JP3919488B2 - Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program - Google Patents

Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program Download PDF

Info

Publication number
JP3919488B2
JP3919488B2 JP2001272867A JP2001272867A JP3919488B2 JP 3919488 B2 JP3919488 B2 JP 3919488B2 JP 2001272867 A JP2001272867 A JP 2001272867A JP 2001272867 A JP2001272867 A JP 2001272867A JP 3919488 B2 JP3919488 B2 JP 3919488B2
Authority
JP
Japan
Prior art keywords
network distance
data
data communication
value
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001272867A
Other languages
Japanese (ja)
Other versions
JP2003087333A (en
Inventor
信博 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001272867A priority Critical patent/JP3919488B2/en
Publication of JP2003087333A publication Critical patent/JP2003087333A/en
Application granted granted Critical
Publication of JP3919488B2 publication Critical patent/JP3919488B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、攻撃データが複数のパケットに分割されてネットワークへ送られた際に、その攻撃データを正しく発見したり、無効化する装置等に関するものである。
【0002】
【従来の技術】
従来の技術として、特開2000−354034に「事業:ハッカー監視室」が開示されている。
図14及び図15は、この「事業:ハッカー監視室」を説明する図である。
図14において、100は、データ通信装置が接続可能でパケットの送受信が可能なネットワークA、200は、データ通信装置が接続可能でパケットの送受信が可能なネットワークBである。
2は、ネットワークA100にてターゲットマシン4に対する攻撃データを複数のパケットにて送る攻撃マシンである。
3は、ネットワークA100とネットワークB200の間のパケットの中継を行うルータである。
4は、ネットワークB200にてサービスを提供するターゲットマシンである。
6は、ネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃検出システムである。
【0003】
図15は、攻撃検出システム6の内部構成を示しており、61は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部である。
62は、パケット受信部61から渡されたパケットを元に通信データを再構成するデータ再構成部である。
63は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。
64は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。
【0004】
次に、攻撃検出システム6の動作について説明する。
パケット受信部61は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図16(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、データ再構成部62は、パケット受信部61により受信されたパケットのデータ内容の再構成を行う。
図16の例では、パケットA、パケットB、パケットCのそれぞれのデータ内容を組み合わせて図16(e)に示すように、”/cgi−bin/phaf”というデータ内容に再構成する。
次に、攻撃チェック部64が、再構成されたデータ内容と、シグネチャDB63に蓄積されている攻撃シグネチャとを比較し、比較の結果攻撃データであると判定した場合は、その攻撃データを破棄し、攻撃データでないと判断した場合は、宛先のデータ通信装置への転送を許可する。
図16(a)は、シグネチャDB63に蓄積された攻撃シグネチャを示す。
図16(a)の攻撃シグネチャと図16(e)の再構成結果は、データ内容が一致しないため(攻撃シグネチャでは/phf”となっているのに対して再構成結果では/phaf”となっているため)、攻撃チェック部64は、これらパケットA、パケットB、パケットCは攻撃データではないと判断し、これらのパケットの転送を許可する。
【0005】
一方で、図16(b)〜(d)のパケットA、パケットB、パケットCには、それぞれTTL(Time To Live)の値が示されている。
このTTL値は、パケットがネットワークの中に滞在可能な時間(秒数)を示す値であり、ルータ(ゲートウェイ)を通過する度にルータ(ゲートウェイ)の処理に費やした時間が、表示されたTTL値から減算される。ただし、処理時間が1秒に満たない場合や、処理時間を計測できない場合は、少なくとも1秒が減らされる。そして、TTL値が0となった場合には、ルータ(ゲートウェイ)によりそのパケットは破棄されることになる。即ち、TTLは、パケットの有効期間を示す値となる。
また、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能である。つまり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値は、パケットが転送されるネットワーク距離を示すことになる。
ここで、パケットAではTTL=5、パケットBではTTL=1、パケットCではTTL=5である。このため、攻撃検出システム6からターゲットマシン4までに必要なTTL値が2〜5の間の場合は、パケットBは途中のルータで破棄され、パケットA及びパケットCのみがターゲットマシン4に到達することになる。
ターゲットマシン4に到達したパケットA及びパケットCのデータ内容は、図16(f)に示すものとなり、これは、結局図16(a)の攻撃シグネチャと一致する結果となる。
【0006】
【発明が解決しようとする課題】
このように、従来の技術においては、攻撃検出システムには到達するものの、ルータを経由するターゲットマシンには到達しないようにTTLを操作したダミーのパケットを、攻撃データの分割された複数のパケットの間に潜り込ませることによって、攻撃シグネチャとして検出不能(見かけ上は攻撃データと判定できない)でありながらターゲットマシンが攻撃されるという問題があった。
そこで、本発明は、このような問題点を解決することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定部と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定部により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査部とを有することを特徴とする。
【0008】
前記データ中継装置は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信部により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査部により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成部と、
前記データ再構成部により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定部とを有することを特徴とする。
【0009】
データ検査部は、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0010】
前記データ受信部は、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定部は、前記測定ネットワーク距離として前記データ中継装置から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査部は、前記送信データに表示されたTTL値と、前記ネットワーク距離測定部により測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0011】
前記データ中継装置は、更に、いずれかのデータ通信装置への攻撃に用いられる攻撃コマンドを少なくとも一つ以上記憶した攻撃コマンド記憶部を有し、
前記データ判定部は、前記データ再構成部により再構成されたデータ内容が前記攻撃コマンド記憶部に記憶された前記攻撃コマンドのいずれかに一致するか否かを判定することを特徴とする。
【0012】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有することを特徴とする。
【0013】
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0014】
前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする。
【0015】
前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0016】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記データ中継方法から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定ステップにより測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査ステップとを有することを特徴とする。
【0017】
前記データ中継方法は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信ステップにより受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査ステップにより破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成ステップと、
前記データ再構成ステップにより再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定ステップとを有することを特徴とする。
【0018】
データ検査ステップは、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0019】
前記データ受信ステップは、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定ステップは、前記測定ネットワーク距離として前記データ中継方法から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査ステップは、前記送信データに表示されたTTL値と、前記ネットワーク距離測定ステップにより測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0020】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有することを特徴とする。
【0021】
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0022】
前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0023】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0024】
前記データ中継処理プログラムは、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0025】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0026】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0027】
前記データ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0028】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0029】
【発明の実施の形態】
実施の形態1.
図1は、本実施の形態に係るネットワーク構成の一例を示す図である。
図1において、1はネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃対策システムである。攻撃対策システムは、本発明に係るデータ中継装置に相当する。
なお、他の構成要素は、図14に示したものと同様である。
【0030】
図2は、攻撃対策システム1の内部構成を示す図である。
11は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するとともに、攻撃チェック部17により攻撃データでないと判定されたパケットを宛先のデータ通信装置に対して送信するパケット送受信部である。なお、パケット送受信部11が受信するパケットには、TTL(Time To Live)値が含まれている。このTTL値は、ネットワーク距離に相当する。前述したように、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能であり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値はパケットが転送されるネットワーク距離に相当する。
12は、パケット送受信部11によりパケットが受信された場合に、受信されたパケットの宛先であるデータ通信装置(宛先データ通信装置)までのネットワーク距離を測定するための測定パケットを生成する測定パケット生成部である。13は、測定パケット生成部12により生成された測定パケットを宛先データ通信装置に対して送信し、測定パケットに対する応答を受信する測定パケット送受信部である。
なお、測定パケット生成部12と測定パケット送受信部13とを合わせてネットワーク距離測定部という。
14は、パケット送受信部11で受信されたパケットに含まれるTTL値と測定パケット送受信部13から得られたネットワーク距離を比較し、比較結果に基づき、パケットの破棄の決定又はパケットをデータ再構成部15へ渡す決定のいずれかを行うパケット検査部である。パケット検査部14は、データ検査部に相当する。
15は、パケット検査部14から渡されたパケットを元に通信データを再構成するデータ再構成部である。
16は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。シグネチャDB16は、攻撃コマンド記憶部に相当する。
17は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。攻撃チェック部17は、データ判定部に相当する。
【0031】
なお、攻撃対策システム1(データ中継装置)は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0032】
次に、攻撃対策システム1の動作について説明する。
パケット送受信部11は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部11は、受信したパケットA、パケットB、パケットCをパケット検査部14へと渡す。
パケット検査部14では、図4に示すパケット検査手順によりパケットを処理する。
以下、図4のフローチャート図に従って、パケット検査部14の処理を説明する。
【0033】
まず、パケット検査部14は、ステップS11にて、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、ステップS12にて、宛先アドレスを測定パケット生成部12に渡して呼び出す。
ここで、図5を用いて、測定パケット生成部12及び測定パケット送受信部13によるネットワーク距離の測定手順を説明する。
【0034】
まず、測定パケット生成部12が、ステップS21において、測定パケットを作成する。具体的には、IPデータグラム・ヘッダ・フォーマットのDestination Address=宛先アドレス(ここでは、ターゲットマシン4のアドレス)、TTL=1に設定した測定パケットを生成する。図6に、IPデータグラム・ヘッダ・フォーマットの例を示す。図6の例では、Identification35に宛先アドレスを設定し、Time To Live36にTTL=1を設定する。また、測定パケットは、図7に示すように、ICMPエコー要求メッセージ37とする。
次に、ステップS22において、測定パケット送受信部13が、測定パケットをネットワークA100に送る。
ここで、宛先データ通信装置(ここでは、ターゲットマシン4)までに配置されたルータ3では、測定パケットのTTL値を確認し、TTL値を1減算する。減算の結果、TTL値は0となるので、ICMP時間超過メッセージ38(図8)が結果パケットとしてルータ3から送り返される。
次に、ステップS23において、測定パケット送受信部13が結果パケットを受信する。
次に、ステップS24において、測定パケット生成部12が、結果パケットより測定パケットが宛先データ通信装置に到達したか否かを判断する。ここでは、結果パケットがICMP時間超過メッセージであるためパケット未到着と判断される。
次に、ステップS25において、測定パケット生成部12は、現在のTTL値とTTL値の上限値(=225)とを比較する。ここでは、現在のTTL=1が上限値未満と判断される。
次に、ステップS26において、測定パケット生成部12は、現在のTTLの値に1加算し、TTL=2が設定された測定パケットを生成し、ステップS22に戻り、処理を繰り返す。
なお、ステップS25において、TTLが上限値(=255)に達した場合は、ステップS27にて測定不能とする。
ステップS23において、宛先アドレス(ターゲットマシン4)から送信されたICMPエコー応答メッセージを受信した場合(図9)は、ステップS24にて、測定パケット生成部12は、パケット到達と判定する。
ステップS24において、パケット到達と判断した場合は、測定パケット生成部12は、TTLの値を測定したネットワーク距離としてパケット検査部14に渡す。
【0035】
パケット検査部14では、図4のステップS13において、パケット送受信部11により受信されたパケットに表示されたTTL値と測定されたネットワーク距離(TTL値)とを比較し、測定結果(測定されたネットワーク距離)がパケットのTTL値以下の場合は、ステップS14へ、パケットのTTL値が測定結果より小さい場合は、S15へ進む。
ステップS14では、パケット検査部14は、そのパケットが宛先データ通信装置(ターゲットマシン4)へ到達すると判断して、データ再構成部15へそのパケットを渡す。
一方、ステップS15では、パケットが宛先データ通信装置(ターゲットマシン4)へ到達しないと判断して、そのパケットを破棄する決定を行い、破棄する。
図3の例では、測定されたTTL値が2〜5である場合は、パケットA及びパケットCは、ステップS14において、データ再構成部15へ渡され、パケットBは、ステップS15において、破棄されることになる。
【0036】
次に、データ再構成部15では、パケット検査部14から渡されたパケットを元にデータを再構成し、再構成結果を攻撃チェック部17へ渡す。
攻撃チェック部17は、再構成結果と、シグネチャDB16に格納された攻撃シグネチャを比較することで、攻撃データかどうかの判断を行う。
図3の例では、データ再構成部15は、パケットA及びパケットCを元に、図3(e)に示すデータ内容を再構成する。
攻撃チェック部17は、シグネチャDB16に格納された図3(a)に示す攻撃シグネチャと図3(e)の再構成結果とを比較し、再構成結果が攻撃シグネチャと一致するためパケットA及びパケットCは攻撃データであると判定し、パケットA及びパケットCは破棄される。
【0037】
実施の形態2.
図10は、本実施の形態に係るネットワーク構成の一例を示す図である。
本実施の形態では、攻撃対策システム1は、実施の形態1におけるルータ3としての役割も果たし、ネットワークA100とネットワークB200との間に配置され、ネットワークA100より送信したパケットを受信し、受信したパケットをネットワークB200へ渡す。
なお、他の構成要素は、図1に示したものと同様である。
また、図10では、省略しているが、図14と同様に、攻撃検出システム6を配備してもよい。
【0038】
図11は、本実施の形態に係る攻撃対策システム1の内部構成を示す図である。
図11において、101は、ネットワークA100にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Aとする)である。なお、パケット送受信部A101が受信するパケットには、TTL(Time To Live)値が含まれている。また、パケット送受信部A101は、データ送信部又はデータ受信部に相当する。
102は、ネットワークB200にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Bとする)である。なお、パケット送受信部B102は、データ送信部又はデータ受信部に相当する。
103は、パケット送受信部A101、パケット送受信部B102、TTL変更部105間の制御を行う中継制御部である。
104は、パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部である。ネットワーク距離記憶部104は、例えば、図13(a)に示すようにパケットの宛先とTTL値の組合せを記憶している。
105は、中継制御部103から渡されたパケットについて、パケットに含まれたTTL値とネットワーク距離記憶部104に格納された対応するTTL値とを比較し、比較結果に応じてパケットのTTL値又はネットワーク距離記憶部104に記憶されたTTL値を変更するTTL変更部である。また、TTL値がネットワーク距離記憶部104に格納されていない新規データ通信装置がパケットの宛先となっている場合は、TTL変更部105は、その新規データ通信装置宛のパケットに含まれたTTL値をネットワーク距離記憶部104に格納する。なお、TTL変更部105は、ネットワーク距離変更部に相当する。
なお、本実施の形態における攻撃対策システム1(データ中継装置)も、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0039】
次に、本実施の形態に係る攻撃対策システム1の動作について説明する。
パケット送受信部A101は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部A101は、受信したパケットA、パケットB、パケットCを中継制御部103へと渡す。
中継制御部103は、受信したパケットをTTL変更部105へと渡す。
TTL変更部105では、図12に示すTTL変更手順によりパケットを処理する。
以下、図12のフローチャート図に従って、TTL変更部105の処理を説明する。
【0040】
まず、TTL変更部105は、ステップS31において、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、TTL変更部105は、ステップS32において、ネットワーク距離記憶部104に宛先アドレスに対応したTTL値(ネットワーク距離)が登録されているかどうかを判定する。
登録済みの場合は、ステップS33に進み、ネットワーク距離記憶部104から宛先アドレスに対応するTTL値を取り出す。
未登録の場合(新規データ通信装置の場合)は、ステップS34に進み、パケットからTTL値を取りだし、ネットワーク距離記憶部104に宛先アドレスとTTL値を登録する。
次に、ステップS33へ進んだ場合は、TTL変更部105は、ステップS35において、ネットワーク距離記憶部104より取得したTTL値と、パケットに含まれたTTL値とを比較する。そして、比較結果により、パケットのTTL値の方が大きい場合は、ステップS36において、ネットワーク距離記憶部104のTTL値をパケットのTTL値に変更する更新を行う。
一方、パケットのTTL値の方が小さい場合は、ステップS37において、パケットのTTL値をネットワーク距離記憶部のTTL値に変更する更新を行う。
【0041】
このようにしてTTL値の変更が行われた後は、TTL変更部105は、パケット(パケットのTTL値の変更が行われた場合は、TTL値が変更されたパケット)を中継制御部103へと渡す。
中継制御部103は、TTL変更部105から受け取ったパケットをパケット送受信部B102へと渡す。
パケット送受信部B102は、パケットをネットワークB200へと渡す。
【0042】
ここで、ターゲットマシン4までのTTL値がネットワーク距離記憶部104に記憶されていないとした場合(ターゲットマシン4が新規データ通信装置であった場合)に、図3(b)のパケットAがTTL変更部105で処理されると、パケットAから取り出された宛先アドレス(ターゲットマシン4)とTTL=5がネットワーク距離記憶部104に格納され(図13(a))、図13(b)に示す中継後パケットA’がターゲットマシン4へと送られる。
次に、図3(c)のパケットBがTTL変更部105で処理されると、パケットBから取り出された宛先アドレス(ターゲットマシン4)とTTL=1とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、パケットBのTTL値の方が小さいので、パケットBのTTL値はTTL=5に更新され、図13(c)の中継後パケットB’がターゲットマシン4へと送られる。
次に、図3(d)のパケットCがTTL変更部105で処理されると、パケットCから取り出された宛先アドレス(ターゲットマシン4)とTTL=5とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、両者のTTL値は同じなので、パケットCのTTL値はTTL=5のまま、図13(d)の中継後パケットC’がターゲットマシン4へと送られる。
ターゲットマシン4上に到着した中継後パケットA’、中継後パケットB’、中継後パケットC’によりデータが再構築されると、図13(e)のターゲットマシンでの結果が得られる。
しかし、このターゲットマシンでの結果は、図3(a)に示す攻撃シグネチャと異なる。このため、これら中継後パケットA’、中継後パケットB’、中継後パケットC’のデータ内容は、攻撃としては動作しない為、ターゲットマシン4への攻撃が無効化されたことになる。
【0043】
ところで、上記の説明ではネットワークプロトコルとしてTCP/IPを用いた場合について述べているが、その他のパケットを送受するネットワークプロトコルに関しても応用可能である。
【0044】
ところで、上記の説明ではネットワークが2つの場合について述べているが、それ以上のネットワークが接続されている場合にも応用可能である。
【0045】
また、上記の実施の形態1、2では、本発明に係るデータ中継装置について説明したが、実施の形態1、2に示した処理手順と同様の処理手順により本発明に係るデータ中継方法を実現することができる。
【0046】
また、ここで、実施の形態1、2で説明した攻撃対策システムの特徴をまとめる。
【0047】
実施の形態1に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークAとネットワークBの間のパケットの中継を行うルータと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、
ネットワークAに接続され、
ネットワークAにて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部と、
パケットの宛先までのネットワーク距離を測定する測定パケットを生成する測定パケット生成部と、
ネットワーク距離測定用のパケットをネットワークAに送受信する測定パケット送受信部と、
受信されたパケットに含まれるTTL(Time To Live)値と測定されたネットワーク距離を比較してパケットをデータ再構成部へ渡すかどうかを判定するパケット検査部と、
パケット検査部から渡されたパケットを元に通信データを再構成するデータ再構成部と、
攻撃データの特徴である攻撃シグネチャを、予め保存しておくシグネチャDBと、
再構成された通信データと攻撃シグネチャを比較して攻撃データかどうかを判定する攻撃チェック部を持つことを特徴とする。
【0048】
実施の形態2に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、ネットワークAとネットワークBの間で、ネットワークAにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Aと、
ネットワークBにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Bと、
パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部と、
パケット中継制御部から渡されたパケットの宛先とTTL(Time To Live)値の組み合わせがネットワーク距離記憶部に含まれない場合は格納し、既に含まれる場合はTTLの比較と更新を行ってTTLをパケット中継制御部へ渡すTTL変更部と、
パケット送受信部Aまたはパケット送受信部Bから渡されたパケットの宛先とTTLをTTL変更部に渡し、TTL変更部から渡されたTTLをパケットのTTLに設定し、反対側のパケット送受信部にパケットを中継の為に渡す中継制御部を持つことを特徴とする。
【0049】
【発明の効果】
以上のように、本発明によれば、受信した送信データに表示されたネットワーク距離と、測定した宛先データ通信装置までのネットワーク距離とを比較し、表示されたネットワーク距離の値が測定したネットワーク距離の値よりも小さい場合には受信した送信データを破棄し、破棄されなかった送信データのデータ内容を再構成して攻撃目的の有無を判定するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データも検出することができ、宛先データ通信装置への攻撃を未然に防止することができる。
【0050】
また、本発明によれば、各データ通信装置までのネットワーク距離を記憶しておき、受信した送信データに表示されたネットワーク距離と、宛先データ通信装置について記憶しているネットワーク距離とを比較し、表示されたネットワーク距離の値が記憶しているネットワーク距離の値よりも小さい場合は、表示されたネットワーク距離の値を記憶しているネットワーク距離の値に変更して送信データを宛先データ通信装置に対して送信するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データの攻撃を無効化することができる。
【図面の簡単な説明】
【図1】 実施の形態1に係るネットワーク構成の一例を示す図である。
【図2】 実施の形態1に係る攻撃対策システムの内部構成を示す図である。
【図3】 攻撃シグネチャ、受信パケット、再構成結果の例を示す図である。
【図4】 パケット検査部における手順の流れを示すフローチャート図である。
【図5】 ネットワーク距離測定部における手順の流れを示すフローチャート図である。
【図6】 TCP/IPにおけるIPデータグラム・ヘッダ・フォーマットの例を示す図である。
【図7】 TCP/IPにおけるICMPのエコー要求メッセージの例を示す図である。
【図8】 TCP/IPにおけるICMPの時間超過メッセージの例を示す図である。
【図9】 TCP/IPにおけるICMPのエコー応答メッセージの例を示す図である。
【図10】 実施の形態2に係るネットワーク構成の一例を示す図である。
【図11】 実施の形態2に係る攻撃対策システムの内部構成を示す図である。
【図12】 TTL変更部における手順の流れを示すフローチャート図である。
【図13】 ネットワーク距離記憶部の記憶内容、更新処理後のパケット、ターゲットマシンでの結果の例を示す図である。
【図14】 従来技術を適用するネットワーク構成の一例を示す図である。
【図15】 従来技術における攻撃検出システムの内部構成を示す図である。
【図16】 攻撃シグネチャ、受信パケット、従来の再構成結果、従来のターゲットマシンでの結果を示す図である。
【符号の説明】
1 攻撃対策システム、2 攻撃マシン、3 ルータ、4 ターゲットマシン、11 パケット送受信部、12 測定パケット生成部、13 測定パケット送受信部、14 パケット検査部、15 データ再構成部、16 シグネチャデータベース、17 攻撃チェック部、100 ネットワークA、101 パケット送受信部、102 パケット送受信部、103 中継制御部、104 ネットワーク距離記憶部、105 TTL変更部、200 ネットワークB。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an apparatus for correctly detecting or invalidating attack data when the attack data is divided into a plurality of packets and sent to a network.
[0002]
[Prior art]
As a conventional technique, Japanese Unexamined Patent Application Publication No. 2000-354034 discloses “Business: Hacker Monitoring Room”.
FIG. 14 and FIG. 15 are diagrams for explaining this “business: hacker monitoring room”.
In FIG. 14, reference numeral 100 denotes a network A to which a data communication apparatus can be connected and capable of transmitting / receiving packets, and reference numeral 200 denotes a network B to which a data communication apparatus can be connected and capable of transmitting / receiving packets.
Reference numeral 2 denotes an attack machine that sends attack data to the target machine 4 in a plurality of packets in the network A100.
Reference numeral 3 denotes a router that relays packets between the network A 100 and the network B 200.
Reference numeral 4 denotes a target machine that provides a service on the network B200.
An attack detection system 6 is connected to the network A100, receives a packet transmitted from a data communication apparatus in the network A100, and detects attack data from the received packet.
[0003]
FIG. 15 shows the internal configuration of the attack detection system 6, and 61 is a packet receiver that receives packets communicated in the network A100 regardless of the packet destination.
A data reconfiguration unit 62 reconfigures communication data based on the packet passed from the packet reception unit 61.
Reference numeral 63 denotes a signature database (hereinafter referred to as signature DB) in which an attack signature (attack command) that is characteristic of attack data is stored in advance.
Reference numeral 64 denotes an attack check unit that compares the reconstructed communication data with an attack signature to determine whether the attack data is attack data.
[0004]
Next, the operation of the attack detection system 6 will be described.
The packet receiving unit 61 receives a packet transmitted from a data communication apparatus connected to the network A100.
Here, for example, it is assumed that the packet A, the packet B, and the packet C illustrated in FIGS. 16B to 16D that are destined for the target machine 4 are received from the attack machine 2.
Next, the data reconstruction unit 62 reconstructs the data content of the packet received by the packet reception unit 61.
In the example of FIG. 16, the data contents of the packet A, the packet B, and the packet C are combined and reconfigured to the data contents “/ cgi-bin / phaf” as shown in FIG.
Next, when the attack check unit 64 compares the reconstructed data content with the attack signature stored in the signature DB 63 and determines that the attack data is the result of the comparison, the attack check unit discards the attack data. If it is determined that the data is not attack data, transfer to the destination data communication device is permitted.
FIG. 16A shows attack signatures accumulated in the signature DB 63.
The attack signature in FIG. 16 (a) and the reconstruction result in FIG. 16 (e) are the data contents (the attack signature is / phf ″ whereas the reconstruction result is / phaf ″ because the data contents do not match). Therefore, the attack check unit 64 determines that these packets A, B, and C are not attack data, and permits transfer of these packets.
[0005]
On the other hand, the value of TTL (Time To Live) is shown in each of packet A, packet B, and packet C in FIGS.
This TTL value is a value indicating the time (seconds) that a packet can stay in the network, and the time spent for processing of the router (gateway) every time it passes through the router (gateway) is displayed as the TTL. Subtracted from value. However, when the processing time is less than 1 second or when the processing time cannot be measured, at least 1 second is reduced. When the TTL value becomes 0, the packet is discarded by the router (gateway). That is, TTL is a value indicating the valid period of the packet.
Moreover, it is also possible to set it as a TTL value using a hop count instead of the time spent for processing of the router. That is, every time one router is passed, the TTL value may be decreased by one, and the router may discard the packet when the TTL value becomes zero. In this case, the TTL value indicates the network distance to which the packet is transferred.
Here, TTL = 5 for packet A, TTL = 1 for packet B, and TTL = 5 for packet C. For this reason, when the TTL value required from the attack detection system 6 to the target machine 4 is between 2 and 5, the packet B is discarded by the router in the middle, and only the packet A and the packet C reach the target machine 4. It will be.
The data contents of the packet A and the packet C that have arrived at the target machine 4 are as shown in FIG. 16F, and this eventually results in a match with the attack signature of FIG.
[0006]
[Problems to be solved by the invention]
As described above, in the conventional technology, although the attack detection system is reached, a dummy packet obtained by manipulating the TTL so as not to reach the target machine via the router is changed to a plurality of packets obtained by dividing the attack data. There is a problem in that the target machine is attacked while it is not detected as an attack signature (it cannot be determined as attack data apparently) by being inserted in between.
Therefore, an object of the present invention is to solve such problems.
[0007]
[Means for Solving the Problems]
The data relay device according to the present invention is:
A data relay device that relays data communication between a plurality of data communication devices,
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
A network distance measuring unit that measures a network distance from the data relay device to a destination data communication device that is a destination of the transmission data as a measurement network distance;
A data inspection unit that compares the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement unit and determines whether to discard the transmission data based on the comparison result It is characterized by having.
[0008]
The data relay device further receives a plurality of transmission data having the same data communication device as a destination data communication device by the data reception unit, and at least two or more transmission data among the received transmission data are received. A data restructuring unit that reconstructs the data content of the transmission data maintained in combination with the maintained transmission data when maintained without being discarded by the data inspection unit;
And a data determination unit that determines whether or not the data content reconstructed by the data reconstruction unit is data content intended to attack the destination data communication device.
[0009]
The data inspection unit may determine to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
[0010]
The data receiving unit receives transmission data in which a TTL (Time To Live) value is displayed as the display network distance,
The network distance measurement unit measures a TTL value necessary from the data relay device to the destination data communication device as the measurement network distance,
The data inspection unit compares the TTL value displayed in the transmission data with the TTL value measured by the network distance measurement unit, and determines whether to discard the transmission data based on a comparison result. It is characterized by.
[0011]
The data relay device further includes an attack command storage unit that stores at least one attack command used for attacking any of the data communication devices,
The data determination unit determines whether the data content reconstructed by the data reconstruction unit matches any of the attack commands stored in the attack command storage unit.
[0012]
The data relay device according to the present invention is:
A data relay device that relays data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage unit that stores a network distance from the data relay device to each data communication device as a storage network distance;
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing unit for changing one of the values of the network distance;
A data transmission unit that transmits the transmission data to the destination data communication apparatus after the value of either the display network distance or the storage network distance of the destination communication apparatus is changed by the network distance change unit It is characterized by having.
[0013]
When the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the network distance change unit changes the value of the display network distance to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Features.
[0014]
When transmission data destined for a new data communication device whose storage network distance is not stored in the network distance storage unit is received by the data reception unit, the network distance storage unit is displayed in the transmission data. The network distance is stored as the storage network distance of the new data communication apparatus.
[0015]
The network distance storage unit stores a TTL (Time To Live) value required from the data relay device to each data communication device as the storage network distance,
The data receiving unit receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing unit compares the display TTL value displayed in the transmission data with the stored TTL value of the destination data communication device stored in the network distance storage unit, and based on the comparison result, the display TTL value and One of the stored TTL values of the destination data communication apparatus is changed.
[0016]
The data relay method according to the present invention includes:
A data relay method for relaying data communication between a plurality of data communication devices,
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
A network distance measuring step of measuring a network distance from the data relay method to a destination data communication device that is a destination of the transmission data as a measurement network distance;
A data inspection step of comparing the display network distance displayed in the transmission data with the measured network distance measured in the network distance measurement step and determining whether to discard the transmission data based on the comparison result It is characterized by having.
[0017]
In the data relay method, a plurality of transmission data having the same data communication device as a destination data communication device is received by the data reception step, and at least two or more transmission data among the plurality of transmission data received are received. A data restructuring step for reconfiguring the data content of the transmission data maintained in combination with the maintained transmission data when maintained without being discarded by the data checking step;
A data determination step of determining whether or not the data content reconfigured by the data reconfiguration step is data content intended for an attack on the destination data communication device.
[0018]
The data inspection step is characterized in that a determination is made to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
[0019]
The data reception step receives transmission data in which a TTL (Time To Live) value is displayed as the display network distance,
The network distance measurement step measures a TTL value necessary from the data relay method to the destination data communication device as the measurement network distance,
The data checking step compares the TTL value displayed in the transmission data with the TTL value measured in the network distance measurement step, and determines whether to discard the transmission data based on the comparison result. It is characterized by.
[0020]
The data relay method according to the present invention includes:
A data relay method for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage step for storing a network distance from the data relay method to each data communication device as a storage network distance;
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing step for changing one of the values of the network distance;
A data transmission step of transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change step. It is characterized by having.
[0021]
In the network distance changing step, when the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the value of the display network distance is changed to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Features.
[0022]
The network distance storing step stores a TTL (Time To Live) value necessary from the data relay method to each data communication device as the storage network distance,
The data receiving step receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing step compares the display TTL value displayed in the transmission data with the storage TTL value of the destination data communication device stored in the network distance storage step, and based on the comparison result, the display TTL value and One of the stored TTL values of the destination data communication apparatus is changed.
[0023]
A data relay processing program according to the present invention includes:
A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
A network distance measurement process for measuring a network distance from the data relay device to a destination data communication device as a destination of the transmission data as a measurement network distance;
Data inspection processing for comparing the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement processing and determining whether to discard the transmission data based on the comparison result And a data relay processing program for causing the data relay device to execute the above.
[0024]
The data relay processing program further receives a plurality of transmission data having the same data communication device as a destination data communication device by the data reception processing, and at least two or more transmission data of the received transmission data Is reconstructed by reconfiguring the data content of the transmission data maintained by combining the maintained transmission data when the data inspection process is maintained without being discarded, and
For causing the data relay device to execute data determination processing for determining whether the data content reconfigured by the data reconfiguration processing is data content intended for an attack on the destination data communication device It is a data relay processing program.
[0025]
A data relay processing program according to the present invention includes:
A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance change process for changing one of the network distance values,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing And a data relay processing program for causing the data relay device to execute.
[0026]
A computer-readable recording medium according to the present invention includes:
A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
A network distance measurement process for measuring a network distance from the data relay device to a destination data communication device as a destination of the transmission data as a measurement network distance;
Data inspection processing for comparing the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement processing and determining whether to discard the transmission data based on the comparison result Is a computer-readable recording medium on which a data relay processing program for causing the data relay apparatus to execute is recorded.
[0027]
The computer-readable recording medium on which the data relay processing program is recorded further includes a plurality of transmission data received by the data reception process with the same data communication device as a destination data communication device, and the plurality of transmissions received. A data reconstruction process for reconstructing the data content of the transmission data maintained by combining the maintained transmission data when at least two or more transmission data of the data is maintained without being discarded by the data inspection process; ,
For causing the data relay device to execute data determination processing for determining whether the data content reconfigured by the data reconfiguration processing is data content intended for an attack on the destination data communication device It is a computer-readable recording medium on which a data relay processing program is recorded.
[0028]
A computer-readable recording medium according to the present invention includes:
A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance change process for changing one of the network distance values,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing Is a computer-readable recording medium on which a data relay processing program for causing the data relay apparatus to execute is recorded.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Embodiment 1 FIG.
FIG. 1 is a diagram illustrating an example of a network configuration according to the present embodiment.
In FIG. 1, reference numeral 1 denotes an attack countermeasure system that is connected to a network A100, receives a packet transmitted from a data communication apparatus in the network A100, and detects attack data from the received packet. The attack countermeasure system corresponds to the data relay device according to the present invention.
Other components are the same as those shown in FIG.
[0030]
FIG. 2 is a diagram showing an internal configuration of the attack countermeasure system 1.
11 is a packet transmission / reception unit that receives a packet communicated in the network A100 regardless of the destination of the packet, and transmits a packet that is determined not to be attack data by the attack check unit 17 to the destination data communication device. is there. The packet received by the packet transmitting / receiving unit 11 includes a TTL (Time To Live) value. This TTL value corresponds to the network distance. As described above, the TTL value can be set by using the hop count instead of the time spent in the processing of the router, and the TTL value is decreased by 1 every time one router is passed. The router may discard the packet when it reaches zero. In this case, the TTL value corresponds to the network distance over which the packet is transferred.
12 is a measurement packet generator that generates a measurement packet for measuring a network distance to a data communication device (destination data communication device) that is a destination of the received packet when the packet is received by the packet transmitting / receiving unit 11 Part. Reference numeral 13 denotes a measurement packet transmission / reception unit that transmits the measurement packet generated by the measurement packet generation unit 12 to the destination data communication apparatus and receives a response to the measurement packet.
The measurement packet generation unit 12 and the measurement packet transmission / reception unit 13 are collectively referred to as a network distance measurement unit.
14 compares the TTL value included in the packet received by the packet transmitting / receiving unit 11 and the network distance obtained from the measurement packet transmitting / receiving unit 13, and based on the comparison result, determines whether to discard the packet or sets the packet as a data reconstruction unit. 15 is a packet inspection unit that performs one of the determinations to be passed to 15. The packet inspection unit 14 corresponds to a data inspection unit.
A data reconfiguration unit 15 reconfigures communication data based on the packet passed from the packet inspection unit 14.
Reference numeral 16 denotes a signature database (hereinafter referred to as a signature DB) in which an attack signature (attack command) that is characteristic of attack data is stored in advance. The signature DB 16 corresponds to an attack command storage unit.
Reference numeral 17 denotes an attack check unit that compares the reconstructed communication data with an attack signature to determine whether the attack data is attack data. The attack check unit 17 corresponds to a data determination unit.
[0031]
Although not shown, the attack countermeasure system 1 (data relay device) can be realized by a computer having a CPU such as a microprocessor, a recording unit such as a semiconductor memory or a magnetic disk, and a communication unit. The recording means records a program that realizes the function of each component included in the attack countermeasure system 1, and the CPU reads the program to control the operation of the attack countermeasure system 1, and Function can be realized.
These programs can also be recorded on a recording medium that can be read by a computer. Furthermore, it is also possible to transfer these programs via a communication network.
[0032]
Next, the operation of the attack countermeasure system 1 will be described.
The packet transmitting / receiving unit 11 receives a packet transmitted from the data communication apparatus connected to the network A100.
Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS.
Next, the packet transmitting / receiving unit 11 passes the received packet A, packet B, and packet C to the packet inspection unit 14.
The packet inspection unit 14 processes the packet by the packet inspection procedure shown in FIG.
Hereinafter, the processing of the packet inspection unit 14 will be described with reference to the flowchart of FIG.
[0033]
First, in step S11, the packet inspection unit 14 acquires the address of the destination data communication device (here, the target machine 4) (hereinafter referred to as the destination address) from the packet.
Next, in step S12, the destination address is passed to the measurement packet generator 12 and called.
Here, the measurement procedure of the network distance by the measurement packet generator 12 and the measurement packet transmitter / receiver 13 will be described with reference to FIG.
[0034]
First, the measurement packet generator 12 creates a measurement packet in step S21. Specifically, a measurement packet in which Destination Address = destination address (in this case, the address of the target machine 4) in the IP datagram header format and TTL = 1 is generated. FIG. 6 shows an example of the IP datagram header format. In the example of FIG. 6, the destination address is set in the Identification 35, and TTL = 1 is set in the Time To Live 36. The measurement packet is an ICMP echo request message 37 as shown in FIG.
Next, in step S22, the measurement packet transmission / reception unit 13 sends the measurement packet to the network A100.
Here, the router 3 arranged up to the destination data communication device (here, the target machine 4) confirms the TTL value of the measurement packet and subtracts 1 from the TTL value. As a result of the subtraction, since the TTL value becomes 0, the ICMP time excess message 38 (FIG. 8) is sent back from the router 3 as a result packet.
Next, in step S23, the measurement packet transmitting / receiving unit 13 receives the result packet.
Next, in step S24, the measurement packet generator 12 determines from the result packet whether the measurement packet has reached the destination data communication device. Here, since the result packet is an ICMP time exceeded message, it is determined that the packet has not arrived.
Next, in step S25, the measurement packet generator 12 compares the current TTL value with the upper limit value (= 225) of the TTL value. Here, it is determined that the current TTL = 1 is less than the upper limit value.
Next, in step S26, the measurement packet generator 12 adds 1 to the current TTL value, generates a measurement packet in which TTL = 2 is set, returns to step S22, and repeats the process.
In step S25, if the TTL reaches the upper limit (= 255), measurement is disabled in step S27.
In step S23, when the ICMP echo response message transmitted from the destination address (target machine 4) is received (FIG. 9), the measurement packet generator 12 determines in step S24 that the packet has arrived.
If it is determined in step S24 that the packet has arrived, the measurement packet generation unit 12 passes the TTL value to the packet inspection unit 14 as the measured network distance.
[0035]
In step S13 of FIG. 4, the packet inspection unit 14 compares the TTL value displayed in the packet received by the packet transmitting / receiving unit 11 with the measured network distance (TTL value), and the measurement result (measured network If the (distance) is equal to or smaller than the TTL value of the packet, the process proceeds to step S14. If the TTL value of the packet is smaller than the measurement result, the process proceeds to S15.
In step S <b> 14, the packet inspection unit 14 determines that the packet reaches the destination data communication device (target machine 4), and passes the packet to the data reconstruction unit 15.
On the other hand, in step S15, it is determined that the packet does not reach the destination data communication apparatus (target machine 4), and the decision to discard the packet is made and discarded.
In the example of FIG. 3, when the measured TTL value is 2 to 5, the packet A and the packet C are passed to the data reconstruction unit 15 in step S14, and the packet B is discarded in step S15. Will be.
[0036]
Next, the data reconstruction unit 15 reconstructs data based on the packet passed from the packet inspection unit 14 and passes the reconstruction result to the attack check unit 17.
The attack check unit 17 compares the reconstructed result with the attack signature stored in the signature DB 16 to determine whether or not the attack data.
In the example of FIG. 3, the data reconstruction unit 15 reconstructs the data contents illustrated in FIG. 3E based on the packet A and the packet C.
The attack check unit 17 compares the attack signature shown in FIG. 3A stored in the signature DB 16 with the reconstructed result of FIG. 3E, and the packet A and the packet because the reconstructed result matches the attack signature. C is determined to be attack data, and packet A and packet C are discarded.
[0037]
Embodiment 2. FIG.
FIG. 10 is a diagram illustrating an example of a network configuration according to the present embodiment.
In the present embodiment, the attack countermeasure system 1 also serves as the router 3 in the first embodiment, is arranged between the network A100 and the network B200, receives a packet transmitted from the network A100, and receives the received packet. To network B200.
Other components are the same as those shown in FIG.
Although omitted in FIG. 10, the attack detection system 6 may be provided as in FIG. 14.
[0038]
FIG. 11 is a diagram showing an internal configuration of the attack countermeasure system 1 according to the present embodiment.
In FIG. 11, reference numeral 101 denotes a packet transmission / reception unit (hereinafter referred to as a packet transmission / reception unit A) that receives a packet communicated in the network A 100 and passes it to the relay control unit 103. The packet received by the packet transmitting / receiving unit A101 includes a TTL (Time To Live) value. The packet transmitting / receiving unit A101 corresponds to a data transmitting unit or a data receiving unit.
Reference numeral 102 denotes a packet transmission / reception unit (hereinafter referred to as packet transmission / reception unit B) that receives a packet communicated in the network B 200 and passes it to the relay control unit 103. The packet transmitting / receiving unit B102 corresponds to a data transmitting unit or a data receiving unit.
A relay control unit 103 performs control among the packet transmitting / receiving unit A 101, the packet transmitting / receiving unit B 102, and the TTL changing unit 105.
A network distance storage unit 104 stores a combination of a packet destination and a TTL (Time To Live) value. For example, the network distance storage unit 104 stores a combination of a packet destination and a TTL value as shown in FIG.
105 compares the TTL value included in the packet with the corresponding TTL value stored in the network distance storage unit 104 for the packet passed from the relay control unit 103, and the TTL value of the packet or It is a TTL changing unit that changes the TTL value stored in the network distance storage unit 104. When a new data communication device whose TTL value is not stored in the network distance storage unit 104 is a packet destination, the TTL changing unit 105 sets the TTL value included in the packet addressed to the new data communication device. Is stored in the network distance storage unit 104. Note that the TTL changing unit 105 corresponds to a network distance changing unit.
The attack countermeasure system 1 (data relay device) in the present embodiment is also not shown, but is realized by a computer having a CPU such as a microprocessor, a recording unit such as a semiconductor memory or a magnetic disk, and a communication unit. can do. The recording means records a program that realizes the function of each component included in the attack countermeasure system 1, and the CPU reads the program to control the operation of the attack countermeasure system 1, and Function can be realized.
These programs can also be recorded on a recording medium that can be read by a computer. Furthermore, it is also possible to transfer these programs via a communication network.
[0039]
Next, the operation of the attack countermeasure system 1 according to the present embodiment will be described.
The packet transmitting / receiving unit A101 receives a packet transmitted from a data communication apparatus connected to the network A100.
Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS.
Next, the packet transmitting / receiving unit A 101 passes the received packet A, packet B, and packet C to the relay control unit 103.
The relay control unit 103 passes the received packet to the TTL changing unit 105.
The TTL changing unit 105 processes the packet according to the TTL changing procedure shown in FIG.
Hereinafter, the processing of the TTL changing unit 105 will be described with reference to the flowchart of FIG.
[0040]
First, in step S31, the TTL changing unit 105 acquires the address of the destination data communication device (here, the target machine 4) (hereinafter referred to as the destination address) from the packet.
Next, in step S32, the TTL changing unit 105 determines whether a TTL value (network distance) corresponding to the destination address is registered in the network distance storage unit 104.
If registered, the process proceeds to step S33, and the TTL value corresponding to the destination address is extracted from the network distance storage unit 104.
If not registered (in the case of a new data communication apparatus), the process proceeds to step S34, where the TTL value is extracted from the packet, and the destination address and the TTL value are registered in the network distance storage unit 104.
Next, when the process proceeds to step S33, the TTL changing unit 105 compares the TTL value acquired from the network distance storage unit 104 with the TTL value included in the packet in step S35. If the packet TTL value is larger as a result of the comparison, in step S36, an update is performed to change the TTL value in the network distance storage unit 104 to the packet TTL value.
On the other hand, when the TTL value of the packet is smaller, in step S37, an update is performed to change the TTL value of the packet to the TTL value of the network distance storage unit.
[0041]
After the TTL value is changed in this way, the TTL changing unit 105 sends the packet (the packet in which the TTL value is changed when the TTL value of the packet is changed) to the relay control unit 103. And pass.
The relay control unit 103 passes the packet received from the TTL changing unit 105 to the packet transmitting / receiving unit B102.
The packet transmitting / receiving unit B102 passes the packet to the network B200.
[0042]
Here, when the TTL value up to the target machine 4 is not stored in the network distance storage unit 104 (when the target machine 4 is a new data communication device), the packet A in FIG. When processed by the changing unit 105, the destination address (target machine 4) and TTL = 5 extracted from the packet A are stored in the network distance storage unit 104 (FIG. 13A), as shown in FIG. 13B. The relayed packet A ′ is sent to the target machine 4.
Next, when the packet B in FIG. 3C is processed by the TTL changing unit 105, the destination address (target machine 4) extracted from the packet B and TTL = 1 are stored in the network distance storage unit 104. Compared with the corresponding TTL value (TTL = 5), the TTL value of the packet B is smaller, so the TTL value of the packet B is updated to TTL = 5, and the post-relay packet B ′ in FIG. Is sent to the target machine 4.
Next, when the packet C in FIG. 3D is processed by the TTL changing unit 105, the destination address (target machine 4) extracted from the packet C and TTL = 5 are stored in the network distance storage unit 104. The TTL value of the packet C remains the same as the TTL value of the packet C, and the post-relay packet C ′ of FIG. Sent to.
When the data is reconstructed by the post-relay packet A ′, the post-relay packet B ′, and the post-relay packet C ′ arriving on the target machine 4, the result at the target machine of FIG. 13E is obtained.
However, the result on this target machine is different from the attack signature shown in FIG. For this reason, the data contents of the post-relay packet A ′, the post-relay packet B ′, and the post-relay packet C ′ do not operate as an attack, and thus the attack on the target machine 4 is invalidated.
[0043]
In the above description, the case where TCP / IP is used as the network protocol is described. However, the present invention can also be applied to other network protocols for transmitting and receiving packets.
[0044]
In the above description, the case where there are two networks is described. However, the present invention can be applied to a case where more networks are connected.
[0045]
In the first and second embodiments, the data relay apparatus according to the present invention has been described. However, the data relay method according to the present invention is realized by the same processing procedure as the processing procedure described in the first and second embodiments. can do.
[0046]
Here, the features of the attack countermeasure system described in the first and second embodiments are summarized.
[0047]
The attack countermeasure system according to Embodiment 1 is:
Network A that can be connected to a communication device and can send and receive packets;
A network B to which a communication device can be connected and packets can be transmitted and received;
A router that relays packets between network A and network B;
A target machine that provides services on network B;
In an environment consisting of attack machines that send attack data in multiple packets to the target machine in network A,
Connected to network A,
A packet receiving unit for receiving a packet communicated in the network A regardless of the destination of the packet;
A measurement packet generator for generating a measurement packet for measuring the network distance to the packet destination;
A measurement packet transmission / reception unit for transmitting / receiving a network distance measurement packet to / from network A;
A packet inspection unit that compares a TTL (Time To Live) value included in the received packet with the measured network distance to determine whether to pass the packet to the data reconstruction unit;
A data reconstruction unit that reconstructs communication data based on the packet passed from the packet inspection unit;
A signature DB that stores in advance an attack signature that is characteristic of attack data;
It has an attack check unit that compares the reconstructed communication data with an attack signature to determine whether the attack data is attack data.
[0048]
The attack countermeasure system according to the second embodiment is:
Network A that can be connected to a communication device and can send and receive packets;
A network B to which a communication device can be connected and packets can be transmitted and received;
A target machine that provides services on network B;
In an environment consisting of an attack machine that sends attack data to a target machine in a network A by a plurality of packets, a packet that is communicated between the network A and the network B and is transmitted to the relay control unit. A transceiver A;
A packet transmitting / receiving unit B that receives a packet communicated in the network B and passes it to the relay control unit;
A network distance storage unit that stores a combination of a packet destination and a TTL (Time To Live) value;
If the combination of the destination of the packet passed from the packet relay control unit and the TTL (Time To Live) value is not included in the network distance storage unit, it is stored, and if it is already included, the TTL is compared and updated to perform the TTL A TTL changing unit to be passed to the packet relay control unit;
The packet destination and TTL passed from the packet transmitting / receiving unit A or the packet transmitting / receiving unit B are passed to the TTL changing unit, the TTL passed from the TTL changing unit is set to the TTL of the packet, and the packet is sent to the opposite packet transmitting / receiving unit. It is characterized by having a relay control unit that delivers for relaying.
[0049]
【The invention's effect】
As described above, according to the present invention, the network distance displayed in the received transmission data is compared with the measured network distance to the destination data communication device, and the displayed network distance value is measured. If it is smaller than the value of the received data, the received data is discarded, and dummy data that does not reach the destination data communication device is included to reconstruct the data content of the transmitted data that was not discarded and to determine whether there is an attack purpose. Therefore, attack data that is not apparently determined as attack data can be detected, and an attack on the destination data communication apparatus can be prevented in advance.
[0050]
Further, according to the present invention, the network distance to each data communication device is stored, the network distance displayed in the received transmission data is compared with the network distance stored for the destination data communication device, If the displayed network distance value is smaller than the stored network distance value, the displayed network distance value is changed to the stored network distance value and the transmission data is sent to the destination data communication device. On the other hand, since the dummy data that does not reach the destination data communication device is included, the attack of the attack data that does not seem to be determined as attack data can be invalidated.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating an example of a network configuration according to a first embodiment.
FIG. 2 is a diagram showing an internal configuration of the attack countermeasure system according to the first embodiment.
FIG. 3 is a diagram illustrating examples of attack signatures, received packets, and reconfiguration results.
FIG. 4 is a flowchart showing a procedure flow in a packet inspection unit.
FIG. 5 is a flowchart showing a procedure flow in a network distance measurement unit.
FIG. 6 is a diagram illustrating an example of an IP datagram header format in TCP / IP.
FIG. 7 is a diagram illustrating an example of an ICMP echo request message in TCP / IP.
FIG. 8 is a diagram illustrating an example of an ICMP time exceeded message in TCP / IP.
FIG. 9 is a diagram illustrating an example of an ICMP echo response message in TCP / IP.
10 is a diagram illustrating an example of a network configuration according to Embodiment 2. FIG.
11 is a diagram showing an internal configuration of an attack countermeasure system according to Embodiment 2. FIG.
FIG. 12 is a flowchart showing a procedure flow in a TTL changing unit.
FIG. 13 is a diagram illustrating an example of storage contents of a network distance storage unit, a packet after update processing, and a result in a target machine.
FIG. 14 is a diagram illustrating an example of a network configuration to which a conventional technique is applied.
FIG. 15 is a diagram illustrating an internal configuration of an attack detection system according to a conventional technique.
FIG. 16 is a diagram illustrating an attack signature, a received packet, a conventional reconfiguration result, and a result on a conventional target machine.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Attack countermeasure system 2 Attack machine 3 Router 4 Target machine 11 Packet transmission / reception part 12 Measurement packet generation part 13 Measurement packet transmission / reception part 14 Packet inspection part 15 Data reconstruction part 16 Signature database 17 Attack Check unit, 100 network A, 101 packet transmission / reception unit, 102 packet transmission / reception unit, 103 relay control unit, 104 network distance storage unit, 105 TTL change unit, 200 network B.

Claims (7)

複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有し、
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継装置。A data relay device that relays data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage unit that stores a network distance from the data relay device to each data communication device as a storage network distance;
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing unit for changing one of the values of the network distance;
A data transmission unit that transmits the transmission data to the destination data communication apparatus after the value of either the display network distance or the storage network distance of the destination communication apparatus is changed by the network distance change unit It has a door,
When the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the network distance change unit changes the value of the display network distance to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Characteristic data relay device. 前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする請求項に記載のデータ中継装置。When transmission data destined for a new data communication device whose storage network distance is not stored in the network distance storage unit is received by the data reception unit, the network distance storage unit is displayed in the transmission data. the data relay apparatus according to claim 1, the network distance, and to store as a storage network distance of the new data communication apparatus. 前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項に記載のデータ中継装置。The network distance storage unit stores a TTL (Time To Live) value required from the data relay device to each data communication device as the storage network distance,
The data receiving unit receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing unit compares the display TTL value displayed in the transmission data with the stored TTL value of the destination data communication device stored in the network distance storage unit, and based on the comparison result, the display TTL value and The data relay apparatus according to claim 1, wherein one of the stored TTL values of the destination data communication apparatus is changed. 複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有し、
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継方法。A data relay method for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage step for storing a network distance from the data relay method to each data communication device as a storage network distance;
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing step for changing one of the values of the network distance;
A data transmission step of transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change step. It has a door,
In the network distance changing step, when the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the value of the display network distance is changed to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Characteristic data relay method. 前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項に記載のデータ中継方法。The network distance storing step stores a TTL (Time To Live) value necessary from the data relay method to each data communication device as the storage network distance,
The data receiving step receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing step compares the display TTL value displayed in the transmission data with the storage TTL value of the destination data communication device stored in the network distance storage step, and based on the comparison result, the display TTL value and 5. The data relay method according to claim 4 , wherein one of the stored TTL values of the destination data communication apparatus is changed. 複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラム。A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device In the process of changing one of the network distance values, when the display network distance value is smaller than the storage network distance value of the destination data communication device, the display network distance value is set to the destination data. When the storage network distance value of the destination data communication device is smaller than the display network distance value, the storage network distance value of the destination data communication device is displayed. Network distance change processing to change to the network distance value ,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing And a data relay processing program for causing the data relay device to execute. 複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の 記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体。A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device In the process of changing one of the network distance values, when the display network distance value is smaller than the storage network distance value of the destination data communication device , the display network distance value is set to the destination data. When the storage network distance value of the destination data communication device is smaller than the display network distance value, the storage network distance value of the destination data communication device is displayed. Network distance change processing to change to the network distance value ,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing A computer-readable recording medium on which a data relay processing program for causing the data relay device to execute is recorded.
JP2001272867A 2001-09-10 2001-09-10 Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program Expired - Fee Related JP3919488B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001272867A JP3919488B2 (en) 2001-09-10 2001-09-10 Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001272867A JP3919488B2 (en) 2001-09-10 2001-09-10 Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program

Publications (2)

Publication Number Publication Date
JP2003087333A JP2003087333A (en) 2003-03-20
JP3919488B2 true JP3919488B2 (en) 2007-05-23

Family

ID=19098165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001272867A Expired - Fee Related JP3919488B2 (en) 2001-09-10 2001-09-10 Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program

Country Status (1)

Country Link
JP (1) JP3919488B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4649253B2 (en) * 2005-03-30 2011-03-09 株式会社野村総合研究所 Log acquisition program and method
JP4551316B2 (en) * 2005-11-22 2010-09-29 日本電信電話株式会社 Relay device and relay device program
JP4148526B2 (en) 2006-04-20 2008-09-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Apparatus and method for detecting a network address translation device.

Also Published As

Publication number Publication date
JP2003087333A (en) 2003-03-20

Similar Documents

Publication Publication Date Title
JP4509955B2 (en) VPN communication detection method and apparatus
US7936743B2 (en) Method and system for determining a path between two points of an IP network over which datagrams are transmitted
CN113132342B (en) Method, network device, tunnel entry point device, and storage medium
EP2001165B1 (en) Method and system for measuring network performance
JP3225924B2 (en) Communication quality control device
EP2764662B1 (en) Test traffic interceptor in a data network
CN108111509B (en) Data transmission method
US11943147B2 (en) Method of determining passive round trip time, RTT, delay in a telecommunications system
US7773540B1 (en) Methods, system and apparatus preventing network and device identification
CN101237468A (en) Relay device, program and relay method
JP2008098813A (en) Information communication device, information communication method, and program
US20160156742A1 (en) Relaying system and method of transmitting ip address of client to server using encapsulation protocol
US20080192641A1 (en) Automatic discovery of blocking access-list ID and match statements in a network
Edeline et al. A bottom-up investigation of the transport-layer ossification
Simpson TCP cookie transactions (TCPCT)
Göhring et al. Path mtu discovery considered harmful
JP3919488B2 (en) Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program
EP3328032B1 (en) Network proxy detection
JP2003163681A (en) Device and method for transferring packet and program
JP3961415B2 (en) Protocol defect automatic detection method and protocol defect automatic detection device
Custura et al. Reducing the acknowledgement frequency in IETF QUIC
Hoogstraaten Evaluating server-side internet proxy detection methods
JP2001358771A (en) Device for controlling communication quality
CN113965338B (en) Intranet penetration method
CN116915653A (en) Method and system for detecting number of devices based on network address conversion

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040518

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041019

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050411

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070213

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3919488

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100223

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110223

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120223

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130223

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130223

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140223

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees