JP5190807B2 - パケット経路追跡システム - Google Patents
パケット経路追跡システム Download PDFInfo
- Publication number
- JP5190807B2 JP5190807B2 JP2009175667A JP2009175667A JP5190807B2 JP 5190807 B2 JP5190807 B2 JP 5190807B2 JP 2009175667 A JP2009175667 A JP 2009175667A JP 2009175667 A JP2009175667 A JP 2009175667A JP 5190807 B2 JP5190807 B2 JP 5190807B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- illegal
- traceback
- digest information
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
(a)パケットの流れた経路(ルータを自組織から組織外の向きに通過)
(b)不正パケットが発信された端末のMACアドレス
すなわち、従来技術では、不正パケットが各組織に流れ込んだ後にしか対応ができず、対策が不十分であるという問題点があった。
(ア)IDSは、主にペイロードのバイト列が既知の攻撃パターンと一致するかどうかを検査するので、ペイロードが流れる場所に設置する必要がある(ペイロードが流れない場合には、効果を発揮しない)。また大きなボリュームに対応したIDSは一般に高価である。
(イ)トレースバックのセンサが必要とするメモリは、観測ポイントのトラフィック流量に合わせて大きくなる。十分なメモリを使用できない場合は誤検知が多くなる。メモリをたくさん積むと高価になる。
ネットワークを流れるパケットの受信時刻とIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値とを含むダイジェスト情報に基づき、パケットの発信元を特定するパケット経路追跡システムにおいて、
届く全てのパケットが不正パケットであるような場所に設置され、前記ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、
前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、
前記ネットワーク上を流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみのダイジェスト情報を記録し、前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報に基づき自機が記憶するダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置と、を具備することを特徴とするパケット経路追跡システムである。
前記トレースバック連携装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記通信手段が前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを前記トレースバック装置に送信する検索要求手段と、を具備することを特徴とする。
前記不正パケット検出センサは、
前記ネットワークを流れる不正パケットを収集するパケット収集手段と、
前記パケット収集手段が収集した不正パケットの検出時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を作成し、前記トレースバック連携装置に送信するダイジェスト情報管理手段と、
を具備することを特徴とする。
前記トレースバック装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記ネットワークを流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみを収集するパケット収集手段と、
前記パケット収集手段が収集したパケットの中から前記不正パケットを検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段と、
自機に記憶しているダイジェスト情報の中で前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨を前記トレースバック連携装置に通知する検索手段と、
を具備することを特徴とする。
図1は、本発明に係るパケット経路追跡システムの構成例を示す構成図であり、図6等と共通する部分には同一の符号を付けて適宜説明を省略する。図6との相違点は、ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、ネットワーク上で収集したパケットのダイジェスト情報を記録する一方でトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置を備える点、および、複数のIDSを構成要素としない点で相違する。
以下、本発明を構成する各構成要素の接続関係および各特徴について説明する。
たとえば図1のように、組織A(〜Z)のネットワークNW100A(〜Z)は、このネットワークを介してデータ送受信を行なう複数のクライアント端末と、外部のネットワークとネットワークNW100A(〜Z)とに接続されるルータと、このルータの近隣に接続されているトレースバック装置23Aと、不正パケット検出センサ21A〜Zと、トレースバック連携装置22と、トレースバック装置23A〜Zと、それぞれ相互に接続される。
不正パケット検出センサ21A〜Zは、組織A〜Zに属するネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信するものである。具体的な構成を図2に示す。
トレースバック連携装置22は、ネットワークを介してデータの送受信を行い、不正パケットのダイジェスト情報を含むデータを受信するとダイジェスト情報を含む検索要求データを送信する。トレースバック連携装置22は、不正パケット検出センサからの不正パケット検出の通知を受けて、各組織に設置してあるトレースバック装置と連携して各トレースバック装置内のダイジェスト情報の検索の結果として、不正パケットの発信元を確認するものである。ここで、トレースバック連携装置22が各トレースバック装置に不正パケットの発信元の検索要求をするために送信する検索要求データには当該不正パケットの受信/検出した「時刻」、「不正パケットのフットマーク値」が含まれる。
トレースバック装置23A〜Zは、ネットワーク上で収集したパケットのダイジェスト情報を記録し、ネットワークを介してトレースバック連携装置から受信した検索要求データに含まれるダイジェスト情報に基づき自機に記憶しているダイジェスト情報を検索して不正パケットの発信元を特定するものである。具体的な構成を図3に示す。
不正パケット検出センサ21A〜Zおよびトレースバック装置23A〜Zは、収集できるトラフィックが、全て不正なものとみなすことができるような特別な場所(以下、不正パケット収集地点という)に設置される。具体的には、不正パケット収集地点とは以下の(A)、(B)のような場所である。
(A)組織A〜Z(企業、大学など)にそれぞれ割り当てられているが未利用となっているIPアドレス群に向かうトラフィックだけを観測できる場所。
(B)ルーティングのされていないアドレスへのトラフィックが集まる場所。
不正パケット検出センサ21A〜Zは、このような不正パケット収集地点に設置されることにより、取得したトラフィックを全て不正なものとみなすことができる。
このような構成で本発明のパケット経路追跡システムは、不正パケット検出センサが不正トラフィックを検出すると、トレースバック連携装置経由で、各トレースバック装置に不正パケットの送信元に関する情報を問い合わせ、問合せ結果を関係組織に通知する。図4は本発明のパケット経路追跡システムの動作を説明するシーケンス図である。下記(1)〜(7)は図4中の各シーケンス(1)〜(7)の対応説明である。
(実施例2)
本発明は、企業のグローバル化が進みイントラネットが巨大になっていくと、イントラネットでもインターネットで起きている問題が発生することに鑑み、巨大なイントラネットにおける不正パケットの経路追跡およびセキュリティ対策支援に係り利用されるものでもよい。
以下、本実施例の場合のパケット経路追跡システムの動作説明をする。上述したものと同様の動作については適宜説明を省略する。
(1)VLAN Switchの場所に、トレースバック装置を設置し、トレースバック装置のパケット収集手段にデフォルトゲートウェイに向かうトラフィックのみを収集させトラフィックを監視させる。
(2)不正パケット検出センサはデフォルトゲートウェイのトラフィックを監視する。
(3)不正パケット検出センサは、不正パケットを検出すると、トレースバック連携装置に当該不正パケットのダイジェスト情報などを含むデータを送信する。
(4)トレースバック連携装置は、不正パケットのダイジェスト情報に基づき自動的に不正パケットの発信元を検索・追跡しその結果を関係組織のネットワーク管理用端末や監視端末を介してシステム管理者に通知する。
なお、本発明のパケット経路追跡システムの不正パケット検出センサ、トレースバック装置、トレースバック連携装置は、それぞれ自機が有する各手段を制御するCPU等の演算制御手段と、およびそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置として動作するためのプログラムやアプリケーションなどを記憶するハードディスク、RAM、ROMなどの記憶手段とからも構成されるものでもよい。これらの演算制御手段は各記憶部に格納されているOSなどを起動して、このOS上で格納されたプログラムを読み出して実行することによりそれぞれ不正パケット検出センサ、トレースバック装置、トレースバック連携装置全体を制御し、各機器の固有の動作を行うものでもよい。
12A ルータ
21A〜Z 不正パケット検出センサ
211 パケット収集手段
212 ダイジェスト情報管理手段
22 トレースバック連携装置
23A〜Z トレースバック装置
231 パケット収集手段
232 ダイジェスト情報管理手段
233 検索手段
Claims (4)
- ネットワークを流れるパケットの受信時刻とIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値とを含むダイジェスト情報に基づき、パケットの発信元を特定するパケット経路追跡システムにおいて、
届く全てのパケットが不正パケットであるような場所に設置され、前記ネットワークを流れるパケットを収集し、検出した不正パケットのダイジェスト情報を含むデータを送信する不正パケット検出センサと、
前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを送信するトレースバック連携装置と、
前記ネットワーク上を流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみのダイジェスト情報を記録し、前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報に基づき自機が記憶するダイジェスト情報を検索して不正パケットの発信元を特定するトレースバック装置と、を具備することを特徴とするパケット経路追跡システム。 - 前記トレースバック連携装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記通信手段が前記不正パケットのダイジェスト情報を含むデータを受信すると前記ダイジェスト情報を含む検索要求データを前記トレースバック装置に送信する検索要求手段と、を具備することを特徴とする
請求項1記載のパケット経路追跡システム。 - 前記不正パケット検出センサは、
前記ネットワークを流れる不正パケットを収集するパケット収集手段と、
前記パケット収集手段が収集した不正パケットの検出時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を作成し、前記トレースバック連携装置に送信するダイジェスト情報管理手段と、
を具備することを特徴とする
請求項1または2記載のパケット経路追跡システム。 - 前記トレースバック装置は、
前記ネットワークを介してデータの送受信を行なう通信手段と、
前記ネットワークを流れるパケットのうち、前記不正パケット検出センサに向かうパケットのみを収集するパケット収集手段と、
前記パケット収集手段が収集したパケットの中から前記不正パケットを検出した時刻、および、不正パケットのIPヘッダの中でルータを経由すると変化する部分に固定値を挿入して算出されたハッシュ値であるフットマーク値からなるダイジェスト情報を予め定められた期間記憶するダイジェスト情報管理手段と、
自機に記憶しているダイジェスト情報の中で前記トレースバック連携装置から受信した前記検索要求データに含まれるダイジェスト情報と同じフットマーク値が検出された場合は不正パケットの発信元が特定した旨を前記トレースバック連携装置に通知する検索手段と、
を具備することを特徴とする
請求項1〜3いずれかに記載のパケット経路追跡システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009175667A JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009175667A JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011030096A JP2011030096A (ja) | 2011-02-10 |
JP5190807B2 true JP5190807B2 (ja) | 2013-04-24 |
Family
ID=43638266
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009175667A Expired - Fee Related JP5190807B2 (ja) | 2009-07-28 | 2009-07-28 | パケット経路追跡システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5190807B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4167866B2 (ja) * | 2002-08-29 | 2008-10-22 | 富士通株式会社 | データ伝送方法、データ伝送システム及びデータ伝送装置 |
JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
JP4406660B2 (ja) * | 2007-10-01 | 2010-02-03 | 株式会社エヌ・ティ・ティ・データ | パケット追跡方法およびパケット追跡プログラム |
-
2009
- 2009-07-28 JP JP2009175667A patent/JP5190807B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011030096A (ja) | 2011-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2612488B1 (en) | Detecting botnets | |
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
JP2020515962A (ja) | Apt攻撃に対する防御 | |
KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
WO2014129587A1 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
JPWO2009041686A1 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US20090178140A1 (en) | Network intrusion detection system | |
JP2014099758A (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
JP5190807B2 (ja) | パケット経路追跡システム | |
KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
KR20100057723A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버 | |
KR101045556B1 (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
JP4235907B2 (ja) | ワーム伝播監視システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121029 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121101 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121211 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130120 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160208 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |