JP5190807B2 - パケット経路追跡システム - Google Patents
パケット経路追跡システム Download PDFInfo
- Publication number
- JP5190807B2 JP5190807B2 JP2009175667A JP2009175667A JP5190807B2 JP 5190807 B2 JP5190807 B2 JP 5190807B2 JP 2009175667 A JP2009175667 A JP 2009175667A JP 2009175667 A JP2009175667 A JP 2009175667A JP 5190807 B2 JP5190807 B2 JP 5190807B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- illegal
- traceback
- digest information
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネット等のネットワークを伝播するパケットを捕捉してパケットの伝播経路を追跡するパケット経路追跡システムに関し、特に当該不正パケットを早期に検知し不正パケットの発信元が属する組織を把握するパケット経路追跡システムに関する。
コンピュータネットワークのセキュリティ分野において、インシデントは、コンピュータやネットワークのセキュリティにとって何らかの形で有害な事象を意味する。インシデントとして代表的なものに、不正アクセス、不正中継、システムへの侵入、データの改ざん、サービス妨害行為等がある。
故意・事故・ウイルス感染の結果などの各インシデントの原因を問わず、組織内(例:顧客のイントラネット、プラント、生産設備、海外拠点など)に係るネットワークから組織外に当該インシデントに係る不正パケットが出力されると、組織の社会的信用に傷が付いたり、他組織に訴えられたりする恐れがある。また自組織内のあるネットワークから、別の組織のネットワークに不正パケットが流れると、ウイルスが拡散したり、情報システムに障害を引き起こしたりすることがある。
以上のことからネットワークの境界を跨いで組織外に流出する不正パケットを検出し、これの流出を食い止めることは近年重要視されている。
これに対して、従来より組織のネットワークの境界に設置されるルータ、ファイアウォールなどのネットワーク機器において、通信可能なポートを必要最低限のものに絞り、さらに、メールやWEBの使用について、メールゲートウエイやHTTPプロキシ等を使うことにより、組織内からの不正パケットが組織外に出て行く脅威を低減させることが行なわれている。
しかし、組織のネットワーク内部に入り込んだボットやワームには、ユーザPCの設定情報を使うものや許可されているポートを探して外部にアクセスをするものがあるため、上記対策では不十分である。
このため、従来より組織のネットワークの対外接続線(組織とインターネットの境界)のルータで、外部に流出するトラフィックを侵入検知装置IDS(Intrusion Detection System:侵入検知システム:以下、単にIDSと呼ぶ。)で監視することにより、組織内からの不正パケットが組織外に出て行く脅威を低減させるものが実践されている。IDSは、不正パケットを検知するとアラートをログファイルに記録して定義済みのメールアドレス宛にアラート内容を通知するように動作するので、このアラートをきっかけとして不正パケットへの対応ができる。
ただし、不正パケットは、送信元IPアドレスに関係なく、宛先IPアドレスに従って送信されるため、IDSのアラート情報に含まれる不正パケットの送信元IPアドレス情報は信用できず、対応するための情報として不十分な事がある。
この問題を解決するための手段として、トレースバック装置に不正パケットの経路を検索させる方法がある。具体的には、インターネット等のネットワークを伝播するパケットを捕捉して不正パケットの伝播経路を追跡するパケット経路追跡システム(たとえば特開2005−159936号公報)が、上述のIDSと連携して不正パケットの経路追跡を行い、不正パケットの組織外流出の脅威を低減させるものが提案されている。
図6はこのような従来のパケット経路追跡システムの構成図であり、図6において、組織A内のネットワークA上であってこのネットワークAに設置されるルータの近隣に接続されているIDS(侵入検知システム)と、組織AのネットワークAを介してデータ送受信を行なう複数のクライアント端末11Aと、ネットワークAおよび他の組織と接続されるネットワーク等と接続されているルータ12Aと、ネットワークAに接続されるトレースバックシステムと、ネットワークA上であってルータ12Aの近隣に接続されているトレースバックセンサと、他のネットワークに接続される複数のトレースバックセンサとから構成される。
ここで、一般的なトレースバック装置およびトレースバックセンサは、監視ポイントのトラフィックを全て保存するわけではなく、パケット単位のダイジェスト情報を一定期間保存する。ダイジェスト情報とは、時刻、Footmark値(=パケットの特徴を表わす値)、IP(Internet Protocol)アドレス、Macアドレスである。パケットそのものではなくダイジェスト情報を保存する理由は、ルータを流れる全パケットを保存すると、非常に大量のメモリが必要となり不経済であるからである。なおFootmark値には、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値を用いている。
具体的には、トレースバック装置およびトレースバックセンサは、ネットワークから収集したIPパケットの中で伝播中に不変である部分等を抽出し、抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段のアドレスとみなし、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
すなわちトレースバック装置およびトレースバックセンサは、パケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録して(ビットを立てて)、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持している。
例えば、トレースバック装置およびトレースバックセンサが、取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、ハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。この場合、トレースバック装置およびトレースバックセンサは、得られたハッシュ値(XXXXH)を記憶手段のアドレスとみなして、”XXXXH”のアドレスにデータを書き込む。例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
そして、受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスにビットが立っていれば、不正なパケットがトレースバック装置およびトレースバックセンサの接続されている回線を伝播したことになる。
すなわちトレースバック装置およびトレースバックセンサは、パケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録して(ビットを立てて)、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持している。
このような構成で、IDSとトレースバック装置とが連携して攻撃パケットの発信元を把握する例を説明する。たとえば、ワームに感染した組織A内のあるクライアント端末11Aは、送信元IPアドレスをインターネット上のアドレスXとして詐称して組織Bの公開用サーバに不正パケットを送信して攻撃する場合を例に説明する。具体的には、以下のような動作となる。
(1)IDSは不正パケットを検知し、トレースバック装置に送信元に関する情報を問い合わせる。このとき、IDSの不正パケットを検知した際のアラートでは、不正パケットの送信元IPアドレスが詐称されているインターネット上のアドレスXになっている。
(2)トレースバック装置は、IDSから受信した検知された不正パケットに関する情報に基づき、自機またはトレースバックセンサに記憶しているダイジェスト情報を検索して、結果として以下の情報を把握し不正パケットの発信元・発信経路を特定する。またこれらの情報をIDSに送信する。
(a)パケットの流れた経路(ルータを自組織から組織外の向きに通過)
(b)不正パケットが発信された端末のMACアドレス
(a)パケットの流れた経路(ルータを自組織から組織外の向きに通過)
(b)不正パケットが発信された端末のMACアドレス
この結果、IDSとトレースバック装置が連携することにより、不正パケットの発生源の特定ができなくても、なるべく近い場所まで経路を辿る事ができるので、発生源の近くで不正パケットを止めることができる。
このようなパケット経路追跡システムに関連する先行技術文献として、下記の特許文献1がある。
ここで、組織内に入り込んだワームやボットは、感染活動やインターネット上のホストと通信するために様々なパケットを出力するが、従来のIDSとパケット経路追跡システムとの連携による技術では、各IDSが不正パケット・攻撃パケットの発生を発見しなければ経路追跡を実行しないので事後の対応しかできず対策が不十分であるという問題点があった。
また、従来技術による経路追跡では、上述の通り各組織内IDSのいずれもが、自分自身(各IDS自身)にて不正パケットを検出することが必要であり、いずれかの組織内IDSで最初に不正パケットを検知しても当該組織の対応によって暫くの期間は、不正パケット発信元が潜む組織から不正パケットが他の組織へ出力され続けることがあるので、この視点からみても、対応が事後(各IDSが不正パケットを検知した後)となってしまい対策が不十分であるという問題点があった。
すなわち、従来技術では、不正パケットが各組織に流れ込んだ後にしか対応ができず、対策が不十分であるという問題点があった。
すなわち、従来技術では、不正パケットが各組織に流れ込んだ後にしか対応ができず、対策が不十分であるという問題点があった。
また、従来のIDSとパケット経路追跡システムとの連携では、ペイロードの流れる場所を観測する必要があるが、以下の(ア)、(イ)のような理由で不正パケットを早期検知するにはシステムが高価になってしまう、という問題点があった。
(ア)IDSは、主にペイロードのバイト列が既知の攻撃パターンと一致するかどうかを検査するので、ペイロードが流れる場所に設置する必要がある(ペイロードが流れない場合には、効果を発揮しない)。また大きなボリュームに対応したIDSは一般に高価である。
(イ)トレースバックのセンサが必要とするメモリは、観測ポイントのトラフィック流量に合わせて大きくなる。十分なメモリを使用できない場合は誤検知が多くなる。メモリをたくさん積むと高価になる。
(ア)IDSは、主にペイロードのバイト列が既知の攻撃パターンと一致するかどうかを検査するので、ペイロードが流れる場所に設置する必要がある(ペイロードが流れない場合には、効果を発揮しない)。また大きなボリュームに対応したIDSは一般に高価である。
(イ)トレースバックのセンサが必要とするメモリは、観測ポイントのトラフィック流量に合わせて大きくなる。十分なメモリを使用できない場合は誤検知が多くなる。メモリをたくさん積むと高価になる。
本発明は上述の問題点を解決するものであり、その目的は、不正パケットを早期に検知し不正パケットの発信元が属する組織を把握するパケット経路追跡システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを流れるパケットの受信時刻とIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値とを含むダイジェスト情報に基づき、パケットの発信元を特定するパケット経路追跡システムにおいて、
届く全てのパケットが不正パケットであるような場所に設置され、前記ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、
前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、
前記ネットワーク上を流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみのダイジェスト情報を記録し、前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報に基づき自機が記憶するダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置と、を具備することを特徴とするパケット経路追跡システムである。
ネットワークを流れるパケットの受信時刻とIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値とを含むダイジェスト情報に基づき、パケットの発信元を特定するパケット経路追跡システムにおいて、
届く全てのパケットが不正パケットであるような場所に設置され、前記ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、
前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、
前記ネットワーク上を流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみのダイジェスト情報を記録し、前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報に基づき自機が記憶するダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置と、を具備することを特徴とするパケット経路追跡システムである。
請求項2記載の発明は、請求項1記載のパケット経路追跡システムにおいて、
前記トレースバック連携装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記通信手段が前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを前記トレースバック装置に送信する検索要求手段と、を具備することを特徴とする。
前記トレースバック連携装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記通信手段が前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを前記トレースバック装置に送信する検索要求手段と、を具備することを特徴とする。
請求項3記載の発明は、請求項1または2記載のパケット経路追跡システムにおいて、
前記不正パケット検出センサは、
前記ネットワークを流れる不正パケットを収集するパケット収集手段と、
前記パケット収集手段が収集した不正パケットの検出時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を作成し、前記トレースバック連携装置に送信するダイジェスト情報管理手段と、
を具備することを特徴とする。
前記不正パケット検出センサは、
前記ネットワークを流れる不正パケットを収集するパケット収集手段と、
前記パケット収集手段が収集した不正パケットの検出時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を作成し、前記トレースバック連携装置に送信するダイジェスト情報管理手段と、
を具備することを特徴とする。
請求項4記載の発明は、請求項1〜3いずれかに記載のパケット経路追跡システムにおいて、
前記トレースバック装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記ネットワークを流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみを収集するパケット収集手段と、
前記パケット収集手段が収集したパケットの中から前記不正パケットを検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段と、
自機に記憶しているダイジェスト情報の中で前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨を前記トレースバック連携装置に通知する検索手段と、
を具備することを特徴とする。
前記トレースバック装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記ネットワークを流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみを収集するパケット収集手段と、
前記パケット収集手段が収集したパケットの中から前記不正パケットを検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段と、
自機に記憶しているダイジェスト情報の中で前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨を前記トレースバック連携装置に通知する検索手段と、
を具備することを特徴とする。
このように、本発明に係るパケット経路追跡システムによれば、不正パケット収集地点に設置された不正パケット検出センサが、検出した不正パケットのダイジェスト情報等を含むデータを送信し、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各組織内に設置されているトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、当該不正パケットを早期に検知し発信元組織を特定できる。
また、本発明に係るパケット経路追跡システムによれば、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各組織内に設置されているトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、送信元が詐称された不正パケットであっても、実際の発信元組織を自動的に見つけることができる。
また、本発明に係るパケット経路追跡システムによれば、不正パケット検出センサが、トラフィックの少ない不正パケット収集地点で監視を実行するため、大量のメモリを使用する必要が無くなるという技術的効果があり、これによりシステム構築にかかる費用を抑えることができる。
(実施例1)
図1は、本発明に係るパケット経路追跡システムの構成例を示す構成図であり、図6等と共通する部分には同一の符号を付けて適宜説明を省略する。図6との相違点は、ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、ネットワーク上で収集したパケットのダイジェスト情報を記録する一方でトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置を備える点、および、複数のIDSを構成要素としない点で相違する。
図1は、本発明に係るパケット経路追跡システムの構成例を示す構成図であり、図6等と共通する部分には同一の符号を付けて適宜説明を省略する。図6との相違点は、ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、ネットワーク上で収集したパケットのダイジェスト情報を記録する一方でトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置を備える点、および、複数のIDSを構成要素としない点で相違する。
図1においてパケット経路追跡システムは、不正パケット検出センサ21A〜Zと、トレースバック連携装置22と、トレースバック装置23A〜Zと、から構成される。
以下、本発明を構成する各構成要素の接続関係および各特徴について説明する。
以下、本発明を構成する各構成要素の接続関係および各特徴について説明する。
<パケット経路追跡システムの各構成要素の接続関係について>
たとえば図1のように、組織A(〜Z)のネットワークNW100A(〜Z)は、このネットワークを介してデータ送受信を行なう複数のクライアント端末と、外部のネットワークとネットワークNW100A(〜Z)とに接続されるルータと、このルータの近隣に接続されているトレースバック装置23Aと、不正パケット検出センサ21A〜Zと、トレースバック連携装置22と、トレースバック装置23A〜Zと、それぞれ相互に接続される。
たとえば図1のように、組織A(〜Z)のネットワークNW100A(〜Z)は、このネットワークを介してデータ送受信を行なう複数のクライアント端末と、外部のネットワークとネットワークNW100A(〜Z)とに接続されるルータと、このルータの近隣に接続されているトレースバック装置23Aと、不正パケット検出センサ21A〜Zと、トレースバック連携装置22と、トレースバック装置23A〜Zと、それぞれ相互に接続される。
<不正パケット検出センサ21A〜Zについて>
不正パケット検出センサ21A〜Zは、組織A〜Zに属するネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信するものである。具体的な構成を図2に示す。
不正パケット検出センサ21A〜Zは、組織A〜Zに属するネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信するものである。具体的な構成を図2に示す。
図2は図1の不正パケット検出センサ21の構成ブロック図である。図2のように、不正パケット検出センサ21A〜Zは、ネットワークを流れるパケットを収集するパケット収集手段211と、パケット収集手段が不正パケットを受信/検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値(0など)を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を生成してこのダイジェスト情報またはフットマーク値を通信手段を介してトレースバック連携装置22に送信するダイジェスト情報管理手段212と、を具備する。
ここでダイジェスト情報とは、時刻、フットマーク値(=パケットの特徴を表わす値)、IP(Internet Protocol)アドレス、Macアドレスである。パケットそのものではなくダイジェスト情報を保存する理由は、ルータを流れる全パケットを保存すると、非常に大量のメモリが必要となり不経済であるからである。なおFootmark値には、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値を用いている。
<トレースバック連携装置22について>
トレースバック連携装置22は、ネットワークを介してデータの送受信を行い、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信する。トレースバック連携装置22は、不正パケット検出センサからの不正パケット検出の通知を受けて、各組織に設置してあるトレースバック装置と連携して各トレースバック装置内のダイジェスト情報の検索の結果として、不正パケットの発信元を確認するものである。ここで、トレースバック連携装置22が各トレースバック装置に不正パケットの発信元の検索要求をするために送信する検索要求データには当該不正パケットの受信/検出した「時刻」、「不正パケットのフットマーク値」が含まれる。
トレースバック連携装置22は、ネットワークを介してデータの送受信を行い、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信する。トレースバック連携装置22は、不正パケット検出センサからの不正パケット検出の通知を受けて、各組織に設置してあるトレースバック装置と連携して各トレースバック装置内のダイジェスト情報の検索の結果として、不正パケットの発信元を確認するものである。ここで、トレースバック連携装置22が各トレースバック装置に不正パケットの発信元の検索要求をするために送信する検索要求データには当該不正パケットの受信/検出した「時刻」、「不正パケットのフットマーク値」が含まれる。
具体的には、図1のように、トレースバック連携装置22は、ネットワークを介してデータの送受信を行なう通信手段と、通信手段が不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データをトレースバック装置に送信する検索要求手段と、を具備する。
<トレースバック装置23A〜Zについて>
トレースバック装置23A〜Zは、ネットワーク上で収集したパケットのダイジェスト情報を記録し、ネットワークを介してトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するものである。具体的な構成を図3に示す。
トレースバック装置23A〜Zは、ネットワーク上で収集したパケットのダイジェスト情報を記録し、ネットワークを介してトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するものである。具体的な構成を図3に示す。
図3は図1のトレースバック装置23の構成ブロック図である。図3のように、具体的には、トレースバック装置23A〜Zは、ネットワークを介してデータの送受信を行なう通信手段と、ネットワークを流れるパケットを収集するパケット収集手段231と、パケット収集手段が収集したパケットの中から不正パケットを検出した時刻および不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段232と、自機に記憶しているダイジェスト情報の中でトレースバック連携装置から受信した検索要求データに含まれるフットマーク値(ダイジェスト情報中に含まれるフットマーク値)と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨をトレースバック連携装置に通知する検索手段233と、を具備する
ここでトレースバック装置のパケット収集手段は、監視ポイントのトラフィックを全て保存するわけではなく、時刻、フットマーク値(パケットの特徴を表わす値)、IP(Internet Protocol)アドレスからなるダイジェスト情報をパケット単位で一定期間保存する。
具体的には、トレースバック装置のパケット収集手段は、ネットワークから収集したIPパケットの中で伝播中に不変である部分等を抽出し、抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段のアドレスとみなし、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
すなわちトレースバック装置のパケット収集手段は、パケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録して(ビットを立てて)、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持している。
例えば、トレースバック装置のパケット収集手段が、取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、ハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。この場合、トレースバック装置のパケット収集手段は、得られたハッシュ値(XXXXH)を記憶手段のアドレスとみなして、”XXXXH”のアドレスにデータを書き込む。例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
そして、受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスにビットが立っていれば、不正なパケットがトレースバック装置のパケット収集手段の接続されている回線を伝播したことになる。
すなわちトレースバック装置のパケット収集手段は、パケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録して(ビットを立てて)、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持している。
<不正パケット検出センサとトレースバック装置の設置場所について>
不正パケット検出センサ21A〜Zおよびトレースバック装置23A〜Zは、収集できるトラフィックが、全て不正なものとみなすことができるような特別な場所(以下、不正パケット収集地点という)に設置される。具体的には、不正パケット収集地点とは以下の(A)、(B)のような場所である。
(A)組織A〜Z(企業、大学など)にそれぞれ割り当てられているが未利用となっているIPアドレス群に向かうトラフィックだけを観測できる場所。
(B)ルーティングのされていないアドレスへのトラフィックが集まる場所。
不正パケット検出センサ21A〜Zは、このような不正パケット収集地点に設置されることにより、取得したトラフィックを全て不正なものとみなすことができる。
不正パケット検出センサ21A〜Zおよびトレースバック装置23A〜Zは、収集できるトラフィックが、全て不正なものとみなすことができるような特別な場所(以下、不正パケット収集地点という)に設置される。具体的には、不正パケット収集地点とは以下の(A)、(B)のような場所である。
(A)組織A〜Z(企業、大学など)にそれぞれ割り当てられているが未利用となっているIPアドレス群に向かうトラフィックだけを観測できる場所。
(B)ルーティングのされていないアドレスへのトラフィックが集まる場所。
不正パケット検出センサ21A〜Zは、このような不正パケット収集地点に設置されることにより、取得したトラフィックを全て不正なものとみなすことができる。
<パケット経路追跡システムの動作説明>
このような構成で本発明のパケット経路追跡システムは、不正パケット検出センサが不正トラフィックを検出すると、トレースバック連携装置経由で、各トレースバック装置に不正パケットの送信元に関する情報を問い合わせ、問合せ結果を関係組織に通知する。図4は本発明のパケット経路追跡システムの動作を説明するシーケンス図である。下記(1)〜(7)は図4中の各シーケンス(1)〜(7)の対応説明である。
このような構成で本発明のパケット経路追跡システムは、不正パケット検出センサが不正トラフィックを検出すると、トレースバック連携装置経由で、各トレースバック装置に不正パケットの送信元に関する情報を問い合わせ、問合せ結果を関係組織に通知する。図4は本発明のパケット経路追跡システムの動作を説明するシーケンス図である。下記(1)〜(7)は図4中の各シーケンス(1)〜(7)の対応説明である。
(1)各組織のセキュリティ担当者等は、不正パケット収集地点におけるネットワーク情報(アドレス情報(観測対象アドレス情報・条件)など)を、トレースバック連携装置22に登録する。
(2)トレースバック連携装置22は、各組織に設置されたトレースバック装置23A〜Zに、不正パケット収集地点の場所のアドレス情報(観測対象アドレス情報・条件)を分配する。
(3)各組織に設置されたトレースバック装置23A〜Zの各パケット収集手段は、不正パケット収集地点に向かうパケットのみを記録するフィルタを使用し、不正パケット収集地点に送信されるパケットのみを記録する。
(4)不正パケット検出センサ21A〜Zは、ネットワークを流れるパケットを収集し、トラフィックを検知する(いいかえれば、不正パケットを検出する)と、その不正パケットのダイジェスト情報を作成してトレースバック連携装置に通知する。ここで、不正パケット検出センサのダイジェスト情報管理手段は、ダイジェスト情報を通知するものではなく、「パケットの検出時刻」およびパケット固有の特徴を示す「フットマーク値」を通知するものでもよい。
(5)トレースバック連携装置22は、不正パケット検出センサ21A〜Zから受けた通知内容の情報に基づいて、トレースバック装置23A〜Zに検索要求データを送信する。
(6)トレースバック装置23A〜Zは、受信した検索要求データに基づき、自機に記憶しているダイジェスト情報の中でトレースバック連携装置22から受信した検索要求データに含まれるフットマーク値と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨をトレースバック連携装置に通知する
(7)トレースバック連携装置22は、トレースバック装置23A〜Zから検索結果を受信すると、当該検索結果データを関係組織のネットワーク管理用端末や監視端末などに通知する。
ここで検索結果データは、不正パケット検出センサ21A〜Zで検出された不正パケットと同じフットマーク値を持つパケットが、どの組織のトレースバック装置で検出されているかを示す情報を含むものである。
またトレースバック連携装置22は、不正パケットのダイジェスト情報を不正パケットと同じフットマーク値が検出された組織のネットワーク管理用端末や監視端末などを介してセキュリティ担当者等にも通知する。これにより、いずれかのトレースバックシステムで同じフットマーク値が検出されれば不正パケットの発信元組織が特定できることになるため、その旨を当該組織のセキュリティ担当者などに通知すれば、攻撃が行なわれる前にセキュリティ対策が行える点で有効である。
(8)通知を受けたセキュリティ担当者は、当該組織内のトレースバック装置に記憶されているダイジェスト情報を参考に自組織内に設置されたネットワーク機器の設定対応または不正パケットを送信している端末の追及等の対応を行う。
この結果、本発明に係るパケット経路追跡システムは、不正パケット収集地点に設置された不正パケット検出センサが、検出した不正パケットのダイジェスト情報等を含むデータを送信し、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各組織内に設置されているトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、当該不正パケットを早期に検知し発信元組織を特定できる。
また、本発明に係るパケット経路追跡システムは、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各組織内に設置されているトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、送信元が詐称された不正パケットであっても、実際の発信元組織を自動的に見つけることができる。
また、本発明に係るパケット経路追跡システムは、不正パケット検出センサが、トラフィックの少ない不正パケット収集地点で監視を実行するため、大量のメモリを使用する必要が無くなるという技術的効果があり、これによりシステム構築にかかる費用を抑えることができる。
以下、本発明の応用・変形・水平展開に係るその実施態様について説明する。
(実施例2)
本発明は、企業のグローバル化が進みイントラネットが巨大になっていくと、イントラネットでもインターネットで起きている問題が発生することに鑑み、巨大なイントラネットにおける不正パケットの経路追跡およびセキュリティ対策支援に係り利用されるものでもよい。
(実施例2)
本発明は、企業のグローバル化が進みイントラネットが巨大になっていくと、イントラネットでもインターネットで起きている問題が発生することに鑑み、巨大なイントラネットにおける不正パケットの経路追跡およびセキュリティ対策支援に係り利用されるものでもよい。
図5は本発明の他の実施例に係る構成図であり、図5では、各国に散らばる各組織の拠点がそれぞれ本社とVPNで接続されている、巨大化したイントラネットを監視するシステムの構成例を示している。
図5において、想定できる通信については全て明示的にルーティングし、インターネットへの通信をプロキシ経由とすることで、デフォルトゲートウェイには不正トラフィックのみが送信されるようにネットワークを設計する。このとき、本発明のパケット経路追跡システムを利用して、異常トラフィックを検知すると、不正トラフィックを早期に検知し発信元組織を特定できる。
<パケット経路追跡システムの動作説明>
以下、本実施例の場合のパケット経路追跡システムの動作説明をする。上述したものと同様の動作については適宜説明を省略する。
(1)VLAN Switchの場所に、トレースバック装置を設置し、トレースバック装置のパケット収集手段にデフォルトゲートウェイに向かうトラフィックのみを収集させトラフィックを監視させる。
(2)不正パケット検出センサはデフォルトゲートウェイのトラフィックを監視する。
(3)不正パケット検出センサは、不正パケットを検出すると、トレースバック連携装置に当該不正パケットのダイジェスト情報などを含むデータを送信する。
(4)トレースバック連携装置は、不正パケットのダイジェスト情報に基づき自動的に不正パケットの発信元を検索・追跡しその結果を関係組織のネットワーク管理用端末や監視端末を介してシステム管理者に通知する。
以下、本実施例の場合のパケット経路追跡システムの動作説明をする。上述したものと同様の動作については適宜説明を省略する。
(1)VLAN Switchの場所に、トレースバック装置を設置し、トレースバック装置のパケット収集手段にデフォルトゲートウェイに向かうトラフィックのみを収集させトラフィックを監視させる。
(2)不正パケット検出センサはデフォルトゲートウェイのトラフィックを監視する。
(3)不正パケット検出センサは、不正パケットを検出すると、トレースバック連携装置に当該不正パケットのダイジェスト情報などを含むデータを送信する。
(4)トレースバック連携装置は、不正パケットのダイジェスト情報に基づき自動的に不正パケットの発信元を検索・追跡しその結果を関係組織のネットワーク管理用端末や監視端末を介してシステム管理者に通知する。
この結果、本発明に係るパケット経路追跡システムは、不正パケット検出センサが不正トラフィックのみが送信されるようにネットワーク設計されたデフォルトゲートウェイのトラフィックを監視して検出した不正パケットのダイジェスト情報等を含むデータを送信し、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各拠点内に設置され、かつデフォルトゲートウェイに向かうトラフィックのみのダイジェスト情報を収集するトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、当該不正パケットを早期に検知し発信元組織を特定できるので早期のセキュリティ上の対策を実施に貢献できる。
(その他の実施例)
なお、本発明のパケット経路追跡システムの不正パケット検出センサ、トレースバック装置、トレースバック連携装置は、それぞれ自機が有する各手段を制御するCPU等の演算制御手段と、およびそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置として動作するためのプログラムやアプリケーションなどを記憶するハードディスク、RAM、ROMなどの記憶手段とからも構成されるものでもよい。これらの演算制御手段は各記憶部に格納されているOSなどを起動して、このOS上で格納されたプログラムを読み出して実行することによりそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置全体を制御し、各機器の固有の動作を行うものでもよい。
なお、本発明のパケット経路追跡システムの不正パケット検出センサ、トレースバック装置、トレースバック連携装置は、それぞれ自機が有する各手段を制御するCPU等の演算制御手段と、およびそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置として動作するためのプログラムやアプリケーションなどを記憶するハードディスク、RAM、ROMなどの記憶手段とからも構成されるものでもよい。これらの演算制御手段は各記憶部に格納されているOSなどを起動して、このOS上で格納されたプログラムを読み出して実行することによりそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置全体を制御し、各機器の固有の動作を行うものでもよい。
このとき各記憶手段は、各演算制御手段によって実行されるプログラムやアプリケーションをプログラム格納エリアに展開し、入力されたデータや、プログラムやアプリケーションの実行時に生じる処理結果などのデータをワークエリアに一時的に記憶する。
また、本発明のパケット経路追跡システムの不正パケット検出センサ、または、トレースバック装置のパケット収集手段が生成する、パケットのダイジェスト情報の「パケットの特徴」は、パケットから生成したフットマーク値を使用するものであるが、フットマーク値を記録するデータベースは、ブルームフィルタを使用した方式を使用するものでもよい。
なおブルームフィルタを使うと、記録する情報量にかかわらず必要なメモリが固定で確保できることや記録されたフットマーク値を高速に検索できるという利点があるが、短期間に多くのフットマーク値を記録すると検索時の誤検出の原因となるという問題がある。このため、実用的な誤検出率以下で使用するためには「記録時間の長さ」と「ブルームフィルタに割り当てるメモリの大きさ」と「トレースバックのセンサが扱うトラフィック流量」のバランスに注意してダイジェスト情報の生成・記憶を行なうよう設定されているのが望ましい。
このように、本発明に係るパケット経路追跡システムは、不正パケット収集地点に設置された不正パケット検出センサが、検出した不正パケットのダイジェスト情報等を含むデータを送信し、トレースバック連携装置が不正パケット検出センサからの不正パケットのダイジェスト情報等を含むデータを受信すると各組織内に設置されているトレースバック装置に当該不正パケットと一致するダイジェスト情報を検索させることにより、当該不正パケットを早期に検知し発信元組織を特定できるので早期のセキュリティ上の対策を実施に貢献できる。
11A PC
12A ルータ
21A〜Z 不正パケット検出センサ
211 パケット収集手段
212 ダイジェスト情報管理手段
22 トレースバック連携装置
23A〜Z トレースバック装置
231 パケット収集手段
232 ダイジェスト情報管理手段
233 検索手段
12A ルータ
21A〜Z 不正パケット検出センサ
211 パケット収集手段
212 ダイジェスト情報管理手段
22 トレースバック連携装置
23A〜Z トレースバック装置
231 パケット収集手段
232 ダイジェスト情報管理手段
233 検索手段
Claims (4)
- ネットワークを流れるパケットの受信時刻とIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値とを含むダイジェスト情報に基づき、パケットの発信元を特定するパケット経路追跡システムにおいて、
届く全てのパケットが不正パケットであるような場所に設置され、前記ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、
前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、
前記ネットワーク上を流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみのダイジェスト情報を記録し、前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報に基づき自機が記憶するダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置と、を具備することを特徴とするパケット経路追跡システム。 - 前記トレースバック連携装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記通信手段が前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを前記トレースバック装置に送信する検索要求手段と、を具備することを特徴とする
請求項1記載のパケット経路追跡システム。 - 前記不正パケット検出センサは、
前記ネットワークを流れる不正パケットを収集するパケット収集手段と、
前記パケット収集手段が収集した不正パケットの検出時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を作成し、前記トレースバック連携装置に送信するダイジェスト情報管理手段と、
を具備することを特徴とする
請求項1または2記載のパケット経路追跡システム。 - 前記トレースバック装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記ネットワークを流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみを収集するパケット収集手段と、
前記パケット収集手段が収集したパケットの中から前記不正パケットを検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段と、
自機に記憶しているダイジェスト情報の中で前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨を前記トレースバック連携装置に通知する検索手段と、
を具備することを特徴とする
請求項1〜3いずれかに記載のパケット経路追跡システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009175667A JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009175667A JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011030096A JP2011030096A (ja) | 2011-02-10 |
| JP5190807B2 true JP5190807B2 (ja) | 2013-04-24 |
Family
ID=43638266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009175667A Expired - Fee Related JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5190807B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4167866B2 (ja) * | 2002-08-29 | 2008-10-22 | 富士通株式会社 | データ伝送方法、データ伝送システム及びデータ伝送装置 |
| JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
| JP4406660B2 (ja) * | 2007-10-01 | 2010-02-03 | 株式会社エヌ・ティ・ティ・データ | パケット追跡方法およびパケット追跡プログラム |
-
2009
- 2009-07-28 JP JP2009175667A patent/JP5190807B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011030096A (ja) | 2011-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2612488B1 (en) | Detecting botnets | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| JP2020515962A (ja) | Apt攻撃に対する防御 | |
| KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| WO2014129587A1 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
| JPWO2009041686A1 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| US20090178140A1 (en) | Network intrusion detection system | |
| JP2014099758A (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
| US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
| JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| JP5190807B2 (ja) | パケット経路追跡システム | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
| KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
| KR20100057723A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버 | |
| KR101045556B1 (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
| JP4235907B2 (ja) | ワーム伝播監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121029 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121101 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121211 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130120 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160208 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |