| 【発明の名称】 |
パケット追跡方法およびパケット追跡プログラム |
| 【発明者】 |
【氏名】大谷 尚通
【氏名】キニ グレン マンスフィールド
|
| 【要約】 |
【課題】パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うこと。
【構成】パケットプリント装置400Aは、監視対象ネットワークを流れるパケット(250(250’))について、該パケットに含まれる情報(IPアドレス、ポート番号等)を通過時に書き換えるパケット変換装置500における書き換え前のパケット250を特定するためのPPa_1と、書き換え後のパケット250’を特定するためのPPb_1とを生成し、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bに格納し、追跡マネージャ300からの追跡対象パケットを特定するためのPPa_1を含む検索要求を受けて、第1のPP格納部406Aまたは第2のPP格納部406Bを検索し、検索結果を追跡マネージャ300へ送信する。 |
【特許請求の範囲】
【請求項1】
監視対象のネットワークの要所に配置された複数のパケットプリント装置と、これらのパケットプリント装置との間で情報の送受を行う追跡マネージャとを備えたパケット追跡システムに適用されるパケット追跡方法であって、
前記ネットワークを流れるパケットについて、該パケットに含まれる情報を通過時に書き換えるパケット変換装置における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置の前後で共通な内容の共通パケット特定情報と、マスク前のパケットを特定するための通常パケット特定情報とを生成するとともに、前記共通パケット特定情報と前記通常パケット特定情報との対応関係を表す対応テーブルを生成し、格納するパケット特定情報格納工程と、
追跡対象パケットを特定するための追跡対象パケット特定情報を含む検索要求を受けて、前記対応テーブルにおける前記追跡対象パケット特定情報を検索することで、前記パケット変換装置の前後におけるパケットを同定する同定工程と、
を含むことを特徴とするパケット追跡方法。
【請求項2】
前記パケット特定情報格納工程では、前記ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ前記共通パケット特定情報を生成することを特徴とする請求項1に記載のパケット追跡方法。
【請求項3】
前記パケット特定情報格納工程では、前記パケット変換装置における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するための部分パケット特定情報を生成し、部分パケット特定情報を任意の組み合わせで組み合わせることにより共通パケット特定情報を生成し、格納することを特徴とする請求項1に記載のパケット追跡方法。
【請求項4】
前記ネットワークに送出されるバリアパケットの情報を格納するバリアパケット情報格納工程を含み、前記同定工程では、前記共通パケット特定情報および前記通常パケット特定情報でパケットの同定ができない場合、前記バリアパケットの情報に基づいて、該パケットの同定を行うことを特徴とする請求項1に記載のパケット追跡方法。
【請求項5】
前記追跡マネージャが主導で前記追跡対象パケットの追跡調査を行うことを特徴とする請求項1〜4のいずれか一つに記載のパケット追跡方法。
【請求項6】
前記パケットプリント装置が主導で前記追跡対象パケットの追跡調査を行うことを特徴とする請求項1〜4のいずれか一つに記載のパケット追跡方法。
【請求項7】
前記追跡対象パケットの追跡を、前記追跡マネージャ、前記パケットプリント装置の機能を有するプロキシ装置へ代理依頼する依頼工程を含むことを特徴とする請求項1〜4のいずれか一つに記載のパケット追跡方法。
【請求項8】
請求項1〜7のいずれか一つに記載されたパケット追跡方法をコンピュータに実行させるためのパケット追跡プログラム。
|
【発明の詳細な説明】【技術分野】
【0001】
本発明は、ネットワークを流れる監視対象パケットを追跡するパケット追跡方法およびパケット追跡プログラムに関するものであり、特に、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるパケット追跡方法およびパケット追跡プログラムに関するものである。
【背景技術】
【0002】
従来より、ネットワーク内の不審なパケットを検出するために、IDS(Intrusion Detection System:侵入検知装置)が使用されている。このIDSにより不審なパケットを検知し、そのパケットの追跡を行う場合には、発信元アドレスをキーとしてパケットの追跡を行う。
【0003】
そのため、発信元アドレスが詐称されていると、正確なパケットの追跡ができない。このような発信元の詐称されたパケットを特定し、追跡するために、パケット内に目印となる情報を付与する等、パケットに手を加える方法や、パケットの中身を精査する方法が考えられていた。
【0004】
しかし、上述したパケット内に目印となる情報を付与する従来の方法は、その中身を調べるため、プライバシを侵害するという問題点があった。また、第三者によってパケット内に追跡するためとして付与された情報が、悪意ある第三者によって付与された、または変更された欺購情報である場合には、そのパケットを正確に追跡することができなかった。
【0005】
また、従来では、ルータ等、既存のネットワーク機器において追跡する方法も考えられていた。しかし、この方法を実現するには、対象となるネットワーク装置内部の仕組みや、ネットワークの構成を一部変更しなければならない。そのため、機器の追加、設置場所変更等の構成変更を柔軟に行うことができなくなるという問題点があった。
【0006】
図33は、上記問題点を解決するための従来のパケット追跡システムの構成概要を示すブロック図である。同図において、ローカルネットワーク50A、50B、50Cおよび50Dは、イントラネット内のネットワークである。従って、これらのローカルネットワーク50A、50B、50Cおよび50Dでは、ローカルIP(Internet Protocol Address)アドレスが用いられる。
【0007】
これらのローカルネットワーク50A、50B、50Cおよび50Dを監視するため、それぞれのローカルネットワーク間には、パケットプリント装置101(101a、101b、101c)が、タッピングなどの手法を用いてIPアドレスなどの論理接続を持たない接続方式(ステルス接続方式)により接続されている。したがって、これらのパケットプリント装置101a、101bおよび101cは、監視対象ネットワーク内の他の装置から自己の存在を隠すことができる。
【0008】
また、パケットプリント装置101a、101bおよび101cは、監視対象ネットワークとは独立に存在する管理用ネットワークにも接続されている。この場合、パケットプリント装置101a、101bおよび101cは、監視対象ネットワークとの接続(ステルス接続)とは異なり、管理用ネットワークに接続された他の装置から認識可能な接続方式(例えばIP接続方式)で接続されている。
【0009】
これらのパケットプリント装置101a、101bおよび101cは、それぞれが接続されているローカルネットワーク間の接続リンクを監視の対象とし、それぞれの監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(PP)を生成するとともに、このパケットプリントを記憶する。
【0010】
ここで、パケットプリントとして最も一般的なのがハッシュ値と呼ばれるものである。このハッシュ値の生成には、ハッシュ関数と呼ばれる一方向性関数が用いられる。この一方向性関数に基づいて、パケットに含まれる文字、数字などを含んだ可変長の文字列データが固定長のデータに要約される。この要約された固定長データをハッシュ値と呼んでいる。なお、これ以降、このパケットプリントをハッシュ値として説明する。
【0011】
IDS103は、ローカルネットワーク50Cおよび管理用ネットワークに接続されている。このIDS103は、監視対象ネットワークに侵入した不正アクセスパケットの検知を行う装置である。追跡マネージャ102は、管理用ネットワークに接続され、パケットプリント装置101a、101bおよび101cと管理用ネットワークを介して通信する装置である。構成情報格納部126は監視対象ネットワークおよび管理用ネットワークの構成情報を記憶している。
【0012】
上記構成において、IDS103が、ローカルネットワーク50C内で不正アクセスパケットを検知したものとする。この不正アクセスパケットの検知は、ユーザが定義した不正アクセスの判定基準およびルールに基づいて行われる。
【0013】
例えば、ポートスキャンが行われた場合、IDS103は、このポートスキャンに対する警報と、このポートスキャンを行ったパケットを追跡対象パケットとして追跡マネージャ102に送信する。これにより、追跡マネージャ102は、これらのIDS103からの警報と、追跡対象パケットを受信すると、受信したパケットからパケットプリント(ハッシュ値)を生成する。
【0014】
つぎに、追跡マネージャ102は、パケットプリント装置の位置を確認し、生成したパケットプリント(ハッシュ値)を含む検索要求を送信する。ここでは、パケットプリント装置101a、101bおよび101cのすべてに生成したパケットプリント(ハッシュ値)を含む検索要求を送信するものとする。このとき、パケットプリント装置101a、101bおよび101cは、受信したパケットプリント(ハッシュ値)と一致するパケットプリント(ハッシュ値)を記憶しているかどうか検索する。
【0015】
そして、パケットプリント装置101a、101bおよび101cのそれぞれは、検索が終わると、検索結果を追跡マネージャ102に送信する。追跡マネージャ102は、パケットプリント装置101a、101bおよび101cから送信された検索結果と、ネットワークの構成情報とから、パケットの経路を得る。
【0016】
例えば、パケットプリント装置101b、101cから、一致するパケットプリント(ハッシュ値)を記憶しているという検索結果を受信した場合、追跡対象パケットは、ローカルネットワーク50Bを介してローカルネットワーク50Dから来たということが明らかになる。
【0017】
なお、図33に示す構成では、追跡マネージャ102やIDS103などを接続する管理用ネットワークは、監視対象ネットワークとは独立して存在するものとしているが、この接続形態に限定されるものではなく、監視対象ネットワークと論理的、物理的に同一な通信回線であってもよいし、物理的に同一であって、論理的に異なる通信回線であってもよい。
【0018】
図34は、パケットプリント装置101の機能構成を示すブロック図である。同図において、タッピング装置111は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。プリント制御部112は、予め、パケットプリント(ハッシュ値)を生成する方式(ハッシュ関数)を、パケットプリント部113に指示しておく。
【0019】
パケットプリント部113は、プリント制御部112に指示された方式(ハッシュ関数)で、タッピング装置111がコピーしたパケットのパケットプリント(ハッシュ値)を生成する。キャッシュ制御部114は、PP格納部115に記憶されているパケットプリント(ハッシュ値)の量を認識する。
【0020】
ここで、PP格納部115に記憶されているパケットプリント(ハッシュ値)が一定量以上であった場合、キャッシュ制御部114は、PP格納部115に記憶されている最も古いパケットプリント(ハッシュ値)を破棄する。
【0021】
PP格納部115に記憶されているパケットプリント(ハッシュ値)が一定量以下であった場合、キャッシュ制御部114は、PP格納部115に記憶されている情報の最後尾に新しいハッシュ値を追加して記憶する。このように、キャッシュ制御部114は、PP格納部115に記憶されているパケットプリントが常に一定量以下になるよう制御する。
【0022】
パケットプリント装置101a、101bおよび101cは、監視対象ネットワークを通過するすべてのパケットに対し、上述の動作を行っている。追跡エージェント部116は、管理用ネットワークと接続され、追跡マネージャ102と通信する。なお、追跡エージェント部116の動作については、後述する追跡マネージャ102の動作のところで説明する。
【0023】
図35は、追跡マネージャ102の機能構成を示すブロック図である。同図において、警報受信部121は、IDS103から不正アクセスパケットに対する警報を受信し、パケット受信部122は、IDS103から不正アクセスパケット(追跡対象パケット)を受信する。プリント制御部123は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリント部124に指示しておく。
【0024】
なお、パケットプリント装置101のプリント制御部112で指定される方式と、追跡マネージャ102のプリント制御部123で指定される方式は常に同じ方式である。パケットプリント部124は、プリント制御部123から指示された方式(ハッシュ関数)で、パケット受信部122で受信されたパケットのパケットプリント(ハッシュ値)を生成する。
【0025】
追跡要求部125は、パケットプリント部124で生成されたパケットプリント(ハッシュ値)を含む検索要求をパケットプリント装置101a、101bおよび101cに送信するとともに、パケットプリント装置101a、101bおよび101cからの検索結果を受信する。
【0026】
これらのパケットプリント装置101a、101bおよび101cから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報格納部126とに基づいて、通過ルート作成部127がパケットの通過経路を作成する。
【0027】
このようにして、通過ルート作成部127が作成した追跡対象パケットの通過経路の情報がシステム管理者等に通知される。システム管理者等は、この通過経路の情報に基づき、追跡対象パケットがどこから侵入してきたのかを判断することができ、不正アクセスのパケットに対する対策を打つことができる。
【0028】
【特許文献1】特開2000−124952号公報
【非特許文献1】武井,「トラヒックパターンを用いた不正アクセス検出及び追跡方式」,信学技報,財団法人電子情報通信学会,1999年11月18日,Vol.99 No.436,p.37−42
【非特許文献2】小久保,「不正アクセス発信源追跡システムのモデル検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3-283−3-284
【非特許文献3】渡辺,「不正アクセス発信源追跡のためのパケット識別情報の検討」,第60回(平成12年度前期)全国大会講演論文集(3),財団法人情報処理学会,平成12年3月14日,p.3-289−3-290
【非特許文献4】渡辺,「不正アクセス発信源追跡におけるパケット識別情報の有効性検証」,第61回(平成12年度後期)全国大会講演論文集(3),財団法人情報処理学会,平成12年10月3日,p.3-259−3-260
【非特許文献5】池田,「不正アクセス発信源追跡システムのアーキテクチャの有効性検証」,第62回(平成13年度前記)全国大会講演論文集(3),財団法人情報処理学会,平成13年3月13日,p.3-285−3-286
【非特許文献6】Alex C Snoeren,「Hash-Based IP Traceback」,BBN Technical Memorandum No.1284,February 7,2001
【発明の開示】
【発明が解決しようとする課題】
【0029】
ところで、前述したように、従来のパケット追跡システムでは、図33に示したローカルネットワーク50A、50B、50Cおよび50Dを通じて、追跡対象パケットに含まれるローカルIPアドレス等が変化しない。
【0030】
このため、従来のパケット追跡システムでは、ローカルIPアドレス等が変化しない追跡対象パケットのパケットプリントをキーとして、追跡が可能となる。
【0031】
これに対して、NAT(Network Address Translation)やIPマスカレードが適用されたネットワークにおいては、追跡対象パケットに含まれるIPアドレス、ポート番号やシーケンス番号等が通過の途中で書き換えられるため、上述した従来のパケット追跡システムで追跡を行うことができないという問題があった。
【0032】
ここで、NATは、社内のみで通用するローカルIPアドレスと、インターネット等のグローバルネットワークへのアクセスに利用できる本来のグローバルIPアドレスとを相互に変換し、ローカルIPアドレスしか割り当てられていないローカルネットワークから、透過的にグローバルネットワークへアクセスできるようにする技術である。
【0033】
IPマスカレードは、NATによるIPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDP(Transmission Control Protocol/User Datagram Protocol)のポート番号やシーケンス番号等も変換することで、異なる通信ポートを利用するものについて、1つのグローバルIPアドレスを利用して、複数のローカルIPノードが外部と通信できるようにした技術である。
【0034】
図36には、上述したNATやIPマスカレードが適用されたネットワーク構成が図示されている。同図において、グローバルネットワークAとローカルネットワークBとの間には、パケット変換装置210が設けられている。ローカルネットワークBは、内部ネットワークであり、ローカルIPアドレスが適用される。
グローバルネットワークAは、外部ネットワークであり、グローバルIPアドレスが適用される。
【0035】
パケット変換装置210は、NATやIPマスカレードの機能により、通過するパケットのIPアドレスや、ポート番号等を変換する装置である。例えば、グローバルネットワークAからローカルネットワークBへ流れるパケット250は、パケット変換装置210でパケット250’に変換される。
【0036】
具体的には、パケット250のDstIP:210.162.74.2(発信先のグローバルIPアドレス)は、パケット250’のDstIP:192.168.1.5(発信先のローカルIPアドレス)に変換される。また、パケット250のDstPort:8080(発信先のポート番号)は、パケット250’のDstPort:80(発信先のポート番号)に変換される。
【0037】
ここで、図36に示したネットワークに、従来のパケット追跡システムを適用した場合には、パケット変換装置210の前後でパケットプリントが異なるため、追跡が行えないのである。同図の例では、パケット250に対応するパケットプリントPPが1A85DE81BCであるのに対して、パケット250’に対応するパケットプリントPPがC48EB4A58Dである。
【0038】
同様にして、ローカルネットワークBからグローバルネットワークAへ流れるパケット260は、パケット変換装置210でパケット260’に変換される。具体的には、パケット260のSrcIP:192.168.1.5(発信元のローカルIPアドレス)は、パケット260’のSrcIP:210.162.74.2(発信元のグローバルIPアドレス)に変換される。
【0039】
同図の例では、パケット260に対応するパケットプリントPPが8A5E616C8Bであるのに対して、パケット260’に対応するパケットプリントPPがF58EA85C64であるため、従来のパケット追跡システムが使えないのである。
【0040】
この発明は、上記に鑑みてなされたものであり、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるパケット追跡方法およびパケット追跡プログラムを提供することを目的とする。
【課題を解決するための手段】
【0041】
上述した課題を解決し、目的を達成するために、本発明は、監視対象のネットワークの要所に配置された複数のパケットプリント装置と、これらのパケットプリント装置との間で情報の送受を行う追跡マネージャとを備えたパケット追跡システムに適用されるパケット追跡方法であって、前記ネットワークを流れるパケットについて、該パケットに含まれる情報を通過時に書き換えるパケット変換装置における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置の前後で共通な内容の共通パケット特定情報と、マスク前のパケットを特定するための通常パケット特定情報とを生成するとともに、前記共通パケット特定情報と前記通常パケット特定情報との対応関係を表す対応テーブルを生成し、格納するパケット特定情報格納工程と、追跡対象パケットを特定するための追跡対象パケット特定情報を含む検索要求を受けて、前記対応テーブルにおける前記追跡対象パケット特定情報を検索することで、前記パケット変換装置の前後におけるパケットを同定する同定工程と、を含むことを特徴とする。
【0042】
この発明によれば、ネットワークを流れるパケットについて、パケット変換装置における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置の前後で共通な内容の共通パケット特定情報と、マスク前のパケットを特定するための通常パケット特定情報とを生成するとともに、共通パケット特定情報と通常パケット特定情報との対応関係を表す対応テーブルを生成、格納し、追跡対象パケット特定情報を含む検索要求を受けて、対応テーブルにおける追跡対象パケット特定情報を検索することで、パケット変換装置の前後におけるパケットを同定することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0043】
また、本発明は、上記発明において、前記パケット特定情報格納工程では、前記ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ前記共通パケット特定情報を生成することを特徴とする。
【0044】
この発明によれば、ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ共通パケット特定情報を生成することとしたので、パケットの方向に応じてパケットの追跡を行うことができる。
【0045】
また、本発明は、上記発明において、前記パケット特定情報格納工程では、前記パケット変換装置における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するための部分パケット特定情報を生成し、部分パケット特定情報を任意の組み合わせで組み合わせることにより共通パケット特定情報を生成し、格納することを特徴とする。
【0046】
この発明によれば、パケット変換装置における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するための部分パケット特定情報を生成し、部分パケット特定情報を任意の組み合わせで組み合わせることにより共通パケット特定情報を生成し、格納することとしたので、共通パケット特定情報の生成効率を高めることができる。
【0047】
また、本発明は、上記発明において、前記ネットワークに送出されるバリアパケットの情報を格納するバリアパケット情報格納工程を含み、前記同定工程では、前記共通パケット特定情報および前記通常パケット特定情報でパケットの同定ができない場合、前記バリアパケットの情報に基づいて、該パケットの同定を行うことを特徴とする。
【0048】
この発明によれば、ネットワークに送出されるバリアパケットの情報を格納し、共通パケット特定情報および通常パケット特定情報でパケットの同定ができない場合、バリアパケットの情報に基づいて、該パケットの同定を行うこととしたので、パケットの同定精度を高めることができる。
【0049】
また、本発明は、上記発明において、前記追跡マネージャが主導で前記追跡対象パケットの追跡調査を行うことを特徴とする。
【0050】
この発明によれば、追跡マネージャが主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0051】
また、本発明は、上記発明において、前記パケットプリント装置が主導で前記追跡対象パケットの追跡調査を行うことを特徴とする。
【0052】
また、本発明は、上記発明において、前記追跡対象パケットの追跡を、前記追跡マネージャ、前記パケットプリント装置の機能を有するプロキシ装置へ代理依頼する依頼工程を含むことを特徴とする。
【0053】
この発明によれば、追跡対象パケットの追跡を、追跡マネージャ、パケットプリント装置の機能を有するプロキシ装置へ代理依頼することとしたので、追跡マネージャの追跡処理負荷を軽減することができる。また、この発明によれば、追跡マネージャ、パケットプリント装置等が一つのプロキシ装置としてまとめられ、一つのハードウェアとして実装、運用管理のコストを削減することができ、パケットプリント装置、追跡マネージャ間の通信の高速化、秘匿性の向上を図ることができる。
【0054】
また、本発明にかかるパケット追跡プログラムによれば、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるようにしたので、そのパケット追跡プログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができる。
【発明の効果】
【0055】
以上説明したように、本発明によれば、ネットワークを流れるパケットについて、パケット変換装置における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置の前後で共通な内容の共通パケット特定情報と、マスク前のパケットを特定するための通常パケット特定情報とを生成するとともに、共通パケット特定情報と通常パケット特定情報との対応関係を表す対応テーブルを生成、格納し、追跡対象パケット特定情報を含む検索要求を受けて、対応テーブルにおける追跡対象パケット特定情報を検索することで、パケット変換装置の前後におけるパケットを同定することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるという効果を奏する。
【0056】
また、本発明によれば、ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ共通パケット特定情報を生成することとしたので、パケットの方向に応じてパケットの追跡を行うことができるという効果を奏する。
【0057】
また、本発明によれば、パケット変換装置における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するための部分パケット特定情報を生成し、部分パケット特定情報を任意の組み合わせで組み合わせることにより共通パケット特定情報を生成し、格納することとしたので、共通パケット特定情報の生成効率を高めることができるという効果を奏する。
【0058】
また、本発明によれば、ネットワークに送出されるバリアパケットの情報を格納し、共通パケット特定情報および通常パケット特定情報でパケットの同定ができない場合、バリアパケットの情報に基づいて、該パケットの同定を行うこととしたので、パケットの同定精度を高めることができるという効果を奏する。
【0059】
また、本発明によれば、追跡マネージャが主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるという効果を奏する。
【0060】
また、本発明によれば、パケットプリント装置が主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができるという効果を奏する。
【0061】
また、本発明によれば、追跡対象パケットの追跡を、追跡マネージャ、パケットプリント装置の機能を有するプロキシ装置へ代理依頼することとしたので、追跡マネージャの追跡処理負荷を軽減することができるという効果を奏する。また、本発明によれば、追跡マネージャ、パケットプリント装置等が一つのプロキシ装置としてまとめられ、一つのハードウェアとして実装、運用管理のコストを削減することができ、パケットプリント装置、追跡マネージャ間の通信の高速化、秘匿性の向上を図ることができるという効果を奏する。
【0062】
また、本発明にかかるパケット追跡プログラムによれば、上記の発明のいずれか一つに記載された方法をコンピュータに実行させるようにしたので、そのパケット追跡プログラムがコンピュータ読み取り可能となり、これによって、上記の発明のいずれか一つの動作をコンピュータによって実行することができるという効果を奏する。
【発明を実施するための最良の形態】
【0063】
以下、図面を参照して本発明にかかるパケット追跡方法およびパケット追跡プログラムの実施例1〜7について詳細に説明する。
【実施例1】
【0064】
図1は、本発明にかかる実施例1の構成を示すブロック図である。同図には、パケットに含まれる情報を変換する機能を備えるネットワークにおいてもパケット追跡を行うためのパケット追跡システムが図示されている。
【0065】
IDS200は、グローバルネットワークA、ローカルネットワークBおよび管理用ネットワーク(図示略)に接続されており、監視対象ネットワークに侵入した不正アクセスパケットの検知を行う装置である。
【0066】
ローカルネットワークBは、内部ネットワークであり、ローカルIPアドレスが適用される。グローバルネットワークAは、外部ネットワークであり、グローバルIPアドレスが適用される。
【0067】
パケット変換装置500は、前述したパケット変換装置210(図36参照)と同様の機能を備えており、NATやIPマスカレードの機能により、通過するパケットのIPアドレスや、ポート番号等を変換する装置である。具体的には、パケット変換装置500は、変換ルール(IPアドレス変換データ)が記述された変換テーブル501に基づいて、例えば、グローバルネットワークAからローカルネットワークBへ流れるパケット250をパケット250’に変換する。
【0068】
追跡マネージャ300は、追跡マネージャ102(図33参照)と同様の機能を備えており、管理用ネットワーク(図示略)に接続され、パケットプリント装置400Aおよび400Bと管理用ネットワークを介して通信する装置である。
【0069】
パケットプリント装置400Aおよび400Bは、タッピングなどの手法を用いてIPアドレスなどの論理接続を持たない接続方式(ステルス接続方式)により接続されている。したがって、これらのパケットプリント装置400Aおよび400Bは、監視対象ネットワーク内の他の装置から自己の存在を隠すことができる。
【0070】
また、パケットプリント装置400Aおよび400Bは、監視対象ネットワークとは独立に存在する管理用ネットワークにも接続されている。この場合、パケットプリント装置400Aおよび400Bは、監視対象ネットワークとの接続(ステルス接続)とは異なり、管理用ネットワークに接続された他の装置から認識可能な接続方式(例えばIP接続方式)で接続されている。
【0071】
パケットプリント装置400Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(ハッシュ値)を生成するとともに、このパケットプリントを記憶する。
【0072】
ここで、パケットプリント装置400Aは、パケット変換装置500における処理前のパケット250からパケットプリント(PPa_1)を生成するとともに、パケット250から処理後のパケット250’を生成し、このパケット250’からパケットプリント(PPb_1)を生成する機能を備えている。パケット250には、グローバルIPアドレスが含まれている。また、パケット250’には、ローカルIPアドレスが含まれている。
【0073】
つまり、パケットプリント装置400Aは、パケット変換装置500のエミュレータとしても機能し、パケット変換装置500の処理前後の二種類のパケットプリント(PPa_1、PPb_1)を生成し、これらを第1のPP格納部406Aおよび第2のPP格納部406Bにそれぞれ格納する。
【0074】
一方、パケットプリント装置400Bは、ローカルネットワークBとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケットのコピーを取り込み、コピーしたパケットを一意に特定するためのパケットプリント(ハッシュ値)を生成するとともに、このパケットプリントを記憶する。
【0075】
ここで、パケットプリント装置400Bも、パケット変換装置500における処理後のパケット250’からパケットプリント(PPb_1)を生成するとともに、パケット250’から処理前のパケット250を生成し、このパケット250からパケットプリント(PPa_1)を生成する機能を備えている。
【0076】
つまり、パケットプリント装置400Bも、パケットプリント装置400Aと同様にして、パケット変換装置500のエミュレータとしても機能し、パケット変換装置500の処理前後の二種類のパケットプリント(PPa_1、PPb_1)を生成し、これらを第1のPP格納部406Aおよび第2のPP格納部406Bにそれぞれ格納する。
【0077】
図2は、図1に示したパケットプリント装置400(400A、400B)の構成を示すブロック図である。同図において、タッピング装置401は、接続する監視対象ネットワークを通過するパケットのコピーを作成する。
【0078】
プリント制御部402は、予め、パケットプリント(ハッシュ値)を生成する方式(ハッシュ関数)を、パケットプリント部403に指示しておく。変換テーブル404は、図1に示したパケット変換装置500の変換テーブル501と同様のテーブルであり、変換ルール(IPアドレス変換データ)を記述したものである。
【0079】
パケットプリント装置400Aのパケットプリント部403は、プリント制御部402に指示された方式(ハッシュ関数)で、タッピング装置401がコピーしたパケット250(図1参照)から第1のPP(ハッシュ値)を生成する。この第1のPPは、図1に示したパケットプリント装置400Aの第1のPP格納部406Aに格納されるPPa_1等に対応している。
【0080】
また、パケットプリント装置400Aのパケットプリント部403は、変換テーブル404を参照して、タッピング装置401からのパケット250(図1参照)からパケット250’を生成し、このパケット250’から第2のPPを生成する。この第2のPPは、図1に示したパケットプリント装置400Aの第2のPP格納部406Bに格納されるPPb_1等に対応している。
【0081】
第1のPP格納部406Aは、第1のPP(ハッシュ値)を格納する。第2のPP格納部406Bは、第2のPP(ハッシュ値)を格納する。
【0082】
キャッシュ制御部405は、第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントの量を認識し、パケットプリントが一定量以上であった場合、最も古いパケットプリントを破棄する。
【0083】
また、パケットプリントが一定量以下であった場合、キャッシュ制御部405は、パケットプリントを追加して格納する。このように、キャッシュ制御部405は、第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが常に一定量以下になるよう制御する。
【0084】
追跡エージェント部407は、管理用ネットワークと接続され、追跡マネージャ300からの検索要求を受け付け、第1のPP格納部406Aまたは第2のPP格納部406Bの検索結果を検索応答として追跡マネージャ300へ返す機能を備えている。
【0085】
また、パケットプリント装置400Bのパケットプリント部403は、プリント制御部402に指示された方式(ハッシュ関数)で、タッピング装置401がコピーしたパケット250’(図1参照)から第2のPP(ハッシュ値)を生成する。この第2のPPは、図1に示したパケットプリント装置400Bの第2のPP格納部406Bに格納されるPPb_1等に対応している。
【0086】
また、パケットプリント装置400Bのパケットプリント部403は、変換テーブル404を参照して、タッピング装置401からのパケット250’(図1参照)からパケット250を生成し、このパケット250から第1のPPを生成する。この第1のPPは、図1に示したパケットプリント装置400Bの第1のPP格納部406Aに格納されるPPa_1等に対応している。
【0087】
つぎに、実施例1の動作について、図3および図4を参照しつつ説明する。図3は、図1および図2に示したパケットプリント装置400(400A、400B)の動作を説明するフローチャートである。図4は、同実施例1の動作を説明するシーケンス図である。
【0088】
図3に示したステップSA1では、パケットプリント装置400Aのパケットプリント部403(図2参照)は、タッピング装置401により監視対象ネットワークを通過するパケットがコピーされたか否かを判断し、この場合、判断結果を「No」として、同判断を繰り返す。
【0089】
そして、パケットプリント装置400Aの監視対象ネットワーク(グローバルネットワークA〜パケット変換装置500の間)をパケット250(図1参照)が通過すると、パケットプリント装置400Aのタッピング装置401により当該パケット250がコピーされる。これにより、パケットプリント部403は、ステップSA1の判断結果を「Yes」とする。ステップSA2では、パケットプリント部403は、タッピング装置401よりコピーされたパケット250を取得する。
【0090】
ステップSA3では、パケットプリント部403は、パケット250からパケットプリントPPa_1(ハッシュ値)(図1参照)を生成する。ステップSA4では、パケットプリント部403は、変換テーブル404を参照して、パケット250をパケット250’に変換する。ステップSA5では、パケットプリント部403は、パケット250’からパケットプリントPPb_1(図1参照)を生成する。
【0091】
ステップSA6では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが一定量以上であるか否かを判断し、この場合、判断結果を「No」とする。ステップSA7では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bの最後尾に新しいパケットプリントPPa_1およびPPb_1を格納する。
【0092】
一方、ステップSA6の判断結果が「Yes」である場合、ステップSA8では、キャッシュ制御部405は、パケットプリント装置400Aの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されている最も古いパケットプリントを破棄した後、ステップSA7の処理を実行する。
【0093】
そして、図1に示したパケット250は、監視対象ネットワーク(グローバルネットワークA〜パケット変換装置500の間)を通過した後、パケット変換装置500で変換テーブル501に基づき、パケット250’に変換される。
【0094】
さらに、パケットプリント装置400Bの監視対象ネットワーク(パケット変換装置500〜ローカルネットワークBの間)をパケット250’(図1参照)が通過すると、パケットプリント装置400Bのタッピング装置401により当該パケット250’がコピーされる。これにより、パケットプリント部403は、ステップSA1の判断結果を「Yes」とする。ステップSA2では、パケットプリント部403は、タッピング装置401よりコピーされたパケット250’を取得する。
【0095】
ステップSA3では、パケットプリント部403は、パケット250’からパケットプリントPPb_1(ハッシュ値)(図1参照)を生成する。ステップSA4では、パケットプリント部403は、変換テーブル404を参照して、パケット250’をパケット250に変換する。ステップSA5では、パケットプリント部403は、パケット250からパケットプリントPPa_1(図1参照)を生成する。
【0096】
ステップSA6では、キャッシュ制御部405は、パケットプリント装置400Bの第1のPP格納部406Aおよび第2のPP格納部406Bに格納されているパケットプリントが一定量以上であるか否かを判断し、この場合、判断結果を「No」とする。
【0097】
ステップSA7では、キャッシュ制御部405は、パケットプリント装置400Bの第1のPP格納部406Aおよび第2のPP格納部406Bの最後尾に新しいパケットプリントPPa_1およびPPb_1を格納する。以後、パケットが通過する毎にパケットプリント装置400Aおよび400Bで二種類のパケットプリントが生成された後、格納される。
【0098】
そして、図4に示したステップSB1で、IDS200により、ローカルネットワークB内で不正アクセスパケットが検知されると、ステップSB2では、IDS200は、検知位置情報および不正アクセスパケットを追跡マネージャ300へ送信する。ここで、不正アクセスパケットは、図1に示したパケット250’であるものとする。また、検知位置情報は、当該不正アクセスパケットの検知位置(パケット変換装置500の前または後)を表す情報である。この場合の検知位置は、パケット変換装置500の後である。
【0099】
ステップSB3では、追跡マネージャ300は、不正アクセスパケット(パケット250’)からパケットプリント(ハッシュ値)を算出する。ステップSB4では、追跡マネージャ300は、パケットプリント装置400Aおよび400Bの中から、検索要求先のパケットプリント装置として、IDS200に最も近い、例えば、パケットプリント装置400Bを選択する。
【0100】
ステップSB5では、追跡マネージャ300は、パケットプリント装置400Bの位置を確認した後、管理用ネットワークを介して、不正アクセスパケット(パケット250’)のパケットプリントおよび検出位置情報を含む検索要求を送信する。すなわち、追跡マネージャ300は、不正パケットを検出したIDS200に最も近いパケットプリント装置から順番に追跡処理(検索要求の送信処理)を実行する。
【0101】
ステップSB6では、パケットプリント装置400Bの追跡エージェント部407(図2参照)は、追跡マネージャ300からの検索要求を受け付け、検出位置情報に基づき、検索先として、第1のPP格納部406A、第2のPP格納部406Bから一つを選択する。
【0102】
ここで、検出位置情報がパケット変換装置500の後である場合には、パケット250’に対応する第2のPP格納部406Bが選択される。一方、検出位置情報がパケット変換装置500の前である場合には、パケット250に対応する第1のPP格納部406Aが選択される。
【0103】
この場合、追跡エージェント部407は、第2のPP格納部406Bを選択する。ステップSB7では、追跡エージェント部407は、追跡マネージャ300からのパケットプリントをキーとして、第2のPP格納部406Bを検索する。この場合、検索結果がヒットであるものとする。ステップSB8では、追跡エージェント部407は、検索結果(検索結果=ヒット)を追跡マネージャ300へ通知する。
【0104】
ステップSB9では、追跡マネージャ300は、検索結果より当該不正アクセスパケットの通過ルートを判定する。ステップSB10では、追跡マネージャ300は、ステップSB9の判定に基づいて、検索継続が必要であるか否かを判断する。この場合、追跡マネージャ300は、検索継続の必要があるとし、判断結果を「Yes」とする。
【0105】
ステップSB4では、追跡マネージャ300は、つぎの検索要求先のパケットプリント装置として、例えば、パケットプリント装置400Aを選択する。以後、前述した動作が繰り返される。そして、ステップSB10の判断結果が「No」になると、ステップSB11では、パケットの追跡が終了される。
【0106】
以上説明したように、実施例1によれば、監視対象ネットワークを流れるパケットについて、パケット変換装置500における書き換え前のパケット250を特定するためのPPa_1(第1のパケット特定情報)と、書き換え後のパケット250’を特定するためのPPb_1(第2のパケット特定情報)とを生成し、第1のPP格納部406Aおよび第2のPP格納部406Bに格納し、追跡マネージャ300からの検索要求を受けて、第1のPP格納部406Aまたは第2のPP格納部406Bを検索し、検索結果を追跡マネージャ300へ送信することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【実施例2】
【0107】
さて、前述した実施例1においては、パケットプリント装置側でパケット変換装置500の変換前後のパケットに対応する二種類のパケットプリントを生成する例について説明したが、パケットプリント装置に代えて、追跡マネージャ側で二種類のパケットプリントを生成するように構成してもよい。以下では、この構成例を実施例2として説明する。
【0108】
図5は、本発明にかかる実施例2の構成を示すブロック図である。この図において、図1の各部に対応する部分には同一の符号を付ける。図5においては、図1に示した追跡マネージャ300、パケットプリント装置400Aおよび400Bに代えて、追跡マネージャ310、パケットプリント装置410Aおよび410Bが設けられている。
【0109】
追跡マネージャ310は、追跡マネージャ102(図33参照)と同様の機能を備えており、管理用ネットワーク(図示略)に接続され、パケットプリント装置410Aおよび410Bと管理用ネットワークを介して通信する装置である。また、追跡マネージャ310は、IDS200から渡された不正アクセスパケットに基づいて、パケット変換装置500の変換前後の二種類のパケットプリントを生成する。
【0110】
図6は、追跡マネージャ310の機能構成を示すブロック図である。この図において、図35の各部に対応する部分には同一の符号を付ける。同図において、警報受信部121は、IDS200から不正アクセスパケットに対する警報を受信し、パケット受信部122は、IDS200から不正アクセスパケットを受信する。プリント制御部311は、あらかじめ、ハッシュ値を生成する方式(ハッシュ関数)を、パケットプリント部312に指示しておく。
【0111】
パケットプリント部312は、プリント制御部311に指示された方式(ハッシュ関数)で、パケット受信部122からのパケットから第1のPP(ハッシュ値)を生成する。また、パケットプリント部312は、変換テーブル313を参照して、パケット受信部122からのパケットから、変換後のパケットを生成し、このパケットから第2のPPを生成する。変換テーブル313は、図5に示した変換テーブル501と同一である。
【0112】
追跡要求部314は、パケットプリント部312で生成された二種類のパケットプリント(ハッシュ値)のうちいずれか一方を含む検索要求をパケットプリント装置410A、410Bに送信するとともに、パケットプリント装置410A、410Bからの検索結果を受信する。
【0113】
これらのパケットプリント装置410A、410Bから送信された検索結果と、監視対象ネットワークおよび管理用ネットワークの構成を記憶する構成情報格納部126とに基づいて、通過ルート作成部127がパケットの通過経路を作成する。
【0114】
図5に戻り、パケットプリント装置410Aは、パケットプリント装置101(図34参照)と同一構成とされており、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象としている。
【0115】
すなわち、パケットプリント装置410Aは、監視対象ネットワークを通過するパケット250のコピーを取り込み、コピーしたパケット250を一意に特定するためのパケットプリントPPa_1等(ハッシュ値)を生成するとともに、このパケットプリントPPa_1等(ハッシュ値)をPP格納部416に格納する。
【0116】
一方、パケットプリント装置410Bも、パケットプリント装置101(図34参照)と同一構成とされており、パケット変換装置500とローカルネットワークBとの間の接続リンクを監視の対象としている。
【0117】
すなわち、パケットプリント装置410Bは、監視対象ネットワークを通過するパケット250’のコピーを取り込み、コピーしたパケット250’を一意に特定するためのパケットプリントPPb_1等(ハッシュ値)を生成するとともに、このパケットプリントPPb_1等(ハッシュ値)をPP格納部416に格納する。
【0118】
つぎに、実施例2の動作について、図7に示したシーケンス図を参照しつつ説明する。同図に示したステップSC1で、IDS200により、ローカルネットワークB内で不正アクセスパケットが検知されると、ステップSC2では、IDS200は、検知位置情報および不正アクセスパケットを追跡マネージャ310へ送信する。
【0119】
ここで、不正アクセスパケットは、図5に示したパケット250’であるものとする。また、検知位置情報は、当該不正アクセスパケットの検知位置(パケット変換装置500の前または後)を表す情報である。この場合の検知位置は、パケット変換装置500の後である。
【0120】
ステップSC3では、追跡マネージャ310のパケットプリント部312(図6参照)は、不正アクセスパケット(パケット250’)からパケットプリントPPb_1(ハッシュ値)を生成する。ステップSC4では、パケットプリント部312は、変換テーブル313を参照して、不正アクセスパケット(パケット250’)をパケット250に変換する。
【0121】
ステップSC5では、パケットプリント部312は、パケット250からパケットプリントPPa_1(ハッシュ値)を生成する。ステップSC6では、追跡マネージャ310は、パケットプリント装置410Aおよび410Bの中から、検索要求先のパケットプリント装置として、例えば、パケットプリント装置410Bを選択する。
【0122】
ステップSC7では、追跡マネージャ310の追跡要求部314は、パケットプリント装置410Bの位置を確認した後、管理用ネットワークを介して、パケットプリントPPa_1またはPPb_1をパケットプリント装置410Bへ送信する。
【0123】
ここで、検出位置情報がパケット変換装置500の前である場合には、パケット250に対応するパケットプリントPPa_1が追跡要求部314により選択された後、パケットプリント装置410Bへ送信される。
【0124】
一方、検出位置情報がパケット変換装置500の後である場合には、パケット250’に対応するパケットプリントPPb_1が追跡要求部314により選択された後、パケットプリント装置410Bへ送信される。この場合には、パケット250’に対応するパケットプリントPPb_1が送信される。
【0125】
ステップSC8では、パケットプリント装置410Bは、追跡マネージャ310からのパケットプリントPPb_1をキーとして、PP格納部416を検索する。この場合、検索結果がヒットであるものとする。ステップSC9では、パケットプリント装置410Bは、検索結果(検索結果=ヒット)を追跡マネージャ310へ通知する。
【0126】
ステップSC10では、追跡マネージャ310の追跡要求部314は、検索結果より当該不正アクセスパケットの通過ルートを判定する。ステップSC11では、追跡マネージャ310は、ステップSC10の判定に基づいて、検索継続が必要であるか否かを判断する。この場合、追跡マネージャ310は、検索継続の必要があるとし、判断結果を「Yes」とする。
【0127】
ステップSC6では、追跡マネージャ310は、つぎの検索要求先のパケットプリント装置として、例えば、パケットプリント装置410Aを選択する。以後、前述した動作が繰り返される。そして、ステップSC11の判断結果が「No」になると、ステップSC12では、パケットの追跡が終了される。
【0128】
以上説明したように、実施例2によれば、追跡マネージャ310でパケット変換装置500における書き換え前の追跡対象パケットを特定するためのPPa_1(第1の追跡対象パケット特定情報)と、書き換え後の追跡対象パケットを特定するためのPPb_1(第2の追跡対象パケット特定情報)とを生成し、追跡対象パケットの検出位置に基づいて、PPa_1またはPPb_1をパケットプリント装置410Aやパケットプリント装置410Bへ通知し、パケット特定情報の検索を依頼することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【実施例3】
【0129】
図8は、本発明にかかる実施例3の構成を示すブロック図である。実施例3では、パケット変換装置500の前後のパケットを同定する方法について説明する。
【0130】
同図において、パケットプリント装置420Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250のコピーを取り込む。
【0131】
また、パケットプリント装置420Aは、コピーしたパケット250からPP(ハッシュ値)を生成・格納するとともに、該パケット250のうちパケット変換装置500の変換前後で変化する情報をマスクした状態で共通PPを生成・格納する。さらに、パケットプリント装置420Aは、PPと共通PPとの対応関係を表す対応テーブル421Aを格納する。
【0132】
一方、パケットプリント装置420Bは、パケット変換装置500とローカルネットワークBとの間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250’のコピーを取り込む。
【0133】
また、パケットプリント装置420Bは、コピーしたパケット250’からPP’(ハッシュ値)を生成・格納するとともに、該パケット250’のうちパケット変換装置500の変換前後で変化する情報をマスクした状態で共通PP’を生成・格納する。さらに、パケットプリント装置420Bは、PP’と共通PP’との対応関係を表す対応テーブル421Bを格納する。
【0134】
このように、実施例3においては、変化する情報をマスクすることにより、共通PPと共通PP’とが同一の値となるため、パケット変換装置500の前後におけるパケットの同定が可能となる。
【0135】
図9は、図8に示した共通PPおよび共通PP’を生成する場合のパケット250(250’)のマスク箇所を表す図である。同図において、網掛け部分がパケット変換装置500の前後で変換する情報でありマスクされる。
【0136】
なお、実施例3においては、パケットが流れる方向によって、マスク箇所を変えてもよい。図10は、グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合のマスク箇所を表す図である。同図の例では、主として発信先IPアドレスおよび発信先ポートがマスクされる。
【0137】
図11は、ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合のマスク箇所を表す図である。同図の例では、主として発信元IPアドレスおよび発信元ポートがマスクされる。
【0138】
また、パケット通信に用いられるプロトコルのうち、一部のプロトコル(FTP(File Transfer Protocol)、ICMP(Internet Control Message Protocol )、SNMP(Simple Network Management Protocol))においては、パケットのペイロードにもIPアドレスが記述され、パケット変換装置500で書き換えられる場合がある。
【0139】
そこで、実施例3においては、図12に示したように、パケット変換装置500によって書き換えられるIPアドレスを含むペイロードをマスク箇所としてもよい。
【0140】
さて、図8に示した例では、パケットプリント装置420Aとパケットプリント装置420Bとの間におけるパケットの同定時に、共通PPおよび共通PP’とを比較し、一致する場合にパケットを同定しているが、共通PPや共通PP’の値の衝突が発生し、一意に同定できない場合がある。
【0141】
例えば、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在する場合に、上記衝突が発生する。
【0142】
そこで、実施例3においては、同定精度を高めるため、図13に示したように、パケットプリント装置420A側で、パケットプリントを生成する前のパケット250から補足情報(識別子、TTL、TOS、パケット長、シーケンスID、Time(UTC))を取得しておき、PP、共通PPおよび補足情報を対応テーブル422Aとして格納しておいてもよい。ここで、補足情報は、マスクによってPPに反映されない情報である。
【0143】
同様にして、パケットプリント装置420B側でも、パケットプリントを生成する前のパケット250’から補足情報(識別子、TTL、TOS、パケット長、シーケンスID、Time(UTC))を取得しておき、PP’、共通PP’および補足情報を対応テーブル422Bとして格納しておいてもよい。
【0144】
このように構成することにより、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在(衝突発生)する場合であっても、補足情報同士を比較することにより、パケットの同定が可能となる。
【0145】
また、実施例3においては、ペイロードにデータを持たないパケットの場合、共通PPと共通PP’との間で上述した衝突が発生する可能性が高い。ここで、図8に示したパケットプリント装置420Aとパケットプリント装置420Bとの間で完全に時刻同期をとり、時刻に基づいてパケットを同定することも考えられるが、時刻同期を完全にとることが困難であり、実現が難しい。
【0146】
そこで、実施例3においては、図14に示したように、バリアパケットを発生させるバリアパケット発生装置500Aおよび500Bを設けて、パケットの同定精度を高めるようにしてもよい。
【0147】
バリアパケット発生装置500Aは、グローバルネットワークAとパケット変換装置500との間に設けられており、グローバルネットワークAからローカルネットワークB(外側から内側)へバリアパケット(同図では、バリアパケット510(out))を発生させるとともに、送出する。
【0148】
このバリアパケット(out)には、識別用のバリアNo(out)が付与されている。例えば、バリアパケット510には、バリアNo(out)として168463が付与されている。このバリアパケット510は、通常のパケットと同様にして、パケット変換装置500によりバリアパケット510’に変換される。
【0149】
一方、バリアパケット発生装置500Bは、パケット変換装置500とローカルネットワークBとの間に設けられており、ローカルネットワークBからグローバルネットワークA(内側から外側)へバリアパケット(同図では、バリアパケット520(in))を発生させるとともに、送出する。
【0150】
このバリアパケット(in)には、識別用のバリアNo(in)が付与されている。例えば、バリアパケット520には、バリアNo(in)として348586が付与されている。このバリアパケット520も、通常のパケットと同様にして、パケット変換装置500により、バリアパケット520’に変換される。
【0151】
パケットプリント装置420Aは、バリアパケット510(out)から、通常のパケットと同様にして、PPと共通PPとを生成し、これらとバリアNo(out)とを対応テーブル423Aに格納する。また、パケットプリント装置420Aは、バリアパケット520’(in)から、通常のパケットと同様にして、PPと共通PPとを生成し、これらとバリアNo(in)とを対応テーブル423Aに格納する。
【0152】
なお、パケットプリント装置420Aは、通常のパケットについても、前述した動作(図8参照)と同様にして、PPおよび共通PPとを生成し、これらを対応テーブル423Aに格納する。
【0153】
一方、パケットプリント装置420Bも、バリアパケット510’(out)から、通常のパケットと同様にして、PP’と共通PP’とを生成し、これらとバリアNo(out)とを対応テーブル423Bに格納する。また、パケットプリント装置420Bは、バリアパケット520(in)から、通常のパケットと同様にして、PP’と共通PP’とを生成し、これらとバリアNo(in)とを対応テーブル423Bに格納する。
【0154】
なお、パケットプリント装置420Bは、通常のパケットについても、前述した動作(図8参照)と同様にして、PP’および共通PP’とを生成し、これらを対応テーブル423Bに格納する。
【0155】
上記構成において、例えば、パケットプリント装置420A側の一つの共通PPに対して、パケットプリント装置420B側で同値の複数の共通PP’が存在(衝突発生)する場合には、対応テーブル423A側における当該共通PP(図示略)を挟む前後の二つのバリアNo(同図では、168463、168464)と、対応テーブル423BのバリアNoとを比較することにより、パケットの同定が可能となる。
【0156】
つまり、対応テーブル423A側の二つのバリアNo(同図では、168463、168464)と同一の二つのバリアNoが対応テーブル423Bに存在する場合、対応テーブル423Bの二つのバリアNoに挟まれた共通PP’と、これに対応する対応テーブル423Aの共通PPとが同一であることがわかる。
【0157】
図15は、図14に示したバリアパケットを用いたパケット追跡を説明するブロック図である。この図において、図1および図14の各部に対応する部分には同一の符号を付ける。図15において、パケットプリント装置420Cは、ローカルネットワークBとローカルネットワークCとの間を流れるパケットからPPを生成し、これをPP格納部421Cに格納する。
【0158】
上記構成において、IDS200により不正アクセスパケットが検出されると、追跡マネージャ300は、パケットプリント装置420Aに対して、通常のPP1を問い合わせる(▲1▼)。この場合、対応テーブル423AからPP1が見つかったとすると、追跡マネージャ300は、PP1に対応する共通PPを取得する(▲2▼)。
【0159】
つぎに、追跡マネージャ300は、パケットプリント装置420Bに対して共通PPを問い合わせた後(▲3▼)、共通PPに対応するPP2を取得する(▲4▼)。つぎに、追跡マネージャ300は、パケットプリント装置420Cに対して、PP2を問い合わせた後(▲5▼)、パケットプリント装置420CからPP2が見つかったことの通知を受ける(▲6▼)。
【0160】
図16は、実施例3において追跡マネージャを高機能化した場合の具体例を説明するブロック図である。同図に示した構成例では、追跡マネージャ320は、不正アクセスパケットの検出位置に基づいて、問い合わせ先のパケットプリント装置、パケットプリントタイプ(通常パケットプリント(PP)、共通パケットプリント(共通PP))、問い合わせ順序等を判別する機能を備えている。
【0161】
また、追跡マネージャ320には、図17(a)に示したような対応表321が設けられている。この対応表321は、図17(b)に示したパケットプリント装置(PP1〜PP10)、ルータ(R)、パケット変換装置(NAT1、NAT2)の構成図321aに対応している。なお、構成図321aおよび対応表321は、例示である図16と異なるが、実際には、対応表321は、図16に対応する情報が格納されている。
【0162】
対応表321には、パケットプリント装置番号、隣接パケットプリント装置番号、パケットプリントタイプの情報が格納されている。隣接パケットプリント装置番号は、パケットプリント装置番号のパケット装置に隣接するパケット装置に対応するパケットプリント装置番号である。パケットプリントタイプは、パケットプリントのタイプ(通常または共通)である。
【0163】
図16に示した追跡マネージャ320は、対応表321に基づいて、パケット追跡を行う。すなわち、IDS200により不正アクセスパケットが検出されると、追跡マネージャ320は、パケットプリント装置420Aに対して、通常のPP1を問い合わせる(▲1▼)。この場合、PP1が見つかったとすると、追跡マネージャ320は、PP1に対応する共通PPを取得する(▲2▼)。
【0164】
つぎに、追跡マネージャ320は、パケットプリント装置420Bに対して共通PPを問い合わせた後(▲3▼)、共通PPに対応するPP2を取得する(▲4▼)。つぎに、追跡マネージャ320は、パケットプリント装置420Cに対して、PP2を問い合わせた後(▲5▼)、パケットプリント装置420CからPP2が見つかったことの通知を受ける(▲6▼)。
【0165】
以上説明したように、実施例3によれば、ネットワークを流れるパケットについて、パケット変換装置500における書き換えで変化する情報がマスクされたパケットを特定し該パケット変換装置500の前後で共通な内容の共通PP(共通パケット特定情報)と、マスク前のパケットを特定するためのPP(通常パケット特定情報)とを生成、格納し、検索要求を受けて、共通PPおよびPPに基づいて、パケット変換装置500の前後におけるパケットを同定することとしたので、パケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【0166】
また、実施例3によれば、ネットワークを流れるパケットの方向に対応させて、マスクする情報を変化させ共通PPを生成することとしたので、パケットの方向に応じてパケットの追跡を行うことができる。
【0167】
また、実施例3によれば、図14に示したように、ネットワークに送出されるバリアパケットの情報を格納し、共通PPおよびPPでパケットの同定ができない場合、バリアパケットの情報に基づいて、該パケットの同定を行うこととしたので、パケットの同定精度を高めることができる。
【0168】
また、実施例3によれば、追跡マネージャが主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【実施例4】
【0169】
さて、前述した実施例3(図16参照)においては、追跡マネージャを高機能化した例について説明したが、パケットプリント装置を高機能化してもよい。以下では、この構成例を実施例4として説明する。
【0170】
図18は、本発明にかかる実施例4の構成を示すブロック図である。この図において、図1の各部に対応する部分には同一の符号を付ける。図18において、追跡マネージャ330は、追跡マネージャ300(図1参照)と同一の機能を備えている。
【0171】
パケットプリント装置430Aは、グローバルネットワークAを流れるパケットを監視対象とし、実施例1〜3と同様にしてパケットプリントを生成、格納する。パケットプリント装置430Bは、グローバルネットワークAとパケット変換装置500との間を流れるパケット(同図では、パケット250)を監視対象とし、パケットプリントを生成、格納する。
【0172】
パケットプリント装置430Cは、パケット変換装置500とローカルネットワークBとの間を流れるパケット(同図では、パケット250’)を監視対象とし、パケットプリントを生成、格納する。パケットプリント装置430Dは、ローカルネットワークBを流れるパケットを監視対象とし、パケットプリントを生成、格納する。
【0173】
また、パケットプリント装置430A、430B、430Cおよび430Dは、上述した高機能化を実現するための対応テーブルに基づいて、自装置の設置場所、追跡対象パケットの追跡経路、パケット変換の有無、問い合わせ先等について判断する。
【0174】
図19(a)、(b)、(c)および(d)は、対応テーブル431A、431B、431Cおよび431Dを示す図である。これらの対応テーブル431A、431B、431Cおよび431Dは、パケットプリント装置430A、430B、430Cおよび430Dで用いられる。
【0175】
これらの対応テーブル431A、431B、431Cおよび431Dは、パケットプリント装置番号、追跡開始パケットプリント装置番号、パケット変換装置有無、変換処理前のパケットプリントに関する問い合わせ先パケットプリント装置の情報を格納している。
【0176】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置430A〜430Dに一斉にパケットプリントPPa_1の有無を問い合わせる(▲1▼〜▲4▼)。これにより、パケットプリント装置430A〜430Dは、追跡マネージャ330の問い合わせ内容を各対応テーブルに基づいて、適切に解釈し、応答する。
【0177】
図20は、上述した実施例4(パケットプリント装置の高機能化)に実施例1を適用した構成例を示すブロック図である。同図において、図18の各部に対応する部分には同一の符号を付ける。
【0178】
図20においては、図18に示したパケットプリント装置430A〜430Dに代えて、パケットプリント装置400A〜400Dが設けられている。これらのパケットプリント装置400A〜400Dは、実施例1で説明した図2に示したパケットプリント装置400と同一構成とされている。また、パケットプリント装置400A〜400Dのそれぞれには、上述した対応テーブル(図19参照)と同様の対応テーブルがそれぞれ格納されている。
【0179】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置400A〜400Dに一斉にパケットプリントPPa_1の有無を問い合わせる(▲1▼〜▲4▼)。これにより、パケットプリント装置400A〜400Dは、追跡マネージャ330の問い合わせ内容を各対応テーブルに基づいて、適切に解釈し、応答する。
【0180】
図21は、上述した実施例4(パケットプリント装置の高機能化)に実施例3を適用した構成例を示すブロック図である。同図において、図18の各部に対応する部分には同一の符号を付ける。
【0181】
図21においては、図18に示したパケットプリント装置430A〜430Dに代えて、パケットプリント装置420Aおよび420Bが設けられている。これらのパケットプリント装置420Aおよび420Bは、実施例3で説明した図8に示したパケットプリント装置420Aおよび420Bと同一構成とされている。
【0182】
同図において、パケットプリント装置420Aの対応テーブル421Aには、PP(同図では、PPa_1等)および共通PP(同図では、Commonkey1等)が格納されている。
【0183】
一方、パケットプリント装置420Bの対応テーブル421Bにも、PP(同図では、PPb_1等)および共通PP(同図では、Commonkey1等)が格納されている。
【0184】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置420AにパケットプリントPPa_1の有無を問い合わせる(▲1▼)。
【0185】
これにより、パケットプリント装置420Aは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Aは、対応テーブル421Aから事前に他のパケットプリント装置を問い合わせる必要がないことを判断し、PPa_1を検索し(▲2▼)、PPa_1を見つける(▲3▼)。つぎに、パケットプリント装置420Aは、検索結果(PPa_1)を通知する。
【0186】
また、追跡マネージャ330は、パケットプリント装置420BにもパケットプリントPPa_1の有無を問い合わせる(▲1▼’)。
【0187】
これにより、パケットプリント装置420Bは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Bは、対応テーブル421BからPPa_1を検索する(▲2▼’)。
【0188】
この場合、パケットプリント装置420Bは、パケット変換装置500の外側に位置する追跡マネージャ330からのパケットプリント装置420Aを起点とした検索要求であると判断する。また、パケットプリント装置420Bは、対応テーブル421BにPPa_1が存在しないため、対応テーブル(図19参照)に基づいて、まず、対応テーブル421AからPPa_1を検索し(▲3▼’)、PPa_1および対応するCommonKey1(共通PP)を見つける(▲4▼’)。
【0189】
つぎに、パケットプリント装置420Bは、対応テーブル421AからのCommonKey1(共通PP)をキーとして、対応テーブル421Bを検索し(▲5▼’)、CommonKey1(共通PP)を見つける(▲6▼’)。そして、パケットプリント装置420Bは、検索結果(PPa_1)を通知する(▲7▼’)。
【0190】
また、実施例4においては、図22に示したように、図21に示した内側のパケットプリント装置420Bを複数台の構成としてもよい。図22においては、図21に示したパケットプリント装置420Bに代えて3台のパケットプリント装置420B1 〜420B3 が設けられている。
【0191】
これらのパケットプリント装置420B1 〜420B3 は、パケットプリント装置420Bと同一構成とされており、対応テーブル421B1 〜421B3 をそれぞれ備えている。
【0192】
上記構成において、IDS200により不正アクセスパケットとしてパケット250が検出されると、追跡マネージャ330は、パケット250からパケットプリントPPa_1を作成し、パケットプリント装置420AにパケットプリントPPa_1の有無を問い合わせる(▲1▼)。
【0193】
これにより、パケットプリント装置420Aは、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420Aは、対応テーブル421AからPPa_1を検索し、PPa_1を見つける(▲2▼)。つぎに、パケットプリント装置420Aは、検索結果(PPa_1)を通知する(▲2▼’)。
【0194】
また、追跡マネージャ330は、パケットプリント装置420B1 にもパケットプリントPPa_1の有無を問い合わせる(▲3▼)。これにより、パケットプリント装置420B1 は、追跡マネージャ330の問い合わせ内容を対応テーブル(図19参照)に基づいて、適切に解釈し、応答する。すなわち、パケットプリント装置420B1 は、対応テーブル421B1 からPPa_1を検索する(▲4▼)。
【0195】
この場合、パケットプリント装置420B1 は、パケット変換装置500の外側に位置する追跡マネージャ330からのパケットプリント装置420Aを起点とした検索要求であると判断する。また、パケットプリント装置420B1 は、対応テーブル421B1 にPPa_1が存在しないため、対応テーブル(図19参照)に基づいて、まず、対応テーブル421AからPPa_1を検索する(▲5▼)。
【0196】
そして、パケットプリント装置420B1 と同様にして、追跡マネージャ330は、パケットプリント装置420B2 および420B3 に対しても、パケットプリントPPa_1の有無を並列的に問い合わせる。以後、パケットプリント装置420B2 および420B3 でも、パケットプリント装置420B1 と同様の動作が実行される(▲6▼以降)。
【0197】
また、実施例4では、図22に示したように、パケット変換装置500の外側に追跡マネージャ330およびパケットプリント装置420Aを設け、内側に複数台のパケットプリント装置420B1 〜420B3 を設けた構成例について説明したが、図23に示したように、パケット変換装置500の内側に追跡マネージャ330およびパケットプリント装置420Bを設け、外側に複数台のパケットプリント装置420A1 〜420A3 を設ける構成としてもよい。これらのパケットプリント装置420A1 〜420A3 には、対応テーブル421A1 〜421A3 が設けられている。
【0198】
また、実施例4では、図21に示したように、パケットプリント装置420Bが対応テーブル421AからPPa_1を検索し(▲3▼’)、PPa_1および対応するCommonKey1(共通PP)を見つける(▲4▼’)場合の構成例について説明したが、図24に示したように、取得部422Bにより、定期的に対応テーブル421Aをコピーし、パケットプリント装置420B側にコピーの対応テーブル421A’をパケットプリント装置420Bに設けてもよい。
【0199】
この場合には、パケットプリント装置420Bは、対応テーブル421A’を用いて自装置内で検索を行う。なお、実施例4において、取得部422Bは、全データをコピーすると容量の問題が生じるため、対応テーブル421Aと対応テーブル421A’との差分のみを対応テーブル421Aから対応テーブル421A’にコピーするようにしてもよい。
【0200】
また、実施例4においては、図25に示したように、図24に示した内側のパケットプリント装置420Bを複数台の構成としてもよい。図25においては、図24に示したパケットプリント装置420Bに代えて3台のパケットプリント装置420B1 〜420B3 が設けられている。
【0201】
これらのパケットプリント装置420B1 〜420B3 は、図24に示したパケットプリント装置420Bと同一構成とされており、取得部422B1 〜422B3 、対応テーブル421B1 〜421B3 、対応テーブル421Aのコピーである対応テーブル422A’をそれぞれ備えている。
【0202】
以上説明したように、実施例4によれば、パケットプリント装置が主導でパケットに含まれる情報が書き換えられるネットワークにおいてもパケット追跡を行うことができる。
【実施例5】
【0203】
さて、前述した実施例3においては、マスクをかけないパケットのPPと、マスクをかけたパケットの共通PPとを生成する例について説明したが、PPの生成時にもマスクをかけるようにしてもよい。以下では、この構成例を実施例5として説明する。
【0204】
図26は、本発明にかかる実施例5の構成を示すブロック図である。この図において、パケットプリント装置440Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット250のコピーを取り込む。
【0205】
また、パケットプリント装置440Aは、コピーしたパケット250からPPa_1(ハッシュ値)等およびPPb_1(ハッシュ値)等を生成・格納する。
【0206】
具体的には、パケットプリント装置440Aは、図27(a)に示したように、パケット250にノーマルパターンでマスク(網掛け部分)をかけ、残りの部分250aからパケットプリントPPa_1を生成し、第1のPP格納部441A(図26参照)に格納する。
【0207】
また、パケットプリント装置440Aは、図27(b)に示したように、パケット250にNATパターンでマスク(網掛け部分)をかけ、残りの部分250bからパケットプリントPPb_1を生成し、第2のPP格納部441B(図26参照)に格納する。
【0208】
図26に示したパケットプリント装置440Bにおいても、同様にして、ノーマルマスクパターンおよびNATマスクパターンに対応するパケットプリントが生成、格納される。
【0209】
上記構成において、IDS200により不正アクセスパケット(例えば、パケット250)が検出されると、追跡マネージャ300は、パケット250からノーマルマスクパターンからPPa_1を生成するとともに、NATマスクパターンからPPb_1を生成する。
【0210】
つぎに、追跡マネージャ300は、パケットプリント装置440Aに対して、第1のPP格納部441AのPPa_1を問い合わせる(▲1▼)。これにより、パケットプリント装置440Aは、PPa_1をキーとして、第1のPP格納部441Aを検索し(▲2▼)、PPa_1を見つける(▲3▼)。つぎに、パケットプリント装置440Aは、追跡マネージャ300に対して、PPa_1が見つかったことを通知する。
【0211】
また、追跡マネージャ300は、パケットプリント装置440Bに対して、第2のPP格納部441BのPPb_1を問い合わせる(▲1▼’)。これにより、パケットプリント装置440Bは、PPb_1をキーとして、第2のPP格納部441Bを検索し(▲2▼’)、PPb_1を見つける(▲3▼’)。つぎに、パケットプリント装置440Bは、追跡マネージャ300に対して、PPb_1が見つかったことを通知する。
【実施例6】
【0212】
なお、実施例5においては、パケットが流れる方向によって、マスクパターンを変えてもよい。以下では、この構成例を実施例6として説明する。図28は、本発明にかかる実施例6の構成を示すブロック図である。
【0213】
この図において、パケットプリント装置450Aは、グローバルネットワークAとパケット変換装置500との間の接続リンクを監視の対象とし、監視対象ネットワークを通過するパケット(例えば、250(260’))のコピーを取り込む。
【0214】
また、パケットプリント装置450Aは、コピーしたパケットからPPa1_1、PPb_1およびPPc_1等を生成・格納する。
【0215】
具体的には、パケットプリント装置450Aは、図29(a)に示したように、パケットPにノーマルパターンでマスク(網掛け部分)をかけ、残りの部分PaからパケットプリントPPa_1を生成し、第1のPP格納部451A(図28参照)に格納する。
【0216】
また、グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合、パケットプリント装置450Aは、図29(b)に示したように、主として、パケット変換装置500で変更される発信先IPアドレスがマスクされる。
【0217】
この場合、パケットプリント装置450Aは、パケットPに発信元マスクパターンで(網掛け部分)をかけ、残りの部分PbからパケットプリントPPb_1を生成し、第2のPP格納部451B(図28参照)に格納する。
【0218】
また、ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合、パケットプリント装置450Aは、図29(c)に示したように、主として、パケット変換装置500で変更される発信元IPアドレスがマスクされる。
【0219】
この場合、パケットプリント装置450Aは、パケットPに発信先マスクパターンで(網掛け部分)をかけ、残りの部分PcからパケットプリントPPc_1を生成し、第3のPP格納部451C(図28参照)に格納する。
【0220】
なお、実施例6においては、図30(a)に示したように、パケットPにマスクをかけた残りの部分P’からパケットプリントを生成しているが、図30(b)に示したように、パケットPにマスクをかけた残りの部分を部分P1、P2およびP3に分割し、部分P1、P2およびP3に対応するパケットプリントA、BおよびCを生成してもよい。
【0221】
これらのパケットプリントA、BおよびCを組み合わせることにより、図30(c)に示したように、パケットプリント、発信先NATマスクパケットプリント、発信元NATマスクパケットプリントとしてもよい。
【0222】
パケットプリントは、パケットプリントA、パケットプリントBおよびパケットプリントCの組み合わせから生成され、図29(a)に示したPPa_1の代用としてもよい。発信先NATマスクパケットプリントは、パケットプリントAおよびパケットプリントCの組み合わせから生成され、図29(b)に示したPPb_1の代用としてもよい。
【0223】
発信元NATマスクパケットプリントは、パケットプリントAおよびパケットプリントBの組み合わせから生成され、図29(c)に示したPPc_1の代用としてもよい。
【0224】
このように、分割されたパケットプリントA、BおよびCを生成することにより、組み合わせで様々なパケットプリントを生成することができるため、図28に示したように、三つのPP格納部(第1のPP格納部451A、第2のPP格納部451B、第3のPP格納部451C)を持つ必要が無いため、構成を簡略化することができる。
【0225】
以上説明したように、実施例6によれば、図30に示したように、パケット変換装置500における書き換えで変化する情報がマスクされたパケットを複数分割し、分割された各部分パケットを特定するためのパケットプリントを生成し、部分パケットのパケットプリントを組み合わせることにより共通PP等を生成し、格納することとしたので、共通PP等の生成効率を高めることができる。
【実施例7】
【0226】
さて、前述した実施例1〜6においては、図31に示したように、追跡マネージャやパケットプリント装置の機能を代理するプロキシ装置600を設けて、追跡マネージャ300からの指示に基づいて、プロキシ装置600にパケット追跡を行わせるようにしてもよい。
【0227】
プロキシ装置600は、追跡サブマネージャ300Sと、パケットプリント装置410Bと、パケットプリント装置410Cと、マッチング装置601とから構成されており、上記代理機能を備えている。追跡サブマネージャ300Sは、追跡マネージャ300と同様の機能を備えている。
【0228】
パケットプリント装置410Bは、PP格納部416を備えており、グローバルネットワークAとパケット変換装置500との間を流れるパケットを監視し、PPa_1等を生成、格納する。パケットプリント装置410Cは、PP格納部416を備えており、パケット変換装置500とローカルネットワークBとの間を流れるパケットを監視し、PPb_1等を生成、格納する。
【0229】
パケットプリント装置410Aは、PP格納部416を備えており、グローバルネットワークAを流れるパケットを監視し、PPa_1等を生成、格納する。マッチング装置601は、追跡サブマネージャ300Sがパケットプリント装置410Bおよびパケットプリント装置410Cに対して検索要求を行い、検索結果から追跡対象パケットがパケットプリント装置410Bおよびパケットプリント装置410Cの双方を通過したことを判断するために必要な情報および手段を提供する。また、追跡サブマネージャ300Sは、図1に示したようなパケット変換装置500から変換テーブル501の情報を取得し、パケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図8および図13に示したような共通PPおよび共通PP’の同定処理および補足情報を追加利用した同定処理を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図14に示したようなバリアパケットを用いた共通PPおよび共通PP’の同定処理の支援を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図21に示したような他パケットプリント装置に対するCommonkey(共通PP)の問い合わせ処理を行い、その結果をパケットプリント装置410Bおよびパケットプリント装置410Cに提供する。また、追跡サブマネージャ300Sは、図24に示したような他パケットプリント装置からのCommonkey(共通PP)の定期的コピー処理を行う。
【0230】
上記構成において、IDS200が不正アクセスパケット(パケット250’)を検出すると、追跡マネージャ300は、当該不正アクセスパケットに対応するPPb_1を生成し、追跡サブマネージャ300Sに追跡の代理を依頼する(▲1▼)。これにより、追跡サブマネージャ300Sは、不正アクセスパケットの検出位置(パケット変換装置500の前後)に基づいて、パケットプリント装置410Bまたはパケットプリント装置410Cにアクセスし、パケットプリントの検索を行う(▲2▼)。
【0231】
また、追跡サブマネージャ300Sは、パケットプリント装置410B、パケットプリント装置410Cの検索終了後、さらに追跡が必要な場合、パケットプリント装置410Aなど、他のパケットプリント装置に対して、PPa_1の検索を要求する。追跡サブマネージャ300Sは、パケットの追跡処理の経過および結果を追跡マネージャ300へ通知する(▲1▼’)。なお、実施例7において、プロキシ装置600には、実施例1〜6で開示した機能の組み合わせも含まれる。なお、実施例7においては、図31に示したプロキシ装置600をネットワーク上に複数設け、あるプロキシ装置600から他のプロキシ装置600へと多段的に問い合わせる構成としてもよい。
【0232】
以上説明したように、実施例7によれば、追跡対象パケットの追跡を、追跡マネージャ、パケットプリント装置の機能を有するプロキシ装置600へ代理依頼することとしたので、追跡マネージャ300の追跡処理負荷を軽減することができる。また、実施例7によれば、追跡マネージャ、パケットプリント装置等が一つのプロキシ装置600としてまとめられ、一つのハードウェアとして実装、運用管理のコストを削減することができ、パケットプリント装置、追跡マネージャ間の通信の高速化、秘匿性の向上を図ることができる。
【0233】
以上本発明にかかる実施例1〜7について図面を参照して詳述してきたが、具体的な構成例はこれらの実施例1〜7に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等があっても本発明に含まれる。
【0234】
例えば、前述した実施例1〜7においては、追跡マネージャ、パケットプリント装置の各機能を実現するためのプログラムを図32に示したコンピュータ読み取り可能な記録媒体800に記録して、この記録媒体800に記録されたプログラムを同図に示したコンピュータ700に読み込ませ、実行することにより各機能を実現してもよい。
【0235】
同図に示したコンピュータ700は、上記プログラムを実行するCPU(Central Processing Unit)710と、キーボード、マウス等の入力装置720と、各種データを記憶するROM(Read Only Memory)730と、演算パラメータ等を記憶するRAM(Random Access Memory)740と、記録媒体800からプログラムを読み取る読取装置750と、ディスプレイ、プリンタ等の出力装置760と、装置各部を接続するバス770とから構成されている。
【0236】
CPU710は、読取装置750を経由して記録媒体800に記録されているプログラムを読み込んだ後、プログラムを実行することにより、前述した機能を実現する。なお、記録媒体800としては、光ディスク、フレキシブルディスク、ハードディスク等が挙げられる。
【図面の簡単な説明】
【0237】
【図1】本発明にかかる実施例1の構成を示すブロック図である。
【図2】図1に示したパケットプリント装置400(400A、400B)の構成を示すブロック図である。
【図3】図1および図2に示したパケットプリント装置400(400A、400B)の動作を説明するフローチャートである。
【図4】同実施例1の動作を説明するシーケンス図である。
【図5】本発明にかかる実施例2の構成を示すブロック図である。
【図6】図5に示した追跡マネージャ310の構成を示すブロック図である。
【図7】同実施例2の動作を説明するシーケンス図である。
【図8】本発明にかかる実施例3の構成を示すブロック図である。
【図9】図8に示した共通PPおよび共通PP’を生成する場合のパケット250(250’)のマスク状態を表す図である。
【図10】グローバルネットワークA(外側)からローカルネットワークB(内側)へパケットが流れる場合のマスク箇所を表す図である。
【図11】ローカルネットワークB(内側)からグローバルネットワークA(外側)へパケットが流れる場合のマスク箇所を表す図である。
【図12】同実施例3においてパケット変換装置500よって書き換えられるIPアドレスを含むペイロードをマスク箇所とする場合を説明する図である。
【図13】同実施例3において補足情報を用いてパケットの同定精度を高めるための構成を示すブロック図である。
【図14】同実施例3においてバリアパケットを用いてパケットの同定精度を高めるための構成を示すブロック図である。
【図15】図14に示したバリアパケットを用いたパケット追跡を説明するブロック図である。
【図16】同実施例3において追跡マネージャを高機能化した場合の具体例を説明するブロック図である。
【図17】同実施例3における対応表321および構成図321aを示す図である。
【図18】本発明にかかる実施例4の構成を示すブロック図である。
【図19】対応テーブル431A、431B、431Cおよび431Dを示す図である。
【図20】同実施例4(パケットプリント装置の高機能化)に実施例1を適用した構成例を示すブロック図である。
【図21】同実施例4(パケットプリント装置の高機能化)に実施例3を適用した構成例を示すブロック図である。
【図22】同実施例4において、内側のパケットプリント装置を複数台とした場合の構成例を示すブロック図である。
【図23】同実施例4において、パケット変換装置500の内側に追跡マネージャ330およびパケットプリント装置420Bを設け、外側に複数台のパケットプリント装置420A1 〜420A3 を設けた構成例を示すブロック図である。
【図24】同実施例4における図21に示した構成の変形例を示すブロック図である。
【図25】図24に示した内側のパケットプリント装置420Bを複数台とした場合の構成例を示すブロック図である。
【図26】本発明にかかる実施例5の構成を示すブロック図である。
【図27】同実施例5におけるマスクパターンを説明する図である。
【図28】本発明にかかる実施例6の構成を示すブロック図である。
【図29】同実施例6におけるマスクパターンを説明する図である。
【図30】同実施例6における変形例を説明する図である。
【図31】本発明にかかる実施例7の構成を示すブロック図である。
【図32】本発明にかかる実施例1〜7の変形例の構成を示すブロック図である。
【図33】従来のパケット追跡システムの構成を示すブロック図である。
【図34】図33に示したパケットプリント装置101(101a、101b、101c)の構成を示すブロック図である。
【図35】図33に示した追跡マネージャ102の構成を示すブロック図である。
【図36】従来のパケット追跡システムの問題点を説明する図である。
【符号の説明】
【0238】
200 IDS
300 追跡マネージャ
310 追跡マネージャ
400A パケットプリント装置
410A パケットプリント装置
420A パケットプリント装置
430A パケットプリント装置
500 パケット変換装置
|
| 【出願人】 |
【識別番号】000102728
【氏名又は名称】株式会社エヌ・ティ・ティ・データ
【識別番号】501175281
【氏名又は名称】株式会社サイバー・ソリューションズ
|
| 【出願日】 |
平成19年10月1日(2007.10.1) |
| 【代理人】 |
【識別番号】100089118
【弁理士】
【氏名又は名称】酒井 宏明
|
| 【公開番号】 |
特開2008−61271(P2008−61271A) |
| 【公開日】 |
平成20年3月13日(2008.3.13) |
| 【出願番号】 |
特願2007−257978(P2007−257978) |
|