JP2012169731A - Unauthorized packet extraction device - Google Patents

Unauthorized packet extraction device Download PDF

Info

Publication number
JP2012169731A
JP2012169731A JP2011026987A JP2011026987A JP2012169731A JP 2012169731 A JP2012169731 A JP 2012169731A JP 2011026987 A JP2011026987 A JP 2011026987A JP 2011026987 A JP2011026987 A JP 2011026987A JP 2012169731 A JP2012169731 A JP 2012169731A
Authority
JP
Japan
Prior art keywords
packet
network
illegal
unit
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011026987A
Other languages
Japanese (ja)
Other versions
JP5659839B2 (en
Inventor
Shunsuke Baba
俊輔 馬場
Kazuya Suzuki
和也 鈴木
Hidehiko Wada
英彦 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2011026987A priority Critical patent/JP5659839B2/en
Publication of JP2012169731A publication Critical patent/JP2012169731A/en
Application granted granted Critical
Publication of JP5659839B2 publication Critical patent/JP5659839B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To efficiently extract an authorized packet.SOLUTION: A packet capture unit 100 obtains a packet communicated in a lower network, and classifies the captured packet into one of multiple types based on relation with the communication direction with a firewall. A packet inspection unit 102 inspects and determines whether there exists in a packet information memory 106 a response packet corresponding to a packet heading for an upper network from the lower network classified by the packet capture unit 100. The packet inspection unit 102 stores determination results of whether the response packet exists or not together with the packet in the packet information memory 106. When determination information for the packet stored in the packet information memory 106 is non-correspondence, a memory management unit 104 determines "unexpected communication" and outputs it to a log memory 108.

Description

本発明は、ネットワーク内で通信される不正パケットを抽出する不正パケット抽出装置
に関する。 The present invention relates to an illegal packet extraction device that extracts illegal packets communicated in a network.

近年、遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、コンピュー
タウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を
行なったり、情報を外部に漏洩させたりする有害なソフトウェアによる感染被害が重大な
問題となっている。以下、コンピュータウイルス、ワーム、スパイウエアなどの悪意をも
ったソフトウェアを総称してマルウエアと呼ぶ。 In recent years, software that can invade and attack remote computers, and viruses such as computer viruses can infect and destroy other computers and leak information to the outside. Infection damage caused by complicated software is a serious problem. Hereinafter, malicious software such as computer viruses, worms, and spyware are collectively referred to as malware.

このようなマルウエアに由来する通信を早期に発見して被害拡大に対処するために、各
企業においてはマルウエア対策が取られている。例えば、上位ネットワークと下位ネット
ワークとの境界にファイヤーウォールを設置し、このファイヤーウォールでログを取り込
んで、分析者がログを分析することでマルウエアに由来する「想定外の通信」を検出する
方法が広く行われている。 In order to detect such communication originating from malware at an early stage and deal with the damage expansion, each company takes countermeasures against malware. For example, there is a method of detecting a “unexpected communication” derived from malware by installing a firewall at the boundary between the upper network and the lower network, capturing the log with this firewall, and analyzing the log by the analyst. Widely done.

図10は、従来におけるファイヤーウォールのログ解析を行うためのログ解析用コンピ
ュータを備えたネットワークシステムの一例を示している。プラントネットワーク510
と上位ネットワーク520との境界にはファイヤーウォール500が設置されている。フ
ァイヤーウォール500は、ファイヤーウォール500を通過するログを取り、このログ
をメモリ502に保存する。ログ解析用PC504は、ファイヤーウォール500に接続
されており、メモリ502からログを読み出してファイヤーウォール500のログの分析
作業を行う。 FIG. 10 shows an example of a network system including a conventional log analysis computer for performing log analysis of a firewall. Plant network 510
And the upper network 520 are provided with a firewall 500. The firewall 500 takes a log passing through the firewall 500 and stores this log in the memory 502. The log analysis PC 504 is connected to the firewall 500, reads a log from the memory 502, and performs a log analysis operation of the firewall 500.

図11は、従来におけるファイヤーウォールのログの分析を行う場合のフローチャート
を示している。なお、ログの分析作業では、ファイヤーウォールに到達した全てのパケッ
トを分析する必要があるので、ファイヤーウォールでは「通過パケット」および「廃棄パ
ケット」の両方を記録するようにログ機能の設定が行われる。 FIG. 11 shows a flowchart in the case of analyzing a log of a conventional firewall. In log analysis work, it is necessary to analyze all packets that arrived at the firewall, so the firewall sets the log function to record both "passed packets" and "discarded packets". .

ステップS300で分析者は、一定期間が経過すると、ファイヤーウォールのログを一
行取り出す。そして、ステップS302で取り出したログが通過ログか否かを判断する。
ログが通過ログであると判断した場合にはステップS304に進み、ログが通過ログでな
いと判断した場合にはステップS306に進む。 In step S300, the analyst takes out one line of the firewall log when a certain period of time has elapsed. Then, it is determined whether or not the log extracted in step S302 is a passing log.
If it is determined that the log is a passing log, the process proceeds to step S304. If it is determined that the log is not a passing log, the process proceeds to step S306.

ステップS304で分析者は、通過ログに対して対応するログがあるか否かを判断する
。対応する通過ログがあると判断した場合には、次の行のログを取り出し、上述したよう
な不正パケット抽出作業を行う。一方、通過ログに対して対応するログがないと判断した
場合には、この通過ログが想定外の通信である可能性が高いと判断する。 In step S304, the analyst determines whether there is a corresponding log for the passing log. If it is determined that there is a corresponding passage log, the log on the next line is extracted and the illegal packet extraction operation described above is performed. On the other hand, if it is determined that there is no corresponding log for the passing log, it is determined that there is a high possibility that this passing log is an unexpected communication.

ログが通過ログでないと判断した場合には、ステップS306で分析者は、そのログが
廃棄ログであるかいなかを判断する。分析者は、ログが廃棄ログであると判断した場合に
は、このログが想定外の通信である可能性が高いと判断する。一方、廃棄ログでないと判
断した場合には、次の行のログを取り出し、上述したような不正パケット抽出作業を行う
。ステップS308では、ログが最後の行であるか否かを判断し、最後のログである場合
には一連の処理を終了し、最後のログでない場合にはステップS300に戻って上述した
ログの分析を行う。 If it is determined that the log is not a passing log, the analyst determines in step S306 whether the log is a discard log. When the analyst determines that the log is a discard log, the analyst determines that there is a high possibility that the log is an unexpected communication. On the other hand, if it is determined that the log is not a discard log, the log on the next line is extracted and the illegal packet extraction operation as described above is performed. In step S308, it is determined whether or not the log is the last line. If the log is the last log, the series of processes is terminated. If the log is not the last log, the process returns to step S300 to analyze the log described above. I do.

このログ分析において、ファイヤーウォールが最低限必要な通信のみを正しく許可する
ような設定が行われている場合には、ファイヤーウォールのログに廃棄のログが出ていれ
ば、「想定外の通信」が発生したと判断できる。また、分析結果において、「通過ログ」
に対応するログが存在しない場合にも「想定外の通信」が発生したと判断できる。これは
、「通過パケット」に対して対応するパケットが存在しなければ、「通過パケット」がマ
ルウエアの由来による通信である可能性が高いからである。ここで、「対応」とは、クラ
イアントからサーバに向かうパケットと、サーバからクライアントに向かうパケットの通
信の対応を意味している。特に、あるPCのIPアドレスから、複数の通信先への通過ロ
グがあり、それに対応する通過ログがない場合、マルウエアからの通信と考えることがで
きる。 In this log analysis, if the firewall is configured to correctly allow only the minimum required communication, if the discard log appears in the firewall log, "Unexpected communication" Can be determined to have occurred. In addition, in the analysis result, “passing log”
It can be determined that “unexpected communication” has occurred even when there is no log corresponding to. This is because if there is no packet corresponding to the “passing packet”, there is a high possibility that the “passing packet” is communication originating from malware. Here, “correspondence” means correspondence of communication between a packet from the client to the server and a packet from the server to the client. In particular, when there is a passage log from a certain PC IP address to a plurality of communication destinations and there is no passage log corresponding thereto, it can be considered that the communication is from malware.

マルウエアに由来する「想定外の通信」としては、以下に示す(1)〜(8)が想定さ
れる。
(1)感染したPCと同一ネットワークにサービススキャンする。
(2)感染したPCと同一ネットワークに感染を広げるための通信を行う。
(3)感染したPCとは違うネットワークにサービススキャンする。
(4)感染したPCとは違うネットワークに感染を広げるための通信を行う。
(5)攻撃パケットを様々な宛先に送信する。
(6)インターネットのどこかに接続して、プログラムをダウンロードする。
(7)インターネットのどこかに接続して、指令を受ける。
(8)インターネットのどこかに情報を送信する。 As “unexpected communication” derived from malware, the following (1) to (8) are assumed.
(1) A service scan is performed on the same network as the infected PC.
(2) Communication is performed to spread the infection to the same network as the infected PC.
(3) A service scan is performed on a different network from the infected PC.
(4) Communication is performed to spread the infection to a different network from the infected PC.
(5) Send attack packets to various destinations.
(6) Connect to somewhere on the Internet and download the program.
(7) Connect to somewhere on the Internet and receive a command.
(8) Send information somewhere on the Internet.

また、他のマルウエアによる不正パケットの抽出方法として、ネットワークを流れるI
Pパケットを記憶部に記憶し、監視手段によりネットワークのIPパケットを監視し、侵
入パターンにより侵入検知し、転送手段に通知する侵入監視方法が提案されている(特許
文献1参照)。この侵入監視方法によれば、データ量が少なく、確実に侵入解析を行うこ
とができる。 In addition, as a method of extracting illegal packets by other malware, I
An intrusion monitoring method has been proposed in which P packets are stored in a storage unit, a network IP packet is monitored by a monitoring unit, an intrusion is detected by an intrusion pattern, and notified to a transfer unit (see Patent Document 1). According to this intrusion monitoring method, the amount of data is small and intrusion analysis can be performed reliably.

特開2003−60712号公報Japanese Patent Laid-Open No. 2003-60712

しかしながら、上記従来の不正パケット抽出装置や特許文献1等に開示される侵入監視
方法では、以下のような問題がある。
(1)特許文献1等に開示される侵入監視方法では、ファイヤーウォールで廃棄および通
過の両方のログを取る必要がある。そのため、両方のログを取らなければならないので、
ファイヤーウォールに負荷がかかるという問題がある。
(2)ファイヤーウォールのログの分析において、廃棄ログについては不正なログあるこ
とが容易に判断できるが、通過ログについては対応の確認を行う必要がある(対応作業)
。この対応作業には、通信の流れを組み立てて分析する必要があり、高い技能が要求され
るので、分析者の負担が増えてしまうという問題がある。
(3)ファイヤーウォールのログフォーマットは、ファイヤーウォールを提供するベンダ
毎に異なっているため、各ベンダ毎にログを解釈するアプリケーションを開発しなければ
ならず、高い開発コストがかかるという問題がある。 However, the intrusion monitoring method disclosed in the above-described conventional illegal packet extraction device and Patent Document 1 has the following problems.
(1) In the intrusion monitoring method disclosed in Patent Document 1 and the like, it is necessary to log both discard and passage through a firewall. So you have to take both logs,
There is a problem that a load is applied to the firewall.
(2) In the analysis of firewall logs, it can be easily determined that the discard log is an illegal log, but it is necessary to confirm the correspondence for the passing log (corresponding work)
. In this handling work, it is necessary to assemble and analyze the communication flow, and a high skill is required. Therefore, there is a problem that the burden on the analyst increases.
(3) Since the log format of the firewall is different for each vendor that provides the firewall, an application for interpreting the log must be developed for each vendor, and there is a problem that high development costs are required.

そこで、本発明は、上記課題に鑑みてなされたものであり、自動的に不正パケットを抽
出することが可能なパケット抽出装置を提供することを目的とする。 Therefore, the present invention has been made in view of the above problems, and an object thereof is to provide a packet extraction device capable of automatically extracting illegal packets.

上記課題を解決するために、本発明に係る不正パケット抽出装置は、第1のネットワー
クで発生した不正パケットを抽出する不正パケット抽出装置において、第1のネットワー
クで通信されるパケットを取得し、取得したパケットを少なくとも第1のネットワークか
ら第2のネットワークに向かうパケットのタイプを含む複数のタイプに分類するパケット
キャプチャ部と、パケットキャプチャ部により分類されたパケットのうち第1のネットワ
ークから第2のネットワークに向かうパケットが存在する場合に、このパケットに対応し
た応答パケットが存在するか否かを検査して判定を行うパケット検査部と、パケット検査
部により判定されたパケットと、このパケットの応答パケットが存在するか否かの判定結
果を示す判定情報とを対応付けて記憶する記憶部と、記憶部に記憶されているパケットの
判定情報に基づいてこのパケットが不正パケットであるか否かを判定して出力するメモリ
管理部とを備えるものである。 In order to solve the above-described problem, an illegal packet extraction device according to the present invention acquires and acquires a packet communicated in the first network in the illegal packet extraction device that extracts an illegal packet generated in the first network. A packet capture unit for classifying the received packet into a plurality of types including a type of packet directed from at least the first network to the second network, and the second network from the first network among the packets classified by the packet capture unit When there is a packet destined for the packet, a packet inspection unit that determines whether there is a response packet corresponding to the packet, a packet determined by the packet inspection unit, and a response packet of the packet Corresponding to judgment information indicating the judgment result of whether or not it exists A storage unit for storing for, the packet is provided with a memory management unit and outputs the determination whether a bad packet based on the determination information of the packet stored in the storage unit.

本発明において、不正パケットとは、「想定外の通信」を意味しており、ボット、スパ
イウエア、ワーム・ウイルスなどのマルウエアによりユーザの意思に関係なく行われる通
信や、設定ミスに由来する通信等を含むものである。具体的には、第1のネットワークか
ら第2のネットワークへ通信されるパケットに対して応答パケットの存在しない通信や、
第1のネットワークから第2のネットワークに向かい、ファイヤーウォールで遮断される
通信等が挙げられる。 In the present invention, the illegal packet means “unexpected communication”, communication performed regardless of the user's intention by malware such as bot, spyware, worm and virus, communication derived from a setting error, etc. Is included. Specifically, communication without a response packet for a packet communicated from the first network to the second network,
For example, communication that goes from the first network to the second network and is blocked by a firewall can be used.

本発明によれば、第1のネットワーク内で通信されるパケットを取得することで不正パ
ケットを自動的に抽出することができる。その結果、従来のようにファイヤーウォールの
ログ解析作業をする必要がなくなるので、作業負担の軽減を図ることができると共に、開
発の低コスト化を図ることができる。 According to the present invention, an illegal packet can be automatically extracted by acquiring a packet communicated in the first network. As a result, there is no need to perform firewall log analysis work as in the prior art, so the work burden can be reduced and development costs can be reduced.

本発明の一実施形態に係るネットワークシステムの概略構成例を示す図である。It is a figure which shows the example of schematic structure of the network system which concerns on one Embodiment of this invention. パケット抽出装置のブロック構成例を示す図である。It is a figure which shows the block structural example of a packet extraction apparatus. ファイヤーウォールとの関係によりパケットを分類した場合の説明図である。It is explanatory drawing at the time of classifying a packet by the relationship with a firewall. パケット情報用メモリの構成例を示す図である。It is a figure which shows the structural example of the memory for packet information. パケットキャプチャ部の動作例を示すフローチャートである。It is a flowchart which shows the operation example of a packet capture part. パケット検出部の動作例を示すフローチャートである。It is a flowchart which shows the operation example of a packet detection part. リングバッファを説明するための図である(その1)。It is a figure for demonstrating a ring buffer (the 1). リングバッファを説明するための図である(その2)。It is a figure for demonstrating a ring buffer (the 2). 本発明の応用例に係るネットワークシステムの概略構成を示す図である。It is a figure which shows schematic structure of the network system which concerns on the application example of this invention. 従来におけるファイヤーウォールのログ解析を行うためのログ解析用コンピュータを備えたネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system provided with the computer for log analysis for performing the log analysis of the conventional firewall. 従来におけるログ解析用コンピュータを備えたネットワークシステムの動作例を示すフローチャートである。It is a flowchart which shows the operation example of the network system provided with the computer for log analysis in the past.

以下、発明を実施するための最良の形態(以下実施の形態とする)について説明する。
[ネットワークシステムの構成例]
図1は、本発明に係るネットワークシステム200の構成の一例について説明する。図
1に示すように、ネットワークシステム200は、上位ネットワーク(第2のネットワー
ク)60と下位ネットワーク(第1のネットワーク)70とファイヤーウォール20とス
イッチ30と複数のコンピュータ50a,50bと不正パケット抽出装置10とを備えて
いる。 Hereinafter, the best mode for carrying out the invention (hereinafter referred to as an embodiment) will be described.
[Network system configuration example]
FIG. 1 illustrates an example of the configuration of a network system 200 according to the present invention. As shown in FIG. 1, a network system 200 includes an upper network (second network) 60, a lower network (first network) 70, a firewall 20, a switch 30, a plurality of computers 50a and 50b, and an illegal packet extraction device. 10.

上位ネットワーク60は、下位ネットワーク70のデフォルトゲートウェイの先の外部
ネットワークである。下位ネットワーク70は、例えば組織内のイントラネットである。
下位ネットワーク70内には、スイッチ30と複数のコンピュータ50a,50bと不正
パケット抽出装置10とが設置されている。 The upper network 60 is an external network beyond the default gateway of the lower network 70. The lower network 70 is, for example, an intranet in an organization.
In the lower network 70, a switch 30, a plurality of computers 50a and 50b, and an illegal packet extraction device 10 are installed.

ファイヤーウォール20は、上位ネットワーク60と下位ネットワーク70との境界部
に設置され、一端が上位ネットワーク60に接続されると共に他端がスイッチ30の例え
ば通信ポート30aに接続され、上位ネットワーク60から下位ネットワーク70に向か
うパケットおよび下位ネットワーク70から上位ネットワーク60に向かうパケットを監
視して不正なパケットを検出・遮断する。例えば、ファイヤーウォール20は、宛先や送
信元のIPアドレス、ポート番号などを監視し、予め設定した条件によって、その通信を
受け入れる、廃棄する、拒否する等の動作によりパケット通信を制御する。なお、本例に
おいてファイヤーウォール20は、ルーティング機能を備えているものとする。 The firewall 20 is installed at the boundary between the upper network 60 and the lower network 70, one end is connected to the upper network 60 and the other end is connected to, for example, the communication port 30 a of the switch 30. The packet going to 70 and the packet going from the lower network 70 to the upper network 60 are monitored to detect and block illegal packets. For example, the firewall 20 monitors a destination, a source IP address, a port number, and the like, and controls packet communication by operations such as accepting, discarding, and rejecting the communication according to preset conditions. In this example, the firewall 20 is assumed to have a routing function.

スイッチ30は、コンピュータ50a,50bや上位ネットワーク60から供給される
パケットのスイッチング制御等を行うものであり、複数の通信ポート30a〜30dとミ
ラーポート30eとを有している。ミラーポート30eは、ネットワーク監視用のポート
であり、スイッチ30の通常の通信ポート30a〜30dを通過する全てのパケット(デ
ータ)を複製して、ミラーポート30eに接続される不正パケット抽出装置10に供給す
る。なお、スイッチ30の通信ポート30bにはプラントネットワークが接続される。 The switch 30 performs switching control of packets supplied from the computers 50a and 50b and the upper network 60, and has a plurality of communication ports 30a to 30d and a mirror port 30e. The mirror port 30e is a network monitoring port, and copies all packets (data) passing through the normal communication ports 30a to 30d of the switch 30 to the illegal packet extraction device 10 connected to the mirror port 30e. Supply. A plant network is connected to the communication port 30b of the switch 30.

コンピュータ50aは、スイッチ30の例えば通信ポート30cに接続され、スイッチ
30およびファイヤーウォール20を介して上位ネットワーク60や下位ネットワーク内
のコンピュータ50b、ファイヤーウォール20等と双方向のパケット通信を行う機能を
有する。コンピュータ50bはコンピュータ50aと同様の構成であるため、説明を省略
する。 The computer 50a is connected to, for example, the communication port 30c of the switch 30, and has a function of performing bidirectional packet communication with the upper network 60, the computer 50b in the lower network, the firewall 20 and the like via the switch 30 and the firewall 20. . Since the computer 50b has the same configuration as the computer 50a, description thereof is omitted.

不正パケット抽出装置10は、スイッチ30のミラーポート30eにLAN等のケーブ
ルを介して接続され、スイッチ30を通過する全てのパケットを検査することにより下位
ネットワーク70内に流れる「想定外の通信(不正パケットを含む)」を検出する。 The illegal packet extraction device 10 is connected to the mirror port 30e of the switch 30 via a cable such as a LAN, and flows through the lower network 70 by inspecting all packets passing through the switch 30. Include packet) ”.

[不正パケット抽出装置の構成例]
図2は、不正パケット抽出装置10のブロック構成の一例を示している。図2に示すよ
うに、不正パケット抽出装置10は、パケットキャプチャ部100とパケット検査部10
2とメモリ管理部104とパケット情報用メモリ106とログ用メモリ108とを備えて
いる。これらのパケットキャプチャ部100、パケット検査部102およびメモリ管理部
104は、例えばCPU(Central Processing Unit)等の演算処理回路から構成できる
[Configuration example of illegal packet extractor]
FIG. 2 shows an example of a block configuration of the illegal packet extraction device 10. As shown in FIG. 2, the illegal packet extraction device 10 includes a packet capture unit 100 and a packet inspection unit 10.
2, a memory management unit 104, a packet information memory 106, and a log memory 108. The packet capture unit 100, the packet inspection unit 102, and the memory management unit 104 can be configured by an arithmetic processing circuit such as a CPU (Central Processing Unit), for example.

パケットキャプチャ部100は、スイッチ30のミラーポート30eから入力されるト
ラフィックとしてのパケットを取得して、取得したパケットのヘッダのIPアドレスやM
ACアドレスを検査することで、ファイヤーウォール20との通信方向の関係において複
数のタイプに分類する。このように、下位ネットワーク70で通信される全てのパケット
を複数のタイプに分類することで、「想定外の通信」に該当するパケット候補を抜き出す
処理を行う。また、パケットキャプチャ部100は、分類したパケットと、このパケット
の分類結果とを対応づけてパケット検査部102に出力する。 The packet capture unit 100 acquires a packet as traffic input from the mirror port 30e of the switch 30, and acquires the IP address or M of the header of the acquired packet.
By examining the AC address, it is classified into a plurality of types in relation to the communication direction with the firewall 20. In this manner, by classifying all packets communicated in the lower network 70 into a plurality of types, a process for extracting packet candidates corresponding to “unexpected communication” is performed. Further, the packet capture unit 100 associates the classified packet with the classification result of the packet and outputs the packet to the packet inspection unit 102.

ここで、パケットのタイプについて説明する。図3A〜図3Fは、ファイヤーウォール
20との関係におけるパケットのタイプを説明するための図である。ファイヤーウォール
20には、下位ネットワーク70側のNIC20aと上位ネットワーク60側のNIC2
0bとが設けられる。 Here, the packet type will be described. 3A to 3F are diagrams for explaining packet types in relation to the firewall 20. The firewall 20 includes a NIC 20a on the lower network 70 side and a NIC 2 on the upper network 60 side.
0b is provided.

パケットのタイプは、図3A〜図3Fおよび下記表1に示すように、例えば6タイプに
分類される。 As shown in FIGS. 3A to 3F and Table 1 below, the packet types are classified into, for example, six types.

Figure 2012169731
Figure 2012169731

第1のタイプT1は、図3Aおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークへの通信である。第1のタイプT1に分類されるパケ
ットをパケットP1と呼ぶ。第2のタイプT2は、図3Bおよび表1に示すように、上位
ネットワークから、プラントネットワークまたはコンピュータ群への通信である。第2の
タイプT2に分類されるパケットをパケットP2と呼ぶ。第3のタイプT3は、図3Cお
よび表1に示すように、プラントネットワークとスイッチに接続されたコンピュータ群、
および、コンピュータ群同士の通信である。第3のタイプT3に分類されるパケットをパ
ケットP3と呼ぶ。 As shown in FIG. 3A and Table 1, the first type T1 is communication from a plant network or a computer group to an upper network. A packet classified as the first type T1 is referred to as a packet P1. As shown in FIG. 3B and Table 1, the second type T2 is communication from an upper network to a plant network or a computer group. A packet classified as the second type T2 is referred to as a packet P2. As shown in FIG. 3C and Table 1, the third type T3 includes a group of computers connected to the plant network and switches,
Communication between computer groups. A packet classified into the third type T3 is called a packet P3.

第4のタイプT4は、図3Dおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(ブロック)さ
れる通信である。第4のタイプT4に分類されるパケットをパケットP4と呼ぶ。第5の
タイプT5は、図3Eおよび表1に示すように、ファイヤーウォール自身への通信である
。第5のタイプT5に分類されるパケットをパケットP5と呼ぶ。第6のタイプT6は、
図3Fおよび表1に示すように、ファイヤーウォール自身からの通信である。第6のタイ
プT6に分類されるパケットをパケットP6と呼ぶ。 As shown in FIG. 3D and Table 1, the fourth type T4 is communication that is blocked (blocked) by the firewall from the plant network or the computer group toward the upper network. A packet classified into the fourth type T4 is referred to as a packet P4. As shown in FIG. 3E and Table 1, the fifth type T5 is communication to the firewall itself. A packet classified into the fifth type T5 is referred to as a packet P5. The sixth type T6 is
As shown in FIG. 3F and Table 1, the communication is from the firewall itself. A packet classified into the sixth type T6 is referred to as a packet P6.

ここで、「想定外の通信」としては、コンピュータ群から上位ネットワークに通信(送
信)されるタイプT1のパケットP1のうち対応した返信パケットが存在しないパケット
、および、コンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(
ブロック)されるタイプT4のパケットP4が該当する。本例では、分類結果により、「
想定外の通信」の候補となるタイプT1のパケットP1とタイプT4のパケットP4とが
混在してしまう。そのため、これらの中から「想定外の通信」を分離するために、タイプ
T1、タイプT2およびタイプT4のパケットPをパケット検査部102に出力する。 Here, as “unexpected communication”, a packet for which there is no corresponding return packet among the packets T1 of type T1 communicated (transmitted) from the computer group to the upper network, and from the computer group to the upper network, Shut off by firewall (
This corresponds to the packet P4 of type T4 to be blocked. In this example, “
Type T1 packet P1 and type T4 packet P4, which are candidates for “unexpected communication”, are mixed. Therefore, in order to separate “unexpected communication” from these, the packet P of type T1, type T2, and type T4 is output to the packet inspection unit 102.

図2に戻り、パケット検査部102は、パケットキャプチャ部100で分類されて入力
される「想定外の通信」の候補となるパケットのオブジェクトを作成する。そして、この
作成したオブジェクトのうち下位ネットワーク70から上位ネットワーク60に向かうパ
ケットに対応した応答パケットが存在しないものをパケット情報用メモリ106の対応判
定用オブジェクトを参照して検査し、その検査結果をパケット情報用メモリ106に書き
込む処理を行う。これにより、パケットキャプチャ部100から入力されるタイプ1とタ
イプ4の混在した結果から、タイプ1のパケットP1に対応するタイプ2のパケットP2
が存在しないものを探すことで、「想定外の通信」を検索できる。 Returning to FIG. 2, the packet inspection unit 102 creates an object of a packet that is a candidate of “unexpected communication” classified and input by the packet capture unit 100. Then, the created object is inspected with reference to the correspondence determination object in the packet information memory 106 for a response packet corresponding to the packet from the lower network 70 to the upper network 60, and the inspection result is packetized. A process of writing to the information memory 106 is performed. As a result, the type 2 packet P2 corresponding to the type 1 packet P1 is obtained from the mixed result of the type 1 and type 4 input from the packet capture unit 100.
You can search for “unexpected communication” by searching for items that do not exist.

ここで、入力パケットデータのオブジェクトは、「パケットそのもの」と「判定結果」
とを有している。「パケットそのもの」は、「パケットの向き」、「送信元IPアドレス
」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および「プロトコル
種別」等のパケット情報で構成される。「判定結果」は、タイプT1のパケットP1に対
応するタイプT2のパケットP2が存在する場合には「対応」を示す情報となり、存在し
ない場合には「非対応」を示す情報となる。本例では、初期値を「非対応」に設定してい
る。 Here, the input packet data objects are “packet itself” and “judgment result”.
And have. The “packet itself” is composed of packet information such as “packet direction”, “source IP address”, “destination IP address”, “source port”, “destination port”, and “protocol type”. . The “determination result” is information indicating “corresponding” when the packet P2 of type T2 corresponding to the packet P1 of type T1 is present, and is information indicating “non-corresponding” when not existing. In this example, the initial value is set to “not supported”.

対応判定用オブジェクトとは、タイプT1に分類された入力パケットP1に対応するパ
ケットが存在するか否かを判定する際に用いられるパケットであり、例えば、パケットキ
ャプチャ部100から入力されるタイプT1のパケットP1、タイプT2のパケットP2
およびタイプT4のパケットP4が対応判定用オブジェクトの対象となる。対応判定用オ
ブジェクトは、入力パケットPのオブジェクトと同様に、「パケットの向き」、「送信元
IPアドレス」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および
「プロトコル種別」等のパケット情報で構成される。 The correspondence determination object is a packet used when determining whether or not there is a packet corresponding to the input packet P1 classified into the type T1, for example, the type T1 input from the packet capture unit 100 Packet P1, type T2 packet P2
The packet P4 of type T4 is the target of the correspondence determination object. Similar to the object of the input packet P, the correspondence determination object is “packet direction”, “source IP address”, “destination IP address”, “source port”, “destination port”, and “protocol type”. "Or the like.

パケット情報用メモリ106は、例えば、不揮発性の半導体メモリやHDD(Hard Dis
k Drive)等から構成されている。図4は、パケット情報用メモリ106の構成の一例を
示している。パケット検査部102で作成されたパケットデータのオブジェクトや、対応
判定用オブジェクト等のパケット情報を格納するための複数個のメモリ106a〜106
gを有している。本例では7個のメモリ106a〜106gで構成したが、この個数に限
定されるものではない。メモリ106a〜106gのそれぞれには、入力されるパケット
のオブジェクトが格納されるパケットデータオブジェクト部Maと、対応判定用オブジェ
クトが格納される対応判定用オブジェクト部Mbとが設けられている。 The packet information memory 106 is, for example, a non-volatile semiconductor memory or HDD (Hard Dis- play).
k Drive). FIG. 4 shows an example of the configuration of the packet information memory 106. A plurality of memories 106 a to 106 for storing packet information such as an object of packet data created by the packet inspection unit 102 and an object for correspondence determination.
g. In this example, seven memories 106a to 106g are used, but the number is not limited to this. Each of the memories 106a to 106g is provided with a packet data object portion Ma for storing an object of an input packet and a correspondence determination object portion Mb for storing a correspondence determination object.

ログ用メモリ108は、例えば不揮発性の半導体メモリやHDD等から構成され、メモ
リ管理部104の書き込み制御によりパケット情報用メモリ106から出力される「想定
外の通信が検出された」と判定されたパケットデータのオブジェクトを格納する。ユーザ
またはコンピュータ等の情報処理装置は、このログ用メモリ108に格納されたパケット
を確認することにより、下位ネットワーク70内で「想定外の通信」が発生したことを確
認できる。なお、ログ用メモリ108は、パケット情報用メモリ106内に設けても良い
The log memory 108 is composed of, for example, a non-volatile semiconductor memory, HDD, or the like, and it is determined that “unexpected communication is detected” output from the packet information memory 106 by the write control of the memory management unit 104. Stores packet data objects. An information processing apparatus such as a user or a computer can confirm that “unexpected communication” has occurred in the lower network 70 by confirming the packet stored in the log memory 108. The log memory 108 may be provided in the packet information memory 106.

メモリ管理部104は、パケット情報用メモリ106およびログ用メモリ108を管理
するための装置であり、パケット情報用メモリ106のメモリ106a〜106gをポイ
ンタを用いたリングバッファによりメモリ管理する(図7参照)。例えば、メモリ管理部
104は、N秒間隔で、パケット情報を書き込むメモリおよびパケット情報を削除(読み
出す)するメモリを移動し、パケット情報用メモリ106のうち一番古いメモリが削除さ
れる時間がきたとき、このメモリ内の判定結果を確認し、「非対応」なっているパケット
を「想定外の通信が検出された」という判定にしてログ用メモリ108に出力する。 The memory management unit 104 is a device for managing the packet information memory 106 and the log memory 108, and manages the memories 106a to 106g of the packet information memory 106 by a ring buffer using a pointer (see FIG. 7). ). For example, the memory management unit 104 moves the memory for writing packet information and the memory for deleting (reading) packet information at intervals of N seconds, and the time for deleting the oldest memory among the packet information memory 106 has come. At this time, the determination result in the memory is confirmed, and the packet which is “non-compliant” is determined to be “unexpected communication has been detected” and is output to the log memory 108.

[パケットキャプチャ部の動作例]
次に、パケットキャプチャ部100の動作の一例について説明する。図5は、パケット
キャプチャ部100が入力パケットのタイプを分類するときの動作の一例を示すフローチ
ャートである。下記表2は、図5で使用している記号とその意味の対応関係を示している
[Operation example of packet capture unit]
Next, an example of the operation of the packet capture unit 100 will be described. FIG. 5 is a flowchart illustrating an example of an operation when the packet capture unit 100 classifies the type of the input packet. Table 2 below shows the correspondence between the symbols used in FIG. 5 and their meanings.

Figure 2012169731
Figure 2012169731

図5に示すように、ステップS100でパケットキャプチャ部100は、スイッチ30
を介して入力されたパケットPのヘッダを検査し、入力パケットの送信元MACアドレス
がファイヤーウォール20のNIC20bのMACアドレスと一致しているか否かを判断
する。パケットキャプチャ部100は、入力パケットの送信元MACアドレスがファイヤ
ーウォール20のMACアドレスと一致していると判断した場合にはステップS110に
進み、一致していないと判断した場合にはステップS120に進む。 As shown in FIG. 5, in step S100, the packet capture unit 100 switches to the switch 30.
The header of the packet P input via the network is inspected, and it is determined whether or not the source MAC address of the input packet matches the MAC address of the NIC 20b of the firewall 20. The packet capture unit 100 proceeds to step S110 when determining that the source MAC address of the input packet matches the MAC address of the firewall 20, and proceeds to step S120 when determining that they do not match. .

ステップS110でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信元IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信元IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプT6に分類する。一方、入力パケットの送信元IPアド
レスがファイヤーウォール20のIPアドレスと一致していないと判断した場合には、入
力パケットをタイプT2に分類する。 In step S110, the packet capture unit 100 inspects the header of the input packet,
It is determined whether or not the source IP address of the input packet matches the IP address of the NIC 20b of the firewall 20. If the packet capture unit 100 determines that the source IP address of the input packet matches the IP address of the firewall 20, the packet capture unit 100 classifies the input packet as type T6. On the other hand, if it is determined that the source IP address of the input packet does not match the IP address of the firewall 20, the input packet is classified into type T2.

送信元MACアドレスとファイヤーウォール20のMACアドレスが不一致であると判
断した場合、パケットキャプチャ部100は、ステップS120で送信先MACアドレス
がファイヤーウォール20のMACアドレスと一致しているか否かを判断する。パケット
キャプチャ部100は、送信先MACアドレスがファイヤーウォール20のMACアドレ
スと一致していると判断した場合にはステップS130に進み、送信先MACアドレスが
ファイヤーウォール20のMACアドレスと一致していないと判断した場合には入力パケ
ットをタイプT3に分類する。 If it is determined that the source MAC address and the MAC address of the firewall 20 do not match, the packet capture unit 100 determines whether or not the destination MAC address matches the MAC address of the firewall 20 in step S120. . If the packet capture unit 100 determines that the destination MAC address matches the MAC address of the firewall 20, the packet capture unit 100 proceeds to step S130, and if the destination MAC address does not match the MAC address of the firewall 20. If it is determined, the input packet is classified into type T3.

ステップS130でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信先IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信先IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプ5に分類する。一方、入力パケットの送信先IPアドレ
スがファイヤーウォール20のIPアドレスと一致していない判断した場合には、入力パ
ケットをタイプT1またはT4に分類する。 In step S130, the packet capture unit 100 inspects the header of the input packet,
It is determined whether the destination IP address of the input packet matches the IP address of the NIC 20b of the firewall 20. When the packet capture unit 100 determines that the transmission destination IP address of the input packet matches the IP address of the firewall 20, the packet capture unit 100 classifies the input packet as type 5. On the other hand, if it is determined that the destination IP address of the input packet does not match the IP address of the firewall 20, the input packet is classified into type T1 or T4.

このように、ファイヤーウォール20のIPアドレス、MACアドレスとファイヤーウ
ォール20のIPアドレス、MACアドレスとによりパケットのヘッダを検査して行くと
、パケットのタイプT2,T3,T5,T6は容易に分離できる。また、パケットのタイ
プT1,T4については混在した結果が得られる。そのため、以下のパケット検査部10
2では、パケットのタイプT1,T4が混在した結果から、タイプT1に対応するタイプ
T2が存在しないものを探すことで、「想定外の通信」を特定する。パケットのタイプT
4については、ファイヤーウォール20で遮断されるので、対応するパケットが存在しな
いことは明らかであるからである。したがって、本例では、混在した結果から「想定外の
通信」を抜き出すため、6分類したパケットのタイプのうち例えばタイプT1,T2,T
4に分類されたパケットP1、P2,P4をパケット検査部102に出力する。 As described above, when the packet header is inspected based on the IP address and MAC address of the firewall 20 and the IP address and MAC address of the firewall 20, the packet types T2, T3, T5, and T6 can be easily separated. . Further, mixed results are obtained for the packet types T1 and T4. Therefore, the following packet inspection unit 10
2, “unexpected communication” is specified by searching for a packet in which the type T2 corresponding to the type T1 does not exist from the result of mixing the packet types T1 and T4. Packet type T
4 is blocked by the firewall 20, so it is clear that there is no corresponding packet. Therefore, in this example, in order to extract “unexpected communication” from the mixed result, for example, among the six classified packet types, for example, types T1, T2, T
The packets P1, P2, and P4 classified into 4 are output to the packet inspection unit 102.

[パケット検査部の動作例]
次に、パケット検査部102の動作の一例について説明する。図6は、パケットキャプ
チャ部100から入力されるパケットのうち、「想定外の通信」のパケットを検出する際
のパケット検査部102の動作の一例を示すフローチャートである。 [Operation example of packet inspection unit]
Next, an example of the operation of the packet inspection unit 102 will be described. FIG. 6 is a flowchart illustrating an example of the operation of the packet inspection unit 102 when detecting a packet of “unexpected communication” among the packets input from the packet capture unit 100.

図6に示すように、ステップS200でパケット検査部102は、パケットキャプチャ
装置から入力されたパケットから、パケットデータのオブジェクトを作成する。例えば、
パケット検査部102は、パケットキャプチャ部100から「想定外の通信」の候補とな
るパケットP1,P2,P4が入力されると、これらのパケットP1,P2,P4のオブ
ジェクトを作成する。 As shown in FIG. 6, in step S200, the packet inspection unit 102 creates an object of packet data from the packet input from the packet capture device. For example,
When packets P1, P2, and P4 that are candidates for “unexpected communication” are input from the packet capture unit 100, the packet inspection unit 102 creates objects for these packets P1, P2, and P4.

ステップS210でパケット検査部102は、入力されたパケットのオブジェクトに関
連した対応判定用オプジェクトを、パケット情報用メモリ106のメモリ106a〜10
6gの中から検索する。ここで、入力パケットのオブジェクトの内容と対応判定用オブジ
ェクトの内容の一例を下記表3に示す。 In step S <b> 210, the packet inspection unit 102 displays correspondence determination objects related to the input packet object in the memories 106 a to 10 of the packet information memory 106.
Search from 6g. Here, an example of the content of the object of the input packet and the content of the correspondence determination object is shown in Table 3 below.

Figure 2012169731
Figure 2012169731

また、表3のパケットの向きについての詳細を下記表4に示す。表4は、ファイヤーウ
ォール20のNIC20bのMACアドレス使用したパケットの向きの判定方法を示して
いる。 Table 4 below shows details of the packet direction in Table 3. Table 4 shows a packet direction determination method using the MAC address of the NIC 20b of the firewall 20.

Figure 2012169731
Figure 2012169731

パケット検査部102は、入力されたパケットのオブジェクトに対して、下記表5に示
す条件Aまたは条件Bの関係を満たす対応判定用オブジェクトをパケット情報用メモリ1
06のメモリ106a〜106gの中から検索する。 The packet inspection unit 102 assigns a correspondence determination object satisfying the relationship of the condition A or the condition B shown in Table 5 below to the packet information memory 1 for the input packet object.
The memory 106a to 106g of 06 is searched.

Figure 2012169731
Figure 2012169731

条件Aとは、表5に示すように、2つのパケットが同じセッションで同じ向きの関係に
ある場合であり、例えば、下位ネットワーク70から上位ネットワーク60に送信される
パケットが何らかの障害により中断した場合に、同一パケットが再送信されるようなパケ
ットを含んでいる。条件Bとは、表5に示すように、2つのパケットが同じセッションで
対応関係にある(反対向きにある)場合であり、例えば、下位ネットワーク70から上位
ネットワーク60に送信されるパケットに応答して、上位ネットワーク60から下位ネッ
トワーク70に向かう返信パケットである。 The condition A is a case where two packets are in the same direction in the same session as shown in Table 5, for example, when a packet transmitted from the lower network 70 to the upper network 60 is interrupted due to some failure Includes packets in which the same packet is retransmitted. Condition B is a case where two packets are in a correspondence relationship (in opposite directions) in the same session, as shown in Table 5, for example, in response to a packet transmitted from the lower network 70 to the upper network 60. Thus, the reply packet is directed from the upper network 60 to the lower network 70.

ステップS220でパケット検査部102は、検索結果に基づいて、入力されたパケッ
トのオブジェクトに関連する対応判定用オブジェクトが、パケット情報用メモリ106の
メモリ106a〜106gの中に存在するか否かを判断する。本例では、例えば、タイプ
1のパケットP1、タイプ4のパケットP4が表5の条件A、条件Bの条件を満たすもの
とする。パケット検査部102は、入力パケットのオブジェクトに関連する対応判定用オ
ブジェクトがパケット情報用メモリ106に存在すると判断した場合にはステップS23
0に進み、入力パケットのオブジェクトに関連する対応判定用オブジェクトがパケット情
報用メモリ106に存在しないと判断した場合にはステップS280に進む。 In step S <b> 220, the packet inspection unit 102 determines whether or not the correspondence determination object related to the input packet object exists in the memories 106 a to 106 g of the packet information memory 106 based on the search result. To do. In this example, for example, the type 1 packet P1 and the type 4 packet P4 satisfy the conditions A and B in Table 5. If the packet inspection unit 102 determines that the correspondence determination object related to the object of the input packet exists in the packet information memory 106, the packet inspection unit 102 performs step S23.
If it is determined that the correspondence determination object related to the object of the input packet does not exist in the packet information memory 106, the process proceeds to step S280.

関連する対応判定用オブジェクトが存在しない場合、ステップS280でパケット検査
部102は、対応判定用のオブジェクトを作成する。例えば、パケット検査部102は、
パケットキャプチャ部100から入力されるパケットP1,P2,P4の対応判定用オブ
ジェクトを作成する。この対応判定用オブジェクトは、表3に示したパラメータを有して
いる。対応判定用のオブジェクトを作成したらステップS290に進む。 If there is no related correspondence determination object, the packet inspection unit 102 creates a correspondence determination object in step S280. For example, the packet inspection unit 102
A correspondence determination object for the packets P1, P2, and P4 input from the packet capture unit 100 is created. This correspondence determination object has the parameters shown in Table 3. When the correspondence determination object is created, the process proceeds to step S290.

ステップS290でパケット検査部102は、作成した対応判定用のオブジェクトを、
パケット情報用メモリ106のメモリ106a〜106gのうちリングバッファで管理さ
れる最新のメモリに書き込む。対応判定用オブジェクトをパケット情報用メモリ106に
書き込んだらステップS270に進む。 In step S290, the packet inspection unit 102 creates the created correspondence determination object.
Of the memories 106 a to 106 g of the packet information memory 106, the latest information managed by the ring buffer is written. When the correspondence determination object is written in the packet information memory 106, the process proceeds to step S270.

一方、関連する対応判定用オブジェクトが存在する場合、ステップS230でパケット
検査部102は、入力パケットのオブジェクトに関連する対応判定用オブジェクトをパケ
ット情報用メモリ106のメモリ106a〜106gのうち最新のメモリに移動する。こ
れは、パケット情報用メモリ106がリングバッファにより管理されるため、古いメモリ
から所定時間おきにデータが削除されてしまうからである。対応判定用オブジェクトの移
動が完了したらステップS240に進む。 On the other hand, if there is a related correspondence determination object, the packet inspection unit 102 stores the correspondence determination object related to the input packet object in the latest memory among the memories 106a to 106g of the packet information memory 106 in step S230. Moving. This is because the packet information memory 106 is managed by the ring buffer, so that data is deleted from the old memory every predetermined time. When the movement of the correspondence determination object is completed, the process proceeds to step S240.

ステップS240でパケット検査部102は、入力されたパケットのオブジェクトと、
対応判定用オブジェクトとの対応関係が成立するか否かを検査する。パケット検査部10
2は、入力されたパケットと対応判定用オブジェクトに関して、表5中の条件Bが成立す
るか否かを検査する。すなわち、入力されたパケットのオブジェクトがタイプT1のパケ
ットP1であって、かつ、対応判定用オブジェクトがタイプT2のパケットP2であるか
否かを検査する。検査が終了したらステップS250に進む。 In step S240, the packet inspection unit 102 receives the input packet object,
It is checked whether or not a correspondence relationship with the correspondence determination object is established. Packet inspection unit 10
2 checks whether the condition B in Table 5 is satisfied for the input packet and the correspondence determination object. That is, it is checked whether or not the input packet object is a type T1 packet P1 and the correspondence determination object is a type T2 packet P2. When the inspection is completed, the process proceeds to step S250.

ステップS250でパケット検査部102は、検査結果に基づいて、入力されたパケッ
トのオブジェクトと対応判定用オブジェクトとの対応関係が成立するか否かを判断する。
パケット検査部102は、入力されたパケットのオブジェクトに対応する対応判定用オブ
ジェクトが存在する、つまり、表5の条件Bを満たしていると判断した場合にはステップ
S260に進む。例えば、入力されたパケットP1でこれに対応するパケットP2が存在
した場合である。一方、入力されたパケットのオブジェクトに対応する対応判定用オブジ
ェクトが存在しない、つまり、表5の条件Bを満たしていないと判断した場合にはステッ
プS270に進む。 In step S250, the packet inspection unit 102 determines whether or not a correspondence relationship between the input packet object and the correspondence determination object is established based on the inspection result.
If the packet inspection unit 102 determines that there is a correspondence determination object corresponding to the object of the input packet, that is, satisfies the condition B in Table 5, the process proceeds to step S260. For example, there is a packet P2 corresponding to the input packet P1. On the other hand, if it is determined that there is no correspondence determination object corresponding to the input packet object, that is, the condition B in Table 5 is not satisfied, the process proceeds to step S270.

対応関係が成立すると判断した場合、ステップS260でパケット検査部102は、入
力されたパケットのオブジェクトの「判定結果」の項目内容を更新する。具体的には、こ
の場合のパケットは「想定外の通信」ではないので、判定結果の項目内容を初期値の「非
対応」から「対応」に書き換えて更新する。同様に、入力されたパケットと表3に示す同
じパラメータを有するパケット情報用メモリ106の全てのパケットについても、判定結
果を更新する。判定結果の項目内容を更新したらステップS270に進む。 When it is determined that the correspondence relationship is established, the packet inspection unit 102 updates the item content of the “determination result” of the input packet object in step S260. Specifically, since the packet in this case is not “unexpected communication”, the item content of the determination result is rewritten from the initial value “non-corresponding” to “corresponding” and updated. Similarly, the determination result is updated for all packets in the packet information memory 106 having the same parameters as those shown in Table 3 and the input packet. When the item content of the determination result is updated, the process proceeds to step S270.

最後に、ステップS270でパケット検査部102は、オンジェクトの存在や対応関係
の成立が判断された入力パケットを、パケット情報用メモリ106のメモリ106a〜1
06gの最新のメモリに書き込む。例えば、対応関係が成立した入力パケットP1のオブ
ジェクトについては判定結果が「対応」とされたオブジェクトが保存され、対応関係が成
立していない入力パケットP1,P4のオブジェクトについては判定結果が初期値の「非
対応」のままのオブジェクトが保存される。このような一連の動作により、タイプ1とタ
イプ4とが混在した状態から、タイプ1に対応するタイプ2が存在するものを検出するこ
とができ、その結果、「想定外の通信」のパケットを抽出することができる。 Finally, in step S270, the packet inspection unit 102 uses the input packets for which the existence of the onject and the establishment of the correspondence are determined as the memories 106a-1 of the packet information memory 106.
Write to 06g latest memory. For example, an object whose determination result is “corresponding” is stored for the object of the input packet P1 for which the correspondence relationship is established, and the determination result is an initial value for the objects of the input packets P1 and P4 for which the correspondence relationship is not satisfied. Objects that remain “not supported” are saved. Through such a series of operations, it is possible to detect the type 2 corresponding to the type 1 from the state where the type 1 and the type 4 coexist. As a result, the packet of “unexpected communication” is detected. Can be extracted.

[メモリ管理部の動作例]
次に、パケット情報用メモリ106を管理する場合のメモリ管理部104の動作の一例
について説明する。図7および図8は、パケット情報用メモリ106のリングバッファの
動作を説明するための図を示している。なお、本例では、メモリ106cに書き込みポイ
ンタを設定すると共にメモリ106bに読み込みポインタを設定している。したがって、
メモリ106cに書き込まれるデータが最も新しいパケットデータであり、メモリ106
bに書き込まれるデータが最も古いパケットデータとなる。 [Operation example of memory management unit]
Next, an example of the operation of the memory management unit 104 when managing the packet information memory 106 will be described. 7 and 8 are diagrams for explaining the operation of the ring buffer of the packet information memory 106. FIG. In this example, a write pointer is set in the memory 106c and a read pointer is set in the memory 106b. Therefore,
The data written to the memory 106c is the newest packet data, and the memory 106
The data written to b is the oldest packet data.

メモリ管理部104は、書き込みポインタが設定されているメモリ106cに、パケッ
トデータオブジェクトおよび対応判定用オブジェクトを、N(正の整数)秒間書き込む。
例えば、メモリ管理部104は、パケット検査部102からパケットデータが供給された
場合に、メモリ106cにパケットデータを書き込む。そして、N秒間が経過したら、図
7に示す反時計回り方向に隣接したメモリ106bに書き込みポインタを移動し、N秒間
、パケットデータのオブジェクトおよび対応判定用オブジェクトをメモリ106b(図8
の点線部)に書き込む。このような書き込み処理をN秒間隔で行う。 The memory management unit 104 writes the packet data object and the correspondence determination object for N (positive integer) seconds in the memory 106c in which the write pointer is set.
For example, when the packet data is supplied from the packet inspection unit 102, the memory management unit 104 writes the packet data in the memory 106c. When N seconds elapse, the write pointer is moved to the memory 106b adjacent in the counterclockwise direction shown in FIG. 7, and the object of packet data and the object for correspondence determination are stored in the memory 106b (FIG. 8).
(Dotted line). Such a writing process is performed at intervals of N seconds.

一方、メモリ管理部104は、読み込みポインタが設定されたメモリ106bに保存さ
れているパケットデータのオブジェクトに関して、「判定結果」を確認する。そして、メ
モリ管理部104は、判定結果が「非対応」となっているパケットデータのオブジェクト
を読み出し、この読み出したパケットデータのオブジェクトについては「想定外の通信が
検出された」という判定にしてログ用メモリ108に記録する。N秒間が経過したら、メ
モリ106cの保存期間が経過したと判断してメモリ106b内のデータを削除すると共
に、図7に示す反時計回りに隣接したメモリ106aに読み込みポインタが移動してこの
メモリ106a内の入力オブジェクト内の判定結果を確認する。このような処理を上記書
き込みポインタの処理と同期してN秒毎に行う。 On the other hand, the memory management unit 104 confirms the “determination result” regarding the object of the packet data stored in the memory 106b in which the read pointer is set. Then, the memory management unit 104 reads the object of the packet data whose determination result is “non-compliant”, and logs the object of the read packet data with the determination that “unexpected communication was detected”. Recorded in the memory 108. When N seconds elapse, it is determined that the storage period of the memory 106c has elapsed, and the data in the memory 106b is deleted, and the reading pointer moves to the memory 106a adjacent in the counterclockwise direction shown in FIG. Confirm the judgment result in the input object. Such a process is performed every N seconds in synchronization with the write pointer process.

以上説明したように、本実施の形態によれば、下位ネットワーク70をパケットキャプ
チャ部100によりキャプチャするだけで、「想定外の通信」に該当するか否かの対応関
係を自動的に分析できるようになる。これにより、従来のように、ファイヤーウォール2
0のログを分析する作業を省略できるので、作業の効率化を図ることができる。また、既
設のファイヤーウォールを改良する必要も無いので、ファイヤーウォール20の性能に影
響を与えることなく、不正パケットを抽出することができる。さらに、不正パケット抽出
装置10が自動的に不正パケットを判定するので、高い技能が不要であると共に、低コス
トで不正パケットの監視を行うことができる。 As described above, according to the present embodiment, it is possible to automatically analyze the correspondence relationship of whether or not it corresponds to “unexpected communication” simply by capturing the lower network 70 by the packet capture unit 100. become. As a result, the conventional firewall 2
Since the work of analyzing the zero log can be omitted, the work efficiency can be improved. Further, since it is not necessary to improve the existing firewall, it is possible to extract illegal packets without affecting the performance of the firewall 20. Furthermore, since the illegal packet extraction device 10 automatically determines an illegal packet, it is not necessary to have high skill and it is possible to monitor the illegal packet at a low cost.

[応用例]
上記実施の形態では、ファイヤーウォールの設定やログに頼らずに、組織内から上位ネ
ットワークへの想定されない通信を抽出する方法について説明したが、応用例として、イ
ンターネット観測用のセンサが考えられる。インターネットに接続された端末ノードで、
インターネットからのスキャンを観測したようとする場合、観測専用の回線を確保して、
スキャンの様子を観測するのが一般的である。実利用されている実ネットワークを使って
観測する場合は、ファイヤーウォールのドロップログをとり、インターネットからのパケ
ットでドロップされたものを集める方法がある。 [Application example]
In the above-described embodiment, the method of extracting unexpected communication from the organization to the upper network without depending on the firewall setting or log has been described. However, as an application example, a sensor for Internet observation can be considered. A terminal node connected to the Internet.
If you want to observe scanning from the Internet, secure a dedicated line for observation,
It is common to observe the scan. When observing using a real network that is actually used, there is a method of collecting the dropped logs of packets from the Internet by taking a firewall drop log.

しかし、ファイヤーウォールのドロップログを収集するには、ファイヤーウォールの性
能に与える影響に関する説明、ログ収集の仕組みの構築、ログの内容を解釈する仕組みの
構築等を実行する必要がある。また、組織の壁や予算等の問題も大きい。そこで、本発明
の不正パケット抽出装置10を適用することで、インターネットからの不正アクセスの抽
出を効率的に行うことができる。 However, in order to collect the drop log of the firewall, it is necessary to execute explanation on the influence on the performance of the firewall, construction of a log collection mechanism, construction of a mechanism for interpreting log contents, and the like. There are also major problems such as organizational barriers and budgets. Therefore, by applying the illegal packet extraction device 10 of the present invention, it is possible to efficiently extract illegal access from the Internet.

図9は、実ネットワークを使用したインターネットの観測に本発明の不正パケット抽出
装置10を適用したネットワークシステムの図である。不正パケット抽出装置10は、イ
ンターネット公開用ネットワーク300でインターネット400からのトラフィック(パ
ケット)を観測する。このとき、一般ユーザ402がアドレスDの公開されているFTP
サーバ302にアクセスするために行っている正しい通信と、攻撃者404がサーバの存
在しない、例えばアドレスAのPC308やアドレスBのPC306をスキャンしている
ものとを分離する必要がある。本発明の不正パケット抽出装置10の技術を使うことで、
一般ユーザ402からのトラフィックは対応のあるパケットに分類できるので、正常な通
信と判定できる。一方、攻撃者404からのトラフィックは、対応のないものに分類でき
るので、想定外の通信(不正パケット)であると判断できる。 FIG. 9 is a diagram of a network system in which the illegal packet extraction apparatus 10 of the present invention is applied to the Internet observation using a real network. The illegal packet extraction apparatus 10 observes traffic (packets) from the Internet 400 in the Internet public network 300. At this time, the general user 402 has the FTP with the public address D
It is necessary to separate the correct communication that is performed to access the server 302 from the one where the attacker 404 is scanning the PC 308 at the address A or the PC 306 at the address B where the server does not exist. By using the technology of the illegal packet extraction device 10 of the present invention,
Since traffic from the general user 402 can be classified into a corresponding packet, it can be determined that the communication is normal. On the other hand, the traffic from the attacker 404 can be classified as unsupported, so it can be determined that the communication is an unexpected communication (illegal packet).

なお、本発明の技術範囲は、上述した実施形態に限定されるものではなく、本発明の趣
旨を逸脱しない範囲において、上述した実施形態に種々の変更を加えたものを含む。 It should be noted that the technical scope of the present invention is not limited to the above-described embodiments, and includes those in which various modifications are made to the above-described embodiments without departing from the spirit of the present invention.

10 不正パケット抽出装置
20 ファイヤーウォール
60 上位ネットワーク
70 下位ネットワーク
100 パケットキャプチャ部
102 パケット検査部
104 メモリ管理部
106 パケット情報用メモリ DESCRIPTION OF SYMBOLS 10 Illegal packet extraction device 20 Firewall 60 Upper network 70 Lower network 100 Packet capture unit 102 Packet inspection unit 104 Memory management unit 106 Packet information memory

Claims (5)

第1のネットワークで発生した不正パケットを抽出する不正パケット抽出装置において

前記第1のネットワークで通信されるパケットを取得し、取得した前記パケットを少な
くとも前記第1のネットワークから第2のネットワークに向かうパケットのタイプを含む
複数のタイプに分類するパケットキャプチャ部と、
該パケットキャプチャ部により分類された前記パケットのうち前記第1のネットワーク
から前記第2のネットワークに向かう前記パケットが存在する場合に、該パケットに対応
した応答パケットが存在するか否かを検査して判定を行うパケット検査部と、
該パケット検査部により判定された前記パケットと、該パケットの前記応答パケットが
存在するか否かの判定結果を示す判定情報とを対応付けて記憶する記憶部と、
該記憶部に記憶されている前記パケットの前記判定情報に基づいて該パケットが不正パ
ケットであるか否かを判定して出力するメモリ管理部と
を備えることを特徴とする不正パケット抽出装置。 In the illegal packet extracting device for extracting illegal packets generated in the first network,
A packet capture unit that obtains packets communicated in the first network, and classifies the obtained packets into a plurality of types including at least a type of packets directed from the first network to the second network;
When there is the packet from the first network to the second network among the packets classified by the packet capture unit, it is checked whether a response packet corresponding to the packet exists. A packet inspection unit for making a determination;
A storage unit that associates and stores the packet determined by the packet inspection unit and determination information indicating a determination result of whether or not the response packet of the packet exists;
An illegal packet extraction apparatus comprising: a memory management unit that determines and outputs whether or not the packet is an illegal packet based on the determination information of the packet stored in the storage unit. 前記記憶部は、前記パケットキャプチャ部により分類された前記パケットを、前記応答
パケットが存在するか否かを検査する際に用いる対応判定用パケットとして記憶し、
前記パケット検査部は、前記第1のネットワークから前記第2のネットワークに向かう
前記パケットに対応する前記応答パケットが存在するか否かを、前記記憶部に記憶されて
いる前記対応判定用パケットを検索することにより検査する
ことを特徴とする請求項1に記載の不正パケット抽出装置。 The storage unit stores the packets classified by the packet capture unit as correspondence determination packets used when checking whether or not the response packet exists,
The packet inspection unit searches the correspondence determination packet stored in the storage unit to determine whether or not the response packet corresponding to the packet going from the first network to the second network exists. The illegal packet extraction apparatus according to claim 1, wherein the inspection is performed by performing the inspection. 前記パケット検査部は、前記応答パケットが存在しない場合には前記第1のネットワー
クから前記第2のネットワークに向かう前記パケットの前記判定情報を非対応として前記
記憶部に記憶し、前記対応パケットが存在する場合には前記第1のネットワークから前記
第2のネットワークに向かう前記パケットの前記判定情報を対応として前記記憶部に記憶
し、
前記メモリ管理部は、前記記憶部に記憶されている前記パケットの前記判定情報が非対
応である場合には該パケットを不正パケットであると判定する
ことを特徴とする請求項1または請求項2に記載の不正パケット抽出装置。 When the response packet does not exist, the packet inspection unit stores the determination information of the packet from the first network to the second network as non-corresponding, and the corresponding packet exists. If so, the determination information of the packet going from the first network to the second network is stored in the storage unit as a correspondence,
The memory management unit determines that the packet is an illegal packet when the determination information of the packet stored in the storage unit is not compatible. The illegal packet extraction device described in 1. 前記不正パケットは、前記第1のネットワークから前記第2のネットワークに通信され
るパケットと、前記第1のネットワークと前記第2のネットワークとの境界部に設けられ
たファイヤーウォールで遮断されるパケットである
ことを特徴とする請求項3に記載の不正パケット抽出装置。 The illegal packet is a packet communicated from the first network to the second network, and a packet blocked by a firewall provided at a boundary between the first network and the second network. The unauthorized packet extracting apparatus according to claim 3, wherein 前記記憶部は、複数のメモリを有し、
前記メモリ管理部は、前記複数のメモリをリングバッファにより管理し、前記複数のメ
モリで一番古いメモリに格納されている前記パケットの前記判定情報を確認して記パケッ
トを不正パケットであるか否かを判定する
ことを特徴とする請求項1から請求項4の何れか一項に記載の不正パケット抽出装置。 The storage unit has a plurality of memories,
The memory management unit manages the plurality of memories by a ring buffer, confirms the determination information of the packet stored in the oldest memory among the plurality of memories, and determines whether the packet is an illegal packet. The fraudulent packet extraction device according to any one of claims 1 to 4, wherein the packet is extracted.
JP2011026987A 2011-02-10 2011-02-10 Illegal packet extractor Active JP5659839B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011026987A JP5659839B2 (en) 2011-02-10 2011-02-10 Illegal packet extractor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011026987A JP5659839B2 (en) 2011-02-10 2011-02-10 Illegal packet extractor

Publications (2)

Publication Number Publication Date
JP2012169731A true JP2012169731A (en) 2012-09-06
JP5659839B2 JP5659839B2 (en) 2015-01-28

Family

ID=46973481

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011026987A Active JP5659839B2 (en) 2011-02-10 2011-02-10 Illegal packet extractor

Country Status (1)

Country Link
JP (1) JP5659839B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016194123A1 (en) * 2015-06-02 2016-12-08 三菱電機ビルテクノサービス株式会社 Relay device, network monitoring system, and program
JP2018510576A (en) * 2015-03-30 2018-04-12 アマゾン・テクノロジーズ、インコーポレイテッド Network flow log for multi-tenant environments
CN114039708A (en) * 2021-11-17 2022-02-11 西门子(中国)有限公司 Communication method, device and computer readable medium for crane remote control

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
JP2004164107A (en) * 2002-11-11 2004-06-10 Kddi Corp Unauthorized access monitoring system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
JP2004164107A (en) * 2002-11-11 2004-06-10 Kddi Corp Unauthorized access monitoring system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200800480025; 鎌田 暢広、寺田 真敏、土居 範久: '通信の双方向性を利用したDDoS攻撃遮断システムの提案' 情報処理学会研究報告 Vol.2008 No.21 , 20080306, p.165-170, 社団法人情報処理学会 *
JPN6014032725; 鎌田 暢広、寺田 真敏、土居 範久: '通信の双方向性を利用したDDoS攻撃遮断システムの提案' 情報処理学会研究報告 Vol.2008 No.21 , 20080306, p.165-170, 社団法人情報処理学会 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018510576A (en) * 2015-03-30 2018-04-12 アマゾン・テクノロジーズ、インコーポレイテッド Network flow log for multi-tenant environments
US10469536B2 (en) 2015-03-30 2019-11-05 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
JP2020039137A (en) * 2015-03-30 2020-03-12 アマゾン・テクノロジーズ、インコーポレイテッド Network flow log for multi-tenant environment
US11659004B2 (en) 2015-03-30 2023-05-23 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
WO2016194123A1 (en) * 2015-06-02 2016-12-08 三菱電機ビルテクノサービス株式会社 Relay device, network monitoring system, and program
JPWO2016194123A1 (en) * 2015-06-02 2017-07-20 三菱電機ビルテクノサービス株式会社 Relay device, network monitoring system, and program
US10826915B2 (en) 2015-06-02 2020-11-03 Mitsubishi Electric Corporation Relay apparatus, network monitoring system, and program
CN114039708A (en) * 2021-11-17 2022-02-11 西门子(中国)有限公司 Communication method, device and computer readable medium for crane remote control

Also Published As

Publication number Publication date
JP5659839B2 (en) 2015-01-28

Similar Documents

Publication Publication Date Title
JP5557623B2 (en) Infection inspection system, infection inspection method, recording medium, and program
JP5440973B2 (en) Computer inspection system and computer inspection method
US10164839B2 (en) Log analysis system
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
US10104108B2 (en) Log analysis system
US20060083180A1 (en) Packet analysis system
CN106133742B (en) Determining device determines method and determines program
JP2012015684A (en) Internal network management system and internal network management method and program
US7684339B2 (en) Communication control system
JP2009282983A (en) System for checking vulnerable point of server and its method
US10091225B2 (en) Network monitoring method and network monitoring device
JP5659839B2 (en) Illegal packet extractor
JP2014123996A (en) Network monitoring apparatus and program
CN111859374A (en) Method, device and system for detecting social engineering attack event
CN111131180B (en) Distributed deployed HTTP POST (hyper text transport protocol) interception method in large-scale cloud environment
CN104504338A (en) Method and device for identifying, acquiring and collecting virus propagation routes
JP2010250607A (en) System, method and program for analysis of unauthorized access
JP2009302625A (en) Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method
KR100772177B1 (en) Method and apparatus for generating intrusion detection event to test security function
JP2010239392A (en) System, device and program for controlling service disabling attack
JP2019186686A (en) Network monitoring device, network monitoring program, and network monitoring method
JP7111249B2 (en) Analysis system, method and program
JP4235907B2 (en) Worm propagation monitoring system
JP4887081B2 (en) Communication monitoring device, communication monitoring method and program
KR100632204B1 (en) Attack detection device on network and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140723

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140805

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141117

R150 Certificate of patent or registration of utility model

Ref document number: 5659839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150