JP2003087333A - Data relay apparatus, data relay method, data relay processing program and computer-readable recording medium having the data relay processing program recorded thereon - Google Patents
Data relay apparatus, data relay method, data relay processing program and computer-readable recording medium having the data relay processing program recorded thereonInfo
- Publication number
- JP2003087333A JP2003087333A JP2001272867A JP2001272867A JP2003087333A JP 2003087333 A JP2003087333 A JP 2003087333A JP 2001272867 A JP2001272867 A JP 2001272867A JP 2001272867 A JP2001272867 A JP 2001272867A JP 2003087333 A JP2003087333 A JP 2003087333A
- Authority
- JP
- Japan
- Prior art keywords
- data
- network distance
- destination
- communication device
- data communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、攻撃データが複
数のパケットに分割されてネットワークへ送られた際
に、その攻撃データを正しく発見したり、無効化する装
置等に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a device or the like for correctly finding or invalidating attack data when the attack data is divided into a plurality of packets and sent to a network.
【0002】[0002]
【従来の技術】従来の技術として、特開2000−35
4034に「事業:ハッカー監視室」が開示されてい
る。図14及び図15は、この「事業:ハッカー監視
室」を説明する図である。図14において、100は、
データ通信装置が接続可能でパケットの送受信が可能な
ネットワークA、200は、データ通信装置が接続可能
でパケットの送受信が可能なネットワークBである。2
は、ネットワークA100にてターゲットマシン4に対
する攻撃データを複数のパケットにて送る攻撃マシンで
ある。3は、ネットワークA100とネットワークB2
00の間のパケットの中継を行うルータである。4は、
ネットワークB200にてサービスを提供するターゲッ
トマシンである。6は、ネットワークA100に接続さ
れ、ネットワークA100内のデータ通信装置から送信
されたパケットを受信し、受信したパケットの中から攻
撃データを検出する攻撃検出システムである。2. Description of the Related Art As a conventional technique, Japanese Patent Laid-Open No. 2000-35
4034 discloses "Business: Hacker Monitoring Room". 14 and 15 are diagrams for explaining the "business: hacker monitoring room". In FIG. 14, 100 is
A network A, 200 to which a data communication device is connectable and capable of sending and receiving packets, is a network B, to which a data communication device is connectable and capable of sending and receiving packets. Two
Is an attack machine that sends attack data to the target machine 4 in a plurality of packets on the network A100. 3 is network A100 and network B2
It is a router that relays packets between 00s. 4 is
It is a target machine that provides a service on the network B200. An attack detection system 6 is connected to the network A100, receives a packet transmitted from a data communication device in the network A100, and detects attack data from the received packet.
【0003】図15は、攻撃検出システム6の内部構成
を示しており、61は、ネットワークA100にて通信
されるパケットをパケットの宛先にかかわらず受信する
パケット受信部である。62は、パケット受信部61か
ら渡されたパケットを元に通信データを再構成するデー
タ再構成部である。63は、攻撃データの特徴である攻
撃シグネチャ(攻撃コマンド)を、予め保存しておくシ
グネチャデータベース(以下、シグネチャDBとする)
である。64は、再構成された通信データと攻撃シグネ
チャとを比較して攻撃データかどうかを判定する攻撃チ
ェック部である。FIG. 15 shows the internal structure of the attack detection system 6, and 61 is a packet receiving unit for receiving a packet communicated on the network A 100 regardless of the destination of the packet. A data reconstructing unit 62 reconstructs communication data based on the packet passed from the packet receiving unit 61. Reference numeral 63 denotes a signature database (hereinafter referred to as signature DB) in which attack signatures (attack commands), which are characteristics of attack data, are stored in advance.
Is. Reference numeral 64 is an attack check unit that compares the reconstructed communication data with the attack signature to determine whether the data is attack data.
【0004】次に、攻撃検出システム6の動作について
説明する。パケット受信部61は、ネットワークA10
0に接続されたデータ通信装置より送信されたパケット
を受信する。ここで、例えば、攻撃マシン2よりターゲ
ットマシン4を宛先とする図16(b)〜(d)に示す
パケットA、パケットB、パケットCを受信したとす
る。次に、データ再構成部62は、パケット受信部61
により受信されたパケットのデータ内容の再構成を行
う。図16の例では、パケットA、パケットB、パケッ
トCのそれぞれのデータ内容を組み合わせて図16
(e)に示すように、”/cgi−bin/phaf”
というデータ内容に再構成する。次に、攻撃チェック部
64が、再構成されたデータ内容と、シグネチャDB6
3に蓄積されている攻撃シグネチャとを比較し、比較の
結果攻撃データであると判定した場合は、その攻撃デー
タを破棄し、攻撃データでないと判断した場合は、宛先
のデータ通信装置への転送を許可する。図16(a)
は、シグネチャDB63に蓄積された攻撃シグネチャを
示す。図16(a)の攻撃シグネチャと図16(e)の
再構成結果は、データ内容が一致しないため(攻撃シグ
ネチャでは/phf”となっているのに対して再構成結
果では/phaf”となっているため)、攻撃チェック
部64は、これらパケットA、パケットB、パケットC
は攻撃データではないと判断し、これらのパケットの転
送を許可する。Next, the operation of the attack detection system 6 will be described. The packet receiving unit 61 uses the network A10.
The packet transmitted from the data communication device connected to 0 is received. Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS. 16B to 16D having the destination of the target machine 4 are received from the attacking machine 2. Next, the data reconstructing unit 62 uses the packet receiving unit 61.
The data content of the packet received by is reconstructed. In the example of FIG. 16, the data contents of the packet A, the packet B, and the packet C are combined and the combination of FIG.
As shown in (e), "/ cgi-bin / phaf"
It is reconfigured to the data content. Next, the attack check unit 64 uses the reconstructed data content and the signature DB 6
3 is compared with the attack signature stored in No. 3, and if it is determined that the attack data is attack data as a result of the comparison, the attack data is discarded, and if it is determined that the attack data is not attack data, the data is transferred to the destination data communication device. Allow Figure 16 (a)
Indicates an attack signature accumulated in the signature DB 63. The attack signature of FIG. 16A and the reconstruction result of FIG. 16E do not have the same data content (the attack signature is / phf ", whereas the reconstruction result is / phaf". Therefore, the attack check unit 64 determines that the packet A, the packet B, and the packet C are
Judges that it is not attack data and permits the transfer of these packets.
【0005】一方で、図16(b)〜(d)のパケット
A、パケットB、パケットCには、それぞれTTL(T
ime To Live)の値が示されている。このT
TL値は、パケットがネットワークの中に滞在可能な時
間(秒数)を示す値であり、ルータ(ゲートウェイ)を
通過する度にルータ(ゲートウェイ)の処理に費やした
時間が、表示されたTTL値から減算される。ただし、
処理時間が1秒に満たない場合や、処理時間を計測でき
ない場合は、少なくとも1秒が減らされる。そして、T
TL値が0となった場合には、ルータ(ゲートウェイ)
によりそのパケットは破棄されることになる。即ち、T
TLは、パケットの有効期間を示す値となる。また、ル
ータの処理に費やした時間の代わりに、ホップカウント
を用いてTTL値とすることも可能である。つまり、ル
ータを1つ通過するたびにTTL値を1つづつ減らし、
TTL値が0となった時点でルータがパケットを破棄す
るようにしてもよい。この場合には、TTL値は、パケ
ットが転送されるネットワーク距離を示すことになる。
ここで、パケットAではTTL=5、パケットBではT
TL=1、パケットCではTTL=5である。このた
め、攻撃検出システム6からターゲットマシン4までに
必要なTTL値が2〜5の間の場合は、パケットBは途
中のルータで破棄され、パケットA及びパケットCのみ
がターゲットマシン4に到達することになる。ターゲッ
トマシン4に到達したパケットA及びパケットCのデー
タ内容は、図16(f)に示すものとなり、これは、結
局図16(a)の攻撃シグネチャと一致する結果とな
る。On the other hand, the packet A, the packet B, and the packet C shown in FIGS.
The value of “ime To Live” is shown. This T
The TL value is a value indicating the time (in seconds) that a packet can stay in the network, and the time spent processing the router (gateway) every time it passes through the router (gateway) is the displayed TTL value. Is subtracted from. However,
When the processing time is less than 1 second or when the processing time cannot be measured, at least 1 second is reduced. And T
When the TL value becomes 0, the router (gateway)
Causes the packet to be discarded. That is, T
TL is a value indicating the valid period of the packet. It is also possible to use the hop count as the TTL value instead of the time spent for processing by the router. In other words, each time you go through one router, you decrease the TTL value by one,
The router may discard the packet when the TTL value becomes 0. In this case, the TTL value will indicate the network distance over which the packet is transferred.
Here, TTL = 5 in packet A and T in packet B
TL = 1, and in packet C, TTL = 5. Therefore, when the TTL value required from the attack detection system 6 to the target machine 4 is between 2 and 5, the packet B is discarded by the router on the way, and only the packet A and the packet C reach the target machine 4. It will be. The data contents of the packet A and the packet C that have reached the target machine 4 are as shown in FIG. 16 (f), which results in a match with the attack signature of FIG. 16 (a).
【0006】[0006]
【発明が解決しようとする課題】このように、従来の技
術においては、攻撃検出システムには到達するものの、
ルータを経由するターゲットマシンには到達しないよう
にTTLを操作したダミーのパケットを、攻撃データの
分割された複数のパケットの間に潜り込ませることによ
って、攻撃シグネチャとして検出不能(見かけ上は攻撃
データと判定できない)でありながらターゲットマシン
が攻撃されるという問題があった。そこで、本発明は、
このような問題点を解決することを目的とする。As described above, although the conventional technique reaches the attack detection system,
Unable to detect as an attack signature by making a dummy packet that manipulates TTL so that it does not reach the target machine via the router, among multiple packets that are divided into attack data (apparently, it cannot be detected as attack data. However, there was a problem that the target machine was attacked. Therefore, the present invention is
The purpose is to solve such problems.
【0007】[0007]
【課題を解決するための手段】本発明に係るデータ中継
装置は、複数のデータ通信装置間のデータ通信を中継す
るデータ中継装置であって、いずれかのデータ通信装置
から他のいずれかのデータ通信装置を宛先として送信さ
れ、前記データ中継装置からデータ転送可能なネットワ
ーク距離が表示ネットワーク距離として表示された送信
データを受信するデータ受信部と、前記データ中継装置
から前記送信データの宛先とされた宛先データ通信装置
までのネットワーク距離を測定ネットワーク距離として
測定するネットワーク距離測定部と、前記送信データに
表示された前記表示ネットワーク距離と、前記ネットワ
ーク距離測定部により測定された前記測定ネットワーク
距離とを比較し、比較結果に基づき前記送信データを破
棄するか否かを決定するデータ検査部とを有することを
特徴とする。A data relay device according to the present invention is a data relay device for relaying data communication between a plurality of data communication devices, wherein any one of the data communication devices transfers data to another data communication device. A data receiving unit that receives the transmission data transmitted from the communication device and has the data transferable network distance displayed as the display network distance from the data relay device; and a destination of the transmission data from the data relay device. A network distance measuring unit that measures a network distance to a destination data communication device as a measurement network distance, the display network distance displayed in the transmission data, and the measured network distance measured by the network distance measuring unit are compared. Then, based on the comparison result, it is decided whether to discard the transmission data. And having a data checking unit for.
【0008】前記データ中継装置は、更に、同一のデー
タ通信装置を宛先データ通信装置とする複数の送信デー
タが前記データ受信部により受信され、受信された前記
複数の送信データのうち少なくとも二以上の送信データ
が前記データ検査部により破棄されずに維持された場合
に、維持された送信データを組み合わせて維持された送
信データのデータ内容を再構成するデータ再構成部と、
前記データ再構成部により再構成されたデータ内容が、
前記宛先データ通信装置への攻撃を目的とするデータ内
容であるか否かを判定するデータ判定部とを有すること
を特徴とする。In the data relay device, a plurality of transmission data having the same data communication device as a destination data communication device is received by the data receiving unit, and at least two or more of the received plurality of transmission data are received. A data reconstructing unit that reconstructs the data content of the maintained transmission data by combining the maintained transmission data when the transmission data is maintained without being discarded by the data inspection unit,
The data content reconstructed by the data reconstructing unit is
And a data determination unit that determines whether or not the data content is for the purpose of attacking the destination data communication device.
【0009】データ検査部は、前記送信データの前記表
示ネットワーク距離の値が、前記測定ネットワーク距離
の値よりも小さい場合に前記送信データを破棄する決定
を行うことを特徴とする。The data inspection unit may determine to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
【0010】前記データ受信部は、前記表示ネットワー
ク距離としてTTL(Time To Live)値が
表示された送信データを受信し、前記ネットワーク距離
測定部は、前記測定ネットワーク距離として前記データ
中継装置から前記宛先データ通信装置までに必要なTT
L値を測定し、前記データ検査部は、前記送信データに
表示されたTTL値と、前記ネットワーク距離測定部に
より測定されたTTL値とを比較し、比較結果に基づき
前記送信データを破棄するか否かを決定することを特徴
とする。The data receiving unit receives the transmission data in which a TTL (Time To Live) value is displayed as the display network distance, and the network distance measuring unit receives the transmission network distance from the data relay device as the measured network distance. TT required for data communication equipment
Whether the data inspection unit measures the L value, compares the TTL value displayed in the transmission data with the TTL value measured by the network distance measurement unit, and discards the transmission data based on the comparison result. It is characterized by determining whether or not.
【0011】前記データ中継装置は、更に、いずれかの
データ通信装置への攻撃に用いられる攻撃コマンドを少
なくとも一つ以上記憶した攻撃コマンド記憶部を有し、
前記データ判定部は、前記データ再構成部により再構成
されたデータ内容が前記攻撃コマンド記憶部に記憶され
た前記攻撃コマンドのいずれかに一致するか否かを判定
することを特徴とする。The data relay device further includes an attack command storage unit that stores at least one attack command used to attack any one of the data communication devices,
The data determination unit determines whether the data content reconstructed by the data reconfiguration unit matches any of the attack commands stored in the attack command storage unit.
【0012】本発明に係るデータ中継装置は、複数のデ
ータ通信装置間のデータ通信を中継するデータ中継装置
であって、前記複数のデータ通信装置のそれぞれについ
て、前記データ中継装置からそれぞれのデータ通信装置
までのネットワーク距離を記憶ネットワーク距離として
記憶するネットワーク距離記憶部と、いずれかのデータ
通信装置から他のいずれかのデータ通信装置を宛先とし
て送信され、前記データ中継装置からデータ転送可能な
ネットワーク距離が表示ネットワーク距離として表示さ
れた送信データを受信するデータ受信部と、前記送信デ
ータに表示された前記表示ネットワーク距離と、前記送
信データの宛先とされた宛先データ通信装置の記憶ネッ
トワーク距離とを比較し、比較結果に基づき前記表示ネ
ットワーク距離及び前記宛先データ通信装置の記憶ネッ
トワーク距離のいずれか一方の値を変更するネットワー
ク距離変更部と、前記ネットワーク距離変更部により前
記表示ネットワーク距離及び前記宛先通信装置の記憶ネ
ットワーク距離のいずれか一方の値の変更が行われた後
に、前記送信データを前記宛先データ通信装置に対して
送信するデータ送信部とを有することを特徴とする。A data relay device according to the present invention is a data relay device for relaying data communication between a plurality of data communication devices, wherein each of the plurality of data communication devices receives data communication from the data relay device. A network distance storage unit that stores a network distance to a device as a storage network distance, and a network distance that is transmitted from any data communication device to another data communication device as a destination and is capable of transferring data from the data relay device. A data receiving unit that receives transmission data displayed as a display network distance, the display network distance displayed in the transmission data, and a storage network distance of a destination data communication device that is the destination of the transmission data. Based on the comparison result, A network distance changing unit that changes one of the values of the storage network distance of the destination data communication device, and a value of one of the display network distance and the storage network distance of the destination communication device by the network distance changing unit. A data transmission unit that transmits the transmission data to the destination data communication device after the change is made.
【0013】前記ネットワーク距離変更部は、前記表示
ネットワーク距離の値が前記宛先データ通信装置の記憶
ネットワーク距離の値よりも小さい場合は、前記表示ネ
ットワーク距離の値を前記宛先データ通信装置の記憶ネ
ットワーク距離の値に変更し、前記宛先データ通信装置
の記憶ネットワーク距離の値が前記表示ネットワーク距
離の値よりも小さい場合は、前記宛先データ通信装置の
記憶ネットワーク距離の値を前記表示ネットワーク距離
の値に変更することを特徴とする。When the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the network distance changing unit sets the value of the display network distance to the storage network distance of the destination data communication device. And the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the value of the storage network distance of the destination data communication device is changed to the value of the display network distance. It is characterized by doing.
【0014】前記ネットワーク距離記憶部に記憶ネット
ワーク距離が記憶されていない新規のデータ通信装置を
宛先とする送信データが前記データ受信部により受信さ
れた場合に、前記ネットワーク距離記憶部は、前記送信
データに表示されたネットワーク距離を、前記新規のデ
ータ通信装置の記憶ネットワーク距離として記憶するこ
とを特徴とする。When transmission data destined for a new data communication device whose storage network distance is not stored in the network distance storage unit is received by the data reception unit, the network distance storage unit is configured to transmit the transmission data. The network distance displayed on the screen is stored as the storage network distance of the new data communication device.
【0015】前記ネットワーク距離記憶部は、前記記憶
ネットワーク距離として前記データ中継装置からそれぞ
れのデータ通信装置までに必要なTTL(Time T
oLive)値を記憶し、前記データ受信部は、前記表
示ネットワーク距離としてTTL値が表示された送信デ
ータを受信し、前記ネットワーク距離変更部は、前記送
信データに表示された表示TTL値と前記ネットワーク
距離記憶部に記憶された前記宛先データ通信装置の記憶
TTL値とを比較し、比較結果に基づき前記表示TTL
値及び前記宛先データ通信装置の記憶TTL値のいずれ
か一方の値を変更することを特徴とする。The network distance storage unit has a TTL (Time T) required as the storage network distance from the data relay device to each data communication device.
oLive) value is stored, the data receiving unit receives transmission data in which a TTL value is displayed as the display network distance, and the network distance changing unit is configured to display the display TTL value displayed in the transmission data and the network. The stored TTL value of the destination data communication device stored in the distance storage unit is compared, and the display TTL is based on the comparison result.
One of the value and the stored TTL value of the destination data communication device is changed.
【0016】本発明に係るデータ中継方法は、複数のデ
ータ通信装置間のデータ通信を中継するデータ中継方法
であって、いずれかのデータ通信装置から他のいずれか
のデータ通信装置を宛先として送信され、前記データ中
継方法からデータ転送可能なネットワーク距離が表示ネ
ットワーク距離として表示された送信データを受信する
データ受信ステップと、前記データ中継方法から前記送
信データの宛先とされた宛先データ通信装置までのネッ
トワーク距離を測定ネットワーク距離として測定するネ
ットワーク距離測定ステップと、前記送信データに表示
された前記表示ネットワーク距離と、前記ネットワーク
距離測定ステップにより測定された前記測定ネットワー
ク距離とを比較し、比較結果に基づき前記送信データを
破棄するか否かを決定するデータ検査ステップとを有す
ることを特徴とする。A data relay method according to the present invention is a data relay method for relaying data communication between a plurality of data communication devices, wherein any one of the data communication devices transmits to any of the other data communication devices. A data receiving step of receiving transmission data in which a network distance capable of data transfer is displayed as a display network distance from the data relay method; and a destination data communication device from the data relay method to a destination of the transmission data. A network distance measuring step of measuring the network distance as a measurement network distance, the display network distance displayed in the transmission data, and the measured network distance measured by the network distance measuring step are compared, and based on the comparison result. Whether to discard the transmission data And having a data checking step for constant.
【0017】前記データ中継方法は、更に、同一のデー
タ通信装置を宛先データ通信装置とする複数の送信デー
タが前記データ受信ステップにより受信され、受信され
た前記複数の送信データのうち少なくとも二以上の送信
データが前記データ検査ステップにより破棄されずに維
持された場合に、維持された送信データを組み合わせて
維持された送信データのデータ内容を再構成するデータ
再構成ステップと、前記データ再構成ステップにより再
構成されたデータ内容が、前記宛先データ通信装置への
攻撃を目的とするデータ内容であるか否かを判定するデ
ータ判定ステップとを有することを特徴とする。In the data relay method, a plurality of transmission data having the same data communication device as a destination data communication device is received by the data receiving step, and at least two or more of the received plurality of transmission data are received. A data reconstruction step of reconstructing the data content of the maintained transmission data by combining the maintained transmission data when the transmission data is maintained without being discarded by the data inspection step; A data determination step of determining whether or not the reconstructed data content is data content intended to attack the destination data communication device.
【0018】データ検査ステップは、前記送信データの
前記表示ネットワーク距離の値が、前記測定ネットワー
ク距離の値よりも小さい場合に前記送信データを破棄す
る決定を行うことを特徴とする。The data inspection step is characterized by making a decision to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
【0019】前記データ受信ステップは、前記表示ネッ
トワーク距離としてTTL(Time To Liv
e)値が表示された送信データを受信し、前記ネットワ
ーク距離測定ステップは、前記測定ネットワーク距離と
して前記データ中継方法から前記宛先データ通信装置ま
でに必要なTTL値を測定し、前記データ検査ステップ
は、前記送信データに表示されたTTL値と、前記ネッ
トワーク距離測定ステップにより測定されたTTL値と
を比較し、比較結果に基づき前記送信データを破棄する
か否かを決定することを特徴とする。In the data receiving step, TTL (Time To Live) is used as the display network distance.
e) receiving transmission data with a value displayed, the network distance measuring step measures a TTL value required as the measured network distance from the data relay method to the destination data communication device, and the data checking step includes , Comparing the TTL value displayed in the transmission data with the TTL value measured in the network distance measuring step, and deciding whether or not to discard the transmission data based on the comparison result.
【0020】本発明に係るデータ中継方法は、複数のデ
ータ通信装置間のデータ通信を中継するデータ中継方法
であって、前記複数のデータ通信装置のそれぞれについ
て、前記データ中継方法からそれぞれのデータ通信装置
までのネットワーク距離を記憶ネットワーク距離として
記憶するネットワーク距離記憶ステップと、いずれかの
データ通信装置から他のいずれかのデータ通信装置を宛
先として送信され、前記データ中継方法からデータ転送
可能なネットワーク距離が表示ネットワーク距離として
表示された送信データを受信するデータ受信ステップ
と、前記送信データに表示された前記表示ネットワーク
距離と、前記送信データの宛先とされた宛先データ通信
装置の記憶ネットワーク距離とを比較し、比較結果に基
づき前記表示ネットワーク距離及び前記宛先データ通信
装置の記憶ネットワーク距離のいずれか一方の値を変更
するネットワーク距離変更ステップと、前記ネットワー
ク距離変更ステップにより前記表示ネットワーク距離及
び前記宛先通信装置の記憶ネットワーク距離のいずれか
一方の値の変更が行われた後に、前記送信データを前記
宛先データ通信装置に対して送信するデータ送信ステッ
プとを有することを特徴とする。A data relay method according to the present invention is a data relay method for relaying data communication between a plurality of data communication devices, wherein each of the plurality of data communication devices uses the data communication method. A network distance storing step of storing the network distance to the device as a storage network distance, and a network distance capable of being transferred from the data relay method by being transmitted from any of the data communication devices to another of the data communication devices. A data receiving step of receiving transmission data displayed as a display network distance, the display network distance displayed in the transmission data, and a storage network distance of a destination data communication device that is the destination of the transmission data. Then, based on the comparison result, the above-mentioned display net Network distance changing step of changing one of the values of the network distance and the storage network distance of the destination data communication apparatus, and any one of the display network distance and the storage network distance of the destination communication apparatus by the network distance changing step. A data transmission step of transmitting the transmission data to the destination data communication device after one value is changed.
【0021】前記ネットワーク距離変更ステップは、前
記表示ネットワーク距離の値が前記宛先データ通信装置
の記憶ネットワーク距離の値よりも小さい場合は、前記
表示ネットワーク距離の値を前記宛先データ通信装置の
記憶ネットワーク距離の値に変更し、前記宛先データ通
信装置の記憶ネットワーク距離の値が前記表示ネットワ
ーク距離の値よりも小さい場合は、前記宛先データ通信
装置の記憶ネットワーク距離の値を前記表示ネットワー
ク距離の値に変更することを特徴とする。In the network distance changing step, if the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the value of the display network distance is changed to the storage network distance of the destination data communication device. And the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the value of the storage network distance of the destination data communication device is changed to the value of the display network distance. It is characterized by doing.
【0022】前記ネットワーク距離記憶ステップは、前
記記憶ネットワーク距離として前記データ中継方法から
それぞれのデータ通信装置までに必要なTTL(Tim
eTo Live)値を記憶し、前記データ受信ステッ
プは、前記表示ネットワーク距離としてTTL値が表示
された送信データを受信し、前記ネットワーク距離変更
ステップは、前記送信データに表示された表示TTL値
と前記ネットワーク距離記憶ステップに記憶された前記
宛先データ通信装置の記憶TTL値とを比較し、比較結
果に基づき前記表示TTL値及び前記宛先データ通信装
置の記憶TTL値のいずれか一方の値を変更することを
特徴とする。In the network distance storing step, the TTL (Tim) required as a storage network distance from the data relay method to each data communication device is used.
eTo Live) value is stored, the data receiving step receives transmission data in which a TTL value is displayed as the display network distance, and the network distance changing step includes the display TTL value displayed in the transmission data and the display data. Comparing the stored TTL value of the destination data communication device stored in the network distance storing step, and changing one of the display TTL value and the stored TTL value of the destination data communication device based on the comparison result. Is characterized by.
【0023】本発明に係るデータ中継処理プログラム
は、複数のデータ通信装置間のデータ通信を中継するデ
ータ中継処理をデータ中継装置に実行させるためのデー
タ中継処理プログラムであって、いずれかのデータ通信
装置から他のいずれかのデータ通信装置を宛先として送
信され、前記データ中継装置からデータ転送可能なネッ
トワーク距離が表示ネットワーク距離として表示された
送信データを受信するデータ受信処理と、前記データ中
継装置から前記送信データの宛先とされた宛先データ通
信装置までのネットワーク距離を測定ネットワーク距離
として測定するネットワーク距離測定処理と、前記送信
データに表示された前記表示ネットワーク距離と、前記
ネットワーク距離測定処理により測定された前記測定ネ
ットワーク距離とを比較し、比較結果に基づき前記送信
データを破棄するか否かを決定するデータ検査処理とを
前記データ中継装置に実行させるためのデータ中継処理
プログラムであることを特徴とする。A data relay processing program according to the present invention is a data relay processing program for causing a data relay device to execute a data relay process for relaying data communication between a plurality of data communication devices, wherein A data reception process for receiving transmission data transmitted from the device to any one of the other data communication devices and displaying a network distance capable of data transfer from the data relay device as a display network distance; A network distance measuring process of measuring a network distance to a destination data communication device as a destination of the transmission data as a measurement network distance, the display network distance displayed in the transmission data, and the network distance measuring process. And the measured network distance And compare, characterized in that it is a data relay processing program for executing the data checking process of determining whether to discard the transmission data based on a comparison result to the data relay apparatus.
【0024】前記データ中継処理プログラムは、更に、
同一のデータ通信装置を宛先データ通信装置とする複数
の送信データが前記データ受信処理により受信され、受
信された前記複数の送信データのうち少なくとも二以上
の送信データが前記データ検査処理により破棄されずに
維持された場合に、維持された送信データを組み合わせ
て維持された送信データのデータ内容を再構成するデー
タ再構成処理と、前記データ再構成処理により再構成さ
れたデータ内容が、前記宛先データ通信装置への攻撃を
目的とするデータ内容であるか否かを判定するデータ判
定処理とを前記データ中継装置に実行させるためのデー
タ中継処理プログラムであることを特徴とする。The data relay processing program further includes
A plurality of transmission data destined for the same data communication device as the destination data communication device is received by the data reception process, and at least two or more transmission data of the received plurality of transmission data are not discarded by the data inspection process. In the case of being maintained at, the data reconstruction process for reconstructing the data contents of the maintained transmission data by combining the maintained transmission data, and the data contents reconstructed by the data reconstruction process are the destination data. It is a data relay processing program for causing the data relay device to execute a data determination process for determining whether or not the data content is intended to attack a communication device.
【0025】本発明に係るデータ中継処理プログラム
は、複数のデータ通信装置間のデータ通信を中継するデ
ータ中継処理をデータ中継装置に実行させるためのデー
タ中継処理プログラムであって、前記複数のデータ通信
装置のそれぞれについて、前記データ中継装置からそれ
ぞれのデータ通信装置までのネットワーク距離を記憶ネ
ットワーク距離として記憶するネットワーク距離記憶処
理と、いずれかのデータ通信装置から他のいずれかのデ
ータ通信装置を宛先として送信され、前記データ中継装
置からデータ転送可能なネットワーク距離が表示ネット
ワーク距離として表示された送信データを受信するデー
タ受信処理と、前記送信データに表示された前記表示ネ
ットワーク距離と、前記送信データの宛先とされた宛先
データ通信装置の記憶ネットワーク距離とを比較し、比
較結果に基づき前記表示ネットワーク距離及び前記宛先
データ通信装置の記憶ネットワーク距離のいずれか一方
の値を変更するネットワーク距離変更処理と、前記ネッ
トワーク距離変更処理により前記表示ネットワーク距離
及び前記宛先通信装置の記憶ネットワーク距離のいずれ
か一方の値の変更が行われた後に、前記送信データを前
記宛先データ通信装置に対して送信するデータ送信処理
とを前記データ中継装置に実行させるためのデータ中継
処理プログラムであることを特徴とする。A data relay processing program according to the present invention is a data relay processing program for causing a data relay device to perform a data relay process for relaying data communication between a plurality of data communication devices, wherein For each of the devices, a network distance storing process for storing the network distance from the data relay device to each of the data communication devices as a storage network distance, and from any data communication device to any other data communication device as a destination. A data reception process of receiving transmitted data that is transmitted and the network distance at which data can be transferred from the data relay device is displayed as a display network distance, the display network distance displayed in the transmission data, and the destination of the transmission data. Address data communication device A network distance changing process for comparing a network distance and a value of one of the display network distance and the storage network distance of the destination data communication device based on the comparison result; and the display network distance by the network distance changing process. And a data transmission process of transmitting the transmission data to the destination data communication device after the value of any one of the storage network distances of the destination communication device is changed. Is a data relay processing program.
【0026】本発明に係るコンピュータ読み取り可能な
記録媒体は、複数のデータ通信装置間のデータ通信を中
継するデータ中継処理をデータ中継装置に実行させるた
めのデータ中継処理プログラムを記録したコンピュータ
読み取り可能な記録媒体であって、いずれかのデータ通
信装置から他のいずれかのデータ通信装置を宛先として
送信され、前記データ中継装置からデータ転送可能なネ
ットワーク距離が表示ネットワーク距離として表示され
た送信データを受信するデータ受信処理と、前記データ
中継装置から前記送信データの宛先とされた宛先データ
通信装置までのネットワーク距離を測定ネットワーク距
離として測定するネットワーク距離測定処理と、前記送
信データに表示された前記表示ネットワーク距離と、前
記ネットワーク距離測定処理により測定された前記測定
ネットワーク距離とを比較し、比較結果に基づき前記送
信データを破棄するか否かを決定するデータ検査処理と
を前記データ中継装置に実行させるためのデータ中継処
理プログラムを記録したコンピュータ読み取り可能な記
録媒体であることを特徴とする。The computer-readable recording medium according to the present invention has a computer-readable recording medium recorded with a data relay processing program for causing the data relay apparatus to execute a data relay processing for relaying data communication between a plurality of data communication apparatuses. Receiving transmission data which is a recording medium and is transmitted from any one of the other data communication devices as a destination and in which the data transferable network distance is displayed as the display network distance from the data relay device. Data receiving processing, network distance measuring processing for measuring a network distance from the data relay apparatus to a destination data communication apparatus as a destination of the transmission data as a measurement network distance, and the display network displayed in the transmission data Distance and the network distance A data relay processing program for causing the data relay device to perform a data inspection process of comparing the measured network distance measured by the measurement process and determining whether to discard the transmission data based on the comparison result. The recording medium is a computer-readable recording medium.
【0027】前記データ中継処理プログラムを記録した
コンピュータ読み取り可能な記録媒体は、更に、同一の
データ通信装置を宛先データ通信装置とする複数の送信
データが前記データ受信処理により受信され、受信され
た前記複数の送信データのうち少なくとも二以上の送信
データが前記データ検査処理により破棄されずに維持さ
れた場合に、維持された送信データを組み合わせて維持
された送信データのデータ内容を再構成するデータ再構
成処理と、前記データ再構成処理により再構成されたデ
ータ内容が、前記宛先データ通信装置への攻撃を目的と
するデータ内容であるか否かを判定するデータ判定処理
とを前記データ中継装置に実行させるためのデータ中継
処理プログラムを記録したコンピュータ読み取り可能な
記録媒体であることを特徴とする。In the computer-readable recording medium recording the data relay processing program, a plurality of transmission data having the same data communication device as the destination data communication device is received by the data receiving process, and is received. When at least two or more transmission data among a plurality of transmission data are maintained without being discarded by the data inspection process, a data reconfiguration for reconstructing the data content of the maintained transmission data by combining the maintained transmission data In the data relay device, a configuration process and a data determination process for determining whether or not the data content reconfigured by the data reconfiguration process is data content for the purpose of attacking the destination data communication device. It is a computer-readable recording medium that records a data relay processing program to be executed. The features.
【0028】本発明に係るコンピュータ読み取り可能な
記録媒体は、複数のデータ通信装置間のデータ通信を中
継するデータ中継処理をデータ中継装置に実行させるた
めのデータ中継処理プログラムを記録したコンピュータ
読み取り可能な記録媒体であって、前記複数のデータ通
信装置のそれぞれについて、前記データ中継装置からそ
れぞれのデータ通信装置までのネットワーク距離を記憶
ネットワーク距離として記憶するネットワーク距離記憶
処理と、いずれかのデータ通信装置から他のいずれかの
データ通信装置を宛先として送信され、前記データ中継
装置からデータ転送可能なネットワーク距離が表示ネッ
トワーク距離として表示された送信データを受信するデ
ータ受信処理と、前記送信データに表示された前記表示
ネットワーク距離と、前記送信データの宛先とされた宛
先データ通信装置の記憶ネットワーク距離とを比較し、
比較結果に基づき前記表示ネットワーク距離及び前記宛
先データ通信装置の記憶ネットワーク距離のいずれか一
方の値を変更するネットワーク距離変更処理と、前記ネ
ットワーク距離変更処理により前記表示ネットワーク距
離及び前記宛先通信装置の記憶ネットワーク距離のいず
れか一方の値の変更が行われた後に、前記送信データを
前記宛先データ通信装置に対して送信するデータ送信処
理とを前記データ中継装置に実行させるためのデータ中
継処理プログラムを記録したコンピュータ読み取り可能
な記録媒体であることを特徴とする。The computer-readable recording medium according to the present invention has a computer-readable recording medium recorded with a data relay processing program for causing the data relay apparatus to execute a data relay processing for relaying data communication between a plurality of data communication apparatuses. A recording medium, for each of the plurality of data communication devices, a network distance storing process for storing a network distance from the data relay device to each data communication device as a storage network distance; Data reception processing for receiving transmission data transmitted from any other data communication device and displaying the network distance at which data transfer is possible from the data relay device as the display network distance; Display network distance Compares the stored network distance destinations and destination data communication apparatus of the transmitting data,
A network distance changing process for changing one of the values of the display network distance and the storage network distance of the destination data communication device based on a comparison result, and storage of the display network distance and the destination communication device by the network distance changing process. A data relay process program for causing the data relay device to perform a data transmission process of transmitting the transmission data to the destination data communication device after the value of any one of the network distances is changed is recorded. And a computer-readable recording medium.
【0029】[0029]
【発明の実施の形態】実施の形態1.図1は、本実施の
形態に係るネットワーク構成の一例を示す図である。図
1において、1はネットワークA100に接続され、ネ
ットワークA100内のデータ通信装置から送信された
パケットを受信し、受信したパケットの中から攻撃デー
タを検出する攻撃対策システムである。攻撃対策システ
ムは、本発明に係るデータ中継装置に相当する。なお、
他の構成要素は、図14に示したものと同様である。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1. FIG. 1 is a diagram showing an example of a network configuration according to the present embodiment. In FIG. 1, reference numeral 1 denotes an attack countermeasure system which is connected to a network A100, receives a packet transmitted from a data communication device in the network A100, and detects attack data from the received packet. The attack countermeasure system corresponds to the data relay device according to the present invention. In addition,
The other components are the same as those shown in FIG.
【0030】図2は、攻撃対策システム1の内部構成を
示す図である。11は、ネットワークA100にて通信
されるパケットをパケットの宛先にかかわらず受信する
とともに、攻撃チェック部17により攻撃データでない
と判定されたパケットを宛先のデータ通信装置に対して
送信するパケット送受信部である。なお、パケット送受
信部11が受信するパケットには、TTL(TimeT
o Live)値が含まれている。このTTL値は、ネ
ットワーク距離に相当する。前述したように、ルータの
処理に費やした時間の代わりに、ホップカウントを用い
てTTL値とすることも可能であり、ルータを1つ通過
するたびにTTL値を1つづつ減らし、TTL値が0と
なった時点でルータがパケットを破棄するようにしても
よい。この場合には、TTL値はパケットが転送される
ネットワーク距離に相当する。12は、パケット送受信
部11によりパケットが受信された場合に、受信された
パケットの宛先であるデータ通信装置(宛先データ通信
装置)までのネットワーク距離を測定するための測定パ
ケットを生成する測定パケット生成部である。13は、
測定パケット生成部12により生成された測定パケット
を宛先データ通信装置に対して送信し、測定パケットに
対する応答を受信する測定パケット送受信部である。な
お、測定パケット生成部12と測定パケット送受信部1
3とを合わせてネットワーク距離測定部という。14
は、パケット送受信部11で受信されたパケットに含ま
れるTTL値と測定パケット送受信部13から得られた
ネットワーク距離を比較し、比較結果に基づき、パケッ
トの破棄の決定又はパケットをデータ再構成部15へ渡
す決定のいずれかを行うパケット検査部である。パケッ
ト検査部14は、データ検査部に相当する。15は、パ
ケット検査部14から渡されたパケットを元に通信デー
タを再構成するデータ再構成部である。16は、攻撃デ
ータの特徴である攻撃シグネチャ(攻撃コマンド)を、
予め保存しておくシグネチャデータベース(以下、シグ
ネチャDBとする)である。シグネチャDB16は、攻
撃コマンド記憶部に相当する。17は、再構成された通
信データと攻撃シグネチャとを比較して攻撃データかど
うかを判定する攻撃チェック部である。攻撃チェック部
17は、データ判定部に相当する。FIG. 2 is a diagram showing the internal configuration of the attack countermeasure system 1. Reference numeral 11 denotes a packet transmission / reception unit that receives a packet communicated on the network A 100 regardless of the destination of the packet, and transmits a packet determined by the attack check unit 17 not to be the attack data to the destination data communication device. is there. The packet received by the packet transmitting / receiving unit 11 includes TTL (TimeT).
o Live) values are included. This TTL value corresponds to the network distance. As described above, it is also possible to use the hop count as the TTL value instead of the time spent in the processing of the router, and the TTL value is decreased by one each time the router passes through, and the TTL value is reduced. The router may discard the packet when it reaches 0. In this case, the TTL value corresponds to the network distance over which the packet is transferred. A packet generation unit 12 generates a measurement packet for measuring a network distance to a data communication device (destination data communication device) which is a destination of the received packet when the packet transmission / reception unit 11 receives the packet. It is a department. 13 is
A measurement packet transmission / reception unit that transmits the measurement packet generated by the measurement packet generation unit 12 to the destination data communication device and receives a response to the measurement packet. The measurement packet generator 12 and the measurement packet transmitter / receiver 1
Together with 3, it is called a network distance measuring unit. 14
Compares the TTL value included in the packet received by the packet transmission / reception unit 11 with the network distance obtained from the measurement packet transmission / reception unit 13, and based on the comparison result, a decision to discard the packet or a packet data reconfiguration unit 15 It is a packet inspection unit that makes any of the decisions to be passed to. The packet inspection unit 14 corresponds to the data inspection unit. Reference numeral 15 is a data reconstruction unit that reconstructs communication data based on the packet passed from the packet inspection unit 14. 16 is an attack signature (attack command) which is a characteristic of attack data,
This is a signature database (hereinafter referred to as a signature DB) that is stored in advance. The signature DB 16 corresponds to an attack command storage unit. An attack check unit 17 compares the reconstructed communication data with the attack signature to determine whether the attack data is attack data. The attack check unit 17 corresponds to a data determination unit.
【0031】なお、攻撃対策システム1(データ中継装
置)は、図示していないが、例えばマイクロプロセッサ
等のCPU、半導体メモリ等や磁気ディスク等の記録手
段、及び通信手段を有する計算機により実現することが
できる。記録手段には、攻撃対策システム1に含まれる
各構成要素の機能を実現するプログラムが記録されてお
り、CPUがこれらのプログラムを読み込むことにより
攻撃対策システム1の動作を制御し、各構成要素の機能
を実現することができる。なお、これらのプログラムを
計算機で読みとり可能な記録媒体に記録することも可能
である。更には、これらのプログラムを通信網を介して
転送することも可能である。Although not shown, the attack countermeasure system 1 (data relay device) is realized by a computer having, for example, a CPU such as a microprocessor, a recording means such as a semiconductor memory or a magnetic disk, and a communication means. You can Programs for realizing the functions of the respective constituent elements included in the attack countermeasure system 1 are recorded in the recording means, and the CPU controls the operation of the attack countermeasure system 1 by reading these programs, and Function can be realized. It is also possible to record these programs in a computer-readable recording medium. Further, these programs can be transferred via a communication network.
【0032】次に、攻撃対策システム1の動作について
説明する。パケット送受信部11は、ネットワークA1
00に接続されたデータ通信装置より送信されたパケッ
トを受信する。ここで、例えば、攻撃マシン2よりター
ゲットマシン4を宛先とする図3(b)〜(d)に示す
パケットA、パケットB、パケットCを受信したとす
る。次に、パケット送受信部11は、受信したパケット
A、パケットB、パケットCをパケット検査部14へと
渡す。パケット検査部14では、図4に示すパケット検
査手順によりパケットを処理する。以下、図4のフロー
チャート図に従って、パケット検査部14の処理を説明
する。Next, the operation of the attack countermeasure system 1 will be described. The packet transmitting / receiving unit 11 uses the network A1.
00 to receive the packet transmitted from the data communication device. Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS. 3B to 3D having the destination of the target machine 4 are received from the attacking machine 2. Next, the packet transmission / reception unit 11 passes the received packet A, packet B, and packet C to the packet inspection unit 14. The packet inspection unit 14 processes the packet according to the packet inspection procedure shown in FIG. The processing of the packet inspection unit 14 will be described below with reference to the flowchart of FIG.
【0033】まず、パケット検査部14は、ステップS
11にて、パケットから宛先データ通信装置(ここで
は、ターゲットマシン4)のアドレス(以下、宛先アド
レスとする)を取得する。次に、ステップS12にて、
宛先アドレスを測定パケット生成部12に渡して呼び出
す。ここで、図5を用いて、測定パケット生成部12及
び測定パケット送受信部13によるネットワーク距離の
測定手順を説明する。First, the packet inspection unit 14 performs step S
At 11, the address of the destination data communication device (here, the target machine 4) (hereinafter referred to as the destination address) is acquired from the packet. Next, in step S12,
The destination address is passed to the measurement packet generator 12 and called. Here, the procedure for measuring the network distance by the measurement packet generator 12 and the measurement packet transmitter / receiver 13 will be described with reference to FIG.
【0034】まず、測定パケット生成部12が、ステッ
プS21において、測定パケットを作成する。具体的に
は、IPデータグラム・ヘッダ・フォーマットのDes
tination Address=宛先アドレス(こ
こでは、ターゲットマシン4のアドレス)、TTL=1
に設定した測定パケットを生成する。図6に、IPデー
タグラム・ヘッダ・フォーマットの例を示す。図6の例
では、Identification35に宛先アドレ
スを設定し、Time To Live36にTTL=
1を設定する。また、測定パケットは、図7に示すよう
に、ICMPエコー要求メッセージ37とする。次に、
ステップS22において、測定パケット送受信部13
が、測定パケットをネットワークA100に送る。ここ
で、宛先データ通信装置(ここでは、ターゲットマシン
4)までに配置されたルータ3では、測定パケットのT
TL値を確認し、TTL値を1減算する。減算の結果、
TTL値は0となるので、ICMP時間超過メッセージ
38(図8)が結果パケットとしてルータ3から送り返
される。次に、ステップS23において、測定パケット
送受信部13が結果パケットを受信する。次に、ステッ
プS24において、測定パケット生成部12が、結果パ
ケットより測定パケットが宛先データ通信装置に到達し
たか否かを判断する。ここでは、結果パケットがICM
P時間超過メッセージであるためパケット未到着と判断
される。次に、ステップS25において、測定パケット
生成部12は、現在のTTL値とTTL値の上限値(=
225)とを比較する。ここでは、現在のTTL=1が
上限値未満と判断される。次に、ステップS26におい
て、測定パケット生成部12は、現在のTTLの値に1
加算し、TTL=2が設定された測定パケットを生成
し、ステップS22に戻り、処理を繰り返す。なお、ス
テップS25において、TTLが上限値(=255)に
達した場合は、ステップS27にて測定不能とする。ス
テップS23において、宛先アドレス(ターゲットマシ
ン4)から送信されたICMPエコー応答メッセージを
受信した場合(図9)は、ステップS24にて、測定パ
ケット生成部12は、パケット到達と判定する。ステッ
プS24において、パケット到達と判断した場合は、測
定パケット生成部12は、TTLの値を測定したネット
ワーク距離としてパケット検査部14に渡す。First, the measurement packet generator 12 creates a measurement packet in step S21. Specifically, Des of IP datagram header format
destination Address = destination address (here, the address of the target machine 4), TTL = 1
Generate the measurement packet set to. FIG. 6 shows an example of the IP datagram header format. In the example of FIG. 6, the destination address is set in the Identification 35, and TTL = in the Time To Live 36.
Set 1. The measurement packet is an ICMP echo request message 37 as shown in FIG. next,
In step S22, the measurement packet transmitting / receiving unit 13
Sends a measurement packet to network A100. Here, in the router 3 arranged up to the destination data communication device (here, the target machine 4), the T of the measurement packet is
Check the TL value and subtract 1 from the TTL value. The result of the subtraction,
Since the TTL value becomes 0, the ICMP time excess message 38 (FIG. 8) is sent back from the router 3 as a result packet. Next, in step S23, the measurement packet transmitting / receiving unit 13 receives the result packet. Next, in step S24, the measurement packet generation unit 12 determines from the result packet whether the measurement packet has reached the destination data communication device. Here, the result packet is ICM
Since the message is over the P time, it is determined that the packet has not arrived. Next, in step S25, the measurement packet generator 12 determines the current TTL value and the upper limit value (=) of the TTL value.
225). Here, it is determined that the current TTL = 1 is less than the upper limit value. Next, in step S26, the measurement packet generation unit 12 sets the current TTL value to 1
Addition is performed to generate a measurement packet in which TTL = 2 is set, the process returns to step S22, and the process is repeated. If the TTL reaches the upper limit (= 255) in step S25, the measurement is disabled in step S27. When the ICMP echo response message transmitted from the destination address (target machine 4) is received in step S23 (FIG. 9), the measurement packet generation unit 12 determines that the packet has arrived in step S24. When it is determined in step S24 that the packet has arrived, the measurement packet generation unit 12 passes the TTL value to the packet inspection unit 14 as the measured network distance.
【0035】パケット検査部14では、図4のステップ
S13において、パケット送受信部11により受信され
たパケットに表示されたTTL値と測定されたネットワ
ーク距離(TTL値)とを比較し、測定結果(測定され
たネットワーク距離)がパケットのTTL値以下の場合
は、ステップS14へ、パケットのTTL値が測定結果
より小さい場合は、S15へ進む。ステップS14で
は、パケット検査部14は、そのパケットが宛先データ
通信装置(ターゲットマシン4)へ到達すると判断し
て、データ再構成部15へそのパケットを渡す。一方、
ステップS15では、パケットが宛先データ通信装置
(ターゲットマシン4)へ到達しないと判断して、その
パケットを破棄する決定を行い、破棄する。図3の例で
は、測定されたTTL値が2〜5である場合は、パケッ
トA及びパケットCは、ステップS14において、デー
タ再構成部15へ渡され、パケットBは、ステップS1
5において、破棄されることになる。The packet inspection unit 14 compares the TTL value displayed in the packet received by the packet transmission / reception unit 11 with the measured network distance (TTL value) in step S13 of FIG. If the calculated network distance) is less than or equal to the TTL value of the packet, the process proceeds to step S14, and if the TTL value of the packet is smaller than the measurement result, the process proceeds to step S15. In step S14, the packet inspection unit 14 determines that the packet reaches the destination data communication device (target machine 4), and passes the packet to the data reconfiguration unit 15. on the other hand,
In step S15, it is determined that the packet does not reach the destination data communication device (target machine 4), a decision is made to discard the packet, and the packet is discarded. In the example of FIG. 3, when the measured TTL value is 2 to 5, the packet A and the packet C are passed to the data reconstructing unit 15 in step S14, and the packet B is passed to step S1.
At 5, it will be discarded.
【0036】次に、データ再構成部15では、パケット
検査部14から渡されたパケットを元にデータを再構成
し、再構成結果を攻撃チェック部17へ渡す。攻撃チェ
ック部17は、再構成結果と、シグネチャDB16に格
納された攻撃シグネチャを比較することで、攻撃データ
かどうかの判断を行う。図3の例では、データ再構成部
15は、パケットA及びパケットCを元に、図3(e)
に示すデータ内容を再構成する。攻撃チェック部17
は、シグネチャDB16に格納された図3(a)に示す
攻撃シグネチャと図3(e)の再構成結果とを比較し、
再構成結果が攻撃シグネチャと一致するためパケットA
及びパケットCは攻撃データであると判定し、パケット
A及びパケットCは破棄される。Next, the data reconstructing unit 15 reconstructs the data based on the packet delivered from the packet inspection unit 14, and delivers the reconstructed result to the attack checking unit 17. The attack check unit 17 compares the reconstruction result with the attack signature stored in the signature DB 16 to determine whether the attack data is attack data. In the example of FIG. 3, the data reconstruction unit 15 is based on the packet A and the packet C, and is based on FIG.
The data contents shown in are reconstructed. Attack check unit 17
Compares the attack signature shown in FIG. 3 (a) stored in the signature DB 16 with the reconstruction result of FIG. 3 (e),
Packet A because the reconstruction result matches the attack signature
And packet C are determined to be attack data, and packet A and packet C are discarded.
【0037】実施の形態2.図10は、本実施の形態に
係るネットワーク構成の一例を示す図である。本実施の
形態では、攻撃対策システム1は、実施の形態1におけ
るルータ3としての役割も果たし、ネットワークA10
0とネットワークB200との間に配置され、ネットワ
ークA100より送信したパケットを受信し、受信した
パケットをネットワークB200へ渡す。なお、他の構
成要素は、図1に示したものと同様である。また、図1
0では、省略しているが、図14と同様に、攻撃検出シ
ステム6を配備してもよい。Embodiment 2. FIG. 10 is a diagram showing an example of a network configuration according to the present embodiment. In the present embodiment, the attack countermeasure system 1 also serves as the router 3 in the first embodiment, and the network A10
It is arranged between 0 and the network B200, receives the packet transmitted from the network A100, and passes the received packet to the network B200. The other components are the same as those shown in FIG. Also, FIG.
Although omitted in 0, the attack detection system 6 may be provided as in FIG.
【0038】図11は、本実施の形態に係る攻撃対策シ
ステム1の内部構成を示す図である。図11において、
101は、ネットワークA100にて通信されるパケッ
トを受信し、中継制御部103へと渡すパケット送受信
部(以下、パケット送受信部Aとする)である。なお、
パケット送受信部A101が受信するパケットには、T
TL(Time To Live)値が含まれている。
また、パケット送受信部A101は、データ送信部又は
データ受信部に相当する。102は、ネットワークB2
00にて通信されるパケットを受信し、中継制御部10
3へと渡すパケット送受信部(以下、パケット送受信部
Bとする)である。なお、パケット送受信部B102
は、データ送信部又はデータ受信部に相当する。103
は、パケット送受信部A101、パケット送受信部B1
02、TTL変更部105間の制御を行う中継制御部で
ある。104は、パケットの宛先とTTL(Time
To Live)値の組み合わせを記憶するネットワー
ク距離記憶部である。ネットワーク距離記憶部104
は、例えば、図13(a)に示すようにパケットの宛先
とTTL値の組合せを記憶している。105は、中継制
御部103から渡されたパケットについて、パケットに
含まれたTTL値とネットワーク距離記憶部104に格
納された対応するTTL値とを比較し、比較結果に応じ
てパケットのTTL値又はネットワーク距離記憶部10
4に記憶されたTTL値を変更するTTL変更部であ
る。また、TTL値がネットワーク距離記憶部104に
格納されていない新規データ通信装置がパケットの宛先
となっている場合は、TTL変更部105は、その新規
データ通信装置宛のパケットに含まれたTTL値をネッ
トワーク距離記憶部104に格納する。なお、TTL変
更部105は、ネットワーク距離変更部に相当する。な
お、本実施の形態における攻撃対策システム1(データ
中継装置)も、図示していないが、例えばマイクロプロ
セッサ等のCPU、半導体メモリ等や磁気ディスク等の
記録手段、及び通信手段を有する計算機により実現する
ことができる。記録手段には、攻撃対策システム1に含
まれる各構成要素の機能を実現するプログラムが記録さ
れており、CPUがこれらのプログラムを読み込むこと
により攻撃対策システム1の動作を制御し、各構成要素
の機能を実現することができる。なお、これらのプログ
ラムを計算機で読みとり可能な記録媒体に記録すること
も可能である。更には、これらのプログラムを通信網を
介して転送することも可能である。FIG. 11 is a diagram showing the internal configuration of the attack countermeasure system 1 according to the present embodiment. In FIG.
Reference numeral 101 denotes a packet transmission / reception unit (hereinafter, referred to as packet transmission / reception unit A) that receives a packet communicated on the network A 100 and transfers it to the relay control unit 103. In addition,
The packet received by the packet transmitting / receiving unit A101 includes T
A TL (Time To Live) value is included.
The packet transmitting / receiving unit A101 corresponds to a data transmitting unit or a data receiving unit. 102 is the network B2
00 to receive a packet to be communicated, and the relay control unit 10
3 is a packet transmitting / receiving unit (hereinafter, referred to as packet transmitting / receiving unit B). The packet transmitting / receiving unit B102
Corresponds to the data transmitting unit or the data receiving unit. 103
Is a packet transmitting / receiving unit A101, a packet transmitting / receiving unit B1
02 is a relay control unit that controls the TTL changing unit 105. Reference numeral 104 denotes a packet destination and TTL (Time
A network distance storage unit that stores combinations of To Live values. Network distance storage unit 104
Stores a combination of a packet destination and a TTL value, for example, as shown in FIG. For the packet passed from the relay control unit 103, 105 compares the TTL value included in the packet with the corresponding TTL value stored in the network distance storage unit 104, and depending on the comparison result, the TTL value of the packet or Network distance storage unit 10
4 is a TTL changing unit that changes the TTL value stored in FIG. If the new data communication device whose TTL value is not stored in the network distance storage unit 104 is the destination of the packet, the TTL changing unit 105 determines that the TTL value included in the packet addressed to the new data communication device. Is stored in the network distance storage unit 104. The TTL changing unit 105 corresponds to the network distance changing unit. Although not shown, the attack countermeasure system 1 (data relay device) in the present embodiment is also realized by a computer having a CPU such as a microprocessor, a recording means such as a semiconductor memory or a magnetic disk, and a communication means. can do. Programs for realizing the functions of the respective constituent elements included in the attack countermeasure system 1 are recorded in the recording means, and the CPU controls the operation of the attack countermeasure system 1 by reading these programs, and Function can be realized. It is also possible to record these programs in a computer-readable recording medium. Further, these programs can be transferred via a communication network.
【0039】次に、本実施の形態に係る攻撃対策システ
ム1の動作について説明する。パケット送受信部A10
1は、ネットワークA100に接続されたデータ通信装
置より送信されたパケットを受信する。ここで、例え
ば、攻撃マシン2よりターゲットマシン4を宛先とする
図3(b)〜(d)に示すパケットA、パケットB、パ
ケットCを受信したとする。次に、パケット送受信部A
101は、受信したパケットA、パケットB、パケット
Cを中継制御部103へと渡す。中継制御部103は、
受信したパケットをTTL変更部105へと渡す。TT
L変更部105では、図12に示すTTL変更手順によ
りパケットを処理する。以下、図12のフローチャート
図に従って、TTL変更部105の処理を説明する。Next, the operation of the attack countermeasure system 1 according to the present embodiment will be described. Packet transmitting / receiving unit A10
1 receives the packet transmitted from the data communication device connected to the network A100. Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS. 3B to 3D having the destination of the target machine 4 are received from the attacking machine 2. Next, the packet transmitting / receiving unit A
101 passes the received packet A, packet B, and packet C to the relay control unit 103. The relay control unit 103
The received packet is passed to the TTL changing unit 105. TT
The L changing unit 105 processes the packet according to the TTL changing procedure shown in FIG. The processing of the TTL changing unit 105 will be described below with reference to the flowchart of FIG.
【0040】まず、TTL変更部105は、ステップS
31において、パケットから宛先データ通信装置(ここ
では、ターゲットマシン4)のアドレス(以下、宛先ア
ドレスとする)を取得する。次に、TTL変更部105
は、ステップS32において、ネットワーク距離記憶部
104に宛先アドレスに対応したTTL値(ネットワー
ク距離)が登録されているかどうかを判定する。登録済
みの場合は、ステップS33に進み、ネットワーク距離
記憶部104から宛先アドレスに対応するTTL値を取
り出す。未登録の場合(新規データ通信装置の場合)
は、ステップS34に進み、パケットからTTL値を取
りだし、ネットワーク距離記憶部104に宛先アドレス
とTTL値を登録する。次に、ステップS33へ進んだ
場合は、TTL変更部105は、ステップS35におい
て、ネットワーク距離記憶部104より取得したTTL
値と、パケットに含まれたTTL値とを比較する。そし
て、比較結果により、パケットのTTL値の方が大きい
場合は、ステップS36において、ネットワーク距離記
憶部104のTTL値をパケットのTTL値に変更する
更新を行う。一方、パケットのTTL値の方が小さい場
合は、ステップS37において、パケットのTTL値を
ネットワーク距離記憶部のTTL値に変更する更新を行
う。First, the TTL changing unit 105 performs step S
At 31, the address of the destination data communication device (here, the target machine 4) (hereinafter referred to as the destination address) is acquired from the packet. Next, the TTL changing unit 105
Determines whether or not the TTL value (network distance) corresponding to the destination address is registered in the network distance storage unit 104 in step S32. If it has been registered, the process proceeds to step S33, and the TTL value corresponding to the destination address is extracted from the network distance storage unit 104. If not registered (for new data communication device)
Advances to step S34 to extract the TTL value from the packet and register the destination address and the TTL value in the network distance storage unit 104. Next, when the process proceeds to step S33, the TTL changing unit 105 acquires the TTL acquired from the network distance storage unit 104 in step S35.
Compare the value with the TTL value contained in the packet. Then, when the TTL value of the packet is larger than the comparison result, the TTL value of the network distance storage unit 104 is changed to the TTL value of the packet in step S36. On the other hand, when the TTL value of the packet is smaller, in step S37, the TTL value of the packet is updated to the TTL value of the network distance storage unit.
【0041】このようにしてTTL値の変更が行われた
後は、TTL変更部105は、パケット(パケットのT
TL値の変更が行われた場合は、TTL値が変更された
パケット)を中継制御部103へと渡す。中継制御部1
03は、TTL変更部105から受け取ったパケットを
パケット送受信部B102へと渡す。パケット送受信部
B102は、パケットをネットワークB200へと渡
す。After changing the TTL value in this way, the TTL changing unit 105
When the TL value is changed, the packet having the changed TTL value) is passed to the relay control unit 103. Relay control unit 1
03 passes the packet received from the TTL changing unit 105 to the packet transmitting / receiving unit B102. The packet transmitting / receiving unit B102 delivers the packet to the network B200.
【0042】ここで、ターゲットマシン4までのTTL
値がネットワーク距離記憶部104に記憶されていない
とした場合(ターゲットマシン4が新規データ通信装置
であった場合)に、図3(b)のパケットAがTTL変
更部105で処理されると、パケットAから取り出され
た宛先アドレス(ターゲットマシン4)とTTL=5が
ネットワーク距離記憶部104に格納され(図13
(a))、図13(b)に示す中継後パケットA’がタ
ーゲットマシン4へと送られる。次に、図3(c)のパ
ケットBがTTL変更部105で処理されると、パケッ
トBから取り出された宛先アドレス(ターゲットマシン
4)とTTL=1とが、ネットワーク距離記憶部104
に格納されている対応するTTL値(TTL=5)と比
較され、パケットBのTTL値の方が小さいので、パケ
ットBのTTL値はTTL=5に更新され、図13
(c)の中継後パケットB’がターゲットマシン4へと
送られる。次に、図3(d)のパケットCがTTL変更
部105で処理されると、パケットCから取り出された
宛先アドレス(ターゲットマシン4)とTTL=5と
が、ネットワーク距離記憶部104に格納されている対
応するTTL値(TTL=5)と比較され、両者のTT
L値は同じなので、パケットCのTTL値はTTL=5
のまま、図13(d)の中継後パケットC’がターゲッ
トマシン4へと送られる。ターゲットマシン4上に到着
した中継後パケットA’、中継後パケットB’、中継後
パケットC’によりデータが再構築されると、図13
(e)のターゲットマシンでの結果が得られる。しか
し、このターゲットマシンでの結果は、図3(a)に示
す攻撃シグネチャと異なる。このため、これら中継後パ
ケットA’、中継後パケットB’、中継後パケットC’
のデータ内容は、攻撃としては動作しない為、ターゲッ
トマシン4への攻撃が無効化されたことになる。Here, the TTL up to the target machine 4
When the value is not stored in the network distance storage unit 104 (when the target machine 4 is a new data communication device), when the packet A in FIG. 3B is processed by the TTL changing unit 105, The destination address (target machine 4) extracted from the packet A and TTL = 5 are stored in the network distance storage unit 104 (see FIG. 13).
(A)) and the post-relay packet A ′ shown in FIG. 13 (b) are sent to the target machine 4. Next, when the packet B in FIG. 3C is processed by the TTL changing unit 105, the destination address (target machine 4) extracted from the packet B and TTL = 1 are stored in the network distance storage unit 104.
13 is compared with the corresponding TTL value (TTL = 5) stored in, and the TTL value of packet B is smaller, the TTL value of packet B is updated to TTL = 5, and FIG.
The post-relay packet B ′ in (c) is sent to the target machine 4. Next, when the packet C in FIG. 3D is processed by the TTL changing unit 105, the destination address (target machine 4) extracted from the packet C and TTL = 5 are stored in the network distance storage unit 104. Corresponding TTL value (TTL = 5), and
Since the L value is the same, the TTL value of packet C is TTL = 5
As it is, the post-relay packet C ′ in FIG. 13D is sent to the target machine 4. When data is reconstructed by the after-relay packet A ′, after-relay packet B ′, and after-relay packet C ′ that have arrived on the target machine 4, FIG.
The result on the target machine of (e) is obtained. However, the result on this target machine is different from the attack signature shown in FIG. Therefore, these post-relay packet A ', post-relay packet B', and post-relay packet C '
Since the data content of does not work as an attack, the attack on the target machine 4 is invalidated.
【0043】ところで、上記の説明ではネットワークプ
ロトコルとしてTCP/IPを用いた場合について述べ
ているが、その他のパケットを送受するネットワークプ
ロトコルに関しても応用可能である。By the way, in the above description, the case where TCP / IP is used as the network protocol has been described, but the present invention is also applicable to other network protocols for transmitting and receiving packets.
【0044】ところで、上記の説明ではネットワークが
2つの場合について述べているが、それ以上のネットワ
ークが接続されている場合にも応用可能である。In the above description, the case where there are two networks is described, but the present invention can be applied to the case where more networks are connected.
【0045】また、上記の実施の形態1、2では、本発
明に係るデータ中継装置について説明したが、実施の形
態1、2に示した処理手順と同様の処理手順により本発
明に係るデータ中継方法を実現することができる。Further, although the data relay device according to the present invention has been described in the above first and second embodiments, the data relay device according to the present invention is performed by the same processing procedure as the processing procedure shown in the first and second embodiments. The method can be realized.
【0046】また、ここで、実施の形態1、2で説明し
た攻撃対策システムの特徴をまとめる。The features of the attack countermeasure system described in the first and second embodiments will be summarized here.
【0047】実施の形態1に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネット
ワークAと、通信装置が接続可能でパケットの送受信が
可能なネットワークBと、ネットワークAとネットワー
クBの間のパケットの中継を行うルータと、ネットワー
クBにてサービスを提供するターゲットマシンと、ネッ
トワークAにてターゲットマシンに攻撃データを複数の
パケットにて送る攻撃マシンからなる環境において、ネ
ットワークAに接続され、ネットワークAにて通信され
るパケットをパケットの宛先にかかわらず受信するパケ
ット受信部と、パケットの宛先までのネットワーク距離
を測定する測定パケットを生成する測定パケット生成部
と、ネットワーク距離測定用のパケットをネットワーク
Aに送受信する測定パケット送受信部と、受信されたパ
ケットに含まれるTTL(Time To Live)
値と測定されたネットワーク距離を比較してパケットを
データ再構成部へ渡すかどうかを判定するパケット検査
部と、パケット検査部から渡されたパケットを元に通信
データを再構成するデータ再構成部と、攻撃データの特
徴である攻撃シグネチャを、予め保存しておくシグネチ
ャDBと、再構成された通信データと攻撃シグネチャを
比較して攻撃データかどうかを判定する攻撃チェック部
を持つことを特徴とする。The attack countermeasure system according to the first embodiment is
A network A to which a communication device is connectable and capable of sending and receiving packets, a network B to which a communication device is connectable and capable of sending and receiving packets, a router for relaying packets between the networks A and B, and a network B. In an environment that consists of a target machine that provides a service at and an attack machine that sends attack data in multiple packets to the target machine at network A, packets connected to network A and communicated at network A A packet receiving unit for receiving regardless of the destination, a measuring packet generating unit for generating a measuring packet for measuring a network distance to the destination of the packet, a measuring packet transmitting / receiving unit for transmitting / receiving a network distance measuring packet to the network A, Included in received packet TL (Time To Live)
A packet inspection unit that determines whether to pass the packet to the data reconfiguration unit by comparing the measured value with the measured network distance, and a data reconfiguration unit that reconfigures communication data based on the packet passed from the packet inspection unit. And a signature DB in which an attack signature, which is a characteristic of the attack data, is stored in advance, and an attack check unit for comparing the reconstructed communication data with the attack signature to determine whether the attack data is attack data. To do.
【0048】実施の形態2に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネット
ワークAと、通信装置が接続可能でパケットの送受信が
可能なネットワークBと、ネットワークBにてサービス
を提供するターゲットマシンと、ネットワークAにてタ
ーゲットマシンに攻撃データを複数のパケットにて送る
攻撃マシンからなる環境において、ネットワークAとネ
ットワークBの間で、ネットワークAにて通信されるパ
ケットを受信し中継制御部へと渡すパケット送受信部A
と、ネットワークBにて通信されるパケットを受信し中
継制御部へと渡すパケット送受信部Bと、パケットの宛
先とTTL(Time To Live)値の組み合わ
せを記憶するネットワーク距離記憶部と、パケット中継
制御部から渡されたパケットの宛先とTTL(Time
ToLive)値の組み合わせがネットワーク距離記
憶部に含まれない場合は格納し、既に含まれる場合はT
TLの比較と更新を行ってTTLをパケット中継制御部
へ渡すTTL変更部と、パケット送受信部Aまたはパケ
ット送受信部Bから渡されたパケットの宛先とTTLを
TTL変更部に渡し、TTL変更部から渡されたTTL
をパケットのTTLに設定し、反対側のパケット送受信
部にパケットを中継の為に渡す中継制御部を持つことを
特徴とする。The attack countermeasure system according to the second embodiment is
A network A to which a communication device is connectable and capable of sending and receiving packets, a network B to which a communication device is connectable and capable of sending and receiving packets, a target machine that provides services on network B, and a target machine on network A In an environment composed of an attack machine that sends attack data in a plurality of packets, a packet transmission / reception unit A that receives a packet communicated on the network A and passes it to the relay control unit between the network A and the network B
And a packet transmission / reception unit B that receives a packet communicated on the network B and passes it to a relay control unit, a network distance storage unit that stores a combination of a packet destination and a TTL (Time To Live) value, and packet relay control And the TTL (Time
If the combination of ToLive) values is not included in the network distance storage unit, the value is stored, and if already included, T
The TTL changing unit that compares and updates the TL and passes the TTL to the packet relay control unit, the destination and TTL of the packet passed from the packet transmitting / receiving unit A or the packet transmitting / receiving unit B to the TTL changing unit, and the TTL changing unit TTL passed
Is set to the TTL of the packet, and the packet transmission / reception unit on the opposite side has a relay control unit for passing the packet for relaying.
【0049】[0049]
【発明の効果】以上のように、本発明によれば、受信し
た送信データに表示されたネットワーク距離と、測定し
た宛先データ通信装置までのネットワーク距離とを比較
し、表示されたネットワーク距離の値が測定したネット
ワーク距離の値よりも小さい場合には受信した送信デー
タを破棄し、破棄されなかった送信データのデータ内容
を再構成して攻撃目的の有無を判定するため、宛先デー
タ通信装置まで到達しないダミーデータが含まれている
ため見かけ上攻撃データと判定されないような攻撃デー
タも検出することができ、宛先データ通信装置への攻撃
を未然に防止することができる。As described above, according to the present invention, the network distance displayed in the received transmission data is compared with the measured network distance to the destination data communication device, and the value of the displayed network distance is compared. If it is smaller than the measured network distance value, the received transmission data is discarded, and the data content of the transmission data that was not discarded is reconfigured to determine the presence or absence of the attack purpose. Since the dummy data that is not included is included, it is possible to detect attack data that is not apparently determined as attack data, and it is possible to prevent an attack on the destination data communication device.
【0050】また、本発明によれば、各データ通信装置
までのネットワーク距離を記憶しておき、受信した送信
データに表示されたネットワーク距離と、宛先データ通
信装置について記憶しているネットワーク距離とを比較
し、表示されたネットワーク距離の値が記憶しているネ
ットワーク距離の値よりも小さい場合は、表示されたネ
ットワーク距離の値を記憶しているネットワーク距離の
値に変更して送信データを宛先データ通信装置に対して
送信するため、宛先データ通信装置まで到達しないダミ
ーデータが含まれているため見かけ上攻撃データと判定
されないような攻撃データの攻撃を無効化することがで
きる。Further, according to the present invention, the network distance to each data communication device is stored, and the network distance displayed in the received transmission data and the network distance stored for the destination data communication device are stored. Compare and if the displayed network distance value is smaller than the stored network distance value, change the displayed network distance value to the stored network distance value and change the transmission data to the destination data. Since the data is transmitted to the communication device, it is possible to invalidate the attack of the attack data that cannot be apparently determined as the attack data because it includes the dummy data that does not reach the destination data communication device.
【図1】 実施の形態1に係るネットワーク構成の一例
を示す図である。FIG. 1 is a diagram showing an example of a network configuration according to a first embodiment.
【図2】 実施の形態1に係る攻撃対策システムの内部
構成を示す図である。FIG. 2 is a diagram showing an internal configuration of an attack countermeasure system according to the first embodiment.
【図3】 攻撃シグネチャ、受信パケット、再構成結果
の例を示す図である。FIG. 3 is a diagram showing an example of an attack signature, a received packet, and a reconstruction result.
【図4】 パケット検査部における手順の流れを示すフ
ローチャート図である。FIG. 4 is a flowchart showing a procedure flow in a packet inspection unit.
【図5】 ネットワーク距離測定部における手順の流れ
を示すフローチャート図である。FIG. 5 is a flowchart showing a procedure flow in a network distance measuring unit.
【図6】 TCP/IPにおけるIPデータグラム・ヘ
ッダ・フォーマットの例を示す図である。FIG. 6 is a diagram showing an example of an IP datagram header format in TCP / IP.
【図7】 TCP/IPにおけるICMPのエコー要求
メッセージの例を示す図である。FIG. 7 is a diagram showing an example of an ICMP echo request message in TCP / IP.
【図8】 TCP/IPにおけるICMPの時間超過メ
ッセージの例を示す図である。FIG. 8 is a diagram showing an example of an ICMP time exceeded message in TCP / IP.
【図9】 TCP/IPにおけるICMPのエコー応答
メッセージの例を示す図である。FIG. 9 is a diagram showing an example of an ICMP echo response message in TCP / IP.
【図10】 実施の形態2に係るネットワーク構成の一
例を示す図である。FIG. 10 is a diagram showing an example of a network configuration according to the second embodiment.
【図11】 実施の形態2に係る攻撃対策システムの内
部構成を示す図である。FIG. 11 is a diagram showing an internal configuration of an attack countermeasure system according to the second embodiment.
【図12】 TTL変更部における手順の流れを示すフ
ローチャート図である。FIG. 12 is a flowchart showing a procedure flow in a TTL changing unit.
【図13】 ネットワーク距離記憶部の記憶内容、更新
処理後のパケット、ターゲットマシンでの結果の例を示
す図である。FIG. 13 is a diagram showing an example of stored contents of a network distance storage unit, a packet after update processing, and a result on a target machine.
【図14】 従来技術を適用するネットワーク構成の一
例を示す図である。FIG. 14 is a diagram showing an example of a network configuration to which a conventional technique is applied.
【図15】 従来技術における攻撃検出システムの内部
構成を示す図である。FIG. 15 is a diagram showing an internal configuration of an attack detection system in a conventional technique.
【図16】 攻撃シグネチャ、受信パケット、従来の再
構成結果、従来のターゲットマシンでの結果を示す図で
ある。FIG. 16 is a diagram showing an attack signature, a received packet, a conventional reconstruction result, and a result of a conventional target machine.
1 攻撃対策システム、2 攻撃マシン、3 ルータ、
4 ターゲットマシン、11 パケット送受信部、12
測定パケット生成部、13 測定パケット送受信部、
14 パケット検査部、15 データ再構成部、16
シグネチャデータベース、17 攻撃チェック部、10
0 ネットワークA、101 パケット送受信部、10
2 パケット送受信部、103 中継制御部、104
ネットワーク距離記憶部、105 TTL変更部、20
0 ネットワークB。1 attack countermeasure system, 2 attack machines, 3 routers,
4 target machine, 11 packet transceiver, 12
Measurement packet generator, 13 measurement packet transmitter / receiver,
14 packet inspection unit, 15 data reconstruction unit, 16
Signature database, 17 Attack check section, 10
0 network A, 101 packet transceiver, 10
2 packet transmission / reception unit, 103 relay control unit, 104
Network distance storage unit, 105 TTL change unit, 20
0 Network B.
Claims (22)
中継するデータ中継装置であって、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
部と、 前記データ中継装置から前記送信データの宛先とされた
宛先データ通信装置までのネットワーク距離を測定ネッ
トワーク距離として測定するネットワーク距離測定部
と、 前記送信データに表示された前記表示ネットワーク距離
と、前記ネットワーク距離測定部により測定された前記
測定ネットワーク距離とを比較し、比較結果に基づき前
記送信データを破棄するか否かを決定するデータ検査部
とを有することを特徴とするデータ中継装置。1. A data relay device for relaying data communication between a plurality of data communication devices, wherein any one of the data communication devices transmits to another one of the data communication devices, and the data relay device transmits the data. A data receiving unit that receives transmission data whose data transferable network distance is displayed as a display network distance, and a network distance from the data relay device to a destination data communication device that is the destination of the transmission data is measured network distance. Whether to measure the network distance measuring unit, the display network distance displayed in the transmission data, and the measured network distance measured by the network distance measuring unit, and discard the transmission data based on the comparison result. And a data inspection unit for determining whether or not Data relay device.
ータ通信装置を宛先データ通信装置とする複数の送信デ
ータが前記データ受信部により受信され、受信された前
記複数の送信データのうち少なくとも二以上の送信デー
タが前記データ検査部により破棄されずに維持された場
合に、維持された送信データを組み合わせて維持された
送信データのデータ内容を再構成するデータ再構成部
と、 前記データ再構成部により再構成されたデータ内容が、
前記宛先データ通信装置への攻撃を目的とするデータ内
容であるか否かを判定するデータ判定部とを有すること
を特徴とする請求項1に記載のデータ中継装置。2. The data relay device further includes a plurality of transmission data having the same data communication device as a destination data communication device received by the data receiving unit, and at least two of the plurality of received transmission data. A data reconstructing unit for reconstructing the data content of the maintained transmission data by combining the maintained transmission data when the above transmission data is maintained without being discarded by the data inspection unit; The data contents reconstructed by the department
The data relay device according to claim 1, further comprising a data determination unit that determines whether or not the data content is intended to attack the destination data communication device.
表示ネットワーク距離の値が、前記測定ネットワーク距
離の値よりも小さい場合に前記送信データを破棄する決
定を行うことを特徴とする請求項1に記載のデータ中継
装置。3. The data inspection unit makes a decision to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance. The data relay device described in 1.
ーク距離としてTTL(Time To Live)値
が表示された送信データを受信し、 前記ネットワーク距離測定部は、前記測定ネットワーク
距離として前記データ中継装置から前記宛先データ通信
装置までに必要なTTL値を測定し、 前記データ検査部は、前記送信データに表示されたTT
L値と、前記ネットワーク距離測定部により測定された
TTL値とを比較し、比較結果に基づき前記送信データ
を破棄するか否かを決定することを特徴とする請求項1
に記載のデータ中継装置。4. The data receiving unit receives transmission data in which a TTL (Time To Live) value is displayed as the display network distance, and the network distance measuring unit receives the transmission network distance from the data relay device as the measured network distance. The TTL value required up to the destination data communication device is measured, and the data inspection unit displays the TT displayed in the transmission data.
The L value and the TTL value measured by the network distance measuring unit are compared, and whether or not to discard the transmission data is determined based on the comparison result.
The data relay device described in 1.
のデータ通信装置への攻撃に用いられる攻撃コマンドを
少なくとも一つ以上記憶した攻撃コマンド記憶部を有
し、 前記データ判定部は、前記データ再構成部により再構成
されたデータ内容が前記攻撃コマンド記憶部に記憶され
た前記攻撃コマンドのいずれかに一致するか否かを判定
することを特徴とする請求項2に記載のデータ中継装
置。5. The data relay device further includes an attack command storage unit that stores at least one attack command used to attack any one of the data communication devices, and the data determination unit includes the data The data relay apparatus according to claim 2, wherein it is determined whether or not the data content reconstructed by the reconfiguration unit matches any one of the attack commands stored in the attack command storage unit.
中継するデータ中継装置であって、 前記複数のデータ通信装置のそれぞれについて、前記デ
ータ中継装置からそれぞれのデータ通信装置までのネッ
トワーク距離を記憶ネットワーク距離として記憶するネ
ットワーク距離記憶部と、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
部と、 前記送信データに表示された前記表示ネットワーク距離
と、前記送信データの宛先とされた宛先データ通信装置
の記憶ネットワーク距離とを比較し、比較結果に基づき
前記表示ネットワーク距離及び前記宛先データ通信装置
の記憶ネットワーク距離のいずれか一方の値を変更する
ネットワーク距離変更部と、 前記ネットワーク距離変更部により前記表示ネットワー
ク距離及び前記宛先通信装置の記憶ネットワーク距離の
いずれか一方の値の変更が行われた後に、前記送信デー
タを前記宛先データ通信装置に対して送信するデータ送
信部とを有することを特徴とするデータ中継装置。6. A data relay device for relaying data communication between a plurality of data communication devices, wherein a network distance from the data relay device to each data communication device is stored for each of the plurality of data communication devices. A network distance storage unit that stores the network distance, and a network distance that is transmitted from one of the data communication devices to another of the data communication devices and that can transfer data from the data relay device is displayed as the display network distance. A data receiving unit that receives the transmitted data, the display network distance displayed in the transmitted data, and the storage network distance of the destination data communication device that is the destination of the transmitted data, and based on the comparison result, Display network distance and description of the destination data communication device A network distance changing unit that changes any one of the storage network distances, and after changing either one of the display network distance and the storage network distance of the destination communication device by the network distance changing unit. And a data transmission unit that transmits the transmission data to the destination data communication device.
示ネットワーク距離の値が前記宛先データ通信装置の記
憶ネットワーク距離の値よりも小さい場合は、前記表示
ネットワーク距離の値を前記宛先データ通信装置の記憶
ネットワーク距離の値に変更し、前記宛先データ通信装
置の記憶ネットワーク距離の値が前記表示ネットワーク
距離の値よりも小さい場合は、前記宛先データ通信装置
の記憶ネットワーク距離の値を前記表示ネットワーク距
離の値に変更することを特徴とする請求項6に記載のデ
ータ中継装置。7. The network distance changing unit stores the value of the display network distance in the destination data communication device when the value of the display network distance is smaller than the value of the storage network distance in the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the value of the storage network distance of the destination data communication device is changed to the value of the display network distance. The data relay device according to claim 6, wherein the data relay device is changed to.
トワーク距離が記憶されていない新規のデータ通信装置
を宛先とする送信データが前記データ受信部により受信
された場合に、前記ネットワーク距離記憶部は、前記送
信データに表示されたネットワーク距離を、前記新規の
データ通信装置の記憶ネットワーク距離として記憶する
ことを特徴とする請求項6に記載のデータ中継装置。8. When the data receiving unit receives transmission data destined for a new data communication device whose storage network distance is not stored in the network distance storage unit, the network distance storage unit is 7. The data relay device according to claim 6, wherein the network distance displayed in the transmission data is stored as a storage network distance of the new data communication device.
憶ネットワーク距離として前記データ中継装置からそれ
ぞれのデータ通信装置までに必要なTTL(Time
To Live)値を記憶し、 前記データ受信部は、前記表示ネットワーク距離として
TTL値が表示された送信データを受信し、 前記ネットワーク距離変更部は、前記送信データに表示
された表示TTL値と前記ネットワーク距離記憶部に記
憶された前記宛先データ通信装置の記憶TTL値とを比
較し、比較結果に基づき前記表示TTL値及び前記宛先
データ通信装置の記憶TTL値のいずれか一方の値を変
更することを特徴とする請求項6に記載のデータ中継装
置。9. The network distance storage unit has a TTL (Time) required for the storage network distance from the data relay device to each data communication device.
To Live) value is stored, the data receiving unit receives transmission data in which a TTL value is displayed as the display network distance, and the network distance changing unit includes the display TTL value displayed in the transmission data and the Comparing the stored TTL value of the destination data communication device stored in the network distance storage unit, and changing one of the display TTL value and the stored TTL value of the destination data communication device based on the comparison result. 7. The data relay device according to claim 6, wherein:
を中継するデータ中継方法であって、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継方法から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
ステップと、 前記データ中継方法から前記送信データの宛先とされた
宛先データ通信装置までのネットワーク距離を測定ネッ
トワーク距離として測定するネットワーク距離測定ステ
ップと、 前記送信データに表示された前記表示ネットワーク距離
と、前記ネットワーク距離測定ステップにより測定され
た前記測定ネットワーク距離とを比較し、比較結果に基
づき前記送信データを破棄するか否かを決定するデータ
検査ステップとを有することを特徴とするデータ中継方
法。10. A data relay method for relaying data communication between a plurality of data communication devices, comprising: transmitting from any data communication device to any other data communication device as a destination; A data receiving step of receiving transmission data in which a network distance capable of data transfer is displayed as a display network distance, and a network distance from the data relay method to a destination data communication device as a destination of the transmission data is set as a measurement network distance. Whether to measure the measured network distance, compare the displayed network distance displayed in the transmission data with the measured network distance measured in the network distance measurement step, and discard the transmission data based on the comparison result. Data inspection step to decide whether or not A data relay method comprising:
データ通信装置を宛先データ通信装置とする複数の送信
データが前記データ受信ステップにより受信され、受信
された前記複数の送信データのうち少なくとも二以上の
送信データが前記データ検査ステップにより破棄されず
に維持された場合に、維持された送信データを組み合わ
せて維持された送信データのデータ内容を再構成するデ
ータ再構成ステップと、 前記データ再構成ステップにより再構成されたデータ内
容が、前記宛先データ通信装置への攻撃を目的とするデ
ータ内容であるか否かを判定するデータ判定ステップと
を有することを特徴とする請求項10に記載のデータ中
継方法。11. The data relaying method further includes receiving a plurality of transmission data items having the same data communication device as a destination data communication device in the data receiving step, and at least two of the received transmission data items. A data reconstruction step of reconstructing the data content of the maintained transmission data by combining the maintained transmission data when the above transmission data is maintained without being discarded by the data inspection step; 11. The data according to claim 10, further comprising a data determination step of determining whether or not the data content reconstructed by the step is a data content intended to attack the destination data communication device. Relay method.
タの前記表示ネットワーク距離の値が、前記測定ネット
ワーク距離の値よりも小さい場合に前記送信データを破
棄する決定を行うことを特徴とする請求項10に記載の
データ中継方法。12. The data inspection step makes a decision to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measured network distance. Data relay method described in.
ネットワーク距離としてTTL(Time To Li
ve)値が表示された送信データを受信し、 前記ネットワーク距離測定ステップは、前記測定ネット
ワーク距離として前記データ中継方法から前記宛先デー
タ通信装置までに必要なTTL値を測定し、 前記データ検査ステップは、前記送信データに表示され
たTTL値と、前記ネットワーク距離測定ステップによ
り測定されたTTL値とを比較し、比較結果に基づき前
記送信データを破棄するか否かを決定することを特徴と
する請求項10に記載のデータ中継方法。13. The data receiving step includes TTL (Time To Li) as the display network distance.
ve) receiving transmission data having a value displayed, the network distance measuring step measures a TTL value required as the measured network distance from the data relay method to the destination data communication device, and the data checking step comprises And comparing the TTL value displayed in the transmission data with the TTL value measured in the network distance measuring step, and determining whether to discard the transmission data based on the comparison result. Item 11. The data relay method according to Item 10.
を中継するデータ中継方法であって、 前記複数のデータ通信装置のそれぞれについて、前記デ
ータ中継方法からそれぞれのデータ通信装置までのネッ
トワーク距離を記憶ネットワーク距離として記憶するネ
ットワーク距離記憶ステップと、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継方法から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
ステップと、 前記送信データに表示された前記表示ネットワーク距離
と、前記送信データの宛先とされた宛先データ通信装置
の記憶ネットワーク距離とを比較し、比較結果に基づき
前記表示ネットワーク距離及び前記宛先データ通信装置
の記憶ネットワーク距離のいずれか一方の値を変更する
ネットワーク距離変更ステップと、 前記ネットワーク距離変更ステップにより前記表示ネッ
トワーク距離及び前記宛先通信装置の記憶ネットワーク
距離のいずれか一方の値の変更が行われた後に、前記送
信データを前記宛先データ通信装置に対して送信するデ
ータ送信ステップとを有することを特徴とするデータ中
継方法。14. A data relay method for relaying data communication between a plurality of data communication devices, wherein a network distance from the data relay method to each data communication device is stored for each of the plurality of data communication devices. A network distance storing step of storing as a network distance, and a network distance which is transmitted from one of the data communication devices to another of the data communication devices and is capable of data transfer from the data relay method is displayed as a display network distance. A data receiving step of receiving the transmission data, comparing the display network distance displayed in the transmission data, and the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, Display network distance and destination data The network distance changing step of changing one of the values of the storage network distance of the communication device and the change of the value of one of the display network distance and the storage network distance of the destination communication device by the network distance changing step. And a data transmitting step of transmitting the transmission data to the destination data communication device after being performed.
は、前記表示ネットワーク距離の値が前記宛先データ通
信装置の記憶ネットワーク距離の値よりも小さい場合
は、前記表示ネットワーク距離の値を前記宛先データ通
信装置の記憶ネットワーク距離の値に変更し、前記宛先
データ通信装置の記憶ネットワーク距離の値が前記表示
ネットワーク距離の値よりも小さい場合は、前記宛先デ
ータ通信装置の記憶ネットワーク距離の値を前記表示ネ
ットワーク距離の値に変更することを特徴とする請求項
14に記載のデータ中継方法。15. The network distance changing step stores the value of the display network distance in the destination data communication device when the value of the display network distance is smaller than the value of the storage network distance in the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the value of the storage network distance of the destination data communication device is changed to the value of the display network distance. 15. The data relay method according to claim 14, wherein the data relay method is changed to.
は、前記記憶ネットワーク距離として前記データ中継方
法からそれぞれのデータ通信装置までに必要なTTL
(Time To Live)値を記憶し、 前記データ受信ステップは、前記表示ネットワーク距離
としてTTL値が表示された送信データを受信し、 前記ネットワーク距離変更ステップは、前記送信データ
に表示された表示TTL値と前記ネットワーク距離記憶
ステップに記憶された前記宛先データ通信装置の記憶T
TL値とを比較し、比較結果に基づき前記表示TTL値
及び前記宛先データ通信装置の記憶TTL値のいずれか
一方の値を変更することを特徴とする請求項14に記載
のデータ中継方法。16. The network distance storing step includes a TTL required as the storage network distance from the data relay method to each data communication device.
(Time To Live) value is stored, the data receiving step receives the transmission data in which the TTL value is displayed as the display network distance, and the network distance changing step is in the display TTL value displayed in the transmission data. And the storage T of the destination data communication device stored in the network distance storing step.
15. The data relaying method according to claim 14, wherein one of the display TTL value and the stored TTL value of the destination data communication device is changed based on a comparison result with a TL value.
を中継するデータ中継処理をデータ中継装置に実行させ
るためのデータ中継処理プログラムであって、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
処理と、 前記データ中継装置から前記送信データの宛先とされた
宛先データ通信装置までのネットワーク距離を測定ネッ
トワーク距離として測定するネットワーク距離測定処理
と、 前記送信データに表示された前記表示ネットワーク距離
と、前記ネットワーク距離測定処理により測定された前
記測定ネットワーク距離とを比較し、比較結果に基づき
前記送信データを破棄するか否かを決定するデータ検査
処理とを前記データ中継装置に実行させるためのデータ
中継処理プログラム。17. A data relay processing program for causing a data relay device to perform a data relay process for relaying data communication between a plurality of data communication devices, the data relay device comprising: A data reception process of receiving transmission data transmitted from a communication device and displaying a network distance at which data transfer is possible from the data relay device as a display network distance; and a destination of the transmission data from the data relay device. A network distance measuring process for measuring a network distance to a destination data communication device as a measuring network distance, the display network distance displayed in the transmission data, and the measuring network distance measured by the network distance measuring process are compared. The transmission date based on the comparison result. A data relay processing program for causing the data relay device to perform a data inspection process for determining whether or not to discard the data.
に、同一のデータ通信装置を宛先データ通信装置とする
複数の送信データが前記データ受信処理により受信さ
れ、受信された前記複数の送信データのうち少なくとも
二以上の送信データが前記データ検査処理により破棄さ
れずに維持された場合に、維持された送信データを組み
合わせて維持された送信データのデータ内容を再構成す
るデータ再構成処理と、 前記データ再構成処理により再構成されたデータ内容
が、前記宛先データ通信装置への攻撃を目的とするデー
タ内容であるか否かを判定するデータ判定処理とを前記
データ中継装置に実行させるための請求項17に記載の
データ中継処理プログラム。18. The data relay processing program further receives at least a plurality of pieces of transmission data having the same data communication apparatus as a destination data communication apparatus by the data reception processing, and at least the plurality of pieces of transmission data received. A data reconstruction process for reconstructing the data content of the maintained transmission data by combining the maintained transmission data when two or more transmission data are maintained without being discarded by the data inspection process; 18. A data determination process for determining whether or not the data content reconfigured by the configuration process is a data content for the purpose of attacking the destination data communication device, and causing the data relay device to execute the data determination process. The data relay processing program described in.
を中継するデータ中継処理をデータ中継装置に実行させ
るためのデータ中継処理プログラムであって、前記複数
のデータ通信装置のそれぞれについて、前記データ中継
装置からそれぞれのデータ通信装置までのネットワーク
距離を記憶ネットワーク距離として記憶するネットワー
ク距離記憶処理と、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
処理と、 前記送信データに表示された前記表示ネットワーク距離
と、前記送信データの宛先とされた宛先データ通信装置
の記憶ネットワーク距離とを比較し、比較結果に基づき
前記表示ネットワーク距離及び前記宛先データ通信装置
の記憶ネットワーク距離のいずれか一方の値を変更する
ネットワーク距離変更処理と、 前記ネットワーク距離変更処理により前記表示ネットワ
ーク距離及び前記宛先通信装置の記憶ネットワーク距離
のいずれか一方の値の変更が行われた後に、前記送信デ
ータを前記宛先データ通信装置に対して送信するデータ
送信処理とを前記データ中継装置に実行させるためのデ
ータ中継処理プログラム。19. A data relay processing program for causing a data relay device to execute a data relay process for relaying data communication between a plurality of data communication devices, wherein the data relay process is performed for each of the plurality of data communication devices. Network distance storage processing for storing the network distance from the device to each data communication device as a storage network distance, and transmission from any data communication device to any other data communication device as a destination, and from the data relay device A data receiving process for receiving transmission data in which a network distance capable of data transfer is displayed as a display network distance; the display network distance displayed in the transmission data; and a destination data communication device as a destination of the transmission data. Compare with memory network distance and compare A network distance changing process for changing one of the display network distance and the storage network distance of the destination data communication device based on the above, and the display network distance and the storage network distance of the destination communication device by the network distance changing process. A data relay process program for causing the data relay device to perform a data transmission process of transmitting the transmission data to the destination data communication device after any one of the values is changed.
を中継するデータ中継処理をデータ中継装置に実行させ
るためのデータ中継処理プログラムを記録したコンピュ
ータ読み取り可能な記録媒体であって、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
処理と、 前記データ中継装置から前記送信データの宛先とされた
宛先データ通信装置までのネットワーク距離を測定ネッ
トワーク距離として測定するネットワーク距離測定処理
と、 前記送信データに表示された前記表示ネットワーク距離
と、前記ネットワーク距離測定処理により測定された前
記測定ネットワーク距離とを比較し、比較結果に基づき
前記送信データを破棄するか否かを決定するデータ検査
処理とを前記データ中継装置に実行させるためのデータ
中継処理プログラムを記録したコンピュータ読み取り可
能な記録媒体。20. A computer-readable recording medium having recorded therein a data relay processing program for causing a data relay device to perform a data relay process for relaying data communication between a plurality of data communication devices, wherein: A data reception process of receiving transmission data transmitted from a communication device to any other data communication device and displaying a network distance at which data transfer is possible from the data relay device as a display network distance; To the destination data communication device that is the destination of the transmission data from the network distance measuring process as a measurement network distance, the display network distance displayed in the transmission data, and the network distance measuring process Said measurement network A computer-readable recording medium recording a data relay processing program for causing the data relay apparatus to perform a data inspection process of comparing the distance and determining whether or not to discard the transmission data based on the comparison result.
したコンピュータ読み取り可能な記録媒体は、更に、同
一のデータ通信装置を宛先データ通信装置とする複数の
送信データが前記データ受信処理により受信され、受信
された前記複数の送信データのうち少なくとも二以上の
送信データが前記データ検査処理により破棄されずに維
持された場合に、維持された送信データを組み合わせて
維持された送信データのデータ内容を再構成するデータ
再構成処理と、 前記データ再構成処理により再構成されたデータ内容
が、前記宛先データ通信装置への攻撃を目的とするデー
タ内容であるか否かを判定するデータ判定処理とを前記
データ中継装置に実行させるためのデータ中継処理プロ
グラムを記録した請求項20に記載のコンピュータ読み
取り可能な記録媒体。21. A computer-readable recording medium having the data relay processing program recorded thereon, wherein a plurality of transmission data having the same data communication device as a destination data communication device is further received and received by the data reception process. When at least two or more transmission data among the plurality of transmission data are maintained without being discarded by the data inspection process, the maintained transmission data are combined to reconstruct the data content of the maintained transmission data. The data relay process includes a data reconfiguration process and a data determination process for determining whether or not the data content reconfigured by the data reconfiguration process is data content for the purpose of attacking the destination data communication device. The computer reading according to claim 20, wherein a data relay processing program to be executed by the device is recorded. Capacity recording medium.
を中継するデータ中継処理をデータ中継装置に実行させ
るためのデータ中継処理プログラムを記録したコンピュ
ータ読み取り可能な記録媒体であって、 前記複数のデータ通信装置のそれぞれについて、前記デ
ータ中継装置からそれぞれのデータ通信装置までのネッ
トワーク距離を記憶ネットワーク距離として記憶するネ
ットワーク距離記憶処理と、 いずれかのデータ通信装置から他のいずれかのデータ通
信装置を宛先として送信され、前記データ中継装置から
データ転送可能なネットワーク距離が表示ネットワーク
距離として表示された送信データを受信するデータ受信
処理と、 前記送信データに表示された前記表示ネットワーク距離
と、前記送信データの宛先とされた宛先データ通信装置
の記憶ネットワーク距離とを比較し、比較結果に基づき
前記表示ネットワーク距離及び前記宛先データ通信装置
の記憶ネットワーク距離のいずれか一方の値を変更する
ネットワーク距離変更処理と、 前記ネットワーク距離変更処理により前記表示ネットワ
ーク距離及び前記宛先通信装置の記憶ネットワーク距離
のいずれか一方の値の変更が行われた後に、前記送信デ
ータを前記宛先データ通信装置に対して送信するデータ
送信処理とを前記データ中継装置に実行させるためのデ
ータ中継処理プログラムを記録したコンピュータ読み取
り可能な記録媒体。22. A computer-readable recording medium having recorded therein a data relay processing program for causing a data relay device to perform a data relay process for relaying data communication between a plurality of data communication devices, wherein: For each of the communication devices, a network distance storing process of storing the network distance from the data relay device to each of the data communication devices as a storage network distance, and a destination of any one of the other data communication devices from the data communication device. And a data receiving process of receiving transmission data in which the network distance capable of data transfer from the data relay device is displayed as a display network distance, the display network distance displayed in the transmission data, and the transmission data. Destination data communication with destination A network distance changing process for comparing the storage network distance of the device and changing one of the display network distance and the storage network distance of the destination data communication device based on the comparison result; A data transmission process of transmitting the transmission data to the destination data communication device after the value of any one of the display network distance and the storage network distance of the destination communication device is changed, is transmitted to the data relay device. A computer-readable recording medium recording a data relay processing program to be executed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001272867A JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001272867A JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003087333A true JP2003087333A (en) | 2003-03-20 |
| JP3919488B2 JP3919488B2 (en) | 2007-05-23 |
Family
ID=19098165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001272867A Expired - Fee Related JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3919488B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277518A (en) * | 2005-03-30 | 2006-10-12 | Nomura Research Institute Ltd | Log acquisition program and method |
| JP2007143020A (en) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Repeater and program for repeater |
| US7912048B2 (en) | 2006-04-20 | 2011-03-22 | International Business Machines Corporation | Apparatus and method for detecting network address translation device |
-
2001
- 2001-09-10 JP JP2001272867A patent/JP3919488B2/en not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277518A (en) * | 2005-03-30 | 2006-10-12 | Nomura Research Institute Ltd | Log acquisition program and method |
| JP4649253B2 (en) * | 2005-03-30 | 2011-03-09 | 株式会社野村総合研究所 | Log acquisition program and method |
| JP2007143020A (en) * | 2005-11-22 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Repeater and program for repeater |
| JP4551316B2 (en) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | Relay device and relay device program |
| US7912048B2 (en) | 2006-04-20 | 2011-03-22 | International Business Machines Corporation | Apparatus and method for detecting network address translation device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3919488B2 (en) | 2007-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9584487B2 (en) | Methods, systems, and computer program products for determining an originator of a network packet using biometric information | |
| US7936743B2 (en) | Method and system for determining a path between two points of an IP network over which datagrams are transmitted | |
| JP4405360B2 (en) | Firewall system and firewall control method | |
| US8149722B2 (en) | Method and apparatus for detecting VPN communication | |
| US6894981B1 (en) | Method and apparatus for transparently proxying a connection | |
| US6473406B1 (en) | Method and apparatus for transparently proxying a connection | |
| CN108111509B (en) | Data transmission method | |
| US7136359B1 (en) | Method and apparatus for transparently proxying a connection | |
| US11943147B2 (en) | Method of determining passive round trip time, RTT, delay in a telecommunications system | |
| US20110047261A1 (en) | Information communication apparatus, information communication method, and program | |
| CN101237468A (en) | Relay device, program and relay method | |
| JP2008244989A (en) | Radio communication system and terminal, packet control device, and program | |
| US20080192641A1 (en) | Automatic discovery of blocking access-list ID and match statements in a network | |
| US7324454B2 (en) | Router | |
| CN106790010A (en) | ARP attack detection method, device and system based on Android system | |
| US20080056138A1 (en) | Communication apparatus, communication system, conference system, and program product therefor | |
| CN111953810B (en) | Method, device and storage medium for identifying proxy internet protocol address | |
| US11178593B2 (en) | Terminal, relay apparatus selection apparatus, communication method, relay apparatus selection method, and program | |
| JP4204053B2 (en) | Method and apparatus for isolating quality degradation point of packet switching network, and program and recording medium thereof | |
| JP2003087333A (en) | Data relay apparatus, data relay method, data relay processing program and computer-readable recording medium having the data relay processing program recorded thereon | |
| JP2003163681A (en) | Device and method for transferring packet and program | |
| JP2007174033A (en) | Snmp network management system, device to be managed, and program | |
| JP3961415B2 (en) | Protocol defect automatic detection method and protocol defect automatic detection device | |
| CN112929417B (en) | Message processing method and device | |
| CN107666671B (en) | Method and device for detecting wrong connection based on TWAMP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050411 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070123 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070213 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3919488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100223 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140223 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |