アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム
【課題】ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、アプリケーショントレースバックに必要な情報を抽出するアプリケーショントレースバックにおけるデータ収集装置を提供する。
【解決手段】パケットキャプチャハードウェア1及びパケットキャプチャドライバ2は、ネットワークから受信したパケットをキャプチャする。アプリケーション選別機能3は、取得したパケットからデータを再構成し、プロトコルの判定を行う。アプリケーション個別処理・秘匿化機能4は、各プロトコルに応じてアプリケーショントレースバックに必要な情報を抽出し、個人情報を秘匿化する。フォーマット共通化機能5は、プロトコルごとの処理データを統一したフォーマットに整形する。アプリケーショントレースバック検知機能6は、フォーマット共通化機能5およびログ7のデータから発信元をトレースバックする。
【解決手段】パケットキャプチャハードウェア1及びパケットキャプチャドライバ2は、ネットワークから受信したパケットをキャプチャする。アプリケーション選別機能3は、取得したパケットからデータを再構成し、プロトコルの判定を行う。アプリケーション個別処理・秘匿化機能4は、各プロトコルに応じてアプリケーショントレースバックに必要な情報を抽出し、個人情報を秘匿化する。フォーマット共通化機能5は、プロトコルごとの処理データを統一したフォーマットに整形する。アプリケーショントレースバック検知機能6は、フォーマット共通化機能5およびログ7のデータから発信元をトレースバックする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上のサイバー攻撃の発信源を探索するアプリケーショントレースバックにおけるデータ収集装置に関する。
【背景技術】
【0002】
近年、インターネットの急速な拡大と重要性が向上していることに伴い、インターネットに対する攻撃・脅威により引き起こされ得るインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。
【0003】
一般に、企業内におけるコンピュータシステムは、LAN(Local Area Network)又はWAN(Wide Area Network)等のコンピュータネットワーク網を介して複数のクライアントコンピュータとクライアントコンピュータを管理するサーバコンピュータとをネットワーク接続し、各クライアントコンピュータ間でのデータの転送及び共有などが行われている。
【0004】
このように構成されたコンピュータシステムは、例えば外部からのメールにコンピュータウィルスが添付され、そのメールを受信したクライアントコンピュータがまずウィルスに感染し、次いで当該ウィルスの他への感染プログラムによってLAN等を介して他の多数のクライアントコンピュータに増殖することがある。
【0005】
従来技術によるコンピュータシステムは、コンピュータウィルス対策として、例えば複数のクライアントコンピュータ及びサーバコンピュータにウィルス対策ソフトをインストールし、ウィルス感染を検知したクライアントコンピュータがサーバコンピュータに当該感染を報告するものや、新たに不正侵入検知コンピュータをLAN上に用意し、この不正侵入検知コンピュータが検知対象の不正パターンとしてウィルス情報を登録しておき、LAN上を伝送するデータを監視してウィルスを検知し、サーバコンピュータに報告することが行われている。
【0006】
また、不正アクセス、DoS攻撃、ウィルス発信などのサイバー攻撃は、攻撃パケットのソースアドレスを詐称していることが多いため、攻撃の発信源を把握することは困難である。このためパケットのソースアドレスが詐称されているサイバー攻撃であっても、その発信源を把握し得るトレースバック技術が求められ、十数年に渡り研究が進められてきた。
【0007】
これらは、IPアドレスレベルでのトレースバック技術により追跡を行っているが、その仕組みからスパイウェア/ボットネット/ウィルス/ワーム等などのアプリケーションに依存したトレースバックを実現するのは、困難であった。
【0008】
例えば、ホストベースやネットワークベースのアンチウイルス製品が普及してきており、多くの既知の攻撃に対して対応する仕組みになっているが、それらはウィルスの検知を目的としており、ウィルス発信元を特定することはできない。
【0009】
また、IPネットワークにおけるDoS攻撃判定の精度を高めることで、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減するネットワーク管理装置があるが(例えば、特許文献1参照)、アプリケーションに依存したウィルス発信元の特定までは行っていない。
【0010】
あるいは、クライアントコンピュータに専用のソフトウェアを導入することによってLANシステム内におけるウィルス感染源を検知するウィルス感染元検知システムがあるが、(例えば、特許文献2参照)、ソフトウェアを導入していないクライアントコンピュータへのウィルス感染を検出することはできない。
【0011】
従来のアプリケーションに依存した処理を行うシステムにおいては、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、さらに目的のセッションを識別した上で、当該パケットの内容の解析を行うことで必要な処理を行っていた。これらの例として、ファイアウオールのアプリケーションゲートウェイやネットワーク型のウィルス検知システムが挙げられる。
【特許文献1】特開2005−130121号公報
【特許文献2】特開2004−086241号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、これらの既存システムは、アプリケーショントレースバックを行う上で必要となる特定アプリケーションを選別する機能、および、アプリケーショントレースバックに必要な情報を抽出する機能を十分に考慮されたものではなかった。そのため、アプリケーショントレースバックを実現するためのデータ収集装置として利用できなかった。
【0013】
また、これらの既存システムでは、ユーザのプライバシ保護を実現する匿名化機能がないため、通信におけるプライバシ保護を実現することができなかった。
【0014】
そこで本発明は、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、アプリケーショントレースバックに必要な情報を抽出し、さらに、これらの内容に含まれるユーザのプライバシ情報を匿名化するアプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
上述の課題を解決するための、本発明の解決手段を、図1を参照して説明する。パケットキャプチャハードウェア1は、LANなどのネットワークから受信したパケットをキャプチャするハードウェアである。パケットキャプチャドライバ2は、パケットキャプチャハードウェア1がキャプチャしたデータを取得するソフトウェアである。アプリケーション選別機能3は、パケットキャプチャドライバ2が取得したパケットからデータを再構成し、プロトコルの判定を行う。アプリケーション個別処理・秘匿化機能4は、各プロトコルに応じた処理を行うため、入力をチェックし、各プロトコルに応じてアプリケーショントレースバックに必要な情報を抽出する。さらに、個人を特定できる個人情報については、秘匿化を行う。フォーマット共通化機能5は、プロトコルごとの処理データを統一したフォーマットに整形する。アプリケーショントレースバック検知機能6は、フォーマット共通化機能5およびログ7のデータから発信元をトレースバックする機能を実現する。ログ7は、ファイアウオール、侵入検知システム(IDS:Intrusion Detection System)、Webサーバ、メールサーバなどのネットワーク上の通信記録を格納する記録媒体である。
【0016】
以上の構成によって、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となり、かつ、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる。
【発明の効果】
【0017】
本発明による第一の効果は、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となる点である。これは、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別する機能、目的のセッションを識別した上で当該パケットの内容の解析を行うためである。
【0018】
第二の効果は、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる点である。これは、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避する匿名化機能を持たせているためである。
【発明を実施するための最良の形態】
【0019】
次に、本発明の最良の形態について図面を参照して説明する。
【実施例1】
【0020】
図2は、本発明の構成例を示す図である。本発明のアプリケーショントレースバックにおけるデータ収集装置は、プログラム制御による情報処理装置であり、パケットキャプチャハードウェア10、パケットキャプチャドライバ20、共通ルール35、メモリ36、アプリケーション選別機能30、個別ルール47、メモリ48、SMTP(Simple Mail Transfer Protocol)処理40、プロトコルA処理40A、プロトコルB処理40B、共通化フォーマット出力50、ログ70、アプリケーショントレースバック検知機能60から構成される。
【0021】
アプリケーション選別機能30は、メモリ31、パケット/ストリーム収集32、パケット/ストリーム再構築33、プロトコル判定34を含む。
【0022】
SMTP処理40は、SMTPデータチェック41、SMTP個別処理42、添付ファイルデコード43、ハッシュ計算44、プライバシ秘匿化45、SMTP情報集約46を含む。
【0023】
これらはそれぞれ概略つぎのように動作する。パケットキャプチャハードウェア10は、ネットワークからのパケットをキャプチャする。パケットキャプチャドライバ20は、パケットキャプチャハードウェア10の制御を行い、ハードウェアがキャプチャしたパケットを取得する。共通ルール35は、本発明のシステム全体で利用する設定情報である。例えば、ネットワーク上を流れるパケットについてどのような情報を取得して、ログとして記録するか等である。メモリ36は、共通ルール35から読み出した情報で動作させるための情報を格納する。
【0024】
アプリケーション選別機能30は、パケットキャプチャドライバ20から受信したパケットやストリームの情報を判別し、アプリケーションに応じて、個別処理を行うためのSMTP処理40、プロトコルA処理40A、プロトコルB処理40Bなどにデータを受け渡すものである。なお、対応するプロトコルがなければ、データは破棄される。パケット/ストリーム収集32は、パケットキャプチャドライバ20からデータを収集する機能である。対応しているプロトコルでなければ、データは破棄される。キャプチャしたデータは、メモリ31に保存される。パケット/ストリーム再構築33は、パケット/ストリーム収集32からのデータを受信し、かつ、メモリ31からデータを読み出すことで、1つのストリームとして再構成し、メモリ31に格納する。プロトコル判定34は、メモリ31からデータを読み出し、個別処理を行うためのプロトコル判定を実施し、次に渡すプロトコル個別処理を決定する。
【0025】
SMTP処理40、プロトコルA処理40A、プロトコルB処理40Bは、それぞれ対応するプロトコル単位で処理を行う。個別ルール47は、プロトコルごとに動作を制御するための情報がハードディスクなどの記録媒体に記録されている。メモリ48は、個別ルール47から読み出した情報で動作させるための情報を格納する。
【0026】
SMTP処理40は、SMTPプロトコルに応じた処理を実施する機能ブロックである。SMTPデータチェック41は、受け取ったデータがSMTPプロトコルデータであるか否かを確認する。SMTP個別処理42は、SMTPプロトコルデータにおいて、アプリケーショントレースバックに必要な情報を取り出す機能である。添付ファイルデコード43は、SMTPプロトコルデータから取り出した添付ファイルに関する情報をデコードする機能である。ハッシュ計算44は、添付ファイルデコード43で取り出したファイルの内容に関し、ハッシュ値を計算するものである。プライバシ秘匿化45は、電子メールに含まれる個人情報などの秘匿化を行う。SMTP情報集約46は、SMTP個別処理42で取り出したアプリケーショントレースバックで攻撃者を特定するために用いられる情報を集約する。
【0027】
共通化フォーマット出力50は、各プロトコルの個別処理で生成した情報を共通化されたフォーマットで出力する。
【0028】
ログ70は、本データ収集装置で収集したデータ以外に、メールサーバのログなどネットワーク上の通信記録が格納されている。
【0029】
アプリケーショントレースバック検知機能60は、共通化フォーマット出力50から渡された各プロトコルで処理したデータとログ70との相関に基づき、攻撃元を特定するアプリケーショントレースバックを行うものである。
【0030】
次に、図3を参照して、本発明の処理の流れを、SMTPプロトコルでのアプリケーショントレースバックを例に説明する。
【0031】
まず、ネットワークを流れるパケットをパケットキャプチャハードウェア10にてキャプチャし、パケットキャプチャドライバ20で受信する(S1)。受信できなかった場合は、受信待ちの状態となる。次に、パケット/ストリーム収集32において、パケットキャプチャドライバ20からデータを収集し、メモリ31にその状態を保存する(S2)。パケット/ストリーム再構築33において、メモリ31に格納されたデータが1つの完全なデータとして完了しているか否かを確認する。完了していない場合、パケット/ストリーム受信に戻り、完了している場合、次のステップへ進む(S3)。メモリ31に格納されたデータのプロトコル情報を確認し、対応可能プロトコルか否かを確認する。対応可能プロトコルでない場合、メモリ31のデータを破棄し、完了する。対応可能プロトコルである場合、その該当プロトコル(SMTP)の処理に移る(S4)。
【0032】
SMTPデータチェック41において、受信したデータのチェックを行い(S5)、SMTPプロトコル独自の個別処理を行う(S6)。例えば、電子メールとして、図4に示すようなデータとなっていた場合に、アプリケーショントレースバック検知機能60が、「送信先ユーザ名」、「メッセージID」、「攻撃者が偽装したメールアドレス」、「年月日時分秒」、「添付ファイル名」を必要としている場合、SMTP個別処理42は、図5に下線で示す項目を取り出し、添付ファイル名の内容について、添付ファイルデコード43がファイルのデコードを行う。なお、エンコード方式には、BASE64などいくつかの方式があるが、添付ファイルデコード43で対応した方式であればデコードを行う。また、圧縮されている場合には、その圧縮を展開する処理を含んでも良い。デコード後のデータにハッシュ計算44でハッシュ値の計算を行う。ハッシュ値のアルゴリズムとしてしては、MD5やSHA−1などがあるが、いずれの方式でも良い。このとき、デコードできない方式であった場合には、デコードせず、添付ファイルのハッシュ値の計算を行う。これにより、情報として、図6に示すように共通フォーマット化する。
【0033】
次に、秘匿化において、例えば、宛先のみを秘匿化する場合には、宛先のハッシュ値を計算する(S7)。この結果が、図7に示すようになるように、SMTP情報集約46は、アプリケーショントレースバック検知機能60に渡すデータ形式を共通化したフォーマットに変換し(S8)、その結果を共通化フォーマット出力50を介してアプリケーショントレースバック検知機能60に出力する(S9)。例えば、syslogなどのインタフェースとして出力する。
【実施例2】
【0034】
第2の実施例として、対応するプロトコルがHTTP(Hyper Text Transfer Protocol)の場合がある。この場合には、第1の実施例のSMTPが、HTTPに対応した形態となる。プロトコル依存となるため、取得できる情報は異なるが、ファイルのダウンロード時に「ファイル名」「ファイルサイズ」「ファイルのハッシュ値」を取得することは同一である。
【産業上の利用可能性】
【0035】
インターネットの急速な拡大と重要性の向上は、改めていうまでもないところである。また、インターネットに対する攻撃・脅威により引き起こされうるインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。ウィルス発信等のサイバー攻撃は、攻撃パケットのソースアドレスを詐称しているなどにより、攻撃の発信源を把握することは困難となっている。
【0036】
このようなパケットのソースアドレスが詐称されているサイバー攻撃であっても、本発明によって、その発信源を把握することができるので、当該ソースアドレス(またはISP)からの攻撃であることを検知でき、インシデントに対する警戒が可能となる。一例として、攻撃発信元のISPをネットワークから隔離するなどの対策も可能となる。
【図面の簡単な説明】
【0037】
【図1】本発明の解決手段を示す図である。
【図2】本発明の構成例を示す図である。
【図3】本発明の処理の流れを示すフローチャートである。
【図4】受信した電子メールの例を示す図である。
【図5】受信した電子メールから取り出す項目例を示す図である。
【図6】電子メールから取り出した情報を共通フォーマット化した例を示す図である。
【図7】電子メールから取り出した情報の一部を秘匿化した例を示す図である。
【符号の説明】
【0038】
1 パケットキャプチャハードウェア
2 パケットキャプチャドライバ
3 アプリケーション選別機能
4 アプリケーション個別処理・秘匿化機能
5 フォーマット共通化機能
6 アプリケーショントレースバック検知機能
7 ログ
【技術分野】
【0001】
本発明は、ネットワーク上のサイバー攻撃の発信源を探索するアプリケーショントレースバックにおけるデータ収集装置に関する。
【背景技術】
【0002】
近年、インターネットの急速な拡大と重要性が向上していることに伴い、インターネットに対する攻撃・脅威により引き起こされ得るインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。
【0003】
一般に、企業内におけるコンピュータシステムは、LAN(Local Area Network)又はWAN(Wide Area Network)等のコンピュータネットワーク網を介して複数のクライアントコンピュータとクライアントコンピュータを管理するサーバコンピュータとをネットワーク接続し、各クライアントコンピュータ間でのデータの転送及び共有などが行われている。
【0004】
このように構成されたコンピュータシステムは、例えば外部からのメールにコンピュータウィルスが添付され、そのメールを受信したクライアントコンピュータがまずウィルスに感染し、次いで当該ウィルスの他への感染プログラムによってLAN等を介して他の多数のクライアントコンピュータに増殖することがある。
【0005】
従来技術によるコンピュータシステムは、コンピュータウィルス対策として、例えば複数のクライアントコンピュータ及びサーバコンピュータにウィルス対策ソフトをインストールし、ウィルス感染を検知したクライアントコンピュータがサーバコンピュータに当該感染を報告するものや、新たに不正侵入検知コンピュータをLAN上に用意し、この不正侵入検知コンピュータが検知対象の不正パターンとしてウィルス情報を登録しておき、LAN上を伝送するデータを監視してウィルスを検知し、サーバコンピュータに報告することが行われている。
【0006】
また、不正アクセス、DoS攻撃、ウィルス発信などのサイバー攻撃は、攻撃パケットのソースアドレスを詐称していることが多いため、攻撃の発信源を把握することは困難である。このためパケットのソースアドレスが詐称されているサイバー攻撃であっても、その発信源を把握し得るトレースバック技術が求められ、十数年に渡り研究が進められてきた。
【0007】
これらは、IPアドレスレベルでのトレースバック技術により追跡を行っているが、その仕組みからスパイウェア/ボットネット/ウィルス/ワーム等などのアプリケーションに依存したトレースバックを実現するのは、困難であった。
【0008】
例えば、ホストベースやネットワークベースのアンチウイルス製品が普及してきており、多くの既知の攻撃に対して対応する仕組みになっているが、それらはウィルスの検知を目的としており、ウィルス発信元を特定することはできない。
【0009】
また、IPネットワークにおけるDoS攻撃判定の精度を高めることで、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減するネットワーク管理装置があるが(例えば、特許文献1参照)、アプリケーションに依存したウィルス発信元の特定までは行っていない。
【0010】
あるいは、クライアントコンピュータに専用のソフトウェアを導入することによってLANシステム内におけるウィルス感染源を検知するウィルス感染元検知システムがあるが、(例えば、特許文献2参照)、ソフトウェアを導入していないクライアントコンピュータへのウィルス感染を検出することはできない。
【0011】
従来のアプリケーションに依存した処理を行うシステムにおいては、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、さらに目的のセッションを識別した上で、当該パケットの内容の解析を行うことで必要な処理を行っていた。これらの例として、ファイアウオールのアプリケーションゲートウェイやネットワーク型のウィルス検知システムが挙げられる。
【特許文献1】特開2005−130121号公報
【特許文献2】特開2004−086241号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、これらの既存システムは、アプリケーショントレースバックを行う上で必要となる特定アプリケーションを選別する機能、および、アプリケーショントレースバックに必要な情報を抽出する機能を十分に考慮されたものではなかった。そのため、アプリケーショントレースバックを実現するためのデータ収集装置として利用できなかった。
【0013】
また、これらの既存システムでは、ユーザのプライバシ保護を実現する匿名化機能がないため、通信におけるプライバシ保護を実現することができなかった。
【0014】
そこで本発明は、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、アプリケーショントレースバックに必要な情報を抽出し、さらに、これらの内容に含まれるユーザのプライバシ情報を匿名化するアプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
上述の課題を解決するための、本発明の解決手段を、図1を参照して説明する。パケットキャプチャハードウェア1は、LANなどのネットワークから受信したパケットをキャプチャするハードウェアである。パケットキャプチャドライバ2は、パケットキャプチャハードウェア1がキャプチャしたデータを取得するソフトウェアである。アプリケーション選別機能3は、パケットキャプチャドライバ2が取得したパケットからデータを再構成し、プロトコルの判定を行う。アプリケーション個別処理・秘匿化機能4は、各プロトコルに応じた処理を行うため、入力をチェックし、各プロトコルに応じてアプリケーショントレースバックに必要な情報を抽出する。さらに、個人を特定できる個人情報については、秘匿化を行う。フォーマット共通化機能5は、プロトコルごとの処理データを統一したフォーマットに整形する。アプリケーショントレースバック検知機能6は、フォーマット共通化機能5およびログ7のデータから発信元をトレースバックする機能を実現する。ログ7は、ファイアウオール、侵入検知システム(IDS:Intrusion Detection System)、Webサーバ、メールサーバなどのネットワーク上の通信記録を格納する記録媒体である。
【0016】
以上の構成によって、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となり、かつ、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる。
【発明の効果】
【0017】
本発明による第一の効果は、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となる点である。これは、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別する機能、目的のセッションを識別した上で当該パケットの内容の解析を行うためである。
【0018】
第二の効果は、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる点である。これは、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避する匿名化機能を持たせているためである。
【発明を実施するための最良の形態】
【0019】
次に、本発明の最良の形態について図面を参照して説明する。
【実施例1】
【0020】
図2は、本発明の構成例を示す図である。本発明のアプリケーショントレースバックにおけるデータ収集装置は、プログラム制御による情報処理装置であり、パケットキャプチャハードウェア10、パケットキャプチャドライバ20、共通ルール35、メモリ36、アプリケーション選別機能30、個別ルール47、メモリ48、SMTP(Simple Mail Transfer Protocol)処理40、プロトコルA処理40A、プロトコルB処理40B、共通化フォーマット出力50、ログ70、アプリケーショントレースバック検知機能60から構成される。
【0021】
アプリケーション選別機能30は、メモリ31、パケット/ストリーム収集32、パケット/ストリーム再構築33、プロトコル判定34を含む。
【0022】
SMTP処理40は、SMTPデータチェック41、SMTP個別処理42、添付ファイルデコード43、ハッシュ計算44、プライバシ秘匿化45、SMTP情報集約46を含む。
【0023】
これらはそれぞれ概略つぎのように動作する。パケットキャプチャハードウェア10は、ネットワークからのパケットをキャプチャする。パケットキャプチャドライバ20は、パケットキャプチャハードウェア10の制御を行い、ハードウェアがキャプチャしたパケットを取得する。共通ルール35は、本発明のシステム全体で利用する設定情報である。例えば、ネットワーク上を流れるパケットについてどのような情報を取得して、ログとして記録するか等である。メモリ36は、共通ルール35から読み出した情報で動作させるための情報を格納する。
【0024】
アプリケーション選別機能30は、パケットキャプチャドライバ20から受信したパケットやストリームの情報を判別し、アプリケーションに応じて、個別処理を行うためのSMTP処理40、プロトコルA処理40A、プロトコルB処理40Bなどにデータを受け渡すものである。なお、対応するプロトコルがなければ、データは破棄される。パケット/ストリーム収集32は、パケットキャプチャドライバ20からデータを収集する機能である。対応しているプロトコルでなければ、データは破棄される。キャプチャしたデータは、メモリ31に保存される。パケット/ストリーム再構築33は、パケット/ストリーム収集32からのデータを受信し、かつ、メモリ31からデータを読み出すことで、1つのストリームとして再構成し、メモリ31に格納する。プロトコル判定34は、メモリ31からデータを読み出し、個別処理を行うためのプロトコル判定を実施し、次に渡すプロトコル個別処理を決定する。
【0025】
SMTP処理40、プロトコルA処理40A、プロトコルB処理40Bは、それぞれ対応するプロトコル単位で処理を行う。個別ルール47は、プロトコルごとに動作を制御するための情報がハードディスクなどの記録媒体に記録されている。メモリ48は、個別ルール47から読み出した情報で動作させるための情報を格納する。
【0026】
SMTP処理40は、SMTPプロトコルに応じた処理を実施する機能ブロックである。SMTPデータチェック41は、受け取ったデータがSMTPプロトコルデータであるか否かを確認する。SMTP個別処理42は、SMTPプロトコルデータにおいて、アプリケーショントレースバックに必要な情報を取り出す機能である。添付ファイルデコード43は、SMTPプロトコルデータから取り出した添付ファイルに関する情報をデコードする機能である。ハッシュ計算44は、添付ファイルデコード43で取り出したファイルの内容に関し、ハッシュ値を計算するものである。プライバシ秘匿化45は、電子メールに含まれる個人情報などの秘匿化を行う。SMTP情報集約46は、SMTP個別処理42で取り出したアプリケーショントレースバックで攻撃者を特定するために用いられる情報を集約する。
【0027】
共通化フォーマット出力50は、各プロトコルの個別処理で生成した情報を共通化されたフォーマットで出力する。
【0028】
ログ70は、本データ収集装置で収集したデータ以外に、メールサーバのログなどネットワーク上の通信記録が格納されている。
【0029】
アプリケーショントレースバック検知機能60は、共通化フォーマット出力50から渡された各プロトコルで処理したデータとログ70との相関に基づき、攻撃元を特定するアプリケーショントレースバックを行うものである。
【0030】
次に、図3を参照して、本発明の処理の流れを、SMTPプロトコルでのアプリケーショントレースバックを例に説明する。
【0031】
まず、ネットワークを流れるパケットをパケットキャプチャハードウェア10にてキャプチャし、パケットキャプチャドライバ20で受信する(S1)。受信できなかった場合は、受信待ちの状態となる。次に、パケット/ストリーム収集32において、パケットキャプチャドライバ20からデータを収集し、メモリ31にその状態を保存する(S2)。パケット/ストリーム再構築33において、メモリ31に格納されたデータが1つの完全なデータとして完了しているか否かを確認する。完了していない場合、パケット/ストリーム受信に戻り、完了している場合、次のステップへ進む(S3)。メモリ31に格納されたデータのプロトコル情報を確認し、対応可能プロトコルか否かを確認する。対応可能プロトコルでない場合、メモリ31のデータを破棄し、完了する。対応可能プロトコルである場合、その該当プロトコル(SMTP)の処理に移る(S4)。
【0032】
SMTPデータチェック41において、受信したデータのチェックを行い(S5)、SMTPプロトコル独自の個別処理を行う(S6)。例えば、電子メールとして、図4に示すようなデータとなっていた場合に、アプリケーショントレースバック検知機能60が、「送信先ユーザ名」、「メッセージID」、「攻撃者が偽装したメールアドレス」、「年月日時分秒」、「添付ファイル名」を必要としている場合、SMTP個別処理42は、図5に下線で示す項目を取り出し、添付ファイル名の内容について、添付ファイルデコード43がファイルのデコードを行う。なお、エンコード方式には、BASE64などいくつかの方式があるが、添付ファイルデコード43で対応した方式であればデコードを行う。また、圧縮されている場合には、その圧縮を展開する処理を含んでも良い。デコード後のデータにハッシュ計算44でハッシュ値の計算を行う。ハッシュ値のアルゴリズムとしてしては、MD5やSHA−1などがあるが、いずれの方式でも良い。このとき、デコードできない方式であった場合には、デコードせず、添付ファイルのハッシュ値の計算を行う。これにより、情報として、図6に示すように共通フォーマット化する。
【0033】
次に、秘匿化において、例えば、宛先のみを秘匿化する場合には、宛先のハッシュ値を計算する(S7)。この結果が、図7に示すようになるように、SMTP情報集約46は、アプリケーショントレースバック検知機能60に渡すデータ形式を共通化したフォーマットに変換し(S8)、その結果を共通化フォーマット出力50を介してアプリケーショントレースバック検知機能60に出力する(S9)。例えば、syslogなどのインタフェースとして出力する。
【実施例2】
【0034】
第2の実施例として、対応するプロトコルがHTTP(Hyper Text Transfer Protocol)の場合がある。この場合には、第1の実施例のSMTPが、HTTPに対応した形態となる。プロトコル依存となるため、取得できる情報は異なるが、ファイルのダウンロード時に「ファイル名」「ファイルサイズ」「ファイルのハッシュ値」を取得することは同一である。
【産業上の利用可能性】
【0035】
インターネットの急速な拡大と重要性の向上は、改めていうまでもないところである。また、インターネットに対する攻撃・脅威により引き起こされうるインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。ウィルス発信等のサイバー攻撃は、攻撃パケットのソースアドレスを詐称しているなどにより、攻撃の発信源を把握することは困難となっている。
【0036】
このようなパケットのソースアドレスが詐称されているサイバー攻撃であっても、本発明によって、その発信源を把握することができるので、当該ソースアドレス(またはISP)からの攻撃であることを検知でき、インシデントに対する警戒が可能となる。一例として、攻撃発信元のISPをネットワークから隔離するなどの対策も可能となる。
【図面の簡単な説明】
【0037】
【図1】本発明の解決手段を示す図である。
【図2】本発明の構成例を示す図である。
【図3】本発明の処理の流れを示すフローチャートである。
【図4】受信した電子メールの例を示す図である。
【図5】受信した電子メールから取り出す項目例を示す図である。
【図6】電子メールから取り出した情報を共通フォーマット化した例を示す図である。
【図7】電子メールから取り出した情報の一部を秘匿化した例を示す図である。
【符号の説明】
【0038】
1 パケットキャプチャハードウェア
2 パケットキャプチャドライバ
3 アプリケーション選別機能
4 アプリケーション個別処理・秘匿化機能
5 フォーマット共通化機能
6 アプリケーショントレースバック検知機能
7 ログ
【特許請求の範囲】
【請求項1】
ネットワークに接続され、ネットワークを流れるデータを収集する装置であって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別手段と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理手段と、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、
ネットワーク上の通信記録を格納するログ記録手段と、
前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーショントレースバックにおけるデータ収集装置。
【請求項2】
個人を特定できる個人情報について、秘匿化を行う秘匿化手段をさらに備えることを特徴とする請求項1に記載のアプリケーショントレースバックにおけるデータ収集装置。
【請求項3】
ネットワークを流れるデータを収集する方法であって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ・ステップと、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別ステップと、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理ステップと、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、
フォーマット共通化されたデータと、ネットワーク上の通信記録を格納するログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、を含むことを特徴とするアプリケーショントレースバックにおけるデータ収集方法。
【請求項4】
個人を特定できる個人情報について、秘匿化を行う秘匿化ステップをさらに含むことを特徴とする請求項3に記載のアプリケーショントレースバックにおけるデータ収集方法。
【請求項5】
ネットワークを流れるデータを収集するプログラムであって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別機能と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理機能と、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、
フォーマット共通化されたデータと、ネットワーク上の通信記録を格納するログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能と、をコンピュータに実現させることを特徴とするアプリケーショントレースバックにおけるデータ収集プログラム。
【請求項6】
個人を特定できる個人情報について、秘匿化を行う秘匿化機能をさらにコンピュータに実現させることを特徴とする請求項5に記載のアプリケーショントレースバックにおけるデータ収集プログラム。
【請求項1】
ネットワークに接続され、ネットワークを流れるデータを収集する装置であって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別手段と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理手段と、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、
ネットワーク上の通信記録を格納するログ記録手段と、
前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーショントレースバックにおけるデータ収集装置。
【請求項2】
個人を特定できる個人情報について、秘匿化を行う秘匿化手段をさらに備えることを特徴とする請求項1に記載のアプリケーショントレースバックにおけるデータ収集装置。
【請求項3】
ネットワークを流れるデータを収集する方法であって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ・ステップと、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別ステップと、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理ステップと、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、
フォーマット共通化されたデータと、ネットワーク上の通信記録を格納するログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、を含むことを特徴とするアプリケーショントレースバックにおけるデータ収集方法。
【請求項4】
個人を特定できる個人情報について、秘匿化を行う秘匿化ステップをさらに含むことを特徴とする請求項3に記載のアプリケーショントレースバックにおけるデータ収集方法。
【請求項5】
ネットワークを流れるデータを収集するプログラムであって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別機能と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理機能と、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、
フォーマット共通化されたデータと、ネットワーク上の通信記録を格納するログ記録手段のデータとの相関に基づき、攻撃元を特定するアプリケーショントレースバック機能と、をコンピュータに実現させることを特徴とするアプリケーショントレースバックにおけるデータ収集プログラム。
【請求項6】
個人を特定できる個人情報について、秘匿化を行う秘匿化機能をさらにコンピュータに実現させることを特徴とする請求項5に記載のアプリケーショントレースバックにおけるデータ収集プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−249348(P2007−249348A)
【公開日】平成19年9月27日(2007.9.27)
【国際特許分類】
【出願番号】特願2006−68963(P2006−68963)
【出願日】平成18年3月14日(2006.3.14)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年9月27日(2007.9.27)
【国際特許分類】
【出願日】平成18年3月14日(2006.3.14)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]