JP3448254B2 - アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 - Google Patents

アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体

Info

Publication number
JP3448254B2
JP3448254B2 JP2000025594A JP2000025594A JP3448254B2 JP 3448254 B2 JP3448254 B2 JP 3448254B2 JP 2000025594 A JP2000025594 A JP 2000025594A JP 2000025594 A JP2000025594 A JP 2000025594A JP 3448254 B2 JP3448254 B2 JP 3448254B2
Authority
JP
Japan
Prior art keywords
packet
connection
packet data
detection time
data size
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000025594A
Other languages
English (en)
Other versions
JP2001217834A (ja
Inventor
邦和 依田
博明 江藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2000025594A priority Critical patent/JP3448254B2/ja
Priority to US09/770,531 priority patent/US7127510B2/en
Publication of JP2001217834A publication Critical patent/JP2001217834A/ja
Application granted granted Critical
Publication of JP3448254B2 publication Critical patent/JP3448254B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、ネットワークに
おけるアクセス・チェーンの追跡技術に関するものであ
り、特に、パケットのデータ・サイズと検知時刻に基づ
き、アクセス・チェーンを追跡する技術に関するもので
ある。
【0002】
【従来の技術】インターネットの利用は時間・空間を越
えた情報アクセス手段の提供およびその匿名性などから
急速に広がった。ネットワーク犯罪もインターネットを
利用するので、アタッカーにも同様の利便性を与えてし
まった。このためアタッカー及びアタック・ターゲット
は広域化し、アタッカーを特定することや攻撃内容を把
握することが困難になってしまった。またアタック・ツ
ールがホームページを通して提供されることで攻撃手法
が一般に広まってしまい、不正アクセスが大量発生する
恐れがでてきた。
【0003】一方、不正アクセスから守るべきシステム
は日々変化している。例えばLinuxではパッケージのリ
リースアップが頻繁に行われ、弱点を塞ぐためのアップ
デート・モジュールが月に1、2個提供されている。そ
のうえ、上記のように、不正アクセスの手法は高度化し
相手を特定することが困難になってきている。この状況
では何らかの防御システムで不正アクセスを完全に防ぐ
ことは難しいと言わざるを得ない。上記の理由から、不
正アクセスの大量発生を抑止するシステム作りが急務で
ある。
【0004】ネットワークを利用した犯罪にはメール爆
弾、使用不能攻撃、侵入、誹謗中傷などがあるが、これ
らの犯罪ではアタッカーが身元を隠すために第三者のシ
ステムから攻撃する事が多い。この第三者のシステムの
ことを踏み台コンピューターと呼ぶ。
【0005】この不正侵入の方法について、図1を用い
て説明する。図1は、複数のホストコンピュータ12〜
15と、これらホストコンピュータが接続されているネ
ットワーク17を介して、アタッカー・コンピュータ1
1が、ターゲット・ホスト16に不正侵入する様子を、
概略的に示したものである。ネットワーク17上のパケ
ットは、ルータ18によって経路が選択される。アタッ
カー11は身元を隠すために一つ以上の踏み台コンピュ
ーター12〜15を経由して攻撃を仕掛ける。
【0006】アタッカー11は自由に利用できる踏み台
コンピューターを得るために、システム設定の不備やOS
のバグ等を利用して侵入を試みる。アタッカー11がタ
ーゲットとするコンピュータ16に攻撃する際は、いく
つかの踏み台コンピューター12〜15を経由し、最終
的にはターゲットのコンピュータ16に対して攻撃パケ
ットを送出する。このアタッカー11からターゲットコ
ンピュータに至るコンピュータ16の連鎖を不正アクセ
ス・チェーンと呼ぶ。不正アクセス・チェーンはtelnet
やrloginを使用することが一般的ではあるが、ポート番
号を変更したサービスを使用する場合もある。
【0007】現在のインターネット環境では、不正アク
セス・チェーンの追跡をすることは簡単な問題ではな
い。まず、パケットの送信元アドレスからは一つ前の踏
み台ホストのIPアドレスしかわからない。よってその踏
み台ホストより前のホストの送信元アドレスを調査した
くとも、その踏み台ホストは第三者により管理されてい
るため追跡の解析は許可されないことが一般的である。
したがって不正アクセスに関わるパケットを洗い出し
て、その送信元アドレスを順次たどって逆探知をするの
は困難である。
【0008】そこでシステム的に不正アクセス・チェー
ンを自動追跡する手法が研究されている。不正アクセス
追跡の手法は、追跡を行うためのコンポーネントをどこ
に設置するかによって、大きく分けて「ホストベース」
と「ネットワークベース」の2つに分類できる。ホスト
ベースの手法は、追跡をするためのコンポーネントを各
ホストに設置するのに対して、ネットワークベースの手
法は追跡をするためのコンポーネントをネットワークの
インフラ(例えばルータやスイッチなど)に設置する。
ホストベースベースの追跡の手法としては、以下のよう
なものが考えられている。
【0009】DIDS (Distributed Intrusion Detection
System) UC Davisで最初作られ、その後Trident Data Systems社
に引き継がれたこのシステムは、管理下のネットワーク
内で起こるすべてのTCPコネクションとログインを監視
する。それによって、ユーザのログインによる移動など
の行動や現状を常に把握する。管理下の各ホストにはそ
れぞれホストモニターが動いており、自分のところで起
こるネットワークアクセスの監査情報を収集して、中央
のDIDSディレクターへ送信し、そこで管理下のネットワ
ーク状況が集中管理される。この技術内容については、
"S. Snapp et al. DIDS (Distributed Intrusion Dete
ction System) - Motivation、 Architecture、 and An
Early Prototype In Proceedings of the 14th Nation
al Computer Security Conference、 1991"に詳細に説
明されている。
【0010】CIS (Caller Identification System) ログインの際に通信元を確認する手法である。N-1個の
ホストを辿ってN番目のホストにログインする際に、N-1
番目のホストにそれ以前のホストのリストを問い合わせ
る。また1からN-2番目のそれぞれのホストにそれ以前
のホストのリストを問い合わせる。問い合わせ結果に食
い違いがないことを確認してログインを許可する。この
手法は管理されたホスト間のアクセスを許可するための
もので、管理下にあるホストにはCISを導入することを
前提とする。この技術内容については、"H. T. Jung et
al. Caller Identification System in the Internet
Environment、 Proceedings of the 4th Usenix Secur
ity Symposium、 1993"に詳細に説明されている。
【0011】Tsutsuiの手法 この手法は米国特許5、220、655号公報に開示されてお
り、各ホストのファイルシステムにそのホストにアクセ
スしたユーザとプロセスの情報を保管しておき、追跡要
求があったときにそれらの情報を順次取得して辿ってい
くことでユーザのアクセス・チェーンを得るというもの
である。もし追跡要求が異なる管理ドメインに入る場合
はそのドメインの管理ホストが必要な情報を収集してか
ら要求元に返す。各ホストではトラッキングサービスプ
ロセスが動いていなければならない。
【0012】平田らの手法 特開平10-164064号公報に開示されたものであり、この
手法は各ホストが自分に関わるコネクションのプロセス
とポート番号をアクセスログ記録部に保管しておき、基
本制御プログラムがホスト間のアクセス情報を交換して
アクセス・チェーンを辿るというものである。基本制御
プログラムが経路追跡に必要な処理を行うので、アプリ
ケーションプロセスは追跡に関する制御を全く意識する
必要がない。
【0013】以上のようなホストベースの手法で問題な
のは、アクセス・チェーンの途中のあるホストがそのシ
ステムを導入していなかった場合、追跡はその地点まで
でそれ以上は完全に不可能となってしまう点である。イ
ンターネットではある特定のホストベースのシステムを
全ての管理ドメインのホストが採用するということは考
えにくい。また、管理下のホストであったとしてもその
ホストが侵入されて追跡に関わるプログラムが書き換え
られていることも考えられる。したがってインターネッ
ト環境でホストベースのシステムを高い信頼性で実行さ
せることは現実的ではないといえる。
【0014】この他に、アメリカ海軍により報告された
システムで、不正アクセスにより踏み台とされたホスト
を逆向きに辿ることで行為者を発見する手法である、Ca
llerIDがある。この追跡方法は不正アクセス行為者と同
様の方法で踏み台とされたホストを逆順に侵入していく
というものである。探索側は踏み台とされたホストに侵
入しなくてはならないが、すでに侵入された事実から同
様に侵入できると主張している。実際の追跡では侵入は
困難であったり、不正アクセス行為者によるセキュリテ
ィホールの修正などで侵入は不可能となる場合もある。
また第三者のコンピュータに侵入することはあらたな犯
罪とも考えられる
【0015】次に、ネットワークベースの手法を説明す
る。Staniford-Chenらの研究では通信データの内容のみ
に着目し、データの特徴量(通信文字種の分布)は個々の
セッション(侵入行為)ごとにユニークであり、この特
徴量はアクセス・チェーンのどのコネクションにおいて
もほとんど同じであるという仮定で不正アクセス・チェ
ーンを見つける。ネットワーク上のできるだけ多数の地
点(ルータなど)で、各セッションに対して一定時間間
隔毎に区切ってこの特徴量をそれぞれ計算して保管して
おく。もし侵入が発覚した場合、侵入に使われたセッシ
ョンの特徴量と近い特徴量を持つものをネットワーク上
の多数の地点で探すことでアクセス・チェーン上にあっ
たホストを発見する。この技術内容については、" Stua
rt Staniford-Chen and L. Todd Heberlein、 HoldingI
ntruders Accountable on the Internet、 Proceedings
of the 1995 IEEE Symposium on Security and Privac
y、 Oakland、 CA.、1995"に記載されている。
【0016】この手法の利点は通信データの特徴量を計
算するだけのログを保管すればよいので少ない容量と軽
い処理でログ保管できること、また逆探知をする上で順
番に辿る必要はないということである。しかしながら、
通信データの内容に依存するため、暗号処理や言語コー
ドの置換などによりデータ内容が変更された場合に、全
く対処できない。
【0017】尚、他の技術としては、特開平9-2114493
に開示されているように、ネットワーク内の計算機の監
査システムであって、計算機の監査結果に以上があった
場合に、ログ収集装置においてその計算機のトラヒック
・ログを収集する技術がある。
【0018】
【発明が解決しようとする課題】追跡手法のうちホスト
ベースのものはインターネットのような多用な管理権限
をもつネットワークでは利用しづらい。一方、ネットワ
ークベースのThumbprintingは有効性が高い方法ではあ
るが、暗号化通信が普及してきている現在、データ内容
を元に照合するこの手法をいくら発展させても、アクセ
ス・チェーンの発見手法としては将来性が低いといえ
る。
【0019】そこで、本発明の一つの目的は、ネットワ
ークで部分的にでも取り入れられていれば、その範囲内
で部分的にアクセス・チェーン上のホストを見つけるこ
とができる、アクセス・チェーンの追跡方法及びそのシ
ステムを提供することである。
【0020】本発明の他の目的は、パケットのデータ内
容に依存せずに、パケットのデータ内容が、途中の経路
で暗号化されたり言語コードが変換されたりする場合に
も対応することができる、アクセス・チェーンの追跡方
法及びそのシステムを提供することである。
【0021】本発明の他の目的は、見つかったアクセス
・チェーン上の複数のホストのうち、どれが最もアタッ
カーに近いものであるかが容易に分かる、アクセス・チ
ェーンの追跡方法及びそのシステムを提供することであ
る。
【0022】本発明の他の目的は、アクセス・チェーン
の追跡に必要なパケットのデータを記録するときに、必
要とする記憶容量が少なくてすむ、アクセス・チェーン
の追跡方法及びそのシステムを提供することである。
【0023】本発明の他の目的は、パケットのデータの
内容を記録することなく、通信におけるプライバシーの
保護をも図ることができる、アクセス・チェーンの追跡
方法及びそのシステムを提供することである。
【課題を解決するための手段】本発明の一つの態様は、
パケットのデータ内容に依存せずに、パケットのデータ
・サイズと処理時刻に基づき、アクセス・チェーンの追
跡を行う。
【0024】本発明の他の態様は、第1のコネクション
における時刻によるパケットのデータ・サイズの変化
と、第2のコネクションにおける時刻によるパケットの
データ・サイズの変化と、を比較し、この比較結果に基
づき、前記第1のコネクションと前記第2のコネクショ
ンとが、同一のチェーンに含まれるかを判定する、アク
セス・チェーンの追跡方法である。
【0025】本発明の他の態様は、第1のコネクション
におけるパケットのデータ・サイズと、パケットの検知
時刻とを含む第1のパケット・データを記録するステッ
プと、第2のコネクションにおけるパケットのデータ・
サイズと、パケットの検知時刻とを含む第2のパケット
・データを記録するステップと、記録した第1のパケッ
ト・データを送信するステップと、送信された第1のパ
ケット・データを受信するステップと、受信した第1の
パケット・データと第2のパケット・データに基づき、
第1のコネクションにおける時刻によるパケットのデー
タ・サイズの変化と、前記第2のコネクションにおける
時刻によるパケットのデータ・サイズの変化と、を比較
するステップと、比較ステップにおける比較結果に基づ
き、第1のコネクションと第2のコネクションとが、同
一のチェーンに含まれるかを判定するステップと、判定
ステップにおける判定結果を、送信するステップとを有
する、アクセス・チェーンの追跡方法である。
【0026】本発明の他の態様は、複数のコネクション
から構成されるアクセス・チェーンを介して、ネットワ
ーク上をパケットが通信されるシステムにおけるアクセ
ス・チェーンを追跡するためのシステムであって、第1
のコネクションにおける時刻によるパケットのデータ・
サイズの変化と、第2のコネクションにおける時刻によ
るパケットのデータ・サイズの変化と、を比較する比較
部と、比較部における比較結果に基づき、第1のコネク
ションと前記第2のコネクションとが、同一のチェーン
に含まれるかを判定する判定部とを有するシステムであ
る。
【0027】本発明の他の態様は、複数のコネクション
から構成されるアクセス・チェーンを介して、ネットワ
ーク上をパケットが通信されるシステムにおけるアクセ
ス・チェーンを追跡するためのシステムであって、パケ
ット・サイズと検知時刻の情報を含むパケット・データ
を記録する記録部と、記録したパケット・データを、判
定のために他のサイトに送信する送信部と、サイトから
の判定結果を受信する、受信部とを有する、システムで
ある。
【0028】本発明の他の態様は、パケットのデータ・
サイズと検知時刻とを含む第1のパケット・データを収
集し、前記第1のパケット・データを送信する、第1の
収集装置と、パケットのデータ・サイズと検知時刻とを
含む第2のパケット・データを収集する、第2の収集装
置と、受信した第1のパケット・データと第2のパケッ
ト・データに基づき、第1のコネクションにおける時刻
によるパケットのデータ・サイズの変化と、2のコネク
ションにおける時刻によるパケットのデータ・サイズの
変化と、を比較し、比較結果に基づき、第1のコネクシ
ョンと前記第2のコネクションとが、同一のチェーンに
含まれるかを判定する、計算システムと、を有するネッ
トワーク・システムである。
【0029】本発明の上記及びその他の態様は、以下の
発明の実施の形態及び図面の記載によって開示される。
【0030】
【発明の実施の形態】本実施形態は、TCP/IPネットワー
ク上の複数のホストに連鎖的にtelnetやrloginなどのロ
グインを繰り返して、リモート・ホストを操作している
侵入者がいるとき、この連鎖としてのアクセス・チェー
ンの途中において、ネットワーク上の複数の位置でそれ
ぞれ行き交うパケットのログを記録することで、その侵
入ルートを、パケットのヘッダ情報と検知時刻の情報に
基づいて判別する方法について説明する。
【0031】ネットワーク上の不正アクセス・チェーン
による侵入.図2は、本実施形態の、ネットワーク・シ
ステム全体を概略的に示す構成図である。図において、
21はバックボーン(又はバックボーン・ネットワー
ク)である。バックボーン21とは、ネットワーク の
基幹回線、または基幹ネットワークのことで、FDDI
やATMなど高速通信可能なネットワークをルータやス
イッチなどで繋いで構成される。22は、バックボーン
に接続されている各ネットワークであり、例えば、NS
P(ネットワーク・サービス・プロバイダ)がそれぞれ
独自にもつネットワークである。23はネットワーク上
に設置されている各ルータ、24は各ネットワークに設
置されているコンピュータ計算機である。25は、ネッ
トワークを通信されるパケットのログ情報を収集する、
ログボックスであり、ネットワークに接続されている。
【0032】図3は、図2に示したネットワークにおい
て、アタッカーAがネットワーク上の何台かのホストへ
次々と連鎖的にtelnetやrloginを繰り返し、これらの踏
み台ホストを経由して、最終的にはターゲットTを攻撃
している状況を概念的に示した図である。このホスト間
のコネクションの連鎖を不正アクセス・チェーンと呼
ぶ。図3において、31はアタッカー、32〜35は踏
み台ホスト、36はターゲット・コンピュータ、37〜
39はログ・ボックスである。40はルータであり、本
来は複数のルータを経由して侵入が行われるが、便宜的
に、一つのバックボーン・ルータのみを図示している。
バック・ボーンルータとは、バックボーン・ネットワー
クに接続されているルータである。踏み台ホストEと、
踏み台ホストDとの間を行き交うパケットは、途中でル
ータ40を経由して流れている。
【0033】アタッカー31は、ホストへ次々と連鎖的
にtelnetやrloginを繰り返して、不正侵入を行う。この
とき、アタッカー31は、キー入力によって対話的に踏
み台となるリモート・ホストを操作している。telnetや
rloginの通常の使用方法では,キー入力に対応するパケ
ットは,データが複数のパケットに分割して入ったり、
複数のパケットの中のデータが一つのパケットの中に統
合されたりしながらも、アタッカーAから踏み台ホスト
B35まで連鎖を経由して確実に流れる。コマンドの実
行結果など、リモートコンピュータで画面に表示される
内容に対応するパケットは、アクセス・チェーンを逆向
きに同様に流れる。
【0034】telnetやrloginの通常の使用方法では、パ
ケットの中のデータ部分は、分割や統合などがあっても
合計としては連鎖の途中で一般的に一定である。すなわ
ち、コマンドをキー入力したら、それが変化せずにその
まま踏み台の連鎖を伝わり、コマンドの実行結果は同じ
く変化せずにそのまま踏み台の連鎖を逆向きに伝わる。
向きとは、全てのパケットは連鎖の途中のどの位置にお
いてもアタッカーA31から踏み台B35への向きと、そ
れと逆向きの2種類に分けられるということである。
尚、データ部分のサイズの合計が一定とは、連鎖の途中
でパケット内のデータ部分に余分なデータが追加された
り、余計なパケットが新たに作りだされたりしないとい
うことを意味する。
【0035】パケット・データの記録装置の設置.次
に、パケット・データの記録装置としてのログ・ボック
スの設置方法について説明する。パケット・データの記
録は、インターネット上の可能な限り多くのしかも様々
な場所で行うことが望ましい。侵入者のアクセス・チェ
ーンの一部が、パケットデータを記録していたいづれか
の場所を通過していた場合に、その部分を検出できるた
め、データを記録している場所が多ければ多いほど、侵
入者が使ったアクセス・チェーンをより完全な形で発見
できる可能性が高まるからである。
【0036】パケットのログ・データを記録するインタ
ーネット上の場所には、バックボーン21が適してい
る。インターネットの様々なNSP(ネットワーク・サ
ービス・プロバイダ)が相互に接続されているポイント
でパケット・データを記録すれば、それらNSPのネッ
トワーク間を行き交う全てのパケットを捕らえることが
できる。図2においては、ログ・ボックス25は、バッ
クボーン21とNSP22のコネクション部分に設けら
れていることが、示されている。また各NSPのネット
ワーク内に閉じた範囲を行き交うパケットは、そのNS
Pのバックボーン内でパケットを記録することができ
る。従って、これらバックボーンを管理する組織が、バ
ックボーン内にパケット・データを採取するPCである
ログ・ボックス25を設置することによって、侵入者追
跡を行うことが可能となる。
【0037】パケット・データの記録のための記録手段
として使用されるログ・ボックスは、本実施形態におい
ては、大容量のHDDと、ネットワーク・カードを備え
たPCである。ネットワーク・カードは、送受信装置と
してのインターフェースとして機能する。もちろんPC
を用いずに、専用の装置を新たに構成してもよい。この
PC25は、ルータの1つのコネクタに接続される。図
4はこのログ・ボックス25のハード・ウェア構成を示
したものである。図4において、41はパケット・デー
タの入出力を制御する入出力制御部としてのネットワー
ク・カード、44はフィルタ・プログラムやパケットの
ログ・データを格納する記録装置としてのHDD、42
は各種処理及び制御を行うCPU、43はCPUの処理
において利用される一時記憶装置としてのRAMであ
る。
【0038】次に図5は、ログ・ボックス25のソフト
・ウェア構成を示している。ログ・ボックス25は、デ
ータ受信制御情報の格納、外部との送受信を制御する送
受信制御部51、パケットから必要な情報を収集するた
めの情報を含み、フィルタの部の動作を制御するフィル
タ・プログラム52、フィルタ・プログラムに従い受信
したパケットから必要なパケット情報を選択するフィル
タ部53、フィルタ部53が選択収集したデータを記録
する記録部54、装置全体の管理・制御を行うシステム
制御部55を有している。
【0039】動作について説明する。ネットワークを通
信されるパケットが、ルータからログ・ボックスに送信
される。ログ・ボックス25の送受信制御部51がこの
パケットを受信し、フィルタ部53に送る。フィルタ部
53は送られたパケットから、フィルタ・プログラム5
2に従い、必要なパケット・データを取得する。このパ
ケット・データは、ログ・データとして記録部54に記
録される。全体の動作はシステム制御部55によって制
御される。尚、具体的なパケット・データの取得方法に
ついては、後に記載する。
【0040】ログ・ボックス25のネットワークへの接
続方法について説明する。ログ・ボックス25のネット
ワーク・インターフェース・カードはPCでよく用いら
れているイーサネット・カードであり、ルータ23はイ
ーサネットをネットワーク・インターフェースに持つ。
ルータ23のあるイーサネットのコネクタを一つ決め、
ルータ23を通過する全てのパケットのコピーを本来の
ルーティング先に加えてそのイーサネットのアドレスへ
も送信するように設定を変更する。ルータ23のそのイ
ーサネットのコネクタとログボックス25のイーサネッ
ト・カードのコネクタをケーブルで結ぶ。こうすること
でログボックス25はルータ23を通過する全てのパケ
ットのコピーを受け取ることができる。
【0041】パケット・データの記録 必要なパケット・データの記録方法について説明する。
本実施形態においては、TCPパケットのみを記録す
る。もちろん、他のデータ形式を選択するようにしても
よい。まず、このTCPパケットの構造について説明す
る。TCP/IPの通信では、データは基本的にはIP
パケットとして構成される。IPパケットは [IPヘ
ッダ] [IPデータ]という並びのデータで構成される。
次にTCP通信の場合(IPヘッダのProtocolの部分が
TCPを表している場合)、[IPデータ]は [TCP
ヘッダ] [TCPデータ]という並びのデータで構成され
る。
【0042】IPヘッダ の構造を図6を用いて説明す
る。この図の横軸はビットであり、32bit(4by
te) 毎に改行して下の行の左端に続いている。同一
の行においては、左側のビットがより上位のビットを表
している。Options が無い通常のIPヘッダは Version
から Destionation Address までの20byteとなる。
ここで、ソース・アドレス(Source address)とデステ
ィネーション・アドレス(Destination address)は、
それぞれ、送信側の装置のIPアドレスと送信先(受
信)の装置のIPアドレスである。次に、図7はTCP
パケットの構造を示している。構造の示し方は、図6と
同様である。Options とdata を除いた通常のTCPヘ
ッダはSource PortからUrgent Pointerまでの20byte
となる。ここで、ソース・ポート(Source port)、デ
スティネーション・ポート(Destination port)、シー
クエンス・ナンバ(Sequence Number)とは、それぞ
れ、送信側の装置のポート番号、送信先(受信)の装置
のポート番号、そして、一つのコネクションにおける各
パケットに与えられる番号である。尚、これらデータ構
造は周知のものであり、ここでは詳細な説明は行わな
い。
【0043】所望のパケット・データを記録するには、
まず、ネットワーク・カード41に届いた全てのパケッ
トから所望のパケットだけを選別する。そして、指定し
た最大長までパケットを切り取り、届いた時間順にそれ
をHDDに記録していく。この処理を、ソフト・ウェア
構造を使用して、具体的に説明する。ルータから送られ
たパケット・データを送受信制御部51が受信する。フ
ィルタ部53は、この受信パケットの内、フィルタ・プ
ログラム52に従い、必要な種類のパケットのみを選択
する。本形態では、TCPパケットのみを選択する。フ
ィルタ・プログラム52は、予め記録すべきパケットの
データ・サイズが記録されている。フィルタ部53はこ
のデータ・サイズに従い、選択したパケットの先頭から
このデータ・サイズ分を取得し、所望の処理をして記録
部54に記録する。
【0044】記録部54に書きこまれる各パケット・デ
ータの概略構造を、図8に示す。Time Stampはパケット
が送受信制御部51に受信された時刻である。caplen
は、受信パケットから切り取られたデータ・サイズ(by
te)である。lenは実際にネットワーク・カードが受信し
たパケットのデータ・サイズ(長さ(byte))である。d
ata部には、実際に取得されたパケットのデータ(バイ
ト列)がcaplen (byte)のデータ・サイズで書き込まれ
る。記録部54に書きこまれるファイルは、先頭にフィ
ルタ・プログラム52のバージョン情報などのヘッダー
部分が入り、その後のデータは、上記フォーマットのデ
ータが時間順に連続して記録される。
【0045】各パケットから切り取るデータの長さは、
IPヘッダーとTCPヘッダーが含まれるのに十分に長
さにすればよい。イーサネットではイーサネットのヘッ
ダーが14バイト、その後にIPヘッダが通常20バイ
ト、その後TCPヘッダが通常20バイトであるのでI
PヘッダやTCPヘッダにオプションが入っていて多少
長くなったとしてもそれで十分なサイズとしては、68
バイトぐらいが適当である。ある程度の数のパケットを
一つのファイルに書き出したらいったん終了して、また
別のファイルに続きを書き出す処理を行う。これを繰り
返して、HDD44が一杯に近づいたら、最も古いファ
イルから上書きする。こうすることで常に過去何日か分
のパケット・データを蓄積している状態にする。尚、フ
ィルタ・プログラム52としては、パケット・キャプチ
ャ・ソフトを利用することも可能である。
【0046】アタッカー侵入の発見.あるシステム管理
者が、自分の管理下のコンピュータがアタッカーによる
侵入を受けたことに気づいた場合の処理を説明する。こ
れは自分のシステムが、直接攻撃対象になっていた場合
もありえるし、もしくは、他のシステムを攻撃するため
の踏み台として侵入を受けた場合もありえる。いづれに
せよ、侵入に使われたコネクションのパケット・データ
が記録されていなければならない。たとえそのときは記
録していなかったとしても、アタッカーは大抵侵入した
コンピュータに何らかのバック・ドアを仕掛けておき、
後日再び同じコンピュータへ侵入することがしばしばあ
る。そのため、そのコンピュータと同一LAN内の他の
コンピュータにおいて、その後のパケット・データを常
に記録するようにし、再びアタッカーが侵入してくるの
を待てば良い。
【0047】尚、イーサネットを使ったLANの場合に
は、同一LAN内(ルータを経由しないでハブ(シェア
ード・ハブ)で繋がっている範囲)の全ネットワーク・
トラフィックは、そのネットワーク内のどれか一台のコ
ンピュータで見ることができる。
【0048】前回の侵入時のパケット・データを記録し
ていなかった場合は、その後、再びアタッカーが侵入し
てきたとき、その間のパケット・データを記録する。た
だし、ここで記録されたパケット・データには、アタッ
カーとは関係ないコネクションも含まれているため、ア
タッカーが侵入に使ったのが、どのコネクションだった
のかを判断する必要がある。侵入を受けたコンピュータ
のログは、多くの場合アタッカーによって書きかえられ
ているため当てにならない。従って、ログ・ボックスに
記録したアタッカーの侵入時間、ソースIPアドレス、
ソース・ポート番号などから、どのコネクションだった
のかを判断する。多くの場合、当人が全く身に覚えのな
い時間帯と場所から、その人のユーザIDでのログイン
があったり、長い間使われていなかったユーザIDでの
ログインがあったときなど、それは不正侵入である可能
性が高い。
【0049】各協力サイトへのパケット・データの配
布.不正侵入が発見されると、アタッカーが使ったコネ
クションのパケット・データが、ネットワーク上のログ
ボックスを設置した各協力サイトに配信される。サイト
との間では、データ転送に先立って、お互いのコンピュ
ータ同士で、予め認証が済んでいるものとする。
【0050】ログ・ボックスは、記録部54に記録され
ているパケット・データから、所望のパケット・データ
を選択する。基本的には、パケットのIPヘッダとTC
Pヘッダから得られるコネクションを同定する4つ指標
(ソース・IPアドレス、ソース・ポート番号、デステ
ィネーションIPアドレス、デスティネーション・ポー
ト番号)から、コネクションを特定することができるの
で、各パケット・データが、アタッカーが使用したコネ
クションに含まれるかどうかを判別できる。従って、そ
れらが一致するパケット・データをファイルに書き出
す。データ・ファイルに書き出されるパケット・データ
は、記録部が記録したパケット・データと同じ形式であ
る。データ・ファイルは、探索要求パケットと共に、各
サイトに配信される。配信された要求パケットとデータ
・ファイルは、そのサイトの各ログ・ボックスが受信す
る。要求パケットを受信した各ログ・ボックスは、その
比較判定プログラムを起動する。
【0051】ここで、図9を用いて比較判定装置のソフ
ト・ウェハ構成を説明する。図において、91はネット
ワークとの間でのデータの送受信を制御する送受信制御
部、92はコネクションの比較、類似度の判定を制御す
る比較判定プログラム、93はパケット・データ等を記
録する記録部、94は全体の制御を行う制御部、95は
比較判定プログラム92に従い比較判定処理を行う比較
判定部である。尚、本実施形態においては、ネットワー
ク・カードを備える計算機であるログ・ボックスが、パ
ケット・データの収集と、コネクションの比較の双方を
行うが、もちろん、他の計算機がこのコネクションの比
較判定処理を行ってもよい。又、本実施形態において
は、パケット・データを送信しているが、このパケット
・データに所望の処理を行い、例えば、比較判定システ
ムで使用される系列データに変換してから送信してもよ
い。
【0052】各サイトの処理.各協力サイトに、侵入を
受けたサイトからアタッカーの使用したコネクションの
パケット・データ・ファイルが送られてきた場合、各ロ
グ・ボックスにおいて行われる処理の要約は、以下のよ
うなものである。まずこのファイルの先頭と最後のパケ
ットの時刻を調べることで、蓄積されたデータのどの時
刻からどの時刻までの部分を用いて検索すればよいかを
決める。該当する時間の範囲にある蓄積されたファイル
を使ってアタッカーの使用したコネクションの時刻-デ
ータサイズのパターンと類似しているものを見つける。
見つかった類似コネクションにはそれぞれ類似度をあら
わす点数がつけられ、上位のいくつかのコネクションが
侵入を受けたサイトへ送り返される。
【0053】類似コネクションの特定法.2つのコネク
ションの類似を判定する方法について説明する。一つの
コネクションには互いに逆向きの二方向のデータの流れ
があるが、それぞれについて「時刻−シーケンス番号」
系列を考える。これは、そのコネクションの一方向のデ
ータの流れについて、パケットが通過した時刻とそのパ
ケットのシーケンス番号を対にした系列である。「シー
ケンス番号」は、TCPのコネクションが確立する毎に
最初ランダムな値が決まり、その後は、データグラム・
パケットが到着する度にデータ量(バイト)ずつ増えて
いく番号である。ここで「データグラム・パケット」と
は、データ部分のサイズが0より大きい(ヘッダのみで
はない)TCPパケットを言う。パケットのヘッダに
は、そのパケットのデータの先頭のバイトのシーケンス
番号が入っているので、これにデータ部分のサイズを足
せば、データの最後のバイトのシーケンス番号が分か
る。以下ではパケットのシーケンス番号はデータ部分の
最後のバイトのシーケンス番号を示すとする。
【0054】この系列の具体例を以下に示す。例えば、
9.116.158.27:23 --> 9.116.77.225:40509 というコネ
クションの一方向のデータの流れについて、初期シーケ
ンス番号が940000だったとする。「時刻− シーケンス
番号」系列は以下のような系列になる。
【0055】
【0056】時間の横軸、シーケンス番号の縦軸におい
て、最初のパケットの時刻と初期シーケンス番号を原点
として、系列をグラフにあらわしたものが、図10に示
されている。あるコネクションの一つの方向の「時刻−
シーケンス番号」系列が与えられたとき、それと類似す
る系列を多数の他の系列の中から探すことを考える。類
似度の計算には様々な方法が考えられる。一般的に2つ
の実数の系列 {x1、x2、 ...、 xn}、 {y1、 y2
...、 yn} の類似度を考える問題では、これらをn次元
空間の点とみてその距離を (Σ|xi - yi|p)(1/p) で定義して、この値が0に近いほど類似度が高いと考え
られる。p=2 のときはよく知られているユークリッド空
間での距離である。
【0057】類似度を与える方法の一例として、2つの
系列をグラフで表現したとき、それらを近づけると、ど
のくらいその形状が一致するかという指標が考えられ
る。2つのグラフの間に挟まれる領域の面積を縦軸方向
(シーケンス番号)の範囲の長さで割った値、つまり2
つのグラフを近づけると平均してどのくらいの横軸方向
(時間)の隙間が生じるかを類似度の指標にとることに
する。この値が0に近いほど2つの系列の類似度は高
い。この計算は2つのパケット系列の時刻の差を各シー
ケンス番号について総和して、これをシーケンス番号の
範囲の長さで割ればよい。ある踏み台コンピュータでの
パケット系列をA、これと比較するパケット系列をBと
する。見つけたいパケット系列Bはアクセス・チェーン
において踏み台より上流(アタッカーにより近い側)の
系列であり、系列Bのデータ量は系列Aのデータ量以上
であるので、データ系列Bのグラフの縦軸方向の範囲は
系列Aの縦軸方向の範囲を含んでいなければならない。
また縦軸方向に関して系列Aの開始位置は系列Bの途中
のどこかの位置に対応している。またグラフをお互いに
近づける場合、BをAと交わらない位置まで横軸方向へ
平行移動させて考える。したがって系列Bのグラフを、
系列Aのグラフと交わらず縦軸方向の範囲で含むように
して、上下左右に、AとBが挟む領域の面積が最小にな
るような位置に移動して、そのときの2つのグラフに挟
まれる面積をAのシーケンス番号の範囲の長さで割った
値を2つの系列の類似度とする。
【0058】このようにして、与えられたコネクション
の一つの方向の系列と全てのコネクションのそれぞれ2
つの方向の系列との類似度を計算して、類似度の高いも
のを探し出す。
【0059】類似度を与える他の方法としては、全ての
系列を離散フーリエ変換して、時間についての系列から
周波数についての系列に変換することが考えられる。こ
の場合は系列としてデータグラム・パケットの通過時刻
とデータ量(累積ではない)とを利用する。得られたフ
ーリエ係数の最初の何項かのみで、時間軸ベースに戻し
たときのその系列の特徴をほぼ表しているため、比較す
る系列の次元を減らすことができる。このようなフーリ
エ変換を用いる手法は様々なバリエーションが考えられ
る。
【0060】系列間面積の算出.2つの系列の差を算出
する具体的な方法について説明する。アタッカーの使用
したコネクションのパケットデータAが書かれているフ
ァイルを基に、特定のサイトのログ・ボックスに記録さ
れたパケット・データDの中の、一つのコネクションと
の類似度を計算する手法を説明する。これは、上記の面
積の算出を具体的に説明している。以下の計算の理解の
ために、図10を参照して欲しい。
【0061】パケットqのタイムスタンプ(時刻)をT
(q)、パケットqのデータの最後のバイトのシーケンス番
号をS(q)と表す。またパケット系列 Q = { q1, q2, ...
, qn} のグラフは2次元平面で、横座標が T(qi)、 縦
座標がS(qi) の階段状のグラフとする。つまり Q の初
期シーケンス番号を Sq とすると、点 (T(q1), Sq),
(T(q1), S(q1)), (T(q2), S(q1)),(T(q2), S(q2)),
...,(T(qi), S(q{i-1}), (T(qi), S(qi)), ...., (T(q
n), S(q{n-1}), (T(qn), S(qn))を結んだグラフであ
る。
【0062】1) パケットデータAが書きこまれてい
るファイルからコネクションの二方向のうち一方向を指
定して、その方向のパケット系列P P (=P(n)) = { p1, p2, ..., pn} を作成する。系列P を参照としてこれとの類似度をDの
中の各パケット系列について求める。
【0063】2) パケット系列 P(n) = { p1, p2,
... , pn } のグラフの始点を原点にそろえたグラフを
P'(n) とする。 P'(n) = { p'1, p'2, ..., p'n }, T(p'k) = T(pk) - T(p1), S(p'k) = S(pk) - S0 (1≦k≦n) (S0 はPの初期シーケ
ンス番号)
【0064】3) パケットデータDの先頭からパケッ
ト x を取り出す。パケット x のヘッダの(source I
P, source port, destination IP, destination port)
の組み合わせを見ることで、xの属するコネクションの
一方の方向が分かる。x がその方向のm番目のパケット
だとして、そのパケット系列を X = { x1, x2, ...,
xm,.... } と表す。( x = xm である。)
【0065】4) l=1, 2, ..., m のそれぞれについ
て、以下の4−1),4−2),4−3)、4−4)を
実行する。
【0066】4−1) パケット系列 X(m, l) = { xl,
x{l+1}, ..., xm } のグラフの始点を原点にそろえた
グラフをX'(m, l)とする。 X'(m, l) = { x'l, x'{l+1}, ..., x'm }, T(x'k) = T(xk) - T(xl), S(x'k) = S(xk) - S(x{l-1}) ( l ≦ k ≦ m)
【0067】4−2) 系列P'(n)のインデックスk(m)
を、 k(m) = max{ k | S(p'k) ≦ S(x'm) } として、系列 X'(m, l)のグラフと系列P'(k(m))のグラ
フとが挟む領域(すなわち。この2つのグラフと横軸に
平行な直線 y=S(p'{k(m)})によって囲まれる領域)の面
積 M(m, l) を求める。ただし、X'(m, l) のグラフがP'
(k(m))のグラフの右側にある部分は正の面積、左側にあ
る部分は負の面積として計算する。
【0068】
【数1】
【0069】4−3) X'(m, l) のグラフがP'(n)の
グラフより最も右側にはみ出たときのタイムスタンプの
差を U (正の値)、最も左側にはみ出たときのタイム
スタンプの差を V (負の値) として記憶しておく。
上記4−2のM(m, l) の時刻の差の計算において、 T(x'{j-1}) - T(p'{k(j-1)+1}), T(x'j) - T(p'{k(j-1)+1}), T(x'j) - T(p'i) ( k(j-1)+2≦ i ≦ k(j) ) ただし,j=1,2,...,m のうち最も大きい値がU、最も小さい値がVである。
【0070】4−4) X'(m, l) のグラフの高さがP'
(n)のグラフの高さ以上になったかどうか k(m) ≧ n で判定し、成立しなければl を一つ進めてステップ4−
1へ戻る。
【0071】成立する場合はもうmをこれ以上大きくし
ても挟まれる領域は変わらないので、2つのグラフ X'
(m, l) ,P'(n)が交差しないように X'(m, l) を横方向
へ移動して、移動後に2つのグラフによって挟まれる領
域の面積を計算する。左方向へのUの移動と右方向へのV
の移動の2つの場合のうち、小さいほうの面積を M(l)
にする。すなわち、 M(l) = min { | M(m, l) -U×S(p'n) |, | M(m, l) -V
×S(p'n) | } である.。この M(l) が M(0), M(1), ... M(l) の中で
最小だったならばそれを改めて最小面積Mとして記録す
る。そのときのパケットの始まりのインデックスl、タ
イムスタンプの差(U又はV)を記憶する。l を一つ進
めてステップ4−1へ戻る。
【0072】5) ステップ3、4をDの中のパケット
が無くなるまで繰り返して、全てのコネクションの中の
各方向の系列Xについて系列Pとの最小面積Mから類似度
M/S(p'_n)をそれぞれ求める。これらを小さい順にソー
トして、類似度の高い順にコネクションの方向が得られ
る。
【0073】類似コネクションの特定及び返信.各サイ
トのログ・ボックスは、上記の計算から得られた類似度
が、予め定められた数値以下の系列をいくつか選択す
る。この選択された系列、この系列が含まれるコネクシ
ョン、及びその類似度等の情報を、要求があったサイト
に返信する。各サイトからのデータを受信した要求サイ
トは、それらの中から特に類似度が高いコネクションを
見つける。それらは同一チェーン上のコネクションであ
る可能性が高い。さらに、それらのホストの管理者と連
絡を取り合い、本当にアタッカーに踏み台として使われ
たかどうかを確かめて、最終的には人手による追跡を行
う。尚、次にアタッカーが侵入してくるときのことを考
えて、類似度の高いコネクションの4つ組の中のIPア
ドレスが属するネットワークのバックボーンにも、パケ
ットデータ記録用のPCを設置することにより、その後
の監視を強化することができる。
【0074】尚、本実施形態においては、ログ・ボック
スがパケット・データの記録及び、コネクションの比較
判定の双方を行い、他のネットワーク上のコンピュータ
と通信を行っている。しかし、通信内容を記録するログ
・ボックスは、自分からは全く送信を行わない完全に受
動的な機能のみに限定することにより、他者の侵入を防
ぐことが可能となる。又、本実施形態は、不正侵入者を
発見するために、アクセス・チェーンの追跡を行った
が、本発明は必ずしもこの用途に限定されるものではな
い。例えば、故障・欠陥があるコンピュータを探索する
ために、本実施形態の方法を使用することも可能であ
る。
【図面の簡単な説明】
【図1】 従来における不正アクセスの構造を示す概略
図である。
【図2】 実施の形態におけるネットワーク・システム
を示す該略図である。
【図3】 実施の形態における不正アクセスの構造を示
す概略図である。
【図4】 実施の形態におけるログ・ボックスのハード
ウェア構成を示す概略図である。
【図5】 実施の形態におけるログ・ボックスのソフト
ウェア構成を示す概略図である。
【図6】 実施の形態におけるパケットのデータ構造を
示す概略図である。
【図7】 実施の形態におけるパケットのデータ構造を
示す概略図である。
【図8】 実施の形態におけるパケット・データの構造
を示す概略図である。
【図9】 実施の形態におけるを示す比較判定部のソフ
トウェア構成を示す概略図である。
【図10】 実施の形態におけるを示す系列比較方法を
説明するためのグラフである。
【符号の説明】
11 アタッカー、12、13、14、15 踏み台ホ
スト、16 ターゲット、17 ネットワーク、18
ルータ、21 バックボーン、22 ネットワーク、
23 ルータ、24 端末、25 ログボックス、31
アタッカー、32、33、34、35 踏み台ホスト、
36 ターゲット、37、38、39 ログボックス、
40 ルータ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 江藤 博明 神奈川県大和市下鶴間1623番地14 日本 アイ・ビー・エム株式会社 東京基礎研 究所内 (56)参考文献 特開 平10−164064(JP,A) 特開2000−215164(JP,A) 武井ほか,トラヒックパターンを用い た不正アクセス検出及び追跡方式,信学 技報,日本,(社)電子情報通信学会, 1999年11月,IN99−75,pp37−42 依田ほか,パケットのデータサイズ・ 時刻系列を使ったコネクション・チェイ ンの発見,情処研報,日本,2000年 3 月,2000−DPS−97−37,pp213− 218 (58)調査した分野(Int.Cl.7,DB名) H04L 12/24 G06F 13/00 351 H04L 12/26 H04L 12/56

Claims (16)

    (57)【特許請求の範囲】
  1. 【請求項1】 複数のコネクションから構成されるアク
    セス・チェーンを介して、ネットワーク上をパケットが
    通信されるシステムにおけるアクセス・チェーンの追跡
    方法であって、 第1のコネクションにおける時刻によるパケットのデー
    タ・サイズの変化と、第2のコネクションにおける時刻
    によるパケットのデータ・サイズの変化と、を比較する
    ステップと、 前記比較ステップにおける比較結果に基づき、前記第1
    のコネクションと前記第2のコネクションとが、同一の
    チェーンに含まれるかを判定するステップと、を有する
    方法。
  2. 【請求項2】 前記比較ステップは、第1のコネクショ
    ンにおけるパケットのデータ・サイズと検知時刻とに基
    づいて特定される第1の系列と、第2のコネクションに
    おけるパケットのデータ・サイズと検知時刻とに基づい
    て特定される第2の系列との間の差を算出するステップ
    を有し、 前記判定ステップは、前記算出された差に基づき、判定
    することを特徴とする、請求項1に記載の方法。
  3. 【請求項3】 さらに、第1のコネクションにおけるパ
    ケットのデータ・サイズと検知時刻との情報を含む、第
    1のパケット・データを受信するステップと、 前記受信した第1のパケット・データに含まれる検知時
    刻に基づき、比較するパケット・データを検索するステ
    ップと、 前記検索ステップにおける検索結果に基づき、前記第2
    のコネクションに含まれるパケットを選択するステップ
    と、 を有する、請求項1又は2に記載の方法。
  4. 【請求項4】 前記検知時刻はパケット・データに含ま
    れるタイム・スタンプによって特定され、前記データ・
    サイズはシーケンス番号によって特定される、請求項
    1、2又は3に記載の方法。
  5. 【請求項5】 前記比較ステップは、前記第2の系列の
    部分列であって、最初の項をずらすことによって形成さ
    れる複数の部分列と、前記第1の系列とを順次比較する
    ステップを含む、請求項1、2、3又は4に記載の方
    法。
  6. 【請求項6】 第1のコネクションにおけるパケットの
    データ・サイズと、パケットの検知時刻とを含む第1の
    パケット・データを記録するステップと、 第2のコネクションにおけるパケットのデータ・サイズ
    と、パケットの検知時刻とを含む第2のパケット・デー
    タを記録するステップと、 前記記録した第1のパケット・データを送信するステッ
    プと、 前記送信された第1のパケット・データを受信するステ
    ップと、 前記受信した第1のパケット・データと前記第2のパケ
    ット・データに基づき、前記第1のコネクションにおけ
    る時刻によるパケットのデータ・サイズの変化と、前記
    第2のコネクションにおける時刻によるパケットのデー
    タ・サイズの変化と、を比較するステップと、 前記比較ステップにおける比較結果に基づき、前記第1
    のコネクションと前記第2のコネクションとが、同一の
    チェーンに含まれるかを判定するステップと、前記判定
    ステップにおける判定結果を、送信するステップと、 を有する、方法。
  7. 【請求項7】 コンピュータ読み取り可能な記録媒体で
    あって、請求項1、2、3、4、5又は6に記載した方
    法の処理を、コンピュータに行わせるプログラムを記録
    した、記録媒体。
  8. 【請求項8】 複数のコネクションから構成されるアク
    セス・チェーンを介して、ネットワーク上をパケットが
    通信されるシステムにおけるアクセス・チェーンを追跡
    するためのシステムであって、 第1のコネクションにおける時刻によるパケットのデー
    タ・サイズの変化と、第2のコネクションにおける時刻
    によるパケットのデータ・サイズの変化と、を比較する
    比較部と、 前記比較部における比較結果に基づき、前記第1のコネ
    クションと前記第2のコネクションとが、同一のチェー
    ンに含まれるかを判定する判定部と、 を有するシステム。
  9. 【請求項9】 前記比較部は、第1のコネクションにお
    けるパケットのデータ・サイズと検知時刻とに基づいて
    特定される第1の系列と、第2のコネクションにおける
    パケットのデータ・サイズと検知時刻とに基づいて特定
    される第2の系列との間の差を算出し、 前記判定部は、前記算出された差に基づき、判定するこ
    とを特徴とする、請求項8に記載のシステム。
  10. 【請求項10】 さらに、第1のコネクションにおける
    パケットのデータ・サイズと検知時刻との情報を含む、
    第1のパケット・データを受信する受信部と、 前記判定部における判定結果を送信する送信部と、 を有する、請求項8又は9に記載のシステム。
  11. 【請求項11】 前記受信した第1のパケット・データ
    に含まれる検知時刻に基づき、比較するパケット・デー
    タを検索する検索部と、 前記検索部における検索結果に基づき、前記第2のコネ
    クションに含まれるパケットを選択する選択部と、 を有する、請求項10に記載のシステム。
  12. 【請求項12】 前記検知時刻はパケット・データに含
    まれるタイム・スタンプによって特定され、前記データ
    ・サイズはシーケンス番号によって特定される、請求項
    8、9、10又は11に記載の方法。
  13. 【請求項13】 前記比較部は、前記第2の系列の部分
    列であって、最初の項をずらすことによって形成される
    複数の部分列と、前記第1の系列とを順次比較する、請
    求項8、9、10、11又は12に記載の方法。
  14. 【請求項14】 複数のコネクションから構成されるア
    クセス・チェーンを介して、ネットワーク上をパケット
    が通信されるシステムにおけるアクセス・チェーンを追
    跡するためのシステムであって、 パケット・サイズと検知時刻の情報を含むパケット・デ
    ータを記録する記録部と、 前記記録したパケット・データを、判定のために他のサ
    イトに送信する送信部と、 前記サイトからの判定結果を受信する、受信部と、 を有する、システム。
  15. 【請求項15】パケットのデータ・サイズと検知時刻と
    を含む第1のパケット・データを収集し、前記第1のパ
    ケット・データを送信する、第1の収集装置と、 パケットのデータ・サイズと検知時刻とを含む第2のパ
    ケット・データを収集する、第2の収集装置と、 前記受信した第1のパケット・データと前記第2のパケ
    ット・データに基づき、第1のコネクションにおける時
    刻によるパケットのデータ・サイズの変化と、2のコネ
    クションにおける時刻によるパケットのデータ・サイズ
    の変化と、を比較し、前記比較結果に基づき、前記第1
    のコネクションと前記第2のコネクションとが、同一の
    チェーンに含まれるかを判定する、計算システムと、 を有するネットワーク・システム。
  16. 【請求項16】前記計算システムは、第1のコネクショ
    ンにおけるパケットのデータ・サイズと検知時刻とに基
    づいて特定される第1の系列と、第2のコネクションに
    おけるパケットのデータ・サイズと検知時刻とに基づい
    て特定される第2の系列と、の間の差を算出し、 前記前記算出された差に基づき判定する処理を行う、請
    求項15に記載のネットワーク・システム。
JP2000025594A 2000-02-02 2000-02-02 アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 Expired - Fee Related JP3448254B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000025594A JP3448254B2 (ja) 2000-02-02 2000-02-02 アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
US09/770,531 US7127510B2 (en) 2000-02-02 2001-01-26 Access chain tracing system, network system, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000025594A JP3448254B2 (ja) 2000-02-02 2000-02-02 アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体

Publications (2)

Publication Number Publication Date
JP2001217834A JP2001217834A (ja) 2001-08-10
JP3448254B2 true JP3448254B2 (ja) 2003-09-22

Family

ID=18551431

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000025594A Expired - Fee Related JP3448254B2 (ja) 2000-02-02 2000-02-02 アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体

Country Status (2)

Country Link
US (1) US7127510B2 (ja)
JP (1) JP3448254B2 (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7139743B2 (en) 2000-04-07 2006-11-21 Washington University Associative database scanning and information retrieval using FPGA devices
WO2002089426A1 (fr) * 2001-04-27 2002-11-07 Ntt Data Corporation Systeme d'analyse de paquets
US7716330B2 (en) 2001-10-19 2010-05-11 Global Velocity, Inc. System and method for controlling transmission of data packets over an information network
AU2003212910A1 (en) * 2002-02-07 2003-09-02 University Of Massachusetts Probabalistic packet marking
US20030163558A1 (en) * 2002-02-25 2003-08-28 Docomo Communications Laboratories Usa, Inc. System and method for Hyper Operator controlled network probing across overlaid heterogeneous access networks
JP4361714B2 (ja) 2002-05-31 2009-11-11 富士通株式会社 ネットワーク中継装置
US7711844B2 (en) 2002-08-15 2010-05-04 Washington University Of St. Louis TCP-splitter: reliable packet monitoring methods and apparatus for high speed networks
JP3832412B2 (ja) * 2002-09-30 2006-10-11 横河電機株式会社 パケット経路追跡システム
US10572824B2 (en) 2003-05-23 2020-02-25 Ip Reservoir, Llc System and method for low latency multi-functional pipeline with correlation logic and selectively activated/deactivated pipelined data processing engines
CA2523548C (en) 2003-05-23 2014-02-04 Washington University Intelligent data processing system and method using fpga devices
US7376756B2 (en) * 2003-11-03 2008-05-20 Lsi Corporation HDD firmware download
US7602785B2 (en) * 2004-02-09 2009-10-13 Washington University Method and system for performing longest prefix matching for network address lookup using bloom filters
US8125898B1 (en) * 2004-03-19 2012-02-28 Verizon Corporate Services Group Inc. Method and system for detecting attack path connections in a computer network using state-space correlation
EP1859378A2 (en) 2005-03-03 2007-11-28 Washington University Method and apparatus for performing biosequence similarity searching
JP2006279636A (ja) * 2005-03-30 2006-10-12 Hitachi Ltd クライアント間通信ログの整合性保証管理システム
ATE459184T1 (de) * 2005-06-06 2010-03-15 Ibm System und verfahren zur erkennung von eindringungen in ein computernetzwerk
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US7702629B2 (en) 2005-12-02 2010-04-20 Exegy Incorporated Method and device for high performance regular expression pattern matching
US7954114B2 (en) 2006-01-26 2011-05-31 Exegy Incorporated Firmware socket module for FPGA-based pipeline processing
US20080086274A1 (en) * 2006-08-10 2008-04-10 Chamberlain Roger D Method and Apparatus for Protein Sequence Alignment Using FPGA Devices
JP4333723B2 (ja) * 2006-09-29 2009-09-16 株式会社日立製作所 通信ログ管理システム
US8326819B2 (en) 2006-11-13 2012-12-04 Exegy Incorporated Method and system for high performance data metatagging and data indexing using coprocessors
US7660793B2 (en) 2006-11-13 2010-02-09 Exegy Incorporated Method and system for high performance integration, processing and searching of structured and unstructured data using coprocessors
TWI325707B (en) * 2006-12-26 2010-06-01 Ind Tech Res Inst Packet classifier for a network and method thereof
US8806630B2 (en) * 2008-05-13 2014-08-12 At&T Intellectual Property, I, L.P. Methods and apparatus for intrusion protection in systems that monitor for improper network usage
US8374986B2 (en) 2008-05-15 2013-02-12 Exegy Incorporated Method and system for accelerated stream processing
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US9641629B2 (en) * 2011-11-28 2017-05-02 Lenovo (Singapore) Pte. Ltd. Distance-based network resource discovery
US9922190B2 (en) 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US10146845B2 (en) 2012-10-23 2018-12-04 Ip Reservoir, Llc Method and apparatus for accelerated format translation of data in a delimited data format
US9633093B2 (en) 2012-10-23 2017-04-25 Ip Reservoir, Llc Method and apparatus for accelerated format translation of data in a delimited data format
US9633097B2 (en) 2012-10-23 2017-04-25 Ip Reservoir, Llc Method and apparatus for record pivoting to accelerate processing of data fields
DE102012222885A1 (de) * 2012-12-12 2014-06-12 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Zuweisen von Zeitstempeln zu empfangenen Datenpaketen
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
WO2015164639A1 (en) 2014-04-23 2015-10-29 Ip Reservoir, Llc Method and apparatus for accelerated data translation
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
JP6610100B2 (ja) 2015-09-07 2019-11-27 富士通株式会社 ログ分析方法、プログラム及び情報処理装置
US10942943B2 (en) 2015-10-29 2021-03-09 Ip Reservoir, Llc Dynamic field data translation to support high performance stream data processing
KR102149531B1 (ko) * 2015-11-09 2020-08-31 한국전자통신연구원 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
JP6906928B2 (ja) * 2015-11-09 2021-07-21 韓國電子通信研究院Electronics and Telecommunications Research Institute ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法
US10673641B2 (en) 2016-03-11 2020-06-02 Lenovo Enterprise Solutions (Singapore) Pte. Ltd Connecting to a conference device
WO2018119035A1 (en) 2016-12-22 2018-06-28 Ip Reservoir, Llc Pipelines for hardware-accelerated machine learning
JP6855908B2 (ja) * 2017-04-27 2021-04-07 富士通株式会社 ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法
US11797667B2 (en) * 2019-06-28 2023-10-24 University Of Florida Research Foundation, Incorporated Real-time detection and localization of DoS attacks in NoC based SoC architectures

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03260757A (ja) * 1990-03-09 1991-11-20 Toshiba Corp 分散型コンピュータネットワーク
DE69631182T2 (de) * 1995-04-28 2004-08-19 Matsushita Electric Industrial Co., Ltd., Kadoma Datenübertragungsverfahren
JP3369108B2 (ja) * 1998-06-10 2003-01-20 富士通株式会社 パケットデータ送出装置
US6389016B1 (en) * 1998-10-14 2002-05-14 Nortel Networks Limited Data communication system and method for transporting data
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
JP3438651B2 (ja) * 1999-05-31 2003-08-18 日本電気株式会社 パケット多重装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
依田ほか,パケットのデータサイズ・時刻系列を使ったコネクション・チェインの発見,情処研報,日本,2000年 3月,2000−DPS−97−37,pp213−218
武井ほか,トラヒックパターンを用いた不正アクセス検出及び追跡方式,信学技報,日本,(社)電子情報通信学会,1999年11月,IN99−75,pp37−42

Also Published As

Publication number Publication date
JP2001217834A (ja) 2001-08-10
US7127510B2 (en) 2006-10-24
US20010014093A1 (en) 2001-08-16

Similar Documents

Publication Publication Date Title
JP3448254B2 (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
CN107465648B (zh) 异常设备的识别方法及装置
US11245716B2 (en) Composing and applying security monitoring rules to a target environment
JP4020912B2 (ja) 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
CN100556031C (zh) 智能集成网络安全设备
US20100162350A1 (en) Security system of managing irc and http botnets, and method therefor
US20040064731A1 (en) Integrated security administrator
Xuan et al. Detecting application denial-of-service attacks: A group-testing-based approach
CN108337219B (zh) 一种物联网防入侵的方法和存储介质
CN111786966A (zh) 浏览网页的方法和装置
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
CN111314379B (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN110750788A (zh) 一种基于高交互蜜罐技术的病毒文件检测方法
US10089448B1 (en) System and method for program security protection
JP2002124996A (ja) 高速パケット取得エンジン・セキュリティ
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
KR101518474B1 (ko) 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
EP1378813A2 (en) Security policy enforcement systems
US20150156078A1 (en) Method and system for dynamically shifting a service
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети
CN114124512A (zh) 基于流量行为分析的微信小程序监管方法、***和设备
Hsiao et al. Detecting stepping‐stone intrusion using association rule mining
Karimov et al. Development of an integrated security monitoring system based on the analysis of the goals of actions of subjects of computer systems

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees