JP6101525B2 - 通信制御装置、通信制御方法、通信制御プログラム - Google Patents
通信制御装置、通信制御方法、通信制御プログラム Download PDFInfo
- Publication number
- JP6101525B2 JP6101525B2 JP2013056839A JP2013056839A JP6101525B2 JP 6101525 B2 JP6101525 B2 JP 6101525B2 JP 2013056839 A JP2013056839 A JP 2013056839A JP 2013056839 A JP2013056839 A JP 2013056839A JP 6101525 B2 JP6101525 B2 JP 6101525B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- attacking
- packet
- communication
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 231
- 238000000034 method Methods 0.000 title claims description 31
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 230000005540 biological transmission Effects 0.000 claims description 183
- 238000012544 monitoring process Methods 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 36
- 230000000903 blocking effect Effects 0.000 claims description 22
- 230000003362 replicative effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 238000012546 transfer Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、不正な通信に対する対策を行う技術に関する。
ネットワークを介して接続されたコンピュータ端末等の通信装置にアクセスし、不正に情報を取得することを試みる攻撃が存在する。例えば、企業等の組織の内部LAN(Local Area Network)等に接続された通信装置に外部のネットワークから情報を送信し、その応答によって内部LANの状況や通信装置の情報等を不正に解析するなどの攻撃が考えられる。このような攻撃への対策として、例えば内部LANに囮となる通信装置を用意してその通信装置に攻撃させ、そこに攻撃してくる通信を解析したり、内部LAN内の重要な部分に攻撃させないように目を逸らせたりするハニーポットなどともよばれる手法が存在する(例えば、特許文献1参照)。
しかしながら、上述のような手法は、外部から内部へのアクセスに対する対策としてはある程度有効であるものの、内部から外部へのアクセスについての対策にはならない。例えば、内部LAN内の通信装置にスパイウェアのような不正プログラムをインストールさせ、その不正プログラムによって内部の通信装置から外部にアクセスさせるような攻撃に対しては、上述のような手法をそのまま適用することはできない。また近年では、このような不正プログラムは、内部LANの情報を一度に外部に対して送信するのではなく、一見すると通常の通信であるような送信情報を、長期間に亘って外部に送信し続けるような攻撃も存在する。そこで、このように内部の通信装置から外部に対して意図しない送信情報が送信されることに対する有効な対策を行うことが望ましい。
本発明は、このような状況に鑑みてなされたもので、不正な通信に対する対策を行う通信制御装置、通信制御方法、通信制御プログラムを提供する。
上述した課題を解決するために、本発明の一態様は、ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得する送信情報監視部と、前記送信情報監視部が取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報のパケットを複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成する疑似情報生成部と、前記疑似情報生成部が生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信する疑似情報送信部と、を備えることを特徴とする通信制御装置である。
また、本発明の一態様は、前記被攻撃側コンピュータ装置と前記攻撃側コンピュータ装置との通信を遮断する通信遮断部と、応答情報受信部とを備え、前記疑似情報送信部は、所定の条件を満たすと判定された場合に、前記通信遮断部が前記被攻撃側コンピュータ装置と前記攻撃側コンピュータ装置との通信を遮断させた後に、前記疑似情報のパケットを前記攻撃側コンピュータ装置に送信し、前記応答情報受信部は、前記疑似情報のパケットに対する前記攻撃側コンピュータ装置からの応答を受信する。
また、本発明の一態様は、通信制御装置が、
ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得するステップと、取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報のパケットを複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成するステップと、生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信するステップと、を備えることを特徴とする通信制御方法である。
ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得するステップと、取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報のパケットを複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成するステップと、生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信するステップと、を備えることを特徴とする通信制御方法である。
また、本発明の一態様は、通信制御装置のコンピュータに、ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得するステップと、取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報を複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成するステップと、生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信するステップと、を実行させる通信制御プログラムである。
以上説明したように、本発明によれば、通信制御装置が、ネットワークを介して接続された第1のコンピュータ装置を宛先として第2のコンピュータ装置が送信する送信情報を取得する送信情報監視部と、送信情報監視部が取得した送信情報が、所定の条件を満たすと判定された場合に、送信情報を複製した疑似情報を生成する疑似情報生成部と、疑似情報生成部が生成した疑似情報を、第1のコンピュータ装置を宛先として送信する疑似情報送信部と、を備えるようにしたので、不正な通信に対する対策を行うことができる。
以下、本発明の一実施形態について、図面を参照して説明する。
<第1の実施形態>
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による通信制御装置30の構成を示すブロック図である。通信制御装置30は、ネットワーク機器15を介して、第2のコンピュータ装置である被攻撃側コンピュータ装置10と、第1のコンピュータ装置である攻撃側コンピュータ装置20とに接続されている。
<第1の実施形態>
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による通信制御装置30の構成を示すブロック図である。通信制御装置30は、ネットワーク機器15を介して、第2のコンピュータ装置である被攻撃側コンピュータ装置10と、第1のコンピュータ装置である攻撃側コンピュータ装置20とに接続されている。
被攻撃側コンピュータ装置10は、通信制御装置30による監視対象のコンピュータ装置である。被攻撃側コンピュータ装置10は、例えば、企業等の組織内の内部LANに接続されているPC(Personal computer)である。ここでは、一台の被攻撃側コンピュータ装置10を図示して説明するが、内部LANには複数台の被攻撃側コンピュータ装置10が接続されていてよく、通信制御装置30は複数台の被攻撃側コンピュータ装置10を監視対象としてよい。またここでは、被攻撃側コンピュータ装置10には、何らかの方法により不正プログラムがインストールされており、その不正プログラムは、インターネット等のネットワーク5を介して接続された攻撃側コンピュータ装置20を宛先として送信情報を送信する。
ネットワーク機器15は、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信経路上の転送装置である。ネットワーク機器15としては、例えば、スイッチングハブやルータ等が適用できる。例えば、ネットワーク機器15は、被攻撃側コンピュータ装置10が接続されている内部LANと、攻撃側コンピュータ装置20が接続されている外部のネットワーク5とを接続する。
攻撃側コンピュータ装置20は、不正プログラムがインストールされた被攻撃側コンピュータ装置10からネットワーク5を介して送信される送信情報を受信して、被攻撃側コンピュータ装置10や、被攻撃側コンピュータ装置10が接続される内部LAN等についての情報を不正に取得しようとするコンピュータ装置である。
通信制御装置30は、送信情報監視部31と、不審通信判定部32と、疑似情報生成部33と、疑似情報送信部34と、応答情報受信部35とを備えている。
送信情報監視部31は、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20を宛先として送信する送信情報を取得する。例えば、送信情報監視部31は、ネットワーク機器15から、攻撃側コンピュータ装置20に対して転送される送信情報を取得する。送信情報監視部31が送信情報を取得する方法と、その方法を用いた際の通信制御装置30の配置の例としては、以下(A1)、(A2)、(A3)の3つが考えられる。
送信情報監視部31は、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20を宛先として送信する送信情報を取得する。例えば、送信情報監視部31は、ネットワーク機器15から、攻撃側コンピュータ装置20に対して転送される送信情報を取得する。送信情報監視部31が送信情報を取得する方法と、その方法を用いた際の通信制御装置30の配置の例としては、以下(A1)、(A2)、(A3)の3つが考えられる。
(A1)被攻撃側コンピュータ装置10が送信情報監視部31に情報を転送する機能を持つ方法。
例えば、被攻撃側コンピュータ装置10にパケット転送アプリをインストールしておき、送信情報監視部31に情報を転送する機能を持つ方法である。
この場合、ネットワーク内での通信制御装置30の配置に制限はない。
例えば、被攻撃側コンピュータ装置10にパケット転送アプリをインストールしておき、送信情報監視部31に情報を転送する機能を持つ方法である。
この場合、ネットワーク内での通信制御装置30の配置に制限はない。
(A2)ネットワーク機器15が送信情報監視部31に情報を転送する機能を持つ方法。
例えば、ネットワーク機器15は、自身が処理した全ての通信、もしくは指定した通信を送信情報監視部31へ転送する。この転送には、以下の2つの方法がある。
(A2−1)攻撃側コンピュータ装置20からあるIPアドレス宛の通信をコピーして、送信情報監視部31へ送る方法。攻撃側コンピュータ装置20からあるIPアドレス宛の通信は、そのまま送信される。
(A2−2)攻撃側コンピュータ装置20からあるIPアドレス宛の通信を宛先を変えて、送信情報監視部31へ送る方法。攻撃側コンピュータ装置20からあるIPアドレス宛の通信は、消去される。
この場合、ネットワーク内での通信制御装置30の配置に制限はない。
例えば、ネットワーク機器15は、自身が処理した全ての通信、もしくは指定した通信を送信情報監視部31へ転送する。この転送には、以下の2つの方法がある。
(A2−1)攻撃側コンピュータ装置20からあるIPアドレス宛の通信をコピーして、送信情報監視部31へ送る方法。攻撃側コンピュータ装置20からあるIPアドレス宛の通信は、そのまま送信される。
(A2−2)攻撃側コンピュータ装置20からあるIPアドレス宛の通信を宛先を変えて、送信情報監視部31へ送る方法。攻撃側コンピュータ装置20からあるIPアドレス宛の通信は、消去される。
この場合、ネットワーク内での通信制御装置30の配置に制限はない。
(A3)攻撃側コンピュータ装置20と、被攻撃側コンピュータ装置10との間の通信経路上のネットワーク機器15自体を通信制御装置30とする方法。
ネットワーク機器15自体に、送信情報監視部31その他の通信制御装置30が備える各機能部を実装し、ネットワーク機器15が転送する情報を送信情報監視部31が取得可能とする。
この場合、通信制御装置30は、攻撃側コンピュータ装置20と、被攻撃側コンピュータ装置10との間の通信経路上のネットワーク機器内の実装に限定される。
本実施形態では、上記(A2−1)の例で説明するが、他の方法をとってもよい。
ネットワーク機器15自体に、送信情報監視部31その他の通信制御装置30が備える各機能部を実装し、ネットワーク機器15が転送する情報を送信情報監視部31が取得可能とする。
この場合、通信制御装置30は、攻撃側コンピュータ装置20と、被攻撃側コンピュータ装置10との間の通信経路上のネットワーク機器内の実装に限定される。
本実施形態では、上記(A2−1)の例で説明するが、他の方法をとってもよい。
上記(A2)や(A3)の方法においては、被攻撃側コンピュータ装置10が接続された内部LANと外部のネットワーク5とを接続する境界のネットワーク機器15において、内部LANから外部に対して転送される全ての送信情報を取得すれば、内部LANに接続された全ての被攻撃側コンピュータ装置10から送信される送信情報を監視することができる。あるいは、例えば、送信情報監視部31は、監視対象である被攻撃側コンピュータ装置10のIPアドレスを予め記憶しておき、被攻撃側コンピュータ装置10から送信されたIP(Internet Protocol)パケットである送信情報を取得すると、そのIPパケットのヘッダ部分に示されている送信元IPアドレスと、予め記憶していた被攻撃側コンピュータ装置10のIPアドレスとを比較して、一致する場合にはその送信情報を取得し、一致しない場合には監視対象でないとしてその送信情報を取得しないようにすることもできる。
不審通信判定部32は、送信情報監視部31が取得した送信情報が、所定の条件を満たすか否かを判定することにより、不審な通信による送信情報であるか否かを判定する。不審な通信による送信情報とは、例えば被攻撃側コンピュータ装置10にインストールされた不正プログラムにより送信された送信情報をいう。例えば、不審通信判定部32は、不審でない宛先のIPアドレスを示すホワイトリストを予め記憶しておき、送信情報監視部31が取得した送信情報であるIPパケットのヘッダ部分に示されている宛先IPアドレスが、ホワイトリストに含まれていない場合、不審であると判定し、含まれている場合、不審でないと判定することができる。
あるいは、不審通信判定部32は、不審である宛先のIPアドレスを示すブラックリストを予め記憶しておき、送信情報監視部31が取得した送信情報であるIPパケットのヘッダ部分に示されている宛先IPアドレスが、ブラックリストに含まれている場合、不審であると判定し、含まれていない場合、不審でないと判定することができる。あるいは、不審通信判定部32は、例えば、不正プログラムが送信する送信情報に含まれる特徴的な情報を予め記憶しておき、送信情報監視部31が取得した送信情報であるIPパケットのデータ部分に、不正プログラムが送信する送信情報に含まれる特徴的な情報と一致した情報が含まれると判定した場合に不審であると判定することができる。不審通信判定部32は、これらの判定を組み合わせることもできるし、この他にも、従来技術によるあらゆる判定方法を適用して、送信情報監視部31が取得した送信情報が、不審な通信による送信情報であるか否かを判定することができる。
疑似情報生成部33は、送信情報監視部31が取得した送信情報が、不審通信判定部32によって所定の条件を満たすと判定され、不審な通信であると判定された場合に、その送信情報を複製した疑似情報を生成する。本実施形態では、疑似情報生成部33は、IPパケットである送信情報のヘッダ部分に含まれる送信元を識別する送信元識別情報である送信元IPアドレスに示される被攻撃側コンピュータ装置10のIPアドレスを、他のIPアドレスに書き換える。通信制御装置30が書き換え後のIPアドレスを受信可能な仕組みとすることが望ましい。このような仕組みとして、例えば、以下(B1)、(B2)のような例が考えられる。
(B1)通信制御装置30が予めストックしている通信制御装置30以外のIPアドレスで送信元IPアドレスを書き換え、各ネットワーク機器15が、ストックされたIPアドレス宛のパケットは通信制御装置30に転送するよう設定しておく。この場合、ネットワーク機器15は、予めストックされたIPアドレスを記憶しておく。
(B2)通信制御装置30自体のIPアドレスを送信元IPとして使う。この場合、疑似情報生成部33は、被攻撃側コンピュータ装置10から送信されるIPパケットの送信元IPアドレスを自装置のIPアドレスに書き換えたIPパケットを、疑似情報として生成する。このようにすれば、各ネットワーク機器15に特別な転送規則を追加せずとも通信制御装置30が受信可能となる。
(B2)通信制御装置30自体のIPアドレスを送信元IPとして使う。この場合、疑似情報生成部33は、被攻撃側コンピュータ装置10から送信されるIPパケットの送信元IPアドレスを自装置のIPアドレスに書き換えたIPパケットを、疑似情報として生成する。このようにすれば、各ネットワーク機器15に特別な転送規則を追加せずとも通信制御装置30が受信可能となる。
このように、被攻撃側コンピュータ装置10から送信されるIPパケットの送信元IPアドレスを他のIPアドレスに書き換えた疑似情報により、不正な通信に対する対策を行うことができる。例えば、偽のIPアドレスの情報を攻撃者に与えて、攻撃者を撹乱することによって、攻撃者の情報収集を妨害することができる。
すなわち、疑似情報生成部33で生成された送信情報を複製して送信元IPアドレスを書き換えた疑似情報を攻撃側コンピュータ装置20に送信することにより、攻撃を撹乱することができる。撹乱の内容としては、例えば、攻撃側コンピュータ装置20のプログラムが正常に動作しない可能性を高めることができる。さらに、被攻撃側コンピュータ装置10が多数ある様に見えるために、被攻撃側コンピュータ装置10のIPアドレスを特定する確率が下がり、攻撃者が被攻撃側コンピュータ装置10上で不正プログラムが正常に動作しているかどうか不審に感じるように仕向け、被攻撃側コンピュータ装置10を攻撃対象として選定しないと判断させることができる。
すなわち、疑似情報生成部33で生成された送信情報を複製して送信元IPアドレスを書き換えた疑似情報を攻撃側コンピュータ装置20に送信することにより、攻撃を撹乱することができる。撹乱の内容としては、例えば、攻撃側コンピュータ装置20のプログラムが正常に動作しない可能性を高めることができる。さらに、被攻撃側コンピュータ装置10が多数ある様に見えるために、被攻撃側コンピュータ装置10のIPアドレスを特定する確率が下がり、攻撃者が被攻撃側コンピュータ装置10上で不正プログラムが正常に動作しているかどうか不審に感じるように仕向け、被攻撃側コンピュータ装置10を攻撃対象として選定しないと判断させることができる。
疑似情報送信部34は、疑似情報生成部33が生成した疑似情報を、攻撃側コンピュータ装置20を宛先として送信する。これにより、被攻撃側コンピュータ装置10の不正プログラムから送信された送信情報と類似した疑似情報が、攻撃側コンピュータ装置20に対して複数送信されることになる。すなわち、被攻撃側コンピュータ装置10が送信した、送信元IPアドレスが被攻撃側コンピュータ装置10である送信情報と、通信制御装置30が送信した、送信元IPアドレスが被攻撃側コンピュータ装置10以外のIPアドレスである疑似情報とが、攻撃側コンピュータ装置20に対して送信される。したがって、実際には不正プログラムがインストールされている被攻撃側コンピュータ装置10は1台であるにも関わらず、攻撃側コンピュータ装置20には、送信情報と疑似情報とが送信されてくるため、不正に情報を取得しようとする攻撃者を撹乱することができる。これにより、不正プログラムを用いて不正に情報を得ようとする攻撃者にとって、情報を解析することを困難にすることができ、不正に情報を取得される可能性を減らすことができる。
応答情報受信部35は、疑似情報送信部34が攻撃側コンピュータ装置20に送信した疑似情報に応じて攻撃側コンピュータ装置20から送信される応答や、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20に送信した不審であると判定された送信情報に対する応答を受信する。
応答情報受信部35は、疑似情報送信部34が攻撃側コンピュータ装置20に送信した疑似情報に応じて攻撃側コンピュータ装置20から送信される応答や、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20に送信した不審であると判定された送信情報に対する応答を受信する。
次に、図面を参照して、本実施形態による通信制御装置30の動作例を説明する。図2は、本実施形態による通信制御装置30の動作例を示すシーケンス図である。
ここでは、被攻撃側コンピュータ装置10のIPアドレスをAとし、被攻撃側コンピュータ装置10以外のあるIPアドレスをBとし、攻撃側コンピュータ装置20のIPアドレスをXとして例を説明する。ここでは上記(B2)の仕組みを適用した例を示すが、上述した他の仕組みを適用することもできる。IPアドレス(B)は、通信制御装置30が受信可能なIPアドレス(例えば、通信制御装置30のIPアドレスや通信制御装置30が属するIPセグメント内のIPアドレス)とすることができる。通信制御装置30の送信情報監視部31が、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信と、IPアドレス(B)と攻撃側コンピュータ装置20との間の通信の双方を傍受可能である場合、IPアドレス(B)は任意である。
ここでは、被攻撃側コンピュータ装置10のIPアドレスをAとし、被攻撃側コンピュータ装置10以外のあるIPアドレスをBとし、攻撃側コンピュータ装置20のIPアドレスをXとして例を説明する。ここでは上記(B2)の仕組みを適用した例を示すが、上述した他の仕組みを適用することもできる。IPアドレス(B)は、通信制御装置30が受信可能なIPアドレス(例えば、通信制御装置30のIPアドレスや通信制御装置30が属するIPセグメント内のIPアドレス)とすることができる。通信制御装置30の送信情報監視部31が、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信と、IPアドレス(B)と攻撃側コンピュータ装置20との間の通信の双方を傍受可能である場合、IPアドレス(B)は任意である。
まず、被攻撃側コンピュータ装置10の不正プログラムは、攻撃側コンピュータ装置20を宛先とする送信情報を送信する。ここでは、送信元IPアドレスをAとし、宛先IPアドレスをXとする送信情報であるSYNパケットaを送信する(ステップS1)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信される送信情報を監視し、ステップS1において送信されたSYNパケットaを取得する(ステップS2)。不審通信判定部32が、送信情報監視部31が取得した送信情報が所定の条件を満たすか否かを判定し、所定の条件を満たし不審であると判定すると、疑似情報生成部33は、送信情報監視部31が取得したSYNパケットaのヘッダ部分における送信元IPアドレスを、被攻撃側コンピュータ装置10以外のIPアドレス(B)に書き換えた疑似情報であるSYNパケットa´を生成する。疑似情報送信部34は、疑似情報生成部33が生成した疑似情報を攻撃側コンピュータ装置20に送信する(ステップS3)。
攻撃側コンピュータ装置20は、ステップS1において被攻撃側コンピュータ装置10から送信されたSYNパケットaを受信すると、応答としてSYN/ACKパケットbを被攻撃側コンピュータ装置10に送信する(ステップS4)。同様に、攻撃側コンピュータ装置20は、ステップS3において通信制御装置30から送信されたSYNパケットa´を受信すると、応答としてSYN/ACKパケットb´を、IPアドレス(B)を宛先として送信する(ステップS5)。被攻撃側コンピュータ装置10は、攻撃側コンピュータ装置20から送信されたSYN/ACKパケットbを受信すると、ACKパケットcを攻撃側コンピュータ装置20に送信する(ステップS6)。通信制御装置30は、攻撃側コンピュータ装置20から送信されたSYN/ACKパケットb´を受信すると、ACKパケットc´を攻撃側コンピュータ装置20に送信する(ステップS7)。
このようにして被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20、通信制御装置30と攻撃側コンピュータ装置20のセッションが確立すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd1を含むデータパケットdを、攻撃側コンピュータ装置20に送信する(ステップS8)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるデータパケットdを取得する(ステップS9)。疑似情報生成部33は、送信情報監視部31が取得したデータパケットdのヘッダ部分における送信元IPアドレスを、IPアドレス(B)に書き換えたデータパケットであるデータパケットd´を生成する。疑似情報送信部34は、疑似情報生成部33が生成したデータパケットd´を攻撃側コンピュータ装置20に送信する(ステップS10)。ここで、通信制御装置30には不正プログラムがインストールされていないため、通信制御装置30は、被攻撃側コンピュータ装置10が行っている通信の真似をして通信し、攻撃側コンピュータ装置20に対して、あたかも不正プログラムがインストールされたもう1台の通信装置が存在するかのようにみせかけることができる。
攻撃側コンピュータ装置20は、ステップS8において被攻撃側コンピュータ装置10から送信されたデータパケットdを受信すると、ACKパケットeを被攻撃側コンピュータ装置10に送信する(ステップS11)。同様に、攻撃側コンピュータ装置20は、ステップS10において通信制御装置30から送信されたデータパケットd´を受信すると、ACKパケットe´を通信制御装置30に送信する(ステップS12)。被攻撃側コンピュータ装置10が、攻撃側コンピュータ装置20から送信されたACKパケットeを受信すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd2を含むデータパケットfを、攻撃側コンピュータ装置20に送信する(ステップS13)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるデータパケットfを取得する(ステップS14)。疑似情報生成部33は、送信情報監視部31が取得したデータパケットfのヘッダ部分における送信元IPアドレスを、IPアドレス(B)に書き換えたデータパケットf´を生成する。疑似情報送信部34は、疑似情報生成部33が生成したデータパケットf´を攻撃側コンピュータ装置20に送信する(ステップS15)。
攻撃側コンピュータ装置20は、ステップS13において被攻撃側コンピュータ装置10から送信されたデータパケットfを受信すると、ACKパケットgを被攻撃側コンピュータ装置10に送信する(ステップS16)。同様に、攻撃側コンピュータ装置20は、ステップS15において通信制御装置30から送信されたデータパケットf´を受信すると、ACKパケットg´を通信制御装置30に送信する(ステップS17)。
このように、攻撃側コンピュータ装置20と被攻撃側コンピュータ装置10との間や、攻撃側コンピュータ装置20と通信制御装置30との間の3ウェイハンドシェイクが終了し、セッションが確立した後のデータ通信の段階において、通信制御装置30は、予め設定されたルールに従い、両装置間の通信タイミングに沿った擬似パケットの生成、送信処理を行う。
この際、例えば、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信したデータパケットの応答パケットにあたる、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10へ送信されるACKパケットgよりも、通信制御装置30から攻撃側コンピュータ装置20へ送信したデータパケットの応答パケットにあたる、攻撃側コンピュータ装置20から通信制御装置30へ送信されるACKパケットg´の方が早く届いた場合、通信制御装置30は、あらかじめ通信制御装置30に設定されたルールにしたがって、以下(C1)、(C2)の2通りの処理のうち、一方の処理を選択して処理する。
(C1)同期(Wait)設定の場合
通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への送信情報(データパケット)の送信タイミングにあわせて、この送信情報を取得して複製し、複製した送信情報の一部を書き換えるなどして擬似情報(加工されたデータパケット)を生成し、攻撃側コンピュータ装置20へ送信する。したがって、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信する送信情報と、通信制御装置30から攻撃側コンピュータ装置20へ送信する擬似情報は同期する。
もし、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信される前に、攻撃側コンピュータ装置20から通信制御装置30へ送信されるACKパケットのほうが早く届いた場合、通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されるまで、擬似情報の生成、送信などの処理を一旦保留する。
通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されたならば、その送信情報を取得して複製し、複製した送信情報の一部を書き換えるなどして擬似情報を生成する。生成した擬似情報は、攻撃側コンピュータ装置20へ送信される。
通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への送信情報(データパケット)の送信タイミングにあわせて、この送信情報を取得して複製し、複製した送信情報の一部を書き換えるなどして擬似情報(加工されたデータパケット)を生成し、攻撃側コンピュータ装置20へ送信する。したがって、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信する送信情報と、通信制御装置30から攻撃側コンピュータ装置20へ送信する擬似情報は同期する。
もし、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信される前に、攻撃側コンピュータ装置20から通信制御装置30へ送信されるACKパケットのほうが早く届いた場合、通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されるまで、擬似情報の生成、送信などの処理を一旦保留する。
通信制御装置30は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されたならば、その送信情報を取得して複製し、複製した送信情報の一部を書き換えるなどして擬似情報を生成する。生成した擬似情報は、攻撃側コンピュータ装置20へ送信される。
(C2)非同期設定の場合
被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されるタイミングにかかわらず、通信制御装置30は、攻撃側コンピュータ装置20から通信制御装置30へACKパケットが届いたら、擬似情報を生成し、攻撃側コンピュータ装置20へ送信する。
つまり、セッションが確立した後のデータ通信の段階では、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信する送信情報と、通信制御装置30から攻撃側コンピュータ装置20へ送信する擬似情報は非同期で通信される。
被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信情報が送信されるタイミングにかかわらず、通信制御装置30は、攻撃側コンピュータ装置20から通信制御装置30へACKパケットが届いたら、擬似情報を生成し、攻撃側コンピュータ装置20へ送信する。
つまり、セッションが確立した後のデータ通信の段階では、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信する送信情報と、通信制御装置30から攻撃側コンピュータ装置20へ送信する擬似情報は非同期で通信される。
このとき、擬似情報は、例えば以下の方法を用いて生成する。
・既に取得してある送信情報の一部を書き換えるなどして擬似情報を生成する。
・予め通信制御装置30に設定されたルールやアルゴリズムにしたがって生成する。
・0や1など、特定のデータで埋めた擬似情報を生成する。
・ランダムなデータで構成された疑似情報を生成する。
・既に取得してある送信情報の一部を書き換えるなどして擬似情報を生成する。
・予め通信制御装置30に設定されたルールやアルゴリズムにしたがって生成する。
・0や1など、特定のデータで埋めた擬似情報を生成する。
・ランダムなデータで構成された疑似情報を生成する。
そして、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとするFINパケットhを、攻撃側コンピュータ装置20に送信する(ステップS18)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるFINパケットhを取得する(ステップS19)。疑似情報生成部33は、送信情報監視部31が取得したFINパケットhのヘッダ部分における送信元IPアドレスを、IPアドレス(B)に書き換えたFINパケットh´を生成する。疑似情報送信部34は、疑似情報生成部33が生成したFINパケットh´を攻撃側コンピュータ装置20に送信する(ステップS20)。
攻撃側コンピュータ装置20は、ステップS18において被攻撃側コンピュータ装置10から送信されたFINパケットhを受信すると、FIN/ACKパケットiを被攻撃側コンピュータ装置10に送信する(ステップS21)。同様に、攻撃側コンピュータ装置20は、ステップS20において通信制御装置30から送信されたFINパケットh´を受信すると、FIN/ACKパケットi´を通信制御装置30に送信する(ステップS22)。被攻撃側コンピュータ装置10は、攻撃側コンピュータ装置20から送信されたFIN/ACKパケットiを受信すると、ACKパケットjを攻撃側コンピュータ装置20に送信する(ステップS23)。通信制御装置30は、攻撃側コンピュータ装置20から送信されたFIN/ACKパケットi´を受信すると、ACKパケットj´を攻撃側コンピュータ装置20に送信する(ステップS24)。
以上説明したように、本実施形態によれば、被攻撃側コンピュータ装置10の不正プログラムから送信される送信情報が、通信制御装置30によって複製され、攻撃側コンピュータ装置20に対して送信情報と疑似情報とが送信される。これにより、実際に不正プログラムがインストールされ送信情報を送信しているのは被攻撃側コンピュータ装置10だけであるにも関わらず、複数のIPパケットが攻撃側コンピュータ装置20に送信されることになる。したがって、攻撃側コンピュータ装置20に対して送信される送信情報を収集する攻撃者は、送信情報と疑似情報との選別や価値の評価が難しくなる。また、攻撃側コンピュータ装置20に送信される情報量が多くなるため、攻撃者が全ての送信情報を解析することが困難になる。このようにして、不正プログラムによる攻撃者による攻撃行動を妨害することができる。
またここで、例えば従来技術におけるハニーポットの仕組みをクライアント側に応用し、内部LAN内の複数の通信装置に、囮としてわざと不正プログラムをインストールさせて、攻撃側コンピュータ装置20に対して送信情報を送信させるようなことも考えられる。ただしこの場合、囮の被攻撃側コンピュータ装置10を用意しなければならないとともに、囮の被攻撃側コンピュータ装置10に不正プログラムをインストールするため、囮による攻撃行動の妨害を行った後には、被攻撃側コンピュータ装置10にOS(Operating System)等を再インストールする等の安全処置のための作業が必要になる。これに対し、本実施形態によれば、実際に通信装置に不正プログラムをインストールさせなくても、実際に不正プログラムが送信する送信情報と同様のふるまいの通信を疑似的に行うことができる。
また、近年のウィルスなどの不正プログラムによる高度な攻撃は、攻撃の通信に気付かせないように通常の通信と同様の形式で行われ、かつ通信量が少ない場合がある。このため、被攻撃側コンピュータ装置10から外部のネットワーク5に送信される送信情報が不審通信であるか否かを判定することが難しく、通信を遮断できない場合がある。そこで、不審であることを判断できない通信は、すぐに遮断せずに通信させるが、本実施形態によれば、送信先が攻撃者の攻撃側コンピュータ装置20である場合にその処理を妨害したり、攻撃者による情報の分析や評価を妨害したりすることができ、被害の発生を最小限に抑えることが可能となる。また、本実施形態によれば、複数のIPパケットが攻撃側コンピュータ装置20に対して送信されるものの、実際に外部に送信される情報内容の実体は通信制御装置30から送信される、存在しないコンピュータの欺瞞情報(疑似情報)のみであるため、そのコンピュータにウィルスが感染したり、そのコンピュータが乗っ取られて悪用されるなどの不測の被害が発生する可能性も低い。このように、本実施形態によれば、安価に、効率よく攻撃行動の妨害をすることができ、複数台の囮のコンピュータを用意する必要がなく、リソースが少なくて済むため、同時に大量の運用も可能である。
なお、本実施形態では、送信情報監視部31が取得した送信情報の送信元IPアドレスを書き換えた疑似情報を攻撃側コンピュータ装置20に送信することとしたが、送信情報監視部31が取得した送信情報の複製を、送信元IPアドレス等の書き換えを行わずに、そのまま疑似情報として攻撃側コンピュータ装置20に送信することとしてもよい。この場合、攻撃側コンピュータ装置20には、被攻撃側コンピュータ装置10を送信元として、攻撃者側が想定するよりも多い数の情報が送信される。このため、攻撃側コンピュータ装置20上で動作する攻撃用プログラムが正常に動作しなくなる可能性や、被攻撃側コンピュータ装置10の動作が一般的ではない様にみえるため、攻撃者が、被攻撃側コンピュータ装置10の不正プログラムが正常に動作しているのか不審に考える可能性があり、攻撃者を撹乱することができる。
なお、通信制御装置30の疑似情報生成部33は、送信情報監視部31が取得した送信情報の送信元IPアドレスを、通信制御装置30のIPアドレスや、他の装置のIPアドレス、架空のIPアドレス等に書き換えることもできる。あるいは、疑似情報送信部34は、それぞれ異なる複数のIPアドレスに書き換えた複数(例えば、10個)の疑似情報を攻撃側コンピュータ装置20に送信することもできる。疑似情報生成部33は、複数のIPアドレスを予め設定しておき、その複数のIPアドレスの中から必要なIPアドレスを取り出して利用することもできる。このようにすれば、より攻撃者を撹乱することができる。
<第2の実施形態>
次に、本発明の第2の実施形態を説明する。第1の実施形態では、通信制御装置30の送信情報監視部31が取得したIPパケットが、不審通信判定部32によって不審な通信であると判定された場合、疑似情報生成部33は、IPパケットの送信元IPアドレスを他のIPアドレスに書き換えた疑似情報を生成する例を示した。これに対し、本実施形態では、IPパケットの送信元IPアドレスを書き換えるのみならず、IPパケットのデータ部分の内容を他のデータに書き換えた疑似情報を生成し、攻撃側コンピュータ装置20に送信する。送信情報のうち、攻撃側コンピュータ装置20へ通信が届かなくなるような影響のある部分を除き、送信情報のさまざまな部分を書き換える事によって、攻撃側コンピュータ装置20および攻撃者を撹乱できる。
次に、本発明の第2の実施形態を説明する。第1の実施形態では、通信制御装置30の送信情報監視部31が取得したIPパケットが、不審通信判定部32によって不審な通信であると判定された場合、疑似情報生成部33は、IPパケットの送信元IPアドレスを他のIPアドレスに書き換えた疑似情報を生成する例を示した。これに対し、本実施形態では、IPパケットの送信元IPアドレスを書き換えるのみならず、IPパケットのデータ部分の内容を他のデータに書き換えた疑似情報を生成し、攻撃側コンピュータ装置20に送信する。送信情報のうち、攻撃側コンピュータ装置20へ通信が届かなくなるような影響のある部分を除き、送信情報のさまざまな部分を書き換える事によって、攻撃側コンピュータ装置20および攻撃者を撹乱できる。
このようにすれば、通信制御装置30がデータ部分の異なる複数の擬似情報を生成し、攻撃側コンピュータ装置20へ送信した場合、攻撃側コンピュータ装置20は、その異なる複数の擬似情報を処理して、その処理結果を通信制御装置30へ送信する。通信制御装置30は、攻撃側コンピュータ装置20がデータ部分の異なる複数の擬似情報に対応して出力した複数の結果を取得することができる。すなわち、攻撃側コンピュータ装置20からの応答サンプル数が増えるため、攻撃側コンピュータ装置20において攻撃のために使用している不正プログラムのふるまいやその不正プログラムのコマンドの種類等を調査することができる。このようなファジング手法を用いて、攻撃側が使用している不正プログラムの解析を行うことが可能となる。
図3は、本実施形態による通信制御装置30の構成を示すブロック図である。本実施形態の攻撃側コンピュータ装置20の構成は第1の実施形態と同様であるが、第1の実施形態の攻撃側コンピュータ装置20が備える処理部に加えて、分析部36を備えている。
分析部36は、疑似情報送信部34が攻撃側コンピュータ装置20に対して送信した送信情報に対して攻撃側コンピュータ装置20から送信される応答を応答情報受信部35が受信すると、応答情報受信部35が受信した情報を分析する。
分析部36は、疑似情報送信部34が攻撃側コンピュータ装置20に対して送信した送信情報に対して攻撃側コンピュータ装置20から送信される応答を応答情報受信部35が受信すると、応答情報受信部35が受信した情報を分析する。
図4は、本実施形態による通信制御装置30の動作概要を示す図である。
第1の実施形態と同様にして、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20、通信制御装置30と攻撃側コンピュータ装置20のセッションが確立すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd1を含むデータパケットを、攻撃側コンピュータ装置20に送信する(ステップS31)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるデータパケットを取得する(ステップS32)。疑似情報生成部33は、送信情報監視部31が取得した送信情報のヘッダ部分における送信元IPアドレスを、被攻撃側コンピュータ装置10以外のIPアドレス(B、C、D)に書き換え、さらに、データd1をデータd1´、データd1´´、データd1´´´に書き換えたデータパケットである疑似情報を生成する。ここで、データd1´、データd1´´、データd1´´´は、例えば、予め記憶していたなんらかの情報でもよいし、予め記憶している規則とデータd1に基づいて生成してもよい。例えば、データd1を所定の数ビット数(例えば、1ビット)ずらした情報でもよいし、データd1に所定の乱数を乗じて生成した情報でもよい。
第1の実施形態と同様にして、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20、通信制御装置30と攻撃側コンピュータ装置20のセッションが確立すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd1を含むデータパケットを、攻撃側コンピュータ装置20に送信する(ステップS31)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるデータパケットを取得する(ステップS32)。疑似情報生成部33は、送信情報監視部31が取得した送信情報のヘッダ部分における送信元IPアドレスを、被攻撃側コンピュータ装置10以外のIPアドレス(B、C、D)に書き換え、さらに、データd1をデータd1´、データd1´´、データd1´´´に書き換えたデータパケットである疑似情報を生成する。ここで、データd1´、データd1´´、データd1´´´は、例えば、予め記憶していたなんらかの情報でもよいし、予め記憶している規則とデータd1に基づいて生成してもよい。例えば、データd1を所定の数ビット数(例えば、1ビット)ずらした情報でもよいし、データd1に所定の乱数を乗じて生成した情報でもよい。
疑似情報送信部34は、疑似情報生成部33によって生成された複数の疑似情報を、攻撃側コンピュータ装置20に送信する(ステップS33〜S35)。攻撃側コンピュータ装置20は、ステップS31において被攻撃側コンピュータ装置10から送信されたデータパケットを受信すると、データ部分に応答r1を含む応答パケットを被攻撃側コンピュータ装置10に送信する(ステップS36)。また、攻撃側コンピュータ装置20は、ステップS33〜S35において通信制御装置30から送信されたデータパケットのそれぞれの内容に応じて、応答r1´、応答r1´´、応答r1´´´をそれぞれに含む応答パケットを、書き換え後のIPアドレス(B、C、D)を宛先として送信する(ステップS37〜39)。ここでは、攻撃側コンピュータ装置20は、送信されるデータパケットの内容に応じて応答パケットを送信することを想定して説明したが、データパケットの内容が異なっても同じ応答を返す場合があっても良い。
このようにすれば、不正プログラムから攻撃側コンピュータ装置20に送信するデータと、通信制御装置30から攻撃側コンピュータ装置20に送信するデータが異なる場合に、攻撃側コンピュータ装置20からどのような応答が送信されるかを調査することができ、攻撃側の調査、分析を行うことができる。
また、近年のウィルスなどの不正プログラムによる高度な攻撃は、攻撃の通信に気付かせないように通信量が少ない場合がある。このため、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20の間で送受信される情報から、不審な通信であるか否かを判断したり、攻撃側コンピュータ装置20から送付される情報から、その攻撃方法を解析したりすることが難しくなってきている。そこで、疑わしい通信については、本実施形態のように様々なバリエーションの疑似情報を変化させて送信し、宛先の攻撃側コンピュータ装置がそれに対応して応答してきた複数パターンの通信内容から、不正な通信であるか否かを判定しやすくすることができる。また、攻撃側のサーバがC&C(Command and Control)サーバである場合は、そのふるまいや使用されているコマンドを調査することが可能になる。
また、近年のウィルスなどの不正プログラムによる高度な攻撃は、攻撃の通信に気付かせないように通信量が少ない場合がある。このため、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20の間で送受信される情報から、不審な通信であるか否かを判断したり、攻撃側コンピュータ装置20から送付される情報から、その攻撃方法を解析したりすることが難しくなってきている。そこで、疑わしい通信については、本実施形態のように様々なバリエーションの疑似情報を変化させて送信し、宛先の攻撃側コンピュータ装置がそれに対応して応答してきた複数パターンの通信内容から、不正な通信であるか否かを判定しやすくすることができる。また、攻撃側のサーバがC&C(Command and Control)サーバである場合は、そのふるまいや使用されているコマンドを調査することが可能になる。
以上説明したように、通信制御装置30の疑似情報生成部33が、被攻撃側コンピュータ装置10が送信する送信情報の少なくとも一部を書き換えて疑似情報を生成し、攻撃側コンピュータ装置20に対して送信することにより、攻撃者を錯乱することに加えて、攻撃者の分析に必要な情報を取得することができる。ここで、送信情報の少なくとも一部とは、例えば送信元IPアドレスでもよく、データ部分でもよく、その双方でもよい。
<第3の実施形態>
次に、本発明の第3の実施形態を説明する。第1の実施形態では、被攻撃側コンピュータ装置10の不正プログラムが攻撃側コンピュータ装置20に送信情報を送信する処理と並行して、通信制御装置30が攻撃側コンピュータ装置20に疑似情報を送信する例を示した。これに対し、本実施形態では、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20とのセッションを確立し、データの含まれる送信情報を送信し始めた後に、通信遮断部37が、不審通信判定部32からの指示に基づいて被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断し、通信制御装置30が被攻撃側コンピュータ装置10に代わって攻撃側コンピュータ装置20と通信する。これにより、標的型攻撃などの不正な通信が行われていても、すぐにその通信を完全に遮断せずに通信を継続させておき、攻撃側コンピュータ装置20から送信される応答情報を収集したり、監視したりすることができる。
次に、本発明の第3の実施形態を説明する。第1の実施形態では、被攻撃側コンピュータ装置10の不正プログラムが攻撃側コンピュータ装置20に送信情報を送信する処理と並行して、通信制御装置30が攻撃側コンピュータ装置20に疑似情報を送信する例を示した。これに対し、本実施形態では、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20とのセッションを確立し、データの含まれる送信情報を送信し始めた後に、通信遮断部37が、不審通信判定部32からの指示に基づいて被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断し、通信制御装置30が被攻撃側コンピュータ装置10に代わって攻撃側コンピュータ装置20と通信する。これにより、標的型攻撃などの不正な通信が行われていても、すぐにその通信を完全に遮断せずに通信を継続させておき、攻撃側コンピュータ装置20から送信される応答情報を収集したり、監視したりすることができる。
図5は、本実施形態による通信制御装置30の構成を示すブロック図である。本実施形態の攻撃側コンピュータ装置20の構成は第1の実施形態と同様であるが、第1の実施形態の攻撃側コンピュータ装置20が備える処理部に加えて、通信遮断部37を備えている。
通信遮断部37は、不審通信判定部32からの指示に基づいて、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信を遮断する。例えば、送信情報監視部31は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への送信情報を取得して不審通信判定部32に渡し、不審通信判定部32が、その送信情報に予め設定された情報が含まれており、かつその通信が所定回数(例えば、2回)送信されると、不審通信判定部32は、遮断の条件を満たしたと判定し、通信遮断部37へ被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断するよう指示する。これにより、通信遮断部37は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断する。通信遮断部37が、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断する方法として、例えば、以下(D1)、(D2)のような例が考えられる。
通信遮断部37は、不審通信判定部32からの指示に基づいて、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信を遮断する。例えば、送信情報監視部31は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への送信情報を取得して不審通信判定部32に渡し、不審通信判定部32が、その送信情報に予め設定された情報が含まれており、かつその通信が所定回数(例えば、2回)送信されると、不審通信判定部32は、遮断の条件を満たしたと判定し、通信遮断部37へ被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断するよう指示する。これにより、通信遮断部37は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断する。通信遮断部37が、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断する方法として、例えば、以下(D1)、(D2)のような例が考えられる。
(D1)通信遮断部37は、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10へ向けて送信したように見せかけたFINパケットを送信し、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ張られた通信を遮断する。この時、通信遮断部37は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へFIN/ACKパケットが送信されたことを検知し、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10へ向けて送信したように見せかけたACKパケットも送信する。
この際、攻撃側コンピュータ装置20は、被攻撃側コンピュータ装置10へFINパケットを送信していない状態なので、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20へFIN/ACKパケットを送信し、攻撃側コンピュータ装置20がこれを受信しても、正規のプロトコルに沿っていないため、TCPセッションは終了されず、継続されると考えられる。したがって、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ向けて送信されたFIN/ACKパケットを攻撃側コンピュータ装置20へ届かないように遮断する必要はないと考えられる。
(D2)被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との間のどこかにあるネットワーク機器15、もしくは被攻撃側コンピュータ装置10の上で動作しているファイヤーウォールなどの通信を制御するソフトウェアをコントロールして、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20の間の通信を遮断する。
あるいは、ネットワーク機器15が、OpenFlowに対応した機器である場合は、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との間の通信の経路を強制的に変更し、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10への通信を通信制御装置30のみへ届くように経路を変更する。被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信は遮断する。
あるいは、ネットワーク機器15が、OpenFlowに対応した機器である場合は、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との間の通信の経路を強制的に変更し、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10への通信を通信制御装置30のみへ届くように経路を変更する。被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信は遮断する。
本実施形態の疑似情報送信部34は、通信遮断部37が被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信を遮断するまでは、疑似情報を送信しない。本実施形態の疑似情報送信部34は、通信遮断部37が被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信を遮断させた後に、攻撃側コンピュータ装置20を宛先として疑似情報を送信する。
疑似情報生成部33は、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20に対して送信した送信情報を複製して疑似情報として記憶しておく。また、疑似情報生成部33は、送信情報を複製した後にデータ部分を変更した疑似情報を生成して、自身の記憶領域に記憶させてもよい。そして、疑似情報送信部34は、疑似情報生成部33が記憶している疑似情報を、攻撃側コンピュータ装置20に送信する。
疑似情報生成部33は、被攻撃側コンピュータ装置10が攻撃側コンピュータ装置20に対して送信した送信情報を複製して疑似情報として記憶しておく。また、疑似情報生成部33は、送信情報を複製した後にデータ部分を変更した疑似情報を生成して、自身の記憶領域に記憶させてもよい。そして、疑似情報送信部34は、疑似情報生成部33が記憶している疑似情報を、攻撃側コンピュータ装置20に送信する。
次に、図面を参照して、本実施形態による通信制御装置30の動作例を説明する。図6は、本実施形態による通信制御装置30の動作例を示すシーケンス図である。
第1の実施形態と同様に、被攻撃側コンピュータ装置10の不正プログラムは、攻撃側コンピュータ装置20を宛先とするSYNパケットである送信情報を送信する(ステップS41)。攻撃側コンピュータ装置20は、被攻撃側コンピュータ装置10から送信されたSYNパケットを受信すると、応答としてSYN/ACKパケットを被攻撃側コンピュータ装置10に送信する(ステップS42)。被攻撃側コンピュータ装置10は、攻撃側コンピュータ装置20から送信されたSYN/ACKパケットを受信すると、ACKパケットを攻撃側コンピュータ装置20に送信する(ステップS43)。
第1の実施形態と同様に、被攻撃側コンピュータ装置10の不正プログラムは、攻撃側コンピュータ装置20を宛先とするSYNパケットである送信情報を送信する(ステップS41)。攻撃側コンピュータ装置20は、被攻撃側コンピュータ装置10から送信されたSYNパケットを受信すると、応答としてSYN/ACKパケットを被攻撃側コンピュータ装置10に送信する(ステップS42)。被攻撃側コンピュータ装置10は、攻撃側コンピュータ装置20から送信されたSYN/ACKパケットを受信すると、ACKパケットを攻撃側コンピュータ装置20に送信する(ステップS43)。
被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20とのセッションが確立すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd1を含むデータパケットを、攻撃側コンピュータ装置20に送信する(ステップS44)。通信制御装置30の送信情報監視部31は、被攻撃側コンピュータ装置10から送信されるデータパケットを取得する(ステップS45)。疑似情報生成部33は、送信情報監視部31が取得した送信情報を複製して疑似情報を生成し、自身の記憶領域に記憶させる。攻撃側コンピュータ装置20は、被攻撃側コンピュータ装置10から送信されたデータパケットを受信すると、応答パケットを被攻撃側コンピュータ装置10に送信する(ステップS46)。
被攻撃側コンピュータ装置10が、攻撃側コンピュータ装置20から送信された応答パケットを受信すると、被攻撃側コンピュータ装置10の不正プログラムは、送信元IPアドレスをAとし、宛先IPアドレスをXとし、データ部分にデータd2を含むデータパケットを、攻撃側コンピュータ装置20に送信する(ステップS47)。通信制御装置30の送信情報監視部31が、被攻撃側コンピュータ装置10から送信されるデータパケットを取得し、疑似情報生成部33が、データパケットを複製して自身の記憶領域に記憶させる(ステップS48)。通信遮断部37が被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信を遮断するまで、送信情報監視部31はデータパケットを取得し、疑似情報生成部33がデータパケットを複製して自身の記憶領域に記憶させる。不審通信判定部32は、遮断の条件を満たしたと判定したときに、通信遮断部37へ被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20への通信の遮断を指示する。
通信遮断部37は、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ送信される送信情報を遮断する。通信遮断部37は、攻撃側コンピュータ装置20から被攻撃側コンピュータ装置10へ向けて送信したように見せかけたFINパケットを送信し(ステップS49)、被攻撃側コンピュータ装置10から攻撃側コンピュータ装置20へ張られた通信を遮断する。ここで、通信制御装置30は、ステップS47において被攻撃側コンピュータ装置10から送信されたACKパケットが攻撃側コンピュータ装置20へ届かないように廃棄してもよい。
被攻撃側コンピュータ装置10は、通信制御装置30から送信されたFINパケットを受信すると、FIN/ACKパケットを送信する(ステップS50)。通信制御装置30は、被攻撃側コンピュータ装置10から送信されたFIN/ACKパケットを受信すると、ACKパケットを被攻撃側コンピュータ装置10に送信し、被攻撃側コンピュータ装置10の通信を終了させる(ステップS51)。また、通信制御装置30は、被攻撃側コンピュータ装置10から送信されたFIN/ACKパケットが攻撃側コンピュータ装置20へ届かないように廃棄してもよい。
一方、通信制御装置30の通信遮断部37が、ステップS47において被攻撃側コンピュータ装置10から送信されたデータパケットを遮断すると、疑似情報送信部34は、疑似情報生成部33に記憶されている疑似情報を読み出し、攻撃側コンピュータ装置20に送信する(ステップS52)。以後、疑似情報送信部34は、攻撃側コンピュータ装置20から送信される応答パケットを受信すると、疑似情報生成部33に記憶されている疑似情報を読み出して送信する処理を繰り返す(ステップS53〜S57)。
以上説明したように、本実施形態によれば、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信をしばらく継続させておき、これ以上通信を続けると危険であると不審通信判定部32が判断した場合に、被攻撃側コンピュータ装置10と攻撃側コンピュータ装置20との通信を遮断するとともに、通信制御装置30が攻撃側コンピュータ装置20との通信を継続することができる。これにより、被攻撃側コンピュータ装置10から送信される送信情報の量を制限することができるとともに、攻撃側に気付かれずに攻撃側コンピュータ装置20から、被攻撃側コンピュータ装置10のみが単純に攻撃側コンピュータ装置20に情報を送信した場合よりも多い応答を得ることができ、より多くの情報を基にして攻撃型の分析を行うことができる。また、実際に被攻撃側コンピュータ装置10の不正プログラムから送信された送信情報を複製して疑似情報として記憶しておいて送信するため、データ部分の複雑なデータ等を独自に生成することなく、送信情報と同様の情報を攻撃側コンピュータ装置20に送信することができる。
このように、本実施形態によれば、内部LAN内の通信装置に不正プログラムがインストールされた場合で、意図しない送信情報が外部に送信される場合でも、攻撃者を撹乱したり、漏えいする情報を低減したりすることができる。これにより、不正アクセス等による攻撃により機密情報が漏えいするリスクや、漏えいした情報に基づいて内部LANの通信装置が乗っ取られたり、踏み台として利用されたりするリスクを低減することが可能となる。
なお、上述の実施形態では、1台のコンピュータ装置である通信制御装置30が、送信情報監視部31から通信遮断部37のような処理部を備える例を示したが、これらの処理部は、複数台のコンピュータ装置に分散して構成することもできる。ただし、一般的に、1台の装置として構成した方が、各処理部の連携等の処理速度が速くなると考えられるため、早い処理速度が求められる場合には、1台で構成することが望ましいと考えられる。
なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより通信制御を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上述した機能の一部または全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、または全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、または汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
10 被攻撃側コンピュータ装置
20 攻撃側コンピュータ装置
30 通信制御装置
31 送信情報監視部
32 不審通信判定部
33 疑似情報生成部
34 疑似情報送信部
35 応答情報受信部
36 分析部
37 通信遮断部
20 攻撃側コンピュータ装置
30 通信制御装置
31 送信情報監視部
32 不審通信判定部
33 疑似情報生成部
34 疑似情報送信部
35 応答情報受信部
36 分析部
37 通信遮断部
Claims (4)
- ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得する送信情報監視部と、
前記送信情報監視部が取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報のパケットを複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成する疑似情報生成部と、
前記疑似情報生成部が生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信する疑似情報送信部と、
を備えることを特徴とする通信制御装置。 - 前記被攻撃側コンピュータ装置と前記攻撃側コンピュータ装置との通信を遮断する通信遮断部と、
応答情報受信部と
を備え、
前記疑似情報送信部は、所定の条件を満たすと判定された場合に、前記通信遮断部が前記被攻撃側コンピュータ装置と前記攻撃側コンピュータ装置との通信を遮断させた後に、前記疑似情報のパケットを前記攻撃側コンピュータ装置に送信し、
前記応答情報受信部は、前記疑似情報のパケットに対する前記攻撃側コンピュータ装置からの応答を受信する
ことを特徴とする請求項1に記載の通信制御装置。 - 通信制御装置が、
ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得するステップと、
取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報のパケットを複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成するステップと、
生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信するステップと、
を備えることを特徴とする通信制御方法。 - 通信制御装置のコンピュータに、
ネットワークを介して接続された攻撃側コンピュータ装置を宛先として被攻撃側コンピュータ装置が送信する送信情報のパケットを取得するステップと、
取得した前記送信情報が、所定の条件を満たすと判定された場合に、当該送信情報を複製し、送信元アドレスを置き換えた少なくとも一つの疑似情報のパケットを生成するステップと、
生成した前記疑似情報のパケットを、前記攻撃側コンピュータ装置を宛先として送信するステップと、
を実行させる通信制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013056839A JP6101525B2 (ja) | 2013-03-19 | 2013-03-19 | 通信制御装置、通信制御方法、通信制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013056839A JP6101525B2 (ja) | 2013-03-19 | 2013-03-19 | 通信制御装置、通信制御方法、通信制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014183471A JP2014183471A (ja) | 2014-09-29 |
| JP6101525B2 true JP6101525B2 (ja) | 2017-03-22 |
Family
ID=51701784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013056839A Active JP6101525B2 (ja) | 2013-03-19 | 2013-03-19 | 通信制御装置、通信制御方法、通信制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6101525B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101860645B1 (ko) * | 2016-11-16 | 2018-05-23 | 국방과학연구소 | 무선 네트워크에서 패킷 조작을 이용한 통신 교란 장치 및 방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3986871B2 (ja) * | 2002-04-17 | 2007-10-03 | 株式会社エヌ・ティ・ティ・データ | アンチプロファイリング装置およびアンチプロファイリングプログラム |
| JP2005167793A (ja) * | 2003-12-04 | 2005-06-23 | Osaka Gas Co Ltd | 送信情報管理システム及び送信情報管理プログラム |
| JP4321375B2 (ja) * | 2004-06-18 | 2009-08-26 | 沖電気工業株式会社 | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム |
| US7636943B2 (en) * | 2005-06-13 | 2009-12-22 | Aladdin Knowledge Systems Ltd. | Method and system for detecting blocking and removing spyware |
| JP4249174B2 (ja) * | 2005-10-31 | 2009-04-02 | 株式会社エヌ・ティ・ティ・データ | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
-
2013
- 2013-03-19 JP JP2013056839A patent/JP6101525B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014183471A (ja) | 2014-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| KR101263329B1 (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| Ambrosin et al. | Lineswitch: Efficiently managing switch flow in software-defined networking while effectively tackling dos attacks | |
| JP3794491B2 (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| US7624444B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
| US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
| JP2006067605A (ja) | 攻撃検知装置および攻撃検知方法 | |
| WO2019140876A1 (zh) | 一种防网络攻击的幻影设备建立的方法、介质及设备 | |
| JP6101525B2 (ja) | 通信制御装置、通信制御方法、通信制御プログラム | |
| US11159533B2 (en) | Relay apparatus | |
| Salazar et al. | Enhancing the resiliency of cyber-physical systems with software-defined networks | |
| KR20230139984A (ko) | 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템 | |
| Yan et al. | Anti‐virus in‐the‐cloud service: are we ready for the security evolution? | |
| Ohri et al. | Software-defined networking security challenges and solutions: A comprehensive survey | |
| JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
| JP6220709B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| Foster | " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures | |
| Perry | Inferring Network Infrastructure and Session Information through Network Analysis | |
| JP2007312414A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
| Cohen et al. | On the Protection of a High Performance Load Balancer Against SYN Attacks** This is an extended journal version of [2] |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150710 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160513 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160614 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160812 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170131 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6101525 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |