Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4867949B2 - Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program - Google Patents
[go: Go Back, main page]

JP4867949B2 - Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program - Google Patents

Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program Download PDF

Info

Publication number
JP4867949B2
JP4867949B2 JP2008126516A JP2008126516A JP4867949B2 JP 4867949 B2 JP4867949 B2 JP 4867949B2 JP 2008126516 A JP2008126516 A JP 2008126516A JP 2008126516 A JP2008126516 A JP 2008126516A JP 4867949 B2 JP4867949 B2 JP 4867949B2
Authority
JP
Japan
Prior art keywords
communication
packet
relay
relay device
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008126516A
Other languages
Japanese (ja)
Other versions
JP2009278293A (en
Inventor
由也 木津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008126516A priority Critical patent/JP4867949B2/en
Publication of JP2009278293A publication Critical patent/JP2009278293A/en
Application granted granted Critical
Publication of JP4867949B2 publication Critical patent/JP4867949B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークに接続された機器に対して行われるネットワーク経由の不正な通信パケットおよび通信アクセスの発信元を特定する手法に関する。   The present invention relates to a technique for specifying an unauthorized communication packet via a network and a source of communication access performed for a device connected to the network.

通信ネットワーク(インターネット)においては、サーバや通信端末に通信ネットワークを介して大量の通信トラフィックが送り込まれたり、悪意のある通信アクセスが行われたりすることによって、正当なユーザの利用が妨げられたり、サーバの動作に障害が引き起こされ、深刻な問題となっている。
また、上記のような通信ネットワークを介して行われる攻撃は、プロキシサーバやアドレス変換NAT(Network Address Translation)/NAPT(Network Address Port Translation)を行うパケット中継装置を介して行われた場合、パケット中継装置が通信を中継する際にパケット情報内の送信元のアドレス情報を書き換えてしまう。
このため、攻撃を受けた側から攻撃元を一意に特定し通信を制御することが困難であり、複数のパケット中継装置を介して攻撃が行われた場合には、攻撃元を特定することがさらに困難となっていた。
In the communication network (Internet), a large amount of communication traffic is sent to the server or communication terminal via the communication network, or malicious communication access is performed, so that the use of legitimate users is hindered, The server's operation has become a serious problem.
Further, when an attack performed through the communication network as described above is performed through a proxy server or a packet relay device that performs NAT (Network Address Translation) / NAPT (Network Address Port Translation), packet relay When the apparatus relays communication, the source address information in the packet information is rewritten.
For this reason, it is difficult to uniquely identify the attack source from the attacked side and control the communication. When an attack is performed via a plurality of packet relay devices, it is possible to identify the attack source. It was even more difficult.

これに対して、ネットワーク毎にIDS(Intrusion Detection System)を設置し、各IDSのログを一箇所に集めて相関分析を行うことにより、攻撃元の不正端末を特定することができる。
しかしながら、この場合、ネットワーク毎に攻撃を検知する装置が必要となり、運用上のコストが膨大になり、更には、相関分析を行う管理装置が停止した場合にシステム全体が機能しなくなるという不都合が生じる。
また、上記ネットワークが複数のサブネットに分割されているような大規模なネットワークの場合に、ログの相関分析だけでは攻撃元を一意に特定すること困難であり、更には、ログを一箇所に集めると、ディスクを圧迫することになるという不都合があった。
On the other hand, by installing IDS (Intrusion Detection System) for each network, collecting the logs of each IDS in one place and performing correlation analysis, it is possible to identify the attacking fraudulent terminal.
However, in this case, a device for detecting an attack is required for each network, and the operational cost becomes enormous. Furthermore, when the management device that performs correlation analysis stops, the entire system does not function. .
In addition, in the case of a large-scale network where the above network is divided into multiple subnets, it is difficult to uniquely identify the attack source by log correlation analysis alone, and further, logs are collected in one place. There was a disadvantage that it would squeeze the disk.

又、上記問題に対して、プロキシサーバを使わず、又アドレス変換も行うことなくネットワークシステムを運用することにより、不正端末を特定する手法が考えられる。
しかしながら、この場合、割り当てできるIPアドレスには限りがあるため、ネットワークの規模が大きくなった場合には、対応できなくなる。
また、攻撃元の検索範囲は、ネットワーク構成を把握できる範囲に限定されてしまい、更には、プロキシサーバによるネットワーク運用の各種メリットが得られなくなるという不都合がある。
In order to deal with the above problem, a method of identifying an unauthorized terminal by using a network system without using a proxy server and without performing address conversion can be considered.
However, in this case, since the IP addresses that can be assigned are limited, it becomes impossible to cope with an increase in the network scale.
In addition, the search range of the attack source is limited to a range where the network configuration can be grasped, and further, there are inconveniences that various merits of network operation by the proxy server cannot be obtained.

これに対する関連技術として、攻撃が検知されたネットワーク装置に予め設定されたエージェントプログラム部が、攻撃元により近いネットワーク装置に対して攻撃パケットを制御するエージェントプログラム部自身の複製(プログラム)を送信し、攻撃元により近いネットワーク装置にさかのぼって攻撃パケットを制御する手法が開示されている(特許文献1、2)。   As a related technique for this, the agent program unit preset in the network device in which the attack is detected transmits a copy (program) of the agent program unit itself that controls the attack packet to the network device closer to the attack source, Techniques for controlling attack packets going back to network devices closer to the attack source have been disclosed (Patent Documents 1 and 2).

特開2002−164938公報JP 2002-164938 特開2003−283571公報JP 2003-283571 A

しかしながら、上記特許文献1および2ではいずれも、攻撃がアドレス変換を行うパケット中継装置を介して行われた場合を考慮しておらず、攻撃元を特定すること困難となる不都合がある。
また、送信元の情報を書き換える特定のパケット中継装置を介する通信アクセスをすべてブロックすることにより、それを利用する他の正当な端末からの通信も全てブロックされてしまうという不都合が生じ得る。
However, both Patent Documents 1 and 2 do not consider the case where the attack is performed via a packet relay apparatus that performs address translation, and there is a disadvantage that it is difficult to specify the attack source.
In addition, by blocking all communication access via a specific packet relay device that rewrites the information of the transmission source, there may be a disadvantage that all communication from other legitimate terminals that use it is also blocked.

更には、通信ネットワーク上に攻撃元を特定する専用装置の設置が必要となるため運用上のコストが高くなるという不都合もある。   Furthermore, since it is necessary to install a dedicated device for identifying the attack source on the communication network, there is a disadvantage that the operational cost increases.

[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、送信元を示す情報が変更されたパケット通信が行われた場合に前記パケット通信の送信元を特定するパケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラムを提供することを、その目的とする。
[Object of invention]
The present invention improves the inconvenience of the related technology, and a packet transmission source identification system for identifying a transmission source of the packet communication when packet communication in which information indicating the transmission source is changed is performed. It is an object of the present invention to provide a method and a packet source specifying program.

上記目的を達成するために、本発明に係るパケット送信元特定システムは、通信ネットワークを介して送り込まれた通信パケットの中継転送を行うと共に当該中継転送に際して前記通信パケットに含まれるアドレス情報の変換を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えた構成をとっている。   In order to achieve the above object, a packet source identification system according to the present invention performs relay transfer of a communication packet sent via a communication network and converts address information included in the communication packet during the relay transfer. And a plurality of communication terminals that communicate with each other via the relay device, wherein the relay device includes address information before and after the conversion, and each relay transfer performed by the relay device Means for storing communication specifying information for specifying the communication, means for mutually notifying the communication specifying information with another preset relay device, and when an attack packet is sent to the communication terminal And a means for specifying a source of the attack packet based on the communication specifying information.

又、本発明にかかるパケット送信元特定方法は、通信ネットワーク上で通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するパケット送信元特定方法であって、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴としている。   The packet source identification method according to the present invention includes a relay device that converts source address information of a communication packet communicated on a communication network and performs relay transfer, and a plurality of devices that communicate with each other via the relay device. A packet transmission source identification method for identifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent to the communication terminal, wherein each relay transfer is identified A communication identification information notification step for notifying other preset relay apparatus of communication identification information to be performed, and when the attack packet is sent from the unauthorized terminal to the communication terminal, An unauthorized terminal search requesting step for requesting a terminal search; and an unauthorized terminal specifying step for specifying the unauthorized terminal based on the communication specifying information and the search request. It is characterized in.

更に、本発明にかかるパケット送信元特定プログラムは、通信ネットワークを介して通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するためのパケット送信元特定プログラムであって、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としている。   Furthermore, the packet transmission source specifying program according to the present invention communicates with each other via a relay device that converts the transmission source address information of a communication packet communicated via a communication network and performs relay transfer. A packet transmission source identification program for identifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent to the communication terminal, When an attack packet is sent from the communication terminal to the communication terminal, an unauthorized terminal search function for searching for the unauthorized terminal and communication specifying information for specifying each relay transfer are notified to other preset relay devices. A communication identification information notifying function for performing an unauthorized terminal identification function for identifying the unauthorized terminal based on the search result and the communication identification information. It is characterized in that to execute.

本発明は、以上のように構成され機能するので、これによると、通信パケットの通信を行う中継装置は、当該中継装置を介して実行された各パケット通信を示す通信特定情報を他の中継装置との間で相互に通知する手段と、通信特定情報に基づき攻撃パケットの送信元を特定する手段とを備えたことにより、前記中継装置を介して送信元アドレス情報の変更された通信パケットが送り込まれた場合に、当該通信パケットの送信元(例えば不正端末)を、迅速に特定することができる。   Since the present invention is configured and functions as described above, according to this, a relay apparatus that performs communication of communication packets transmits communication specific information indicating each packet communication performed via the relay apparatus to other relay apparatuses. A communication packet in which the source address information is changed is sent via the relay device. In this case, the transmission source (for example, unauthorized terminal) of the communication packet can be quickly identified.

[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
[Embodiment]
Next, the basic configuration content of the embodiment of the present invention will be described.

本実施形態のパケット送信元特定システムは、図1に示すように、通信回線を介して相互に接続されLANを設定する中継ルータ(中継装置に相当)11、管理端末(検索要求端末に相当)12、および通信回線を介してサービスを提供を行うサーバ(通信端末に相当)13と、中継ルータ11を介して接続され上記LAN1とは別のLAN2を構成するプロキシサーバ14、および中継ルータ15と、この中継ルータ15を介して接続され、更に異なるLAN3に接続された不正端末16とを備えた構成となっている。
ここで、上記中継ルータ11は、プロキシサーバ14の属するネットワーク(LAN2)から管理端末12の属するネットワーク(LAN1)へ通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
また、管理端末12は、サーバ13を監視し、サーバ13に対して攻撃パケットが送り込まれた場合に、それを調査し対策を行う。
As shown in FIG. 1, the packet source identification system of this embodiment includes a relay router (corresponding to a relay device) 11 and a management terminal (corresponding to a search request terminal) that are connected to each other via a communication line and set up a LAN. 12, a server (corresponding to a communication terminal) 13 for providing a service via a communication line, a proxy server 14 connected via a relay router 11 and constituting a LAN 2 different from the LAN 1, and a relay router 15 In this configuration, an unauthorized terminal 16 is connected via the relay router 15 and further connected to a different LAN 3.
Here, when the relay router 11 performs communication from the network (LAN 2) to which the proxy server 14 belongs to the network (LAN 1) to which the management terminal 12 belongs, the relay router 11 converts the information of the transmission source into its own address information (NAPT). ) Has a function.
In addition, the management terminal 12 monitors the server 13, and when an attack packet is sent to the server 13, investigates and takes countermeasures.

更に、上記プロキシサーバ14は、不正端末16からサーバ13へのアクセス(不正アクセス)を中継し、中継ルータ15は、不正端末16の属するネットワーク(LAN3)からプロキシサーバ14の属するネットワーク(LAN2)に対する通信を行う際に、送信元の情報を自身のもつアドレス情報に変換する(NAPT)機能を有する。
不正端末16は、サーバ13に対する攻撃パケットの送信(又は通信アクセス)を行う。
Further, the proxy server 14 relays access (unauthorized access) from the unauthorized terminal 16 to the server 13, and the relay router 15 connects the network (LAN 3) to which the unauthorized terminal 16 belongs to the network (LAN 2) to which the proxy server 14 belongs. It has a (NAPT) function for converting source information into its own address information when performing communication.
The unauthorized terminal 16 transmits an attack packet (or communication access) to the server 13.

また、上記図1に示されたパケット送信元特定システムは、図2に示すように、オーバレイネットワークとして表すことができる。
ここでは、中継ルータ11内に設定され当該中継ルータ11を介して実行される中継通信を制御するエージェントプログラム部21と、同様に、プロキシサーバ14内に設定されこのプロキシサーバ14を介して実行される中継通信の制御を行うエージェントプログラム部22、および、中継ルータ15内に設定されこの中継ルータ15を介して実行される中継通信の制御を行うエージェントプログラム部23を備えた構成となっている。
Further, the packet transmission source specifying system shown in FIG. 1 can be represented as an overlay network as shown in FIG.
Here, similarly to the agent program unit 21 that controls the relay communication that is set in the relay router 11 and executed through the relay router 11, similarly, it is set in the proxy server 14 and executed through the proxy server 14. An agent program unit 22 that controls the relay communication, and an agent program unit 23 that is set in the relay router 15 and controls the relay communication that is executed via the relay router 15.

これにより、パケットの送信元(アドレス)情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して、攻撃が行われた場合でも、攻撃元を正確にかつ高速に特定できる。   As a result, even when an attack is performed via a proxy server that rewrites the packet transmission source (address) information or a device that performs address conversion, the attack source can be identified accurately and at high speed.

更に、図1および2では、不正端末16から攻撃パケットが送出され、当該攻撃パケットが中継ルータ15、プロキシサーバ14、および中継ルータ11を介してサーバ13に送り込まれた場合を示している。また、図1および2における点線矢印は、サーバ13に送り込まれた攻撃パケットを検出した管理端末12が、中継ルータ15に対して行う不正端末16の制御要求を示している。
尚、管理端末12は、不正端末16の制御指令および制御コマンド等を中継ルータ11を介して中継ルータ15に送信してもよい。
Further, FIGS. 1 and 2 show a case where an attack packet is sent from the unauthorized terminal 16 and the attack packet is sent to the server 13 via the relay router 15, the proxy server 14, and the relay router 11. 1 and 2 indicate a control request of the unauthorized terminal 16 to the relay router 15 by the management terminal 12 that has detected the attack packet sent to the server 13.
The management terminal 12 may transmit the control command and control command of the unauthorized terminal 16 to the relay router 15 via the relay router 11.

ここで、上記実施形態の各エージェントプログラム部について、図3のブロック図に基づき説明する。   Here, each agent program unit of the above embodiment will be described based on the block diagram of FIG.

中継ルータ11は、少なくとも、予め設定され演算処理を行う中央演算処理部(CPU)、処理対象のデータおよびプログラムを一時的に記憶する記憶装置など、一般的なコンピュータが有する構成を有し、上記CPUが予め設定されたプログラムの実行を行うことにより機能するエージェントプログラム部21を備えている。
また、中継ルータ11は、当該中継ルータ11を介して実行された通信セッションを特定するセッション情報を、セッション情報管理テーブルとして記憶管理するセッション情報管理データベース(DB)41と、中継ルータ11を介して実行された通信パケットの通信ログを記憶する通信ログ記憶部42を有する構成となっている。
The relay router 11 has a configuration of a general computer, such as at least a central processing unit (CPU) that performs preset arithmetic processing, a storage device that temporarily stores data and programs to be processed, and the like. An agent program unit 21 is provided that functions when the CPU executes a preset program.
Further, the relay router 11 stores, through the relay router 11, a session information management database (DB) 41 that stores and manages session information that specifies a communication session executed through the relay router 11 as a session information management table. The communication log storage unit 42 stores the communication log of the executed communication packet.

また、エージェントプログラム部21は、上記セッション情報管理テーブルを参照して不正端末16を検索し特定する不正端末検索部32と、パケット中継装置11の通信ログ、およびセッション情報管理テーブルに基づきセッション情報を送信する、又は上記セッション情報管理DB内のセッション情報管理テーブルを更新するセッション情報収集部33と、他のエージェントプログラム部(22、23)から送り込まれた不正端末制御依頼情報(以下「制御依頼」という)を解析すると共に、隣接して接続されたネットワーク装置(ここでは、中継ルータまたはプロキシサーバ)を制御して、不正端末16からの通信を制御する不正端末制御部34からなる。
また、エージェントプログラム部21は、他のエージェントプログラム部(22、23)から送り込まれたセッション情報、又は制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行い、必要に応じて攻撃元端末(不正端末16)に対してより近接したネットワーク装置のエージェントプログラム部(ここでは23)に制御依頼を中継送信するエージェント機能制御部31を備えている。
Further, the agent program unit 21 refers to the session information management table to search for and identify the unauthorized terminal 16 and the session information based on the unauthorized terminal search unit 32, the communication log of the packet relay device 11, and the session information management table. Session information collection unit 33 that transmits or updates the session information management table in the session information management DB and unauthorized terminal control request information (hereinafter referred to as “control request”) sent from another agent program unit (22, 23). And an unauthorized terminal control unit 34 for controlling communication from the unauthorized terminal 16 by controlling an adjacently connected network device (in this case, a relay router or a proxy server).
The agent program unit 21 receives session information or a control request sent from another agent program unit (22, 23), and receives the unauthorized terminal search unit 32, session information collection unit 33, and unauthorized terminal control unit. And an agent function control unit 31 that relays a control request to the agent program unit (23 in this case) of the network device closer to the attack source terminal (illegal terminal 16) as necessary. Yes.

尚、上記では、パケット中継装置11、および当該パケット中継装置11に設定されたエージェントプログラム部21について説明したが、プロキシサーバ14、およびパケット中継装置15それぞれの内部に設定されるエージェントプログラム部22、および23も同じ構成を有するものとする。   In the above description, the packet relay device 11 and the agent program unit 21 set in the packet relay device 11 have been described. However, the agent program unit 22 set in each of the proxy server 14 and the packet relay device 15, And 23 have the same configuration.

ここで、上記エージェントプログラム部は、パケット中継装置(中継ルータ又はプロキシサーバ)内ではなく通信ネットワークに接続された他の装置内に設置されてもよい。
また、エージェントプログラム部は、他のパケット中継装置上の通信ログを参照できると共に、他のパケット中継装置を制御可能であれば、通信端末内に設定されていてもよい。
Here, the agent program unit may be installed not in the packet relay device (relay router or proxy server) but in another device connected to the communication network.
Further, the agent program unit may be set in the communication terminal as long as it can refer to the communication log on the other packet relay device and can control the other packet relay device.

又、エージェントプログラム部を連携させることで、攻撃元を正確にかつ高速に特定し、攻撃元直近のネットワーク装置で不正な通信を制御できる。
更に、不正端末(攻撃元)の検索依頼と制御依頼を、パケット中継装置上の前記エージェントプログラムに中継させることで、ネットワークの匿名性を維持しつつ、不正端末からの通信をピンポイントで制御できる。
Further, by linking the agent program unit, the attack source can be specified accurately and at high speed, and unauthorized communication can be controlled by the network device nearest to the attack source.
In addition, by relaying search requests and control requests for unauthorized terminals (attack sources) to the agent program on the packet relay device, communication from unauthorized terminals can be controlled pinpoint while maintaining network anonymity. .

更に、異なるエージェントプログラム部を相互に連携させることによって、攻撃パケットの送信元を一意に特定し、不正端末からの通信を制御することができる。
また、上記エージェントプログラム部における処理を、異なる通信端末内に分散して実行することにより、各パケット中継装置における処理負荷を軽減することができる。
Furthermore, by linking different agent program units to each other, it is possible to uniquely identify the source of the attack packet and control communication from an unauthorized terminal.
Further, the processing load on each packet relay device can be reduced by executing the processing in the agent program unit in a distributed manner in different communication terminals.

以下、これを詳説する。   This will be described in detail below.

上記エージェントプログラム部21は、上述のように、中継ルータ11内部に予め備えられたセッション情報管理テーブルを参照して不正端末を特定する不正端末検索部32と、セッション情報管理データベース(DB)41に予め設けられたセッション情報収集ルールに基づき、エージェントプログラム部21に近接して接続された他のエージェントプログラム部にセッション情報を送信するセッション情報収集部33とを備えている。   As described above, the agent program unit 21 refers to an unauthorized terminal search unit 32 that identifies an unauthorized terminal by referring to a session information management table provided in advance in the relay router 11, and a session information management database (DB) 41. A session information collection unit 33 that transmits session information to another agent program unit connected in the vicinity of the agent program unit 21 based on a session information collection rule provided in advance.

ここで、セッション情報管理データベース(DB)41には、当該セッション情報DB41の設定された中継ルータ又はプロキシサーバ(総称として「パケット中継装置」という)で実行された中継通信を示すセッション情報がセッション情報管理テーブルとして管理されている。
また、セッション情報管理データベース(DB)41は、エージェントプログラム部21が他のエージェントプログラム部との間でセッション情報の通信を行う場合に、当該通信において指定されるパラメータ(宛先、プロトコルなど)がリスト化されたセッション情報収集ルール管理テーブルを記憶している。
Here, in the session information management database (DB) 41, session information indicating relay communication executed by the relay router or proxy server (generally referred to as “packet relay device”) set in the session information DB 41 is stored in the session information. It is managed as a management table.
The session information management database (DB) 41 is a list of parameters (destination, protocol, etc.) specified in the communication when the agent program unit 21 communicates session information with other agent program units. The session information collection rule management table is stored.

また、セッション情報収集部33は、通信ログ記憶部42、およびセッション情報管理DB41を参照すると共に、上述のように、セッション情報収集ルール管理テーブルに基づき予め設定された近隣のエージェントプログラム部にセッション情報を送信する機能と、セッション情報管理DB41内に設定されたセッション情報管理テーブルを更新する機能を有する。   In addition, the session information collection unit 33 refers to the communication log storage unit 42 and the session information management DB 41, and as described above, the session information collection unit 33 stores the session information in the neighboring agent program unit set in advance based on the session information collection rule management table. And a function for updating the session information management table set in the session information management DB 41.

ここで、通信ログ記憶部42に記憶された通信ログには、攻撃元端末(不正端末)を特定するための情報として少なくとも、中継前の送信元IPアドレス、中継前の送信元ポート番号、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継前の宛先IPアドレス、中継前の宛先ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間情報を有するものとする。   Here, the communication log stored in the communication log storage unit 42 includes at least a transmission source IP address before relaying, a transmission source port number before relaying, and relaying as information for specifying an attack source terminal (illegal terminal). Source IP address after relay, source port number after relay, destination IP address before relay, destination port number before relay, destination IP address after relay, destination port number after relay, protocol number, session start time, And time information from the start to the end of the session.

更に、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれた制御依頼を解析すると共に、隣接するネットワーク装置を制御して、不正端末からの通信を制限制御する不正端末制御部34を有する。
また、エージェントプログラム部21は、他のエージェントプログラム部から送り込まれたセッション情報、もしくは制御依頼を受信し、前記不正端末検索部32、セッション情報収集部33、および不正端末制御部34の制御を行うと共に、必要に応じて攻撃元に対してより近いエージェントプログラム部に制御依頼を転送するエージェント機能制御部31を備えている。
Further, the agent program unit 21 has a fraudulent terminal control unit 34 that analyzes a control request sent from another agent program unit and controls an adjacent network device to restrict communication from the fraudulent terminal.
The agent program unit 21 receives session information or a control request sent from another agent program unit, and controls the unauthorized terminal search unit 32, session information collection unit 33, and unauthorized terminal control unit 34. In addition, an agent function control unit 31 is provided that transfers a control request to an agent program unit closer to the attack source as necessary.

更に、エージェントプログラム部21は、セッション情報や制御依頼を受信して処理するサーバ機能を備え、このサーバ機能の設定パラメータとして、このサーバ機能を実行する際に指定される待ち受けポート番号を有する。   Further, the agent program unit 21 has a server function for receiving and processing session information and control requests, and has a standby port number designated when executing this server function as a setting parameter of the server function.

また、エージェントプログラム部21は、他の隣接するエージェントプログラム部のIPアドレスが登録された下流ノードリストを有し、当該他のエージェントプログラム部から送り込まれたセッション情報を受信する際に、この下流ノードリストに予め登録してあるIPアドレスからのみセッション情報を受信する。   Further, the agent program unit 21 has a downstream node list in which the IP addresses of other adjacent agent program units are registered, and when receiving the session information sent from the other agent program unit, this downstream node Session information is received only from IP addresses registered in advance in the list.

また、エージェントプログラム部21は、取得されたセッション情報をセッション情報管理テーブル内に保持する期間を示すセッション情報保持期間情報と、前記セッション情報収集部33が隣接するパケット中継装置の通信ログを差分チェックし通信セッションを特定する際に必要な情報を取得する時間間隔を示すセッション更新間隔情報を、保持している。   Further, the agent program unit 21 performs a difference check between the session information holding period information indicating the period for holding the acquired session information in the session information management table and the communication log of the packet relay device adjacent to the session information collecting unit 33 Session update interval information indicating a time interval for acquiring information necessary for specifying a communication session is held.

ここで、エージェント機能制御部31は、セッション情報管理DB41内に設定されたセッション情報収集ルールに基づき、予め設定されたエージェントプログラム部に対して、取得されたセッション情報の送信を行うか、もしくはセッション情報管理DB41内のセッション情報管理テーブルの更新を行う機能を有する。
更に、エージェント機能制御部31は、セッション情報管理テーブルを確認した場合に、予め設定された期間より古いセッション情報を破棄する処理を行う機能を備えている。
Here, the agent function control unit 31 transmits the acquired session information to the agent program unit set in advance based on the session information collection rule set in the session information management DB 41, or It has a function of updating the session information management table in the information management DB 41.
Further, the agent function control unit 31 has a function of performing processing for discarding session information older than a preset period when the session information management table is confirmed.

これにより、エージェント機能制御部が、近接して接続されたエージェントプログラム部との間で、予め設定された期間内の新しいセッション情報を相互に通知することできる。
このため、エージェントプログラム部は、近隣の他のエージェントプログラム部との間で相互にセッション情報の通信および更新を行うことにより、セッション情報の分散管理を行うことができ、上記の攻撃元特定処理にかかる各パケット中継装置で必要とされるマシンリソースを抑制することができる。
不正端末検索部32は、セッション情報管理DB41内に記憶されたセッション情報管理テーブル(図4)を、必要に応じて更新するセッション情報管理テーブル更新機能を有している。
As a result, the agent function control unit can mutually notify new session information within a preset period with the agent program unit connected in proximity.
For this reason, the agent program unit can perform session information distributed management by communicating and updating session information with other neighboring agent program units. Machine resources required for each packet relay apparatus can be suppressed.
The unauthorized terminal search unit 32 has a session information management table update function for updating the session information management table (FIG. 4) stored in the session information management DB 41 as necessary.

ここで、図4に示されるセッション情報管理テーブルの各カラムについて説明する。
「セッションID」は、通信セッションそれぞれ対応して設定され通信セッションを一意に特定するIDである。次いで、「セッションキー」は、通信ログ、もしくは近隣のエージェントプログラムから取得したセッション情報の以下の5つのパラメータ中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとして計算したハッシュ値を示す。
Here, each column of the session information management table shown in FIG. 4 will be described.
“Session ID” is an ID that is set for each communication session and uniquely identifies the communication session. Next, the “session key” is a source IP address after relaying the following five parameters of the session information acquired from the communication log or a nearby agent program, a source port number after relay, a destination IP address after relay, A hash value calculated by combining a destination port number after relay and a protocol number is shown.

また、「セッション開始時刻」は、通信セッションの開始時刻を示し、セッション終了までの時間は、セッションの開始から終了までの時間(単位は秒)を示す。
更に、「直近のエージェントID」は、通信の発信元直近のエージェントプログラムのIDを示し、例えば、LAN組織内の全エージェントプログラム部からアクセス可能な待ち受けIPアドレスおよび待ち受けポート番号とすることができる。
そして、「末端ノードID」は、通信の発信元を示すIDであり、直近のエージェントプログラムからみて通信の発信元を一意に特定可能なIDを示す。
The “session start time” indicates the start time of the communication session, and the time until the end of the session indicates the time from the start to the end of the session (in seconds).
Further, “nearest agent ID” indicates the ID of the agent program nearest to the communication source, and may be, for example, a standby IP address and a standby port number accessible from all agent program units in the LAN organization.
The “terminal node ID” is an ID indicating a communication source, and indicates an ID that can uniquely identify the communication source as seen from the latest agent program.

また、不正端末検索部32は、エージェント機能制御部31から不正端末の検索依頼情報を受け取ると共に、受け取った依頼情報の中から被害端末のIPアドレスおよびポート番号、検索対象のIPアドレスおよびポート番号、プロトコル番号を取得し、ここで取得された5つのパラメータ(被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、およびプロトコル番号)を組みとしたハッシュ値を算出するハッシュ値算出機能を有する。   In addition, the unauthorized terminal search unit 32 receives the unauthorized terminal search request information from the agent function control unit 31, and from the received request information, the IP address and port number of the victim terminal, the IP address and port number to be searched, A protocol number is acquired, and a hash value that combines the five parameters acquired here (IP address of the victim terminal, port number of the victim terminal, IP address of the search target, port number of the search target, and protocol number) It has a hash value calculation function to calculate.

更に、不正端末検索部32は、算出されたハッシュ値および攻撃を受けた時刻をキーとしてセッション情報管理DB41内のセッション情報管理テーブルを検索し、一致するセッション情報があるか否かの判定を行うセッション情報判定機能を有する。   Further, the unauthorized terminal search unit 32 searches the session information management table in the session information management DB 41 using the calculated hash value and the time of the attack as a key, and determines whether there is matching session information. Has a session information determination function.

ここで、不正端末検索部32が、検索に失敗した場合や、不正端末の制御で必要となる情報が得られない場合、不正端末検索部32は、検索結果として不正端末の検索に失敗したことを示すエラーコードをエージェント機能制御部31に通知するエラーコード通知機能を有する。   Here, when the unauthorized terminal search unit 32 fails in the search or when the information necessary for controlling the unauthorized terminal cannot be obtained, the unauthorized terminal search unit 32 has failed to retrieve the unauthorized terminal as a search result. An error code notification function for notifying the agent function control unit 31 of an error code indicating

また、不正端末の制御に必要となる不正端末のID(セッション情報管理テーブルの末端ノードIDカラムの情報)と不正端末直近のエージェントプログラムのID(セッション情報管理テーブルの直近のエージェントIDカラムの情報)を取得できた場合に、不正端末検索部32は、検索結果として検索成功を示すメッセージと不正端末のID、および不正端末直近のエージェントプログラムのIDをエージェント機能制御部31に通知する不正端末特定情報通知機能を備えている。   In addition, the ID of the unauthorized terminal (information in the terminal node ID column of the session information management table) and the ID of the agent program nearest to the unauthorized terminal (information in the latest agent ID column of the session information management table) required for controlling the unauthorized terminal The unauthorized terminal search unit 32 notifies the agent function control unit 31 of the message indicating successful search, the ID of the unauthorized terminal, and the ID of the agent program nearest to the unauthorized terminal as a search result. It has a notification function.

セッション情報収集部33は、セッション情報管理DBに記憶されたセッション情報収集ルール管理テーブル(図6)を、必要に応じて更新を行う収集ルール管理テーブル更新機能を有している。   The session information collection unit 33 has a collection rule management table update function for updating the session information collection rule management table (FIG. 6) stored in the session information management DB as necessary.

ここで、図6に示すセッション情報収集ルール管理テーブルの各カラムの意味は以下の通りである。
「ルールID」は、セッション情報収集ルールを一意に特定するためのIDである。
「送信元」は、アドレス変換後の送信元IPアドレスを示し、「宛先」は、アドレス変換後の宛先IPアドレスを示し、「宛先ポート番号」は、アドレス変換後の宛先ポート番号を示す。
次に、「プロトコル番号」は、通信におけるプロトコル番号を示し、「転送先」は、セッション情報の転送先を示す。
尚、ここに示される転送先は、転送先のエージェントプログラム部の待ち受けIPアドレスと待ち受けポート番の組を示している。
また、セッション情報収集部33は、この「転送先」で指定されたIPアドレス及びポート番号が自身のIPアドレス、ポート番号であった場合に、上述のように、取得されたセッション情報を書き出し、セッション情報収集ルール管理テーブルの更新を行う。
最後に、「備考」は、セッション情報収集ルールに対するコメント情報を示す。
Here, the meaning of each column of the session information collection rule management table shown in FIG. 6 is as follows.
“Rule ID” is an ID for uniquely identifying a session information collection rule.
“Source” indicates a source IP address after address conversion, “Destination” indicates a destination IP address after address conversion, and “Destination port number” indicates a destination port number after address conversion.
Next, “protocol number” indicates a protocol number in communication, and “transfer destination” indicates a transfer destination of session information.
The transfer destination shown here indicates a set of a standby IP address and a standby port number of the agent program unit of the transfer destination.
In addition, when the IP address and port number designated by the “forwarding destination” are the own IP address and port number, the session information collection unit 33 writes out the acquired session information as described above, Update the session information collection rule management table.
Finally, “Remarks” indicates comment information for the session information collection rule.

また、セッション情報収集部33は、予め設定された周期(セッション情報更新間隔)で隣接するパケット中継装置における通信ログの差分チェックを行うと共に、以下に示すセッション情報を取得するセッション情報取得機能を備えている。
尚、このセッション情報の内容は、中継前の送信元IPアドレス、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、およびセッション開始から終了までの時間からなる。
In addition, the session information collection unit 33 performs a difference check of communication logs in adjacent packet relay apparatuses at a preset period (session information update interval), and has a session information acquisition function for acquiring session information shown below. ing.
The contents of the session information include a source IP address before relay, a source IP address after relay, a source port number after relay, a destination IP address after relay, a destination port number after relay, a protocol number, It consists of session start time and time from session start to end.

ここで、セッション情報収集部33は、通常複数のセッション情報を取得すると共に、取得されたセッション情報それぞれについて処理を行うが、ここでは、セッション情報収集部33が、特定の一つのセッション情報にかかる処理について場合について説明する。   Here, the session information collection unit 33 normally acquires a plurality of session information and performs processing for each of the acquired session information. Here, the session information collection unit 33 applies to one specific session information. A case for processing will be described.

又、セッション情報収集部33は、セッション情報の取得後、取得されたセッション情報に含まれる中継前の送信元IPアドレスと前記下流ノードリストとを比較し、マッチする送信元IPアドレスが存在するか否かを判定する送信元アドレス判定機能を有する。   In addition, after acquiring the session information, the session information collecting unit 33 compares the source IP address before relay included in the acquired session information with the downstream node list, and whether there is a matching source IP address. It has a source address determination function for determining whether or not.

ここで、マッチする送信元IPアドレスが存在する場合、つまり、送信元IPアドレスが隣接する他のパケット中継装置である場合には、セッション情報収集部33は、処理を打ち切り、以下の処理を行わないものとする。   Here, when there is a matching source IP address, that is, when the source IP address is another adjacent packet relay device, the session information collection unit 33 aborts the process and performs the following process: Make it not exist.

一方、マッチする送信元IPアドレスが存在しない場合、セッション情報収集部33は、取得されたセッション情報の中継後の送信元IPアドレス、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号をキーとしてセッション情報収集ルール管理テーブルを検索すると共に、マッチした行の転送先カラムが、当該セッション情報収集部33の設けられた中継ルータ11(自身)を指定しているか否かの判定を行うテーブル検索判定機能を備えている。   On the other hand, when there is no matching source IP address, the session information collection unit 33 sends the source IP address after relaying the acquired session information, the destination IP address after relay, the destination port number after relay, and the protocol The session information collection rule management table is searched using the number as a key, and it is determined whether or not the transfer destination column of the matched row specifies the relay router 11 (self) in which the session information collection unit 33 is provided. A table search determination function is provided.

ここで、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11を指定している場合に、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、およびプロトコル番号を組みとしてハッシュ値を計算する。
また、セッション情報収集部33は、ここで算出されたハッシュ値、セッション開始時刻、セッション開始から終了までの時間、エージェントプログラム自身のID、中継前の送信元IPアドレスを持つホストのIDを一つの組として、自身のセッション情報管理テーブルにエントリに追加登録を行うセッション情報追加登録機能を備えている。
Here, the session information collection unit 33, when the transfer destination column specifies the relay router 11 that is itself, the source IP address after relay, the source port number after relay, the destination IP after relay A hash value is calculated by combining the address, the destination port number after relaying, and the protocol number.
In addition, the session information collection unit 33 sets the hash value calculated here, the session start time, the time from the start to the end of the session, the ID of the agent program itself, and the ID of the host having the transmission source IP address before the relay. As a set, it has a session information additional registration function for additionally registering entries in its own session information management table.

一方、セッション情報収集部33は、転送先カラムが、自身である中継ルータ11以外の場合に、転送先のエージェントプログラム部に対して、取得されたセッション情報を送信するセッション情報転送機能を備えている。
ここで、送信されるセッション情報は、少なくとも中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、中継後の宛先ポート番号、プロトコル番号、セッション開始時刻、セッション開始から終了までの時間、自身のID、および中継前の送信元IPアドレスを持つホストのIDを含む。
On the other hand, the session information collection unit 33 has a session information transfer function for transmitting the acquired session information to the transfer destination agent program unit when the transfer destination column is other than the relay router 11 that is the transfer destination column. Yes.
Here, the transmitted session information includes at least a relay source IP address, a relay source port number, a relay destination IP address, a relay destination port number, a protocol number, a session start time, and a session start. To the end time, its own ID, and the ID of the host having the source IP address before relaying.

尚、セッション情報を受信したエージェント機能制御部31は、当該セッション情報をセッション情報収集部33に送信する機能を有するものとする。   Note that the agent function control unit 31 that has received the session information has a function of transmitting the session information to the session information collection unit 33.

セッション情報収集部33は、エージェント機能制御部31からデータを受け取ると、上述のように、セッション情報収集ルール管理テーブルに基づいて、セッション情報を近隣のエージェントプログラム部に転送する、又は、自身のセッション情報管理テーブルを更新する機能を備えている。   When receiving the data from the agent function control unit 31, the session information collection unit 33 transfers the session information to the neighboring agent program unit based on the session information collection rule management table as described above, A function for updating the information management table is provided.

また、セッション情報収集部33は、受信されたセッション情報を近隣のエージェントプログラムに転送する場合、転送前にパケット中継装置の通信ログを参照し、該当するセッション情報があるか否かの判定を行う通信ログ参照判定機能を有する。   In addition, when transferring the received session information to a nearby agent program, the session information collection unit 33 refers to the communication log of the packet relay device before the transfer and determines whether there is corresponding session information. It has a communication log reference determination function.

このとき、セッション情報収集部33は、通信ログに該当するセッション情報がない場合に、そのまま近隣のエージェントプログラム部にセッション情報を転送する。
一方、通信ログ内に該当するセッション情報が見つかった場合、セッション情報収集部33は、見つかったセッション情報に基づき、中継後の送信元IPアドレス、中継後の送信元ポート番号、中継後の宛先IPアドレス、および中継後の宛先ポート番号を更新し、更新されたセッション情報を近隣のエージェントプログラム部に対して転送する。
At this time, if there is no corresponding session information in the communication log, the session information collecting unit 33 transfers the session information to the neighboring agent program unit as it is.
On the other hand, when the corresponding session information is found in the communication log, the session information collection unit 33, based on the found session information, the source IP address after relay, the source port number after relay, the destination IP after relay The address and the destination port number after relay are updated, and the updated session information is transferred to the neighboring agent program unit.

ここで、上記エージェントプログラム部は、直近のエージェントIDと末端ノードIDについて、受け取った値の更新を行わず、そのままセッション情報管理テーブルに書き出す。
これにより、エージェントプログラム部は、他のエージェントプログラム部から送り込まれた制御依頼を、上記直近のエージェントIDと末端ノードIDに基づき転送することができ、このため、不正端末側のエージェントプログラム部へと制御依頼を迅速に転送することができる。
Here, the agent program unit does not update the received values for the latest agent ID and terminal node ID, and writes them directly into the session information management table.
As a result, the agent program unit can transfer the control request sent from the other agent program unit based on the latest agent ID and terminal node ID, and therefore, to the agent program unit on the unauthorized terminal side. Control requests can be transferred quickly.

不正端末制御部34は、を制御ルールDBに記憶された制御ルール管理テーブル(図7)に対して、必要に応じて更新を行う制御ルール管理テーブル更新機能を有している。
ここで、図7に示す制御ルール管理テーブルの各カラムの意味は以下の通りである。
先ず、「ルールID」は、制御ルールを一意に特定するためのIDであり、「制御元」は、制御依頼を受けつけるネットワークのアドレスを、「制御先」は、制御先のネットワークアドレスを示す。
The unauthorized terminal control unit 34 has a control rule management table update function for updating the control rule management table (FIG. 7) stored in the control rule DB as necessary.
Here, the meaning of each column of the control rule management table shown in FIG. 7 is as follows.
First, “rule ID” is an ID for uniquely specifying a control rule, “control source” indicates a network address for receiving a control request, and “control destination” indicates a network address of the control destination.

又、「制御タイプ」は、どの方法で通信の制御を行うかを示す値であって、図7の例では、0が警告、1が帯域制御、2が検疫、3が遮断を示す。
更に、「制御コマンド」は、隣接するネットワーク装置を制御するためのコマンド、「制御オプション」は、制御コマンドのオプションに関する情報(制御コマンドの仕様)を示し、備考は、制御ルールに対するコメント情報を示す。
The “control type” is a value indicating which method is used to control communication. In the example of FIG. 7, 0 indicates warning, 1 indicates band control, 2 indicates quarantine, and 3 indicates blocking.
Further, “control command” indicates a command for controlling an adjacent network device, “control option” indicates information (control command specification) regarding the option of the control command, and remarks indicate comment information for the control rule. .

更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、図6に示すセッション情報収集ルール管理テーブルを参照し、不正端末の特定に必要なセッション情報を持っているかどうかの判定を行うセッション情報判定機能を備えている。ここで、上記セッション情報の内容は、制御依頼、制御元のIPアドレス、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプを少なくとも含んでいるものとする。   Further, when the unauthorized terminal control unit 34 receives an unauthorized terminal control request from the agent function control unit 31, the unauthorized terminal control unit 34 refers to the session information collection rule management table shown in FIG. 6 and has the session information necessary for identifying the unauthorized terminal. It has a session information determination function that determines whether or not it exists. Here, the contents of the session information are the control request, the IP address of the control source, the IP address of the victim terminal, the port number of the victim terminal, the IP address of the search target, the port number of the search target, the protocol number, and the attack It shall include at least the time and control type.

また、不正端末制御部34は、セッション情報収集ルール管理テーブルを、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、およびプロトコル番号をキーとして検索すると共に、特定された行の転送先カラムが自身(不正端末制御部34の設けられた中継端末)と一致するか否かを判定する。   In addition, the unauthorized terminal control unit 34 searches the session information collection rule management table using the IP address of the damaged terminal, the port number of the damaged terminal, the IP address to be searched, and the protocol number as keys, and the specified row. It is determined whether or not the transfer destination column matches itself (the relay terminal provided with the unauthorized terminal control unit 34).

ここで、自身と一致する場合には、一致することを示すメッセージをエージェント機能制御部31に通知する一致メッセージ通知機能を有する。
このとき、エージェント機能制御部31は、不正端末検索部32に検索依頼を送信すると共に、得られた検索結果に基づいて、制御依頼を不正端末16直近のエージェントプログラム部へ転送(中継)する。
Here, when it matches with itself, it has a matching message notification function of notifying the agent function control unit 31 of a message indicating matching.
At this time, the agent function control unit 31 transmits a search request to the unauthorized terminal search unit 32 and forwards (relays) the control request to the agent program unit closest to the unauthorized terminal 16 based on the obtained search result.

一方、自身と一致しない場合には、その旨と特定された行の転送先カラムの値をエージェント機能制御部31に通知する。
このとき、エージェント機能制御部31は取得された転送先の情報を基づいて、制御依頼を近隣のエージェントプログラムへ転送(中継)する。
On the other hand, when it does not coincide with itself, the agent function control unit 31 is notified of the value of the transfer destination column of the line specified to that effect.
At this time, the agent function control unit 31 transfers (relays) the control request to a neighboring agent program based on the acquired transfer destination information.

更に、不正端末制御部34は、エージェント機能制御部31から不正端末の制御依頼を受け取ると、制御ルールDB43に格納された制御ルールテーブル(図7)を参照し、制御元のIPアドレスをキーとしてマッチする制御ルールを特定する制御ルール参照特定機能を備えている。
ここで、上記制御ルールDB43に格納された制御ルールテーブルは、制御元のIPアドレス、末端ノードID、制御タイプ、制御コマンド、および制御コマンドオプションからなる。
Further, when receiving an unauthorized terminal control request from the agent function control unit 31, the unauthorized terminal control unit 34 refers to the control rule table (FIG. 7) stored in the control rule DB 43 and uses the IP address of the control source as a key. A control rule reference specifying function for specifying a matching control rule is provided.
Here, the control rule table stored in the control rule DB 43 includes a control source IP address, a terminal node ID, a control type, a control command, and a control command option.

また、制御ルールテーブルを確認した結果、どのルールの制御元アドレスにも制御元のIPアドレスがマッチしない場合、不正端末制御部34は、制御依頼を拒否し、制御結果としてエラーを返す。
更に、不正端末制御部34は、特定された制御ルールと制御依頼の中で指定された制御タイプとがマッチしない場合に、上記制御依頼を拒否し、制御結果としてエラーを返す。
As a result of checking the control rule table, if the control source IP address does not match the control source address of any rule, the unauthorized terminal control unit 34 rejects the control request and returns an error as the control result.
Further, if the specified control rule does not match the control type specified in the control request, the unauthorized terminal control unit 34 rejects the control request and returns an error as a control result.

制御元アドレスと制御タイプとがマッチする制御ルールが特定された場合に、不正端末制御部34は、予め設定された該当する制御コマンドを、制御依頼情報で指定された制御オプションに基づき実行し、隣接するパケット中継装置を制御する隣接中継装置制御機能を備えている。また、この制御による制御結果をエージェント機能制御部31に返信する機能を有する。   When a control rule that matches the control source address and the control type is specified, the unauthorized terminal control unit 34 executes the corresponding control command set in advance based on the control option specified in the control request information, An adjacent relay device control function for controlling adjacent packet relay devices is provided. Further, it has a function of returning a control result by this control to the agent function control unit 31.

これにより、攻撃元(不正端末)の特定後、攻撃元直近のネットワーク装置で不正な通信を制御できる。
また、あるネットワーク上に存在する不正端末からの攻撃を、ネットワーク構成を知らない別のネットワーク上の装置からも柔軟に制御できることができる。
Thereby, after identifying the attack source (illegal terminal), unauthorized communication can be controlled by the network device nearest to the attack source.
In addition, an attack from an unauthorized terminal existing on a certain network can be flexibly controlled from a device on another network that does not know the network configuration.

尚、上記制御ルールDB43は、組織LAN組織内に接続されて設けられてもよいし、パケット中継装置(中継ルータまたはプロキシサーバ)内部のエージェントプログラム部に併設されていてもよい。
ここでは、制御ルールDB43は、全エージェントプログラム部で共有して使用されるものとする。
又、セッション情報収集ルールを追加し、リソースのあまっている通信端末(サーバなど)にセッション情報の管理や不正端末の検索処理を分散させてもよい。
The control rule DB 43 may be provided connected to the organization LAN organization, or may be provided in the agent program unit inside the packet relay device (relay router or proxy server).
Here, it is assumed that the control rule DB 43 is shared by all agent program units.
In addition, session information collection rules may be added to distribute session information management and unauthorized terminal search processing to communication terminals (servers, etc.) with sufficient resources.

制御ルール管理テーブルに不正端末からの通信を遮断するルールを追加する際、不正端末からの通信を全て遮断するのではなく、制御コマンドのオプションを利用して、ある特定のプロトコルやポート番号を使用する通信のみを遮断してもよい。
これにより、プロトコルやポート番号による制御は遮断のルールだけでなく、帯域制御のルールなどにも適用できる。
When adding a rule to block communication from unauthorized terminals to the control rule management table, use a specific protocol or port number using control command options instead of blocking all communications from unauthorized terminals Only the communication to be performed may be blocked.
Thereby, control by protocol and port number can be applied not only to a blocking rule but also to a band control rule.

[実施形態の動作説明]
次に、本実施形態の全体の動作について説明する。
[Description of Operation of Embodiment]
Next, the overall operation of this embodiment will be described.

先ず、各中継装置(11、14、15)のエージェントプログラム部は、各中継転送を特定する通信特定情報を、予め設定された他の中継装置に通知する(通信特定情報通知工程)。ここで、不正端末16から通信端末13に対して攻撃パケットが送り込まれた場合に、検索要求端末12が、中継装置11に対して不正端末16の検索を要求し(不正端末検索要求工程)、中継装置11は、通信特定情報および検索要求に基づき不正端末16を特定する(不正端末特定工程)。
次いで、中継装置11が、特定された不正端末16に対してより近接して接続された中継装置15を特定し(中継装置特定工程)、検索要求端末12からの検索依頼(および制御依頼:図4)を受け取った中継装置15のエージェントプログラム部は、予め設定されたルールに基き隣接する前記不正端末16からの通信を抑制させる制御を行う(転送装置制御工程)。
First, the agent program unit of each relay device (11, 14, 15) notifies the communication specifying information for specifying each relay transfer to other preset relay devices (communication specifying information notification step). Here, when an attack packet is sent from the unauthorized terminal 16 to the communication terminal 13, the search requesting terminal 12 requests the relay device 11 to search for the unauthorized terminal 16 (unauthorized terminal search request process). The relay device 11 specifies the unauthorized terminal 16 based on the communication specifying information and the search request (unauthorized terminal specifying step).
Next, the relay device 11 identifies the relay device 15 connected closer to the identified unauthorized terminal 16 (relay device identification step), and the search request from the search request terminal 12 (and control request: FIG. 4), the agent program unit of the relay device 15 performs control to suppress communication from the adjacent unauthorized terminal 16 based on a preset rule (transfer device control step).

尚、上記不正端末検索工程、上記通信特定情報通知工程、不正端末特定工程、中継装置特定工程、および転送装置制御工程については、その実行内容をプログラム化し、上記中継装置、管理端末それぞれに設けられたコンピュータに実行させる構成としてもよい。   In addition, the execution contents of the unauthorized terminal search process, the communication identification information notification process, the unauthorized terminal identification process, the relay apparatus identification process, and the transfer apparatus control process are programmed and provided in each of the relay apparatus and the management terminal. It may be configured to be executed by a computer.

ここで、本実施形態の中継ルータ11、15、およびプロキシサーバ14を介して上記不正端末16を特定する動作について、図4のシーケンスチャートに基づき詳説する。   Here, the operation of identifying the unauthorized terminal 16 via the relay routers 11 and 15 and the proxy server 14 of the present embodiment will be described in detail based on the sequence chart of FIG.

先ず、中継ルータ(中継装置に相当)11、15、およびプロキシサーバ14におけるエージェントプログラム部は相互にセッション情報の通信を定期的に行っており、セッション情報管理DB41に格納されたテーブルの内容の更新処理が、常時行われているものとする(通信特定情報通知工程)。   First, the relay routers (corresponding to the relay devices) 11 and 15 and the agent program unit in the proxy server 14 regularly communicate session information with each other, and update the contents of the table stored in the session information management DB 41. It is assumed that the processing is always performed (communication specific information notification step).

ここで、サーバ(通信端末に相当)13に対して攻撃パケットが送り込まれたことを、サーバ13と同一ネットワーク(LAN1)内にある管理端末(検索要求端末に相当)12で検出する。このとき、管理端末12は、攻撃パケットの中継場所である中継ルータ(NAPT有)11のエージェントプログラム部21に対して、攻撃パケット送信元(不正端末)からの通信の抑制制御を要求する制御依頼情報を送信する(ステップS111:不正端末検索要求工程に相当)。   Here, the management terminal (corresponding to the search request terminal) 12 in the same network (LAN 1) as the server 13 detects that the attack packet has been sent to the server (corresponding to the communication terminal) 13. At this time, the management terminal 12 requests the agent program unit 21 of the relay router (with NAPT) 11 which is the relay location of the attack packet to request control of suppression of communication from the attack packet transmission source (illegal terminal). Information is transmitted (step S111: equivalent to an unauthorized terminal search request step).

このとき、制御依頼情報は、被害端末のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、検索対象のポート番号、プロトコル番号、攻撃を受けた時刻、および制御タイプが含まれているものとする。   At this time, the control request information includes the IP address of the victim terminal, the port number of the victim terminal, the IP address to be searched, the port number to be searched, the protocol number, the time of attack, and the control type. And

次に、制御依頼情報を受信したエージェントプログラム部21は、セッション情報収集ルール管理テーブル(図6)を参照して、不正端末16の特定に必要なセッション情報(特定情報に相当)が登録されているか判定を行う(ステップS112)。   Next, the agent program unit 21 that has received the control request information refers to the session information collection rule management table (FIG. 6) and registers session information (corresponding to the specific information) necessary for specifying the unauthorized terminal 16. It is determined whether or not (step S112).

具体的には、セッション情報収集ルール管理テーブル(図6)を、制御要求情報に含まれる被害端末(サーバ13)のIPアドレス、被害端末のポート番号、検索対象のIPアドレス、プロトコル番号をキーとして検索し、特定された行の転送先カラムが、エージェント21であるか否かの判定を行う。
ここでは、以下、転送先カラムがエージェントプログラム部21を示すものとして説明する。
Specifically, the session information collection rule management table (FIG. 6) is stored using the IP address of the victim terminal (server 13), the port number of the victim terminal, the IP address to be searched, and the protocol number included in the control request information as keys. It is determined whether or not the transfer destination column of the identified row is the agent 21.
In the following description, it is assumed that the transfer destination column indicates the agent program unit 21.

次いで、転送先カラムがエージェントプログラム部21であると判定された場合、エージェントプログラム部21のエージェント機能制御部31は、不正端末検索部32に検索要求を行う。
ここで、不正端末検索部32は、セッション情報に基づき不正端末16を特定する(不正端末特定工程)と共に、当該不正端末16に直近のエージェントプログラム部が、中継ルータ15のエージェントプログラム部23であることを特定する(ステップS112:中継装置特定工程)。
Next, when it is determined that the transfer destination column is the agent program unit 21, the agent function control unit 31 of the agent program unit 21 makes a search request to the unauthorized terminal search unit 32.
Here, the unauthorized terminal search unit 32 identifies the unauthorized terminal 16 based on the session information (unauthorized terminal identifying step), and the agent program unit closest to the unauthorized terminal 16 is the agent program unit 23 of the relay router 15. (Step S112: relay device specifying step).

次いで、上記検索結果に基づき、制御依頼を不正端末16直近の特定されたエージェントプログラム部23に対して中継送信する(ステップS113)。
ここで、制御依頼(不正端末制御依頼情報)には、少なくとも制御元のIPアドレス、末端ノードID、および制御タイプが含まれるものとする。
Next, based on the search result, a control request is relay-transmitted to the specified agent program unit 23 closest to the unauthorized terminal 16 (step S113).
Here, it is assumed that the control request (illegal terminal control request information) includes at least the control source IP address, the terminal node ID, and the control type.

次いで、制御依頼を受け取ったエージェントプログラム部23は、予め設定された制御ルールに基づいて、制御依頼により指定された制御コマンドを実行し(ステップS114:転送装置制御工程)、不正端末16からサーバ13に対して送り込まれる次回攻撃を抑制する制御を行う。   Next, the agent program unit 23 that has received the control request executes a control command specified by the control request based on a preset control rule (step S114: transfer device control step), and the unauthorized terminal 16 to the server 13 The control which suppresses the next attack sent to is performed.

次いで、エージェントプログラム部23は、制御依頼元である中継ルータ11のエージェントプログラム部21に制御コマンドの実行結果(制御結果213)を通知する(ステップS115)。
更に、エージェントプログラム部21は、制御結果213を受信すると共に、要求元である管理端末12に制御コマンドの実行結果として制御結果214を通知する(ステップS116)。
Next, the agent program unit 23 notifies the execution result (control result 213) of the control command to the agent program unit 21 of the relay router 11 that is the control request source (step S115).
Further, the agent program unit 21 receives the control result 213 and notifies the control result 214 as an execution result of the control command to the management terminal 12 that is the request source (step S116).

尚、上記エージェントプログラム部間の通信は公開鍵暗号方式を用いて暗号化し、機密性、完全性を保持するものとする。
また、隣接するパケット中継装置(エージェントプログラム部)の制御は、SNMP(Simple Network Management Protocol)、NETCONFコンフィギュレーションプロトコル、又は予め登録されたコマンド(装置専用のツール)等により実行されるものとする。
The communication between the agent program parts is encrypted using a public key cryptosystem to maintain confidentiality and integrity.
The control of the adjacent packet relay device (agent program unit) is executed by SNMP (Simple Network Management Protocol), NETCONF configuration protocol, pre-registered command (device dedicated tool), or the like.

上記手順により、パケット情報の送信元情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して攻撃パケットが送り込まれた場合でも、攻撃元を正確に特定でき、また、攻撃元の通信動作を攻撃元直近のパケット中継装置を介して制御することができる。   With the above procedure, even when an attack packet is sent via a proxy server that rewrites the packet information source information or a device that performs address translation, the attack source can be accurately identified, and the communication operation of the attack source can be determined. It can be controlled via the latest packet relay device.

また、本実施形態では、ある組織のネットワーク(LAN3)に属する不正端末16を、ネットワークの匿名性を維持しつつ、別組織のネットワーク(LAN1)に属する装置(管理端末12)から一意に特定することができ、更に、不正端末直近のネットワーク装置(中継ルータ15)を介して不正端末からの通信を制御することができる。   In this embodiment, the unauthorized terminal 16 belonging to a network (LAN 3) of a certain organization is uniquely identified from a device (management terminal 12) belonging to the network (LAN 1) of another organization while maintaining the anonymity of the network. In addition, communication from the unauthorized terminal can be controlled via the network device (relay router 15) closest to the unauthorized terminal.

更に、攻撃元の不正端末16を特定した後、制御依頼情報を攻撃元直近のパケット中継装置(中継ルータ15)に対してダイレクトに送信できるため、迅速に攻撃元からの通信を抑制制御可能である。
また、攻撃元までのパケット中継装置の中継数が多くなる場合でも、通信ネットワークに接続された通信端末内にエージェントプログラム部を設け、他のパケット中継装置上の通信ログを参照すると共に他のパケット中継装置を制御可能な設定とすることにより、不正端末の検索に要する各中継装置のマシンリソースを抑制することができ、且つ、より迅速に攻撃元の特定を行うことができる。
Furthermore, since the control request information can be directly transmitted to the packet relay apparatus (relay router 15) nearest to the attack source after the attacking unauthorized terminal 16 is identified, the communication from the attack source can be quickly suppressed and controlled. is there.
Even if the number of relays of the packet relay device up to the attack source increases, an agent program unit is provided in the communication terminal connected to the communication network, and the communication log on the other packet relay device is referenced and other packets By setting the relay device to be controllable, it is possible to suppress the machine resources of each relay device required for searching for an unauthorized terminal, and to identify the attack source more quickly.

本発明は、ISP(Internet Service Provider)などのネットワーク事業に適用することができ、ISP事業者側は、利用者に対してセキュリティの高いネットワーク環境を提供でき、更には運用コストを軽減することができる。   The present invention can be applied to a network business such as an ISP (Internet Service Provider), and the ISP business can provide a high-security network environment to the user and further reduce the operation cost. it can.

本発明によるパケット送信元特定システムの一実施形態における全体を示す概略構成図である。It is a schematic block diagram which shows the whole in one Embodiment of the packet transmission source identification system by this invention. 図1に開示したパケット送信元特定システムの一構成例を示す概略構成図である。It is a schematic block diagram which shows one structural example of the packet transmission source identification system disclosed in FIG. 図1に開示したパケット送信元特定システムにおける中継ルータの構成内容の一例を示すブロック図である。を示す説明図である。It is a block diagram which shows an example of the structure content of the relay router in the packet transmission source specific system disclosed in FIG. It is explanatory drawing which shows. 図1に開示したパケット送信元特定システムにおける不正端末の通信制御方法の処理ステップを概略的に示したシーケンス図である。It is the sequence diagram which showed roughly the process step of the communication control method of the unauthorized terminal in the packet transmission source specific system disclosed in FIG. 図1に開示したパケット送信元特定システムにおけるセッション情報管理テーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the session information management table in the packet transmission source specific system disclosed in FIG. 図1に開示したパケット送信元特定システムにおけるセッション情報収集ルールテーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the session information collection rule table in the packet transmission source specific system disclosed in FIG. 図1に開示したパケット送信元特定システムにおける制御ルール管理テーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the control rule management table in the packet transmission source specific system disclosed in FIG.

符号の説明Explanation of symbols

11、15 中継ルータ
12 管理端末
13 サーバ
14 プロキシサーバ
16 不正端末
21、22、23 エージェントプログラム部
31 エージェント機能制御部
32 不正端末検索部
33 セッション情報収集部
34 不正端末制御部
41 セッション情報管理データベース
42 通信ログ記憶部
43 制御ルールデータベース
DESCRIPTION OF SYMBOLS 11,15 Relay router 12 Management terminal 13 Server 14 Proxy server 16 Unauthorized terminal 21, 22, 23 Agent program part 31 Agent function control part 32 Unauthorized terminal search part 33 Session information collection part 34 Unauthorized terminal control part 41 Session information management database 42 Communication log storage unit 43 Control rule database

Claims (11)

通信ネットワークを介して送り込まれた通信パケットの中継転送を行うと共に当該中継転送に際して前記通信パケットに含まれるアドレス情報の変換を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備えたパケット送信元特定システムであって、
前記中継装置は、前記変換前および変換後のアドレス情報を含み前記中継装置で行われた各中継転送を特定する通信特定情報を記憶する手段と、前記通信特定情報を予め設定された他の中継装置との間で相互に通知する手段と、前記通信端末に対して攻撃パケットが送り込まれた場合に前記通信特定情報に基づき前記攻撃パケットの送信元を特定する手段とを備えたことを特徴とするパケット送信元特定システム。
A relay device that relays and forwards communication packets sent via a communication network and converts address information included in the communication packet at the time of relay forwarding, and a plurality of communications that communicate with each other via the relay device A packet transmission source identification system comprising a terminal,
The relay apparatus stores means for storing communication specifying information for specifying each relay transfer performed by the relay apparatus, including address information before and after conversion, and another relay for which the communication specifying information is set in advance. Characterized in that it comprises means for mutual notification with an apparatus, and means for identifying the source of the attack packet based on the communication identification information when an attack packet is sent to the communication terminal. To identify the packet source.
前記請求項1に記載のパケット送信元特定システムにおいて、
前記通信端末に前記攻撃パケットが送り込まれたことを検出すると共に前記中継装置に対して前記攻撃パケット送信元の検索を要求する検索要求端末を、前記通信端末に併設したことを特徴とするパケット送信元特定システム。
In the packet transmission source specifying system according to claim 1,
A packet transmission characterized in that a search request terminal that detects that the attack packet has been sent to the communication terminal and requests the relay device to search for the attack packet transmission source is provided in the communication terminal. Original identification system.
前記請求項2に記載のパケット送信元特定システムにおいて、
前記中継装置は、前記検索要求端末から送り込まれた検索要求および他の中継装置から送り込まれた前記通信特定情報に基づき前記攻撃パケットの送信元である不正端末の特定が可能か否かを判定する端末特定判定手段と、前記不正端末の特定ができない場合に、前記検索要求および通信特定情報を予め設定された他の中継装置に転送する通信特定情報転送手段とを備えたことを特徴とするパケット送信元特定システム。
In the packet source identification system according to claim 2,
The relay device determines whether or not it is possible to identify an unauthorized terminal that is a transmission source of the attack packet based on a search request sent from the search request terminal and the communication specifying information sent from another relay device. A packet comprising: terminal identification determining means; and communication identification information transferring means for transferring the search request and communication identification information to another preset relay device when the unauthorized terminal cannot be identified. Source identification system.
前記請求項3に記載のパケット送信元特定システムにおいて、
前記不正端末が特定された場合に、前記検索要求端末が、前記不正端末の通信抑制ルールを示す制御要求を前記中継端末に送信する制御要求手段を備え、前記中継装置は、当該不正端末により近接して接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置に前記制御要求を通知する制御要求通知手段とを備えたことを特徴とするパケット送信元特定システム。
In the packet transmission source specifying system according to claim 3,
When the unauthorized terminal is specified, the search requesting terminal includes control request means for transmitting a control request indicating a communication suppression rule of the unauthorized terminal to the relay terminal, and the relay device is closer to the unauthorized terminal A packet transmission source specifying system comprising: a relay device specifying means for specifying the connected relay device; and a control request notifying means for notifying the specified relay device of the control request.
前記請求項3に記載のパケット送信元特定システムにおいて、
前記中継装置は、前記不正端末が特定された場合に、当該不正端末のより近くに接続された中継装置を特定する中継装置特定手段と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる転送装置制御手段を備えたことを特徴とするパケット送信元特定システム。
In the packet transmission source specifying system according to claim 3,
The relay device, when the unauthorized terminal is identified, relay device identifying means for identifying a relay device connected closer to the unauthorized terminal, and controls the identified relay device to control from the unauthorized terminal A packet transmission source specifying system comprising transfer device control means for suppressing communication packet relay transfer.
前記請求項4に記載のパケット送信元特定システムにおいて、
前記中継装置は、当該中継装置に予め記憶された通信特定情報を、前記他の中継装置から通知された通信特定情報に基づき更新する自通信特定情報更新手段と、前記送り込まれた通信特定情報を更新し前記不正端末のより近くに接続された中継装置に転送する通信特定情報更新転送手段とを備えたことを特徴とするパケット送信元特定システム。
In the packet source identification system according to claim 4,
The relay device updates communication specific information stored in advance in the relay device based on the communication specific information notified from the other relay device, and the communication specific information sent to the relay device. A packet transmission source identification system comprising: communication identification information update transfer means for updating and transferring to a relay device connected closer to the unauthorized terminal.
前記請求項4又は6に記載のパケット送信元特定システムにおいて、
前記中継装置に、前記不正端末からの通信パケットを中継転送する条件を示す中継転送ルール情報が予め記憶された抑制制御ルール記憶部を併設し、前記中継装置が、前記中継転送ルールに基づき前記通信パケットの中継転送を制御する転送指定制御手段を備えたことを特徴とするパケット送信元特定システム。
In the packet transmission source specifying system according to claim 4 or 6,
The relay device is provided with a suppression control rule storage unit in which relay transfer rule information indicating a condition for relaying and transferring a communication packet from the unauthorized terminal is stored in advance, and the relay device performs the communication based on the relay transfer rule. A packet transmission source specifying system comprising transfer designation control means for controlling relay transfer of a packet.
通信ネットワーク上で通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するパケット送信元特定方法であって、
前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知工程と、前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記中継装置に対して前記不正端末の検索を要求する不正端末検索要求工程と、前記通信特定情報および前記検索要求に基づき前記不正端末を特定する不正端末特定工程とを備えたことを特徴とするパケット送信元特定方法。
A relay device that converts source address information of a communication packet communicated on a communication network and performs relay transfer; and a plurality of communication terminals that communicate with each other via the relay device; A packet transmission source specifying method for specifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent,
A communication specifying information notifying step for notifying other preset relay device of communication specifying information for specifying each relay transfer, and when an attack packet is sent from the unauthorized terminal to the communication terminal, the relay A packet transmission comprising: an unauthorized terminal search requesting step for requesting the device to search for the unauthorized terminal; and an unauthorized terminal identifying step for identifying the unauthorized terminal based on the communication specifying information and the search request. Original identification method.
前記請求項8に記載のパケット送信元特定方法であって、
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定工程と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御工程とを前記不正端末特定工程の後に備えたことを特徴とするパケット送信元特定方法。
The packet transmission source specifying method according to claim 8, wherein
Relay device specifying step for specifying a relay device connected closer to the specified unauthorized terminal, and a relay device for controlling the specified relay device to suppress communication packet relay transfer from the unauthorized terminal A packet transmission source identification method comprising a control step after the unauthorized terminal identification step.
通信ネットワークを介して通信される通信パケットの送信元アドレス情報を変換し中継転送を行う中継装置と、当該中継装置を介して相互に通信を行う複数の通信端末とを備え、前記通信端末に対して攻撃パケットが送り込まれた場合に、前記攻撃パケットの送信元である不正端末を特定するためのパケット送信元特定プログラムであって、
前記不正端末から前記通信端末に対して攻撃パケットが送り込まれた場合に、前記不正端末の検索を行う不正端末検索機能と、前記各中継転送を特定する通信特定情報を予め設定された他の中継装置に通知する通信特定情報通知機能と、前記検索結果および前記通信特定情報に基づき前記不正端末を特定する不正端末特定機能とをコンピュータに実行させることを特徴としたパケット送信元特定プログラム。
A relay device that converts source address information of a communication packet communicated via a communication network and performs relay transfer; and a plurality of communication terminals that communicate with each other via the relay device; A packet transmission source specifying program for specifying an unauthorized terminal that is a transmission source of the attack packet when an attack packet is sent,
When an attack packet is sent from the unauthorized terminal to the communication terminal, an unauthorized terminal search function for searching for the unauthorized terminal and other relays preset with communication specifying information for specifying each relay transfer A packet transmission source identification program for causing a computer to execute a communication identification information notification function for notifying an apparatus and an unauthorized terminal identification function for identifying the unauthorized terminal based on the search result and the communication identification information.
前記請求項10に記載のパケット送信元特定方法であって、
前記特定された不正端末に対してより近接して接続された中継装置を特定する中継装置特定機能と、当該特定された中継装置を制御し前記不正端末からの通信パケット中継転送を抑制させる中継装置制御機能とを、前記コンピュータに実行させることを特徴とするパケット送信元特定プログラム。
The packet transmission source specifying method according to claim 10, wherein
A relay device specifying function for specifying a relay device connected closer to the specified unauthorized terminal, and a relay device for controlling the specified relay device to suppress communication packet relay transfer from the unauthorized terminal A packet transmission source specifying program for causing a computer to execute a control function.
JP2008126516A 2008-05-13 2008-05-13 Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program Expired - Fee Related JP4867949B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008126516A JP4867949B2 (en) 2008-05-13 2008-05-13 Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008126516A JP4867949B2 (en) 2008-05-13 2008-05-13 Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program

Publications (2)

Publication Number Publication Date
JP2009278293A JP2009278293A (en) 2009-11-26
JP4867949B2 true JP4867949B2 (en) 2012-02-01

Family

ID=41443316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008126516A Expired - Fee Related JP4867949B2 (en) 2008-05-13 2008-05-13 Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program

Country Status (1)

Country Link
JP (1) JP4867949B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011146968A (en) * 2010-01-15 2011-07-28 Oki Networks Co Ltd Attack terminal specification apparatus and program
WO2014155650A1 (en) * 2013-03-29 2014-10-02 株式会社日立製作所 Information controller, information control system, and information control method
JP6795535B2 (en) * 2018-02-27 2020-12-02 日本電信電話株式会社 Specific system and specific method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3483782B2 (en) * 1998-10-15 2004-01-06 株式会社エヌ・ティ・ティ・データ Electronic data tracking system and data relay device
JP4098127B2 (en) * 2003-03-14 2008-06-11 株式会社エヌ・ティ・ティ・データ Packet tracking method and packet tracking program
JP2005210518A (en) * 2004-01-23 2005-08-04 Matsushita Electric Works Ltd Originating source tracking information providing device, and originating source tracking device

Also Published As

Publication number Publication date
JP2009278293A (en) 2009-11-26

Similar Documents

Publication Publication Date Title
JP5790827B2 (en) Control device, control method, and communication system
EP2779574B1 (en) Attack detection and prevention using global device fingerprinting
EP2612488B1 (en) Detecting botnets
EP3297248A1 (en) System and method for generating rules for attack detection feedback system
JP6083009B1 (en) SDN controller
US11108738B2 (en) Communication apparatus and communication system
US10560452B2 (en) Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
US10397111B2 (en) Communication device, communication system, and communication method
JP2008177714A (en) Network system, server, DDNS server, and packet relay device
CN101610264A (en) Firewall system, security service platform, and firewall system management method
CN103891206B (en) Method and device for synchronizing network data flow detection status
JP6973227B2 (en) Abnormal traffic analyzer, abnormal traffic analysis method and abnormal traffic analysis program
JPWO2012014509A1 (en) Unauthorized access blocking control method
JP6117050B2 (en) Network controller
JP4867949B2 (en) Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program
JP4713186B2 (en) Network monitoring method and network monitoring system
JP4321375B2 (en) Access control system, access control method, and access control program
US8234503B2 (en) Method and systems for computer security
JP4895793B2 (en) Network monitoring apparatus and network monitoring method
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program
KR20100048105A (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20160059825A (en) VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
JP2006165877A (en) Communication system, communication method, and communication program
JPWO2016170598A1 (en) Information processing apparatus, method, and program
JP2007174406A (en) Unauthorized access prevention device and unauthorized access prevention program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111018

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111031

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4867949

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141125

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees