JP5659839B2 - 不正パケット抽出装置 - Google Patents

不正パケット抽出装置 Download PDF

Info

Publication number
JP5659839B2
JP5659839B2 JP2011026987A JP2011026987A JP5659839B2 JP 5659839 B2 JP5659839 B2 JP 5659839B2 JP 2011026987 A JP2011026987 A JP 2011026987A JP 2011026987 A JP2011026987 A JP 2011026987A JP 5659839 B2 JP5659839 B2 JP 5659839B2
Authority
JP
Japan
Prior art keywords
packet
network
illegal
packets
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011026987A
Other languages
English (en)
Other versions
JP2012169731A (ja
Inventor
俊輔 馬場
俊輔 馬場
和也 鈴木
和也 鈴木
英彦 和田
英彦 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2011026987A priority Critical patent/JP5659839B2/ja
Publication of JP2012169731A publication Critical patent/JP2012169731A/ja
Application granted granted Critical
Publication of JP5659839B2 publication Critical patent/JP5659839B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク内で通信される不正パケットを抽出する不正パケット抽出装置
に関する。
近年、遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、コンピュー
タウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を
行なったり、情報を外部に漏洩させたりする有害なソフトウェアによる感染被害が重大な
問題となっている。以下、コンピュータウイルス、ワーム、スパイウエアなどの悪意をも
ったソフトウェアを総称してマルウエアと呼ぶ。
このようなマルウエアに由来する通信を早期に発見して被害拡大に対処するために、各
企業においてはマルウエア対策が取られている。例えば、上位ネットワークと下位ネット
ワークとの境界にファイヤーウォールを設置し、このファイヤーウォールでログを取り込
んで、分析者がログを分析することでマルウエアに由来する「想定外の通信」を検出する
方法が広く行われている。
図10は、従来におけるファイヤーウォールのログ解析を行うためのログ解析用コンピ
ュータを備えたネットワークシステムの一例を示している。プラントネットワーク510
と上位ネットワーク520との境界にはファイヤーウォール500が設置されている。フ
ァイヤーウォール500は、ファイヤーウォール500を通過するログを取り、このログ
をメモリ502に保存する。ログ解析用PC504は、ファイヤーウォール500に接続
されており、メモリ502からログを読み出してファイヤーウォール500のログの分析
作業を行う。
図11は、従来におけるファイヤーウォールのログの分析を行う場合のフローチャート
を示している。なお、ログの分析作業では、ファイヤーウォールに到達した全てのパケッ
トを分析する必要があるので、ファイヤーウォールでは「通過パケット」および「廃棄パ
ケット」の両方を記録するようにログ機能の設定が行われる。
ステップS300で分析者は、一定期間が経過すると、ファイヤーウォールのログを一
行取り出す。そして、ステップS302で取り出したログが通過ログか否かを判断する。
ログが通過ログであると判断した場合にはステップS304に進み、ログが通過ログでな
いと判断した場合にはステップS306に進む。
ステップS304で分析者は、通過ログに対して対応するログがあるか否かを判断する
。対応する通過ログがあると判断した場合には、次の行のログを取り出し、上述したよう
な不正パケット抽出作業を行う。一方、通過ログに対して対応するログがないと判断した
場合には、この通過ログが想定外の通信である可能性が高いと判断する。
ログが通過ログでないと判断した場合には、ステップS306で分析者は、そのログが
廃棄ログであるかいなかを判断する。分析者は、ログが廃棄ログであると判断した場合に
は、このログが想定外の通信である可能性が高いと判断する。一方、廃棄ログでないと判
断した場合には、次の行のログを取り出し、上述したような不正パケット抽出作業を行う
。ステップS308では、ログが最後の行であるか否かを判断し、最後のログである場合
には一連の処理を終了し、最後のログでない場合にはステップS300に戻って上述した
ログの分析を行う。
このログ分析において、ファイヤーウォールが最低限必要な通信のみを正しく許可する
ような設定が行われている場合には、ファイヤーウォールのログに廃棄のログが出ていれ
ば、「想定外の通信」が発生したと判断できる。また、分析結果において、「通過ログ」
に対応するログが存在しない場合にも「想定外の通信」が発生したと判断できる。これは
、「通過パケット」に対して対応するパケットが存在しなければ、「通過パケット」がマ
ルウエアの由来による通信である可能性が高いからである。ここで、「対応」とは、クラ
イアントからサーバに向かうパケットと、サーバからクライアントに向かうパケットの通
信の対応を意味している。特に、あるPCのIPアドレスから、複数の通信先への通過ロ
グがあり、それに対応する通過ログがない場合、マルウエアからの通信と考えることがで
きる。
マルウエアに由来する「想定外の通信」としては、以下に示す(1)〜(8)が想定さ
れる。
(1)感染したPCと同一ネットワークにサービススキャンする。
(2)感染したPCと同一ネットワークに感染を広げるための通信を行う。
(3)感染したPCとは違うネットワークにサービススキャンする。
(4)感染したPCとは違うネットワークに感染を広げるための通信を行う。
(5)攻撃パケットを様々な宛先に送信する。
(6)インターネットのどこかに接続して、プログラムをダウンロードする。
(7)インターネットのどこかに接続して、指令を受ける。
(8)インターネットのどこかに情報を送信する。
また、他のマルウエアによる不正パケットの抽出方法として、ネットワークを流れるI
Pパケットを記憶部に記憶し、監視手段によりネットワークのIPパケットを監視し、侵
入パターンにより侵入検知し、転送手段に通知する侵入監視方法が提案されている(特許
文献1参照)。この侵入監視方法によれば、データ量が少なく、確実に侵入解析を行うこ
とができる。
特開2003−60712号公報
しかしながら、上記従来の不正パケット抽出装置や特許文献1等に開示される侵入監視
方法では、以下のような問題がある。
(1)特許文献1等に開示される侵入監視方法では、ファイヤーウォールで廃棄および通
過の両方のログを取る必要がある。そのため、両方のログを取らなければならないので、
ファイヤーウォールに負荷がかかるという問題がある。
(2)ファイヤーウォールのログの分析において、廃棄ログについては不正なログあるこ
とが容易に判断できるが、通過ログについては対応の確認を行う必要がある(対応作業)
。この対応作業には、通信の流れを組み立てて分析する必要があり、高い技能が要求され
るので、分析者の負担が増えてしまうという問題がある。
(3)ファイヤーウォールのログフォーマットは、ファイヤーウォールを提供するベンダ
毎に異なっているため、各ベンダ毎にログを解釈するアプリケーションを開発しなければ
ならず、高い開発コストがかかるという問題がある。
そこで、本発明は、上記課題に鑑みてなされたものであり、自動的に不正パケットを抽
出することが可能なパケット抽出装置を提供することを目的とする。
上記課題を解決するために、本発明に係る不正パケット抽出装置は、第1のネットワークで発生した不正パケットを抽出する不正パケット抽出装置において、前記第1のネットワークで通信されるパケットを取得し、取得した前記パケットを少なくとも前記第1のネットワークから第2のネットワークに向かうパケットのタイプを含む複数のタイプに分類するパケットキャプチャ部と、該パケットキャプチャ部により分類された前記パケットのうち前記第1のネットワークから前記第2のネットワークに向かう前記パケットが存在する場合に、該パケットに対応した応答パケットが存在するか否かを検査して判定を行うパケット検査部と、該パケット検査部により判定された前記パケットと、該パケットの前記応答パケットが存在するか否かの判定結果を示す判定情報とを対応付けて記憶する記憶部と、該記憶部に記憶されている前記パケットの前記判定情報に基づいて該パケットが不正パケットであるか否かを判定して出力するメモリ管理部とを備え、前記第1のネットワークから前記第2のネットワークに向かうパケットのうち、前記第1のネットワークと前記第2のネットワークとの境界部に設けられたファイヤーウォールで遮断されるパケットについては、そのファイヤーウォールでの遮断の結果として前記応答パケットが存在しないパケットとして前記パケット検査部により判定されることを特徴とする。
本発明において、不正パケットとは、「想定外の通信」を意味しており、ボット、スパ
イウエア、ワーム・ウイルスなどのマルウエアによりユーザの意思に関係なく行われる通
信や、設定ミスに由来する通信等を含むものである。具体的には、第1のネットワークか
ら第2のネットワークへ通信されるパケットに対して応答パケットの存在しない通信や、
第1のネットワークから第2のネットワークに向かい、ファイヤーウォールで遮断される
通信等が挙げられる。
本発明によれば、第1のネットワーク内で通信されるパケットを取得することで不正パ
ケットを自動的に抽出することができる。その結果、従来のようにファイヤーウォールの
ログ解析作業をする必要がなくなるので、作業負担の軽減を図ることができると共に、開
発の低コスト化を図ることができる。
本発明の一実施形態に係るネットワークシステムの概略構成例を示す図である。 パケット抽出装置のブロック構成例を示す図である。 ファイヤーウォールとの関係によりパケットを分類した場合の説明図である。 パケット情報用メモリの構成例を示す図である。 パケットキャプチャ部の動作例を示すフローチャートである。 パケット検出部の動作例を示すフローチャートである。 リングバッファを説明するための図である(その1)。 リングバッファを説明するための図である(その2)。 本発明の応用例に係るネットワークシステムの概略構成を示す図である。 従来におけるファイヤーウォールのログ解析を行うためのログ解析用コンピュータを備えたネットワークシステムの構成例を示す図である。 従来におけるログ解析用コンピュータを備えたネットワークシステムの動作例を示すフローチャートである。
以下、発明を実施するための最良の形態(以下実施の形態とする)について説明する。
[ネットワークシステムの構成例]
図1は、本発明に係るネットワークシステム200の構成の一例について説明する。図
1に示すように、ネットワークシステム200は、上位ネットワーク(第2のネットワー
ク)60と下位ネットワーク(第1のネットワーク)70とファイヤーウォール20とス
イッチ30と複数のコンピュータ50a,50bと不正パケット抽出装置10とを備えて
いる。
上位ネットワーク60は、下位ネットワーク70のデフォルトゲートウェイの先の外部
ネットワークである。下位ネットワーク70は、例えば組織内のイントラネットである。
下位ネットワーク70内には、スイッチ30と複数のコンピュータ50a,50bと不正
パケット抽出装置10とが設置されている。
ファイヤーウォール20は、上位ネットワーク60と下位ネットワーク70との境界部
に設置され、一端が上位ネットワーク60に接続されると共に他端がスイッチ30の例え
ば通信ポート30aに接続され、上位ネットワーク60から下位ネットワーク70に向か
うパケットおよび下位ネットワーク70から上位ネットワーク60に向かうパケットを監
視して不正なパケットを検出・遮断する。例えば、ファイヤーウォール20は、宛先や送
信元のIPアドレス、ポート番号などを監視し、予め設定した条件によって、その通信を
受け入れる、廃棄する、拒否する等の動作によりパケット通信を制御する。なお、本例に
おいてファイヤーウォール20は、ルーティング機能を備えているものとする。
スイッチ30は、コンピュータ50a,50bや上位ネットワーク60から供給される
パケットのスイッチング制御等を行うものであり、複数の通信ポート30a〜30dとミ
ラーポート30eとを有している。ミラーポート30eは、ネットワーク監視用のポート
であり、スイッチ30の通常の通信ポート30a〜30dを通過する全てのパケット(デ
ータ)を複製して、ミラーポート30eに接続される不正パケット抽出装置10に供給す
る。なお、スイッチ30の通信ポート30bにはプラントネットワークが接続される。
コンピュータ50aは、スイッチ30の例えば通信ポート30cに接続され、スイッチ
30およびファイヤーウォール20を介して上位ネットワーク60や下位ネットワーク内
のコンピュータ50b、ファイヤーウォール20等と双方向のパケット通信を行う機能を
有する。コンピュータ50bはコンピュータ50aと同様の構成であるため、説明を省略
する。
不正パケット抽出装置10は、スイッチ30のミラーポート30eにLAN等のケーブ
ルを介して接続され、スイッチ30を通過する全てのパケットを検査することにより下位
ネットワーク70内に流れる「想定外の通信(不正パケットを含む)」を検出する。
[不正パケット抽出装置の構成例]
図2は、不正パケット抽出装置10のブロック構成の一例を示している。図2に示すよ
うに、不正パケット抽出装置10は、パケットキャプチャ部100とパケット検査部10
2とメモリ管理部104とパケット情報用メモリ106とログ用メモリ108とを備えて
いる。これらのパケットキャプチャ部100、パケット検査部102およびメモリ管理部
104は、例えばCPU(Central Processing Unit)等の演算処理回路から構成できる
パケットキャプチャ部100は、スイッチ30のミラーポート30eから入力されるト
ラフィックとしてのパケットを取得して、取得したパケットのヘッダのIPアドレスやM
ACアドレスを検査することで、ファイヤーウォール20との通信方向の関係において複
数のタイプに分類する。このように、下位ネットワーク70で通信される全てのパケット
を複数のタイプに分類することで、「想定外の通信」に該当するパケット候補を抜き出す
処理を行う。また、パケットキャプチャ部100は、分類したパケットと、このパケット
の分類結果とを対応づけてパケット検査部102に出力する。
ここで、パケットのタイプについて説明する。図3A〜図3Fは、ファイヤーウォール
20との関係におけるパケットのタイプを説明するための図である。ファイヤーウォール
20には、下位ネットワーク70側のNIC20aと上位ネットワーク60側のNIC2
0bとが設けられる。
パケットのタイプは、図3A〜図3Fおよび下記表1に示すように、例えば6タイプに
分類される。
Figure 0005659839
第1のタイプT1は、図3Aおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークへの通信である。第1のタイプT1に分類されるパケ
ットをパケットP1と呼ぶ。第2のタイプT2は、図3Bおよび表1に示すように、上位
ネットワークから、プラントネットワークまたはコンピュータ群への通信である。第2の
タイプT2に分類されるパケットをパケットP2と呼ぶ。第3のタイプT3は、図3Cお
よび表1に示すように、プラントネットワークとスイッチに接続されたコンピュータ群、
および、コンピュータ群同士の通信である。第3のタイプT3に分類されるパケットをパ
ケットP3と呼ぶ。
第4のタイプT4は、図3Dおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(ブロック)さ
れる通信である。第4のタイプT4に分類されるパケットをパケットP4と呼ぶ。第5の
タイプT5は、図3Eおよび表1に示すように、ファイヤーウォール自身への通信である
。第5のタイプT5に分類されるパケットをパケットP5と呼ぶ。第6のタイプT6は、
図3Fおよび表1に示すように、ファイヤーウォール自身からの通信である。第6のタイ
プT6に分類されるパケットをパケットP6と呼ぶ。
ここで、「想定外の通信」としては、コンピュータ群から上位ネットワークに通信(送
信)されるタイプT1のパケットP1のうち対応した返信パケットが存在しないパケット
、および、コンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(
ブロック)されるタイプT4のパケットP4が該当する。本例では、分類結果により、「
想定外の通信」の候補となるタイプT1のパケットP1とタイプT4のパケットP4とが
混在してしまう。そのため、これらの中から「想定外の通信」を分離するために、タイプ
T1、タイプT2およびタイプT4のパケットPをパケット検査部102に出力する。
図2に戻り、パケット検査部102は、パケットキャプチャ部100で分類されて入力
される「想定外の通信」の候補となるパケットのオブジェクトを作成する。そして、この
作成したオブジェクトのうち下位ネットワーク70から上位ネットワーク60に向かうパ
ケットに対応した応答パケットが存在しないものをパケット情報用メモリ106の対応判
定用オブジェクトを参照して検査し、その検査結果をパケット情報用メモリ106に書き
込む処理を行う。これにより、パケットキャプチャ部100から入力されるタイプ1とタ
イプ4の混在した結果から、タイプ1のパケットP1に対応するタイプ2のパケットP2
が存在しないものを探すことで、「想定外の通信」を検索できる。
ここで、入力パケットデータのオブジェクトは、「パケットそのもの」と「判定結果」
とを有している。「パケットそのもの」は、「パケットの向き」、「送信元IPアドレス
」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および「プロトコル
種別」等のパケット情報で構成される。「判定結果」は、タイプT1のパケットP1に対
応するタイプT2のパケットP2が存在する場合には「対応」を示す情報となり、存在し
ない場合には「非対応」を示す情報となる。本例では、初期値を「非対応」に設定してい
る。
対応判定用オブジェクトとは、タイプT1に分類された入力パケットP1に対応するパ
ケットが存在するか否かを判定する際に用いられるパケットであり、例えば、パケットキ
ャプチャ部100から入力されるタイプT1のパケットP1、タイプT2のパケットP2
およびタイプT4のパケットP4が対応判定用オブジェクトの対象となる。対応判定用オ
ブジェクトは、入力パケットPのオブジェクトと同様に、「パケットの向き」、「送信元
IPアドレス」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および
「プロトコル種別」等のパケット情報で構成される。
パケット情報用メモリ106は、例えば、不揮発性の半導体メモリやHDD(Hard Dis
k Drive)等から構成されている。図4は、パケット情報用メモリ106の構成の一例を
示している。パケット検査部102で作成されたパケットデータのオブジェクトや、対応
判定用オブジェクト等のパケット情報を格納するための複数個のメモリ106a〜106
gを有している。本例では7個のメモリ106a〜106gで構成したが、この個数に限
定されるものではない。メモリ106a〜106gのそれぞれには、入力されるパケット
のオブジェクトが格納されるパケットデータオブジェクト部Maと、対応判定用オブジェ
クトが格納される対応判定用オブジェクト部Mbとが設けられている。
ログ用メモリ108は、例えば不揮発性の半導体メモリやHDD等から構成され、メモ
リ管理部104の書き込み制御によりパケット情報用メモリ106から出力される「想定
外の通信が検出された」と判定されたパケットデータのオブジェクトを格納する。ユーザ
またはコンピュータ等の情報処理装置は、このログ用メモリ108に格納されたパケット
を確認することにより、下位ネットワーク70内で「想定外の通信」が発生したことを確
認できる。なお、ログ用メモリ108は、パケット情報用メモリ106内に設けても良い
メモリ管理部104は、パケット情報用メモリ106およびログ用メモリ108を管理
するための装置であり、パケット情報用メモリ106のメモリ106a〜106gをポイ
ンタを用いたリングバッファによりメモリ管理する(図7参照)。例えば、メモリ管理部
104は、N秒間隔で、パケット情報を書き込むメモリおよびパケット情報を削除(読み
出す)するメモリを移動し、パケット情報用メモリ106のうち一番古いメモリが削除さ
れる時間がきたとき、このメモリ内の判定結果を確認し、「非対応」なっているパケット
を「想定外の通信が検出された」という判定にしてログ用メモリ108に出力する。
[パケットキャプチャ部の動作例]
次に、パケットキャプチャ部100の動作の一例について説明する。図5は、パケット
キャプチャ部100が入力パケットのタイプを分類するときの動作の一例を示すフローチ
ャートである。下記表2は、図5で使用している記号とその意味の対応関係を示している
Figure 0005659839
図5に示すように、ステップS100でパケットキャプチャ部100は、スイッチ30
を介して入力されたパケットPのヘッダを検査し、入力パケットの送信元MACアドレス
がファイヤーウォール20のNIC20bのMACアドレスと一致しているか否かを判断
する。パケットキャプチャ部100は、入力パケットの送信元MACアドレスがファイヤ
ーウォール20のMACアドレスと一致していると判断した場合にはステップS110に
進み、一致していないと判断した場合にはステップS120に進む。
ステップS110でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信元IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信元IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプT6に分類する。一方、入力パケットの送信元IPアド
レスがファイヤーウォール20のIPアドレスと一致していないと判断した場合には、入
力パケットをタイプT2に分類する。
送信元MACアドレスとファイヤーウォール20のMACアドレスが不一致であると判
断した場合、パケットキャプチャ部100は、ステップS120で送信先MACアドレス
がファイヤーウォール20のMACアドレスと一致しているか否かを判断する。パケット
キャプチャ部100は、送信先MACアドレスがファイヤーウォール20のMACアドレ
スと一致していると判断した場合にはステップS130に進み、送信先MACアドレスが
ファイヤーウォール20のMACアドレスと一致していないと判断した場合には入力パケ
ットをタイプT3に分類する。
ステップS130でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信先IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信先IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプ5に分類する。一方、入力パケットの送信先IPアドレ
スがファイヤーウォール20のIPアドレスと一致していない判断した場合には、入力パ
ケットをタイプT1またはT4に分類する。
このように、ファイヤーウォール20のIPアドレス、MACアドレスとファイヤーウ
ォール20のIPアドレス、MACアドレスとによりパケットのヘッダを検査して行くと
、パケットのタイプT2,T3,T5,T6は容易に分離できる。また、パケットのタイ
プT1,T4については混在した結果が得られる。そのため、以下のパケット検査部10
2では、パケットのタイプT1,T4が混在した結果から、タイプT1に対応するタイプ
T2が存在しないものを探すことで、「想定外の通信」を特定する。パケットのタイプT
4については、ファイヤーウォール20で遮断されるので、対応するパケットが存在しな
いことは明らかであるからである。したがって、本例では、混在した結果から「想定外の
通信」を抜き出すため、6分類したパケットのタイプのうち例えばタイプT1,T2,T
4に分類されたパケットP1、P2,P4をパケット検査部102に出力する。
[パケット検査部の動作例]
次に、パケット検査部102の動作の一例について説明する。図6は、パケットキャプ
チャ部100から入力されるパケットのうち、「想定外の通信」のパケットを検出する際
のパケット検査部102の動作の一例を示すフローチャートである。
図6に示すように、ステップS200でパケット検査部102は、パケットキャプチャ
装置から入力されたパケットから、パケットデータのオブジェクトを作成する。例えば、
パケット検査部102は、パケットキャプチャ部100から「想定外の通信」の候補とな
るパケットP1,P2,P4が入力されると、これらのパケットP1,P2,P4のオブ
ジェクトを作成する。
ステップS210でパケット検査部102は、入力されたパケットのオブジェクトに関
連した対応判定用オプジェクトを、パケット情報用メモリ106のメモリ106a〜10
6gの中から検索する。ここで、入力パケットのオブジェクトの内容と対応判定用オブジ
ェクトの内容の一例を下記表3に示す。
Figure 0005659839
また、表3のパケットの向きについての詳細を下記表4に示す。表4は、ファイヤーウ
ォール20のNIC20bのMACアドレス使用したパケットの向きの判定方法を示して
いる。
Figure 0005659839
パケット検査部102は、入力されたパケットのオブジェクトに対して、下記表5に示
す条件Aまたは条件Bの関係を満たす対応判定用オブジェクトをパケット情報用メモリ1
06のメモリ106a〜106gの中から検索する。
Figure 0005659839
条件Aとは、表5に示すように、2つのパケットが同じセッションで同じ向きの関係に
ある場合であり、例えば、下位ネットワーク70から上位ネットワーク60に送信される
パケットが何らかの障害により中断した場合に、同一パケットが再送信されるようなパケ
ットを含んでいる。条件Bとは、表5に示すように、2つのパケットが同じセッションで
対応関係にある(反対向きにある)場合であり、例えば、下位ネットワーク70から上位
ネットワーク60に送信されるパケットに応答して、上位ネットワーク60から下位ネッ
トワーク70に向かう返信パケットである。
ステップS220でパケット検査部102は、検索結果に基づいて、入力されたパケッ
トのオブジェクトに関連する対応判定用オブジェクトが、パケット情報用メモリ106の
メモリ106a〜106gの中に存在するか否かを判断する。本例では、例えば、タイプ
1のパケットP1、タイプ4のパケットP4が表5の条件A、条件Bの条件を満たすもの
とする。パケット検査部102は、入力パケットのオブジェクトに関連する対応判定用オ
ブジェクトがパケット情報用メモリ106に存在すると判断した場合にはステップS23
0に進み、入力パケットのオブジェクトに関連する対応判定用オブジェクトがパケット情
報用メモリ106に存在しないと判断した場合にはステップS280に進む。
関連する対応判定用オブジェクトが存在しない場合、ステップS280でパケット検査
部102は、対応判定用のオブジェクトを作成する。例えば、パケット検査部102は、
パケットキャプチャ部100から入力されるパケットP1,P2,P4の対応判定用オブ
ジェクトを作成する。この対応判定用オブジェクトは、表3に示したパラメータを有して
いる。対応判定用のオブジェクトを作成したらステップS290に進む。
ステップS290でパケット検査部102は、作成した対応判定用のオブジェクトを、
パケット情報用メモリ106のメモリ106a〜106gのうちリングバッファで管理さ
れる最新のメモリに書き込む。対応判定用オブジェクトをパケット情報用メモリ106に
書き込んだらステップS270に進む。
一方、関連する対応判定用オブジェクトが存在する場合、ステップS230でパケット
検査部102は、入力パケットのオブジェクトに関連する対応判定用オブジェクトをパケ
ット情報用メモリ106のメモリ106a〜106gのうち最新のメモリに移動する。こ
れは、パケット情報用メモリ106がリングバッファにより管理されるため、古いメモリ
から所定時間おきにデータが削除されてしまうからである。対応判定用オブジェクトの移
動が完了したらステップS240に進む。
ステップS240でパケット検査部102は、入力されたパケットのオブジェクトと、
対応判定用オブジェクトとの対応関係が成立するか否かを検査する。パケット検査部10
2は、入力されたパケットと対応判定用オブジェクトに関して、表5中の条件Bが成立す
るか否かを検査する。すなわち、入力されたパケットのオブジェクトがタイプT1のパケ
ットP1であって、かつ、対応判定用オブジェクトがタイプT2のパケットP2であるか
否かを検査する。検査が終了したらステップS250に進む。
ステップS250でパケット検査部102は、検査結果に基づいて、入力されたパケッ
トのオブジェクトと対応判定用オブジェクトとの対応関係が成立するか否かを判断する。
パケット検査部102は、入力されたパケットのオブジェクトに対応する対応判定用オブ
ジェクトが存在する、つまり、表5の条件Bを満たしていると判断した場合にはステップ
S260に進む。例えば、入力されたパケットP1でこれに対応するパケットP2が存在
した場合である。一方、入力されたパケットのオブジェクトに対応する対応判定用オブジ
ェクトが存在しない、つまり、表5の条件Bを満たしていないと判断した場合にはステッ
プS270に進む。
対応関係が成立すると判断した場合、ステップS260でパケット検査部102は、入
力されたパケットのオブジェクトの「判定結果」の項目内容を更新する。具体的には、こ
の場合のパケットは「想定外の通信」ではないので、判定結果の項目内容を初期値の「非
対応」から「対応」に書き換えて更新する。同様に、入力されたパケットと表3に示す同
じパラメータを有するパケット情報用メモリ106の全てのパケットについても、判定結
果を更新する。判定結果の項目内容を更新したらステップS270に進む。
最後に、ステップS270でパケット検査部102は、オンジェクトの存在や対応関係
の成立が判断された入力パケットを、パケット情報用メモリ106のメモリ106a〜1
06gの最新のメモリに書き込む。例えば、対応関係が成立した入力パケットP1のオブ
ジェクトについては判定結果が「対応」とされたオブジェクトが保存され、対応関係が成
立していない入力パケットP1,P4のオブジェクトについては判定結果が初期値の「非
対応」のままのオブジェクトが保存される。このような一連の動作により、タイプ1とタ
イプ4とが混在した状態から、タイプ1に対応するタイプ2が存在するものを検出するこ
とができ、その結果、「想定外の通信」のパケットを抽出することができる。
[メモリ管理部の動作例]
次に、パケット情報用メモリ106を管理する場合のメモリ管理部104の動作の一例
について説明する。図7および図8は、パケット情報用メモリ106のリングバッファの
動作を説明するための図を示している。なお、本例では、メモリ106cに書き込みポイ
ンタを設定すると共にメモリ106bに読み込みポインタを設定している。したがって、
メモリ106cに書き込まれるデータが最も新しいパケットデータであり、メモリ106
bに書き込まれるデータが最も古いパケットデータとなる。
メモリ管理部104は、書き込みポインタが設定されているメモリ106cに、パケッ
トデータオブジェクトおよび対応判定用オブジェクトを、N(正の整数)秒間書き込む。
例えば、メモリ管理部104は、パケット検査部102からパケットデータが供給された
場合に、メモリ106cにパケットデータを書き込む。そして、N秒間が経過したら、図
7に示す反時計回り方向に隣接したメモリ106bに書き込みポインタを移動し、N秒間
、パケットデータのオブジェクトおよび対応判定用オブジェクトをメモリ106b(図8
の点線部)に書き込む。このような書き込み処理をN秒間隔で行う。
一方、メモリ管理部104は、読み込みポインタが設定されたメモリ106bに保存さ
れているパケットデータのオブジェクトに関して、「判定結果」を確認する。そして、メ
モリ管理部104は、判定結果が「非対応」となっているパケットデータのオブジェクト
を読み出し、この読み出したパケットデータのオブジェクトについては「想定外の通信が
検出された」という判定にしてログ用メモリ108に記録する。N秒間が経過したら、メ
モリ106cの保存期間が経過したと判断してメモリ106b内のデータを削除すると共
に、図7に示す反時計回りに隣接したメモリ106aに読み込みポインタが移動してこの
メモリ106a内の入力オブジェクト内の判定結果を確認する。このような処理を上記書
き込みポインタの処理と同期してN秒毎に行う。
以上説明したように、本実施の形態によれば、下位ネットワーク70をパケットキャプ
チャ部100によりキャプチャするだけで、「想定外の通信」に該当するか否かの対応関
係を自動的に分析できるようになる。これにより、従来のように、ファイヤーウォール2
0のログを分析する作業を省略できるので、作業の効率化を図ることができる。また、既
設のファイヤーウォールを改良する必要も無いので、ファイヤーウォール20の性能に影
響を与えることなく、不正パケットを抽出することができる。さらに、不正パケット抽出
装置10が自動的に不正パケットを判定するので、高い技能が不要であると共に、低コス
トで不正パケットの監視を行うことができる。
[応用例]
上記実施の形態では、ファイヤーウォールの設定やログに頼らずに、組織内から上位ネ
ットワークへの想定されない通信を抽出する方法について説明したが、応用例として、イ
ンターネット観測用のセンサが考えられる。インターネットに接続された端末ノードで、
インターネットからのスキャンを観測したようとする場合、観測専用の回線を確保して、
スキャンの様子を観測するのが一般的である。実利用されている実ネットワークを使って
観測する場合は、ファイヤーウォールのドロップログをとり、インターネットからのパケ
ットでドロップされたものを集める方法がある。
しかし、ファイヤーウォールのドロップログを収集するには、ファイヤーウォールの性
能に与える影響に関する説明、ログ収集の仕組みの構築、ログの内容を解釈する仕組みの
構築等を実行する必要がある。また、組織の壁や予算等の問題も大きい。そこで、本発明
の不正パケット抽出装置10を適用することで、インターネットからの不正アクセスの抽
出を効率的に行うことができる。
図9は、実ネットワークを使用したインターネットの観測に本発明の不正パケット抽出
装置10を適用したネットワークシステムの図である。不正パケット抽出装置10は、イ
ンターネット公開用ネットワーク300でインターネット400からのトラフィック(パ
ケット)を観測する。このとき、一般ユーザ402がアドレスDの公開されているFTP
サーバ302にアクセスするために行っている正しい通信と、攻撃者404がサーバの存
在しない、例えばアドレスAのPC308やアドレスBのPC306をスキャンしている
ものとを分離する必要がある。本発明の不正パケット抽出装置10の技術を使うことで、
一般ユーザ402からのトラフィックは対応のあるパケットに分類できるので、正常な通
信と判定できる。一方、攻撃者404からのトラフィックは、対応のないものに分類でき
るので、想定外の通信(不正パケット)であると判断できる。
なお、本発明の技術範囲は、上述した実施形態に限定されるものではなく、本発明の趣
旨を逸脱しない範囲において、上述した実施形態に種々の変更を加えたものを含む。
10 不正パケット抽出装置
20 ファイヤーウォール
60 上位ネットワーク
70 下位ネットワーク
100 パケットキャプチャ部
102 パケット検査部
104 メモリ管理部
106 パケット情報用メモリ

Claims (5)

  1. 第1のネットワークで発生した不正パケットを抽出する不正パケット抽出装置において、
    前記第1のネットワークで通信されるパケットを取得し、取得した前記パケットを少なくとも前記第1のネットワークから第2のネットワークに向かうパケットのタイプを含む複数のタイプに分類するパケットキャプチャ部と、
    該パケットキャプチャ部により分類された前記パケットのうち前記第1のネットワークから前記第2のネットワークに向かう前記パケットが存在する場合に、該パケットに対応した応答パケットが存在するか否かを検査して判定を行うパケット検査部と、
    該パケット検査部により判定された前記パケットと、該パケットの前記応答パケットが存在するか否かの判定結果を示す判定情報とを対応付けて記憶する記憶部と、
    該記憶部に記憶されている前記パケットの前記判定情報に基づいて該パケットが不正パケットであるか否かを判定して出力するメモリ管理部と
    を備え
    前記第1のネットワークから前記第2のネットワークに向かうパケットのうち、前記第1のネットワークと前記第2のネットワークとの境界部に設けられたファイヤーウォールで遮断されるパケットについては、そのファイヤーウォールでの遮断の結果として前記応答パケットが存在しないパケットとして前記パケット検査部により判定されることを特徴とする不正パケット抽出装置。
  2. 前記記憶部は、前記パケットキャプチャ部により分類された前記パケットを、前記応答パケットが存在するか否かを検査する際に用いる対応判定用パケットとして記憶し、
    前記パケット検査部は、前記第1のネットワークから前記第2のネットワークに向かう前記パケットに対応する前記応答パケットが存在するか否かを、前記記憶部に記憶されている前記対応判定用パケットを検索することにより検査する
    ことを特徴とする請求項1に記載の不正パケット抽出装置。
  3. 前記パケット検査部は、前記応答パケットが存在しない場合には前記第1のネットワークから前記第2のネットワークに向かう前記パケットの前記判定情報を非対応として前記記憶部に記憶し、前記対応パケットが存在する場合には前記第1のネットワークから前記第2のネットワークに向かう前記パケットの前記判定情報を対応として前記記憶部に記憶し、
    前記メモリ管理部は、前記記憶部に記憶されている前記パケットの前記判定情報が非対応である場合には該パケットを不正パケットであると判定する
    ことを特徴とする請求項1または請求項2に記載の不正パケット抽出装置。
  4. 前記不正パケットは、前記第1のネットワークから前記第2のネットワークに通信されるパケットと、前記第1のネットワークと前記第2のネットワークとの境界部に設けられたファイヤーウォールで遮断されるパケットである
    ことを特徴とする請求項3に記載の不正パケット抽出装置。
  5. 前記記憶部は、複数のメモリを有し、
    前記メモリ管理部は、前記複数のメモリをリングバッファにより管理し、前記複数のメモリで一番古いメモリに格納されている前記パケットの前記判定情報を確認して記パケットを不正パケットであるか否かを判定する
    ことを特徴とする請求項1から請求項4の何れか一項に記載の不正パケット抽出装置。
JP2011026987A 2011-02-10 2011-02-10 不正パケット抽出装置 Active JP5659839B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011026987A JP5659839B2 (ja) 2011-02-10 2011-02-10 不正パケット抽出装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011026987A JP5659839B2 (ja) 2011-02-10 2011-02-10 不正パケット抽出装置

Publications (2)

Publication Number Publication Date
JP2012169731A JP2012169731A (ja) 2012-09-06
JP5659839B2 true JP5659839B2 (ja) 2015-01-28

Family

ID=46973481

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011026987A Active JP5659839B2 (ja) 2011-02-10 2011-02-10 不正パケット抽出装置

Country Status (1)

Country Link
JP (1) JP5659839B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9667656B2 (en) * 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
CN107735987A (zh) * 2015-06-02 2018-02-23 三菱电机大楼技术服务株式会社 中继装置、网络监视系统和程序
CN114039708A (zh) * 2021-11-17 2022-02-11 西门子(中国)有限公司 起重机远程控制的通信方法、装置和计算机可读介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2004164107A (ja) * 2002-11-11 2004-06-10 Kddi Corp 不正アクセス監視システム

Also Published As

Publication number Publication date
JP2012169731A (ja) 2012-09-06

Similar Documents

Publication Publication Date Title
JP5557623B2 (ja) 感染検査システム及び感染検査方法及び記録媒体及びプログラム
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
JP4662944B2 (ja) 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP5440973B2 (ja) コンピュータ検査システム、コンピュータ検査方法
US20060083180A1 (en) Packet analysis system
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
CN106133742B (zh) 确定装置、确定方法以及确定程序
JP6122562B2 (ja) 特定装置、特定方法および特定プログラム
US20160337385A1 (en) Network monitoring method and network monitoring device
JP5659839B2 (ja) 不正パケット抽出装置
JP2014123996A (ja) ネットワーク監視装置及びプログラム
CN104504338A (zh) 标识、采集、统计病毒传播途径的方法及装置
JP2005323322A (ja) ログ情報の蓄積および解析システム
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
JP2019186686A (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
JP7111249B2 (ja) 分析システム、方法およびプログラム
WO2021156966A1 (ja) 分析システム、方法およびプログラム
JP2014089609A (ja) プログラム解析方法およびプログラム解析システム
JP4235907B2 (ja) ワーム伝播監視システム
KR100632204B1 (ko) 네트워크 상의 공격 탐지 장치 및 그 방법
JP4887081B2 (ja) 通信監視装置、通信監視方法およびプログラム
JP4687978B2 (ja) パケット解析システム
JP7215571B2 (ja) 検知装置、検知方法および検知プログラム
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム
JP7405162B2 (ja) 分析システム、方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140723

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140805

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141117

R150 Certificate of patent or registration of utility model

Ref document number: 5659839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150