JP3750803B2 - Packet log recording device - Google Patents
Packet log recording device Download PDFInfo
- Publication number
- JP3750803B2 JP3750803B2 JP2002094377A JP2002094377A JP3750803B2 JP 3750803 B2 JP3750803 B2 JP 3750803B2 JP 2002094377 A JP2002094377 A JP 2002094377A JP 2002094377 A JP2002094377 A JP 2002094377A JP 3750803 B2 JP3750803 B2 JP 3750803B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- storage means
- log recording
- address
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムで用いられるパケットログ記録装置に関し、特に記憶容量を低減することが可能なパケットログ記録装置に関する。
【0002】
【従来の技術】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0003】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
【0004】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0005】
図3はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図3において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0006】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0007】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0008】
ここで、図3に示す従来のパケット経路追跡システムの動作を図4及び図5を用いて説明する。図4は攻撃者(アタッカー)の攻撃経路を示す説明図、図5はパケットの記録状況を説明する説明図である。
【0009】
図4中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0010】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0011】
例えば、図5中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0012】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0013】
例えば、図4に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図4中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0014】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0015】
図6はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0016】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0017】
ここで、図6に示すパケットログ記録装置の動作を図7を用いて説明する。図7は取得したパケットの記録方法を説明する説明図である。
【0018】
図6中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0019】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0020】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0021】
例えば、演算制御手段12が、図7中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図7中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0022】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図7中”WD31”に示すようにデータを書き込む。
【0023】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0024】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0025】
この結果、図6に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0026】
【発明が解決しようとする課題】
しかし、図6に示すパケットログ記録装置では全てのパケット情報を記録する方法と比較して効率よくパケットの情報を保持することができるものの、記憶手段の記憶領域の利用効率に問題がある。
【0027】
すなわち、図7に示すようにデータ幅が8ビットの記憶手段を用いた場合、パケットの伝播の有無を示すためには1ビットだけで十分であるため、残りの7ビットは無駄になってしまうと言った問題点があった。
【0028】
言い換えれば、データ幅がnビットの記憶手段の場合、”1/n”の記憶領域しか使用していないことになってしまう。
【0029】
また、1つのパケットログ記録装置で複数の観測点(回線)をモニタする場合も可能であり、この場合も記憶手段の利用効率に問題がある。
【0030】
図8は1つのログ記憶手段で複数回線をモニタする場合の一例を示す構成ブロック図である。図8において14,15,16及び17はISP、18,19,20,21,22及び23はルータ、24はパケットログ記録装置である。但し、説明の簡単のためターゲットとなるサーバや攻撃者(アタッカー)の端末等の記載は省略している。
【0031】
ISP14はルータ18及び21を介してISP15に接続され、ルータ19及び22を介してISP16に接続され、ルータ20及び23を介してISP17に接続される。
【0032】
また、ルータ18とルータ21との間の回線、ルータ19とルータ22との間の回線及びルータ20とルータ23との間の回線にはパケットログ記録装置24が接続される。
【0033】
図8に示すようなパケットログ記録装置24の場合には、各観測点(回線)毎に図6に示すような構成が必要になり、記憶手段としては3個の記憶手段が別途必要になってしまうと言った問題点があった。
【0034】
このような、3個の記憶手段もまたデータ幅がnビットの記憶手段の場合には”1/n”の記憶領域しか使用していないことになってしまう。
従って本発明が解決しようとする課題は、記憶容量を低減することが可能なパケットログ記録装置システムを実現することにある。
【0035】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置において、
前記パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、前記観測点のパケットを前記ハッシュ値が示す前記記憶手段のアドレスのデータの各ビット単位に割り当てて記録させる複数の演算制御手段とから構成されたことにより、パケット内容を記録するパケットログ記録装置の記憶容量を低減することが可能になり、記憶手段の記憶領域の利用効率を向上させることも可能になる。
【0036】
請求項2記載の発明は、
ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置において、
前記パケットの情報を記録する記憶手段と、複数の前記観測点を伝播する複数のパケットをそれぞれ取り込み伝播中に不変である部分を抽出してそれぞれハッシュ関数を適用し、前記観測点のパケットを前記ハッシュ値が示す前記記憶手段のアドレスのデータの各ビット単位に割り当てて記録させる演算制御手段とから構成されたことにより、パケット内容を記録するパケットログ記録装置の記憶容量を低減することが可能になり、記憶手段の記憶領域の利用効率を向上させることも可能になる。
【0041】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【0042】
図1において25,26及び27は演算制御手段、28は記憶手段である。複数の異なる観測点である各回線(図示せず。)からの入力は演算制御手段25,26及び27に接続され、演算制御手段25,26及び27の出力は記憶手段28に接続される。
【0043】
ここで、図1に示すパケットログ記録装置の動作を図2を用いて説明する。図2は取得したパケットの記録方法を説明する説明図である。但し、従来例で説明したパケット経路追跡システムの基本的な動作に関しては説明を省略する。
【0044】
図1中”LG41”、”LG42”及び”LG43”に示すように各回線から入力されたパケットはそれぞれ演算制御手段25,26及び27に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0045】
そして、演算制御手段25,26及び27はそれぞれ抽出された情報をハッシュ関数を用いて各々のハッシュ値に変換し、これらのハッシュ値を記憶手段28のアドレスとみなして、該当するアドレスの特定のビットを立てる等してある特定のパケットが伝播したことを記録する。
【0046】
例えば、演算制御手段25が、図2中”PI51”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図2中”HV51”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0047】
この場合、演算制御手段25は得られたハッシュ値(XXXXH)を記憶手段28のアドレスとみなして、”XXXXH”のアドレスの最上位ビット(Most Significant Bit:MSB)に図2中”WD51”に示すようにデータを書き込む。
【0048】
同様に、例えば、演算制御手段26が、図2中”PI52”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図2中”HV52”に示すようなハッシュ値(XXXXH)を得られた場合を想定する。
【0049】
この場合、演算制御手段26は得られたハッシュ値(XXXXH)を記憶手段28のアドレスとみなして、”XXXXH”のアドレスの最下位ビットから6ビット目に図2中”WD52”に示すようにデータを書き込む。
【0050】
さらに、例えば、演算制御手段27が、図2中”PI53”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図2中”HV53”に示すようなハッシュ値(XXXXH)を得られた場合を想定する。
【0051】
この場合、演算制御手段27は得られたハッシュ値(XXXXH)を記憶手段28のアドレスとみなして、”XXXXH”のアドレスの最下位ビット(Least Significant Bit:LSB)に図2中”WD53”に示すようにデータを書き込む。
【0052】
すなわち、演算制御手段25,26及び27はハッシュ値が示すアドレスのうち”MSB”、”LSBから6ビット目”及び”LSB”にそれぞれデータを書き込むべきビットが割り当てられている。
【0053】
例えば、データの書込み方法としてはMSBやLSB等の該当する特定のビットを”0”から”1”に変更することによってビットを立てる。
【0054】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段28のアドレスの特定のビットに”1”が立っていれば該当する観測点(回線)で不正なパケットが伝播したことになる。
【0055】
すなわち、3つの観測点(回線)を観測する場合であっても記憶手段は1つで済み、1つのアドレスに3個所の観測点(回線)の情報を格納できるので記憶手段の記憶領域の利用効率も向上する。
【0056】
この結果、ハッシュ値が示すアドレスのデータを各ビット単位で複数の観測点(回線)に割り当ててビットを立てることにより、パケット内容を記録するパケットログ記録装置の記憶容量を低減することが可能になり、記憶手段の記憶領域の利用効率を向上させることも可能になる。
【0057】
なお、図1に示すログ記録装置において説明の簡単のために個々の観測点(回線)に対して演算制御手段25,26及び27を例示しているが、勿論、1つの演算制御手段で複数箇所の観測点(回線)からのパケットを取り込み処理を行っても構わない。
【0058】
また、図1に示すパケットログ記録装置においては、”MSB”、”LSBから6ビット目”及び”LSB”に演算制御手段25,26及び27が割り当てられているが、勿論、これに限定されるわけではなく、演算制御手段25等にデータを書き込むべきビットを適宜割り当てても構わない。
【0059】
また、実施例の説明に関しては、パケットログ記録装置はデータ幅が”8ビット”の記憶手段を用いて3個所の観測点(回線)のログを記録している例を例示しているが、この例に限定されるものではなく、データ幅がnビットの記憶手段の場合には最大”n”個所の観測点(回線)のログを記録を記録することが可能になる。
【0060】
また、図2の説明では特定ビットのデータを直接変更しているが、ハッシュ値が示すアドレスの全データと、特定ビットを”1”にするデータとの論理和を演算してハッシュ値が示すアドレスに再度書き込んでも構わない。
【0061】
例えば、図2中”WD52”に示すようにデータを書き込む場合には、ハッシュ値が示すアドレスの全データと、”00100000B”との論理和を演算することにより、最下位ビットから6ビット目の値は強制的に”1”になり、他のビットはそれ以前の状態を保持するので実質的に特定ビットに”1”を立てることができる。
【0062】
また、実施例の説明に際しては、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段28のアドレスの特定のビットに”1”が立っているか否かを判断しているが、前記ハッシュ値が示すアドレスをチェックしてデータが”0(=00H)”であれば、個々のビットを確認することなく全ての観測点(回線)で不正なパケットは伝播しなかったことが分かる。
【0063】
すなわち、前記ハッシュ値が示すアドレスのデータが”0(=00H)”かそれ以外かによって判断することにより、パケットログ記録装置が観測する複数の観測点(回線)での不正パケットの伝播の有無を一括して判断できるので、不正パケットの検索効率が向上することになる。
【0064】
また、前記ハッシュ値が示すアドレスのデータが”0(=00H)”ではない場合、データとマスク(例えば、”00100000B”)とで論理積を演算して特定のビットを取り出して、特定観測点での不正パケットの伝播の有無を判断しても構わない。
【0065】
また、不正パケットを検出した場合に特定ビット”0”から”1”に変更する旨記載しているが、勿論、”1”から”0”に変更するものであっても構わない。
【0066】
また、観測点としてルータ間の回線を例示しているが、観測点としてはルータやルータとISP間の回線等のどの点であっても構わない。さらに、観測方法としてはハブや回線分岐装置により回線を分岐しての観測、スイッチのミラーポート等による通信のコピーを介しての観測、若しくは、ルータ等のネットワーク接続機器の内部での観測であっても構わない。
【0067】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1及び請求項2の発明によれば、ハッシュ値が示すアドレスのデータを各ビット単位で複数の観測点(回線)に割り当ててビットを立てることにより、パケット内容を記録するパケットログ記録装置の記憶容量を低減することが可能になり、記憶手段の記憶領域の利用効率を向上させることも可能になる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムのログ記録装置の一実施例を示す構成ブロック図である。
【図2】取得したパケットの記録方法を説明する説明図である。
【図3】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図4】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図5】パケットの記録状況を説明する説明図である。
【図6】パケットログ記録装置の具体例を示す構成ブロック図である。
【図7】取得したパケットの記録方法を説明する説明図である。
【図8】1つのログ記憶手段で複数回線をモニタする場合の一例を示す構成ブロック図である。
【符号の説明】
1 端末
2 サーバ
3,4,14,15,16,17 ISP
5,6,7,8,18,19,20,21,22,23 ルータ
9,10,11,24 パケットログ記録装置
12,25,26,27 演算制御手段
13,28 記憶手段[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a packet log recording apparatus used in a packet path tracking system that records a packet propagating through a network and tracks the propagation path of the packet, and more particularly to a packet log recording apparatus capable of reducing the storage capacity.
[0002]
[Prior art]
On the conventional Internet, DoS (Denial of Service attack: hereinafter simply referred to as DoS) is a problem in which packets are continuously transmitted to a target to stop a service provided by the target. .
[0003]
In particular, DDoS (Distributed DoS: hereinafter simply referred to as DDoS), which performs DoS attacks on a single target simultaneously from a plurality of points, is a big problem.
[0004]
For this reason, in order to prevent such a DDoS attack or the like, a packet path tracking system that identifies the source of an illegal packet has been devised.
[0005]
FIG. 3 is a block diagram showing the configuration of an example of such a conventional packet path tracking system. In FIG. 3, 1 is a terminal operated by an attacker (attacker), 2 is a server that is a target of a DDoS attack or the like, 3 and 4 are ISPs (Internet Service Provider: hereinafter simply referred to as ISP),
[0006]
The
[0007]
Further, a packet log recording device 9 is connected to the line between the
[0008]
Here, the operation of the conventional packet path tracking system shown in FIG. 3 will be described with reference to FIGS. FIG. 4 is an explanatory diagram illustrating an attack path of an attacker (attacker), and FIG. 5 is an explanatory diagram illustrating a packet recording state.
[0009]
As shown by “AT01” in FIG. 4, the attacker (attacker) performs a DoS attack or the like from the
[0010]
On the other hand, the packet
[0011]
For example, as shown by “LG11”, “LG12” and “LG13” in FIG. 5, the packet
[0012]
Then, the illegal packet received by the
[0013]
For example, since the illegal packet used in the DoS attack shown in FIG. 4 is recorded in the packet
[0014]
However, in order to sequentially record all information of packets propagated to the monitored line, the storage means requires a huge storage capacity, and therefore a method for efficiently holding packet information has been devised. .
[0015]
FIG. 6 is a block diagram showing a specific example of such a packet log recording apparatus, wherein 12 is an arithmetic control means, and 13 is a storage means.
[0016]
The input from the line that is the observation point is connected to the calculation control means 12, and the output of the calculation control means 12 is connected to the storage means 13.
[0017]
Here, the operation of the packet log recording apparatus shown in FIG. 6 will be described with reference to FIG. FIG. 7 is an explanatory diagram for explaining a method of recording the acquired packet.
[0018]
As shown by “LG21” in FIG. 6, a packet input from a line as an observation point is taken into the arithmetic control means 12, and a portion that is invariant during propagation is extracted from an IP (Internet Protocol) packet.
[0019]
Then, the arithmetic control means 12 converts the extracted information into a hash value using a hash function, regards this hash value as the address of the storage means 13, and sets a specific packet such as setting a bit at the corresponding address. Records that has been propagated.
[0020]
Here, the hash function is a function that generates a fixed-length pseudo-random number (hash value) from the original text, and since this hash function includes an irreversible one-way function, the original text is generated from the generated hash value. It cannot be reproduced. Also, it is extremely difficult to create different data with the same hash value.
[0021]
For example, the
[0022]
In this case, the arithmetic control means 12 regards the obtained hash value (XXXXH) as the address of the storage means 13 and writes data to the address “XXXXH” as indicated by “WD31” in FIG.
[0023]
For example, it is recorded that a specific packet has been propagated by changing the data writing method from “00000000B (8-bit data)” to “00000001B” or the like (setting a bit).
[0024]
If a bit is set in the address of the storage means 13 corresponding to the hash value obtained by applying the hash function to an illegal packet received by a server that has received a DoS attack or the like, the illegal packet is recorded in the packet log. This means that the device has propagated through the connected line.
[0025]
As a result, the packet log recording apparatus shown in FIG. 6 does not record all the packet information in the storage means, but records it at the address of the storage means corresponding to the hash value obtained by applying the hash function to a part of the packet. By doing (setting a bit), the storage capacity of the storage means may be small, and packet information can be efficiently held.
[0026]
[Problems to be solved by the invention]
However, although the packet log recording apparatus shown in FIG. 6 can hold packet information more efficiently than the method of recording all packet information, there is a problem in the use efficiency of the storage area of the storage means.
[0027]
That is, as shown in FIG. 7, when a storage means with a data width of 8 bits is used, only 1 bit is sufficient to indicate the presence or absence of packet propagation, so the remaining 7 bits are wasted. There was a problem that said.
[0028]
In other words, in the case of a storage means having a data width of n bits, only the “1 / n” storage area is used.
[0029]
It is also possible to monitor a plurality of observation points (lines) with one packet log recording device, and in this case, there is a problem in the utilization efficiency of the storage means.
[0030]
FIG. 8 is a configuration block diagram showing an example in which a plurality of lines are monitored by one log storage unit. In FIG. 8, 14, 15, 16, and 17 are ISPs, 18, 19, 20, 21, 22, and 23 are routers, and 24 is a packet log recording device. However, the description of the target server and the attacker's (attacker) terminal is omitted for the sake of simplicity.
[0031]
The
[0032]
A packet log recording device 24 is connected to the line between the router 18 and the
[0033]
In the case of the packet log recording device 24 as shown in FIG. 8, the configuration as shown in FIG. 6 is required for each observation point (line), and three storage means are separately required as the storage means. There was a problem that said.
[0034]
In the case where such three storage units are also storage units having a data width of n bits, only the “1 / n” storage area is used.
Therefore, the problem to be solved by the present invention is to realize a packet log recording apparatus system capable of reducing the storage capacity.
[0035]
[Means for Solving the Problems]
In order to achieve such a problem, the invention according to
In a packet log recording device that records packets propagating through multiple observation points of the network,
Storage means for recording information of the packet; and taking a packet propagating through one of the plurality of observation points, extracting a portion that is invariant during propagation, applying a hash function, and converting the packet at the observation point to the hash value The memory capacity of the packet log recording device for recording packet contents can be reduced by comprising a plurality of operation control means for allocating and recording each bit of the address data of the storage means indicated by Thus, it is possible to improve the utilization efficiency of the storage area of the storage means.
[0036]
The invention according to
In a packet log recording device that records packets propagating through multiple observation points of the network,
Storage means for recording the information of the packet, a plurality of packets propagating through the plurality of observation points, respectively, extracting portions that are invariant during propagation and applying a hash function to each of the packets at the observation points, It is possible to reduce the storage capacity of the packet log recording apparatus for recording packet contents by comprising arithmetic control means for allocating and recording each bit of the address data of the storage means indicated by the hash value. Thus, it is possible to improve the utilization efficiency of the storage area of the storage means.
[0041]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of an embodiment of a log recording device of a packet path tracking system according to the present invention.
[0042]
In FIG. 1, 25, 26 and 27 are arithmetic control means, and 28 is a storage means. Inputs from lines (not shown) as a plurality of different observation points are connected to the calculation control means 25, 26 and 27, and outputs of the calculation control means 25, 26 and 27 are connected to the storage means 28.
[0043]
Here, the operation of the packet log recording apparatus shown in FIG. 1 will be described with reference to FIG. FIG. 2 is an explanatory diagram for explaining a method of recording the acquired packet. However, the description of the basic operation of the packet path tracking system described in the conventional example is omitted.
[0044]
As shown by “LG41”, “LG42”, and “LG43” in FIG. 1, packets input from each line are taken into arithmetic control means 25, 26, and 27, respectively, and are being propagated in IP (Internet Protocol) packets. Extract parts that are invariant to.
[0045]
Then, the arithmetic control means 25, 26 and 27 convert the extracted information into respective hash values using a hash function, regard these hash values as addresses of the storage means 28, and specify the corresponding address. Records that a specific packet has been propagated, such as by setting a bit.
[0046]
For example, the arithmetic control means 25 applies a hash function to a portion that is invariant during propagation extracted from the acquired packet as shown by “PI51” in FIG. 2, and as shown by “HV51” in FIG. Assume that a hash value (for example, XXXXH: 16-bit hexadecimal representation) is obtained.
[0047]
In this case, the arithmetic control unit 25 regards the obtained hash value (XXXXH) as the address of the storage unit 28 and sets the most significant bit (MSB) of the address “XXXXH” to “WD51” in FIG. Write data as shown.
[0048]
Similarly, for example, the arithmetic control unit 26 applies a hash function to a portion that is invariant during propagation extracted from the acquired packet as indicated by “PI52” in FIG. Assume that a hash value (XXXXH) as shown is obtained.
[0049]
In this case, the arithmetic control means 26 regards the obtained hash value (XXXXH) as the address of the storage means 28, and the sixth bit from the least significant bit of the address “XXXXH” is indicated by “WD52” in FIG. Write data.
[0050]
Further, for example, the arithmetic control means 27 applies a hash function to a portion that is invariant during propagation extracted from the acquired packet as indicated by “PI53” in FIG. 2, and is indicated by “HV53” in FIG. Assume that such a hash value (XXXXH) is obtained.
[0051]
In this case, the arithmetic control means 27 regards the obtained hash value (XXXXH) as the address of the storage means 28 and sets the least significant bit (LSB) of the address “XXXXH” to “WD53” in FIG. Write data as shown.
[0052]
That is, in the arithmetic control means 25, 26 and 27, bits to which data is to be written are assigned to “MSB”, “6th bit from LSB” and “LSB” of the address indicated by the hash value.
[0053]
For example, as a data writing method, a bit is set by changing a corresponding specific bit such as MSB or LSB from “0” to “1”.
[0054]
Then, if “1” is set in a specific bit of the address of the storage means 28 corresponding to the hash value obtained by applying the hash function to an illegal packet received by a server that has received a DoS attack, etc. An illegal packet propagated at the observation point (line).
[0055]
That is, even when three observation points (lines) are observed, only one storage means is required, and information on three observation points (lines) can be stored in one address, so that the storage area of the storage means can be used. Efficiency is also improved.
[0056]
As a result, it is possible to reduce the storage capacity of the packet log recording device that records packet contents by assigning the data of the address indicated by the hash value to a plurality of observation points (lines) in units of bits and setting the bits. Thus, it is possible to improve the utilization efficiency of the storage area of the storage means.
[0057]
In the log recording apparatus shown in FIG. 1, the arithmetic control means 25, 26, and 27 are illustrated for individual observation points (lines) for the sake of simplicity of explanation. A packet from a certain observation point (line) may be taken in and processed.
[0058]
In the packet log recording apparatus shown in FIG. 1, the arithmetic control means 25, 26, and 27 are assigned to “MSB”, “6th bit from LSB”, and “LSB”. However, the bits for writing data may be appropriately assigned to the arithmetic control means 25 or the like.
[0059]
As for the description of the embodiment, the packet log recording device exemplifies an example in which logs of three observation points (lines) are recorded using a storage means having a data width of “8 bits”. The present invention is not limited to this example, and in the case of a storage means having a data width of n bits, it is possible to record a log of a maximum of “n” observation points (lines).
[0060]
In the description of FIG. 2, the data of the specific bit is directly changed, but the hash value is indicated by calculating the logical sum of all the data of the address indicated by the hash value and the data that sets the specific bit to “1”. You may write to the address again.
[0061]
For example, when data is written as indicated by “WD52” in FIG. 2, the sixth bit from the least significant bit is calculated by calculating the logical sum of all data at the address indicated by the hash value and “00100000B”. The value is forcibly set to “1”, and other bits hold the previous state, so that a specific bit can be substantially set to “1”.
[0062]
In the description of the embodiment, the specific bit of the address of the storage means 28 corresponding to the hash value obtained by applying the hash function to the illegal packet received by the server subjected to the DoS attack or the like is “1”. It is determined whether or not “is standing”, but if the address indicated by the hash value is checked and the data is “0 (= 00H)”, all the observation points (without checking individual bits) It can be seen that illegal packets were not propagated on the line).
[0063]
That is, whether or not an illegal packet is propagated at a plurality of observation points (lines) observed by the packet log recording device by determining whether the data of the address indicated by the hash value is “0 (= 00H)” or otherwise. Can be determined collectively, so that the efficiency of searching for illegal packets is improved.
[0064]
If the data at the address indicated by the hash value is not “0 (= 00H)”, a specific bit is obtained by calculating a logical product of the data and a mask (for example, “00100000B”), and a specific observation point. Whether or not an illegal packet is propagated in the network may be determined.
[0065]
Further, it is described that the specific bit is changed from “0” to “1” when an illegal packet is detected, but of course, it may be changed from “1” to “0”.
[0066]
Further, although the line between the routers is illustrated as the observation point, the observation point may be any point such as a router or a line between the router and the ISP. In addition, observation methods include observation using a hub or circuit branching device for branching, observation via a copy of communication using a mirror port of a switch, or observation inside a network connection device such as a router. It doesn't matter.
[0067]
【The invention's effect】
As is apparent from the above description, the present invention has the following effects.
According to the first and second aspects of the present invention, a packet log recording apparatus for recording packet contents by assigning bits of address data indicated by a hash value to a plurality of observation points (lines) in units of bits. The storage capacity of the storage means can be reduced, and the use efficiency of the storage area of the storage means can be improved.
[Brief description of the drawings]
FIG. 1 is a configuration block diagram showing an embodiment of a log recording device of a packet path tracking system according to the present invention.
FIG. 2 is an explanatory diagram illustrating a method for recording acquired packets.
FIG. 3 is a configuration block diagram showing an example of a conventional packet path tracking system.
FIG. 4 is an explanatory diagram showing an attack path of an attacker (attacker).
FIG. 5 is an explanatory diagram for explaining a packet recording state;
FIG. 6 is a configuration block diagram showing a specific example of a packet log recording apparatus.
FIG. 7 is an explanatory diagram illustrating a method for recording acquired packets.
FIG. 8 is a configuration block diagram showing an example when a plurality of lines are monitored by one log storage unit;
[Explanation of symbols]
1
5, 6, 7, 8, 18, 19, 20, 21, 22, 23
Claims (2)
前記パケットの情報を記録する記憶手段と、
複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、前記観測点のパケットを前記ハッシュ値が示す前記記憶手段のアドレスのデータの各ビット単位に割り当てて記録させる複数の演算制御手段とから構成されたことを特徴とするパケットログ記録装置。In a packet log recording device that records packets propagating through multiple observation points of the network,
Storage means for recording information of the packet;
Each of the data at the address of the storage means indicated by the hash value is obtained by taking a packet propagating through one of the observation points and extracting a portion that is invariant during propagation and applying a hash function. A packet log recording apparatus comprising a plurality of operation control means for allocating and recording in bit units .
前記パケットの情報を記録する記憶手段と、
複数の前記観測点を伝播する複数のパケットをそれぞれ取り込み伝播中に不変である部分を抽出してそれぞれハッシュ関数を適用し、前記観測点のパケットを前記ハッシュ値が示す前記記憶手段のアドレスのデータの各ビット単位に割り当てて記録させる演算制御手段とから構成されたことを特徴とするパケットログ記録装置。In a packet log recording device that records packets propagating through multiple observation points of the network,
Storage means for recording information of the packet;
A plurality of packets propagating through a plurality of observation points are respectively fetched, portions that are invariant during propagation are extracted, a hash function is applied to each , and the data of the address of the storage means indicated by the hash value for the packet at the observation point A packet log recording apparatus comprising: an arithmetic control means for allocating and recording each bit unit .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002094377A JP3750803B2 (en) | 2002-03-29 | 2002-03-29 | Packet log recording device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002094377A JP3750803B2 (en) | 2002-03-29 | 2002-03-29 | Packet log recording device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003298648A JP2003298648A (en) | 2003-10-17 |
| JP3750803B2 true JP3750803B2 (en) | 2006-03-01 |
Family
ID=29386961
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002094377A Expired - Fee Related JP3750803B2 (en) | 2002-03-29 | 2002-03-29 | Packet log recording device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3750803B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005167450A (en) * | 2003-12-01 | 2005-06-23 | Yokogawa Electric Corp | Packet log recording device |
| US7855974B2 (en) * | 2004-12-23 | 2010-12-21 | Solera Networks, Inc. | Method and apparatus for network packet capture distributed storage system |
| JP6096084B2 (en) * | 2013-08-27 | 2017-03-15 | 日本電信電話株式会社 | Traffic scanning apparatus and method |
-
2002
- 2002-03-29 JP JP2002094377A patent/JP3750803B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003298648A (en) | 2003-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9118719B2 (en) | Method, apparatus, signals, and medium for managing transfer of data in a data network | |
| US6944663B2 (en) | Method and apparatus for using client puzzles to protect against denial-of-service attacks | |
| US20180302438A1 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| US20180139228A1 (en) | Apparatus, system, and method for protecting against denial of service attacks using one-time cookies | |
| US20020191785A1 (en) | Apparatus and method for encrypting and decrypting data with incremental data validation | |
| US8365045B2 (en) | Flow based data packet processing | |
| US12513186B2 (en) | Systems and methods for mitigating DDoS attacks on internet protocol networks | |
| CN108011850A (en) | The recombination method and device of data packet, computer equipment and computer-readable recording medium | |
| JP3750803B2 (en) | Packet log recording device | |
| CN112073376A (en) | Attack detection method and device based on data plane | |
| KR20190028597A (en) | Matching method of high speed snort rule and yara rule based on fpga | |
| US7515585B2 (en) | Data communication optimization | |
| CN111131548B (en) | Information processing method, apparatus and computer readable storage medium | |
| CN102576392B (en) | Malicious code detection | |
| JP3832412B2 (en) | Packet path tracking system | |
| JP3826399B2 (en) | Packet log recording device | |
| JP7221170B2 (en) | Attribute information generation device, attribute identification device, attribute information generation method, and attribute identification method | |
| CN116708043A (en) | Method and system for tracking user traffic in a network shooting range | |
| CN116633665A (en) | Hybrid attack source tracing method and system for address spoofing | |
| JP3797308B2 (en) | Packet log recording device | |
| CN110868388B (en) | System and method for operating networked devices | |
| CN114928661A (en) | Session keeping method and device | |
| JP3889701B2 (en) | Packet path tracking system | |
| JP4203809B2 (en) | Packet log recording device | |
| US12519828B2 (en) | Mitigating DDOS attacks on internet protocol networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050111 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050113 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050304 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050808 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050829 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20051005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051117 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051130 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101216 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |