr=1
srcPort=1
であれば、複数のパケットの伝播のパターン”Normal Port Scan 1”に分類される。
同様に、例えば、図8に示す表から分かるように、
dstPort>1
dstAddr=1
srcPort>1
であれば、”packet=srcPort”若しくは”packet>srcPort”の違いにより、複数のパケットの伝播のパターン” Normal Port Scan 2”若しくは” Normal Port Scan 3”に分類される。
同様に、例えば、図8に示す表から分かるように、
dstPort>1
dstAddr>1
srcPort=1
packet>1
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Port Scan 1”若しくは”Network Port Scan 2”に分類される。
同様に、例えば、図8に示す表から分かるように、
dstPort>1
dstAddr>1
srcPort>1
packet=srcPort
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Port Scan 3”若しくは”Network Port Scan 4”に分類される。
さらに、例えば、図8に示す表から分かるように、
dstPort>1
dstAddr>1
srcPort>1
packet>srcPort
であれば、”sequence”若しくは”random”の違いにより、複数のパケットの伝播のパターン”Network Port Scan 5”若しくは”Network Port Scan 6”に分類される。
この結果、あるIPアドレスから伝播してきたパケットを受信した場合に、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してくる当該IPアドレスからのパケットを記憶し、送信元アドレスの種類数(dstAddr)、送信元ポート番号の種類数(srcPort)、送信先ポート番号の種類数(dstPort)、パケットの数(packet)、パケットが連続したIPアドレスを走査するように伝播(sequence)、パケットがランダムなIPアドレスに伝播(random)と言ったパケットが有するパラメータに基づきあるIPアドレスからの複数のパケットの伝播のパターンを分類することにより、端末ノード型センサにおいて複数のパケットの伝播のパターンを自動的に分類することができる。
また、端末ノード型センサの記憶手段に格納されている複数のパケットの伝播のパターンを可視化して表示するための表示手段を有するコンピュータ7若しくは8やサーバ6等(以下、単にサーバと呼ぶ)で表示させることも可能であり、図9、図10、図11、図12及び図13を用いて説明する。
図9は可視化するための表示手段における表示画面の定義を説明する説明図、図10はサーバの動作を説明するフロー図、図11、図12及び図13は複数のパケットの伝播のパターンを可視化した一例を示す説明図である。
表示手段に、図9中”AR31”及び”AR32”に示すように左右に隣接する2つの領域から構成される表示画面を表示させ、図9中”AR31”に示す領域では縦軸に”送信元ポート番号”を昇順に目盛り、横軸にパケットを受信した”時刻”を昇順に目盛る。
一方、図9中”AR32”に示す領域では縦軸に”送信先ポート番号”を昇順に目盛り、横軸に”送信先IPアドレス”を昇順に目盛る。
このように定義された表示手段の表示画面において、図10中”S201”においてサーバは、ネットワークを介して端末ノード型センサの記憶手段に格納されているあるIPアドレスからのパケットの情報を読み出し、図10中”S202”においてサーバは、表示手段(表示せず。)を制御して読み出したパケットの情報が有する”送信元ポート番号”と”時刻”の交点を求める。
例えば、表示画面上において、図11中”PN41”に示す読み出したパケットの情報が有する”送信元ポート番号”に一致する縦軸の位置と、図11中”TM41”に示す読み出したパケットの情報が有する”時刻”に一致する横軸の位置との交点(図11中”PL41”)を求める。
同様に、図10中”S203”においてサーバは、表示手段(表示せず。)を制御して読み出したパケットの情報が有する”送信先ポート番号”と”送信先IPアドレス”の交点を求める。
例えば、表示画面上において、図11中”PN42”に示す読み出したパケットの情報が有する”送信先ポート番号”に一致する縦軸の位置と、図11中”IP41”に示す読み出したパケットの情報が有する”送信先IPアドレス”に一致する横軸の位置との交点(図11中”PL42”)を求める。
そして、図10中”S204”においてサーバは、表示手段(表示せず。)を制御して求めた2つの交点の間を線分で結ぶように表示させる。
例えば、表示画面上において、図11中”LN41”に示すように求めた2つの交点の間を線分で結ぶように表示させる。
最後に、図10中”S205”においてサーバは、端末ノード型センサの記憶手段に格納されているあるIPアドレスからの全てのパケットの情報に対して図10中”S201”〜”S204”のステップを行ったか否かを判断し、もし、完了していなければ図10中”S201”のステップに戻る。
例えば、端末ノード型センサの記憶手段に、あるIPアドレスからの5個のパケットの情報が格納されている場合には、前述のようにして、図11中”LN42”、”LN43”、”LN44”及び”LN45”に示すように線分を順次表示させる。
ちなみに、図11に示す可視化の一例では、送信元のポート番号も受信時刻もまちまちであるが、送信先のポート番号(図11中”PN42”)は一致しているので、異なるIPアドレスの複数のコンピュータ等に対し、ある特定なポート番号をスキャン(ネットワークスキャン)していることが分かる。
同様に、図12に示す可視化の一例では、送信元のポート番号も受信時刻もまちまちであるが、送信先のIPアドレス(図12中”IA51”)は一致しているので、ある一台のコンピュータ等の複数のポート番号をスキャン(ポートスキャン)していることが分かる。
同様に、図13に示す可視化の一例では、送信元のポート番号も受信時刻もまちまちであるが、送信先の2つのポート番号(図13中”PN61”及び”PN62”)は一致しているので、異なるIPアドレスの複数のコンピュータ等に対し、ある特定な2つのポート番号をスキャン(ネットワークスキャン)していることが分かる。
この結果、表示手段に、左右に隣接する2つの領域から構成される表示画面を表示させ、左側の領域では縦軸に”送信元ポート番号”、横軸にパケットを受信した”時刻”をそれぞれ目盛り、右側の領域では縦軸に”送信先ポート番号”、横軸に”送信先IPアドレス”を目盛し、端末ノード型センサの記憶手段に格納されている各々のパケットの情報が有する”送信元ポート番号”と”時刻”の交点と、”送信先ポート番号”と”送信先IPアドレス”の交点を求め、2つの交点を線分で結ぶように順次表示させることにより、あるIPアドレスからの複数のパケットの伝播のパターンを可視化することができる。
このような表示画面を複数枚同時に別々のウィンドウで表示させ、或いは、表示画面を複数枚同時に重ねて表示させることにより、複数の表示画面の相違点を対比することができるので、これまで検出された既知の複数のパケットの伝播のパターンと同様のパターンであるか否かを判断することが可能になる。
また、前述のように複数のパケットの伝播のパターンを自動的に分類すると共に宛先ポートの組み合わせを使用して新規の伝播のパターンを自動検知することが可能である。
このような新規の伝播のパターンの自動検知の動作を図14及び図15を用いて説明する。図14は端末ノード型センサの動作を説明するフロー図、図15は宛先ポートの組み合わせの表現方法を説明する表である。
図14中”S301”において端末ノード型センサ、具体的には演算制御手段13は、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してきた当該IPアドレスからのパケットを記憶手段15から読み出すと共に図14中”S302”において前述のように、送信元アドレスの種類数(dstAddr)、送信元ポート番号の種類数(srcPort)、送信先ポート番号の種類数(dstPort)、パケットの数(packet)、パケットが連続したIPアドレスを走査するように伝播する(sequence)、パケットがランダムなIPアドレスに伝播する(random)に基づき図7及び図8に示す表にから複数のパケットの伝播のパターンを分類する。
また、図14中”S303”において端末ノード型センサ、具体的には演算制御手段13は、宛先の組み合わせ表現を生成する。
例えば、図15中”PT71”に示す事例では、”TCP/445(TCP(Transmission Control Protocol:以下、単にTCPと呼ぶ。)のプロトコルでポート番号445)”宛にSYMパケットが3回飛んできて、”TCP/135のプロトコルでポート番号135”宛にSYMパケットが2回飛んできて、さらに、”UDP/1434(UDP(User Datagram Protocol:以下、単にUDPと呼ぶ。)のプロトコルでポート番号1434)”宛にパケットが1回飛んできた場合、
S/135:S/445:U/1434
と表現する。
すなわち、TCP445へのSYNパケットは”S/445”と、UDP/1434へのパケットは”U/1434”とプロトコル番号やTCPフラグを考慮して表現する。また、複数パケットが存在する場合には、”:”で区切って表現し、同じ種類のパケットは重複して表現せず、全体をソートした表現にする。
このため、各種パケットの飛来数に関わりなく、
S/445:S/135:U/1434
と表現し、全体をソートして、
S/135:S/445:U/1434
と表現される。
また、例えば、図15中”PT72”に示す事例では、”TCP/80(TCPのプロトコルでポート番号80)”宛にSYM/ACKパケットが10回飛んできた場合、
B/80
と表現する。
そして、図14中”S304”において端末ノード型センサ、具体的には演算制御手段13は、分類した複数のパケットの伝播のパターンと生成した宛先の組み合わせ表現に対してハッシュ関数を適用してハッシュ値を生成し、図14中”S305”において端末ノード型センサ、具体的には演算制御手段13は、生成したハッシュ値が予め蓄積されているデータベース内に存在するかを検索する。
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
また、当該データベースには、これまで検出された複数のパケットの伝播のパターンが格納、厳密に言えば、分類した複数のパケットの伝播のパターンと生成した宛先の組み合わせ表現に対してハッシュ関数を適用して生成されたハッシュ値が格納されている。
図14中”S306”において端末ノード型センサ、具体的には演算制御手段13は、データベースに生成したハッシュ値が存在しないと判断した場合、図14中”S307”において端末ノード型センサ、具体的には演算制御手段13は、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してきた当該IPアドレスからのパケットが新規の伝播のパターンであると判断すると共に生成したハッシュ値をデータベースに登録する。
図14中”S306”において端末ノード型センサ、具体的には演算制御手段13は、データベースに生成したハッシュ値が存在したと判断した場合、既知の伝播のパターンであると判断して図14中”S307”のステップをスキップして処理を終了する。
この結果、分類した複数のパケットの伝播のパターンと生成した宛先の組み合わせ表現に対してハッシュ関数を適用して生成されたハッシュ値が蓄積されたデータベースを予め備え、分類した複数のパケットの伝播のパターンと生成した宛先の組み合わせ表現に対してハッシュ関数を適用して生成したハッシュ値が当該データベースに存在するか否かを検査することにより、あるIPアドレスからの新規の伝播のパターンの自動検知することが可能になる。
なお、図1等に示す実施例ではインターネット等の汎用のネットワークを介して伝播してくるパケットの分類を例示しているが、プラント内のネットワーク等、どのようなパケットが流れるかが予め想定されるようなネットワークでは異常検知を容易に行うことが可能になる。
また、プラント内のネットワークでは独自のプロトコルが使用されたり、独自の暗号化やエンコードがなされている場合が想定されるので、パケットのふるまいで複数のパケットの伝播のパターンを分類する本願発明を適用することで低コストで高い効果を奏するセキュリティシステムを構築することが可能になる。
また、実施例の説明に際しては、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してきた全てのパケットを記憶手段に格納し、当該IPアドレスからのパケットを記憶手段から読み出し分類等を行っていたが、あるIPアドレスからのパケットを受信(捕捉)後一定時間の間に伝播してきた当該IPアドレスからのパケットを選別して記憶手段に格納しても構わない。
また、実施例の説明に際しては、分類した複数のパケットの伝播のパターンと生成した宛先の組み合わせ表現に対してハッシュ関数を適用してハッシュ値を生成しているが、勿論、分類した複数のパケットの伝播のパターンに対してのみハッシュ関数を適用してハッシュ値を生成しても構わない。
本発明に係るパケット解析システムの一実施例を示す構成ブロック図である。 端末ノード型センサの具体例を示す構成ブロック図である。 端末ノード型センサの動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。 端末ノード型センサの動作を説明するフロー図である。 複数のパケットの伝播のパターンの分類方法を説明する説明図である。 複数のパケットの伝播のパターンの分類方法を説明する説明図である。 可視化するための表示手段における表示画面の定義を説明する説明図である。 サーバの動作を説明するフロー図である。 複数のパケットの伝播のパターンを可視化した一例を示す説明図である。 複数のパケットの伝播のパターンを可視化した一例を示す説明図である。 複数のパケットの伝播のパターンを可視化した一例を示す説明図である。 端末ノード型センサの動作を説明するフロー図である。 宛先ポートの組み合わせの表現方法を説明する表である。 特定された攻撃手法を排除するためのIDSの一例を示す構成ブロック図である。 各コンピュータからのパケットの伝播の状況を説明する説明図である。
符号の説明
1,2,3,7,8 コンピュータ
4 IDS
5,6 サーバ
9,10,11,50 端末ノード型センサ
12 通信手段
13 演算制御手段
14 入出力手段
15 記憶手段
100,101 ネットワーク

Claims (5)

  1. ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
    複数の場所に設置され、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶して前記IPアドレスからの複数のパケットの伝播のパターンを分類する端末ノード型センサと、
    前記ネットワークを介して前記複数の端末ノード型センサから分類された複数のパケットの伝播のパターンを取得してシステムの全体的な管理を行うサーバと
    を備え
    前記端末ノード型センサが、
    前記ネットワークを伝播するパケットを捕捉する通信手段と、
    記憶手段と、
    前記IPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを前記記憶手段に格納すると共に格納された前記IPアドレスからの複数の前記パケットの伝播のパターンを分類し前記記憶手段に保存する演算制御手段とから構成され、
    前記サーバが、
    表示手段上に、左右に隣接する2つの領域から構成される表示画面を表示させ、
    左側の領域では縦軸に送信元ポート番号、横軸にパケットを受信した時刻をそれぞれ目盛り、
    右側の領域では縦軸に送信先ポート番号、横軸に送信先IPアドレスを目盛し、
    前記端末ノード型センサの前記記憶手段に格納されている前記IPアドレスからの各々の前記パケットの情報が有する送信元ポート番号と時刻の交点と、送信先ポート番号と送信先IPアドレスの交点を求め、
    前記2つの交点を線分で結ぶように順次表示させることを特徴とするパケット解析システム。
  2. ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
    複数の場所に設置され、あるIPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶して前記IPアドレスからの複数のパケットの伝播のパターンを分類する端末ノード型センサと、
    前記ネットワークを介して前記複数の端末ノード型センサから分類された複数のパケットの伝播のパターンを取得してシステムの全体的な管理を行うサーバと
    を備え、
    前記サーバが、
    表示手段上に、左右に隣接する2つの領域から構成される表示画面を表示させ、
    左側の領域では縦軸に送信元ポート番号、横軸にパケットを受信した時刻をそれぞれ目盛り、
    右側の領域では縦軸に送信先ポート番号、横軸に送信先IPアドレスを目盛し、
    前記端末ノード型センサに記憶されている前記IPアドレスからの各々の前記パケットの情報が有する送信元ポート番号と時刻の交点と、送信先ポート番号と送信先IPアドレスの交点を求め、
    前記2つの交点を線分で結ぶように順次表示させることを特徴とするパケット解析システム。
  3. 前記演算制御手段が、
    前記IPアドレスからのパケットを受信後一定時間の間に伝播してくるパケットを記憶し、送信元アドレスの種類数、送信元ポート番号の種類数、送信先ポート番号の種類数、パケットの数、パケットが連続したIPアドレスを走査するように伝播、パケットがランダムなIPアドレスに伝播に基づき前記IPアドレスからの複数のパケットの伝播のパターンを分類することを特徴とする
    請求項記載のパケット解析システム。
  4. 前記サーバが、
    表示手段に、前記表示画面を複数枚同時に別々のウィンドウで表示させ、或いは、前記表示画面を複数枚同時に重ねて表示させることを特徴とする
    請求項1または2に記載のパケット解析システム。
  5. 前記演算制御手段が、
    前記IPアドレスからのパケットを受信後一定時間の間に伝播してきた前記IPアドレスからのパケットを前記記憶手段から読み出し、
    送信元アドレスの種類数、送信元ポート番号の種類数、送信先ポート番号の種類数、パケットの数、パケットが連続したIPアドレスを走査するように伝播、パケットがランダムなIPアドレスに伝播に基づき前記IPアドレスからの複数のパケットの伝播のパターンを分類し、
    前記分類した複数のパケットの伝播のパターンに対してハッシュ関数を適用してハッシュ値を生成し、
    前記生成したハッシュ値が予め蓄積されているデータベース内に存在するかを検索し、 前記データベースに前記生成したハッシュ値が存在しない場合に前記IPアドレスからのパケットを受信後一定時間の間に伝播してきたパケットが新規の伝播のパターンであると判断すると共に前記生成したハッシュ値を前記データベースに登録することを特徴とする
    請求項1または3に記載のパケット解析システム。
JP2006037685A 2006-02-15 2006-02-15 パケット解析システム Expired - Fee Related JP4687978B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006037685A JP4687978B2 (ja) 2006-02-15 2006-02-15 パケット解析システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006037685A JP4687978B2 (ja) 2006-02-15 2006-02-15 パケット解析システム

Publications (2)

Publication Number Publication Date
JP2007221311A JP2007221311A (ja) 2007-08-30
JP4687978B2 true JP4687978B2 (ja) 2011-05-25

Family

ID=38498123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006037685A Expired - Fee Related JP4687978B2 (ja) 2006-02-15 2006-02-15 パケット解析システム

Country Status (1)

Country Link
JP (1) JP4687978B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI431833B (zh) 2006-10-20 2014-03-21 Ishihara Sangyo Kaisha 蓄電裝置
EP3831034B1 (en) * 2018-07-27 2024-05-01 Nokia Solutions and Networks Oy Method, device, and system for network traffic analysis

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040199535A1 (en) * 2003-04-04 2004-10-07 Nir Zuk Attack database structure
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2004320159A (ja) * 2003-04-11 2004-11-11 Matsushita Electric Ind Co Ltd 通信システム及び通信方法
JP2005202590A (ja) * 2004-01-14 2005-07-28 Kddi Corp マスメイル検出方式およびメイルサーバ
JP2005323322A (ja) * 2004-04-08 2005-11-17 Hitachi Ltd ログ情報の蓄積および解析システム
JP2005341188A (ja) * 2004-05-27 2005-12-08 Matsushita Electric Ind Co Ltd 通信端末および中継装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
US20040199535A1 (en) * 2003-04-04 2004-10-07 Nir Zuk Attack database structure
JP2006523427A (ja) * 2003-04-04 2006-10-12 ジュニパー ネットワークス, インコーポレイテッド アタックデータベース構造
JP2004320159A (ja) * 2003-04-11 2004-11-11 Matsushita Electric Ind Co Ltd 通信システム及び通信方法
JP2005202590A (ja) * 2004-01-14 2005-07-28 Kddi Corp マスメイル検出方式およびメイルサーバ
JP2005323322A (ja) * 2004-04-08 2005-11-17 Hitachi Ltd ログ情報の蓄積および解析システム
JP2005341188A (ja) * 2004-05-27 2005-12-08 Matsushita Electric Ind Co Ltd 通信端末および中継装置

Also Published As

Publication number Publication date
JP2007221311A (ja) 2007-08-30

Similar Documents

Publication Publication Date Title
JP4479459B2 (ja) パケット解析システム
JP6916112B2 (ja) ネットワークデータ特性評価のシステムと方法
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
US20070074288A1 (en) Network status display device and method using traffic pattern map
JP2007013343A (ja) ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
US20230344846A1 (en) Method for network traffic analysis
JP2015130153A (ja) リスク分析装置及びリスク分析方法及びリスク分析プログラム
JP4687978B2 (ja) パケット解析システム
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
JP5046836B2 (ja) 不正検知装置、プログラム、および記録媒体
JP7065744B2 (ja) ネットワーク装置、パケットを処理する方法、及びプログラム
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
KR101648033B1 (ko) 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치
Erbacher et al. Visual network forensic techniques and processes
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
JP5659839B2 (ja) 不正パケット抽出装置
Wu et al. A graph-theoretic model to steganography on social networks
CN113824730A (zh) 一种攻击分析方法、装置、设备及存储介质
US8869267B1 (en) Analysis for network intrusion detection
KR101381558B1 (ko) 비정상 트래픽 탐지 방법 및 장치
WO2019123449A1 (en) A system and method for analyzing network traffic
JP4235907B2 (ja) ワーム伝播監視システム
EP3272075A2 (en) System and method to detect attacks on mobile wireless networks based on network controllability analysis
CN101548269B (zh) 用于网络侦查流识别的方法、计算机程序产品和设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081022

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100930

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110120

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110202

R150 Certificate of patent or registration of utility model

Ref document number: 4687978

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees