JP4867949B2 - Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program - Google Patents
Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program Download PDFInfo
- Publication number
- JP4867949B2 JP4867949B2 JP2008126516A JP2008126516A JP4867949B2 JP 4867949 B2 JP4867949 B2 JP 4867949B2 JP 2008126516 A JP2008126516 A JP 2008126516A JP 2008126516 A JP2008126516 A JP 2008126516A JP 4867949 B2 JP4867949 B2 JP 4867949B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- packet
- relay
- relay device
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000005540 biological transmission Effects 0.000 title claims description 50
- 238000000034 method Methods 0.000 title claims description 25
- 238000004891 communication Methods 0.000 claims description 149
- 238000012546 transfer Methods 0.000 claims description 47
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 230000001629 suppression Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 238000013519 translation Methods 0.000 description 4
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 3
- 206010000210 abortion Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークに接続された機器に対して行われるネットワーク経由の不正な通信パケットおよび通信アクセスの発信元を特定する手法に関する。 The present invention relates to a technique for specifying an unauthorized communication packet via a network and a source of communication access performed for a device connected to the network.
通信ネットワーク(インターネット)においては、サーバや通信端末に通信ネットワークを介して大量の通信トラフィックが送り込まれたり、悪意のある通信アクセスが行われたりすることによって、正当なユーザの利用が妨げられたり、サーバの動作に障害が引き起こされ、深刻な問題となっている。
また、上記のような通信ネットワークを介して行われる攻撃は、プロキシサーバやアドレス変換NAT(Network Address Translation)/NAPT(Network Address Port Translation)を行うパケット中継装置を介して行われた場合、パケット中継装置が通信を中継する際にパケット情報内の送信元のアドレス情報を書き換えてしまう。
このため、攻撃を受けた側から攻撃元を一意に特定し通信を制御することが困難であり、複数のパケット中継装置を介して攻撃が行われた場合には、攻撃元を特定することがさらに困難となっていた。
In the communication network (Internet), a large amount of communication traffic is sent to the server or communication terminal via the communication network, or malicious communication access is performed, so that the use of legitimate users is hindered, The server's operation has become a serious problem.
Further, when an attack performed through the communication network as described above is performed through a proxy server or a packet relay device that performs NAT (Network Address Translation) / NAPT (Network Address Port Translation), packet relay When the apparatus relays communication, the source address information in the packet information is rewritten.
For this reason, it is difficult to uniquely identify the attack source from the attacked side and control the communication. When an attack is performed via a plurality of packet relay devices, it is possible to identify the attack source. It was even more difficult.
これに対して、ネットワーク毎にIDS(Intrusion Detection System)を設置し、各IDSのログを一箇所に集めて相関分析を行うことにより、攻撃元の不正端末を特定することができる。
しかしながら、この場合、ネットワーク毎に攻撃を検知する装置が必要となり、運用上のコストが膨大になり、更には、相関分析を行う管理装置が停止した場合にシステム全体が機能しなくなるという不都合が生じる。
また、上記ネットワークが複数のサブネットに分割されているような大規模なネットワークの場合に、ログの相関分析だけでは攻撃元を一意に特定すること困難であり、更には、ログを一箇所に集めると、ディスクを圧迫することになるという不都合があった。
On the other hand, by installing IDS (Intrusion Detection System) for each network, collecting the logs of each IDS in one place and performing correlation analysis, it is possible to identify the attacking fraudulent terminal.
However, in this case, a device for detecting an attack is required for each network, and the operational cost becomes enormous. Furthermore, when the management device that performs correlation analysis stops, the entire system does not function. .
In addition, in the case of a large-scale network where the above network is divided into multiple subnets, it is difficult to uniquely identify the attack source by log correlation analysis alone, and further, logs are collected in one place. There was a disadvantage that it would squeeze the disk.
又、上記問題に対して、プロキシサーバを使わず、又アドレス変換も行うことなくネットワークシステムを運用することにより、不正端末を特定する手法が考えられる。
しかしながら、この場合、割り当てできるIPアドレスには限りがあるため、ネットワークの規模が大きくなった場合には、対応できなくなる。
また、攻撃元の検索範囲は、ネットワーク構成を把握できる範囲に限定されてしまい、更には、プロキシサーバによるネットワーク運用の各種メリットが得られなくなるという不都合がある。
In order to deal with the above problem, a method of identifying an unauthorized terminal by using a network system without using a proxy server and without performing address conversion can be considered.
However, in this case, since the IP addresses that can be assigned are limited, it becomes impossible to cope with an increase in the network scale.
In addition, the search range of the attack source is limited to a range where the network configuration can be grasped, and further, there are inconveniences that various merits of network operation by the proxy server cannot be obtained.
これに対する関連技術として、攻撃が検知されたネットワーク装置に予め設定されたエージェントプログラム部が、攻撃元により近いネットワーク装置に対して攻撃パケットを制御するエージェントプログラム部自身の複製(プログラム)を送信し、攻撃元により近いネットワーク装置にさかのぼって攻撃パケットを制御する手法が開示されている(特許文献1、2)。
As a related technique for this, the agent program unit preset in the network device in which the attack is detected transmits a copy (program) of the agent program unit itself that controls the attack packet to the network device closer to the attack source, Techniques for controlling attack packets going back to network devices closer to the attack source have been disclosed (
しかしながら、上記特許文献1および2ではいずれも、攻撃がアドレス変換を行うパケット中継装置を介して行われた場合を考慮しておらず、攻撃元を特定すること困難となる不都合がある。
また、送信元の情報を書き換える特定のパケット中継装置を介する通信アクセスをすべてブロックすることにより、それを利用する他の正当な端末からの通信も全てブロックされてしまうという不都合が生じ得る。
However, both
In addition, by blocking all communication access via a specific packet relay device that rewrites the information of the transmission source, there may be a disadvantage that all communication from other legitimate terminals that use it is also blocked.
更には、通信ネットワーク上に攻撃元を特定する専用装置の設置が必要となるため運用上のコストが高くなるという不都合もある。 Furthermore, since it is necessary to install a dedicated device for identifying the attack source on the communication network, there is a disadvantage that the operational cost increases.
[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、送信元を示す情報が変更されたパケット通信が行われた場合に前記パケット通信の送信元を特定するパケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラムを提供することを、その目的とする。
[Object of invention]
The present invention improves the inconvenience of the related technology, and a packet transmission source identification system for identifying a transmission source of the packet communication when packet communication in which information indicating the transmission source is changed is performed. It is an object of the present invention to provide a method and a packet source specifying program.
上記目的を達成するために、本発明に係るパケット送信元特定システムは、通信ネットワークを介して送り込まれた通信パケットの中継転送を行うと共に当該中継転送に際して前記通信パケットに含まれるアドレス情報の変換を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えた構成をとっている。 In order to achieve the above object, a packet source identification system according to the present invention performs relay transfer of a communication packet sent via a communication network and converts address information included in the communication packet during the relay transfer. And a plurality of communication terminals that communicate with each other via the relay device, wherein the relay device includes address information before and after the conversion, and each relay transfer performed by the relay device Means for storing communication specifying information for specifying the communication, means for mutually notifying the communication specifying information with another preset relay device, and when an attack packet is sent to the communication terminal And a means for specifying a source of the attack packet based on the communication specifying information.
又、本発明にかかるパケット送信元特定方法は、通信ネットワーク上で通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するパケット送信元特定方法であって、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴としている。 The packet source identification method according to the present invention includes a relay device that converts source address information of a communication packet communicated on a communication network and performs relay transfer, and a plurality of devices that communicate with each other via the relay device. A packet transmission source identification method for identifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent to the communication terminal, wherein each relay transfer is identified A communication identification information notification step for notifying other preset relay apparatus of communication identification information to be performed, and when the attack packet is sent from the unauthorized terminal to the communication terminal, An unauthorized terminal search requesting step for requesting a terminal search; and an unauthorized terminal specifying step for specifying the unauthorized terminal based on the communication specifying information and the search request. It is characterized in.
更に、本発明にかかるパケット送信元特定プログラムは、通信ネットワークを介して通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するためのパケット送信元特定プログラムであって、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としている。 Furthermore, the packet transmission source specifying program according to the present invention communicates with each other via a relay device that converts the transmission source address information of a communication packet communicated via a communication network and performs relay transfer. A packet transmission source identification program for identifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent to the communication terminal, When an attack packet is sent from the communication terminal to the communication terminal, an unauthorized terminal search function for searching for the unauthorized terminal and communication specifying information for specifying each relay transfer are notified to other preset relay devices. A communication identification information notifying function for performing an unauthorized terminal identification function for identifying the unauthorized terminal based on the search result and the communication identification information. It is characterized in that to execute.
本発明は、以上のように構成され機能するので、これによると、通信パケットの通信を行う中継装置は、当該中継装置を介して実行された各パケット通信を示す通信特定情報を他の中継装置との間で相互に通知する手段と、通信特定情報に基づき攻撃パケットの送信元を特定する手段とを備えたことにより、前記中継装置を介して送信元アドレス情報の変更された通信パケットが送り込まれた場合に、当該通信パケットの送信元(例えば不正端末)を、迅速に特定することができる。 Since the present invention is configured and functions as described above, according to this, a relay apparatus that performs communication of communication packets transmits communication specific information indicating each packet communication performed via the relay apparatus to other relay apparatuses. A communication packet in which the source address information is changed is sent via the relay device. In this case, the transmission source (for example, unauthorized terminal) of the communication packet can be quickly identified.
[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
[Embodiment]
Next, the basic configuration content of the embodiment of the present invention will be described.
本実施形態のパケット送信元特定システムは、図1に示すように、通信回線を介して相互に接続されLANを設定する中継ルータ(中継装置に相当)11、管理端末(検索要求端末に相当)12、および通信回線を介してサービスを提供を行うサーバ(通信端末に相当)13と、中継ルータ11を介して接続され上記LAN1とは別のLAN2を構成するプロキシサーバ14、および中継ルータ15と、この中継ルータ15を介して接続され、更に異なるLAN3に接続された不正端末16とを備えた構成となっている。
ここで、上記中継ルータ11は、プロキシサーバ14の属するネットワーク(LAN2)から管理端末12の属するネットワーク(LAN1)へ通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
また、管理端末12は、サーバ13を監視し、サーバ13に対して攻撃パケットが送り込まれた場合に、それを調査し対策を行う。
As shown in FIG. 1, the packet source identification system of this embodiment includes a relay router (corresponding to a relay device) 11 and a management terminal (corresponding to a search request terminal) that are connected to each other via a communication line and set up a LAN. 12, a server (corresponding to a communication terminal) 13 for providing a service via a communication line, a
Here, when the
In addition, the
更に、上記プロキシサーバ14は、不正端末16からサーバ13へのアクセス(不正アクセス)を中継し、中継ルータ15は、不正端末16の属するネットワーク(LAN3)からプロキシサーバ14の属するネットワーク(LAN2)に対する通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
不正端末16は、サーバ13に対する攻撃パケットの送信(又は通信アクセス)を行う。
Further, the
The
また、上記図1に示されたパケット送信元特定システムは、図2に示すように、オーバレイネットワークとして表すことができる。
ここでは、中継ルータ11内に設定され当該中継ルータ11を介して実行される中継通信を制御するエージェントプログラム部21と、同様に、プロキシサーバ14内に設定されこのプロキシサーバ14を介して実行される中継通信の制御を行うエージェントプログラム部22、および、中継ルータ15内に設定されこの中継ルータ15を介して実行される中継通信の制御を行うエージェントプログラム部23を備えた構成となっている。
Further, the packet transmission source specifying system shown in FIG. 1 can be represented as an overlay network as shown in FIG.
Here, similarly to the
これにより、パケットの送信元(アドレス)情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して、攻撃が行われた場合でも、攻撃元を正確にかつ高速に特定できる。 As a result, even when an attack is performed via a proxy server that rewrites the packet transmission source (address) information or a device that performs address conversion, the attack source can be identified accurately and at high speed.
更に、図1および2では、不正端末16から攻撃パケットが送出され、当該攻撃パケットが中継ルータ15、プロキシサーバ14、および中継ルータ11を介してサーバ13に送り込まれた場合を示している。また、図1および2における点線矢印は、サーバ13に送り込まれた攻撃パケットを検出した管理端末12が、中継ルータ15に対して行う不正端末16の制御要求を示している。
尚、管理端末12は、不正端末16の制御指令および制御コマンド等を中継ルータ11を介して中継ルータ15に送信してもよい。
Further, FIGS. 1 and 2 show a case where an attack packet is sent from the
The
ここで、上記実施形態の各エージェントプログラム部について、図3のブロック図に基づき説明する。 Here, each agent program unit of the above embodiment will be described based on the block diagram of FIG.
中継ルータ11は、少なくとも、予め設定され演算処理を行う中央演算処理部(CPU)、処理対象のデータおよびプログラムを一時的に記憶する記憶装置など、一般的なコンピュータが有する構成を有し、上記CPUが予め設定されたプログラムの実行を行うことにより機能するエージェントプログラム部21を備えている。
また、中継ルータ11は、当該中継ルータ11を介して実行された通信セッションを特定するセッション情報を、セッション情報管理テーブルとして記憶管理するセッション情報管理データベース(DB)41と、中継ルータ11を介して実行された通信パケットの通信ログを記憶する通信ログ記憶部42を有する構成となっている。
The
Further, the
また、エージェントプログラム部21は、上記セッション情報管理テーブルを参照して不正端末16を検索し特定する不正端末検索部32と、パケット中継装置11の通信ログ、およびセッション情報管理テーブルに基づきセッション情報を送信する、又は上記セッション情報管理DB内のセッション情報管理テーブルを更新するセッション情報収集部33と、他のエージェントプログラム部(22、23)から送り込まれた不正端末制御依頼情報(以下「制御依頼」という)を解析すると共に、隣接して接続されたネットワーク装置(ここでは、中継ルータまたはプロキシサーバ)を制御して、不正端末16からの通信を制御する不正端末制御部34からなる。
また、エージェントプログラム部21は、他のエージェントプログラム部(22、23)から送り込まれたセッション情報、又は制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行い、必要に応じて攻撃元端末(不正端末16)に対してより近接したネットワーク装置のエージェントプログラム部(ここでは23)に制御依頼を中継送信するエージェント機能制御部31を備えている。
Further, the
The
尚、上記では、パケット中継装置11、および当該パケット中継装置11に設定されたエージェントプログラム部21について説明したが、プロキシサーバ14、およびパケット中継装置15それぞれの内部に設定されるエージェントプログラム部22、および23も同じ構成を有するものとする。
In the above description, the
ここで、上記エージェントプログラム部は、パケット中継装置(中継ルータ又はプロキシサーバ)内ではなく通信ネットワークに接続された他の装置内に設置されてもよい。
また、エージェントプログラム部は、他のパケット中継装置上の通信ログを参照できると共に、他のパケット中継装置を制御可能であれば、通信端末内に設定されていてもよい。
Here, the agent program unit may be installed not in the packet relay device (relay router or proxy server) but in another device connected to the communication network.
Further, the agent program unit may be set in the communication terminal as long as it can refer to the communication log on the other packet relay device and can control the other packet relay device.
又、エージェントプログラム部を連携させることで、攻撃元を正確にかつ高速に特定し、攻撃元直近のネットワーク装置で不正な通信を制御できる。
更に、不正端末(攻撃元)の検索依頼と制御依頼を、パケット中継装置上の前記エージェントプログラムに中継させることで、ネットワークの匿名性を維持しつつ、不正端末からの通信をピンポイントで制御できる。
Further, by linking the agent program unit, the attack source can be specified accurately and at high speed, and unauthorized communication can be controlled by the network device nearest to the attack source.
In addition, by relaying search requests and control requests for unauthorized terminals (attack sources) to the agent program on the packet relay device, communication from unauthorized terminals can be controlled pinpoint while maintaining network anonymity. .
更に、異なるエージェントプログラム部を相互に連携させることによって、攻撃パケットの送信元を一意に特定し、不正端末からの通信を制御することができる。
また、上記エージェントプログラム部における処理を、異なる通信端末内に分散して実行することにより、各パケット中継装置における処理負荷を軽減することができる。
Furthermore, by linking different agent program units to each other, it is possible to uniquely identify the source of the attack packet and control communication from an unauthorized terminal.
Further, the processing load on each packet relay device can be reduced by executing the processing in the agent program unit in a distributed manner in different communication terminals.
以下、これを詳説する。 This will be described in detail below.
上記エージェントプログラム部21は、上述のように、中継ルータ11内部に予め備えられたセッション情報管理テーブルを参照して不正端末を特定する不正端末検索部32と、セッション情報管理データベース(DB)41に予め設けられたセッション情報収集ルールに基づき、エージェントプログラム部21に近接して接続された他のエージェントプログラム部にセッション情報を送信するセッション情報収集部33とを備えている。
As described above, the
ここで、セッション情報管理データベース(DB)41には、当該セッション情報DB41の設定された中継ルータ又はプロキシサーバ(総称として「パケット中継装置」という)で実行された中継通信を示すセッション情報がセッション情報管理テーブルとして管理されている。
また、セッション情報管理データベース(DB)41は、エージェントプログラム部21が他のエージェントプログラム部との間でセッション情報の通信を行う場合に、当該通信において指定されるパラメータ(宛先、プロトコルなど)がリスト化されたセッション情報収集ルール管理テーブルを記憶している。
Here, in the session information management database (DB) 41, session information indicating relay communication executed by the relay router or proxy server (generally referred to as “packet relay device”) set in the
The session information management database (DB) 41 is a list of parameters (destination, protocol, etc.) specified in the communication when the
また、セッション情報収集部33は、通信ログ記憶部42、およびセッション情報管理DB41を参照すると共に、上述のように、セッション情報収集ルール管理テーブルに基づき予め設定された近隣のエージェントプログラム部にセッション情報を送信する機能と、セッション情報管理DB41内に設定されたセッション情報管理テーブルを更新する機能を有する。
In addition, the session
ここで、通信ログ記憶部42に記憶された通信ログには、攻撃元端末(不正端末)を特定するための情報として少なくとも、中継前の送信元IPアドレス、中継前の送信元ポート番号、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継前の宛先IPアドレス、中継前の宛先ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間情報を有するものとする。
Here, the communication log stored in the communication
更に、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれた制御依頼を解析すると共に、隣接するネットワーク装置を制御して、不正端末からの通信を制限制御する不正端末制御部34を有する。
また、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれたセッション情報、もしくは制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行うと共に、必要に応じて攻撃元に対してより近いエージェントプログラム部に制御依頼を転送するエージェント機能制御部31を備えている。
Further, the
The
更に、エージェントプログラム部21は、セッション情報や制御依頼を受信して処理するサーバ機能を備え、このサーバ機能の設定パラメータとして、このサーバ機能を実行する際に指定される待ち受けポート番号を有する。
Further, the
また、エージェントプログラム部21は、他の隣接するエージェントプログラム部のIPアドレスが登録された下流ノードリストを有し、当該他のエージェントプログラム部から送り込まれたセッション情報を受信する際に、この下流ノードリストに予め登録してあるIPアドレスからのみセッション情報を受信する。
Further, the
また、エージェントプログラム部21は、取得されたセッション情報をセッション情報管理テーブル内に保持する期間を示すセッション情報保持期間情報と、前記セッション情報収集部33が隣接するパケット中継装置の通信ログを差分チェックし通信セッションを特定する際に必要な情報を取得する時間間隔を示すセッション更新間隔情報を、保持している。
Further, the
ここで、エージェント機能制御部31は、セッション情報管理DB41内に設定されたセッション情報収集ルールに基づき、予め設定されたエージェントプログラム部に対して、取得されたセッション情報の送信を行うか、もしくはセッション情報管理DB41内のセッション情報管理テーブルの更新を行う機能を有する。
更に、エージェント機能制御部31は、セッション情報管理テーブルを確認した場合に、予め設定された期間より古いセッション情報を破棄する処理を行う機能を備えている。
Here, the agent
Further, the agent
これにより、エージェント機能制御部が、近接して接続されたエージェントプログラム部との間で、予め設定された期間内の新しいセッション情報を相互に通知することできる。
このため、エージェントプログラム部は、近隣の他のエージェントプログラム部との間で相互にセッション情報の通信および更新を行うことにより、セッション情報の分散管理を行うことができ、上記の攻撃元特定処理にかかる各パケット中継装置で必要とされるマシンリソースを抑制することができる。
不正端末検索部32は、セッション情報管理DB41内に記憶されたセッション情報管理テーブル(図4)を、必要に応じて更新するセッション情報管理テーブル更新機能を有している。
As a result, the agent function control unit can mutually notify new session information within a preset period with the agent program unit connected in proximity.
For this reason, the agent program unit can perform session information distributed management by communicating and updating session information with other neighboring agent program units. Machine resources required for each packet relay apparatus can be suppressed.
The unauthorized
ここで、図4に示されるセッション情報管理テーブルの各カラムについて説明する。
「セッションID」は、通信セッションそれぞれ対応して設定され通信セッションを一意に特定するIDである。次いで、「セッションキー」は、通信ログ、もしくは近隣のエージェントプログラムから取得したセッション情報の以下の5つのパラメータ中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとして計算したハッシュ値を示す。
Here, each column of the session information management table shown in FIG. 4 will be described.
“Session ID” is an ID that is set for each communication session and uniquely identifies the communication session. Next, the “session key” is a source IP address after relaying the following five parameters of the session information acquired from the communication log or a nearby agent program, a source port number after relay, a destination IP address after relay, A hash value calculated by combining a destination port number after relay and a protocol number is shown.
また、「セッション開始時刻」は、通信セッションの開始時刻を示し、セッション終了までの時間は、セッションの開始から終了までの時間(単位は秒)を示す。
更に、「直近のエージェントID」は、通信の発信元直近のエージェントプログラムのIDを示し、例えば、LAN組織内の全エージェントプログラム部からアクセス可能な待ち受けIPアドレスおよび待ち受けポート番号とすることができる。
そして、「末端ノードID」は、通信の発信元を示すIDであり、直近のエージェントプログラムからみて通信の発信元を一意に特定可能なIDを示す。
The “session start time” indicates the start time of the communication session, and the time until the end of the session indicates the time from the start to the end of the session (in seconds).
Further, “nearest agent ID” indicates the ID of the agent program nearest to the communication source, and may be, for example, a standby IP address and a standby port number accessible from all agent program units in the LAN organization.
The “terminal node ID” is an ID indicating a communication source, and indicates an ID that can uniquely identify the communication source as seen from the latest agent program.
また、不正端末検索部32は、エージェント機能制御部31から不正端末の検索依頼情報を受け取ると共に、受け取った依頼情報の中から被害端末のIPアドレスおよびポート番号、検索対象のIPアドレスおよびポート番号、プロトコル番号を取得し、ここで取得された5つのパラメータ(被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、およびプロトコル番号)を組みとしたハッシュ値を算出するハッシュ値算出機能を有する。
In addition, the unauthorized
更に、不正端末検索部32は、算出されたハッシュ値および攻撃を受けた時刻をキーとしてセッション情報管理DB41内のセッション情報管理テーブルを検索し、一致するセッション情報があるか否かの判定を行うセッション情報判定機能を有する。
Further, the unauthorized
ここで、不正端末検索部32が、検索に失敗した場合や、不正端末の制御で必要となる情報が得られない場合、不正端末検索部32は、検索結果として不正端末の検索に失敗したことを示すエラーコードをエージェント機能制御部31に通知するエラーコード通知機能を有する。
Here, when the unauthorized
また、不正端末の制御に必要となる不正端末のID(セッション情報管理テーブルの末端ノードIDカラムの情報)と不正端末直近のエージェントプログラムのID(セッション情報管理テーブルの直近のエージェントIDカラムの情報)を取得できた場合に、不正端末検索部32は、検索結果として検索成功を示すメッセージと不正端末のID、および不正端末直近のエージェントプログラムのIDをエージェント機能制御部31に通知する不正端末特定情報通知機能を備えている。
In addition, the ID of the unauthorized terminal (information in the terminal node ID column of the session information management table) and the ID of the agent program nearest to the unauthorized terminal (information in the latest agent ID column of the session information management table) required for controlling the unauthorized terminal The unauthorized
セッション情報収集部33は、セッション情報管理DBに記憶されたセッション情報収集ルール管理テーブル(図6)を、必要に応じて更新を行う収集ルール管理テーブル更新機能を有している。
The session
ここで、図6に示すセッション情報収集ルール管理テーブルの各カラムの意味は以下の通りである。
「ルールID」は、セッション情報収集ルールを一意に特定するためのIDである。
「送信元」は、アドレス変換後の送信元IPアドレスを示し、「宛先」は、アドレス変換後の宛先IPアドレスを示し、「宛先ポート番号」は、アドレス変換後の宛先ポート番号を示す。
次に、「プロトコル番号」は、通信におけるプロトコル番号を示し、「転送先」は、セッション情報の転送先を示す。
尚、ここに示される転送先は、転送先のエージェントプログラム部の待ち受けIPアドレスと待ち受けポート番の組を示している。
また、セッション情報収集部33は、この「転送先」で指定されたIPアドレス及びポート番号が自身のIPアドレス、ポート番号であった場合に、上述のように、取得されたセッション情報を書き出し、セッション情報収集ルール管理テーブルの更新を行う。
最後に、「備考」は、セッション情報収集ルールに対するコメント情報を示す。
Here, the meaning of each column of the session information collection rule management table shown in FIG. 6 is as follows.
“Rule ID” is an ID for uniquely identifying a session information collection rule.
“Source” indicates a source IP address after address conversion, “Destination” indicates a destination IP address after address conversion, and “Destination port number” indicates a destination port number after address conversion.
Next, “protocol number” indicates a protocol number in communication, and “transfer destination” indicates a transfer destination of session information.
The transfer destination shown here indicates a set of a standby IP address and a standby port number of the agent program unit of the transfer destination.
In addition, when the IP address and port number designated by the “forwarding destination” are the own IP address and port number, the session
Finally, “Remarks” indicates comment information for the session information collection rule.
また、セッション情報収集部33は、予め設定された周期(セッション情報更新間隔)で隣接するパケット中継装置における通信ログの差分チェックを行うと共に、以下に示すセッション情報を取得するセッション情報取得機能を備えている。
尚、このセッション情報の内容は、中継前の送信元IPアドレス、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間からなる。
In addition, the session
The contents of the session information include a source IP address before relay, a source IP address after relay, a source port number after relay, a destination IP address after relay, a destination port number after relay, a protocol number, It consists of session start time and time from session start to end.
ここで、セッション情報収集部33は、通常複数のセッション情報を取得すると共に、取得されたセッション情報それぞれについて処理を行うが、ここでは、セッション情報収集部33が、特定の一つのセッション情報にかかる処理について場合について説明する。
Here, the session
又、セッション情報収集部33は、セッション情報の取得後、取得されたセッション情報に含まれる中継前の送信元IPアドレスと前記下流ノードリストとを比較し、マッチする送信元IPアドレスが存在するか否かを判定する送信元アドレス判定機能を有する。
In addition, after acquiring the session information, the session
ここで、マッチする送信元IPアドレスが存在する場合、つまり、送信元IPアドレスが隣接する他のパケット中継装置である場合には、セッション情報収集部33は、処理を打ち切り、以下の処理を行わないものとする。
Here, when there is a matching source IP address, that is, when the source IP address is another adjacent packet relay device, the session
一方、マッチする送信元IPアドレスが存在しない場合、セッション情報収集部33は、取得されたセッション情報の中継後の送信元IPアドレス、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号をキーとしてセッション情報収集ルール管理テーブルを検索すると共に、マッチした行の転送先カラムが、当該セッション情報収集部33の設けられた中継ルータ11(自身)を指定しているか否かの判定を行うテーブル検索判定機能を備えている。
On the other hand, when there is no matching source IP address, the session
ここで、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11を指定している場合に、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとしてハッシュ値を計算する。
また、セッション情報収集部33は、ここで算出されたハッシュ値、セッション開始時刻、セッション開始から終了までの時間、エージェントプログラム自身のID、中継前の送信元IPアドレスを持つホストのIDを一つの組として、自身のセッション情報管理テーブルにエントリに追加登録を行うセッション情報追加登録機能を備えている。
Here, the session
In addition, the session
一方、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11以外の場合に、転送先のエージェントプログラム部に対して、取得されたセッション情報を送信するセッション情報転送機能を備えている。
ここで、送信されるセッション情報は、少なくとも中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、セッション開始から終了までの時間、自身のID、および中継前の送信元IPアドレスを持つホストのIDを含む。
On the other hand, the session
Here, the transmitted session information includes at least a relay source IP address, a relay source port number, a relay destination IP address, a relay destination port number, a protocol number, a session start time, and a session start. To the end time, its own ID, and the ID of the host having the source IP address before relaying.
尚、セッション情報を受信したエージェント機能制御部31は、当該セッション情報をセッション情報収集部33に送信する機能を有するものとする。
Note that the agent
セッション情報収集部33は、エージェント機能制御部31からデータを受け取ると、上述のように、セッション情報収集ルール管理テーブルに基づいて、セッション情報を近隣のエージェントプログラム部に転送する、又は、自身のセッション情報管理テーブルを更新する機能を備えている。
When receiving the data from the agent
また、セッション情報収集部33は、受信されたセッション情報を近隣のエージェントプログラムに転送する場合、転送前にパケット中継装置の通信ログを参照し、該当するセッション情報があるか否かの判定を行う通信ログ参照判定機能を有する。
In addition, when transferring the received session information to a nearby agent program, the session
このとき、セッション情報収集部33は、通信ログに該当するセッション情報がない場合に、そのまま近隣のエージェントプログラム部にセッション情報を転送する。
一方、通信ログ内に該当するセッション情報が見つかった場合、セッション情報収集部33は、見つかったセッション情報に基づき、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、および中継後の宛先ポート番号を更新し、更新されたセッション情報を近隣のエージェントプログラム部に対して転送する。
At this time, if there is no corresponding session information in the communication log, the session
On the other hand, when the corresponding session information is found in the communication log, the session
ここで、上記エージェントプログラム部は、直近のエージェントIDと末端ノードIDについて、受け取った値の更新を行わず、そのままセッション情報管理テーブルに書き出す。
これにより、エージェントプログラム部は、他のエージェントプログラム部から送り込まれた制御依頼を、上記直近のエージェントIDと末端ノードIDに基づき転送することができ、このため、不正端末側のエージェントプログラム部へと制御依頼を迅速に転送することができる。
Here, the agent program unit does not update the received values for the latest agent ID and terminal node ID, and writes them directly into the session information management table.
As a result, the agent program unit can transfer the control request sent from the other agent program unit based on the latest agent ID and terminal node ID, and therefore, to the agent program unit on the unauthorized terminal side. Control requests can be transferred quickly.
不正端末制御部34は、を制御ルールDBに記憶された制御ルール管理テーブル(図7)に対して、必要に応じて更新を行う制御ルール管理テーブル更新機能を有している。
ここで、図7に示す制御ルール管理テーブルの各カラムの意味は以下の通りである。
先ず、「ルールID」は、制御ルールを一意に特定するためのIDであり、「制御元」は、制御依頼を受けつけるネットワークのアドレスを、「制御先」は、制御先のネットワークアドレスを示す。
The unauthorized
Here, the meaning of each column of the control rule management table shown in FIG. 7 is as follows.
First, “rule ID” is an ID for uniquely specifying a control rule, “control source” indicates a network address for receiving a control request, and “control destination” indicates a network address of the control destination.
又、「制御タイプ」は、どの方法で通信の制御を行うかを示す値であって、図7の例では、0が警告、1が帯域制御、2が検疫、3が遮断を示す。
更に、「制御コマンド」は、隣接するネットワーク装置を制御するためのコマンド、「制御オプション」は、制御コマンドのオプションに関する情報(制御コマンドの仕様)を示し、備考は、制御ルールに対するコメント情報を示す。
The “control type” is a value indicating which method is used to control communication. In the example of FIG. 7, 0 indicates warning, 1 indicates band control, 2 indicates quarantine, and 3 indicates blocking.
Further, “control command” indicates a command for controlling an adjacent network device, “control option” indicates information (control command specification) regarding the option of the control command, and remarks indicate comment information for the control rule. .
更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、図6に示すセッション情報収集ルール管理テーブルを参照し、不正端末の特定に必要なセッション情報を持っているかどうかの判定を行うセッション情報判定機能を備えている。ここで、上記セッション情報の内容は、制御依頼、制御元のIPアドレス、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプを少なくとも含んでいるものとする。
Further, when the unauthorized
また、不正端末制御部34は、セッション情報収集ルール管理テーブルを、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、およびプロトコル番号をキーとして検索すると共に、特定された行の転送先カラムが自身(不正端末制御部34の設けられた中継端末)と一致するか否かを判定する。
In addition, the unauthorized
ここで、自身と一致する場合には、一致することを示すメッセージをエージェント機能制御部31に通知する一致メッセージ通知機能を有する。
このとき、エージェント機能制御部31は、不正端末検索部32に検索依頼を送信すると共に、得られた検索結果に基づいて、制御依頼を不正端末16直近のエージェントプログラム部へ転送(中継)する。
Here, when it matches with itself, it has a matching message notification function of notifying the agent
At this time, the agent
一方、自身と一致しない場合には、その旨と特定された行の転送先カラムの値をエージェント機能制御部31に通知する。
このとき、エージェント機能制御部31は取得された転送先の情報を基づいて、制御依頼を近隣のエージェントプログラムへ転送(中継)する。
On the other hand, when it does not coincide with itself, the agent
At this time, the agent
更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、制御ルールDB43に格納された制御ルールテーブル(図7)を参照し、制御元のIPアドレスをキーとしてマッチする制御ルールを特定する制御ルール参照特定機能を備えている。
ここで、上記制御ルールDB43に格納された制御ルールテーブルは、制御元のIPアドレス、末端ノードID、制御タイプ、制御コマンド、および制御コマンドオプションからなる。
Further, when receiving an unauthorized terminal control request from the agent
Here, the control rule table stored in the
また、制御ルールテーブルを確認した結果、どのルールの制御元アドレスにも制御元のIPアドレスがマッチしない場合、不正端末制御部34は、制御依頼を拒否し、制御結果としてエラーを返す。
更に、不正端末制御部34は、特定された制御ルールと制御依頼の中で指定された制御タイプとがマッチしない場合に、上記制御依頼を拒否し、制御結果としてエラーを返す。
As a result of checking the control rule table, if the control source IP address does not match the control source address of any rule, the unauthorized
Further, if the specified control rule does not match the control type specified in the control request, the unauthorized
制御元アドレスと制御タイプとがマッチする制御ルールが特定された場合に、不正端末制御部34は、予め設定された該当する制御コマンドを、制御依頼情報で指定された制御オプションに基づき実行し、隣接するパケット中継装置を制御する隣接中継装置制御機能を備えている。また、この制御による制御結果をエージェント機能制御部31に返信する機能を有する。
When a control rule that matches the control source address and the control type is specified, the unauthorized
これにより、攻撃元(不正端末)の特定後、攻撃元直近のネットワーク装置で不正な通信を制御できる。
また、あるネットワーク上に存在する不正端末からの攻撃を、ネットワーク構成を知らない別のネットワーク上の装置からも柔軟に制御できることができる。
Thereby, after identifying the attack source (illegal terminal), unauthorized communication can be controlled by the network device nearest to the attack source.
In addition, an attack from an unauthorized terminal existing on a certain network can be flexibly controlled from a device on another network that does not know the network configuration.
尚、上記制御ルールDB43は、組織LAN組織内に接続されて設けられてもよいし、パケット中継装置(中継ルータまたはプロキシサーバ)内部のエージェントプログラム部に併設されていてもよい。
ここでは、制御ルールDB43は、全エージェントプログラム部で共有して使用されるものとする。
又、セッション情報収集ルールを追加し、リソースのあまっている通信端末(サーバなど)にセッション情報の管理や不正端末の検索処理を分散させてもよい。
The
Here, it is assumed that the
In addition, session information collection rules may be added to distribute session information management and unauthorized terminal search processing to communication terminals (servers, etc.) with sufficient resources.
制御ルール管理テーブルに不正端末からの通信を遮断するルールを追加する際、不正端末からの通信を全て遮断するのではなく、制御コマンドのオプションを利用して、ある特定のプロトコルやポート番号を使用する通信のみを遮断してもよい。
これにより、プロトコルやポート番号による制御は遮断のルールだけでなく、帯域制御のルールなどにも適用できる。
When adding a rule to block communication from unauthorized terminals to the control rule management table, use a specific protocol or port number using control command options instead of blocking all communications from unauthorized terminals Only the communication to be performed may be blocked.
Thereby, control by protocol and port number can be applied not only to a blocking rule but also to a band control rule.
[実施形態の動作説明]
次に、本実施形態の全体の動作について説明する。
[Description of Operation of Embodiment]
Next, the overall operation of this embodiment will be described.
先ず、各中継装置(11、14、15)のエージェントプログラム部は、各中継転送を特定する通信特定情報を、予め設定された他の中継装置に通知する(通信特定情報通知工程)。ここで、不正端末16から通信端末13に対して攻撃パケットが送り込まれた場合に、検索要求端末12が、中継装置11に対して不正端末16の検索を要求し(不正端末検索要求工程)、中継装置11は、通信特定情報および検索要求に基づき不正端末16を特定する(不正端末特定工程)。
次いで、中継装置11が、特定された不正端末16に対してより近接して接続された中継装置15を特定し(中継装置特定工程)、検索要求端末12からの検索依頼(および制御依頼:図4)を受け取った中継装置15のエージェントプログラム部は、予め設定されたルールに基き隣接する前記不正端末16からの通信を抑制させる制御を行う(転送装置制御工程)。
First, the agent program unit of each relay device (11, 14, 15) notifies the communication specifying information for specifying each relay transfer to other preset relay devices (communication specifying information notification step). Here, when an attack packet is sent from the
Next, the
尚、上記不正端末検索工程、上記通信特定情報通知工程、不正端末特定工程、中継装置特定工程、および転送装置制御工程については、その実行内容をプログラム化し、上記中継装置、管理端末それぞれに設けられたコンピュータに実行させる構成としてもよい。 In addition, the execution contents of the unauthorized terminal search process, the communication identification information notification process, the unauthorized terminal identification process, the relay apparatus identification process, and the transfer apparatus control process are programmed and provided in each of the relay apparatus and the management terminal. It may be configured to be executed by a computer.
ここで、本実施形態の中継ルータ11、15、およびプロキシサーバ14を介して上記不正端末16を特定する動作について、図4のシーケンスチャートに基づき詳説する。
Here, the operation of identifying the
先ず、中継ルータ(中継装置に相当)11、15、およびプロキシサーバ14におけるエージェントプログラム部は相互にセッション情報の通信を定期的に行っており、セッション情報管理DB41に格納されたテーブルの内容の更新処理が、常時行われているものとする(通信特定情報通知工程)。
First, the relay routers (corresponding to the relay devices) 11 and 15 and the agent program unit in the
ここで、サーバ(通信端末に相当)13に対して攻撃パケットが送り込まれたことを、サーバ13と同一ネットワーク(LAN1)内にある管理端末(検索要求端末に相当)12で検出する。このとき、管理端末12は、攻撃パケットの中継場所である中継ルータ(NAPT有)11のエージェントプログラム部21に対して、攻撃パケット送信元(不正端末)からの通信の抑制制御を要求する制御依頼情報を送信する(ステップS111:不正端末検索要求工程に相当)。
Here, the management terminal (corresponding to the search request terminal) 12 in the same network (LAN 1) as the
このとき、制御依頼情報は、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプが含まれているものとする。 At this time, the control request information includes the IP address of the victim terminal, the port number of the victim terminal, the IP address to be searched, the port number to be searched, the protocol number, the time of attack, and the control type. And
次に、制御依頼情報を受信したエージェントプログラム部21は、セッション情報収集ルール管理テーブル(図6)を参照して、不正端末16の特定に必要なセッション情報(特定情報に相当)が登録されているか判定を行う(ステップS112)。
Next, the
具体的には、セッション情報収集ルール管理テーブル(図6)を、制御要求情報に含まれる被害端末(サーバ13)のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、プロトコル番号をキーとして検索し、特定された行の転送先カラムが、エージェント21であるか否かの判定を行う。
ここでは、以下、転送先カラムがエージェントプログラム部21を示すものとして説明する。
Specifically, the session information collection rule management table (FIG. 6) is stored using the IP address of the victim terminal (server 13), the port number of the victim terminal, the IP address to be searched, and the protocol number included in the control request information as keys. It is determined whether or not the transfer destination column of the identified row is the
In the following description, it is assumed that the transfer destination column indicates the
次いで、転送先カラムがエージェントプログラム部21であると判定された場合、エージェントプログラム部21のエージェント機能制御部31は、不正端末検索部32に検索要求を行う。
ここで、不正端末検索部32は、セッション情報に基づき不正端末16を特定する(不正端末特定工程)と共に、当該不正端末16に直近のエージェントプログラム部が、中継ルータ15のエージェントプログラム部23であることを特定する(ステップS112:中継装置特定工程)。
Next, when it is determined that the transfer destination column is the
Here, the unauthorized
次いで、上記検索結果に基づき、制御依頼を不正端末16直近の特定されたエージェントプログラム部23に対して中継送信する(ステップS113)。
ここで、制御依頼(不正端末制御依頼情報)には、少なくとも制御元のIPアドレス、末端ノードID、および制御タイプが含まれるものとする。
Next, based on the search result, a control request is relay-transmitted to the specified
Here, it is assumed that the control request (illegal terminal control request information) includes at least the control source IP address, the terminal node ID, and the control type.
次いで、制御依頼を受け取ったエージェントプログラム部23は、予め設定された制御ルールに基づいて、制御依頼により指定された制御コマンドを実行し(ステップS114:転送装置制御工程)、不正端末16からサーバ13に対して送り込まれる次回攻撃を抑制する制御を行う。
Next, the
次いで、エージェントプログラム部23は、制御依頼元である中継ルータ11のエージェントプログラム部21に制御コマンドの実行結果(制御結果213)を通知する(ステップS115)。
更に、エージェントプログラム部21は、制御結果213を受信すると共に、要求元である管理端末12に制御コマンドの実行結果として制御結果214を通知する(ステップS116)。
Next, the
Further, the
尚、上記エージェントプログラム部間の通信は公開鍵暗号方式を用いて暗号化し、機密性、完全性を保持するものとする。
また、隣接するパケット中継装置(エージェントプログラム部)の制御は、SNMP(Simple Network Management Protocol)、NETCONFコンフィギュレーションプロトコル、又は予め登録されたコマンド(装置専用のツール)等により実行されるものとする。
The communication between the agent program parts is encrypted using a public key cryptosystem to maintain confidentiality and integrity.
The control of the adjacent packet relay device (agent program unit) is executed by SNMP (Simple Network Management Protocol), NETCONF configuration protocol, pre-registered command (device dedicated tool), or the like.
上記手順により、パケット情報の送信元情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して攻撃パケットが送り込まれた場合でも、攻撃元を正確に特定でき、また、攻撃元の通信動作を攻撃元直近のパケット中継装置を介して制御することができる。 With the above procedure, even when an attack packet is sent via a proxy server that rewrites the packet information source information or a device that performs address translation, the attack source can be accurately identified, and the communication operation of the attack source can be determined. It can be controlled via the latest packet relay device.
また、本実施形態では、ある組織のネットワーク(LAN3)に属する不正端末16を、ネットワークの匿名性を維持しつつ、別組織のネットワーク(LAN1)に属する装置(管理端末12)から一意に特定することができ、更に、不正端末直近のネットワーク装置(中継ルータ15)を介して不正端末からの通信を制御することができる。
In this embodiment, the
更に、攻撃元の不正端末16を特定した後、制御依頼情報を攻撃元直近のパケット中継装置(中継ルータ15)に対してダイレクトに送信できるため、迅速に攻撃元からの通信を抑制制御可能である。
また、攻撃元までのパケット中継装置の中継数が多くなる場合でも、通信ネットワークに接続された通信端末内にエージェントプログラム部を設け、他のパケット中継装置上の通信ログを参照すると共に他のパケット中継装置を制御可能な設定とすることにより、不正端末の検索に要する各中継装置のマシンリソースを抑制することができ、且つ、より迅速に攻撃元の特定を行うことができる。
Furthermore, since the control request information can be directly transmitted to the packet relay apparatus (relay router 15) nearest to the attack source after the attacking
Even if the number of relays of the packet relay device up to the attack source increases, an agent program unit is provided in the communication terminal connected to the communication network, and the communication log on the other packet relay device is referenced and other packets By setting the relay device to be controllable, it is possible to suppress the machine resources of each relay device required for searching for an unauthorized terminal, and to identify the attack source more quickly.
本発明は、ISP(Internet Service Provider)などのネットワーク事業に適用することができ、ISP事業者側は、利用者に対してセキュリティの高いネットワーク環境を提供でき、更には運用コストを軽減することができる。 The present invention can be applied to a network business such as an ISP (Internet Service Provider), and the ISP business can provide a high-security network environment to the user and further reduce the operation cost. it can.
11、15 中継ルータ
12 管理端末
13 サーバ
14 プロキシサーバ
16 不正端末
21、22、23 エージェントプログラム部
31 エージェント機能制御部
32 不正端末検索部
33 セッション情報収集部
34 不正端末制御部
41 セッション情報管理データベース
42 通信ログ記憶部
43 制御ルールデータベース
DESCRIPTION OF
Claims (11)
前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えたことを特徴とするパケット送信元特定システム。 A relay device that relays and forwards communication packets sent via a communication network and converts address information included in the communication packet at the time of relay forwarding, and a plurality of communications that communicate with each other via the relay device A packet transmission source identification system comprising a terminal,
The relay apparatus stores means for storing communication specifying information for specifying each relay transfer performed by the relay apparatus, including address information before and after conversion, and another relay for which the communication specifying information is set in advance. Characterized in that it comprises means for mutual notification with an apparatus, and means for identifying the source of the attack packet based on the communication identification information when an attack packet is sent to the communication terminal. To identify the packet source.
前記通信端末に前記攻撃パケットが送り込まれたことを検出すると共に前記中継装置に対して前記攻撃パケット送信元の検索を要求する検索要求端末を、前記通信端末に併設したことを特徴とするパケット送信元特定システム。 In the packet transmission source specifying system according to claim 1,
A packet transmission characterized in that a search request terminal that detects that the attack packet has been sent to the communication terminal and requests the relay device to search for the attack packet transmission source is provided in the communication terminal. Original identification system.
前記中継装置は、前記検索要求端末から送り込まれた検索要求および他の中継装置から送り込まれた前記通信特定情報に基づき前記攻撃パケットの送信元である不正端末の特定が可能か否かを判定する端末特定判定手段と、前記不正端末の特定ができない場合に、前記検索要求および通信特定情報を予め設定された他の中継装置に転送する通信特定情報転送手段とを備えたことを特徴とするパケット送信元特定システム。 In the packet source identification system according to claim 2,
The relay device determines whether or not it is possible to identify an unauthorized terminal that is a transmission source of the attack packet based on a search request sent from the search request terminal and the communication specifying information sent from another relay device. A packet comprising: terminal identification determining means; and communication identification information transferring means for transferring the search request and communication identification information to another preset relay device when the unauthorized terminal cannot be identified. Source identification system.
前記不正端末が特定された場合に、前記検索要求端末が、前記不正端末の通信抑制ルールを示す制御要求を前記中継端末に送信する制御要求手段を備え、前記中継装置は、当該不正端末により近接して接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置に前記制御要求を通知する制御要求通知手段とを備えたことを特徴とするパケット送信元特定システム。 In the packet transmission source specifying system according to claim 3,
When the unauthorized terminal is specified, the search requesting terminal includes control request means for transmitting a control request indicating a communication suppression rule of the unauthorized terminal to the relay terminal, and the relay device is closer to the unauthorized terminal A packet transmission source specifying system comprising: a relay device specifying means for specifying the connected relay device; and a control request notifying means for notifying the specified relay device of the control request.
前記中継装置は、前記不正端末が特定された場合に、当該不正端末のより近くに接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる転送装置制御手段を備えたことを特徴とするパケット送信元特定システム。 In the packet transmission source specifying system according to claim 3,
The relay device, when the unauthorized terminal is identified, relay device identifying means for identifying a relay device connected closer to the unauthorized terminal, and controls the identified relay device to control from the unauthorized terminal A packet transmission source specifying system comprising transfer device control means for suppressing communication packet relay transfer.
前記中継装置は、当該中継装置に予め記憶された通信特定情報を、前記他の中継装置から通知された通信特定情報に基づき更新する自通信特定情報更新手段と、前記送り込まれた通信特定情報を更新し前記不正端末のより近くに接続された中継装置に転送する通信特定情報更新転送手段とを備えたことを特徴とするパケット送信元特定システム。 In the packet source identification system according to claim 4,
The relay device updates communication specific information stored in advance in the relay device based on the communication specific information notified from the other relay device, and the communication specific information sent to the relay device. A packet transmission source identification system comprising: communication identification information update transfer means for updating and transferring to a relay device connected closer to the unauthorized terminal.
前記中継装置に、前記不正端末からの通信パケットを中継転送する条件を示す中継転送ルール情報が予め記憶された抑制制御ルール記憶部を併設し、前記中継装置が、前記中継転送ルールに基づき前記通信パケットの中継転送を制御する転送指定制御手段を備えたことを特徴とするパケット送信元特定システム。 In the packet transmission source specifying system according to claim 4 or 6,
The relay device is provided with a suppression control rule storage unit in which relay transfer rule information indicating a condition for relaying and transferring a communication packet from the unauthorized terminal is stored in advance, and the relay device performs the communication based on the relay transfer rule. A packet transmission source specifying system comprising transfer designation control means for controlling relay transfer of a packet.
前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴とするパケット送信元特定方法。 A relay device that converts source address information of a communication packet communicated on a communication network and performs relay transfer; and a plurality of communication terminals that communicate with each other via the relay device; A packet transmission source specifying method for specifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent,
A communication specifying information notifying step for notifying other preset relay device of communication specifying information for specifying each relay transfer, and when an attack packet is sent from the unauthorized terminal to the communication terminal, the relay A packet transmission comprising: an unauthorized terminal search requesting step for requesting the device to search for the unauthorized terminal; and an unauthorized terminal identifying step for identifying the unauthorized terminal based on the communication specifying information and the search request. Original identification method.
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定工程と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御工程とを前記不正端末特定工程の後に備えたことを特徴とするパケット送信元特定方法。 The packet transmission source specifying method according to claim 8, wherein
Relay device specifying step for specifying a relay device connected closer to the specified unauthorized terminal, and a relay device for controlling the specified relay device to suppress communication packet relay transfer from the unauthorized terminal A packet transmission source identification method comprising a control step after the unauthorized terminal identification step.
前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としたパケット送信元特定プログラム。 A relay device that converts source address information of a communication packet communicated via a communication network and performs relay transfer; and a plurality of communication terminals that communicate with each other via the relay device; A packet transmission source specifying program for specifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent,
When an attack packet is sent from the unauthorized terminal to the communication terminal, an unauthorized terminal search function for searching for the unauthorized terminal and other relays preset with communication specifying information for specifying each relay transfer A packet transmission source identification program for causing a computer to execute a communication identification information notification function for notifying an apparatus and an unauthorized terminal identification function for identifying the unauthorized terminal based on the search result and the communication identification information.
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定機能と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御機能とを、前記コンピュータに実行させることを特徴とするパケット送信元特定プログラム。 The packet transmission source specifying method according to claim 10, wherein
A relay device specifying function for specifying a relay device connected closer to the specified unauthorized terminal, and a relay device for controlling the specified relay device to suppress communication packet relay transfer from the unauthorized terminal A packet transmission source specifying program for causing a computer to execute a control function.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008126516A JP4867949B2 (en) | 2008-05-13 | 2008-05-13 | Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008126516A JP4867949B2 (en) | 2008-05-13 | 2008-05-13 | Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009278293A JP2009278293A (en) | 2009-11-26 |
| JP4867949B2 true JP4867949B2 (en) | 2012-02-01 |
Family
ID=41443316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008126516A Expired - Fee Related JP4867949B2 (en) | 2008-05-13 | 2008-05-13 | Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4867949B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011146968A (en) * | 2010-01-15 | 2011-07-28 | Oki Networks Co Ltd | Attack terminal specification apparatus and program |
| WO2014155650A1 (en) * | 2013-03-29 | 2014-10-02 | 株式会社日立製作所 | Information controller, information control system, and information control method |
| JP6795535B2 (en) * | 2018-02-27 | 2020-12-02 | 日本電信電話株式会社 | Specific system and specific method |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3483782B2 (en) * | 1998-10-15 | 2004-01-06 | 株式会社エヌ・ティ・ティ・データ | Electronic data tracking system and data relay device |
| JP4098127B2 (en) * | 2003-03-14 | 2008-06-11 | 株式会社エヌ・ティ・ティ・データ | Packet tracking method and packet tracking program |
| JP2005210518A (en) * | 2004-01-23 | 2005-08-04 | Matsushita Electric Works Ltd | Originating source tracking information providing device, and originating source tracking device |
-
2008
- 2008-05-13 JP JP2008126516A patent/JP4867949B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009278293A (en) | 2009-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5790827B2 (en) | Control device, control method, and communication system | |
| EP2779574B1 (en) | Attack detection and prevention using global device fingerprinting | |
| EP2612488B1 (en) | Detecting botnets | |
| EP3297248A1 (en) | System and method for generating rules for attack detection feedback system | |
| JP6083009B1 (en) | SDN controller | |
| US11108738B2 (en) | Communication apparatus and communication system | |
| US10560452B2 (en) | Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network | |
| US10397111B2 (en) | Communication device, communication system, and communication method | |
| JP2008177714A (en) | Network system, server, DDNS server, and packet relay device | |
| CN101610264A (en) | Firewall system, security service platform, and firewall system management method | |
| CN103891206B (en) | Method and device for synchronizing network data flow detection status | |
| JP6973227B2 (en) | Abnormal traffic analyzer, abnormal traffic analysis method and abnormal traffic analysis program | |
| JPWO2012014509A1 (en) | Unauthorized access blocking control method | |
| JP6117050B2 (en) | Network controller | |
| JP4867949B2 (en) | Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program | |
| JP4713186B2 (en) | Network monitoring method and network monitoring system | |
| JP4321375B2 (en) | Access control system, access control method, and access control program | |
| US8234503B2 (en) | Method and systems for computer security | |
| JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
| JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
| KR20100048105A (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
| KR20160059825A (en) | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL | |
| JP2006165877A (en) | Communication system, communication method, and communication program | |
| JPWO2016170598A1 (en) | Information processing apparatus, method, and program | |
| JP2007174406A (en) | Unauthorized access prevention device and unauthorized access prevention program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111018 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111031 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4867949 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141125 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |