JP4753264B2 - ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) - Google Patents
ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) Download PDFInfo
- Publication number
- JP4753264B2 JP4753264B2 JP2008502525A JP2008502525A JP4753264B2 JP 4753264 B2 JP4753264 B2 JP 4753264B2 JP 2008502525 A JP2008502525 A JP 2008502525A JP 2008502525 A JP2008502525 A JP 2008502525A JP 4753264 B2 JP4753264 B2 JP 4753264B2
- Authority
- JP
- Japan
- Prior art keywords
- user system
- originating user
- router
- intrusion detection
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ネットワーク攻撃(network attack)を検出する分野に関し、更に具体的には、攻撃を発生したユーザ・システムにローカルにデータ通信ネットワークに対する攻撃を検出することに関する。
インターネットは、複数の相互接続されたデータ・ネットワークで形成されている広域データ通信ネットワークである。動作において、インターネットは、遠隔配置された様々なデータ処理システム間のデータ通信を容易にする。通常、インターネットに接続されたエンド・ユーザのデータ処理システムは、クライアント・データ処理システムまたは単にクライアントと称される。同様に、エンド・ユーザがインターネットを介してアクセスするウエブ・サイトおよびサービスのホストとなるデータ処理システムは、サーバ・データ処理システムまたは単にサーバと呼ばれる。エンド・ユーザのデータ処理システムとホストのデータ処理システムとの間には、インターネットを介して完成されるクライアント−サーバの関係がある。
インターネットは、消費者、小売業者、およびサービス・プロバイダ間で電子的に実施される商取引を容易にするための重要な通信ネットワークとなっている。インターネットに対するアクセスは、典型的に、インターネット・サービス・プロバイダ(ISP)を介して、かかるエンティティに与えられる。通常、各ISPはオープン・ネットワークを運営しており、これにクライアントが加入する。各クライアントには、ネットワーク上で一意のインターネット・プロトコル(IP)・アドレスが与えられる。同様に、ネットワーク上の各サーバには一意のIPアドレスが与えられる。IPSが運営するネットワークは、通常はルータと呼ばれる専用のデータ処理システムを介してインターネットに接続される。動作において、ルータは、インターネットからネットワーク上の指定されたIPアドレスに、インバウンドの通信トラヒックを送出する。同様に、ルータは、ネットワークからインターネット上の指定されたアドレスの方向に、アウトバウンドの通信トラヒックを送出する。
多くの人々および企業が直面する問題は、彼らが用いるネットワークに対する電子的な攻撃の頻度が高まっていることである。かかる攻撃には、コンピュータ・ウィルス攻撃および、いわゆる「ワーム(worm)」攻撃が含まれる。この種の攻撃は、ネットワークに著しい性能の劣化をもたらす。一般に、ネットワークに接続されている感染したシステムは、ネットワーク内に感染を広げようとする。多くのユーザは、自分のシステムが感染していることに気付かない。
既知の侵入検出センサは、潜在的な攻撃者によるサービス・インタラクションを偽装する(spoof)。センサは、他の場合には用いられないIPアドレスでマシンおよびサービスの存在を偽装することによって機能する。それらのアドレスは他の場合には用いられないので、それらに向けられた全てのトラヒックは推測的に疑わしいものである。センサはサービスを偽装して、トラヒックの背後にある意図を明らかにする。センサ自体は、仮想化インフラストラクチャを与え、これによって個々のセンサは単一のホスト上で動作しているかのように書き込むことができる。
WO2004/107706号は、データ通信ネットワークに対する攻撃を検出するための侵入検出センサ(IDS:intrusion detection sensor)を開示する。このIDSは、いずれかの割り当てられたアドレスで発生していずれかの割り当てられていないアドレスにアドレスされるネットワーク上のデータ・トラヒックを識別し、そう識別されたデータ・トラヒックを調べて攻撃を示すデータを探し、必要な場合には警告信号を発生する。
「割り当てられていない」という言葉は、この文脈で用いる場合、侵入を検出するためまたは攻撃署名を発生するための装置以外の物理デバイスに割り当てられていないアドレスを含むものとして用いる。WO2004/107706号に開示された方法を実行するように設計された装置は、この方法を利用するために、その「割り当てられていない」アドレスが実際に割り当てられているデバイスである。それらのアドレスは、署名発生または侵入検出とは異なる別の機能を有するいずれかのデバイスに割り当てられていない限りは、割り当てられていない。
国際公開WO2004/107706号
上述のIDSにおいては、割り当てら得ていないアドレス・ブロックをIDSに指定して、IDSがこれらの割り当てられていないアドレスへのあらゆるデータ・トラヒックに対する応答を偽装することができるようにする。また、IDSは、データ・トラヒックの発信側ユーザ・システムから地理的に遠くにあり、発信側ユーザ・システムに対策を講じることが難しい場合がある。
本発明の目的は、未使用またはアクセス不可能なアドレスに対する攻撃を検出するためのシステムを提供することである。更に別の目的は、ローカルな問題のローカルな報告を行うことである。更に、この検出は、攻撃側のエンティティに対して透明に実現することができる。
本発明の第1の態様によれば、データ通信ネットワークに対する攻撃を検出するための方法が提供される。この方法は、発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するステップと、指定された性質のリターン・メッセージを識別するステップと、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするステップと、を含む。指定された性質という言葉は、特定の性質を有するかまたは所定のタイプのものであるメッセージとして理解される。また、監視手段は、メッセージ・チェッカとも称し、リターン・メッセージが特定の性質を有するか否かを調べるフィルタとして機能する。メッセージ・チェッカが探している性質をリターン・メッセージが有すると認識されると、リターン・メッセージは再ルーティングが行われる。従って、メッセージ・チェッカは、リターン・メッセージ・タイプによって動作されるスイッチと見ることができる。メッセージ・チェッカは、同時に複数の異なる特定の性質を調べることができ、それらの性質の1つ以上が存在することがわかると再ルーティングを実行する。
好ましくは、侵入検出センサは発信側ユーザ・システムにローカルである。すなわち、侵入検出センサは発信側システムと同じネットワークに接続されている。ネットワークという言葉は、本発明において、ネットワーク可能ユニットの集合として理解され、ネットワークの境界は境界ルータまたはエッジ・ルータによって表される。これらのルータは、他のネットワークに対する接続を処理する。あるネットワークは、より大きなネットワークに対するサブネットワークとなることができる。侵入検出センサは、発信側ユーザ・システムとのやり取りを偽装することができる。このように、アクセス不可能なアドレスに送出されたメッセージの発信側ユーザ・システムにローカルな侵入検出センサは、発信側ユーザ・システムの意図の性質を明らかにすることができる。換言すると、本発明では、攻撃側エンティティのいっそう近くで攻撃を検出し報告することができる。
リターン・メッセージは、発信側ユーザ・システムが宛先アドレスに送信したメッセージに関連するものとすることができ、一時的にルーティングするステップは、発信側ユーザ・システムから宛先アドレスに創出される以降のメッセージ全てを侵入検出センサに再ルーティングすることができる。
リターン・メッセージの指定された性質は、宛先アドレスがアクセス不可能であることを示すものとすることができる。例えば、リターン・メッセージの指定された性質は、接続の失敗を示すインターネット制御メッセージ・プロトコルのメッセージとすることができる。
一時的なルーティングは所定の時間期間だけ適用し、その後は通常のルーティングを再開することができる。また、この方法は、発信側ユーザ・システムにアドレスされたと識別された指定された性質のリターン・メッセージの数が所定の閾値を超えた場合に、一時的なルーティングをトリガするステップを含むことができる。この閾値は、無害なトラヒックとスパム等の有害なトラヒックとを区別するために使用可能である。
本発明の第2の態様によれば、データ通信ネットワークに対する攻撃を検出するための装置が提供される。この装置は、ルータであって、このルータにローカルな発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構を含む、ルータと、侵入検出センサと、を含み、その機構が、指定された性質のリターン・メッセージを識別するためのメッセージ・トラッカと、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするための手段と、を含む。
好ましくは、侵入検出センサはルータにローカルである。侵入検出センサは、発信側ユーザ・システムとのやり取りを偽装するための手段を含むことができる。侵入検出センサは、各々がサービスを偽装する複数の仮想センサを有する仮想化インフラストラクチャを含むことができる。
本発明の第3の態様によれば、ルータが提供される。このルータは、ルータにローカルな発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構と、指定された性質のリターン・メッセージを識別するための手段と、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするための手段と、を含む。
本発明の第4の態様によれば、データ通信システムが提供される。このシステムは、ネットワークにおける複数のデータ処理システムと、データ処理システムへのメッセージおよびデータ処理システムからのメッセージをルーティングするための、データ処理システムにローカルなルータであって、ルータにローカルなデータ処理システムの1つの形態の発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構を含む、ルータと、侵入検出センサと、を含み、その機構が、指定された性質のリターン・メッセージを識別するための手段と、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするための手段と、を含む。
本発明の第5の態様によれば、コンピュータ・プログラム・コード手段を含むコンピュータ・プログラム要素が提供される。これは、データ処理システムのプロセッサにロードされた場合に、プロセッサが、発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するステップと、指定された性質のリターン・メッセージを識別するステップと、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするステップと、から成る方法を実行するように構成する。
発信側ユーザ・システムからのプロセスが未使用またはアクセス不可能なアドレス(例えばファイアウォールの陰で)に交信しようとすると、発信側ユーザ・システムにローカルなルータにICMP(インターネット制御メッセージ・プロトコル)メッセージを戻して、発信側ユーザ・システムに、その宛先が到着不可能であることを、その理由についてのいくらかの詳細と共に知らせる。このメッセージは、発信側ユーザ・システムにローカルなルータによって傍受され、発信側ユーザ・システムからの全てのトラヒックは一時的にIDSを介してルーティングされる。
これより、添付図面を参照して、一例としてのみ、本発明の実施形態について説明する。
最初に図1を参照すると、データ処理システムは、中央演算処理装置(CPU)10、入出力(I/O)サブシステム20、およびメモリ・サブシステム40を含み、これらは全てバス・サブシステム30によって相互接続されている。メモリ・サブシステム40は、ランダム・アクセス・メモリ(RAM)、リード・オンリ・メモリ(ROM)、および、ハード・ディスク・ドライブ、光ディスク・ドライブ等の1つ以上のデータ・ストレージ・デバイスを含むことができる。I/Oサブシステム20は、ディスプレイ、プリンタ、キーボード、マウスやトラックボール等のポインティング・デバイス、および、このデータ処理システムと1つ以上の同様のシステムあるいは周辺デバイスまたはそれら両方との間のデータ通信ネットワークを介した通信を可能とする1つ以上のネットワーク接続を含むことができる。かかるネットワークによって相互接続されたそのようなシステムおよびデバイスの組み合わせは、それ自体、分散型データ処理システムを形成することができる。かかる分散型システムは、それ自体、追加のデータ通信ネットワークによって相互接続することができる。
メモリ・サブシステム40には、データ60と、CPU10によって実行可能なコンピュータ・プログラム・コード50とがストアされている。プログラム・コード50は、オペレーティング・システム・ソフトウェア90およびアプリケーション・ソフトウェア80を含む。オペレーティング・システム・ソフトウェア90は、CPU10によって実行されると、アプリケーション・ソフトウェア80を実行可能なプラットフォームを提供する。
ここで図2を参照すると、侵入検出センサ(IDS)の実施形態と共に、インターネット・アーキテクチャの一例の抜粋が示されている。この例のアーキテクチャでは、2つのデータ通信ネットワーク100、200が図示されている。これは一例としてのアーキテクチャであり、多くの異なる形態のデータ通信ネットワークを提供可能であることは認められよう。
図2は、第1のデータ通信ネットワーク100および第2のデータ通信ネットワーク200を示し、第1のネットワーク100においてデータ処理システム120に割り当てるための複数のアドレス110と、第2のネットワーク200においてデータ処理システム220に割り当てるための複数のアドレス210とを有する。ネットワーク100、200は、複数の割り当て可能インターネット・プロトコル(IP)・アドレス110、210を有するインターネット・サービス・インストールの形態とすることができる。ネットワーク100、200は各々、ルータ130、230を介してインターネット150に接続されている。
ルータ130、230は、図1を参照して前述したようなデータ処理システムの形態で実施することができ、適切なプログラミングによって、ルータ130、230が接続されているインターネット150とネットワーク100、200との間で、データ・パケットの形態の通信トラヒックを、データ・パケットに指定されたIPアドレス・データに基づいてルーティングするタスクに専用のものである。
第1のデータ通信ネットワーク100においては、インターネット・サービスのユーザに属するシステム120にIPアドレス110が割り当てられている。各システム120は、図1を参照して前述したデータ処理システムとすることができる。ネットワーク100上の第2のIPアドレス群140は空いている。更に具体的には、第2のIPアドレス群140はユーザ・システムに割り当てられていない。ネットワーク100には、侵入検出センサ(IDS)160が接続されている。また、IDS160はルータ130にも接続されている。
第2のデータ通信ネットワーク200上のユーザ・システム220から、ワームまたは他の攻撃等のプロセス240が発生する場合がある。プロセス240は、他のネットワーク100上の広範囲のアドレスにアドレスされる場合がある。プロセス240が、ユーザ・システムに割り当てられていない第1のネットワーク100上の第2のIPアドレス群140の1つ等、割り当てられていないアドレスにアドレスされた場合、プロセス240はIDS160にルーティングされ、IDS160はプロセス240に対する応答を偽装して警告を発生する。
図3に、IDS160の一例の内部アーキテクチャをより詳細に示す。他の形態のIDSも既知であり、本発明において使用可能である。IDS160は、他の場合には未使用のIPアドレスでマシンおよびサービスの存在を偽装することによって動作する。それらのIPアドレスは他の場合には未使用であるので、それらのアドレスに向けられた全てのトラヒックは推測的に疑わしいものである。IDS160は、単に接続の試みを記録するのではなく、サービスを偽装して、トラヒックの背後にある意図を明らかにする。
IDS160は、ログインの制約を超えた実際のサービスを提供しないセキュリティ強化したマシンに加えて構築される。IDS160は仮想化インフラストラクチャ310を提供し、これによって、個々のセンサ311〜315は単一のホスト上で動作しているかのように動作することができる。また、これは、リレーショナル・データベース330に基づいたログイン・インフラストラクチャ320を提供し、これによって、多数の仮想センサ311〜315が生成する多量のデータの相関関係および分析を可能とする。仮想センサ311〜315が提供するサービスは、ハイパーテキスト・トランスファ・プロトコル(HTTP)、Microsoft社の分散型コンポーネント・オブジェクト・モデル、SQL(Structured Query Language)、およびWindows(R)のファイル共有および印刷(SMB)を含むことができる。
図4を参照すると、本発明の一例の実施形態において、悪質なワーム・プロセス等のプロセス440が発生するIPアドレス410を有するユーザ・システム420を含む第1のデータ通信ネットワーク400が提供される。プロセス440は、例えば図4に示した第2のネットワーク500等の他のネットワークを介して、ユーザ・システム520の広い範囲のIPアドレス510にアドレスされる場合がある。
プロセス440は、例えばファイアウォールの陰で、未使用またはアクセス不可能なIPアドレス540にアドレスされることがある。この場合、アクセス不可能なアドレスにローカルなルータ530から、ICMP(インターネット制御メッセージ・プロトコル)メッセージが戻される。このルータは、この例では第2のネットワーク500のルータ530である。ICMPメッセージは、プロセス440の発信側ユーザ・システム420にアドレスされ、宛先に到着できないことと、その理由についてのいくらかの詳細とを示す。
発信側ユーザ・システム420にローカルなルータ430において、ICMPメッセージを捕捉するための機構が設けられている。ICMPメッセージは、発信側ユーザ・システム420にローカルなルータ430に、発信側ユーザ・システム420から宛先へのトラヒックは全てローカル侵入検出センサ(IDS)160を介して与えられるかまたはルーティングしなければならないことを伝える。次いで、ローカルIDS160は発信側ユーザ・システム420とインタラクトして、試みられた接続の根本的な原因を明らかにすることができる。
各ネットワーク400、500は、インターネット150を通るトラヒックを管理するルータ430、530を有する。ルータは、データのIPパケットを開いて宛先アドレスを読み取り、最良のルートを計算し、次いでそのパケットをその最終的な宛先に送出する。宛先が送出元のコンピュータと同じネットワーク上にある場合、ルータは直接パケットを宛先のコンピュータに送出する。パケットがローカル・ネットワーク外の宛先に向かう場合、ルータは、宛先に近い別のルータにパケットを送出する。次いでそのルータがパケットをより近いルータに送出し、ついにはパケットがその最終的な宛先に到着する。
ルータ430、530は、2つ以上の物理ポートを有する。すなわち入力ポートおよび出力ポートである。入力ポートがパケットを受信すると、ルーティング・プロセスと呼ばれるソフトウェア・ルーチンが実行される。このプロセスはIPパケットのヘッダ情報内を見て、データを送出するアドレスを見出す。次いで、このアドレスを、ルーティング・テーブルと呼ばれる内部データベースと比較する。このデータベースは、様々なIPアドレスを有するパケットを送出するポートに関する詳細な情報を有する。ルータ・テーブルにおいて見出したものに基づいて、ルータはパケットを特定の出力ポートに送出し、これがデータを次のルータまたは宛先自体に送出する。
インターネットの動作はルータによって監視され、接続を完了することができない場合、そのイベントがICMP(インターネット制御メッセージ・プロトコル)によって報告される。様々な異なるタイプのICMPメッセージが規定され、各メッセージ・タイプはIPパケットにおいてカプセル化されている。例えば、サブネットまたはルータがホスト宛先の位置を突き止めることができない場合、「宛先に到着不可能」メッセージが用いられる。宛先のネットワークの位置を突き止めることができない場合、「ネットワークに到着不可能」メッセージが用いられる。
図5を参照すると、本発明の一例の実施形態では、ルータ430において、リルータ(rerouter)とも称する再ルーティング機構460が、ルータ430にローカルなIPアドレス410に戻されるメッセージの性質を識別する。発信IPアドレス410を有する発信側ユーザ・システム420は、メッセージ501を宛先アドレスに送出する。機構460によって、到着不可能な宛先を示すICMPメッセージとしてリターン・メッセージ511が識別されると、機構460は一時的なルート541を設定して、発信IPアドレス410から到着不可能な宛先にアドレスされたトラヒックを、ルータ430にローカルなIDS160に送出する。機構350は、そのため、傍受したリターン・メッセージ511の性質を分析して指定された性質のものを識別可能なメッセージ・チェッカを含むことができる。この識別は、指定された性質のものではないリターン・メッセージに影響を与えないフィルタのように機能する。他のメッセージ511は、リルータによってIDS160に再ルーティングされる。リルータは別個のハードウェア・デバイスである必要はない。これは、ポリシに従ってリターン・メッセージ511を再ルーティングするルータ430の機能とすることができる。ルータ430は、1つ以上のポリシを実行して、再方向付けおよび再ルーティングの性質を決定することができる。例えば、再方向付けは、監視されたタイプのリターン・メッセージ511の数が所定の閾値を超えた場合にのみ実行することができる。一時的なルート541は、例えば30秒等の所定の時間期間だけ継続するように時間を調節することができる。
メッセージ501に応答して、インターネット150における遠隔ルータによって、発信側ユーザ・システム420にローカルなルータ430へとICMPメッセージ511が戻される。機構460はICMPメッセージ511を傍受する。リターン・メッセージ511は、指定された性質のもの、すなわちここでは到着不可能な宛先を示すものと識別されるので、機構460は、発信側ユーザ・システム420から宛先までの全てのトラヒックがローカルIDS160を介して与えられるかまたはルーティングされるように再ルーティングを行う。機構460は一時的なルート541を設定し、発信IPアドレス410からアクセス不可能なアドレスに送出されるこの後のメッセージがいずれもIDS160に再ルーティングされるようにする。IDS160は、アクセス不可能なアドレスに見せかけることによって、発信側ユーザ・システム420とのやり取りを偽装する(531)ことができる。次いで、IDS160は、発信側ユーザ・システム420がアクセス不可能アドレスに試みた交信の性質を求めることができ、試みられた交信が悪意のものである場合には、同じルータ・ネットワーク内でローカルに警告を発することができる。
図6は、ルータ430における機構460のプロセス600のフロー図である。プロセス600は、機構460が、発信側ユーザ・システムにアドレスされたリターン・メッセージ511を監視すること(610)、指定された性質のリターン・メッセージ511を識別すること(620)、発信側ユーザ・システム420からの以降のメッセージを一時的に侵入検出センサ160にルーティングすること(630)を含む。IDS160は、前述のようなセンサとすることができ、発信側ユーザ・システム420に対する応答を偽装する。
従来のIDSの全ての利点に加えて、この機構は、より正確にかつよりローカルに警告を発し、従って再分配アーキテクチャの必要性を小さくする。これによって、ローカル・ネットワークにおいて感染したマシンを効率的に検出するという問題に直接対応する。これはローカル・ネットワーク管理者にとって貴重な情報であり、ローカル・ネットワーク管理者が何もすることができない遠隔の感染システムを検出するのとは異なる。このため、本発明は、侵入者の近くで侵入を検出することを可能とし、これによって、侵入者を含む分野を担当するネットワーク管理者は、適切な行動によって侵入に対処することができる。侵入検出を行うのが侵入者に近くなればなるほど、管理者はそういった行動をいっそう適切に行うことができる。
別の利点は、異なるネットワーク間に存在する全ての未使用またはアクセス不可能なアドレスの結果として、ICMPメッセージ511が戻されることである。従って、未使用アドレスをIDSに割り当てる必要はない。この機構は、宛先アドレスがアクセス不可能であることを示すICMPメッセージ511が戻されることに基づいている。
本発明は、通常、コンピュータまたは同様のデバイスを制御するための1組のプログラム命令を含むコンピュータ・プログラムとして実施される。これらの命令は、システム内に予めロードするか、またはCD−ROM等のストレージ媒体上に記録して供給することができ、または、インターネットもしくは移動電話ネットワーク等のネットワークからのダウンロードを利用可能とすることができる。
また、本発明は、クライアント・システムとも称するサービスを利用するエンティティにサービスを提供するサービス提供エンティティによって実現可能である。このサービスは、以下の1つ以上とすることができる。すなわち、サービスを利用するエンティティの環境内のまたはその環境のための本発明に従ったデバイスまたはシステムのインストール、そこで実行するために使用可能なインフラストラクチャの展開、特にコンピューティング・インフラストラクチャの展開または統合である。これは、コンピューティング・システム内にコンピュータ読み取り可能コードを統合することを含み、コードはコンピューティング・システムと組み合わせて本発明に従った方法を実行することができる。本発明の状況において、サービス提供エンティティは、発信側ユーザ・システムからの侵入に対する装備をクライアント・システムに提供することができる。これによって、サービス提供エンティティは、サービスを利用するエンティティのネットワーク内で感染したマシンを効率的に検出することができ、または、サービスを利用するエンティティのネットワークを攻撃する感染マシンを検出することができる。装備の方法は、侵入検出センサ160をルータ430に接続するステップと、発信側ユーザ・システム420にアドレスされたリターン・メッセージ511を監視し(610)、指定された性質のリターン・メッセージ511を識別し(620)、同じ発信側ユーザ・システム420からの以降のメッセージを一時的に前記侵入検出センサ160にルーティングする(630)機能をルータ430に与えるステップと、を含むことができる。IDS160は、サービス提供エンティティによって所有またはリースされる装備とすることができる。特に、サービス提供エンティティは、同時にいくつかのサービス利用エンティティにこのIDS160を用い、従ってこのリソースを共有することができる。これは、侵入検出性能に関してIDS160に交信を実行すると、接続されたサービス利用エンティティの全てにその作用が及ぶという利点がある。別の利点は、このサービスがサービス利用エンティティに対して透明に実現可能であるということである。
本発明の範囲から逸脱することなく、前述のものに改良および変更を行うことができる。
Claims (17)
- データ通信ネットワークに対する攻撃を検出するための方法であって、
発信側ユーザ・システムにローカルなルータが、当該発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するステップと、
前記ルータが、指定された性質のリターン・メッセージを識別するステップであって、当該リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示す、前記識別するステップと、
前記ルータが、前記発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするステップであって、当該侵入検出センサが前記発信側ユーザ・システムにローカルである、前記ルーティングするステップと
を含む、前記方法。 - 前記侵入検出センサが前記発信側ユーザ・システムとのやり取りを偽装するステップを更に含む、請求項1に記載の方法。
- 前記リターン・メッセージが、前記発信側ユーザ・システムが宛先アドレスに送信したメッセージに関連し、
前記一時的にルーティングするステップが、前記発信側ユーザ・システムから前記宛先アドレスへの以降のメッセージ全てに適用される、請求項1又は2に記載の方法。 - 前記リターン・メッセージの前記指定された性質が、接続の失敗を示すインターネット制御メッセージ・プロトコルのメッセージを含むように選択される、請求項1〜3のいずれか1項に記載の方法。
- 前記一時的にルーティングするステップが、所定の時間期間だけ適用される、請求項1〜4のいずれか1項に記載の方法。
- 所定の閾値を超えた数の指定された性質のリターン・メッセージが発信側ユーザ・システムにアドレスされていると識別された場合に、前記一時的なルーティングをトリガするステップを更に含む、請求項1〜5のいずれか1項に記載の方法。
- データ通信ネットワークに対する攻撃を検出するための装置であって、
ルータであって、当該ルータにローカルな発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構を含む、前記ルータと、
侵入検出センサと
を含み、
前記機構が、
指定された性質のリターン・メッセージを識別するためのメッセージ・チェッカであって、当該リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示す、前記メッセージ・チェッカと、
前記発信側ユーザ・システムからの以降のメッセージを前記侵入検出センサに一時的にルーティングするためのリルータであって、当該侵入検出センサが前記発信側ユーザ・システムにローカルである、前記リルータと、
を含む、前記装置。 - 前記侵入検出センサが前記発信側ユーザ・システムとのやり取りを偽装するように設計されている、請求項7に記載の装置。
- 前記侵入検出センサが、各々がサービスを偽装する複数の仮想センサを有する仮想化インフラストラクチャを含む、請求項8に記載の装置。
- 前記リターン・メッセージが、前記発信側ユーザ・システムが宛先アドレスに送信したメッセージに関連し、
前記リルータが、前記発信側ユーザ・システムから前記宛先アドレスへの以降のメッセージ全てについて動作する、請求項7〜9のいずれか1項に記載の装置。 - 前記リターン・メッセージの前記指定された性質が、接続の失敗を示すインターネット制御メッセージ・プロトコルのメッセージである、請求項7〜10のいずれか1項に記載の装置。
- 前記リルータが所定の時間期間だけアクティブである、請求項7〜11のいずれか1項に記載の装置。
- 前記リルータが、発信側ユーザ・システムにアドレスされていると識別された指定された性質のリターン・メッセージが所定の閾値を超えたか否かを判定するための判定装置を含む、請求項7〜12のいずれか1項に記載の装置。
- ルータであって、
前記ルータにローカルな発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構と、
指定された性質のリターン・メッセージを識別するためのメッセージ・チェッカであって、当該リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示す、前記メッセージ・チェッカと、
前記発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするためのリルータであって、当該侵入検出センサが、前記発信側ユーザ・システムにローカルである、前記リルータと
を含む、前記ルータ。 - データ通信システムであって、
ネットワークにおける複数のデータ処理システムと、
前記データ処理システムへのメッセージおよび前記データ処理システムからのメッセージをルーティングするための、前記データ処理システムにローカルなルータであって、前記ルータにローカルな前記データ処理システムの1つの形態の発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構を含む、前記ルータと、
侵入検出センサと
を含み、
前記機構が、
指定された性質のリターン・メッセージを識別するためのメッセージ・チェッカであって、当該リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示す、前記メッセージ・チェッカと、
前記発信側ユーザ・システムからの以降のメッセージを前記侵入検出センサに一時的にルーティングするためのリルータであって、当該侵入検出センサが前記ルータにローカルである、前記リルータと
を含む、前記データ通信システム。 - データ通信ネットワークに対する攻撃を検出するためのコンピュータ・プログラムであって、発信側ユーザ・システムにローカルなルータに、請求項1に記載の方法の各ステップを実行させるための前記コンピュータ・プログラム。
- 発信側ユーザ・システムからの侵入に対する装備をクライアント・システムに備える方法であって、
侵入検出センサを、前記発信側ユーザ・システムにローカルなルータに接続するステップと、
前記ルータに、
前記発信側ユーザ・システムにアドレスされたリターン・メッセージを監視し、
指定された性質のリターン・メッセージを識別し、ここで該リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示し、
同じ発信側ユーザ・システムからの以降のメッセージを一時的に前記侵入検出センサにルーティングする機能を与える、ステップと、
を含み、前記リターン・メッセージの前記指定された性質が、宛先アドレスがアクセス不可能であることを示し、当該侵入検出センサが前記発信側ユーザ・システムにローカルである、前記方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05006462.5 | 2005-03-24 | ||
| EP05006462 | 2005-03-24 | ||
| PCT/IB2006/050554 WO2006100613A1 (en) | 2005-03-24 | 2006-02-21 | Network attack detection |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008535304A JP2008535304A (ja) | 2008-08-28 |
| JP2008535304A5 JP2008535304A5 (ja) | 2009-02-12 |
| JP4753264B2 true JP4753264B2 (ja) | 2011-08-24 |
Family
ID=36716621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008502525A Expired - Fee Related JP4753264B2 (ja) | 2005-03-24 | 2006-02-21 | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20120096548A1 (ja) |
| EP (1) | EP1866725B1 (ja) |
| JP (1) | JP4753264B2 (ja) |
| KR (1) | KR101090815B1 (ja) |
| CN (1) | CN100561492C (ja) |
| AT (1) | ATE485552T1 (ja) |
| CA (1) | CA2600517A1 (ja) |
| DE (1) | DE602006017668D1 (ja) |
| WO (1) | WO2006100613A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5476578B2 (ja) * | 2009-01-06 | 2014-04-23 | 独立行政法人情報通信研究機構 | ネットワーク監視システム及びその方法 |
| CN101719906B (zh) * | 2009-11-10 | 2012-05-30 | 电子科技大学 | 一种基于蠕虫传播行为的蠕虫检测方法 |
| US10432587B2 (en) | 2012-02-21 | 2019-10-01 | Aventail Llc | VPN deep packet inspection |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| JP2004241831A (ja) * | 2003-02-03 | 2004-08-26 | Rbec Corp | ネットワーク管理システム |
| JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
| JP2005039591A (ja) * | 2003-07-16 | 2005-02-10 | Toshiba Corp | 不正アクセス防御装置及びプログラム |
| JP2005051588A (ja) * | 2003-07-30 | 2005-02-24 | Matsushita Electric Ind Co Ltd | 自動フィルタリング方法、および機器 |
| WO2006043310A1 (ja) * | 2004-10-19 | 2006-04-27 | Fujitsu Limited | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム |
| JP2006165910A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 不正侵入検知システム、不正侵入検知装置および管理装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330095B1 (en) | 2002-01-18 | 2006-04-05 | Stonesoft Corporation | Monitoring of data flow for enhancing network security |
| AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US20070094722A1 (en) * | 2003-05-30 | 2007-04-26 | International Business Machines Corporation | Detecting networks attacks |
| WO2005015370A1 (en) * | 2003-08-11 | 2005-02-17 | Telecom Italia S.P.A. | Method and system for detecting unauthorised use of a communication network |
| US7992204B2 (en) * | 2004-05-02 | 2011-08-02 | Markmonitor, Inc. | Enhanced responses to online fraud |
| US7748040B2 (en) * | 2004-07-12 | 2010-06-29 | Architecture Technology Corporation | Attack correlation using marked information |
-
2006
- 2006-02-21 US US11/909,495 patent/US20120096548A1/en not_active Abandoned
- 2006-02-21 JP JP2008502525A patent/JP4753264B2/ja not_active Expired - Fee Related
- 2006-02-21 WO PCT/IB2006/050554 patent/WO2006100613A1/en active Application Filing
- 2006-02-21 DE DE602006017668T patent/DE602006017668D1/de active Active
- 2006-02-21 KR KR1020077021070A patent/KR101090815B1/ko not_active IP Right Cessation
- 2006-02-21 CN CNB2006800091644A patent/CN100561492C/zh not_active Expired - Fee Related
- 2006-02-21 CA CA002600517A patent/CA2600517A1/en not_active Abandoned
- 2006-02-21 EP EP06727631A patent/EP1866725B1/en active Active
- 2006-02-21 AT AT06727631T patent/ATE485552T1/de not_active IP Right Cessation
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
| JP2004241831A (ja) * | 2003-02-03 | 2004-08-26 | Rbec Corp | ネットワーク管理システム |
| JP2005039591A (ja) * | 2003-07-16 | 2005-02-10 | Toshiba Corp | 不正アクセス防御装置及びプログラム |
| JP2005051588A (ja) * | 2003-07-30 | 2005-02-24 | Matsushita Electric Ind Co Ltd | 自動フィルタリング方法、および機器 |
| WO2006043310A1 (ja) * | 2004-10-19 | 2006-04-27 | Fujitsu Limited | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム |
| JP2006165910A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 不正侵入検知システム、不正侵入検知装置および管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2600517A1 (en) | 2006-09-28 |
| JP2008535304A (ja) | 2008-08-28 |
| EP1866725B1 (en) | 2010-10-20 |
| KR101090815B1 (ko) | 2011-12-08 |
| US20120096548A1 (en) | 2012-04-19 |
| KR20070114155A (ko) | 2007-11-29 |
| CN100561492C (zh) | 2009-11-18 |
| EP1866725A1 (en) | 2007-12-19 |
| DE602006017668D1 (de) | 2010-12-02 |
| WO2006100613A1 (en) | 2006-09-28 |
| CN101147153A (zh) | 2008-03-19 |
| ATE485552T1 (de) | 2010-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11032297B2 (en) | DGA behavior detection | |
| US10305927B2 (en) | Sinkholing bad network domains by registering the bad network domains on the internet | |
| US10476891B2 (en) | Monitoring access of network darkspace | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US9667589B2 (en) | Logical / physical address state lifecycle management | |
| US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| Bailey et al. | Data reduction for the scalable automated analysis of distributed darknet traffic | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
| AU2004282937A1 (en) | Policy-based network security management | |
| Lukaseder et al. | An sdn-based approach for defending against reflective ddos attacks | |
| WO2017035373A1 (en) | System and method for network access control | |
| US20050259657A1 (en) | Using address ranges to detect malicious activity | |
| Yang | A study on attack information collection using virtualization technology | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| US20230370492A1 (en) | Identify and block domains used for nxns-based ddos attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081217 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100817 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20101025 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101025 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20101025 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20101025 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110216 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110415 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110415 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110511 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110511 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20110511 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110518 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |