偽装されたネットワーク情報を検出する方法および装置
【課題】偽装されたソースIPアドレスを有するネットワーク情報を検出するための、確実かつ有効な方法および装置を提供すること。
【解決手段】偽装されたIPネットワーク情報を検出するための方法および装置が提示される。複数のデータソースから収集されるルーティング情報に基づいて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。ターゲットネットワークの各インタフェースにおいて、トレーニング情報フローからIPアドレスプレフィックスが獲得され、マッピングテーブルに基づいてAS番号に更に変換される。予想AS番号テーブルには、インタフェースごとに収集されるAS番号が格納される。予想AS番号テーブルは、オペレーショナル情報フローがネットワークに入ることを許可されるか否かを判定するために用いられる。
【解決手段】偽装されたIPネットワーク情報を検出するための方法および装置が提示される。複数のデータソースから収集されるルーティング情報に基づいて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。ターゲットネットワークの各インタフェースにおいて、トレーニング情報フローからIPアドレスプレフィックスが獲得され、マッピングテーブルに基づいてAS番号に更に変換される。予想AS番号テーブルには、インタフェースごとに収集されるAS番号が格納される。予想AS番号テーブルは、オペレーショナル情報フローがネットワークに入ることを許可されるか否かを判定するために用いられる。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、一般に、偽装されたIP(インターネットプロトコル)情報を、それがISP(インターネットサービスプロバイダ)のネットワークに入る際に検出することに関し、特に、AS(自律システム)メンバーシップ情報を過去の情報フローと組み合わせることによって、偽装されたソースIPアドレスを有するパケットを検出する方法および装置に関する。
【背景技術】
【0002】
偽装されたIP情報(正しくないソースIPアドレスを有するパケットを含む情報)は、トレースバックのリスクを減らし、かつネットワークベースのセンサによって、攻撃が検出されることを回避しようとする、匿名性を狙ったインターネットベースの攻撃者によって、用いられることが多い。攻撃者は、多くの場合、ネットワーク通信のソースアドレスを偽造することによって、攻撃を行うために用いる機械の識別情報を偽装または見せかける。このことにより、攻撃情報のソースを検出して特定することがより困難になり、ときには攻撃者から無実の第三者へと注意が逸らされることもある。
【0003】
最も広く使われているオペレーティングシステムから発せられる攻撃情報において、正しくないソースIPアドレスを用いることは、巧みな攻撃者にとって一般的なことである。IPルーティングは、デスティネーションに基づいているため、偽装されたIPパケットは、偽装されていないIPパケットと同様に、意図されたターゲットへと配信される。偽装されたIPパケットは、DDoS(分散型サービス妨害)攻撃において、特に一般的であり、攻撃者は、ターゲットのホストまたはネットワークに対して累積的に大量のIP情報フローが集中するように、多数の中間的な感染ホストを強制的に操作できる。偽装は、個々のホストからの情報量を少なく見せることを確実にするので、ネットワークベースのセンサによって、そのようなDDoS攻撃を検出することは困難である。
【0004】
DDoSのような大量攻撃に加えて、比較的人目を盗んだ攻撃もまた、偽装されたIPパケットを使用することがある。顕著な例は、デスティネーションノードを感染させる、シングルソースIPの偽装されたUDP(ユーザデータグラムプロトコル)パケットを送信するスラマー(Slammer)ワームである。従って、偽装されたIP情報を検出するということは、攻撃ごとに特殊化された検出器を用いるのではなく、いくつかの異なる種類のネットワーク攻撃を検出するための一般的な手段である。このような問題は、非特許文献1〜3において言及されている。
【0005】
上記の問題を解決するために努力が払われてきた。
【0006】
偽装されたIP情報を検出して阻止する最も一般的な解決策の1つに、出口フィルタリングがある(非特許文献4)。この方法は、ネットワーク境界ルータのアウトバウンドインタフェースにおいて、フィルタリングルールを用いるものである。これらのフィルタリングルールは、当該ネットワークに合法的に割り当てられたもの以外のソースIPアドレスを有する情報がネットワークから出ることを防止する。従って、出口フィルタリングは、そのソースにおいて、偽装された情報の検出および阻止に対処することを試みるものである。しかしながら、出口フィルタリングが直面する短所は、それを実行するISP側にとっては一般的に不本意なものであるということである。出口フィルタリングを実行する利点は、フィルタリングを実行するISPには認められない。従って、ISPがそのようにする動機はほとんどない。更に、出口フィルタのメンテナンスは時間のかかるプロセスであり、旧式のおよび/または正しくない出口フィルタは、本物の情報をブロックしてしまうことがある。従って、たとえ出口フィルタリングを実行するメカニズムがインターネットのほとんどのルータにおいて、利用可能であっても、現在、多数のISPがそれを実行していない。結果として、これらのISPのホストにおいて、偽装された情報が制約なしに発生し得る。
【0007】
偽装されたIP情報を検出して阻止する別の方法としては、ユニキャストリバースパス転送(URPF)がある(非特許文献5)。パケットのソースIPアドレスに戻るアウトバウンドパスが、所与のインタフェースを用いていない場合には、URPF対応エッジルータは、所与のインタフェースにおいて、着信IPパケットを遮断する。換言すると、URPFは、ソースとデスティネーションとの間の対称的なルーティングに依存し、この対称性を破るいかなるパケットも遮断する。URPFは、インターネットにおける2つのエンドポイントの間のパスについてルーティング対称性の存在を想定している。しかしながら、インターネットルーティングプロトコルの動的性質と、ルータが常にこれらのプロトコルに基づいてデスティネーションへの最善のパスを選択するという事実とによって、ソースからデスティネーションへの最善のネットワークパスが、最善のリバースパスとは全く異なるものになり得る可能性が高い。結果として、URPFベースの情報フィルタリングが、有効なソースIPアドレスを有する情報を遮断してしまうことが多くあり得る。従って、URPFは、一定の特定の状況においてのみ有効であり、偽装されたIP情報を検出するという問題に対する完全な解決策ではない。
【0008】
多種多様な検出方法は、(能動的または受動的な)ホストベースの方法とルーティングベースの方法とに分類される。ホストベースの方法は、偽装されている可能性のある情報のデスティネーションであるホストにおいて、追加的な機能を組み込む必要がある。ルーティングベースの検出方法は、ネットワークに対する外部アドレスと内部アドレスとを区別することに焦点をあてる。しかしながら、ホストベースの方法は、方法を展開する必要のあるエンドポイントの数が多いという単なる理由によって、容易には実行できない。従って、問題を全体として解決するためにホストベースの方法を大規模に実行することは実用的ではない。一方、ルーティングベースの検出方法は、ネットワークに対する内部アドレスと外部アドレスとの区別を試みるものであり、偽装検出問題を解決できる程度が限定されている。アウトバウンドパケット上の外部ソースアドレスを検出することは、出口フィルタリング(上記に記載)と基本的に同一のものであり、従って同一の限界に直面する。着信パケット上の内部ソースアドレスを検出することは、着信パケットが外部ソースIPアドレスを運ぶ場合には偽装を検出できないので、問題に対して提供する解決策は限定されている。
【0009】
更に、攻撃ターゲットの近くにおけるIPソースアドレスのフィルタリングに基づいてDDoS攻撃に対して防御する、という別のスキームも、ネットワークの管理者および設計者の間で考察されてきた。このスキームによると、各エッジルータは、ネットワーク内に以前に現れたすべての本物のIPアドレスの履歴を保持する。エッジルータに過負荷がかけられたときに、着信IPパケットを認可するべきか否かを決定するために、この履歴が用いられる。しかしながら、このスキームは、単一のエッジルータのみにおいて、観察されたソースIPアドレスの履歴セットを利用するため、問題に対して限定された解決策しか提供しない。着信パケット上のソースIPアドレスが、エッジルータの履歴セットの中にはないが有効である、という場合でさえも、偽装されたものとして遮断され得る。
【0010】
更に、別の公知のスキームは、デスティネーションの近くの情報において、偽装されたソースIPアドレスを検出するために、「InFilter」仮説を利用した予測的な入口フィルタリング手法を提示する。この方法は、多数のエッジルータにわたる過去のソースIPアドレス情報を利用することにより、観察された情報における偽装活動を推論するものである(非特許文献6、非特許文献7)。このスキームは、多数のエッジルータにわたるソースIPアドレス履歴を用いることによって、直面する問題をいくぶん軽減する。着信パケット上のソースIPアドレスが、着信エッジルータの履歴セットの中にはなく、別のエッジルータの履歴セットの中にある場合には、パケットは通過を許可されず、誤ったエッジに到着したものとして無視されることになる。しかしながら、この方法は、履歴情報が集められている期間の最中に、ISPのネットワーク内のいずれのエッジルータにおいても一定のソースIPアドレスが見られない場合には、やはり限定を受けてしまう。そのIPアドレスは、後で観察されたとしても、偽装されたものとして遮断されてしまう。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】リッチ(Rich Pethia)、外2名、「分散DoS攻撃を破るための指針」(“Consensus Roadmap for Defeating Distributed Denial of Service Attacks”)、Ver.1.10 2000年2月、インターネット<URL:http://www.sans.org/dosstep/roadmap.php>
【非特許文献2】「インフラストラクチャセキュリティ」(“WORLDWIDE INFRASTRUCTURE SECURITY REPORT”)、2008年10月 Arbor Networks.、インターネット<URL:http://www.arbornetworks.com/report>
【非特許文献3】ロバート(G. Robert Malan)、「サービス不能攻撃についての観測と経験」(“Observations and Experiences Tracking Denial−Of−Service Attacks Across a Regional ISP”)、インターネット<URL: http://www.arbornetworks.com/index.php?option=com_docman&task=doc_download&gid=97>
【非特許文献4】クリス(Chris Brenton)、「出口フィルタリング」(“Egress Filtering FAQ”)、2006年4月、インターネット<URL:http://www.sans.org/reading_room/whitepapers/firewalls/egress_filtering_faq_1059?show=1059.php&cat=firewalls>
【非特許文献5】バリー(Barry Raveendran Greene)、外1名(Neil Jarvis)、「ISP−ISPのためのuRPF」(“Unicast Reverse Path Forwarding (uRPF) Enhancements for the ISP−ISP Edge”)、2001年2月、Cisco Systems,Inc.、インターネット<URL:ftp://ftp−eng.cisco.com/cons/isp/security/URPF−ISP.pdf>
【非特許文献6】ペン(T.Peng)、外2名(C.Leckie,R.Kotagiri)「IPフィルタリングを使用する分散DoS攻撃からの保護」(“Protection from Distributed Denial of Service Attack Using History−based IP Filtering,”)、2003年3月、IEEE International Conference on Communications (ICC 2003),Anchorage,Alaska,USA.
【非特許文献7】ゴッシュ(A. Ghosh)、外3名(L. Wong,G. Di Crescenzo,R. Talpade)、「偽装されたIP情報を検出するための入口フィルタリング」(“InFilter:Predictive Ingress Filtering to Detect Spoofed IP Traffic”)、2005年、ICDCSW‘05−Volume 02
【発明の概要】
【発明が解決しようとする課題】
【0012】
従って、偽装されたソースIPアドレスを有するネットワーク情報を検出するための、確実かつ有効な方法および装置に対するニーズがある。
【課題を解決するための手段】
【0013】
本発明の一態様によると、複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル(IP)情報を検出する方法が提供される。前記方法は、複数のデータソースからのルーティング情報を処理することで、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程を含む。前記方法は、インタフェースごとに、インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいてインタフェース用予想AS番号テーブルを生成する工程を更に含む。前記方法は、前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程を更に含む。
【0014】
本明細書に記載する方法を実行する機械によって実行可能な命令のプログラムを具体的に実現する、機械によって読み込み可能なコンピュータ可読媒体などのプログラム記憶装置も提供されてよい。
【0015】
本発明の別の態様によると、偽装防止装置が提供される。前記装置は、複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネント(マッピング部)を備える。前記装置は、複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネント(学習部)を更に備える。前記装置は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネント(判定部)を更に備える。
【0016】
本発明の更に別の態様によると、偽装された着信IP情報を検出することができるネットワークシステムが提供される。前記ネットワークシステムは、情報フローを受信および転送するための複数のインタフェースと、前記情報フローから情報を収集するために前記複数のインタフェースと通信する複数の情報モニタと、前記ネットワークシステム内の前記情報フローを制御するために前記複数の情報モニタと通信する少なくとも1つのサーバとを備える。前記サーバは、偽装防止装置を備える。前記装置は、複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネント(マッピング部)を備える。前記装置は、複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネント(学習部)を更に備える。前記装置は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネント(判定部)を更に備える。
【図面の簡単な説明】
【0017】
本発明の非限定的な例示的実施形態を通して、言及される図面を参照しながら、以下の詳細な説明において、本発明を更に説明する。すべての図面にわたって、類似の参照符号は、類似の部分を表す。しかしながら、本発明は、図示される通りの配置および手段に限定されるものではない、ということが理解されるべきである。図面の説明は以下の通りである。
【0018】
【図1】本発明の一態様による方法を適用できる例示的なネットワークを示す図である。
【図2】本発明の一態様による偽装されたIP情報を検出する方法のステップを図示する例示的なフローチャートである。
【図3】IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するステップを図示する例示的なフローチャートである。
【図4】トレーニング情報フローを用いて各ネットワークインタフェースをプロファイリングするステップを図示する例示的なフローチャートである。
【図5】オペレーショナル情報フローにおける異常なソースAS番号を検出するステップを図示する例示的なフローチャートである。
【図6】本発明の別の態様による例示的な偽装防止装置を示すブロック図である。
【図7】本発明の更に別の態様による例示的なネットワークシステムを示すブロック図である。
【発明を実施するための形態】
【0019】
ここで図面を参照して明細書を説明する。類似の参照符号は、類似の要素を指すために用いられる。以下の記載において、説明を目的として、本明細書の徹底的な理解を提供するために、数多くの具体的な詳細を述べる。しかしながら、これらの具体的な詳細なしに明細書の内容を実施できることは明白であり得る。他の場合において、明細書の記載を容易にするために、周知の構造および装置をブロック図の形態で示す。
【0020】
図1は、複数のインタフェースを有するターゲットネットワーク100を図示するものであり、これらのインタフェースを介してネットワークとの間のトラフィックを実現できる。例えば、ターゲットネットワーク100は、複数のエッジルータ120を含む。エッジルータ120の各々は、ISP_W220、ISP_X240、ISP_Y260およびISP_Z280などの複数の外部ネットワークから情報を受信し、当該情報をターゲットネットワーク100に更に転送する。ターゲットネットワーク100は、複数のコアルータ140を更に含む。コアルータ140は、ネットワーク内にあり、ネットワーク内で情報フローをルーティングする。複数の情報モニタ160もネットワーク内にあり、ネットワークを横断する情報に関する情報を収集する。そのような情報は、ソースIPアドレス、デスティネーションIPアドレス、ソースポート、デスティネーションポート、パケットサイズ、およびネットワークに対する着信パケットが観察された時間などを含むが、これらに限定されるものではない。
【0021】
情報モニタ160は、エッジルータ120、コアルータ140およびサーバ300と通信する。サーバ300は、ターゲットネットワーク100内の情報フローと、ターゲットネットワーク100と外部ネットワークとの間の情報フローとを制御する。例えば、サーバ300は、ターゲットネットワーク100におけるエッジルータ120に対して、各ルータがデータを送信してもよいタイミング、または各ルータがデータを送信してもよい時間の長さを指示し得る。サーバ300は、ターゲットネットワーク100におけるエッジルータ120に対して、各ルータが送信してもよいデータの種類と、当該送信をどこに向けるべきかとを更に指示し得る。
【0022】
サーバ300と通信するデータベース400を提供することもできる。データベース400は、AS番号に関連するデータを格納できる。ターゲットネットワーク100は、エッジルータ120の1つおよび顧客ネットワーク500のエッジルータ520を介して、顧客ネットワーク500との間で情報の受信および送信をすることが更にできる。ターゲットネットワーク100は、エッジルータ120の1つを介して、企業ネットワーク600との間で情報の受信および送信をすることが更にできる。
【0023】
本発明の一態様によると、同一の発信ASからのパケットは、デスティネーションネットワークに入る際に、一般的に同一の「着信(last hop)」ASを用いる。従って、デスティネーションネットワークの観点から、ロードバランシングを実現する場合には、同一の発信ASから発信するパケットは、一般的に同一のインターネット境界ルータまたは境界ルータのセットに到達する、ということを意味する。従って、ネットワークのインプリメンテーションに関して、冗長なまたはロードバランシングのネットワーク構成の場合には、同一の発信ASからのIPアドレスプレフィックスは、同一のネットワークインタフェース若しくはネットワーク相互接続ポイント、またはインタフェースのセットにおいて、観察される。
【0024】
特定のネットワークインタフェースについて有効とみなされるAS番号のセットである予想AS(EAS)番号テーブルを構成するために、上記の理解が用いられる。EAS番号テーブルは、特定のネットワークインタフェースに関連する過去の情報トレースを調べることにより構築される。BGP(ボーダーゲートウェイプロトコル)のルーティング情報またはルーティングレジストリを利用することによって、IPパケットにおけるソースIPアドレスは、発信AS情報と相関させられる。発信ASaを有するパケットがインタフェースiにおいて観察された場合には、ASaがインタフェースi用のEAS番号テーブルセットに追加される。
【0025】
本発明によるEASベースの偽装検出スキームは、AS境界ルータにおけるインタフェースにおいて実現する場合に、最も有効である。それに加えて、EASベースの偽装検出スキームはまた、コアルータにおける過去の情報トレース、および/またはネットワークにおける専用情報収集ポイントを観察することによっても実現できる。
【0026】
図2は、本発明の一態様による偽装されたIP情報を検出する方法1000を図示するフローチャートである。
【0027】
ステップ1200において、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。ステップ1200は、マッピングテーブルを作成するために複数のデータソースからのBGPルーティング情報を処理することを含む。一実施形態において、特定のソースIPアドレスプレフィックスに関連するBGPルーティング情報は、ネットワークオペレータのルータ(ローカルBGPルータ)、RouteViewsサーバ、および/またはIRR(インターネットルーティングレジストリ)データベースから、ローカルに収集できる。例えば、ルーティング情報は、AS発信またはメンバーシップ情報を含む。
【0028】
一般的に、IRRデータベースは、登録されたIPアドレスプレフィックスを、対応するASにマッピングする信頼すべき情報を含む。しかしながら、ASに対するIPアドレスプレフィックスのマッピングは、一対一ではなくてもよい。例えば、いくつかのAS番号を用いて1つのIPアドレスプレフィックスを登録できる。更に、登録されたIPアドレスプレフィックスは、登録されたネットワークにおいて、特定のプレフィックスが用いられることを必ずしも示すわけではない。それに加えて、すべてのIPアドレスプレフィックスがIRRデータベースの所与のセットに必ずしも登録されるというわけではない。
【0029】
一般的に、RouteViewsサーバは、情報を転送するためにインターネットにおいて、ルータによって用いられる実際の情報を表す実際のBGPルーティングデータを含む。このデータはまた、所与のIPアドレスプレフィックスのための対応するAS番号を推論するために用いることもできる。しかしながら、これらのサーバにおいて、IPアドレスプレフィックスを認識できないことがあるので、サーバの所与のセットからのRouteViewsデータは、所与のIPアドレスプレフィックスに関する情報を含まないことがある。
【0030】
一般的に、ネットワークオペレータのローカルBGPルータは、RouteViewsサーバに類似した制約を受けるので、IPアドレスプレフィックスからAS番号へのマッピングの信頼すべきソースではあり得ない。
【0031】
上述のデータソースからのBGPルーティング情報における欠点を考慮して、マッピングテーブルを作成するステップ1200は、図3に示すフローチャートに従って実現される。
【0032】
図示するように、サブステップ1210において、BGPルーティング情報は、ローカルBGPルータ、RouteViewsサーバ、およびIRRデータベースから、それぞれ収集される。サブステップ1220において、ローカルBGPルータ、RouteViewsサーバ、およびIRRデータベースから獲得されたそれぞれのルーティングデータ間にコンフリクトが存在するか否かが判定される。差分データソースからのそれぞれのBGPルーティングデータがコンフリクトしていない場合には(1220=NO)、サブステップ1230において、様々なBGPルーティングデータが組み合わせられるかまたは結合される。その後、サブステップ1240において、処理された情報を用いて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。
【0033】
しかしながら、サブステップ1220において、判定された異なるデータソースからのBGPルーティングデータ間にコンフリクトがある場合には(1220=YES)、サブステップ1250において、コンフリクトしているルーティングデータを含む各データソースにプライオリティが割り当てられる。その後、比較して、より高いプライオリティを有するデータソースからのルーティングデータは、サブステップ1260において、更に処理され得る(例えば、コンフリクトしているルーティングデータを含まない他のデータソースからのルーティングデータと組み合わせられる)。その後、サブステップ1240において、処理された情報を用いて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。
【0034】
1つの例示的実施形態において、IRRデータベースおよびRouteViewsサーバが、同一のIPアドレスプレフィックスに関してコンフリクトしているASデータを含む場合には、比較して、より高いプライオリティがIRRデータベースに割り当てられ、比較して、より低いプライオリティがRouteViewsサーバに割り当てられる。その後、IRRデータベースからのルーティングデータが、ネットワークオペレータのローカルBGPルータからのルーティングデータと組み合わせられることにより、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。それに加えて、複数のデータ資源からのデータ間に多数のコンフリクトがある場合には、すべてのコンフリクトが解決されるまで、上記のサブステップ1220乃至1260を繰り返すことができる。
【0035】
再び図2を参照して、マッピングテーブルが作成された後、方法1000は、ステップ1400に進み、トレーニング情報フローおよびステップ1200において作成されたマッピングテーブルを用いて、各ネットワークインタフェース(例えば図1に示すエッジルータ120の各々)がプロファイリングされる。
【0036】
図4は、ネットワークの各インタフェースをプロファイリングするサブステップを図示するフローチャートである。本発明による各インタフェースのプロファイリングは、トレーニング情報フローを用いることにより、ネットワーク内の専用情報収集ポイントにおける各ネットワークインタフェースをAS番号と関連づける。
【0037】
サブステップ1410において、ソースIPアドレスプレフィックスは、インタフェースごとに、ネットワークインタフェースにおいて観察されるトレーニング情報フローから抽出される。例えば、IPアドレスプレフィックスをそれぞれ含む着信パケットのグループは、第1プリセット時間について監視される。第1プリセット時間は、調節可能である。
【0038】
サブステップ1420において、ステップ1200において作成される(IPアドレスプレフィックスとAS番号との間の相関関係を示す)マッピングテーブルに基づいて、IPアドレスプレフィックスがAS番号に変換される。サブステップ1430において、サブステップ1420において、変換されたAS番号に基づいて、インタフェース用EAS番号テーブルが生成される。EAS番号テーブルは、各情報収集ポイントにおける各ネットワークインタフェースを、インタフェースにおいて観察されるAS番号のセットにマッピングする。
【0039】
それに加えて、サブステップ1440において、各ネットワークインタフェース用のEAS番号テーブルを、定期的にアップデートすることができる。例えば、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルの変更またはアップデートに基づいて、EAS番号テーブルをアップデートすることができる。トレーニング情報フローの新たなセット(ターゲットネットワーク内の、またはターゲットネットワークに接続されたインターネットの一部における、ルーティングトポロジの変化によって発生し得るもの)を用いて、EAS番号テーブルを更新することも可能である。
【0040】
更に、別の例示的実施形態によると、偽装されたソースアドレスを有する可能性のあるIPパケットをトレーニング情報フローから排除するための手段が講じられる。例えば、手段としては、異常に高い負荷が見られるデスティネーションに向かうすべての情報を排除することによって、攻撃の被害者に向けられたフローをフィルタリング除去することが挙げられる。同一の発信ASから発信するパケットは一般的に同一のインターネット境界ルータに到達する、という上述の理解に基づいて、所与のネットワークインタフェースについてEASセットが相当に安定することが予想される。
【0041】
再び図2を参照して、ステップ1400において、インタフェースごとにEAS番号テーブルを生成することによって、各ネットワークインタフェースがプロファイリングされた後、方法1000はステップ1600に進み、インタフェースごとのそれぞれのEAS番号テーブルに基づいて包括的EAS番号テーブルを生成することによって、ネットワークがプロファイリングされる。例えば、包括的EAS番号テーブルは、複数のエントリを含むことができ、各エントリは、特定のインタフェースと関連し、インタフェース用EAS番号テーブルを含む。包括的EAS番号テーブルは、ネットワークインタフェースを、ネットワークの各インタフェースにおいて観察されるAS番号のグループにマッピングする。
【0042】
ステップ1800において、オペレーショナル情報フローにおける異常なソースAS番号が検出される。
【0043】
図5は、異常なソースAS番号を検出するサブステップを図示するフローチャートである。サブステップ1810において、オペレーショナル情報フローからIPアドレスプレフィックスが獲得される。このサブステップにおいて、例えば、オペレーショナル情報フローの少なくとも1つの着信パケットは、特定のインタフェースを介してネットワークに入り、第2プリセット時間において、パケットを監視することによって、パケットのIPアドレスプレフィックスを抽出する。第2プリセット時間は、調節可能である。
【0044】
獲得されたIPアドレスプレフィックスは、ステップ1200において作成されるマッピングテーブルに基づいて、サブステップ1820において、少なくとも1つのAS番号に変換される。変換されたAS番号は、サブステップ1830において、ステップ1600において生成された包括的EAS番号テーブルの各エントリのAS番号と、比較される。
【0045】
サブステップ1840において、変換されたAS番号と、包括的EAS番号テーブルのエントリのAS番号との間に一致があるか否かが判定される。一致がない場合には(1840=NO)、サブステップ1850において、ネットワークに対してオペレーショナル情報フローが許可されないことを示す第1アラートを生成する。変換されたAS番号と、エントリの少なくとも1つのAS番号との間に一致がある場合には(1840=YES)、サブステップ1860において、エントリに関連するインタフェースを特定する。
【0046】
その後、サブステップ1870において、特定されたインタフェースと、オペレーショナル情報フローがネットワークに入る際に通ったインタフェースとを比較する。サブステップ1880において、2つのインタフェースの間に一致があるか否かが判定される。一致がない場合には(1880=NO)、サブステップ1890において、オペレーショナル情報フローがネットワークに対しては許可されるが、特定のインタフェースに対しては許可されないということを示す第2アラートを生成する。一致がある場合には(1880=YES)、サブステップ1892において、オペレーショナル情報が特定のインタフェースを介してネットワークに入ることを許可する。
【0047】
本発明の上記の例示的実施形態による方法は、過去の情報フローを、ASレベルルーティング情報と相関させて、異常なソースAS番号を特定することによって、偽装されたIP情報を検出する。IPアドレスに注目することにより偽装された情報を検出することに代わって、本発明のこれらの実施形態による方法は、IPパケットの発信ASを利用して、偽装されたパケットを検出する。インターネットルーティングテーブルにおいて、アクティブIPプレフィックスの数は約330Kであるが、アクティブAS番号の数は約32Kである。従って、本発明のこれらの実施形態による方法は、はるかに拡張性のある検出メカニズムをもたらす。それに加えて、IPアドレスではなくAS番号を利用するフィルタは、サイズが1桁小さいので、方法の利用可能性および実用性を更に高める。
【0048】
更に、本発明の上記の例示的実施形態による方法は、IPアドレスをAS番号にマッピングする。従って、同一の発信ASから一部の情報が観察されてさえいれば、これまで一度も観察されなかったIPアドレスを有する情報を、本物かまたは偽装されたものかに分類できる。従って、検出アルゴリズムをトレーニングするために必要な時間量、および偽装検出アルゴリズムにより特定される誤検出の数において、著しい低減を達成できる。
【0049】
図6は、本発明の別の態様による例示的な偽装防止装置700を示すブロック図である。偽装防止装置700は、複数のインタフェースを有するネットワークに向けられた偽装されたIP情報を検出するために使用されることができる。装置は、本物のAS番号のセットと対応するIPアドレスとの間の相関関係を動的に学習し、更には着信情報フローのIPアドレスが本物のAS番号に対応するか否かを検証することによって、攻撃情報がネットワークに入ることを回避することができる。情報フローのAS番号とEAS番号テーブルとを比較することによって、偽装された情報フローが判定される。
【0050】
一般的に、偽装防止装置700は、マッピングコンポーネント(マッピング部)720と、学習コンポーネント(学習部)740と、判定コンポーネント(判定部)760とを備える。
【0051】
マッピングコンポーネント(マッピング部)720は、複数のデータソースから発信されるルーティング情報を受信および処理することにより、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。マッピングテーブルは、データベース722に格納することができる。
【0052】
学習コンポーネント(学習部)740は、ネットワークに入る複数のトレーニング情報フローから、IPアドレスプレフィックスを獲得する。マッピングコンポーネント(マッピング部)720によって作成されるマッピングテーブルを参照することによって、学習コンポーネント(学習部)740は、獲得されたIPアドレスプレフィックスをAS番号に変換し、AS番号はEAS番号テーブルを生成するために用いられる。EAS番号テーブルは、データベース742に格納することができる。
【0053】
判定コンポーネント(判定部)760は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、マッピングコンポーネント(マッピング部)720によって作成されるマッピングテーブルに基づいて、IPプレフィックスをAS番号に変換する。更に、判定コンポーネント(判定部)760は、着信オペレーショナル操作情報フローがネットワークに入ることを許可されるか否かを判定する。例えば、判定コンポーネント(判定部)760は、変換されたAS番号と、学習コンポーネント(学習部)740によって生成されるEAS番号テーブルのAS番号とを比較する比較コンポーネント(比較部)762を備えることができる。変換されたAS番号とEAS番号テーブルのAS番号との間に一致がない場合には、判定コンポーネント(判定部)760は、アラート通知を生成することができ、アラート通知はデータベース764に格納されることができる。
【0054】
図7は、本発明の更に別の態様によるネットワークシステム800のブロック図である。ネットワークシステム800は、複数のエッジルータ820と、複数の情報モニタ840と、複数のコアルータ860とを備え、いずれも図1に示すターゲットネットワーク100のそれらと同一または同様である。ネットワークシステム800は、図7に示す偽装防止装置700を組み込むサーバ880を更に備える。偽装防止装置700を組み込むことによって、ネットワークシステム800は、システムに向けられた偽装されたIP情報を検出することができる。
【0055】
本明細書において、用いられる用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することを意図しない。本明細書において、用いられる「1つの(a、an)」および「その(the)」という語の単数形は、文脈が特に明示しない限り、複数形も含むことを意図される。本明細書において、用いられる「備える(comprises/comprising)」という用語は、記載される特徴、整数、ステップ、操作、要素および/または構成要素の存在を指定するものであるが、他の1つ以上の特徴、整数、ステップ、操作、要素、構成要素および/またはそれらの群の存在または追加を除外するものではない。
【0056】
本開示の様々な態様は、コンピュータまたは機械によって、使用可能または読み込み可能な媒体において、実現されるプログラム、ソフトウェアまたはコンピュータ命令として実現されてもよく、それらは、コンピュータ、プロセッサおよび/または機械上で実行される際に、コンピュータまたは機械に方法のステップを実行させるものである。本開示において、記載される様々な機能および方法を実行する機械によって、実行可能な命令のプログラムを具体的に実現する、機械によって読み込み可能なプログラム記憶装置も提供される。
【0057】
本開示のシステムおよび方法は、汎用コンピュータまたは特殊目的コンピュータシステム上で実現および実行されてもよい。コンピュータシステムは、すでに公知のまたはいずれ公知となる任意の種類のシステムであってもよく、一般的に、プロセッサ、メモリデバイス、記憶装置、入出力装置、内部バス、および/または通信用ハードウェアおよびソフトウェアと併用して他のコンピュータシステムと通信するための通信インタフェースを含んでもよい。
【0058】
本発明の記載は、図解および説明のために提示したが、開示された形態において、本発明を網羅または限定することを意図するものではない。本発明の範囲および趣旨から逸脱することなく、多くの修正および変更が当業者にとって明らかである。本実施形態は、本発明の原理およびその実際の応用例を最もよく説明するために選択され説明されたものであり、これにより、考えられる特定の使用法に合わせた様々な変更を有する様々な実施形態について、当業者が本発明を理解できる。
【符号の説明】
【0059】
100 ターゲットネットワーク
120、820 エッジルータ
140、860 コアルータ
160、840 情報モニタ
700 偽装防止装置
720 マッピングコンポーネント
740 学習コンポーネント
760 判定コンポーネント
【技術分野】
【0001】
本出願は、一般に、偽装されたIP(インターネットプロトコル)情報を、それがISP(インターネットサービスプロバイダ)のネットワークに入る際に検出することに関し、特に、AS(自律システム)メンバーシップ情報を過去の情報フローと組み合わせることによって、偽装されたソースIPアドレスを有するパケットを検出する方法および装置に関する。
【背景技術】
【0002】
偽装されたIP情報(正しくないソースIPアドレスを有するパケットを含む情報)は、トレースバックのリスクを減らし、かつネットワークベースのセンサによって、攻撃が検出されることを回避しようとする、匿名性を狙ったインターネットベースの攻撃者によって、用いられることが多い。攻撃者は、多くの場合、ネットワーク通信のソースアドレスを偽造することによって、攻撃を行うために用いる機械の識別情報を偽装または見せかける。このことにより、攻撃情報のソースを検出して特定することがより困難になり、ときには攻撃者から無実の第三者へと注意が逸らされることもある。
【0003】
最も広く使われているオペレーティングシステムから発せられる攻撃情報において、正しくないソースIPアドレスを用いることは、巧みな攻撃者にとって一般的なことである。IPルーティングは、デスティネーションに基づいているため、偽装されたIPパケットは、偽装されていないIPパケットと同様に、意図されたターゲットへと配信される。偽装されたIPパケットは、DDoS(分散型サービス妨害)攻撃において、特に一般的であり、攻撃者は、ターゲットのホストまたはネットワークに対して累積的に大量のIP情報フローが集中するように、多数の中間的な感染ホストを強制的に操作できる。偽装は、個々のホストからの情報量を少なく見せることを確実にするので、ネットワークベースのセンサによって、そのようなDDoS攻撃を検出することは困難である。
【0004】
DDoSのような大量攻撃に加えて、比較的人目を盗んだ攻撃もまた、偽装されたIPパケットを使用することがある。顕著な例は、デスティネーションノードを感染させる、シングルソースIPの偽装されたUDP(ユーザデータグラムプロトコル)パケットを送信するスラマー(Slammer)ワームである。従って、偽装されたIP情報を検出するということは、攻撃ごとに特殊化された検出器を用いるのではなく、いくつかの異なる種類のネットワーク攻撃を検出するための一般的な手段である。このような問題は、非特許文献1〜3において言及されている。
【0005】
上記の問題を解決するために努力が払われてきた。
【0006】
偽装されたIP情報を検出して阻止する最も一般的な解決策の1つに、出口フィルタリングがある(非特許文献4)。この方法は、ネットワーク境界ルータのアウトバウンドインタフェースにおいて、フィルタリングルールを用いるものである。これらのフィルタリングルールは、当該ネットワークに合法的に割り当てられたもの以外のソースIPアドレスを有する情報がネットワークから出ることを防止する。従って、出口フィルタリングは、そのソースにおいて、偽装された情報の検出および阻止に対処することを試みるものである。しかしながら、出口フィルタリングが直面する短所は、それを実行するISP側にとっては一般的に不本意なものであるということである。出口フィルタリングを実行する利点は、フィルタリングを実行するISPには認められない。従って、ISPがそのようにする動機はほとんどない。更に、出口フィルタのメンテナンスは時間のかかるプロセスであり、旧式のおよび/または正しくない出口フィルタは、本物の情報をブロックしてしまうことがある。従って、たとえ出口フィルタリングを実行するメカニズムがインターネットのほとんどのルータにおいて、利用可能であっても、現在、多数のISPがそれを実行していない。結果として、これらのISPのホストにおいて、偽装された情報が制約なしに発生し得る。
【0007】
偽装されたIP情報を検出して阻止する別の方法としては、ユニキャストリバースパス転送(URPF)がある(非特許文献5)。パケットのソースIPアドレスに戻るアウトバウンドパスが、所与のインタフェースを用いていない場合には、URPF対応エッジルータは、所与のインタフェースにおいて、着信IPパケットを遮断する。換言すると、URPFは、ソースとデスティネーションとの間の対称的なルーティングに依存し、この対称性を破るいかなるパケットも遮断する。URPFは、インターネットにおける2つのエンドポイントの間のパスについてルーティング対称性の存在を想定している。しかしながら、インターネットルーティングプロトコルの動的性質と、ルータが常にこれらのプロトコルに基づいてデスティネーションへの最善のパスを選択するという事実とによって、ソースからデスティネーションへの最善のネットワークパスが、最善のリバースパスとは全く異なるものになり得る可能性が高い。結果として、URPFベースの情報フィルタリングが、有効なソースIPアドレスを有する情報を遮断してしまうことが多くあり得る。従って、URPFは、一定の特定の状況においてのみ有効であり、偽装されたIP情報を検出するという問題に対する完全な解決策ではない。
【0008】
多種多様な検出方法は、(能動的または受動的な)ホストベースの方法とルーティングベースの方法とに分類される。ホストベースの方法は、偽装されている可能性のある情報のデスティネーションであるホストにおいて、追加的な機能を組み込む必要がある。ルーティングベースの検出方法は、ネットワークに対する外部アドレスと内部アドレスとを区別することに焦点をあてる。しかしながら、ホストベースの方法は、方法を展開する必要のあるエンドポイントの数が多いという単なる理由によって、容易には実行できない。従って、問題を全体として解決するためにホストベースの方法を大規模に実行することは実用的ではない。一方、ルーティングベースの検出方法は、ネットワークに対する内部アドレスと外部アドレスとの区別を試みるものであり、偽装検出問題を解決できる程度が限定されている。アウトバウンドパケット上の外部ソースアドレスを検出することは、出口フィルタリング(上記に記載)と基本的に同一のものであり、従って同一の限界に直面する。着信パケット上の内部ソースアドレスを検出することは、着信パケットが外部ソースIPアドレスを運ぶ場合には偽装を検出できないので、問題に対して提供する解決策は限定されている。
【0009】
更に、攻撃ターゲットの近くにおけるIPソースアドレスのフィルタリングに基づいてDDoS攻撃に対して防御する、という別のスキームも、ネットワークの管理者および設計者の間で考察されてきた。このスキームによると、各エッジルータは、ネットワーク内に以前に現れたすべての本物のIPアドレスの履歴を保持する。エッジルータに過負荷がかけられたときに、着信IPパケットを認可するべきか否かを決定するために、この履歴が用いられる。しかしながら、このスキームは、単一のエッジルータのみにおいて、観察されたソースIPアドレスの履歴セットを利用するため、問題に対して限定された解決策しか提供しない。着信パケット上のソースIPアドレスが、エッジルータの履歴セットの中にはないが有効である、という場合でさえも、偽装されたものとして遮断され得る。
【0010】
更に、別の公知のスキームは、デスティネーションの近くの情報において、偽装されたソースIPアドレスを検出するために、「InFilter」仮説を利用した予測的な入口フィルタリング手法を提示する。この方法は、多数のエッジルータにわたる過去のソースIPアドレス情報を利用することにより、観察された情報における偽装活動を推論するものである(非特許文献6、非特許文献7)。このスキームは、多数のエッジルータにわたるソースIPアドレス履歴を用いることによって、直面する問題をいくぶん軽減する。着信パケット上のソースIPアドレスが、着信エッジルータの履歴セットの中にはなく、別のエッジルータの履歴セットの中にある場合には、パケットは通過を許可されず、誤ったエッジに到着したものとして無視されることになる。しかしながら、この方法は、履歴情報が集められている期間の最中に、ISPのネットワーク内のいずれのエッジルータにおいても一定のソースIPアドレスが見られない場合には、やはり限定を受けてしまう。そのIPアドレスは、後で観察されたとしても、偽装されたものとして遮断されてしまう。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】リッチ(Rich Pethia)、外2名、「分散DoS攻撃を破るための指針」(“Consensus Roadmap for Defeating Distributed Denial of Service Attacks”)、Ver.1.10 2000年2月、インターネット<URL:http://www.sans.org/dosstep/roadmap.php>
【非特許文献2】「インフラストラクチャセキュリティ」(“WORLDWIDE INFRASTRUCTURE SECURITY REPORT”)、2008年10月 Arbor Networks.、インターネット<URL:http://www.arbornetworks.com/report>
【非特許文献3】ロバート(G. Robert Malan)、「サービス不能攻撃についての観測と経験」(“Observations and Experiences Tracking Denial−Of−Service Attacks Across a Regional ISP”)、インターネット<URL: http://www.arbornetworks.com/index.php?option=com_docman&task=doc_download&gid=97>
【非特許文献4】クリス(Chris Brenton)、「出口フィルタリング」(“Egress Filtering FAQ”)、2006年4月、インターネット<URL:http://www.sans.org/reading_room/whitepapers/firewalls/egress_filtering_faq_1059?show=1059.php&cat=firewalls>
【非特許文献5】バリー(Barry Raveendran Greene)、外1名(Neil Jarvis)、「ISP−ISPのためのuRPF」(“Unicast Reverse Path Forwarding (uRPF) Enhancements for the ISP−ISP Edge”)、2001年2月、Cisco Systems,Inc.、インターネット<URL:ftp://ftp−eng.cisco.com/cons/isp/security/URPF−ISP.pdf>
【非特許文献6】ペン(T.Peng)、外2名(C.Leckie,R.Kotagiri)「IPフィルタリングを使用する分散DoS攻撃からの保護」(“Protection from Distributed Denial of Service Attack Using History−based IP Filtering,”)、2003年3月、IEEE International Conference on Communications (ICC 2003),Anchorage,Alaska,USA.
【非特許文献7】ゴッシュ(A. Ghosh)、外3名(L. Wong,G. Di Crescenzo,R. Talpade)、「偽装されたIP情報を検出するための入口フィルタリング」(“InFilter:Predictive Ingress Filtering to Detect Spoofed IP Traffic”)、2005年、ICDCSW‘05−Volume 02
【発明の概要】
【発明が解決しようとする課題】
【0012】
従って、偽装されたソースIPアドレスを有するネットワーク情報を検出するための、確実かつ有効な方法および装置に対するニーズがある。
【課題を解決するための手段】
【0013】
本発明の一態様によると、複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル(IP)情報を検出する方法が提供される。前記方法は、複数のデータソースからのルーティング情報を処理することで、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程を含む。前記方法は、インタフェースごとに、インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいてインタフェース用予想AS番号テーブルを生成する工程を更に含む。前記方法は、前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程を更に含む。
【0014】
本明細書に記載する方法を実行する機械によって実行可能な命令のプログラムを具体的に実現する、機械によって読み込み可能なコンピュータ可読媒体などのプログラム記憶装置も提供されてよい。
【0015】
本発明の別の態様によると、偽装防止装置が提供される。前記装置は、複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネント(マッピング部)を備える。前記装置は、複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネント(学習部)を更に備える。前記装置は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネント(判定部)を更に備える。
【0016】
本発明の更に別の態様によると、偽装された着信IP情報を検出することができるネットワークシステムが提供される。前記ネットワークシステムは、情報フローを受信および転送するための複数のインタフェースと、前記情報フローから情報を収集するために前記複数のインタフェースと通信する複数の情報モニタと、前記ネットワークシステム内の前記情報フローを制御するために前記複数の情報モニタと通信する少なくとも1つのサーバとを備える。前記サーバは、偽装防止装置を備える。前記装置は、複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネント(マッピング部)を備える。前記装置は、複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネント(学習部)を更に備える。前記装置は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネント(判定部)を更に備える。
【図面の簡単な説明】
【0017】
本発明の非限定的な例示的実施形態を通して、言及される図面を参照しながら、以下の詳細な説明において、本発明を更に説明する。すべての図面にわたって、類似の参照符号は、類似の部分を表す。しかしながら、本発明は、図示される通りの配置および手段に限定されるものではない、ということが理解されるべきである。図面の説明は以下の通りである。
【0018】
【図1】本発明の一態様による方法を適用できる例示的なネットワークを示す図である。
【図2】本発明の一態様による偽装されたIP情報を検出する方法のステップを図示する例示的なフローチャートである。
【図3】IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するステップを図示する例示的なフローチャートである。
【図4】トレーニング情報フローを用いて各ネットワークインタフェースをプロファイリングするステップを図示する例示的なフローチャートである。
【図5】オペレーショナル情報フローにおける異常なソースAS番号を検出するステップを図示する例示的なフローチャートである。
【図6】本発明の別の態様による例示的な偽装防止装置を示すブロック図である。
【図7】本発明の更に別の態様による例示的なネットワークシステムを示すブロック図である。
【発明を実施するための形態】
【0019】
ここで図面を参照して明細書を説明する。類似の参照符号は、類似の要素を指すために用いられる。以下の記載において、説明を目的として、本明細書の徹底的な理解を提供するために、数多くの具体的な詳細を述べる。しかしながら、これらの具体的な詳細なしに明細書の内容を実施できることは明白であり得る。他の場合において、明細書の記載を容易にするために、周知の構造および装置をブロック図の形態で示す。
【0020】
図1は、複数のインタフェースを有するターゲットネットワーク100を図示するものであり、これらのインタフェースを介してネットワークとの間のトラフィックを実現できる。例えば、ターゲットネットワーク100は、複数のエッジルータ120を含む。エッジルータ120の各々は、ISP_W220、ISP_X240、ISP_Y260およびISP_Z280などの複数の外部ネットワークから情報を受信し、当該情報をターゲットネットワーク100に更に転送する。ターゲットネットワーク100は、複数のコアルータ140を更に含む。コアルータ140は、ネットワーク内にあり、ネットワーク内で情報フローをルーティングする。複数の情報モニタ160もネットワーク内にあり、ネットワークを横断する情報に関する情報を収集する。そのような情報は、ソースIPアドレス、デスティネーションIPアドレス、ソースポート、デスティネーションポート、パケットサイズ、およびネットワークに対する着信パケットが観察された時間などを含むが、これらに限定されるものではない。
【0021】
情報モニタ160は、エッジルータ120、コアルータ140およびサーバ300と通信する。サーバ300は、ターゲットネットワーク100内の情報フローと、ターゲットネットワーク100と外部ネットワークとの間の情報フローとを制御する。例えば、サーバ300は、ターゲットネットワーク100におけるエッジルータ120に対して、各ルータがデータを送信してもよいタイミング、または各ルータがデータを送信してもよい時間の長さを指示し得る。サーバ300は、ターゲットネットワーク100におけるエッジルータ120に対して、各ルータが送信してもよいデータの種類と、当該送信をどこに向けるべきかとを更に指示し得る。
【0022】
サーバ300と通信するデータベース400を提供することもできる。データベース400は、AS番号に関連するデータを格納できる。ターゲットネットワーク100は、エッジルータ120の1つおよび顧客ネットワーク500のエッジルータ520を介して、顧客ネットワーク500との間で情報の受信および送信をすることが更にできる。ターゲットネットワーク100は、エッジルータ120の1つを介して、企業ネットワーク600との間で情報の受信および送信をすることが更にできる。
【0023】
本発明の一態様によると、同一の発信ASからのパケットは、デスティネーションネットワークに入る際に、一般的に同一の「着信(last hop)」ASを用いる。従って、デスティネーションネットワークの観点から、ロードバランシングを実現する場合には、同一の発信ASから発信するパケットは、一般的に同一のインターネット境界ルータまたは境界ルータのセットに到達する、ということを意味する。従って、ネットワークのインプリメンテーションに関して、冗長なまたはロードバランシングのネットワーク構成の場合には、同一の発信ASからのIPアドレスプレフィックスは、同一のネットワークインタフェース若しくはネットワーク相互接続ポイント、またはインタフェースのセットにおいて、観察される。
【0024】
特定のネットワークインタフェースについて有効とみなされるAS番号のセットである予想AS(EAS)番号テーブルを構成するために、上記の理解が用いられる。EAS番号テーブルは、特定のネットワークインタフェースに関連する過去の情報トレースを調べることにより構築される。BGP(ボーダーゲートウェイプロトコル)のルーティング情報またはルーティングレジストリを利用することによって、IPパケットにおけるソースIPアドレスは、発信AS情報と相関させられる。発信ASaを有するパケットがインタフェースiにおいて観察された場合には、ASaがインタフェースi用のEAS番号テーブルセットに追加される。
【0025】
本発明によるEASベースの偽装検出スキームは、AS境界ルータにおけるインタフェースにおいて実現する場合に、最も有効である。それに加えて、EASベースの偽装検出スキームはまた、コアルータにおける過去の情報トレース、および/またはネットワークにおける専用情報収集ポイントを観察することによっても実現できる。
【0026】
図2は、本発明の一態様による偽装されたIP情報を検出する方法1000を図示するフローチャートである。
【0027】
ステップ1200において、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。ステップ1200は、マッピングテーブルを作成するために複数のデータソースからのBGPルーティング情報を処理することを含む。一実施形態において、特定のソースIPアドレスプレフィックスに関連するBGPルーティング情報は、ネットワークオペレータのルータ(ローカルBGPルータ)、RouteViewsサーバ、および/またはIRR(インターネットルーティングレジストリ)データベースから、ローカルに収集できる。例えば、ルーティング情報は、AS発信またはメンバーシップ情報を含む。
【0028】
一般的に、IRRデータベースは、登録されたIPアドレスプレフィックスを、対応するASにマッピングする信頼すべき情報を含む。しかしながら、ASに対するIPアドレスプレフィックスのマッピングは、一対一ではなくてもよい。例えば、いくつかのAS番号を用いて1つのIPアドレスプレフィックスを登録できる。更に、登録されたIPアドレスプレフィックスは、登録されたネットワークにおいて、特定のプレフィックスが用いられることを必ずしも示すわけではない。それに加えて、すべてのIPアドレスプレフィックスがIRRデータベースの所与のセットに必ずしも登録されるというわけではない。
【0029】
一般的に、RouteViewsサーバは、情報を転送するためにインターネットにおいて、ルータによって用いられる実際の情報を表す実際のBGPルーティングデータを含む。このデータはまた、所与のIPアドレスプレフィックスのための対応するAS番号を推論するために用いることもできる。しかしながら、これらのサーバにおいて、IPアドレスプレフィックスを認識できないことがあるので、サーバの所与のセットからのRouteViewsデータは、所与のIPアドレスプレフィックスに関する情報を含まないことがある。
【0030】
一般的に、ネットワークオペレータのローカルBGPルータは、RouteViewsサーバに類似した制約を受けるので、IPアドレスプレフィックスからAS番号へのマッピングの信頼すべきソースではあり得ない。
【0031】
上述のデータソースからのBGPルーティング情報における欠点を考慮して、マッピングテーブルを作成するステップ1200は、図3に示すフローチャートに従って実現される。
【0032】
図示するように、サブステップ1210において、BGPルーティング情報は、ローカルBGPルータ、RouteViewsサーバ、およびIRRデータベースから、それぞれ収集される。サブステップ1220において、ローカルBGPルータ、RouteViewsサーバ、およびIRRデータベースから獲得されたそれぞれのルーティングデータ間にコンフリクトが存在するか否かが判定される。差分データソースからのそれぞれのBGPルーティングデータがコンフリクトしていない場合には(1220=NO)、サブステップ1230において、様々なBGPルーティングデータが組み合わせられるかまたは結合される。その後、サブステップ1240において、処理された情報を用いて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。
【0033】
しかしながら、サブステップ1220において、判定された異なるデータソースからのBGPルーティングデータ間にコンフリクトがある場合には(1220=YES)、サブステップ1250において、コンフリクトしているルーティングデータを含む各データソースにプライオリティが割り当てられる。その後、比較して、より高いプライオリティを有するデータソースからのルーティングデータは、サブステップ1260において、更に処理され得る(例えば、コンフリクトしているルーティングデータを含まない他のデータソースからのルーティングデータと組み合わせられる)。その後、サブステップ1240において、処理された情報を用いて、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。
【0034】
1つの例示的実施形態において、IRRデータベースおよびRouteViewsサーバが、同一のIPアドレスプレフィックスに関してコンフリクトしているASデータを含む場合には、比較して、より高いプライオリティがIRRデータベースに割り当てられ、比較して、より低いプライオリティがRouteViewsサーバに割り当てられる。その後、IRRデータベースからのルーティングデータが、ネットワークオペレータのローカルBGPルータからのルーティングデータと組み合わせられることにより、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルが作成される。それに加えて、複数のデータ資源からのデータ間に多数のコンフリクトがある場合には、すべてのコンフリクトが解決されるまで、上記のサブステップ1220乃至1260を繰り返すことができる。
【0035】
再び図2を参照して、マッピングテーブルが作成された後、方法1000は、ステップ1400に進み、トレーニング情報フローおよびステップ1200において作成されたマッピングテーブルを用いて、各ネットワークインタフェース(例えば図1に示すエッジルータ120の各々)がプロファイリングされる。
【0036】
図4は、ネットワークの各インタフェースをプロファイリングするサブステップを図示するフローチャートである。本発明による各インタフェースのプロファイリングは、トレーニング情報フローを用いることにより、ネットワーク内の専用情報収集ポイントにおける各ネットワークインタフェースをAS番号と関連づける。
【0037】
サブステップ1410において、ソースIPアドレスプレフィックスは、インタフェースごとに、ネットワークインタフェースにおいて観察されるトレーニング情報フローから抽出される。例えば、IPアドレスプレフィックスをそれぞれ含む着信パケットのグループは、第1プリセット時間について監視される。第1プリセット時間は、調節可能である。
【0038】
サブステップ1420において、ステップ1200において作成される(IPアドレスプレフィックスとAS番号との間の相関関係を示す)マッピングテーブルに基づいて、IPアドレスプレフィックスがAS番号に変換される。サブステップ1430において、サブステップ1420において、変換されたAS番号に基づいて、インタフェース用EAS番号テーブルが生成される。EAS番号テーブルは、各情報収集ポイントにおける各ネットワークインタフェースを、インタフェースにおいて観察されるAS番号のセットにマッピングする。
【0039】
それに加えて、サブステップ1440において、各ネットワークインタフェース用のEAS番号テーブルを、定期的にアップデートすることができる。例えば、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルの変更またはアップデートに基づいて、EAS番号テーブルをアップデートすることができる。トレーニング情報フローの新たなセット(ターゲットネットワーク内の、またはターゲットネットワークに接続されたインターネットの一部における、ルーティングトポロジの変化によって発生し得るもの)を用いて、EAS番号テーブルを更新することも可能である。
【0040】
更に、別の例示的実施形態によると、偽装されたソースアドレスを有する可能性のあるIPパケットをトレーニング情報フローから排除するための手段が講じられる。例えば、手段としては、異常に高い負荷が見られるデスティネーションに向かうすべての情報を排除することによって、攻撃の被害者に向けられたフローをフィルタリング除去することが挙げられる。同一の発信ASから発信するパケットは一般的に同一のインターネット境界ルータに到達する、という上述の理解に基づいて、所与のネットワークインタフェースについてEASセットが相当に安定することが予想される。
【0041】
再び図2を参照して、ステップ1400において、インタフェースごとにEAS番号テーブルを生成することによって、各ネットワークインタフェースがプロファイリングされた後、方法1000はステップ1600に進み、インタフェースごとのそれぞれのEAS番号テーブルに基づいて包括的EAS番号テーブルを生成することによって、ネットワークがプロファイリングされる。例えば、包括的EAS番号テーブルは、複数のエントリを含むことができ、各エントリは、特定のインタフェースと関連し、インタフェース用EAS番号テーブルを含む。包括的EAS番号テーブルは、ネットワークインタフェースを、ネットワークの各インタフェースにおいて観察されるAS番号のグループにマッピングする。
【0042】
ステップ1800において、オペレーショナル情報フローにおける異常なソースAS番号が検出される。
【0043】
図5は、異常なソースAS番号を検出するサブステップを図示するフローチャートである。サブステップ1810において、オペレーショナル情報フローからIPアドレスプレフィックスが獲得される。このサブステップにおいて、例えば、オペレーショナル情報フローの少なくとも1つの着信パケットは、特定のインタフェースを介してネットワークに入り、第2プリセット時間において、パケットを監視することによって、パケットのIPアドレスプレフィックスを抽出する。第2プリセット時間は、調節可能である。
【0044】
獲得されたIPアドレスプレフィックスは、ステップ1200において作成されるマッピングテーブルに基づいて、サブステップ1820において、少なくとも1つのAS番号に変換される。変換されたAS番号は、サブステップ1830において、ステップ1600において生成された包括的EAS番号テーブルの各エントリのAS番号と、比較される。
【0045】
サブステップ1840において、変換されたAS番号と、包括的EAS番号テーブルのエントリのAS番号との間に一致があるか否かが判定される。一致がない場合には(1840=NO)、サブステップ1850において、ネットワークに対してオペレーショナル情報フローが許可されないことを示す第1アラートを生成する。変換されたAS番号と、エントリの少なくとも1つのAS番号との間に一致がある場合には(1840=YES)、サブステップ1860において、エントリに関連するインタフェースを特定する。
【0046】
その後、サブステップ1870において、特定されたインタフェースと、オペレーショナル情報フローがネットワークに入る際に通ったインタフェースとを比較する。サブステップ1880において、2つのインタフェースの間に一致があるか否かが判定される。一致がない場合には(1880=NO)、サブステップ1890において、オペレーショナル情報フローがネットワークに対しては許可されるが、特定のインタフェースに対しては許可されないということを示す第2アラートを生成する。一致がある場合には(1880=YES)、サブステップ1892において、オペレーショナル情報が特定のインタフェースを介してネットワークに入ることを許可する。
【0047】
本発明の上記の例示的実施形態による方法は、過去の情報フローを、ASレベルルーティング情報と相関させて、異常なソースAS番号を特定することによって、偽装されたIP情報を検出する。IPアドレスに注目することにより偽装された情報を検出することに代わって、本発明のこれらの実施形態による方法は、IPパケットの発信ASを利用して、偽装されたパケットを検出する。インターネットルーティングテーブルにおいて、アクティブIPプレフィックスの数は約330Kであるが、アクティブAS番号の数は約32Kである。従って、本発明のこれらの実施形態による方法は、はるかに拡張性のある検出メカニズムをもたらす。それに加えて、IPアドレスではなくAS番号を利用するフィルタは、サイズが1桁小さいので、方法の利用可能性および実用性を更に高める。
【0048】
更に、本発明の上記の例示的実施形態による方法は、IPアドレスをAS番号にマッピングする。従って、同一の発信ASから一部の情報が観察されてさえいれば、これまで一度も観察されなかったIPアドレスを有する情報を、本物かまたは偽装されたものかに分類できる。従って、検出アルゴリズムをトレーニングするために必要な時間量、および偽装検出アルゴリズムにより特定される誤検出の数において、著しい低減を達成できる。
【0049】
図6は、本発明の別の態様による例示的な偽装防止装置700を示すブロック図である。偽装防止装置700は、複数のインタフェースを有するネットワークに向けられた偽装されたIP情報を検出するために使用されることができる。装置は、本物のAS番号のセットと対応するIPアドレスとの間の相関関係を動的に学習し、更には着信情報フローのIPアドレスが本物のAS番号に対応するか否かを検証することによって、攻撃情報がネットワークに入ることを回避することができる。情報フローのAS番号とEAS番号テーブルとを比較することによって、偽装された情報フローが判定される。
【0050】
一般的に、偽装防止装置700は、マッピングコンポーネント(マッピング部)720と、学習コンポーネント(学習部)740と、判定コンポーネント(判定部)760とを備える。
【0051】
マッピングコンポーネント(マッピング部)720は、複数のデータソースから発信されるルーティング情報を受信および処理することにより、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する。マッピングテーブルは、データベース722に格納することができる。
【0052】
学習コンポーネント(学習部)740は、ネットワークに入る複数のトレーニング情報フローから、IPアドレスプレフィックスを獲得する。マッピングコンポーネント(マッピング部)720によって作成されるマッピングテーブルを参照することによって、学習コンポーネント(学習部)740は、獲得されたIPアドレスプレフィックスをAS番号に変換し、AS番号はEAS番号テーブルを生成するために用いられる。EAS番号テーブルは、データベース742に格納することができる。
【0053】
判定コンポーネント(判定部)760は、着信オペレーショナル情報フローのIPプレフィックスを獲得し、マッピングコンポーネント(マッピング部)720によって作成されるマッピングテーブルに基づいて、IPプレフィックスをAS番号に変換する。更に、判定コンポーネント(判定部)760は、着信オペレーショナル操作情報フローがネットワークに入ることを許可されるか否かを判定する。例えば、判定コンポーネント(判定部)760は、変換されたAS番号と、学習コンポーネント(学習部)740によって生成されるEAS番号テーブルのAS番号とを比較する比較コンポーネント(比較部)762を備えることができる。変換されたAS番号とEAS番号テーブルのAS番号との間に一致がない場合には、判定コンポーネント(判定部)760は、アラート通知を生成することができ、アラート通知はデータベース764に格納されることができる。
【0054】
図7は、本発明の更に別の態様によるネットワークシステム800のブロック図である。ネットワークシステム800は、複数のエッジルータ820と、複数の情報モニタ840と、複数のコアルータ860とを備え、いずれも図1に示すターゲットネットワーク100のそれらと同一または同様である。ネットワークシステム800は、図7に示す偽装防止装置700を組み込むサーバ880を更に備える。偽装防止装置700を組み込むことによって、ネットワークシステム800は、システムに向けられた偽装されたIP情報を検出することができる。
【0055】
本明細書において、用いられる用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することを意図しない。本明細書において、用いられる「1つの(a、an)」および「その(the)」という語の単数形は、文脈が特に明示しない限り、複数形も含むことを意図される。本明細書において、用いられる「備える(comprises/comprising)」という用語は、記載される特徴、整数、ステップ、操作、要素および/または構成要素の存在を指定するものであるが、他の1つ以上の特徴、整数、ステップ、操作、要素、構成要素および/またはそれらの群の存在または追加を除外するものではない。
【0056】
本開示の様々な態様は、コンピュータまたは機械によって、使用可能または読み込み可能な媒体において、実現されるプログラム、ソフトウェアまたはコンピュータ命令として実現されてもよく、それらは、コンピュータ、プロセッサおよび/または機械上で実行される際に、コンピュータまたは機械に方法のステップを実行させるものである。本開示において、記載される様々な機能および方法を実行する機械によって、実行可能な命令のプログラムを具体的に実現する、機械によって読み込み可能なプログラム記憶装置も提供される。
【0057】
本開示のシステムおよび方法は、汎用コンピュータまたは特殊目的コンピュータシステム上で実現および実行されてもよい。コンピュータシステムは、すでに公知のまたはいずれ公知となる任意の種類のシステムであってもよく、一般的に、プロセッサ、メモリデバイス、記憶装置、入出力装置、内部バス、および/または通信用ハードウェアおよびソフトウェアと併用して他のコンピュータシステムと通信するための通信インタフェースを含んでもよい。
【0058】
本発明の記載は、図解および説明のために提示したが、開示された形態において、本発明を網羅または限定することを意図するものではない。本発明の範囲および趣旨から逸脱することなく、多くの修正および変更が当業者にとって明らかである。本実施形態は、本発明の原理およびその実際の応用例を最もよく説明するために選択され説明されたものであり、これにより、考えられる特定の使用法に合わせた様々な変更を有する様々な実施形態について、当業者が本発明を理解できる。
【符号の説明】
【0059】
100 ターゲットネットワーク
120、820 エッジルータ
140、860 コアルータ
160、840 情報モニタ
700 偽装防止装置
720 マッピングコンポーネント
740 学習コンポーネント
760 判定コンポーネント
【特許請求の範囲】
【請求項1】
複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル情報を偽装防止装置が検出する方法であって、
複数のデータソースからのルーティング情報を処理することで、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程と、
前記インタフェースごとに、前記インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいて前記インタフェースのためのインタフェース用予想AS番号テーブルを生成する工程と、
前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを含む、方法。
【請求項2】
前記IPアドレスプレフィックスを獲得する工程は、第1プリセット時間にわたって前記インタフェースに入る着信パケットのグループを監視する工程を含み、前記着信パケットのグループの各々はIPアドレスプレフィックスを含む、請求項1に記載の方法。
【請求項3】
インタフェースごとに生成される前記インタフェース用予想AS番号テーブルに基づいて包括的予想AS番号テーブルを生成する工程と、前記包括的予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを更に含む、請求項1に記載の方法。
【請求項4】
前記包括的予想AS番号テーブルを生成する工程は、
前記インタフェース用に生成される前記予想AS番号テーブルに基づいて各インタフェースに関連するエントリを生成する工程と、
前記エントリを前記包括的予想AS番号テーブルに組み合わせる工程とを含む、請求項3に記載の方法。
【請求項5】
前記オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程は、
第2プリセット時間の間に前記複数のネットワークインタフェースのうちの少なくとも1つを介して、IPアドレスプレフィックスを含む少なくとも1つの着信パケットを受信する工程と、
IPアドレスプレフィックスを獲得する工程と、
前記マッピングテーブルに基づいて前記IPアドレスプレフィックスを少なくとも1つのAS番号に変換する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリのAS番号とを比較する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致があるか否かを判定する工程とを含む、請求項4に記載の方法。
【請求項6】
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることを許可されないことを示す第1アラートを生成する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルのエントリの前記AS番号との間に一致がある場合に、前記エントリに関連するインタフェースを特定する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとを比較する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致があるか否かを判定する工程とを更に含む、請求項5に記載の方法。
【請求項7】
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることは許可されるが、前記インタフェースのうちの前記少なくとも1つに入ることは許可されないということを示す第2アラートを生成する工程を更に含む、請求項6に記載の方法。
【請求項8】
前記複数のデータソースからのルーティング情報を処理することは、前記データソースからの前記ルーティング情報の間にコンフリクトがあるか否かを判定する工程を含む、請求項1に記載の方法。
【請求項9】
前記データソースからの前記ルーティング情報の間にコンフリクトがない場合に、前記データソースからのルーティング情報を組み合わせる工程と、
前記データソースからの前記ルーティング情報の間にコンフリクトがある場合に、コンフリクトしているルーティング情報を含む前記データソースの各々についてプライオリティを割り当てて、比較して、より高いプライオリティを有する前記データソースからの前記ルーティング情報を処理する工程とを更に含む、請求項8に記載の方法。
【請求項10】
前記複数のデータソースからのルーティング情報を処理することによって、前記マッピングテーブルを定期的にアップデートする工程と、
前記マッピングテーブルに基づいてインタフェースごとに前記予想AS番号テーブルを定期的にアップデートする工程とを更に含む、請求項1に記載の方法。
【請求項11】
複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル情報を検出するための、コンピュータ上で稼働するコンピュータ可読プログラムを記録したコンピュータ可読媒体であって、
前記プログラムは、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程と、
前記インタフェースごとに、前記インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスの獲得をし、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいて前記インタフェースのためのインタフェース用予想AS番号テーブルを生成する工程と、
前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを含む、コンピュータ可読媒体。
【請求項12】
前記IPアドレスプレフィックスの獲得は、第1プリセット時間にわたって前記インタフェースに入る着信パケットのグループを監視する工程を含み、前記着信パケットのグループの各々はIPアドレスプレフィックスを含む、請求項11に記載のコンピュータ可読媒体。
【請求項13】
インタフェースごとに生成される前記インタフェース用予想AS番号テーブルに基づいて包括的予想AS番号テーブルを生成する工程と、前記包括的予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを更に含む、請求項11に記載のコンピュータ可読媒体。
【請求項14】
前記包括的予想AS番号テーブルを生成する工程は、
前記インタフェース用に生成される前記予想AS番号テーブルに基づいて各インタフェースに関連するエントリを生成する工程と、
前記エントリを前記包括的予想AS番号テーブルに組み合わせる工程とを含む、請求項13に記載のコンピュータ可読媒体。
【請求項15】
前記オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程は、
第2プリセット時間の間に前記複数のネットワークインタフェースのうちの少なくとも1つを介して、IPアドレスプレフィックスを含む少なくとも1つの着信パケットを受信する工程と、
IPアドレスプレフィックスを獲得する工程と、
前記マッピングテーブルに基づいて前記IPアドレスプレフィックスを少なくとも1つのAS番号に変換する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリのAS番号とを比較する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致があるか否かを判定する工程とを含む、請求項14に記載のコンピュータ可読媒体。
【請求項16】
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることを許可されないことを示す第1アラートを生成する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルのエントリの前記AS番号との間に一致がある場合に、前記エントリに関連するインタフェースを特定する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとを比較する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致があるか否かを判定する工程とを更に含む、請求項15に記載のコンピュータ可読媒体。
【請求項17】
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることは許可されるが、前記インタフェースの前記少なくとも1つに入ることは許可されないということを示す第2アラートを生成する工程を更に含む、請求項16に記載のコンピュータ可読媒体。
【請求項18】
前記複数のデータソースからのルーティング情報を処理することは、前記データソースからの前記ルーティング情報の間にコンフリクトがあるか否かを判定する工程を含む、請求項11に記載のコンピュータ可読媒体。
【請求項19】
前記データソースからの前記ルーティング情報の間にコンフリクトがない場合に、前記データソースからのルーティング情報を組み合わせる工程と、
前記データソースからの前記ルーティング情報の間にコンフリクトがある場合に、コンフリクトしているルーティング情報を含む前記データソースの各々についてプライオリティを割り当てて、比較して、より高いプライオリティを有する前記データソースからの前記ルーティング情報を処理する工程とを更に含む、請求項18に記載のコンピュータ可読媒体。
【請求項20】
前記複数のデータソースからのルーティング情報を処理することによって、前記マッピングテーブルを定期的にアップデートする工程と、
前記マッピングテーブルに基づいてインタフェースごとに前記予想AS番号テーブルを定期的にアップデートする工程とを更に含む、請求項11に記載のコンピュータ可読媒体。
【請求項21】
偽装防止装置であって、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネントと、
ネットワークに入る複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネントと、
着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネントと、を備える、偽装防止装置。
【請求項22】
前記判定コンポーネントが、前記変換されたAS番号と前記予想AS番号テーブルの前記AS番号とを比較する比較コンポーネントを備え、前記判定コンポーネントが、前記比較の結果に基づいてアラート通知を生成する、請求項21に記載の装置。
【請求項23】
ネットワークに向けられた偽装されたインターネットプロトコル情報を検出するネットワークシステムであって、
情報フローを受信および転送するための複数のインタフェースと、
前記情報フローから情報を収集するために前記複数のインタフェースと通信する複数の情報モニタと、
前記ネットワークシステム内の情報フローを制御するために前記複数の情報モニタと通信する少なくとも1つのサーバとを備え、
前記サーバは、偽装防止装置を備え、
前記偽装防止装置は、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネントと、
複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネントと、
着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネントと、を備える、ネットワークシステム。
【請求項24】
前記判定コンポーネントが、前記変換されたAS番号と前記予想AS番号テーブルの前記AS番号とを比較する比較コンポーネントを備え、前記判定コンポーネントが、前記比較の結果に基づいてアラート通知を生成する、請求項23に記載のネットワークシステム。
【請求項1】
複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル情報を偽装防止装置が検出する方法であって、
複数のデータソースからのルーティング情報を処理することで、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程と、
前記インタフェースごとに、前記インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいて前記インタフェースのためのインタフェース用予想AS番号テーブルを生成する工程と、
前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを含む、方法。
【請求項2】
前記IPアドレスプレフィックスを獲得する工程は、第1プリセット時間にわたって前記インタフェースに入る着信パケットのグループを監視する工程を含み、前記着信パケットのグループの各々はIPアドレスプレフィックスを含む、請求項1に記載の方法。
【請求項3】
インタフェースごとに生成される前記インタフェース用予想AS番号テーブルに基づいて包括的予想AS番号テーブルを生成する工程と、前記包括的予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを更に含む、請求項1に記載の方法。
【請求項4】
前記包括的予想AS番号テーブルを生成する工程は、
前記インタフェース用に生成される前記予想AS番号テーブルに基づいて各インタフェースに関連するエントリを生成する工程と、
前記エントリを前記包括的予想AS番号テーブルに組み合わせる工程とを含む、請求項3に記載の方法。
【請求項5】
前記オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程は、
第2プリセット時間の間に前記複数のネットワークインタフェースのうちの少なくとも1つを介して、IPアドレスプレフィックスを含む少なくとも1つの着信パケットを受信する工程と、
IPアドレスプレフィックスを獲得する工程と、
前記マッピングテーブルに基づいて前記IPアドレスプレフィックスを少なくとも1つのAS番号に変換する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリのAS番号とを比較する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致があるか否かを判定する工程とを含む、請求項4に記載の方法。
【請求項6】
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることを許可されないことを示す第1アラートを生成する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルのエントリの前記AS番号との間に一致がある場合に、前記エントリに関連するインタフェースを特定する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとを比較する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致があるか否かを判定する工程とを更に含む、請求項5に記載の方法。
【請求項7】
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることは許可されるが、前記インタフェースのうちの前記少なくとも1つに入ることは許可されないということを示す第2アラートを生成する工程を更に含む、請求項6に記載の方法。
【請求項8】
前記複数のデータソースからのルーティング情報を処理することは、前記データソースからの前記ルーティング情報の間にコンフリクトがあるか否かを判定する工程を含む、請求項1に記載の方法。
【請求項9】
前記データソースからの前記ルーティング情報の間にコンフリクトがない場合に、前記データソースからのルーティング情報を組み合わせる工程と、
前記データソースからの前記ルーティング情報の間にコンフリクトがある場合に、コンフリクトしているルーティング情報を含む前記データソースの各々についてプライオリティを割り当てて、比較して、より高いプライオリティを有する前記データソースからの前記ルーティング情報を処理する工程とを更に含む、請求項8に記載の方法。
【請求項10】
前記複数のデータソースからのルーティング情報を処理することによって、前記マッピングテーブルを定期的にアップデートする工程と、
前記マッピングテーブルに基づいてインタフェースごとに前記予想AS番号テーブルを定期的にアップデートする工程とを更に含む、請求項1に記載の方法。
【請求項11】
複数のインタフェースを有するネットワークに向けられた偽装されたインターネットプロトコル情報を検出するための、コンピュータ上で稼働するコンピュータ可読プログラムを記録したコンピュータ可読媒体であって、
前記プログラムは、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成する工程と、
前記インタフェースごとに、前記インタフェースに入るトレーニング情報フローからIPアドレスプレフィックスの獲得をし、前記マッピングテーブルに基づいて前記IPアドレスプレフィックスをAS番号に変換し、なおかつ前記AS番号に基づいて前記インタフェースのためのインタフェース用予想AS番号テーブルを生成する工程と、
前記インタフェース用予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを含む、コンピュータ可読媒体。
【請求項12】
前記IPアドレスプレフィックスの獲得は、第1プリセット時間にわたって前記インタフェースに入る着信パケットのグループを監視する工程を含み、前記着信パケットのグループの各々はIPアドレスプレフィックスを含む、請求項11に記載のコンピュータ可読媒体。
【請求項13】
インタフェースごとに生成される前記インタフェース用予想AS番号テーブルに基づいて包括的予想AS番号テーブルを生成する工程と、前記包括的予想AS番号テーブルに基づいてオペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程とを更に含む、請求項11に記載のコンピュータ可読媒体。
【請求項14】
前記包括的予想AS番号テーブルを生成する工程は、
前記インタフェース用に生成される前記予想AS番号テーブルに基づいて各インタフェースに関連するエントリを生成する工程と、
前記エントリを前記包括的予想AS番号テーブルに組み合わせる工程とを含む、請求項13に記載のコンピュータ可読媒体。
【請求項15】
前記オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する工程は、
第2プリセット時間の間に前記複数のネットワークインタフェースのうちの少なくとも1つを介して、IPアドレスプレフィックスを含む少なくとも1つの着信パケットを受信する工程と、
IPアドレスプレフィックスを獲得する工程と、
前記マッピングテーブルに基づいて前記IPアドレスプレフィックスを少なくとも1つのAS番号に変換する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリのAS番号とを比較する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致があるか否かを判定する工程とを含む、請求項14に記載のコンピュータ可読媒体。
【請求項16】
前記変換されたAS番号と前記包括的予想AS番号テーブルの各エントリの前記AS番号との間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることを許可されないことを示す第1アラートを生成する工程と、
前記変換されたAS番号と前記包括的予想AS番号テーブルのエントリの前記AS番号との間に一致がある場合に、前記エントリに関連するインタフェースを特定する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとを比較する工程と、
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致があるか否かを判定する工程とを更に含む、請求項15に記載のコンピュータ可読媒体。
【請求項17】
前記エントリに関連する前記インタフェースと、前記少なくとも1つの着信パケットが前記ネットワークに入る際に通る前記インタフェースのうちの前記少なくとも1つとの間に一致がない場合に、前記オペレーショナル情報フローが前記ネットワークに入ることは許可されるが、前記インタフェースの前記少なくとも1つに入ることは許可されないということを示す第2アラートを生成する工程を更に含む、請求項16に記載のコンピュータ可読媒体。
【請求項18】
前記複数のデータソースからのルーティング情報を処理することは、前記データソースからの前記ルーティング情報の間にコンフリクトがあるか否かを判定する工程を含む、請求項11に記載のコンピュータ可読媒体。
【請求項19】
前記データソースからの前記ルーティング情報の間にコンフリクトがない場合に、前記データソースからのルーティング情報を組み合わせる工程と、
前記データソースからの前記ルーティング情報の間にコンフリクトがある場合に、コンフリクトしているルーティング情報を含む前記データソースの各々についてプライオリティを割り当てて、比較して、より高いプライオリティを有する前記データソースからの前記ルーティング情報を処理する工程とを更に含む、請求項18に記載のコンピュータ可読媒体。
【請求項20】
前記複数のデータソースからのルーティング情報を処理することによって、前記マッピングテーブルを定期的にアップデートする工程と、
前記マッピングテーブルに基づいてインタフェースごとに前記予想AS番号テーブルを定期的にアップデートする工程とを更に含む、請求項11に記載のコンピュータ可読媒体。
【請求項21】
偽装防止装置であって、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネントと、
ネットワークに入る複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネントと、
着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネントと、を備える、偽装防止装置。
【請求項22】
前記判定コンポーネントが、前記変換されたAS番号と前記予想AS番号テーブルの前記AS番号とを比較する比較コンポーネントを備え、前記判定コンポーネントが、前記比較の結果に基づいてアラート通知を生成する、請求項21に記載の装置。
【請求項23】
ネットワークに向けられた偽装されたインターネットプロトコル情報を検出するネットワークシステムであって、
情報フローを受信および転送するための複数のインタフェースと、
前記情報フローから情報を収集するために前記複数のインタフェースと通信する複数の情報モニタと、
前記ネットワークシステム内の情報フローを制御するために前記複数の情報モニタと通信する少なくとも1つのサーバとを備え、
前記サーバは、偽装防止装置を備え、
前記偽装防止装置は、
複数のデータソースからのルーティング情報を処理することによって、IPアドレスプレフィックスとAS番号との間の相関関係を示すマッピングテーブルを作成するマッピングコンポーネントと、
複数のトレーニング情報フローからIPアドレスプレフィックスを獲得し、獲得された前記IPアドレスプレフィックスを前記マッピングテーブルに基づいてAS番号に変換し、なおかつ前記AS番号に基づいて予想AS番号テーブルを生成する学習コンポーネントと、
着信オペレーショナル情報フローのIPプレフィックスを獲得し、前記マッピングテーブルに基づいて前記IPプレフィックスをAS番号に変換し、なおかつ前記着信オペレーショナル情報フローが前記ネットワークに入ることを許可されるか否かを判定する判定コンポーネントと、を備える、ネットワークシステム。
【請求項24】
前記判定コンポーネントが、前記変換されたAS番号と前記予想AS番号テーブルの前記AS番号とを比較する比較コンポーネントを備え、前記判定コンポーネントが、前記比較の結果に基づいてアラート通知を生成する、請求項23に記載のネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−234331(P2011−234331A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−149262(P2010−149262)
【出願日】平成22年6月30日(2010.6.30)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年6月30日(2010.6.30)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]