発信源追跡システム、パケット特定情報記録装置、追跡管理装置、通信装置のプログラム及び追跡管理装置のプログラム
【課題】攻撃に用いられたパケットの発信源を特定する場合に、同一セッション内で攻撃端末から送信されたパケットの特定することを可能としたままパケットの誤検知率を低く抑える。
【解決手段】パケットハッシュ記録装置La、Lbは、パケットを傍受し、パケットごとに異なる情報から第1パケット特定情報し、セッションごとに共通した情報から第2パケット特定情報を作成して記憶する。トレースバックマネージャ装置Mが、追跡対象パケットを用いパケットごとに異なる情報から第1パケット特定情報し、セッションごとに共通した情報から第2パケット特定情報を作成して、通過確認要求メッセージをパケットハッシュ記録装置La、Lbに送信する。パケットハッシュ記録装置La、Lbは、パケットから得たパケット特定情報と、追跡対象パケットから得たパケット特定情報とを比較して、追跡対象パケットの通過の有無を判断する。
【解決手段】パケットハッシュ記録装置La、Lbは、パケットを傍受し、パケットごとに異なる情報から第1パケット特定情報し、セッションごとに共通した情報から第2パケット特定情報を作成して記憶する。トレースバックマネージャ装置Mが、追跡対象パケットを用いパケットごとに異なる情報から第1パケット特定情報し、セッションごとに共通した情報から第2パケット特定情報を作成して、通過確認要求メッセージをパケットハッシュ記録装置La、Lbに送信する。パケットハッシュ記録装置La、Lbは、パケットから得たパケット特定情報と、追跡対象パケットから得たパケット特定情報とを比較して、追跡対象パケットの通過の有無を判断する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パケットの発信源を特定するための発信源追跡システム、パケット特定情報記録装置、追跡管理装置、通信装置のプログラム及び追跡管理装置のプログラムに関する。
【背景技術】
【0002】
近年、通信技術の発達により、インターネットに代表されるオープンネットワーク等の通信が普及している。このような状況に伴い、ネットワークに接続する装置は、例えば大量のIPパケットを送りつけるいわゆるDoS(Denial of Service)攻撃やDDoS(Distributed Dos)攻撃等のサービス妨害攻撃を受け易い状態にある。このサービス妨害攻撃は、犠牲側装置の処理を飽和状態にすることによってサービス提供を麻痺させるだけでなく、ネットワーク全体のリソースを消費させてしまう。このように、不正な攻撃は、ネットワーク全体への影響が大きいことから、その対策が求められている。
【0003】
このような対策の一つとして、攻撃に利用されたIPパケットの発信源を追跡する技術、いわゆるIPトレースバック技術が知られている。このIPトレースバック技術としては、能動型発信源探査法が知られている。
【0004】
この能動型発信源探査法は、攻撃端末から犠牲端末に向けてパケットが経由される途中経路上にルータ装置を設けておく。そして、このルータ装置は、通過する全てのIPパケットについてその要約情報を一定時間記憶しておく。ルータ装置は、追跡対象のIPパケットが通過したか否かを問い合わせる通過問合せメッセージを追跡装置から受信する。すると、ルータ装置は、記憶してある要約情報を参照することによって問い合わせのあった追跡対象のIPパケットが通過したか否かを判断し、その判断結果を伝える通過問合せ応答メッセージを追跡装置に返信する。これにより、追跡装置が、返信された判断結果に基づいて発信源を追跡する。
【0005】
このような能動型発信源探索法において、ルータ装置がIPパケットのパケット特定情報を作成する場合、ルータ装置は、IPパケットに含まれる特定のフィールド値を使用していた。この特定のフィールド値としては、IPパケットごとに異なるフィールド値、セッションごとに同一のフィールド値が用いられていた。
【0006】
図24に示すパケット特定情報の作成方法は、IPパケットPをルータ装置が受信すると、先ず、ルータ装置は、IPパケットから、IPパケットごとに異なるフィールド値D1を抽出する。次にルータ装置は、フィールド値D1に対して複数のハッシュ関数h1,h2,h3を用いて、複数のハッシュ値h1(D1)、h2(D1)、h3(D1)を算出する。これにより、ルータ装置は、パケット特定情報として複数のハッシュ値h1(D1)、h2(D1)、h3(D1)をハッシュビットテーブルに記憶していた(非特許文献1)。
【0007】
図25に示すパケット特定情報の作成方法は、IPパケットPをルータ装置が受信すると、先ず、ルータ装置は、IPパケットから、セッションごとに同一のフィールド値D2を抽出する。次にルータ装置は、フィールド値D2に対して複数のハッシュ関数h1,h2,h3を用いて、複数のハッシュ値h1(D2)、h2(D2)、h3(D2)を算出する。これにより、ルータ装置は、パケット特定情報として複数のハッシュ値h1(D2)、h2(D2)、h3(D2)をハッシュビットテーブルに記憶していた(非特許文献2)。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】Alex C. Snoeren他 “Single-packet IP traceback” IEEE/ACM Transactions on Networking Dec. 2002.
【非特許文献2】T.-H. Leeら “Scalable Packet Digesting Schemes for IP Traceback.”In IEEE International Conference on Communications, Paris, France, June 2004.
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述した従来における発信源探索法におけるパケット特定情報を作成しても、IPパケットの誤検知率を低くすることと、セッション内で攻撃端末から送信されたIPパケットを特定することとを両立することができていなかった。
【0010】
すなわち、図24に示したパケット特定情報の作成方法では、IPパケットごとに異なるフィールド値D1を用いてパケット特定情報を作成している。したがって、当該パケット特定情報が、攻撃端末から送信されたIPパケットでないIPパケットのパケット特定情報と同一となる可能性があった。よって、このパケット特定情報の作成方法では、誤検知率が低くできなかった。
【0011】
また、図25に示したパケット特定情報の作成方法は、セッションごとに同一のフィールド値D2を用いてパケット特定情報を作成している。したがって、IPパケットごとの誤検知率は低くなるが、当該パケット特定情報が、同一セッション内において攻撃に用いられたパケットが特定できない問題がある。
【0012】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、攻撃に用いられたIPパケットの発信源を特定する場合に、IPパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることを目的とする。
【課題を解決するための手段】
【0013】
本発明に係る発信源追跡システムは、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡するものである。この発信源追跡システムは、中継装置により中継されたパケットを取得し、当該取得したパケットに含まれる情報に対して所定の処理を施してパケット特定情報として記録し、攻撃パケットを特定するパケット特定情報に基づいて攻撃パケットの通過の有無を判定する複数の記録装置と、記録装置に攻撃パケットを特定するパケット特定情報を供給し、複数の記録装置から供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数の中継装置を特定する追跡管理装置とを備える。
【0014】
このような発信源追跡システムは、上述の課題を解決するために、各記録装置が、所定の処理として、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行う。
【0015】
本発明に係る発信源追跡システムにおいて、各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、攻撃パケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成することが望ましい。
【0016】
本発明に係る発信源追跡システムにおいて、追跡管理装置は、被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する第1パケット特定情報作成手段と、第1パケット特定情報作成手段が作成したパケット特定情報を記録装置に送信し、攻撃パケットの通過の有無を記録装置から受信する問い合わせ手段とを備える。また、この発信源追跡システムにおいて、記録装置は、中継装置により中継されるパケットを取得するパケット取得手段と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行う第2パケット特定情報作成手段と、パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、第2パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段と、第2パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と、記録手段に記録したパケット特定情報と、問い合わせ手段から送信されたパケット特定情報とを比較して、攻撃パケットの通過の有無を作成して問い合わせ手段に返信する返信手段とを備える。
【0017】
このような発信源追跡システムにおいて、追跡管理装置の第1パケット特定情報作成手段は、記録装置の設定手段が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成し、記録装置の第2パケット特定情報作成手段は、設定手段により設定された第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を作成し、返信手段は、問い合わせ手段から送信されたパケット特定情報のうち、設定手段が設定した第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と、第2パケット特定情報作成手段により作成されたパケット特定情報とを比較して、攻撃パケットを記録したかの情報を作成する。
【0018】
本発明に係るパケット特定情報記録装置は、通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得するパケット取得手段と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行うパケット特定情報作成手段と、パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段とを備える。
【0019】
本発明に係るパケット特定情報記録装置において、各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、特定のパケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成することが望ましい。
【0020】
本発明に係るパケット特定情報記録装置において、パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段を更に備え、パケット特定情報作成手段は、設定手段により設定された第1パケット特定情報数の第1パケット特定情報と、設定手段により設定された第2パケット特定情報数の第2パケット特定情報とを含むパケット特定情報を作成することが望ましい。
【0021】
本発明に係る追跡管理装置は、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡するものである。この追跡管理装置は、上述の課題を解決するために、被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成するパケット特定情報作成手段と、中継装置により中継されたパケットを表すパケット特定情報を記録する記録装置にパケット特定情報作成手段が作成したパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信する問い合わせ手段とを備える。
【0022】
本発明に係る通信装置のプログラムは、通信装置に内蔵されたコンピュータが実行するプログラムであって、通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得する処理と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理と、作成したパケット特定情報を記録媒体に記録する処理とをコンピュータに実行させるものである。
【0023】
本発明に係る追跡管理装置のプログラムは、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置内のコンピュータが実行するプログラムであって、被害端末で受信された攻撃パケットを取得する処理と、取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する処理と、中継装置により中継されたパケットを記録する記録装置に作成したパケット特定情報を送信させ、攻撃パケットを記録したかの情報を記録装置から受信させる処理とをコンピュータに実行させる。
【発明の効果】
【0024】
本発明に係る発信源追跡システムによれば、複数の記録装置が、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、記録装置は、第1パケット特定情報と第2パケット特定情報とを含むパケット特定情報を作成できる。したがって、発信源追跡システムによれば、記録装置における第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内において攻撃に用いられたパケットの誤検知率を高めることができる。
【0025】
本発明に係る発信源追跡システムによれば、各記録装置が、任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成するので、攻撃パケットを誤検知する誤検知率を最低とすることができる。
【0026】
本発明に係る発信源追跡システムによれば、記録装置が、通信状況の統計値に基づいて、第1パケット特定情報数及び第2パケット特定情報数を設定する。一方、追跡管理装置が、記録装置が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成する。このような発信源追跡システムによれば、追跡管理装置が、パケット特定情報を用いて記録装置に問い合わせをする。これに応じて、記録装置が、追跡管理装置から送信されたパケット特定情報のうち第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と記録したパケット特定情報とを比較して、攻撃パケットを記録したかの情報を作成する。これにより、この発信源追跡システムによれば、記録装置が記録するパケットの通信状況によって誤検知率が変動する場合であっても、当該誤検知率を最適化して、攻撃パケットを追跡できる。
【0027】
本発明に係るパケット特定情報記録装置によれば、中継装置により中継されるパケットを取得し、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、このパケット特定情報記録装置によれば、パケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0028】
本発明に係るパケット特定情報記録装置によれば、任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成するので、攻撃パケットを誤検知する誤検知率を最低とすることができる。
【0029】
本発明に係るパケット特定情報記録装置によれば、所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、第1パケット特定情報数及び第2パケット特定情報数を設定する。これにより、このパケット特定情報記録装置によれば、パケットの通信状況によって誤検知率が変動する場合であっても、当該誤検知率を最適化して、攻撃パケットを追跡できる。
【0030】
本発明に係る追跡管理装置によれば、パケットごとに異なる情報から第1パケット特定情報を作成し、端末間で設定されたセッションごとに共通した情報から第2パケット特定情報を作成してパケット特定情報を作成する。そして、追跡管理装置によれば、記録装置にパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信することができる。これにより、追跡管理装置によれば、第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0031】
本発明に係る通信装置のプログラムによれば、中継装置により中継されるパケットを取得し、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、この通信装置のプログラムによれば、パケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0032】
本発明に係る追跡管理装置のプログラムによれば、パケットごとに異なる情報から第1パケット特定情報を作成し、端末間で設定されたセッションごとに共通した情報から第2パケット特定情報を作成してパケット特定情報を作成する。そして、追跡管理装置のプログラムによれば、記録装置にパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信することができる。これにより、追跡管理装置のプログラムによれば、第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【図面の簡単な説明】
【0033】
【図1】本発明の一実施形態として示すトレースバックシステムの構成の一例を示すシステム図である。
【図2】本発明の一実施形態として示すトレースバックシステムにおける動作の一例を示すシーケンス図である。
【図3】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置、トレースバックマネージャ装置のパケット特定情報の作成処理の一例について説明する図である。
【図4】本発明の一実施形態として示すトレースバックシステムにおけるパケット特定情報の作成処理で用いるパケット個別フィールド値、セッション内同一フィールド値の一例を示す図である。
【図5】本発明の一実施形態として示すトレースバックシステムにおけるパケット特定情報の作成処理と、比較例との効果を示す図であり、(a)は比較例(1)、(b)は本願、(c)は比較例(2)である。
【図6】本発明の一実施形態として示すトレースバックシステムにおける動作の一例を説明するブロック図である。
【図7】本発明の一実施形態として示すトレースバックシステムにおいて送受信されるメッセージの構造の一例であり、(a)は追跡要求メッセージ、(b)は通過確認要求メッセージ、(c)は通過確認応答メッセージである。
【図8】本発明の一実施形態として示すトレースバックシステムにおいてトレースバックマネージャ装置が通過確認要求メッセージを作成することの説明図である。
【図9】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が通信状況に応じてハッシュ算出数、フローハッシュ算出数を最適化する手順の一例を示すフローチャートである。
【図10】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置のブロック図の一例である。
【図11】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が保持するデータの構造の一例であり、(a)はパケットハッシュ算出パラメータであり、(b)はパケットハッシュテーブルであり、(c)はトラフィック統計データである。
【図12】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によってハッシュビットテーブルを作成する処理の一例を説明する図である。
【図13】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が保持するデータの構造の一例であり、(a)はタイマーパラメータ、(b)は統計用一次データである。
【図14】本発明の一実施形態として示すトレースバックシステムにおけるタイマー部により制御される各部の動作シーケンスを示す図である。
【図15】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置がIPパケットを受信したときの処理手順の一例を示すフローチャートである。
【図16】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置がトレースバックマネージャ装置から通過確認要求メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図17】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によりハッシュビットテーブルを切り替えるときの処理手順の一例を示すフローチャートである。
【図18】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によりパケット数平均及び同一セッションパケットの通過割合を統計により得るときの処理手順の一例を示すフローチャートである。
【図19】本発明の一実施形態として示すトレースバックシステムにおいてハッシュ算出数、フローハッシュ算出数を最適化するときの処理手順の一例を示すフローチャートである。
【図20】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置の一構成例を示すブロック図である。
【図21】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が保持するデータの構造の一例であり、(a)はパケットハッシュ上限パラメータ、(b)は問合せメッセージ管理情報であり、(c)は装置隣接関係情報である。
【図22】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が追跡要求メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図23】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が通過確認応答メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図24】パケットハッシュを算出及び記録するときの従来例を示す図である。
【図25】パケットハッシュを算出及び記録するときの他の従来例を示す図である。
【発明を実施するための形態】
【0034】
以下、本発明の実施の形態について図面を参照して説明する。
【0035】
[トレースバックシステムの構成]
本発明に係る発信源追跡システムの一実施形態は、図1に示すようなトレースバックシステムに適用される。このトレースバックシステムは、通信端末A1,A2,Vと、パケット中継装置R1〜R4(以下、総称する場合には単に「パケット中継装置R」とも呼ぶ。)と、パケットハッシュ記録装置L1〜L5(以下、総称する場合には単に「パケットハッシュ記録装置L」とも呼ぶ。)と、攻撃パケット特定装置Dと、トレースバックマネージャ装置Mとを含む。パケットハッシュ記録装置L1〜L5、攻撃パケット特定装置D及びトレースバックマネージャ装置Mは、トレースバックシステム専用網N1に接続されている。また、通信端末A1,A2,V及びパケット中継装置R1〜R4は、汎用パケット通信網N2に接続されている。
【0036】
このようなトレースバックシステムは、攻撃端末から送信されて複数のパケット中継装置R1〜R4(中継装置)で経由されて被害端末となる通信端末Vで受信された攻撃パケット(以下、追跡対象パケットとも呼ぶ。)の発信源を追跡するものである。
【0037】
パケットハッシュ記録装置L1〜L5(記録装置、パケット特定情報記録装置)は、通信端末A1,A2,Vとパケット中継装置R1〜R4とを接続する通信線に接続される。パケットハッシュ記録装置L1〜L5は、汎用パケット通信網N2においてパケット中継装置R1〜R4により中継されているIPパケットを傍受する。パケットハッシュ記録装置L1〜L5は、当該取得したIPパケットに含まれる情報に対して所定の処理を施すことにより、パケットを特定できる情報であるパケット特定情報を作成して、記録する。
【0038】
パケットハッシュ記録装置L1〜L5は、攻撃パケットを特定するパケット特定情報に基づいて攻撃パケットの通過の有無を判定する。この判定結果は、パケットハッシュ記録装置L1〜L5からトレースバックマネージャ装置Mに供給される。
【0039】
トレースバックマネージャ装置M(追跡管理装置)は、トレースバックシステム専用網N1を介してパケットハッシュ記録装置L1〜L5及び攻撃パケット特定装置Dと接続されている。トレースバックマネージャ装置Mは、攻撃パケット特定装置Dから攻撃パケットが供給される。トレースバックマネージャ装置Mは、攻撃パケットを用いて、当該攻撃パケットを特定するパケット特定情報を作成する。トレースバックマネージャ装置Mは、作成した攻撃パケットのパケット特定情報をパケットハッシュ記録装置Lに供給する。トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lから供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数のパケット中継装置R1〜R4を特定する。トレースバックマネージャ装置Mは、攻撃パケットを中継したパケット中継装置R1〜R4に接続されたパケットハッシュ記録装置Lの情報を攻撃パケット特定装置Dに供給する。
【0040】
[トレースバックシステムの動作]
このように構成されたトレースバックシステムは、図2に示すようなシーケンス図で示される動作を行う。
【0041】
トレースバックシステムにおいて、例えば通信端末A2が攻撃端末となり、通信端末Vが被害端末となるとする。先ず、通信端末A2から攻撃パケットP1aが送信されると、当該攻撃パケットP1aは、パケット中継装置R4によって攻撃パケットP1bとして中継され、パケット中継装置R1によって攻撃パケットP1cとして中継され、パケット中継装置R2によってP1dとして中継されて、通信端末Vに送信される。これにより、通信端末Vは、攻撃パケットP1dを受信することにより、サービス妨害などの被害を受ける。
【0042】
このように攻撃パケットが汎用パケット通信網N2にて中継された場合、通信端末A2からパケット中継装置R4に送信された攻撃パケットP1aは、攻撃パケットP1a’としてパケットハッシュ記録装置L1に受信される。同様に、攻撃パケットP1bは、攻撃パケットP1b’としてパケットハッシュ記録装置L3に受信される。攻撃パケットP1cは、攻撃パケットP1c’としてパケットハッシュ記録装置L5に受信される。これにより、パケットハッシュ記録装置L1、L3、L5は、受信した攻撃パケットP1a’、P1b’、P1c’を用いて、パケット特定情報をそれぞれ作成して、記憶する。
【0043】
また、通信端末Vにより受信された攻撃パケットP1dは、攻撃パケット特定装置Dにより受信される。攻撃パケット特定装置Dは、攻撃パケットP1dに基づいて、当該攻撃パケットP1dが通信端末Vに対して被害を与える攻撃パケットであることを判定する。すると、攻撃パケット特定装置Dは、トレースバックマネージャ装置Mに対して当該攻撃パケットP1dの発信源を追跡する追跡要求メッセージM1を作成して、トレースバックマネージャ装置Mに供給する。この追跡要求メッセージM1には、攻撃パケットが含まれる。
【0044】
次に、トレースバックマネージャ装置Mは、攻撃パケット特定装置Dから追跡要求メッセージM1が供給されたことに応じて、トレースバックシステム専用網N1を介して接続されたパケットハッシュ記録装置L1〜L5に対して通過確認要求メッセージを供給する。このとき、トレースバックマネージャ装置Mは、攻撃パケットのパケット特定情報を作成する。この通過確認要求メッセージには、攻撃パケットのパケット特定情報が含まれる。この通過確認要求メッセージは、トレースバックマネージャ装置Mに接続されたパケットハッシュ記録装置Lに供給される。
【0045】
図2においては、トレースバックマネージャ装置Mが、パケットハッシュ記録装置L5に通過確認要求メッセージM2を供給する。これに応じ、パケットハッシュ記録装置L5は、攻撃パケットのコピーのP1c’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM3を返信する。次にトレースバックマネージャ装置Mが、パケットハッシュ記録装置L5に隣接したパケットハッシュ記録装置L3、L4に通過確認要求メッセージM4、M5を供給する。これに応じ、パケットハッシュ記録装置L3は、攻撃パケットのコピーのP1b’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM6を返信する。一方、パケットハッシュ記録装置L4は、攻撃パケットのコピーを受信していないので、攻撃パケットの通過が「無し」の通過確認応答メッセージM7を返信する。次にトレースバックマネージャ装置Mが、パケットハッシュ記録装置L3に隣接したパケットハッシュ記録装置L1に通過確認要求メッセージM8を供給する。これに応じ、パケットハッシュ記録装置L1は、攻撃パケットのコピーのP1a’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM9を返信する。
【0046】
このようなトレースバックシステムにおいて、パケットハッシュ記録装置L1〜L5は、通過確認要求メッセージを受信すると、自身が攻撃パケットのパケット特定情報を記録しているかを判定する。このとき、パケットハッシュ記録装置L1〜L5は、通過確認要求メッセージに含まれている攻撃パケットのパケット特定情報と、記録しておいたパケット特定情報とを比較する。これによりパケットハッシュ記録装置L1〜L5は、攻撃パケットの通過の有無を示す通過確認応答メッセージをトレースバックマネージャ装置Mに返信できる。
【0047】
図2においては、パケットハッシュ記録装置L1、L3、L4、L5が通過確認要求メッセージM2、M4、M5、M8を受信している。そして、パケットハッシュ記録装置L1、L3、L5は、それぞれ、攻撃パケットP1a’、P1b’、P1c’のパケット特定情報を記録している。したがって、パケットハッシュ記録装置L1、L3、L5は、攻撃パケットの通過が「有り」の通過確認応答メッセージM9、M6、M3をトレースバックマネージャ装置Mに返信する。一方、パケットハッシュ記録装置L4は、攻撃パケットのパケット特定情報を記録していない。したがって、パケットハッシュ記録装置L4は、攻撃パケットの通過が「無し」の通過確認応答メッセージM7をトレースバックマネージャ装置Mに返信する。
【0048】
これにより、トレースバックマネージャ装置Mは、通過確認応答メッセージを用いて、汎用パケット通信網N2における攻撃パケットが通過した経路を取得でき、当該経路から、通信端末Vから通信端末A2までの経路を特定できる。
【0049】
[パケット特定情報の作成処理]
上述したトレースバックシステムにおいて、パケットハッシュ記録装置Lは、受信したIPパケットのパケット特定情報を作成して記録する。また、トレースバックマネージャ装置Mは、攻撃パケットのパケット特定情報を作成してパケットハッシュ記録装置Lに供給する。以下に、パケットハッシュ記録装置L及びトレースバックマネージャ装置Mによるパケット特定情報の作成処理について説明する。
【0050】
図3に示すように、このパケット特定情報の作成処理は、先ず、IPパケットP1から特定のフィールド値D1,D2を抽出する。フィールド値D1は、IPパケットごとに異なるフィールド値である(以下、パケット個別フィールド値D1と呼ぶ。)。フィールド値D2は、端末間で確立されるセッション内で不変のフィールド値である(セッション内同一フィールド値D2と呼ぶ。)。ここで、パケット個別フィールド値D1は、必ずしもIPパケットごとに異なるフィールド値のみではなく、一部に含まれていればよい。一方、セッション内同一フィールド値D2は、セッション内で不変のフィールド値のみで構成されている必要がある。
【0051】
図4に示すように、パケット個別フィールド値D1は、例えば、“IP identification”フィールドの値と“64 bits of Payload”フィールドの値とからなる。セッション内同一フィールド値D2は、例えば、“Ver”フィールドの値と“IHL”フィールドの値と“Protocol”フィールドの値と“Source Address”フィールドの値と“Destination Address”フィールドの値とからなる。なお、“IP identification”フィールドは、識別子フィールドであり、各々IPパケットを識別するために送信側が割り当てた値が格納される。“64 bits of Payload”フィールドは、IPパケットのデータ本体が格納される。“Ver”フィールドは、バージョン番号が格納される。“IHL”フィールドは、IPパケットにおけるヘッダの長さが格納される。“Protocol”フィールドは、プロトコルを識別する情報が格納される。“Source Address”フィールドは、IPパケットの送信元端末のIPアドレスが格納される。“Destination Address”フィールドは、IPパケットの宛先端末のIPアドレスが格納される。
【0052】
次に、パケット特定情報の作成処理は、パケット個別フィールド値D1とセッション内同一フィールド値D2とを用いて、パケットハッシュ値を算出する。このパケットハッシュ値は、パケット個別フィールド値D1及びセッション内同一フィールド値D2に対して複数のハッシュ関数を用いた処理を行って作成される。
【0053】
図3に示す例は、ハッシュ関数H1を用いてパケット個別フィールド値D1からパケットハッシュ値H1(D1)(第1パケット特定情報)を得ている(第1変換処理)。ハッシュ関数H2を用いてセッション内同一フィールド値D2からパケットハッシュ値H2(D2)(第2パケット特定情報)を得ている(第2変換処理)。ハッシュ関数H3を用いてセッション内同一フィールド値D2からパケットハッシュ値H3(D2)(第2パケット特定情報)を得ている(第2変換処理)。そして、パケットハッシュ値は、ハッシュビットテーブルに記憶される。なお、パケット個別フィールド値D1から生成したパケットハッシュ値は、第1パケット特定情報に相当し、セッション内同一フィールド値D2から生成したパケットハッシュ値は、第2パケット特定情報に相当し、第1パケット特定情報と第2パケット特定情報とを含むパケット特定情報を作成する(作成処理)。
【0054】
ここで、パケットハッシュ記録装置Lは、予め設定された任意の数のパケットハッシュ値を算出する。この任意の数のパケットハッシュ値は、攻撃パケットを誤検知する誤検知率が最低(最良)となる数である。また、攻撃パケットを誤検知する誤検知率が最低となるパケットハッシュ値の数は、所定期間内に取得した複数のIPパケットに基づいて当該所定期間内における通信状況の統計値に基づいて決定しても良い。なお、これら任意の数の決定方法については、後述する。また、トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lが作成するであろう最大数のパケットハッシュ値を算出する。
【0055】
このようなパケット特定情報の作成処理において、パケット特定情報が攻撃パケットとは異なるIPパケットであると認識される誤検知率はFPR、下記の式1のようになる。また、同じセッションのIPパケットが通過している場合において、当該セッション内の攻撃パケットとは異なるIPパケットであると認識される誤検知率FPRsは、下記の式2のようになる。
【数1】
【0056】
この式1において、Mはハッシュビットテーブルのサイズ[bit]である。Pは記録されたIPパケット数である。kは1つのIPパケットから生成するハッシュ値の数である。wは同一のハッシュビットテーブル内に同じセッションのIPパケットが記録されている割合である。cは1つのIPパケットから生成されるk個のハッシュ値のうち同じセッション内(フロー)で同一のフィールド値D2から算出されるハッシュ値の数である。以下の説明において、kをハッシュ算出数kと呼び、cをフローハッシュ算出数c、Pを所定時間におけるパケット数であるパケット数平均Pと呼び、wを同一セッションパケットの通過割合wと呼ぶ。これらパケット数平均P、同一セッションパケットの通過割合wは、当該各パケットハッシュ記録装置Lが接続された汎用パケット通信網N2のトラフィック測定情報に相当する。
【0057】
ハッシュビットテーブルのサイズMはパケットハッシュ記録装置L、トレースバックマネージャ装置Mのメモリサイズによって制限される。また、後述するが、ネットワーク環境(観測箇所、時間帯)によりパケット数平均P及び同一セッションパケットの通過割合wは変化する。このような式1及び式2の誤検知率は、ハッシュビットテーブルのサイズM、パケット数平均P及び同一セッションパケットの通過割合wが与えられ、フローハッシュ算出数c及びハッシュ算出数kを調整することによって変化する。したがって、後述するように、パケットハッシュ記録装置Lは、フローハッシュ算出数c及びハッシュ算出数kを調整することによって最適なを求めることができ、誤検知率FPR、FPRsを算出することができる。
【0058】
このようなパケット特定情報の作成処理の効果を図5に示す。本願のパケット特定情報の作成処理によれば、IPパケットのパケット個別フィールド値D1及びセッション内同一フィールド値D2とを用いて、パケットハッシュ値h1(D1)、h2(D2)、h3(D2)を作成する。比較例(1)はパケット個別フィールド値D1からのみパケットハッシュ値h1(D1)、h2(D1)、h3(D1)を作成する。比較例(3)はセッション内同一フィールド値D2からのみh1(D2)、h2(D2)、h3(D2)を作成する。
【0059】
本願のパケット特定情報の作成処理によれば、フローハッシュ算出数cを、
1≦c≦k−1
で示される範囲に調整する。比較例(1)はフローハッシュ算出数cが0である。比較例(2)はフローハッシュ算出数cがハッシュ算出数kと同数である。
【0060】
これらパケット特定情報の作成処理の誤検知率FPRを比較すると、本願のパケット特定情報の作成処理の誤検知率FPRは、比較例(1)の誤検知率FPRよりも低くなる。しかし、本願のパケット特定情報の作成処理の誤検知率FPRsは、比較例(2)の誤検知率FPRsよりも高くなる。本願のパケット特定情報の作成処理の誤検知率FPRsは、比較例(2)の誤検知率FPRs=1よりも低くなる。しかし、本願のパケット特定情報の作成処理の誤検知率FPRsは比較例(1)の誤検知率FPRsよりも高くなる。
【0061】
以上のように、本願のパケット特定情報の作成処理によれば、パケット個別フィールド値D1を用いたパケットハッシュ値とセッション内同一フィールド値D2を用いたパケットハッシュ値とを用いる。これによって、本願のパケット特定情報の作成処理によれば、比較例(1)と比較例(2)と比べて、誤検知率FPR、誤検知率FPRsを共にある程度低くすることができる。
【0062】
また、本願のパケット特定情報の作成処理によれば、誤検知率FPRsが任意の基準値以上にならない範囲でという条件でフローハッシュ算出数cがハッシュ算出数kの値を調整することによって、誤検知率FPR、FPRsを最適化できる。このフローハッシュ算出数c、ハッシュ算出数kの値の調整は、パケット数平均P、同一セッションパケットの通過割合wに基づいて、パケットハッシュ記録装置Lごとに行なわれる。
【0063】
[パケット特定情報の作成処理を行うトレースバックシステムの動作]
上述したトレースバックシステムにおいては、図6に示すように、追跡対象パケットが攻撃パケット特定装置Dからトレースバックマネージャ装置Mに供給される。トレースバックマネージャ装置Mは、当該追跡対象パケットの発信源を追跡する追跡要求メッセージに、図7(a)に示す追跡対象パケットのIPヘッダ、追跡対象パケットのIPペイロードを含める。
【0064】
トレースバックマネージャ装置Mは、図8に示すように、先ず、追跡対象パケットのIPヘッダ及びIPペイロードから、パケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。次にトレースバックマネージャ装置Mは、抽出したパケット個別フィールド値D1及びセッション内同一フィールド値D2から、所定の上限値のパケットハッシュ値h1(D1)・・・hx(D1)及びパケットハッシュ値h1(D2)・・・hx(D2)を算出する。この所定の上限値は、パケットハッシュ記録装置Lが作成しうる最大数のハッシュ算出数kである。トレースバックマネージャ装置Mは、作成したパケット特定情報であるパケットハッシュ値を含む追跡要求メッセージを作成する。この追跡要求メッセージは、図7(b)に示すように、メッセージIDと複数のパケットハッシュH1(D1)〜H4(D1)、パケットハッシュH1(D2)〜H4(D2)が含まれている。なお、この通過確認要求メッセージは、ハッシュ算出数上限値Kが10であり、ハッシュビット幅上限値Bが32ビットであるときの一例を示している。トレースバックマネージャ装置Mは、図6に示すように、通過確認要求メッセージを、パケットハッシュ記録装置La、Lbに送信する。
【0065】
パケットハッシュ記録装置La、Lbは、トレースバックマネージャ装置Mから通過確認要求メッセージを受信する。パケットハッシュ記録装置Laは、当該パケットハッシュ記録装置Laが接続された汎用パケット通信網N2の通信状況であるパケット数平均P及び同一セッションパケットの通過割合wに基づいて、ハッシュ算出数kが5、フローハッシュ算出数cが3に設定されている。パケットハッシュ記録装置Lbは、当該パケットハッシュ記録装置Lbが接続された汎用パケット通信網N2の通信状況であるパケット数平均P及び同一セッションパケットの通過割合wに基づいて、ハッシュ算出数kが7、フローハッシュ算出数cが5に設定されている。
【0066】
パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを取得した時に、設定されたハッシュ算出数k及びフローハッシュ算出数cのパケット特定情報を作成して、記録する。上記の例においては、パケットハッシュ記録装置Laは、パケット個別フィールド値D1から生成した2個のパケットハッシュH1(D1)〜H2(D1)と、セッション内同一フィールド値D2から生成した3個のパケットハッシュH1(D2)〜H3(D2)とを作成して、記録する。パケットハッシュ記録装置Lbは、パケット個別フィールド値D1から生成した2個のパケットハッシュH1(D1)〜H2(D1)と、セッション内同一フィールド値D2から生成した5個のパケットハッシュH1(D2)〜H5(D2)とを作成して、記録する。
【0067】
パケットハッシュ記録装置Laは、図7(b)に示した通過確認要求メッセージが供給されると、当該通過確認要求メッセージのうちハッシュ算出数k、フローハッシュ算出数cで示されたパケットハッシュHと、自己が記録しているパケットハッシュHとを比較する。そして、同一のパケットハッシュHを記録している場合には、その旨の通過確認応答メッセージを作成して、トレースバックマネージャ装置Mに送信する。この通過確認応答メッセージは、図7(c)に示すように、メッセージIDと、追跡対象パケットの通過有り(1)又は通過無し(0)とを含む。
【0068】
トレースバックマネージャ装置Mは、通過確認応答メッセージから、追跡対象パケットがどのパケット中継装置R1〜R4によって中継されたかを判定して、追跡対象パケットの発信源を求めることができる。
【0069】
また、このパケットハッシュ記録装置Lは、図9に示すように、フローハッシュ算出数c、ハッシュ算出数kを設定しておく。このために、パケットハッシュ記録装置Lは、フローハッシュ算出数c、ハッシュ算出数kを更新する所定時間となると(ステップS1)、ステップS2以降の処理を行う。
【0070】
パケットハッシュ記録装置Lは、ステップS2にて、汎用パケット通信網N2から傍受したIPパケットを用いてパケット数平均P、同一セッションパケットの通過割合wを測定する。このとき、パケットハッシュ記録装置Lは、例えば曜日と時間帯毎に過去のパケット数平均P、同一セッションパケットの通過割合wを記録しておく。また、パケット数平均P、同一セッションパケットの通過割合wが、過去の値と比較して異常がある場合には、過去のパケット数平均Pと同一セッションパケットの通過割合wを使用することとなる。
【0071】
次にパケットハッシュ記録装置Lは、ステップS3にて、測定したパケット数平均P、同一セッションパケットの通過割合wを用いて、フローハッシュ算出数c、ハッシュ算出数kの最適値を算出する。ここで、パケットハッシュ記録装置Lは、予めハッシュ算出数kの上限を設定しておく。
【0072】
次にパケットハッシュ記録装置Lは、ステップS4にて、最適化されたフローハッシュ算出数c、ハッシュ算出数kを設定に反映させる。このとき、パケットハッシュ記録装置Lhは、ハッシュ算出数kの上限値が決まっているのでハッシュ算出数kを総当りして、最適値を求める。例えば、山登り法を行って高速化しても良い。
【0073】
[パケットハッシュ記録装置Lの構成]
つぎに、上述したトレースバックシステムにおけるパケットハッシュ記録装置Lについて説明する。
【0074】
パケットハッシュ記録装置Lは、図10に示すような機能的な構成を備えている。なお、図10では、機能的な構成を示しているが、通信装置に、図10に示す各部を実現するためのプログラムを格納して、当該通信装置のコンピュータが当該プログラムを実行することで実現されたものであっても良い。
【0075】
パケットハッシュ記録装置Lは、監視用通信インターフェース部(パケット取得手段)1、管理用通信インターフェース部2、パケットハッシュ算出部(第2パケット特定情報作成手段)3、パケットハッシュ算出パラメータ記憶部4、パケットハッシュテーブル記憶部(記録手段)5、トラフィック測定部(設定手段)6、統計用一次データ記憶部7、トラフィック統計データ記憶部8、パラメータ最適化部(設定手段)9、タイマー部10、タイマーパラメータ記憶部11、テーブル切り替え部12及び問合せ処理部(返信手段)13を備える。
【0076】
監視用通信インターフェース部1は、汎用パケット通信網N2と接続されている。監視用通信インターフェース部1は、汎用パケット通信網N2を介して、通信端末A1,A2,Vとパケット中継装置R1〜R4又はパケット中継装置R1〜R4間で送信されたIPパケットを傍受する。
【0077】
管理用通信インターフェース部2は、トレースバックシステム専用網N1を介してトレースバックマネージャ装置Mと接続されている。管理用通信インターフェース部2は、トレースバックマネージャ装置Mから通過確認要求メッセージが供給される。また、管理用通信インターフェース部2は、トレースバックマネージャ装置Mに対して通過確認応答メッセージを送信する。
【0078】
問合せ処理部13は、管理用通信インターフェース部2によりトレースバックマネージャ装置Mから通過確認応答メッセージを受信したことに応じて、通過確認応答メッセージを作成する。そして、問合せ処理部13は、通過確認応答メッセージを管理用通信インターフェース部2からトレースバックマネージャ装置Mに送信させる。この通過確認応答メッセージは、メッセージIDと、追跡対象パケットの通過有り(1)又は通過無し(0)とを含む。
【0079】
パケットハッシュ算出部3は、監視用通信インターフェース部1により傍受されたIPパケットを用いて、パケットハッシュHを算出する。このとき、パケットハッシュ算出部3は、パケットハッシュ算出パラメータ記憶部4に記憶されたパラメータに従ってパケットハッシュHを算出する。パケットハッシュ算出部3は、算出されたパケットハッシュHを、パケットハッシュテーブル記憶部5に記憶させる。
【0080】
パケットハッシュテーブル記憶部5には、例えば図11(b)に示すようなパケットハッシュテーブルが記憶される。このハッシュビットテーブルは、パケットハッシュHの記録開始時刻ごとに、ハッシュ算出数k、フローハッシュ算出数cと対応付けられて記憶されている。
【0081】
このハッシュビットテーブルは、パケットハッシュ算出部3によって、図12に示すように作成される。すなわち、先ず、パケットハッシュ算出部3は、IPパケット(P1)からパケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。次に、パケットハッシュ算出部3は、パケット個別フィールド値D1及びセッション内同一フィールド値D2からハッシュ関数を用いてパケットハッシュ値h1(D1)、h2(D2)、h3(D2)を生成する。次に、パケットハッシュ算出部3は、所定の規則に従ってパケットハッシュ値を並べることによってハッシュビットテーブルを作成する。なお、パケットハッシュ値を並べる所定の規則は、全てのパケットハッシュ記録装置Lとトレースバックマネージャ装置Mとで同一である。
【0082】
パケットハッシュ算出パラメータ記憶部4には、図11(a)に示すパケットハッシュ算出パラメータが記憶されている。このパケットハッシュ算出パラメータとしては、ハッシュビット幅b、ハッシュ算出数上限値K、誤検知率FPRsの上限値S、ハッシュ算出数k、フローハッシュ算出数cが含まれる。ハッシュビット幅bは、図7(b)に示したようにハッシュ関数により生成される1個のパケットハッシュHの長さである。誤検知率FPRsの上限値Sは、式2で示したセッション内同一フィールド値D2から生成したパケットハッシュHの誤検知率FPRsの上限値である。なお、パケットハッシュ算出パラメータの値は、一例である。このパケットハッシュ算出パラメータを用いたパケットハッシュ算出部3によるパケットハッシュHの生成処理については、後述する。
【0083】
トラフィック測定部6は、統計用一次データ及びトラフィック統計データを作成する。統計用一次データには、図13(b)に示すように、パケットカウントP’、最適化用統計開始フラグF、統計開始時刻T4、統計用ハッシュビットテーブルHT、記録パケット数カウントC1及び重複パケット数カウントC2が含まれる。これらの統計用一次データは、統計用一次データ記憶部7に記憶される。トラフィック統計データは、図11(c)に示すように、IPパケットを受信した曜日、時間帯、パケット数平均Pの値、同一セッションパケットの通過割合wの値が対応付けられている。このトラフィック統計データは、トラフィック統計データ記憶部8に記憶される。
【0084】
パラメータ最適化部9は、予め設定されたハッシュビットテーブルのサイズM、トラフィック統計データ記憶部8に記憶されたパケット数平均P及び同一セッションパケットの通過割合wに基づいて、フローハッシュ算出数c、ハッシュ算出数kを算出する。このとき、パラメータ最適化部9は、式2から誤検知率FPRsの上限値Sを超えないようにフローハッシュ算出数c、ハッシュ算出数kを調整する。パラメータ最適化部9は、算出したフローハッシュ算出数c及びハッシュ算出数kを、パケットハッシュ算出パラメータ記憶部4に更新して記憶させる。
【0085】
タイマー部10は、トラフィック測定部6及びパラメータ最適化部9を制御して、フローハッシュ算出数c、ハッシュ算出数kを所定時間毎に更新させる。また、タイマー部10は、テーブル切り替え部12を制御して、パケットハッシュテーブル記憶部5のパケットハッシュテーブルを更新させる。
【0086】
このタイマー部10は、タイマーパラメータ記憶部11に記憶されたタイマーパラメータに従って動作する。このタイマーパラメータは、図13(a)に示すように、テーブル切り替え時間T1、最適化用統計値取得間隔T2、最適化間隔T3を含む。テーブル切り替え時間T1は、図11(b)に示したパケットハッシュテーブルの切り替え間隔であり、例えば5秒である。最適化用統計値取得間隔T2は、フローハッシュ算出数c、ハッシュ算出数kを最適化するためにIPパケットを傍受してパケット特定情報を蓄積する間隔である。最適化間隔T3は、フローハッシュ算出数c、ハッシュ算出数kを最適化する間隔である。
【0087】
テーブル切り替え部12は、タイマー部10の制御に従って、パケットハッシュテーブルを更新させる。このとき、テーブル切り替え部12は、図11(b)に示すパケットハッシュテーブルを作成するために、タイマー部10によって制御されたパケットハッシュテーブルの記録開始時刻、パケットハッシュ算出パラメータ記憶部4に記憶されたフローハッシュ算出数c、ハッシュ算出数kを取得する。これにより、パケットハッシュテーブル記憶部5は、テーブル切り替え部12により取得された記録開始時刻、フローハッシュ算出数c、ハッシュ算出数k、パケットハッシュ算出部3により算出されたパケット特定情報を含む、図11(b)に示すパケットハッシュテーブルを作成できる。
【0088】
このハッシュビットテーブルを作成するためのハッシュ算出数k、フローハッシュ算出数cは、タイマー部10の制御によって、図14に示すシーケンスによって設定される。
【0089】
タイマー部10は、テーブル切り替え時間T1とごとに、テーブル切り替え部12を起動させて、ハッシュビットテーブルを切り替えさせる。これにより、例えば5秒ごとに図11(b)におけるハッシュビットテーブルが追加される。
【0090】
その後、時刻08:55:00に最適化用統計値取得間隔T2となると、タイマー部10は、トラフィック測定部6に対して統計処理を開始させる。この統計処理は、図13(b)に示す各パラメータを取得する。また、この統計処理は、最適化用統計値取得間隔T2が満了する毎に、トラフィック測定部6によって、パケット数平均P及び同一セッションパケットの通過割合wを算出して、図11(c)に示すトラフィック統計データを作成する。この統計処理は、最適化用統計値取得間隔T2ごとに繰り返される。
【0091】
時刻09:00:00に最適化間隔T3となると、タイマー部10は、パラメータ最適化部9に対して、フローハッシュ算出数c、ハッシュ算出数kを最適化するよう制御する。これにより、パラメータ最適化部9は、統計処理によって作成されたトラフィック統計データのうち最新のパケット数平均P、同一セッションパケットの通過割合w及び所定のハッシュビットテーブルのサイズMを用いて、フローハッシュ算出数c及びハッシュ算出数kを算出する。
【0092】
[パケットハッシュ記録装置Lの動作]
つぎに、上述したように構成されたパケットハッシュ記録装置Lの動作について、図15乃至図19を参照して説明する。
【0093】
「パケット受信時の動作」
パケットハッシュ記録装置Lは、監視用通信インターフェース部1によって、汎用パケット通信網N2からIPパケットを受信したときに(パケット取得手段)、図15に示す処理を開始する。
【0094】
パケットハッシュ記録装置Lは、先ず、ステップS11において、パケットハッシュ算出部3が、受信したIPパケットからパケット個別フィールド値D1とセッション内同一フィールド値D2とを抽出する。
【0095】
次のステップS12において、パケットハッシュ算出部3は、パケット個別フィールド値D1からハッシュ算出数kからフローハッシュ算出数cだけ減算した数(k−c)のパケットハッシュ値h(D1)を算出する。ハッシュ算出数k、フローハッシュ算出数cは、パケットハッシュ算出パラメータ記憶部4に格納されている最新の値を使用する。
【0096】
次のステップS13において、パケットハッシュ算出部3は、セッション内同一フィールド値D2からフローハッシュ算出数cのパケットハッシュ値h(D2)を算出する(第2パケット特定情報作成手段)。フローハッシュ算出数cは、パケットハッシュ算出パラメータ記憶部4に格納されている最新の値を使用する。
【0097】
次のステップS14において、パケットハッシュ算出部3は、ステップS12及びステップS13にて算出したハッシュ算出数kのパケットハッシュ値h(D1)、h(d2)を、最新のパケットハッシュテーブルとしてパケットハッシュテーブル記憶部5に記録する(記録手段)。このとき、パケットハッシュ算出部3は、パケットハッシュテーブルに、記録開始時刻、ハッシュ算出数k、フローハッシュ算出数cを対応付けて、パケットハッシュテーブル記憶部5に記憶する。
【0098】
次のステップS15において、トラフィック測定部6は、最適化用統計開始フラグFの値をチェックする。トラフィック測定部6は、監視用通信インターフェース部1からIPパケットが供給されたことに応じて、ステップS15の処理を行う。
【0099】
次のステップS16において、トラフィック測定部6は、ステップS15にてチェックした最適化用統計開始フラグFが「1」であるか否かを判定する。最適化用統計開始フラグFが「1」である場合にはステップS17に処理を進め、そうでない場合には処理を終了する。
【0100】
ステップS17において、トラフィック測定部6は、統計用一次データのうちのパケットカウントP’に1を加算する。
【0101】
次のステップS18において、タイマー部10は、統計用一次データの統計開始時刻T4と現在時刻とを比較する。
【0102】
次のステップS19において、タイマー部10は、ステップS18にて比較された統計開始時刻T4と現在時刻とから、統計開始時刻T4から現在時刻までの経過時間がテーブル切り替え時間T1以内か否かを判定する。統計開始時刻T4から現在時刻までの経過時間がテーブル切り替え時間T1以内である場合にはステップS20に処理を進め、そうでない場合には処理を終了する。
【0103】
ステップS20において、トラフィック測定部6は、統計用一次データにおける記録パケット数カウントC1を1だけ加算する。
【0104】
次のステップS21において、トラフィック測定部6は、セッション内同一フィールド値D2から算出したフローハッシュ算出数cのハッシュ値が統計用一次データの統計用ハッシュビットテーブルHTに全て記録されているかチェックする。このとき、トラフィック測定部6は、ステップS20にて更新した記録パケット数カウントC1と、統計用ハッシュビットテーブルHTに含まれるパケットハッシュ値hとの数とを比較する。
【0105】
次のステップS22において、トラフィック測定部6は、ステップS21にてチェックしたように全ての統計用ハッシュビットテーブルHTが記録されていると判定した場合にはステップS24に処理を進め、そうでない場合にはステップS23に処理を進める。
【0106】
ステップS24において、トラフィック測定部6は、統計用一次データにおける重複パケット数カウントC2を1だけ加算して、処理を終了する。
【0107】
ステップS23において、トラフィック測定部6は、セッション内同一フィールド値D2から算出したフローハッシュ算出数cのパケットハッシュ値hを統計用一次データにおける統計用ハッシュビットテーブルHTに記録して、処理を終了する。
【0108】
このように、パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを受信すると、パケット個別フィールド値D1及びセッション内同一フィールド値D2から、フローハッシュ算出数c及びハッシュ算出数kのパケットハッシュ値hを生成する。また、パケットハッシュ記録装置Lは、最適化用統計開始フラグFが「1」となっている最適化用統計値取得間隔T2の期間であってテーブル切り替え時間T1以内では、IPパケットを受信するたびにパケットカウントP’、記録パケット数カウントC1、重複パケット数カウントC2を加算する。これにより、パケットハッシュ記録装置Lは、後述するように、統計値としてパケットカウントP’、記録パケット数カウントC1及び重複パケット数カウントC2を利用することができる。
【0109】
「通過確認要求メッセージの受信時の動作」
つぎに、パケットハッシュ記録装置Lが、トレースバックマネージャ装置Mから通過確認要求メッセージを受信したときの動作について、図16を参照して説明する。
【0110】
パケットハッシュ記録装置Lは、トレースバックマネージャ装置Mから通過確認要求メッセージが送信されると、トレースバックシステム専用網N1を介して管理用通信インターフェース部2が通過確認要求メッセージを受信する。管理用通信インターフェース部2は、通過確認要求メッセージを問合せ処理部13に供給する。これにより、パケットハッシュ記録装置Lは、ステップS31以降の処理を開始する。
【0111】
ステップS31において、問合せ処理部13は、受信した通過確認要求メッセージのうちパケット個別フィールド値D1から算出されたハッシュ算出数kからフローハッシュ算出数cを減算した数(k−c)のパケットハッシュ値h(D1)を抽出する。
【0112】
次のステップS32において、問合せ処理部13は、受信した通過確認要求メッセージのうちセッション内同一フィールド値D2から算出されたフローハッシュ算出数cのパケットハッシュ値h(D2)を抽出する。
【0113】
次のステップS33において、問合せ処理部13は、ステップS31及びステップS32にて抽出された合計でハッシュ算出数kのパケットハッシュ値h(D1)、h(D2)が全て記録されているハッシュビットテーブルが存在するか否かをチェックする。このとき、問合せ処理部13は、パケットハッシュ算出部3がIPパケットの受信時にパケットハッシュテーブル記憶部5に記録しておいたパケットハッシュテーブルと、ステップS31及びステップS32にて抽出したパケットハッシュ値hとを比較する。このパケットハッシュテーブル記憶部5に記録されたパケットハッシュテーブルは、図15におけるステップS14にて記録したものである。
【0114】
次のステップS34において、問合せ処理部13は、ステップS33にてチェックした結果、ステップS31及びステップS32にて抽出したパケットハッシュ値hが、パケットハッシュテーブル記憶部5のパケットハッシュテーブルに存在する場合には、ステップS35に処理を進める。一方、存在しない場合には、ステップS36に処理を進める。
【0115】
ステップS35において、問合せ処理部13は、追跡対象パケットの通過が「有り=1」の通過確認応答メッセージを作成して、管理用通信インターフェース部2からトレースバックマネージャ装置Mに対して送信させる。すなわち、パケットハッシュ記録装置Lが接続されている汎用パケット通信網N2に追跡対象パケットが通過したことをトレースバックマネージャ装置Mに対して返送する。
【0116】
一方、ステップS36において、問合せ処理部13は、追跡対象パケットの通過が「無し=0」の通過確認応答メッセージを作成して、管理用通信インターフェース部2からトレースバックマネージャ装置Mに対して送信させる。
【0117】
このように、パケットハッシュ記録装置Lは、トレースバックマネージャ装置Mから通過確認要求メッセージを受信した場合には、通過確認要求メッセージから、自身に設定されているハッシュ算出数kのパケットハッシュ値を抽出する(返信手段)。そして、パケットハッシュ記録装置Lは、抽出したパケットハッシュ値hとパケットハッシュテーブル記憶部5に記録されているパケットハッシュ値hとが一致した場合には、追跡対象パケットが通過したことの通過確認応答メッセージを返信できる(返信手段)。
【0118】
「ハッシュビットテーブルの切り替え処理」
つぎに、パケットハッシュ記録装置Lが、定期的に、パケットハッシュテーブル記憶部5のパケットハッシュテーブルにおけるハッシュ算出数k及びフローハッシュ算出数cを切り替えるときの処理について、図17を参照して説明する。この処理は、パケットハッシュ記録装置Lにおけるテーブル切り替え部12によって行われる。
【0119】
テーブル切り替え部12は、図14に示したように、タイマー部10によってハッシュビットテーブルを切り替えるテーブル切り替え時間T1となることが通知される。すると、テーブル切り替え部12は、図17のステップS41において、パケットハッシュテーブル記憶部5のハッシュビットテーブルから記録開始時刻が最も古いレコードR1を検索する。例えば図11(b)に示すハッシュビットテーブルがパケットハッシュテーブル記憶部5に記録されている場合、記録開始時刻が“10:00:10”のレコードR1を見つける。
【0120】
次のステップS42において、テーブル切り替え部12は、ステップS41にて見つけたレコードR1の記録開始時刻を現在の時刻にセットする。
【0121】
次のステップS43において、テーブル切り替え部12は、ステップS41にて見つけられたレコードR1のハッシュ算出数k及びフローハッシュ算出数cを、パケットハッシュ算出パラメータにおけるハッシュ算出数k及びフローハッシュ算出数cにセットする。このとき、テーブル切り替え部12は、図11(b)に示すパケットハッシュ算出パラメータ記憶部4におけるパケットハッシュ算出パラメータのハッシュ算出数k及びフローハッシュ算出数cを読み出す。そして、テーブル切り替え部12は、パケットハッシュテーブル記憶部5のパケットハッシュテーブルにおけるハッシュ算出数k及びフローハッシュ算出数cを書き換える。
【0122】
次のステップS44において、テーブル切り替え部12は、パケットハッシュテーブル記憶部5におけるレコードR1のハッシュビットテーブルをゼロクリアする。
【0123】
このように、テーブル切り替え部12は、最も古いハッシュビットテーブルを消去して、パラメータ最適化部9により最適化された現在において最新のハッシュ算出数k及びフローハッシュ算出数cを、ハッシュビットテーブルに書き換えることができる。これにより、パケットハッシュ記録装置Lは、パケットハッシュ算出部3が算出したパケットハッシュ値hと、当該パケットハッシュ値hを算出したときのハッシュ算出数k及びフローハッシュ算出数cとを含むハッシュビットテーブルを最新に維持できる。
【0124】
「汎用パケット通信網N2の統計処理」
つぎに、パケットハッシュ記録装置Lが接続された汎用パケット通信網N2の通信状況に応じて、図11(c)に示すパケット数平均P及び同一セッションパケットの通過割合wを更新する統計処理について、図18を参照して説明する。
【0125】
トラフィック測定部6は、図14に示したように、タイマー部10によって最適化用統計値取得間隔T2が開始されることが通知される。すると、トラフィック測定部6は、図18のステップS51において、統計用一次データ記憶部7における統計用一次データの最適化用統計開始フラグFの値を「1」に更新し、統計開始時刻T4に現在時刻をセットする。
【0126】
次のステップS52において、トラフィック測定部6は、タイマー部10の制御に従って、最適化用統計値取得間隔T2の時間分だけウェイト状態(待機状態)となる。この最適化用統計値取得間隔T2において、パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを傍受する。そして、パケットハッシュ記録装置Lは、図15における処理を行うことにより、IPパケットからハッシュビットテーブルを生成して記録する処理と、パケットカウントP’を加算する処理と、テーブル切り替え時間T1ごとに記録パケット数カウントC1及び重複パケット数カウントC2を加算する処理を行うこととなる。
【0127】
次のステップS53において、トラフィック測定部6は、統計用一次データ記憶部7における統計用一次データの最適化用統計開始フラグFの値を「0」にセットする。
【0128】
次のステップS54において、トラフィック測定部6は、パケット数平均Pを求める。このとき、トラフィック測定部6は、統計用一次データ記憶部7におけるパケットカウントP’と、タイマーパラメータ記憶部11に記憶されたテーブル切り替え時間T1及び最適化用統計値取得間隔T2とを用いて、
P=P’×T1/T2
なる演算を行う。トラフィック測定部6は、求めたパケット数平均Pを、トラフィック統計データ記憶部8におけるパケット数平均Pの最新統計値としてセットする。
【0129】
次のステップS55において、トラフィック測定部6は、同一セッションパケットの通過割合wを求める。このとき、トラフィック測定部6は、図15の処理により統計用一次データ記憶部7に記録された記録パケット数カウントC1と重複パケット数カウントC2とを用いて、
w=C2/C1
なる演算を行う。トラフィック測定部6は、求めた同一セッションパケットの通過割合wを、トラフィック統計データ記憶部8における同一セッションパケットの通過割合wの最新統計値としてセットする。
【0130】
次のステップS56において、トラフィック測定部6は、ステップS54及びステップS55にてセットした最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが異常であるかの判定を行う。このとき、トラフィック測定部6は、既に統計用一次データ記憶部7に記録されている同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと、ステップS54及びステップS55にてセットした最新統計値のパケット数平均P及び同一セッションパケットの通過割合wとを比較する。
【0131】
次のステップS57において、トラフィック測定部6は、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wと、過去の値のパケット数平均P及び同一セッションパケットの通過割合wとが大きく異なる場合には、異常であると判定する。例えば、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが、同曜日の、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと比べて、5倍以上である場合には、異常であると判定する。又は、過去の同一セッションパケットの通過割合wに対して、最新統計値の同一セッションパケットの通過割合wが±0.2%の開きがある場合には、異常であると判定する。最新のパケット数平均P及び同一セッションパケットの通過割合wが異常である場合にはステップS59に処理を進め、正常である場合にはステップS58に処理を進める。
【0132】
ステップS58において、トラフィック測定部6は、過去の同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wとをそれぞれ足して2で割る。そして、トラフィック測定部6は、当該演算して得た当該パケット数平均P及び同一セッションパケットの通過割合wを、トラフィック統計データにおける同曜日、同時刻のパケット数平均P及び同一セッションパケットの通過割合wにセットする。これにより、トラフィック測定部6は、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wを用いて、同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wを更新する。これにより、次回に最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが正常である場合に、今回にセットした同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wを用いることができる。
【0133】
ステップS59において、トラフィック測定部6は、トラフィック統計データにおける過去の同曜日、同時刻帯を、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wにセットする。これにより、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが異常である場合には、過去のパケット数平均P及び同一セッションパケットの通過割合wを最新統計値にセットする。これにより、異常である場合のパケット数平均P及び同一セッションパケットの通過割合wを使用しないようにする。
【0134】
次のステップS60において、トラフィック測定部6は、統計用一次データ記憶部7における統計用一次データの統計用ハッシュビットテーブルHTをゼロクリアする。
【0135】
このように、パケットハッシュ記録装置Lは、接続された汎用パケット通信網N2における通信状況として最新統計値のパケット数平均P及び同一セッションパケットの通過割合wを取得する。最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが正常である場合には、パケット数平均P及び同一セッションパケットの通過割合wを後述するようにハッシュ算出数k、フローハッシュ算出数cを設定するために設定することができる(設定手段)。これにより、パケットハッシュ記録装置Lは、正常に取得された汎用パケット通信網N2の通信状況のみを用いて、ハッシュ算出数k、フローハッシュ算出数cを最適化することができる。
【0136】
「ハッシュ算出数k、フローハッシュ算出数cの最適化処理」
つぎに、パケットハッシュ記録装置Lによってハッシュ算出数k、フローハッシュ算出数cを最適化する処理について、図19を参照して説明する。
【0137】
パラメータ最適化部9は、図14に示したように、タイマー部10によって最適化間隔T3が開始されることが通知される。すると、パラメータ最適化部9は、図19のステップS61において、トラフィック統計データ記憶部8からパケット数平均P及び同一セッションパケットの通過割合wを取得する。このパケット数平均P及び同一セッションパケットの通過割合wは、上述の図18の処理によってトラフィック測定部6がセットしたものである。
【0138】
次のステップS62において、パラメータ最適化部9は、パケットハッシュ算出パラメータ記憶部4に記憶されたハッシュビット幅b、ハッシュ算出数上限値K、誤検知率FPRsの上限値S、ハッシュ算出数k及びフローハッシュ算出数cを取得する。これらのパケットハッシュ算出パラメータのうち、ハッシュビット幅b、ハッシュ算出数上限値K及び誤検知率FPRsの上限値Sは、例えばユーザの操作に応じて、任意の値に設定される。
【0139】
次のステップS63において、パラメータ最適化部9は、ハッシュ算出数k、フローハッシュ算出数cを変化させたときの誤検知率FPR及びFPRsを算出する。このとき、パラメータ最適化部9は、現状のハッシュ算出数k、フローハッシュ算出数cを用いて、
FPR(k,c)、FPRs(k,c)
FPR(k+1,c)、FPRs(k+1,c)
FPR(k−1,c)、FPRs(k−1,c)
FPR(k,c+1)、FPRs(k,c+1)
FPR(k,c−1)、FPRs(k,c−1)
の何れかを算出する。このとき、パラメータ最適化部9は、上記の式1の演算をして誤検知率FPRを求め、上記の式2の演算をして誤検知率FPRsを求める。また、式1,2におけるハッシュビットテーブルのサイズMは、2のハッシュビット幅b乗で求められる。なお、これらの誤検知率FPR、FPRsを算出する処理は、一例であり、更にハッシュ算出数k、フローハッシュ算出数cを変化させて誤検知率FPR、FPRsを算出しても良い。
【0140】
次のステップS64において、パラメータ最適化部9は、ステップS63にて算出した誤検知率FPR、FPRsのうちの最適値を求める。このとき、パラメータ最適化部9は、
(1)0<ハッシュ算出数k≦ハッシュ算出数上限値K
(2)0≦フローハッシュ算出数c≦ハッシュ算出数k
(3)誤検知率FPRs≦誤検知率FPRsの上限値S
という3つの条件を満たす誤検知率FPR、FPRsの組み合わせのうち、誤検知率FPRが最小のものを最適値として求める。
【0141】
次のステップS65において、パラメータ最適化部9は、ステップS63にて算出された誤検知率FPR(k,c)が、ステップS64にて求められた最適値であるか否かを判定する。誤検知率FPR(k,c)が最適値である場合には処理を終了し、最適値ではない場合には処理をステップS66に進める。
【0142】
ステップS66において、パラメータ最適化部9は、誤検知率FPRの最適値となったパラメータにハッシュ算出数k及びフローハッシュ算出数cを更新して、ステップS63に処理を戻す。
【0143】
このように、パケットハッシュ記録装置Lは、汎用パケット通信網N2における通信状況の統計値であるパケット数平均P、同一セッションパケットの通過割合wを用いてハッシュ算出数k、フローハッシュ算出数cを最適化することができる(設定手段)。
【0144】
[トレースバックマネージャ装置Mの構成]
つぎに、上述したトレースバックシステムにおけるトレースバックマネージャ装置Mについて説明する。
【0145】
トレースバックマネージャ装置Mは、図20に示すような機能的な構成を備えている。なお、図20では、機能的な構成を示しているが、通信装置(追跡管理装置)に、図20に示す各部を実現するためのプログラムを格納して、当該追跡管理装置のコンピュータが当該プログラムを実行することで実現されたものであっても良い。
【0146】
トレースバックマネージャ装置Mは、通信インターフェース部21(攻撃パケット取得手段)、パケットハッシュ算出部(第1パケット特定情報作成手段)22、パケットハッシュ上限パラメータ記憶部23、通過確認問合せ処理部(問い合わせ手段)24、問合せメッセージ管理情報記憶部25及び装置隣接関係情報記憶部26を備える。
【0147】
通信インターフェース部21は、トレースバックシステム専用網N1と接続されている。通信インターフェース部21は、トレースバックシステム専用網N1を介して攻撃パケット特定装置Dから追跡対象パケット(攻撃パケット)が供給される。通信インターフェース部21は、追跡対象パケットの通過の有無を問い合わせる通過確認要求メッセージを各パケットハッシュ記録装置Lに送信する。その後、通信インターフェース部21は、各パケットハッシュ記録装置Lから追跡対象パケットの通過の有無を含む通過確認応答メッセージを受信する。通信インターフェース部21は、通過確認応答メッセージに基づいて追跡対象パケットを中継したパケット中継装置Rを特定する情報を攻撃パケット特定装置Dに送信する。
【0148】
パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡対象パケットを用いて、パケットハッシュ値を算出する。このとき、パケットハッシュ算出部22は、パケットハッシュ上限パラメータ記憶部23に記憶されたパケットハッシュ上限パラメータに従ってパケットハッシュを算出する。パケットハッシュ算出部22は、算出されたパケットハッシュ値を、パケットハッシュテーブル記憶部5に記憶させる。
【0149】
パケットハッシュ上限パラメータ記憶部23には、図21(a)に示すように、ハッシュビット幅上限値B及びハッシュ算出数上限値Kが記憶されている。ハッシュビット幅上限値Bは、パケットハッシュ記録装置Lが設定しうるハッシュビット幅bの上限値である。ハッシュ算出数上限値Kは、パケットハッシュ記録装置Lが設定しうる最大のハッシュ算出数kである。そして、パケットハッシュ上限パラメータ記憶部23は、ハッシュ算出数上限値Kで設定された数のパケットハッシュ値を作成して、追跡対象パケットのパケット特定情報を生成できる。
【0150】
このようなパケットハッシュ算出部22は、追跡対象パケットに含まれる情報のうちパケット個別フィールド値D1に対して所定の変換処理を施して第1パケット特定情報を作成する第1変換処理と、追跡対象パケットに含まれる情報のうちセッション内同一フィールド値D2に対して変換処理を施して第2パケット特定情報を作成する第2変換処理とを行う。そして、パケットハッシュ算出部22は、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する。
【0151】
通過確認問合せ処理部24は、パケットハッシュ算出部22により生成されたパケット特定情報であるパケットハッシュ値をパケットハッシュ記録装置Lに送信させる。これにより、通過確認問合せ処理部24は、追跡対象パケットの通過の有無をパケットハッシュ記録装置Lに問い合わせる。また、通過確認問合せ処理部24は、通過確認要求メッセージに対して返信された通過確認応答メッセージを取得して、パケットハッシュ記録装置Lにおける追跡対象パケットの通過の有無を取得する。
【0152】
このとき、通過確認問合せ処理部24は、問合せメッセージ管理情報記憶部25に記憶された問合せメッセージ管理情報を参照及び更新する。この問い合わせメッセージ管理情報は、図21(b)に示すように、メッセージID、確認済み装置名、通過装置名、処理完了時刻を含む。メッセージIDは、追跡対象パケットごとにパケットハッシュ記録装置Lに送信される通過確認要求メッセージごとに生成される。確認済み装置名は、通過確認要求メッセージに対して通過確認応答メッセージを返信したパケットハッシュ記録装置Lの装置名である。通過装置名は、追跡対象パケットを中継した経路に接続されたパケットハッシュ記録装置Lの装置名である。処理完了時刻は、全てのパケットハッシュ記録装置Lから通過確認応答メッセージを受信した時刻である。
【0153】
通過確認問合せ処理部24は、メッセージIDごとの通過確認要求メッセージに対して通過確認応答メッセージを受信した場合には、確認済み装置名にパケットハッシュ記録装置Lの装置名を追加する。通過確認問合せ処理部24は、追跡対象パケットの通過が「有り」の通過確認応答メッセージを送信したパケットハッシュ記録装置Lの装置名を、通過装置名として追加する。
【0154】
通過確認問合せ処理部24は、装置隣接関係情報記憶部26に記憶された装置隣接関係情報を参照して、追跡対象パケットが通過した装置名を特定する。この装置隣接関係情報は、図21(c)に示すように、トレースバックシステム専用網N1を介してトレースバックマネージャ装置Mに接続された装置名、当該装置名のIPアドレス、当該装置名に隣接する装置の隣接装置名が対応付けられている。通過確認問合せ処理部24は、通過確認応答メッセージに追跡対象パケットの通過が「有り」である場合に、問い合わせメッセージ管理情報における通過装置名を更新し、処理完了時刻となったら装置隣接関係情報を参照して、追跡対象パケットの通過経路を特定する。
【0155】
例えばメッセージIDが「0002」の通過確認要求メッセージに対して、追跡対象パケットの通過が「有り」の通過確認応答メッセージがパケットハッシュ記録装置L5、L4であったとする。このとき、パケットハッシュ記録装置L5に隣接するパケットハッシュ記録装置Lは、L3とL4である。また、パケットハッシュ記録装置L4に隣接するパケットハッシュ記録装置Lは、L2とL3とL5である。したがって、通過確認問合せ処理部24は、追跡対象パケットが、パケット中継装置R3、R1、R2、通信端末A1を経由して通信端末Vに到着したことを認識でき、通信端末A1が追跡対象パケットの発信源であることを認識できる。
【0156】
「追跡要求メッセージ受信時の処理」
つぎに、上述したように構成されたトレースバックマネージャ装置Mにより追跡要求メッセージを受信したときの処理について、図22を参照して説明する。
【0157】
トレースバックマネージャ装置Mは、攻撃パケット特定装置Dからトレースバックシステム専用網N1を介して送信された追跡要求メッセージを、通信インターフェース部21により受信すると(攻撃パケット取得手段)、ステップS71以降の処理を開始する。この追跡要求メッセージには、攻撃パケット特定装置Dが攻撃パケットして特定した追跡対象パケットが含まれている。
【0158】
ステップS71において、パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡要求メッセージの送信元IPアドレスを抽出する。
【0159】
次のステップS72において、パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡要求メッセージに含まれている追跡対象パケットから、パケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。これらパケット個別フィールド値D1及びセッション内同一フィールド値D2は、トレースバックマネージャ装置Mとパケットハッシュ記録装置Lとの間で予め設定されたIPヘッダ及びIPパケットである。
【0160】
次のステップS73において、パケットハッシュ算出部22は、パケットハッシュ上限パラメータ記憶部23に記憶されたパケットハッシュ上限パラメータのうちハッシュ算出数上限値K及びハッシュビット幅上限値Bを取得する。
【0161】
次のステップS74において、パケットハッシュ算出部22は、ステップS72にて抽出したパケット個別フィールド値D1及びセッション内同一フィールド値D2からそれぞれハッシュ算出数上限値Kの数のパケットハッシュであって、各パケットハッシュがハッシュビット幅上限値Bのビット幅のパケットハッシュを算出する(第1パケット特定情報作成手段)。ここで、パケット個別フィールド値D1及びセッション内同一フィールド値D2から生成するハッシュ関数についても、トレースバックマネージャ装置Mとパケットハッシュ記録装置Lとで予め設定されたものである。これにより、パケットハッシュ算出部22は、各パケットハッシュ記録装置Lが生成しうる最大数のパケットハッシュ値を生成する。
【0162】
次のステップS75において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報に1つのレコードを追加し、メッセージIDの最大値に1を加えたメッセージIDをセットする。
【0163】
次のステップS76において、通過確認問合せ処理部24は、パケットハッシュ記録装置Lに送信する通過確認要求メッセージを生成する。通過確認問合せ処理部24は、ステップS75にてセットされたメッセージIDと、ステップS74にてパケット個別フィールド値D1、セッション内同一フィールド値D2にてそれぞれ算出した(ハッシュ算出数上限値K×2個)のパケットハッシュとを含める。
【0164】
次のステップS77において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS71にて抽出した送信元IPアドレスに該当する装置の隣接装置名を取得する。例えば図1において、通過確認問合せ処理部24は、攻撃パケット特定装置Dから追跡要求メッセージを受信した場合、攻撃パケット特定装置Dに隣接する隣接装置名を、装置隣接関係情報から取得する。
【0165】
次のステップS78において、通過確認問合せ処理部24は、ステップS77にて取得した隣接装置名に対応するそれぞれの隣接装置名のIPアドレスを宛先IPアドレスとして、通過確認要求メッセージを生成する。そして、通過確認問合せ処理部24は、当該通過確認要求メッセージを通信インターフェース部21から送信させる(問い合わせ手段)。これにより、トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lに対して通過確認要求メッセージを受信させることができる。
【0166】
「通過確認応答メッセージ受信時の処理」
つぎに、上述したように通過確認要求メッセージを送信したことに対する通過確認応答メッセージを受信したときのトレースバックマネージャ装置Mの処理について、図23を参照して説明する。
【0167】
トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lからトレースバックシステム専用網N1を介して送信された通過確認応答メッセージを、通信インターフェース部21により受信すると(問い合わせ手段)、ステップS81以降の処理を開始する。この通過確認応答メッセージには、追跡対象パケットの通過の有無を示す情報が含まれている。
【0168】
ステップS81において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージの送信元IPアドレスを抽出する。
【0169】
次のステップS82において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージからメッセージIDを取得する。
【0170】
次のステップS83において、通過確認問合せ処理部24は、問合せメッセージ管理情報からメッセージIDが合致するレコードR2を検索する。このとき、通過確認問合せ処理部24は、図22における追跡要求メッセージの受信時に、通過確認要求メッセージを送信する前のステップS75にて追加されたレコードのメッセージIDが存在するかを検索する。これにより、通過確認問合せ処理部24は、ステップS78にて送信した通過確認要求メッセージに対する返信として通過確認応答メッセージを受信したかを確認する。
【0171】
次のステップS84において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS81にて取得した送信元IPアドレスに該当する装置名を取得する。
【0172】
次のステップS85において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報のうちステップS83にて見つけられたレコードR2に対応する確認済み装置名に対して、ステップS84にて取得された装置名を、確認済み装置名として追加する。
【0173】
次のステップS86において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージに通過が「有り」の情報が含まれているか否かを判定する。
【0174】
次のステップS87において、通過確認問合せ処理部24は、ステップS86における判定の結果、通過確認応答メッセージに通過が「有り」の情報が含まれている場合にはステップS88に処理を進め、そうでない場合にはステップS90に処理を進める。
【0175】
ステップS88において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報のうちのレコードR2に対応する通過装置名に、ステップS84にて取得された装置名を追加する。
【0176】
次のステップS89において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS71にて抽出した通過確認応答メッセージの送信元IPアドレスに該当するパケットハッシュ記録装置Lの隣接装置名を取得する。
【0177】
次のステップS90において、通過確認問合せ処理部24は、ステップS89にて取得した隣接装置名に対応するIPアドレスを宛先として、通過確認要求メッセージを送信する。
【0178】
これにより、トレースバックマネージャ装置Mは、あるパケットハッシュ記録装置Lから返送された通過確認応答メッセージに追跡対象パケットの通過が「有り」の情報が含まれている場合には、当該通過確認応答メッセージを返送したパケットハッシュ記録装置Lに隣接するパケットハッシュ記録装置Lに通過確認要求メッセージを送信できる。これにより、トレースバックマネージャ装置Mは、段階的に追跡対象パケットを取得したパケットハッシュ記録装置Lから、追跡対象パケットの通過が「有り」の通過確認応答メッセージを取得できる。
【0179】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【符号の説明】
【0180】
L パケットハッシュ記録装置
M トレースバックマネージャ装置
N1 トレースバックシステム専用網
N2 汎用パケット通信網
R パケット中継装置
V 通信端末
1 監視用通信インターフェース部
2 管理用通信インターフェース部
3 パケットハッシュ算出部
4 パケットハッシュ算出パラメータ記憶部
5 パケットハッシュテーブル記憶部
6 トラフィック測定部
7 統計用一次データ記憶部
8 トラフィック統計データ記憶部
9 パラメータ最適化部
10 タイマー部
11 タイマーパラメータ記憶部
12 テーブル切り替え部
13 問合せ処理部
21 通信インターフェース部
22 パケットハッシュ算出部
23 パケットハッシュ上限パラメータ記憶部
24 通過確認問合せ処理部
25 メッセージ管理情報記憶部
26 装置隣接関係情報記憶部
【技術分野】
【0001】
本発明は、パケットの発信源を特定するための発信源追跡システム、パケット特定情報記録装置、追跡管理装置、通信装置のプログラム及び追跡管理装置のプログラムに関する。
【背景技術】
【0002】
近年、通信技術の発達により、インターネットに代表されるオープンネットワーク等の通信が普及している。このような状況に伴い、ネットワークに接続する装置は、例えば大量のIPパケットを送りつけるいわゆるDoS(Denial of Service)攻撃やDDoS(Distributed Dos)攻撃等のサービス妨害攻撃を受け易い状態にある。このサービス妨害攻撃は、犠牲側装置の処理を飽和状態にすることによってサービス提供を麻痺させるだけでなく、ネットワーク全体のリソースを消費させてしまう。このように、不正な攻撃は、ネットワーク全体への影響が大きいことから、その対策が求められている。
【0003】
このような対策の一つとして、攻撃に利用されたIPパケットの発信源を追跡する技術、いわゆるIPトレースバック技術が知られている。このIPトレースバック技術としては、能動型発信源探査法が知られている。
【0004】
この能動型発信源探査法は、攻撃端末から犠牲端末に向けてパケットが経由される途中経路上にルータ装置を設けておく。そして、このルータ装置は、通過する全てのIPパケットについてその要約情報を一定時間記憶しておく。ルータ装置は、追跡対象のIPパケットが通過したか否かを問い合わせる通過問合せメッセージを追跡装置から受信する。すると、ルータ装置は、記憶してある要約情報を参照することによって問い合わせのあった追跡対象のIPパケットが通過したか否かを判断し、その判断結果を伝える通過問合せ応答メッセージを追跡装置に返信する。これにより、追跡装置が、返信された判断結果に基づいて発信源を追跡する。
【0005】
このような能動型発信源探索法において、ルータ装置がIPパケットのパケット特定情報を作成する場合、ルータ装置は、IPパケットに含まれる特定のフィールド値を使用していた。この特定のフィールド値としては、IPパケットごとに異なるフィールド値、セッションごとに同一のフィールド値が用いられていた。
【0006】
図24に示すパケット特定情報の作成方法は、IPパケットPをルータ装置が受信すると、先ず、ルータ装置は、IPパケットから、IPパケットごとに異なるフィールド値D1を抽出する。次にルータ装置は、フィールド値D1に対して複数のハッシュ関数h1,h2,h3を用いて、複数のハッシュ値h1(D1)、h2(D1)、h3(D1)を算出する。これにより、ルータ装置は、パケット特定情報として複数のハッシュ値h1(D1)、h2(D1)、h3(D1)をハッシュビットテーブルに記憶していた(非特許文献1)。
【0007】
図25に示すパケット特定情報の作成方法は、IPパケットPをルータ装置が受信すると、先ず、ルータ装置は、IPパケットから、セッションごとに同一のフィールド値D2を抽出する。次にルータ装置は、フィールド値D2に対して複数のハッシュ関数h1,h2,h3を用いて、複数のハッシュ値h1(D2)、h2(D2)、h3(D2)を算出する。これにより、ルータ装置は、パケット特定情報として複数のハッシュ値h1(D2)、h2(D2)、h3(D2)をハッシュビットテーブルに記憶していた(非特許文献2)。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】Alex C. Snoeren他 “Single-packet IP traceback” IEEE/ACM Transactions on Networking Dec. 2002.
【非特許文献2】T.-H. Leeら “Scalable Packet Digesting Schemes for IP Traceback.”In IEEE International Conference on Communications, Paris, France, June 2004.
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述した従来における発信源探索法におけるパケット特定情報を作成しても、IPパケットの誤検知率を低くすることと、セッション内で攻撃端末から送信されたIPパケットを特定することとを両立することができていなかった。
【0010】
すなわち、図24に示したパケット特定情報の作成方法では、IPパケットごとに異なるフィールド値D1を用いてパケット特定情報を作成している。したがって、当該パケット特定情報が、攻撃端末から送信されたIPパケットでないIPパケットのパケット特定情報と同一となる可能性があった。よって、このパケット特定情報の作成方法では、誤検知率が低くできなかった。
【0011】
また、図25に示したパケット特定情報の作成方法は、セッションごとに同一のフィールド値D2を用いてパケット特定情報を作成している。したがって、IPパケットごとの誤検知率は低くなるが、当該パケット特定情報が、同一セッション内において攻撃に用いられたパケットが特定できない問題がある。
【0012】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、攻撃に用いられたIPパケットの発信源を特定する場合に、IPパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることを目的とする。
【課題を解決するための手段】
【0013】
本発明に係る発信源追跡システムは、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡するものである。この発信源追跡システムは、中継装置により中継されたパケットを取得し、当該取得したパケットに含まれる情報に対して所定の処理を施してパケット特定情報として記録し、攻撃パケットを特定するパケット特定情報に基づいて攻撃パケットの通過の有無を判定する複数の記録装置と、記録装置に攻撃パケットを特定するパケット特定情報を供給し、複数の記録装置から供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数の中継装置を特定する追跡管理装置とを備える。
【0014】
このような発信源追跡システムは、上述の課題を解決するために、各記録装置が、所定の処理として、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行う。
【0015】
本発明に係る発信源追跡システムにおいて、各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、攻撃パケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成することが望ましい。
【0016】
本発明に係る発信源追跡システムにおいて、追跡管理装置は、被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する第1パケット特定情報作成手段と、第1パケット特定情報作成手段が作成したパケット特定情報を記録装置に送信し、攻撃パケットの通過の有無を記録装置から受信する問い合わせ手段とを備える。また、この発信源追跡システムにおいて、記録装置は、中継装置により中継されるパケットを取得するパケット取得手段と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行う第2パケット特定情報作成手段と、パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、第2パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段と、第2パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と、記録手段に記録したパケット特定情報と、問い合わせ手段から送信されたパケット特定情報とを比較して、攻撃パケットの通過の有無を作成して問い合わせ手段に返信する返信手段とを備える。
【0017】
このような発信源追跡システムにおいて、追跡管理装置の第1パケット特定情報作成手段は、記録装置の設定手段が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成し、記録装置の第2パケット特定情報作成手段は、設定手段により設定された第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を作成し、返信手段は、問い合わせ手段から送信されたパケット特定情報のうち、設定手段が設定した第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と、第2パケット特定情報作成手段により作成されたパケット特定情報とを比較して、攻撃パケットを記録したかの情報を作成する。
【0018】
本発明に係るパケット特定情報記録装置は、通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得するパケット取得手段と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理とを行うパケット特定情報作成手段と、パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段とを備える。
【0019】
本発明に係るパケット特定情報記録装置において、各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、特定のパケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成することが望ましい。
【0020】
本発明に係るパケット特定情報記録装置において、パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段を更に備え、パケット特定情報作成手段は、設定手段により設定された第1パケット特定情報数の第1パケット特定情報と、設定手段により設定された第2パケット特定情報数の第2パケット特定情報とを含むパケット特定情報を作成することが望ましい。
【0021】
本発明に係る追跡管理装置は、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡するものである。この追跡管理装置は、上述の課題を解決するために、被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成するパケット特定情報作成手段と、中継装置により中継されたパケットを表すパケット特定情報を記録する記録装置にパケット特定情報作成手段が作成したパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信する問い合わせ手段とを備える。
【0022】
本発明に係る通信装置のプログラムは、通信装置に内蔵されたコンピュータが実行するプログラムであって、通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得する処理と、パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する作成処理と、作成したパケット特定情報を記録媒体に記録する処理とをコンピュータに実行させるものである。
【0023】
本発明に係る追跡管理装置のプログラムは、攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置内のコンピュータが実行するプログラムであって、被害端末で受信された攻撃パケットを取得する処理と、取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、攻撃パケットに含まれる情報のうち端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する処理と、中継装置により中継されたパケットを記録する記録装置に作成したパケット特定情報を送信させ、攻撃パケットを記録したかの情報を記録装置から受信させる処理とをコンピュータに実行させる。
【発明の効果】
【0024】
本発明に係る発信源追跡システムによれば、複数の記録装置が、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、記録装置は、第1パケット特定情報と第2パケット特定情報とを含むパケット特定情報を作成できる。したがって、発信源追跡システムによれば、記録装置における第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内において攻撃に用いられたパケットの誤検知率を高めることができる。
【0025】
本発明に係る発信源追跡システムによれば、各記録装置が、任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成するので、攻撃パケットを誤検知する誤検知率を最低とすることができる。
【0026】
本発明に係る発信源追跡システムによれば、記録装置が、通信状況の統計値に基づいて、第1パケット特定情報数及び第2パケット特定情報数を設定する。一方、追跡管理装置が、記録装置が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成する。このような発信源追跡システムによれば、追跡管理装置が、パケット特定情報を用いて記録装置に問い合わせをする。これに応じて、記録装置が、追跡管理装置から送信されたパケット特定情報のうち第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と記録したパケット特定情報とを比較して、攻撃パケットを記録したかの情報を作成する。これにより、この発信源追跡システムによれば、記録装置が記録するパケットの通信状況によって誤検知率が変動する場合であっても、当該誤検知率を最適化して、攻撃パケットを追跡できる。
【0027】
本発明に係るパケット特定情報記録装置によれば、中継装置により中継されるパケットを取得し、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、このパケット特定情報記録装置によれば、パケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0028】
本発明に係るパケット特定情報記録装置によれば、任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、パケット特定情報を作成するので、攻撃パケットを誤検知する誤検知率を最低とすることができる。
【0029】
本発明に係るパケット特定情報記録装置によれば、所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、第1パケット特定情報数及び第2パケット特定情報数を設定する。これにより、このパケット特定情報記録装置によれば、パケットの通信状況によって誤検知率が変動する場合であっても、当該誤検知率を最適化して、攻撃パケットを追跡できる。
【0030】
本発明に係る追跡管理装置によれば、パケットごとに異なる情報から第1パケット特定情報を作成し、端末間で設定されたセッションごとに共通した情報から第2パケット特定情報を作成してパケット特定情報を作成する。そして、追跡管理装置によれば、記録装置にパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信することができる。これにより、追跡管理装置によれば、第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0031】
本発明に係る通信装置のプログラムによれば、中継装置により中継されるパケットを取得し、パケットごとに異なる情報から第1パケット特定情報を作成し、セッションごとに共通した情報から第2パケット特定情報を作成する。これにより、この通信装置のプログラムによれば、パケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【0032】
本発明に係る追跡管理装置のプログラムによれば、パケットごとに異なる情報から第1パケット特定情報を作成し、端末間で設定されたセッションごとに共通した情報から第2パケット特定情報を作成してパケット特定情報を作成する。そして、追跡管理装置のプログラムによれば、記録装置にパケット特定情報を送信し、攻撃パケットの通過の有無を記録装置から受信することができる。これにより、追跡管理装置のプログラムによれば、第1パケット特定情報及び第2パケット特定情報によるパケットの誤検知率を低くすると共に同一セッション内で攻撃端末から送信されたIPパケットの特定することを可能としたまま、IPパケットの誤検知率を低く抑えることができる。
【図面の簡単な説明】
【0033】
【図1】本発明の一実施形態として示すトレースバックシステムの構成の一例を示すシステム図である。
【図2】本発明の一実施形態として示すトレースバックシステムにおける動作の一例を示すシーケンス図である。
【図3】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置、トレースバックマネージャ装置のパケット特定情報の作成処理の一例について説明する図である。
【図4】本発明の一実施形態として示すトレースバックシステムにおけるパケット特定情報の作成処理で用いるパケット個別フィールド値、セッション内同一フィールド値の一例を示す図である。
【図5】本発明の一実施形態として示すトレースバックシステムにおけるパケット特定情報の作成処理と、比較例との効果を示す図であり、(a)は比較例(1)、(b)は本願、(c)は比較例(2)である。
【図6】本発明の一実施形態として示すトレースバックシステムにおける動作の一例を説明するブロック図である。
【図7】本発明の一実施形態として示すトレースバックシステムにおいて送受信されるメッセージの構造の一例であり、(a)は追跡要求メッセージ、(b)は通過確認要求メッセージ、(c)は通過確認応答メッセージである。
【図8】本発明の一実施形態として示すトレースバックシステムにおいてトレースバックマネージャ装置が通過確認要求メッセージを作成することの説明図である。
【図9】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が通信状況に応じてハッシュ算出数、フローハッシュ算出数を最適化する手順の一例を示すフローチャートである。
【図10】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置のブロック図の一例である。
【図11】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が保持するデータの構造の一例であり、(a)はパケットハッシュ算出パラメータであり、(b)はパケットハッシュテーブルであり、(c)はトラフィック統計データである。
【図12】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によってハッシュビットテーブルを作成する処理の一例を説明する図である。
【図13】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置が保持するデータの構造の一例であり、(a)はタイマーパラメータ、(b)は統計用一次データである。
【図14】本発明の一実施形態として示すトレースバックシステムにおけるタイマー部により制御される各部の動作シーケンスを示す図である。
【図15】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置がIPパケットを受信したときの処理手順の一例を示すフローチャートである。
【図16】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置がトレースバックマネージャ装置から通過確認要求メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図17】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によりハッシュビットテーブルを切り替えるときの処理手順の一例を示すフローチャートである。
【図18】本発明の一実施形態として示すトレースバックシステムにおけるパケットハッシュ記録装置によりパケット数平均及び同一セッションパケットの通過割合を統計により得るときの処理手順の一例を示すフローチャートである。
【図19】本発明の一実施形態として示すトレースバックシステムにおいてハッシュ算出数、フローハッシュ算出数を最適化するときの処理手順の一例を示すフローチャートである。
【図20】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置の一構成例を示すブロック図である。
【図21】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が保持するデータの構造の一例であり、(a)はパケットハッシュ上限パラメータ、(b)は問合せメッセージ管理情報であり、(c)は装置隣接関係情報である。
【図22】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が追跡要求メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図23】本発明の一実施形態として示すトレースバックシステムにおけるトレースバックマネージャ装置が通過確認応答メッセージを受信したときの処理手順の一例を示すフローチャートである。
【図24】パケットハッシュを算出及び記録するときの従来例を示す図である。
【図25】パケットハッシュを算出及び記録するときの他の従来例を示す図である。
【発明を実施するための形態】
【0034】
以下、本発明の実施の形態について図面を参照して説明する。
【0035】
[トレースバックシステムの構成]
本発明に係る発信源追跡システムの一実施形態は、図1に示すようなトレースバックシステムに適用される。このトレースバックシステムは、通信端末A1,A2,Vと、パケット中継装置R1〜R4(以下、総称する場合には単に「パケット中継装置R」とも呼ぶ。)と、パケットハッシュ記録装置L1〜L5(以下、総称する場合には単に「パケットハッシュ記録装置L」とも呼ぶ。)と、攻撃パケット特定装置Dと、トレースバックマネージャ装置Mとを含む。パケットハッシュ記録装置L1〜L5、攻撃パケット特定装置D及びトレースバックマネージャ装置Mは、トレースバックシステム専用網N1に接続されている。また、通信端末A1,A2,V及びパケット中継装置R1〜R4は、汎用パケット通信網N2に接続されている。
【0036】
このようなトレースバックシステムは、攻撃端末から送信されて複数のパケット中継装置R1〜R4(中継装置)で経由されて被害端末となる通信端末Vで受信された攻撃パケット(以下、追跡対象パケットとも呼ぶ。)の発信源を追跡するものである。
【0037】
パケットハッシュ記録装置L1〜L5(記録装置、パケット特定情報記録装置)は、通信端末A1,A2,Vとパケット中継装置R1〜R4とを接続する通信線に接続される。パケットハッシュ記録装置L1〜L5は、汎用パケット通信網N2においてパケット中継装置R1〜R4により中継されているIPパケットを傍受する。パケットハッシュ記録装置L1〜L5は、当該取得したIPパケットに含まれる情報に対して所定の処理を施すことにより、パケットを特定できる情報であるパケット特定情報を作成して、記録する。
【0038】
パケットハッシュ記録装置L1〜L5は、攻撃パケットを特定するパケット特定情報に基づいて攻撃パケットの通過の有無を判定する。この判定結果は、パケットハッシュ記録装置L1〜L5からトレースバックマネージャ装置Mに供給される。
【0039】
トレースバックマネージャ装置M(追跡管理装置)は、トレースバックシステム専用網N1を介してパケットハッシュ記録装置L1〜L5及び攻撃パケット特定装置Dと接続されている。トレースバックマネージャ装置Mは、攻撃パケット特定装置Dから攻撃パケットが供給される。トレースバックマネージャ装置Mは、攻撃パケットを用いて、当該攻撃パケットを特定するパケット特定情報を作成する。トレースバックマネージャ装置Mは、作成した攻撃パケットのパケット特定情報をパケットハッシュ記録装置Lに供給する。トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lから供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数のパケット中継装置R1〜R4を特定する。トレースバックマネージャ装置Mは、攻撃パケットを中継したパケット中継装置R1〜R4に接続されたパケットハッシュ記録装置Lの情報を攻撃パケット特定装置Dに供給する。
【0040】
[トレースバックシステムの動作]
このように構成されたトレースバックシステムは、図2に示すようなシーケンス図で示される動作を行う。
【0041】
トレースバックシステムにおいて、例えば通信端末A2が攻撃端末となり、通信端末Vが被害端末となるとする。先ず、通信端末A2から攻撃パケットP1aが送信されると、当該攻撃パケットP1aは、パケット中継装置R4によって攻撃パケットP1bとして中継され、パケット中継装置R1によって攻撃パケットP1cとして中継され、パケット中継装置R2によってP1dとして中継されて、通信端末Vに送信される。これにより、通信端末Vは、攻撃パケットP1dを受信することにより、サービス妨害などの被害を受ける。
【0042】
このように攻撃パケットが汎用パケット通信網N2にて中継された場合、通信端末A2からパケット中継装置R4に送信された攻撃パケットP1aは、攻撃パケットP1a’としてパケットハッシュ記録装置L1に受信される。同様に、攻撃パケットP1bは、攻撃パケットP1b’としてパケットハッシュ記録装置L3に受信される。攻撃パケットP1cは、攻撃パケットP1c’としてパケットハッシュ記録装置L5に受信される。これにより、パケットハッシュ記録装置L1、L3、L5は、受信した攻撃パケットP1a’、P1b’、P1c’を用いて、パケット特定情報をそれぞれ作成して、記憶する。
【0043】
また、通信端末Vにより受信された攻撃パケットP1dは、攻撃パケット特定装置Dにより受信される。攻撃パケット特定装置Dは、攻撃パケットP1dに基づいて、当該攻撃パケットP1dが通信端末Vに対して被害を与える攻撃パケットであることを判定する。すると、攻撃パケット特定装置Dは、トレースバックマネージャ装置Mに対して当該攻撃パケットP1dの発信源を追跡する追跡要求メッセージM1を作成して、トレースバックマネージャ装置Mに供給する。この追跡要求メッセージM1には、攻撃パケットが含まれる。
【0044】
次に、トレースバックマネージャ装置Mは、攻撃パケット特定装置Dから追跡要求メッセージM1が供給されたことに応じて、トレースバックシステム専用網N1を介して接続されたパケットハッシュ記録装置L1〜L5に対して通過確認要求メッセージを供給する。このとき、トレースバックマネージャ装置Mは、攻撃パケットのパケット特定情報を作成する。この通過確認要求メッセージには、攻撃パケットのパケット特定情報が含まれる。この通過確認要求メッセージは、トレースバックマネージャ装置Mに接続されたパケットハッシュ記録装置Lに供給される。
【0045】
図2においては、トレースバックマネージャ装置Mが、パケットハッシュ記録装置L5に通過確認要求メッセージM2を供給する。これに応じ、パケットハッシュ記録装置L5は、攻撃パケットのコピーのP1c’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM3を返信する。次にトレースバックマネージャ装置Mが、パケットハッシュ記録装置L5に隣接したパケットハッシュ記録装置L3、L4に通過確認要求メッセージM4、M5を供給する。これに応じ、パケットハッシュ記録装置L3は、攻撃パケットのコピーのP1b’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM6を返信する。一方、パケットハッシュ記録装置L4は、攻撃パケットのコピーを受信していないので、攻撃パケットの通過が「無し」の通過確認応答メッセージM7を返信する。次にトレースバックマネージャ装置Mが、パケットハッシュ記録装置L3に隣接したパケットハッシュ記録装置L1に通過確認要求メッセージM8を供給する。これに応じ、パケットハッシュ記録装置L1は、攻撃パケットのコピーのP1a’を受信しているので、攻撃パケットの通過が「有り」の通過確認応答メッセージM9を返信する。
【0046】
このようなトレースバックシステムにおいて、パケットハッシュ記録装置L1〜L5は、通過確認要求メッセージを受信すると、自身が攻撃パケットのパケット特定情報を記録しているかを判定する。このとき、パケットハッシュ記録装置L1〜L5は、通過確認要求メッセージに含まれている攻撃パケットのパケット特定情報と、記録しておいたパケット特定情報とを比較する。これによりパケットハッシュ記録装置L1〜L5は、攻撃パケットの通過の有無を示す通過確認応答メッセージをトレースバックマネージャ装置Mに返信できる。
【0047】
図2においては、パケットハッシュ記録装置L1、L3、L4、L5が通過確認要求メッセージM2、M4、M5、M8を受信している。そして、パケットハッシュ記録装置L1、L3、L5は、それぞれ、攻撃パケットP1a’、P1b’、P1c’のパケット特定情報を記録している。したがって、パケットハッシュ記録装置L1、L3、L5は、攻撃パケットの通過が「有り」の通過確認応答メッセージM9、M6、M3をトレースバックマネージャ装置Mに返信する。一方、パケットハッシュ記録装置L4は、攻撃パケットのパケット特定情報を記録していない。したがって、パケットハッシュ記録装置L4は、攻撃パケットの通過が「無し」の通過確認応答メッセージM7をトレースバックマネージャ装置Mに返信する。
【0048】
これにより、トレースバックマネージャ装置Mは、通過確認応答メッセージを用いて、汎用パケット通信網N2における攻撃パケットが通過した経路を取得でき、当該経路から、通信端末Vから通信端末A2までの経路を特定できる。
【0049】
[パケット特定情報の作成処理]
上述したトレースバックシステムにおいて、パケットハッシュ記録装置Lは、受信したIPパケットのパケット特定情報を作成して記録する。また、トレースバックマネージャ装置Mは、攻撃パケットのパケット特定情報を作成してパケットハッシュ記録装置Lに供給する。以下に、パケットハッシュ記録装置L及びトレースバックマネージャ装置Mによるパケット特定情報の作成処理について説明する。
【0050】
図3に示すように、このパケット特定情報の作成処理は、先ず、IPパケットP1から特定のフィールド値D1,D2を抽出する。フィールド値D1は、IPパケットごとに異なるフィールド値である(以下、パケット個別フィールド値D1と呼ぶ。)。フィールド値D2は、端末間で確立されるセッション内で不変のフィールド値である(セッション内同一フィールド値D2と呼ぶ。)。ここで、パケット個別フィールド値D1は、必ずしもIPパケットごとに異なるフィールド値のみではなく、一部に含まれていればよい。一方、セッション内同一フィールド値D2は、セッション内で不変のフィールド値のみで構成されている必要がある。
【0051】
図4に示すように、パケット個別フィールド値D1は、例えば、“IP identification”フィールドの値と“64 bits of Payload”フィールドの値とからなる。セッション内同一フィールド値D2は、例えば、“Ver”フィールドの値と“IHL”フィールドの値と“Protocol”フィールドの値と“Source Address”フィールドの値と“Destination Address”フィールドの値とからなる。なお、“IP identification”フィールドは、識別子フィールドであり、各々IPパケットを識別するために送信側が割り当てた値が格納される。“64 bits of Payload”フィールドは、IPパケットのデータ本体が格納される。“Ver”フィールドは、バージョン番号が格納される。“IHL”フィールドは、IPパケットにおけるヘッダの長さが格納される。“Protocol”フィールドは、プロトコルを識別する情報が格納される。“Source Address”フィールドは、IPパケットの送信元端末のIPアドレスが格納される。“Destination Address”フィールドは、IPパケットの宛先端末のIPアドレスが格納される。
【0052】
次に、パケット特定情報の作成処理は、パケット個別フィールド値D1とセッション内同一フィールド値D2とを用いて、パケットハッシュ値を算出する。このパケットハッシュ値は、パケット個別フィールド値D1及びセッション内同一フィールド値D2に対して複数のハッシュ関数を用いた処理を行って作成される。
【0053】
図3に示す例は、ハッシュ関数H1を用いてパケット個別フィールド値D1からパケットハッシュ値H1(D1)(第1パケット特定情報)を得ている(第1変換処理)。ハッシュ関数H2を用いてセッション内同一フィールド値D2からパケットハッシュ値H2(D2)(第2パケット特定情報)を得ている(第2変換処理)。ハッシュ関数H3を用いてセッション内同一フィールド値D2からパケットハッシュ値H3(D2)(第2パケット特定情報)を得ている(第2変換処理)。そして、パケットハッシュ値は、ハッシュビットテーブルに記憶される。なお、パケット個別フィールド値D1から生成したパケットハッシュ値は、第1パケット特定情報に相当し、セッション内同一フィールド値D2から生成したパケットハッシュ値は、第2パケット特定情報に相当し、第1パケット特定情報と第2パケット特定情報とを含むパケット特定情報を作成する(作成処理)。
【0054】
ここで、パケットハッシュ記録装置Lは、予め設定された任意の数のパケットハッシュ値を算出する。この任意の数のパケットハッシュ値は、攻撃パケットを誤検知する誤検知率が最低(最良)となる数である。また、攻撃パケットを誤検知する誤検知率が最低となるパケットハッシュ値の数は、所定期間内に取得した複数のIPパケットに基づいて当該所定期間内における通信状況の統計値に基づいて決定しても良い。なお、これら任意の数の決定方法については、後述する。また、トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lが作成するであろう最大数のパケットハッシュ値を算出する。
【0055】
このようなパケット特定情報の作成処理において、パケット特定情報が攻撃パケットとは異なるIPパケットであると認識される誤検知率はFPR、下記の式1のようになる。また、同じセッションのIPパケットが通過している場合において、当該セッション内の攻撃パケットとは異なるIPパケットであると認識される誤検知率FPRsは、下記の式2のようになる。
【数1】
【0056】
この式1において、Mはハッシュビットテーブルのサイズ[bit]である。Pは記録されたIPパケット数である。kは1つのIPパケットから生成するハッシュ値の数である。wは同一のハッシュビットテーブル内に同じセッションのIPパケットが記録されている割合である。cは1つのIPパケットから生成されるk個のハッシュ値のうち同じセッション内(フロー)で同一のフィールド値D2から算出されるハッシュ値の数である。以下の説明において、kをハッシュ算出数kと呼び、cをフローハッシュ算出数c、Pを所定時間におけるパケット数であるパケット数平均Pと呼び、wを同一セッションパケットの通過割合wと呼ぶ。これらパケット数平均P、同一セッションパケットの通過割合wは、当該各パケットハッシュ記録装置Lが接続された汎用パケット通信網N2のトラフィック測定情報に相当する。
【0057】
ハッシュビットテーブルのサイズMはパケットハッシュ記録装置L、トレースバックマネージャ装置Mのメモリサイズによって制限される。また、後述するが、ネットワーク環境(観測箇所、時間帯)によりパケット数平均P及び同一セッションパケットの通過割合wは変化する。このような式1及び式2の誤検知率は、ハッシュビットテーブルのサイズM、パケット数平均P及び同一セッションパケットの通過割合wが与えられ、フローハッシュ算出数c及びハッシュ算出数kを調整することによって変化する。したがって、後述するように、パケットハッシュ記録装置Lは、フローハッシュ算出数c及びハッシュ算出数kを調整することによって最適なを求めることができ、誤検知率FPR、FPRsを算出することができる。
【0058】
このようなパケット特定情報の作成処理の効果を図5に示す。本願のパケット特定情報の作成処理によれば、IPパケットのパケット個別フィールド値D1及びセッション内同一フィールド値D2とを用いて、パケットハッシュ値h1(D1)、h2(D2)、h3(D2)を作成する。比較例(1)はパケット個別フィールド値D1からのみパケットハッシュ値h1(D1)、h2(D1)、h3(D1)を作成する。比較例(3)はセッション内同一フィールド値D2からのみh1(D2)、h2(D2)、h3(D2)を作成する。
【0059】
本願のパケット特定情報の作成処理によれば、フローハッシュ算出数cを、
1≦c≦k−1
で示される範囲に調整する。比較例(1)はフローハッシュ算出数cが0である。比較例(2)はフローハッシュ算出数cがハッシュ算出数kと同数である。
【0060】
これらパケット特定情報の作成処理の誤検知率FPRを比較すると、本願のパケット特定情報の作成処理の誤検知率FPRは、比較例(1)の誤検知率FPRよりも低くなる。しかし、本願のパケット特定情報の作成処理の誤検知率FPRsは、比較例(2)の誤検知率FPRsよりも高くなる。本願のパケット特定情報の作成処理の誤検知率FPRsは、比較例(2)の誤検知率FPRs=1よりも低くなる。しかし、本願のパケット特定情報の作成処理の誤検知率FPRsは比較例(1)の誤検知率FPRsよりも高くなる。
【0061】
以上のように、本願のパケット特定情報の作成処理によれば、パケット個別フィールド値D1を用いたパケットハッシュ値とセッション内同一フィールド値D2を用いたパケットハッシュ値とを用いる。これによって、本願のパケット特定情報の作成処理によれば、比較例(1)と比較例(2)と比べて、誤検知率FPR、誤検知率FPRsを共にある程度低くすることができる。
【0062】
また、本願のパケット特定情報の作成処理によれば、誤検知率FPRsが任意の基準値以上にならない範囲でという条件でフローハッシュ算出数cがハッシュ算出数kの値を調整することによって、誤検知率FPR、FPRsを最適化できる。このフローハッシュ算出数c、ハッシュ算出数kの値の調整は、パケット数平均P、同一セッションパケットの通過割合wに基づいて、パケットハッシュ記録装置Lごとに行なわれる。
【0063】
[パケット特定情報の作成処理を行うトレースバックシステムの動作]
上述したトレースバックシステムにおいては、図6に示すように、追跡対象パケットが攻撃パケット特定装置Dからトレースバックマネージャ装置Mに供給される。トレースバックマネージャ装置Mは、当該追跡対象パケットの発信源を追跡する追跡要求メッセージに、図7(a)に示す追跡対象パケットのIPヘッダ、追跡対象パケットのIPペイロードを含める。
【0064】
トレースバックマネージャ装置Mは、図8に示すように、先ず、追跡対象パケットのIPヘッダ及びIPペイロードから、パケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。次にトレースバックマネージャ装置Mは、抽出したパケット個別フィールド値D1及びセッション内同一フィールド値D2から、所定の上限値のパケットハッシュ値h1(D1)・・・hx(D1)及びパケットハッシュ値h1(D2)・・・hx(D2)を算出する。この所定の上限値は、パケットハッシュ記録装置Lが作成しうる最大数のハッシュ算出数kである。トレースバックマネージャ装置Mは、作成したパケット特定情報であるパケットハッシュ値を含む追跡要求メッセージを作成する。この追跡要求メッセージは、図7(b)に示すように、メッセージIDと複数のパケットハッシュH1(D1)〜H4(D1)、パケットハッシュH1(D2)〜H4(D2)が含まれている。なお、この通過確認要求メッセージは、ハッシュ算出数上限値Kが10であり、ハッシュビット幅上限値Bが32ビットであるときの一例を示している。トレースバックマネージャ装置Mは、図6に示すように、通過確認要求メッセージを、パケットハッシュ記録装置La、Lbに送信する。
【0065】
パケットハッシュ記録装置La、Lbは、トレースバックマネージャ装置Mから通過確認要求メッセージを受信する。パケットハッシュ記録装置Laは、当該パケットハッシュ記録装置Laが接続された汎用パケット通信網N2の通信状況であるパケット数平均P及び同一セッションパケットの通過割合wに基づいて、ハッシュ算出数kが5、フローハッシュ算出数cが3に設定されている。パケットハッシュ記録装置Lbは、当該パケットハッシュ記録装置Lbが接続された汎用パケット通信網N2の通信状況であるパケット数平均P及び同一セッションパケットの通過割合wに基づいて、ハッシュ算出数kが7、フローハッシュ算出数cが5に設定されている。
【0066】
パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを取得した時に、設定されたハッシュ算出数k及びフローハッシュ算出数cのパケット特定情報を作成して、記録する。上記の例においては、パケットハッシュ記録装置Laは、パケット個別フィールド値D1から生成した2個のパケットハッシュH1(D1)〜H2(D1)と、セッション内同一フィールド値D2から生成した3個のパケットハッシュH1(D2)〜H3(D2)とを作成して、記録する。パケットハッシュ記録装置Lbは、パケット個別フィールド値D1から生成した2個のパケットハッシュH1(D1)〜H2(D1)と、セッション内同一フィールド値D2から生成した5個のパケットハッシュH1(D2)〜H5(D2)とを作成して、記録する。
【0067】
パケットハッシュ記録装置Laは、図7(b)に示した通過確認要求メッセージが供給されると、当該通過確認要求メッセージのうちハッシュ算出数k、フローハッシュ算出数cで示されたパケットハッシュHと、自己が記録しているパケットハッシュHとを比較する。そして、同一のパケットハッシュHを記録している場合には、その旨の通過確認応答メッセージを作成して、トレースバックマネージャ装置Mに送信する。この通過確認応答メッセージは、図7(c)に示すように、メッセージIDと、追跡対象パケットの通過有り(1)又は通過無し(0)とを含む。
【0068】
トレースバックマネージャ装置Mは、通過確認応答メッセージから、追跡対象パケットがどのパケット中継装置R1〜R4によって中継されたかを判定して、追跡対象パケットの発信源を求めることができる。
【0069】
また、このパケットハッシュ記録装置Lは、図9に示すように、フローハッシュ算出数c、ハッシュ算出数kを設定しておく。このために、パケットハッシュ記録装置Lは、フローハッシュ算出数c、ハッシュ算出数kを更新する所定時間となると(ステップS1)、ステップS2以降の処理を行う。
【0070】
パケットハッシュ記録装置Lは、ステップS2にて、汎用パケット通信網N2から傍受したIPパケットを用いてパケット数平均P、同一セッションパケットの通過割合wを測定する。このとき、パケットハッシュ記録装置Lは、例えば曜日と時間帯毎に過去のパケット数平均P、同一セッションパケットの通過割合wを記録しておく。また、パケット数平均P、同一セッションパケットの通過割合wが、過去の値と比較して異常がある場合には、過去のパケット数平均Pと同一セッションパケットの通過割合wを使用することとなる。
【0071】
次にパケットハッシュ記録装置Lは、ステップS3にて、測定したパケット数平均P、同一セッションパケットの通過割合wを用いて、フローハッシュ算出数c、ハッシュ算出数kの最適値を算出する。ここで、パケットハッシュ記録装置Lは、予めハッシュ算出数kの上限を設定しておく。
【0072】
次にパケットハッシュ記録装置Lは、ステップS4にて、最適化されたフローハッシュ算出数c、ハッシュ算出数kを設定に反映させる。このとき、パケットハッシュ記録装置Lhは、ハッシュ算出数kの上限値が決まっているのでハッシュ算出数kを総当りして、最適値を求める。例えば、山登り法を行って高速化しても良い。
【0073】
[パケットハッシュ記録装置Lの構成]
つぎに、上述したトレースバックシステムにおけるパケットハッシュ記録装置Lについて説明する。
【0074】
パケットハッシュ記録装置Lは、図10に示すような機能的な構成を備えている。なお、図10では、機能的な構成を示しているが、通信装置に、図10に示す各部を実現するためのプログラムを格納して、当該通信装置のコンピュータが当該プログラムを実行することで実現されたものであっても良い。
【0075】
パケットハッシュ記録装置Lは、監視用通信インターフェース部(パケット取得手段)1、管理用通信インターフェース部2、パケットハッシュ算出部(第2パケット特定情報作成手段)3、パケットハッシュ算出パラメータ記憶部4、パケットハッシュテーブル記憶部(記録手段)5、トラフィック測定部(設定手段)6、統計用一次データ記憶部7、トラフィック統計データ記憶部8、パラメータ最適化部(設定手段)9、タイマー部10、タイマーパラメータ記憶部11、テーブル切り替え部12及び問合せ処理部(返信手段)13を備える。
【0076】
監視用通信インターフェース部1は、汎用パケット通信網N2と接続されている。監視用通信インターフェース部1は、汎用パケット通信網N2を介して、通信端末A1,A2,Vとパケット中継装置R1〜R4又はパケット中継装置R1〜R4間で送信されたIPパケットを傍受する。
【0077】
管理用通信インターフェース部2は、トレースバックシステム専用網N1を介してトレースバックマネージャ装置Mと接続されている。管理用通信インターフェース部2は、トレースバックマネージャ装置Mから通過確認要求メッセージが供給される。また、管理用通信インターフェース部2は、トレースバックマネージャ装置Mに対して通過確認応答メッセージを送信する。
【0078】
問合せ処理部13は、管理用通信インターフェース部2によりトレースバックマネージャ装置Mから通過確認応答メッセージを受信したことに応じて、通過確認応答メッセージを作成する。そして、問合せ処理部13は、通過確認応答メッセージを管理用通信インターフェース部2からトレースバックマネージャ装置Mに送信させる。この通過確認応答メッセージは、メッセージIDと、追跡対象パケットの通過有り(1)又は通過無し(0)とを含む。
【0079】
パケットハッシュ算出部3は、監視用通信インターフェース部1により傍受されたIPパケットを用いて、パケットハッシュHを算出する。このとき、パケットハッシュ算出部3は、パケットハッシュ算出パラメータ記憶部4に記憶されたパラメータに従ってパケットハッシュHを算出する。パケットハッシュ算出部3は、算出されたパケットハッシュHを、パケットハッシュテーブル記憶部5に記憶させる。
【0080】
パケットハッシュテーブル記憶部5には、例えば図11(b)に示すようなパケットハッシュテーブルが記憶される。このハッシュビットテーブルは、パケットハッシュHの記録開始時刻ごとに、ハッシュ算出数k、フローハッシュ算出数cと対応付けられて記憶されている。
【0081】
このハッシュビットテーブルは、パケットハッシュ算出部3によって、図12に示すように作成される。すなわち、先ず、パケットハッシュ算出部3は、IPパケット(P1)からパケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。次に、パケットハッシュ算出部3は、パケット個別フィールド値D1及びセッション内同一フィールド値D2からハッシュ関数を用いてパケットハッシュ値h1(D1)、h2(D2)、h3(D2)を生成する。次に、パケットハッシュ算出部3は、所定の規則に従ってパケットハッシュ値を並べることによってハッシュビットテーブルを作成する。なお、パケットハッシュ値を並べる所定の規則は、全てのパケットハッシュ記録装置Lとトレースバックマネージャ装置Mとで同一である。
【0082】
パケットハッシュ算出パラメータ記憶部4には、図11(a)に示すパケットハッシュ算出パラメータが記憶されている。このパケットハッシュ算出パラメータとしては、ハッシュビット幅b、ハッシュ算出数上限値K、誤検知率FPRsの上限値S、ハッシュ算出数k、フローハッシュ算出数cが含まれる。ハッシュビット幅bは、図7(b)に示したようにハッシュ関数により生成される1個のパケットハッシュHの長さである。誤検知率FPRsの上限値Sは、式2で示したセッション内同一フィールド値D2から生成したパケットハッシュHの誤検知率FPRsの上限値である。なお、パケットハッシュ算出パラメータの値は、一例である。このパケットハッシュ算出パラメータを用いたパケットハッシュ算出部3によるパケットハッシュHの生成処理については、後述する。
【0083】
トラフィック測定部6は、統計用一次データ及びトラフィック統計データを作成する。統計用一次データには、図13(b)に示すように、パケットカウントP’、最適化用統計開始フラグF、統計開始時刻T4、統計用ハッシュビットテーブルHT、記録パケット数カウントC1及び重複パケット数カウントC2が含まれる。これらの統計用一次データは、統計用一次データ記憶部7に記憶される。トラフィック統計データは、図11(c)に示すように、IPパケットを受信した曜日、時間帯、パケット数平均Pの値、同一セッションパケットの通過割合wの値が対応付けられている。このトラフィック統計データは、トラフィック統計データ記憶部8に記憶される。
【0084】
パラメータ最適化部9は、予め設定されたハッシュビットテーブルのサイズM、トラフィック統計データ記憶部8に記憶されたパケット数平均P及び同一セッションパケットの通過割合wに基づいて、フローハッシュ算出数c、ハッシュ算出数kを算出する。このとき、パラメータ最適化部9は、式2から誤検知率FPRsの上限値Sを超えないようにフローハッシュ算出数c、ハッシュ算出数kを調整する。パラメータ最適化部9は、算出したフローハッシュ算出数c及びハッシュ算出数kを、パケットハッシュ算出パラメータ記憶部4に更新して記憶させる。
【0085】
タイマー部10は、トラフィック測定部6及びパラメータ最適化部9を制御して、フローハッシュ算出数c、ハッシュ算出数kを所定時間毎に更新させる。また、タイマー部10は、テーブル切り替え部12を制御して、パケットハッシュテーブル記憶部5のパケットハッシュテーブルを更新させる。
【0086】
このタイマー部10は、タイマーパラメータ記憶部11に記憶されたタイマーパラメータに従って動作する。このタイマーパラメータは、図13(a)に示すように、テーブル切り替え時間T1、最適化用統計値取得間隔T2、最適化間隔T3を含む。テーブル切り替え時間T1は、図11(b)に示したパケットハッシュテーブルの切り替え間隔であり、例えば5秒である。最適化用統計値取得間隔T2は、フローハッシュ算出数c、ハッシュ算出数kを最適化するためにIPパケットを傍受してパケット特定情報を蓄積する間隔である。最適化間隔T3は、フローハッシュ算出数c、ハッシュ算出数kを最適化する間隔である。
【0087】
テーブル切り替え部12は、タイマー部10の制御に従って、パケットハッシュテーブルを更新させる。このとき、テーブル切り替え部12は、図11(b)に示すパケットハッシュテーブルを作成するために、タイマー部10によって制御されたパケットハッシュテーブルの記録開始時刻、パケットハッシュ算出パラメータ記憶部4に記憶されたフローハッシュ算出数c、ハッシュ算出数kを取得する。これにより、パケットハッシュテーブル記憶部5は、テーブル切り替え部12により取得された記録開始時刻、フローハッシュ算出数c、ハッシュ算出数k、パケットハッシュ算出部3により算出されたパケット特定情報を含む、図11(b)に示すパケットハッシュテーブルを作成できる。
【0088】
このハッシュビットテーブルを作成するためのハッシュ算出数k、フローハッシュ算出数cは、タイマー部10の制御によって、図14に示すシーケンスによって設定される。
【0089】
タイマー部10は、テーブル切り替え時間T1とごとに、テーブル切り替え部12を起動させて、ハッシュビットテーブルを切り替えさせる。これにより、例えば5秒ごとに図11(b)におけるハッシュビットテーブルが追加される。
【0090】
その後、時刻08:55:00に最適化用統計値取得間隔T2となると、タイマー部10は、トラフィック測定部6に対して統計処理を開始させる。この統計処理は、図13(b)に示す各パラメータを取得する。また、この統計処理は、最適化用統計値取得間隔T2が満了する毎に、トラフィック測定部6によって、パケット数平均P及び同一セッションパケットの通過割合wを算出して、図11(c)に示すトラフィック統計データを作成する。この統計処理は、最適化用統計値取得間隔T2ごとに繰り返される。
【0091】
時刻09:00:00に最適化間隔T3となると、タイマー部10は、パラメータ最適化部9に対して、フローハッシュ算出数c、ハッシュ算出数kを最適化するよう制御する。これにより、パラメータ最適化部9は、統計処理によって作成されたトラフィック統計データのうち最新のパケット数平均P、同一セッションパケットの通過割合w及び所定のハッシュビットテーブルのサイズMを用いて、フローハッシュ算出数c及びハッシュ算出数kを算出する。
【0092】
[パケットハッシュ記録装置Lの動作]
つぎに、上述したように構成されたパケットハッシュ記録装置Lの動作について、図15乃至図19を参照して説明する。
【0093】
「パケット受信時の動作」
パケットハッシュ記録装置Lは、監視用通信インターフェース部1によって、汎用パケット通信網N2からIPパケットを受信したときに(パケット取得手段)、図15に示す処理を開始する。
【0094】
パケットハッシュ記録装置Lは、先ず、ステップS11において、パケットハッシュ算出部3が、受信したIPパケットからパケット個別フィールド値D1とセッション内同一フィールド値D2とを抽出する。
【0095】
次のステップS12において、パケットハッシュ算出部3は、パケット個別フィールド値D1からハッシュ算出数kからフローハッシュ算出数cだけ減算した数(k−c)のパケットハッシュ値h(D1)を算出する。ハッシュ算出数k、フローハッシュ算出数cは、パケットハッシュ算出パラメータ記憶部4に格納されている最新の値を使用する。
【0096】
次のステップS13において、パケットハッシュ算出部3は、セッション内同一フィールド値D2からフローハッシュ算出数cのパケットハッシュ値h(D2)を算出する(第2パケット特定情報作成手段)。フローハッシュ算出数cは、パケットハッシュ算出パラメータ記憶部4に格納されている最新の値を使用する。
【0097】
次のステップS14において、パケットハッシュ算出部3は、ステップS12及びステップS13にて算出したハッシュ算出数kのパケットハッシュ値h(D1)、h(d2)を、最新のパケットハッシュテーブルとしてパケットハッシュテーブル記憶部5に記録する(記録手段)。このとき、パケットハッシュ算出部3は、パケットハッシュテーブルに、記録開始時刻、ハッシュ算出数k、フローハッシュ算出数cを対応付けて、パケットハッシュテーブル記憶部5に記憶する。
【0098】
次のステップS15において、トラフィック測定部6は、最適化用統計開始フラグFの値をチェックする。トラフィック測定部6は、監視用通信インターフェース部1からIPパケットが供給されたことに応じて、ステップS15の処理を行う。
【0099】
次のステップS16において、トラフィック測定部6は、ステップS15にてチェックした最適化用統計開始フラグFが「1」であるか否かを判定する。最適化用統計開始フラグFが「1」である場合にはステップS17に処理を進め、そうでない場合には処理を終了する。
【0100】
ステップS17において、トラフィック測定部6は、統計用一次データのうちのパケットカウントP’に1を加算する。
【0101】
次のステップS18において、タイマー部10は、統計用一次データの統計開始時刻T4と現在時刻とを比較する。
【0102】
次のステップS19において、タイマー部10は、ステップS18にて比較された統計開始時刻T4と現在時刻とから、統計開始時刻T4から現在時刻までの経過時間がテーブル切り替え時間T1以内か否かを判定する。統計開始時刻T4から現在時刻までの経過時間がテーブル切り替え時間T1以内である場合にはステップS20に処理を進め、そうでない場合には処理を終了する。
【0103】
ステップS20において、トラフィック測定部6は、統計用一次データにおける記録パケット数カウントC1を1だけ加算する。
【0104】
次のステップS21において、トラフィック測定部6は、セッション内同一フィールド値D2から算出したフローハッシュ算出数cのハッシュ値が統計用一次データの統計用ハッシュビットテーブルHTに全て記録されているかチェックする。このとき、トラフィック測定部6は、ステップS20にて更新した記録パケット数カウントC1と、統計用ハッシュビットテーブルHTに含まれるパケットハッシュ値hとの数とを比較する。
【0105】
次のステップS22において、トラフィック測定部6は、ステップS21にてチェックしたように全ての統計用ハッシュビットテーブルHTが記録されていると判定した場合にはステップS24に処理を進め、そうでない場合にはステップS23に処理を進める。
【0106】
ステップS24において、トラフィック測定部6は、統計用一次データにおける重複パケット数カウントC2を1だけ加算して、処理を終了する。
【0107】
ステップS23において、トラフィック測定部6は、セッション内同一フィールド値D2から算出したフローハッシュ算出数cのパケットハッシュ値hを統計用一次データにおける統計用ハッシュビットテーブルHTに記録して、処理を終了する。
【0108】
このように、パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを受信すると、パケット個別フィールド値D1及びセッション内同一フィールド値D2から、フローハッシュ算出数c及びハッシュ算出数kのパケットハッシュ値hを生成する。また、パケットハッシュ記録装置Lは、最適化用統計開始フラグFが「1」となっている最適化用統計値取得間隔T2の期間であってテーブル切り替え時間T1以内では、IPパケットを受信するたびにパケットカウントP’、記録パケット数カウントC1、重複パケット数カウントC2を加算する。これにより、パケットハッシュ記録装置Lは、後述するように、統計値としてパケットカウントP’、記録パケット数カウントC1及び重複パケット数カウントC2を利用することができる。
【0109】
「通過確認要求メッセージの受信時の動作」
つぎに、パケットハッシュ記録装置Lが、トレースバックマネージャ装置Mから通過確認要求メッセージを受信したときの動作について、図16を参照して説明する。
【0110】
パケットハッシュ記録装置Lは、トレースバックマネージャ装置Mから通過確認要求メッセージが送信されると、トレースバックシステム専用網N1を介して管理用通信インターフェース部2が通過確認要求メッセージを受信する。管理用通信インターフェース部2は、通過確認要求メッセージを問合せ処理部13に供給する。これにより、パケットハッシュ記録装置Lは、ステップS31以降の処理を開始する。
【0111】
ステップS31において、問合せ処理部13は、受信した通過確認要求メッセージのうちパケット個別フィールド値D1から算出されたハッシュ算出数kからフローハッシュ算出数cを減算した数(k−c)のパケットハッシュ値h(D1)を抽出する。
【0112】
次のステップS32において、問合せ処理部13は、受信した通過確認要求メッセージのうちセッション内同一フィールド値D2から算出されたフローハッシュ算出数cのパケットハッシュ値h(D2)を抽出する。
【0113】
次のステップS33において、問合せ処理部13は、ステップS31及びステップS32にて抽出された合計でハッシュ算出数kのパケットハッシュ値h(D1)、h(D2)が全て記録されているハッシュビットテーブルが存在するか否かをチェックする。このとき、問合せ処理部13は、パケットハッシュ算出部3がIPパケットの受信時にパケットハッシュテーブル記憶部5に記録しておいたパケットハッシュテーブルと、ステップS31及びステップS32にて抽出したパケットハッシュ値hとを比較する。このパケットハッシュテーブル記憶部5に記録されたパケットハッシュテーブルは、図15におけるステップS14にて記録したものである。
【0114】
次のステップS34において、問合せ処理部13は、ステップS33にてチェックした結果、ステップS31及びステップS32にて抽出したパケットハッシュ値hが、パケットハッシュテーブル記憶部5のパケットハッシュテーブルに存在する場合には、ステップS35に処理を進める。一方、存在しない場合には、ステップS36に処理を進める。
【0115】
ステップS35において、問合せ処理部13は、追跡対象パケットの通過が「有り=1」の通過確認応答メッセージを作成して、管理用通信インターフェース部2からトレースバックマネージャ装置Mに対して送信させる。すなわち、パケットハッシュ記録装置Lが接続されている汎用パケット通信網N2に追跡対象パケットが通過したことをトレースバックマネージャ装置Mに対して返送する。
【0116】
一方、ステップS36において、問合せ処理部13は、追跡対象パケットの通過が「無し=0」の通過確認応答メッセージを作成して、管理用通信インターフェース部2からトレースバックマネージャ装置Mに対して送信させる。
【0117】
このように、パケットハッシュ記録装置Lは、トレースバックマネージャ装置Mから通過確認要求メッセージを受信した場合には、通過確認要求メッセージから、自身に設定されているハッシュ算出数kのパケットハッシュ値を抽出する(返信手段)。そして、パケットハッシュ記録装置Lは、抽出したパケットハッシュ値hとパケットハッシュテーブル記憶部5に記録されているパケットハッシュ値hとが一致した場合には、追跡対象パケットが通過したことの通過確認応答メッセージを返信できる(返信手段)。
【0118】
「ハッシュビットテーブルの切り替え処理」
つぎに、パケットハッシュ記録装置Lが、定期的に、パケットハッシュテーブル記憶部5のパケットハッシュテーブルにおけるハッシュ算出数k及びフローハッシュ算出数cを切り替えるときの処理について、図17を参照して説明する。この処理は、パケットハッシュ記録装置Lにおけるテーブル切り替え部12によって行われる。
【0119】
テーブル切り替え部12は、図14に示したように、タイマー部10によってハッシュビットテーブルを切り替えるテーブル切り替え時間T1となることが通知される。すると、テーブル切り替え部12は、図17のステップS41において、パケットハッシュテーブル記憶部5のハッシュビットテーブルから記録開始時刻が最も古いレコードR1を検索する。例えば図11(b)に示すハッシュビットテーブルがパケットハッシュテーブル記憶部5に記録されている場合、記録開始時刻が“10:00:10”のレコードR1を見つける。
【0120】
次のステップS42において、テーブル切り替え部12は、ステップS41にて見つけたレコードR1の記録開始時刻を現在の時刻にセットする。
【0121】
次のステップS43において、テーブル切り替え部12は、ステップS41にて見つけられたレコードR1のハッシュ算出数k及びフローハッシュ算出数cを、パケットハッシュ算出パラメータにおけるハッシュ算出数k及びフローハッシュ算出数cにセットする。このとき、テーブル切り替え部12は、図11(b)に示すパケットハッシュ算出パラメータ記憶部4におけるパケットハッシュ算出パラメータのハッシュ算出数k及びフローハッシュ算出数cを読み出す。そして、テーブル切り替え部12は、パケットハッシュテーブル記憶部5のパケットハッシュテーブルにおけるハッシュ算出数k及びフローハッシュ算出数cを書き換える。
【0122】
次のステップS44において、テーブル切り替え部12は、パケットハッシュテーブル記憶部5におけるレコードR1のハッシュビットテーブルをゼロクリアする。
【0123】
このように、テーブル切り替え部12は、最も古いハッシュビットテーブルを消去して、パラメータ最適化部9により最適化された現在において最新のハッシュ算出数k及びフローハッシュ算出数cを、ハッシュビットテーブルに書き換えることができる。これにより、パケットハッシュ記録装置Lは、パケットハッシュ算出部3が算出したパケットハッシュ値hと、当該パケットハッシュ値hを算出したときのハッシュ算出数k及びフローハッシュ算出数cとを含むハッシュビットテーブルを最新に維持できる。
【0124】
「汎用パケット通信網N2の統計処理」
つぎに、パケットハッシュ記録装置Lが接続された汎用パケット通信網N2の通信状況に応じて、図11(c)に示すパケット数平均P及び同一セッションパケットの通過割合wを更新する統計処理について、図18を参照して説明する。
【0125】
トラフィック測定部6は、図14に示したように、タイマー部10によって最適化用統計値取得間隔T2が開始されることが通知される。すると、トラフィック測定部6は、図18のステップS51において、統計用一次データ記憶部7における統計用一次データの最適化用統計開始フラグFの値を「1」に更新し、統計開始時刻T4に現在時刻をセットする。
【0126】
次のステップS52において、トラフィック測定部6は、タイマー部10の制御に従って、最適化用統計値取得間隔T2の時間分だけウェイト状態(待機状態)となる。この最適化用統計値取得間隔T2において、パケットハッシュ記録装置Lは、汎用パケット通信網N2からIPパケットを傍受する。そして、パケットハッシュ記録装置Lは、図15における処理を行うことにより、IPパケットからハッシュビットテーブルを生成して記録する処理と、パケットカウントP’を加算する処理と、テーブル切り替え時間T1ごとに記録パケット数カウントC1及び重複パケット数カウントC2を加算する処理を行うこととなる。
【0127】
次のステップS53において、トラフィック測定部6は、統計用一次データ記憶部7における統計用一次データの最適化用統計開始フラグFの値を「0」にセットする。
【0128】
次のステップS54において、トラフィック測定部6は、パケット数平均Pを求める。このとき、トラフィック測定部6は、統計用一次データ記憶部7におけるパケットカウントP’と、タイマーパラメータ記憶部11に記憶されたテーブル切り替え時間T1及び最適化用統計値取得間隔T2とを用いて、
P=P’×T1/T2
なる演算を行う。トラフィック測定部6は、求めたパケット数平均Pを、トラフィック統計データ記憶部8におけるパケット数平均Pの最新統計値としてセットする。
【0129】
次のステップS55において、トラフィック測定部6は、同一セッションパケットの通過割合wを求める。このとき、トラフィック測定部6は、図15の処理により統計用一次データ記憶部7に記録された記録パケット数カウントC1と重複パケット数カウントC2とを用いて、
w=C2/C1
なる演算を行う。トラフィック測定部6は、求めた同一セッションパケットの通過割合wを、トラフィック統計データ記憶部8における同一セッションパケットの通過割合wの最新統計値としてセットする。
【0130】
次のステップS56において、トラフィック測定部6は、ステップS54及びステップS55にてセットした最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが異常であるかの判定を行う。このとき、トラフィック測定部6は、既に統計用一次データ記憶部7に記録されている同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと、ステップS54及びステップS55にてセットした最新統計値のパケット数平均P及び同一セッションパケットの通過割合wとを比較する。
【0131】
次のステップS57において、トラフィック測定部6は、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wと、過去の値のパケット数平均P及び同一セッションパケットの通過割合wとが大きく異なる場合には、異常であると判定する。例えば、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが、同曜日の、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと比べて、5倍以上である場合には、異常であると判定する。又は、過去の同一セッションパケットの通過割合wに対して、最新統計値の同一セッションパケットの通過割合wが±0.2%の開きがある場合には、異常であると判定する。最新のパケット数平均P及び同一セッションパケットの通過割合wが異常である場合にはステップS59に処理を進め、正常である場合にはステップS58に処理を進める。
【0132】
ステップS58において、トラフィック測定部6は、過去の同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wと、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wとをそれぞれ足して2で割る。そして、トラフィック測定部6は、当該演算して得た当該パケット数平均P及び同一セッションパケットの通過割合wを、トラフィック統計データにおける同曜日、同時刻のパケット数平均P及び同一セッションパケットの通過割合wにセットする。これにより、トラフィック測定部6は、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wを用いて、同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wを更新する。これにより、次回に最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが正常である場合に、今回にセットした同曜日、同時刻帯のパケット数平均P及び同一セッションパケットの通過割合wを用いることができる。
【0133】
ステップS59において、トラフィック測定部6は、トラフィック統計データにおける過去の同曜日、同時刻帯を、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wにセットする。これにより、最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが異常である場合には、過去のパケット数平均P及び同一セッションパケットの通過割合wを最新統計値にセットする。これにより、異常である場合のパケット数平均P及び同一セッションパケットの通過割合wを使用しないようにする。
【0134】
次のステップS60において、トラフィック測定部6は、統計用一次データ記憶部7における統計用一次データの統計用ハッシュビットテーブルHTをゼロクリアする。
【0135】
このように、パケットハッシュ記録装置Lは、接続された汎用パケット通信網N2における通信状況として最新統計値のパケット数平均P及び同一セッションパケットの通過割合wを取得する。最新統計値のパケット数平均P及び同一セッションパケットの通過割合wが正常である場合には、パケット数平均P及び同一セッションパケットの通過割合wを後述するようにハッシュ算出数k、フローハッシュ算出数cを設定するために設定することができる(設定手段)。これにより、パケットハッシュ記録装置Lは、正常に取得された汎用パケット通信網N2の通信状況のみを用いて、ハッシュ算出数k、フローハッシュ算出数cを最適化することができる。
【0136】
「ハッシュ算出数k、フローハッシュ算出数cの最適化処理」
つぎに、パケットハッシュ記録装置Lによってハッシュ算出数k、フローハッシュ算出数cを最適化する処理について、図19を参照して説明する。
【0137】
パラメータ最適化部9は、図14に示したように、タイマー部10によって最適化間隔T3が開始されることが通知される。すると、パラメータ最適化部9は、図19のステップS61において、トラフィック統計データ記憶部8からパケット数平均P及び同一セッションパケットの通過割合wを取得する。このパケット数平均P及び同一セッションパケットの通過割合wは、上述の図18の処理によってトラフィック測定部6がセットしたものである。
【0138】
次のステップS62において、パラメータ最適化部9は、パケットハッシュ算出パラメータ記憶部4に記憶されたハッシュビット幅b、ハッシュ算出数上限値K、誤検知率FPRsの上限値S、ハッシュ算出数k及びフローハッシュ算出数cを取得する。これらのパケットハッシュ算出パラメータのうち、ハッシュビット幅b、ハッシュ算出数上限値K及び誤検知率FPRsの上限値Sは、例えばユーザの操作に応じて、任意の値に設定される。
【0139】
次のステップS63において、パラメータ最適化部9は、ハッシュ算出数k、フローハッシュ算出数cを変化させたときの誤検知率FPR及びFPRsを算出する。このとき、パラメータ最適化部9は、現状のハッシュ算出数k、フローハッシュ算出数cを用いて、
FPR(k,c)、FPRs(k,c)
FPR(k+1,c)、FPRs(k+1,c)
FPR(k−1,c)、FPRs(k−1,c)
FPR(k,c+1)、FPRs(k,c+1)
FPR(k,c−1)、FPRs(k,c−1)
の何れかを算出する。このとき、パラメータ最適化部9は、上記の式1の演算をして誤検知率FPRを求め、上記の式2の演算をして誤検知率FPRsを求める。また、式1,2におけるハッシュビットテーブルのサイズMは、2のハッシュビット幅b乗で求められる。なお、これらの誤検知率FPR、FPRsを算出する処理は、一例であり、更にハッシュ算出数k、フローハッシュ算出数cを変化させて誤検知率FPR、FPRsを算出しても良い。
【0140】
次のステップS64において、パラメータ最適化部9は、ステップS63にて算出した誤検知率FPR、FPRsのうちの最適値を求める。このとき、パラメータ最適化部9は、
(1)0<ハッシュ算出数k≦ハッシュ算出数上限値K
(2)0≦フローハッシュ算出数c≦ハッシュ算出数k
(3)誤検知率FPRs≦誤検知率FPRsの上限値S
という3つの条件を満たす誤検知率FPR、FPRsの組み合わせのうち、誤検知率FPRが最小のものを最適値として求める。
【0141】
次のステップS65において、パラメータ最適化部9は、ステップS63にて算出された誤検知率FPR(k,c)が、ステップS64にて求められた最適値であるか否かを判定する。誤検知率FPR(k,c)が最適値である場合には処理を終了し、最適値ではない場合には処理をステップS66に進める。
【0142】
ステップS66において、パラメータ最適化部9は、誤検知率FPRの最適値となったパラメータにハッシュ算出数k及びフローハッシュ算出数cを更新して、ステップS63に処理を戻す。
【0143】
このように、パケットハッシュ記録装置Lは、汎用パケット通信網N2における通信状況の統計値であるパケット数平均P、同一セッションパケットの通過割合wを用いてハッシュ算出数k、フローハッシュ算出数cを最適化することができる(設定手段)。
【0144】
[トレースバックマネージャ装置Mの構成]
つぎに、上述したトレースバックシステムにおけるトレースバックマネージャ装置Mについて説明する。
【0145】
トレースバックマネージャ装置Mは、図20に示すような機能的な構成を備えている。なお、図20では、機能的な構成を示しているが、通信装置(追跡管理装置)に、図20に示す各部を実現するためのプログラムを格納して、当該追跡管理装置のコンピュータが当該プログラムを実行することで実現されたものであっても良い。
【0146】
トレースバックマネージャ装置Mは、通信インターフェース部21(攻撃パケット取得手段)、パケットハッシュ算出部(第1パケット特定情報作成手段)22、パケットハッシュ上限パラメータ記憶部23、通過確認問合せ処理部(問い合わせ手段)24、問合せメッセージ管理情報記憶部25及び装置隣接関係情報記憶部26を備える。
【0147】
通信インターフェース部21は、トレースバックシステム専用網N1と接続されている。通信インターフェース部21は、トレースバックシステム専用網N1を介して攻撃パケット特定装置Dから追跡対象パケット(攻撃パケット)が供給される。通信インターフェース部21は、追跡対象パケットの通過の有無を問い合わせる通過確認要求メッセージを各パケットハッシュ記録装置Lに送信する。その後、通信インターフェース部21は、各パケットハッシュ記録装置Lから追跡対象パケットの通過の有無を含む通過確認応答メッセージを受信する。通信インターフェース部21は、通過確認応答メッセージに基づいて追跡対象パケットを中継したパケット中継装置Rを特定する情報を攻撃パケット特定装置Dに送信する。
【0148】
パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡対象パケットを用いて、パケットハッシュ値を算出する。このとき、パケットハッシュ算出部22は、パケットハッシュ上限パラメータ記憶部23に記憶されたパケットハッシュ上限パラメータに従ってパケットハッシュを算出する。パケットハッシュ算出部22は、算出されたパケットハッシュ値を、パケットハッシュテーブル記憶部5に記憶させる。
【0149】
パケットハッシュ上限パラメータ記憶部23には、図21(a)に示すように、ハッシュビット幅上限値B及びハッシュ算出数上限値Kが記憶されている。ハッシュビット幅上限値Bは、パケットハッシュ記録装置Lが設定しうるハッシュビット幅bの上限値である。ハッシュ算出数上限値Kは、パケットハッシュ記録装置Lが設定しうる最大のハッシュ算出数kである。そして、パケットハッシュ上限パラメータ記憶部23は、ハッシュ算出数上限値Kで設定された数のパケットハッシュ値を作成して、追跡対象パケットのパケット特定情報を生成できる。
【0150】
このようなパケットハッシュ算出部22は、追跡対象パケットに含まれる情報のうちパケット個別フィールド値D1に対して所定の変換処理を施して第1パケット特定情報を作成する第1変換処理と、追跡対象パケットに含まれる情報のうちセッション内同一フィールド値D2に対して変換処理を施して第2パケット特定情報を作成する第2変換処理とを行う。そして、パケットハッシュ算出部22は、第1変換処理により作成された第1パケット特定情報と第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する。
【0151】
通過確認問合せ処理部24は、パケットハッシュ算出部22により生成されたパケット特定情報であるパケットハッシュ値をパケットハッシュ記録装置Lに送信させる。これにより、通過確認問合せ処理部24は、追跡対象パケットの通過の有無をパケットハッシュ記録装置Lに問い合わせる。また、通過確認問合せ処理部24は、通過確認要求メッセージに対して返信された通過確認応答メッセージを取得して、パケットハッシュ記録装置Lにおける追跡対象パケットの通過の有無を取得する。
【0152】
このとき、通過確認問合せ処理部24は、問合せメッセージ管理情報記憶部25に記憶された問合せメッセージ管理情報を参照及び更新する。この問い合わせメッセージ管理情報は、図21(b)に示すように、メッセージID、確認済み装置名、通過装置名、処理完了時刻を含む。メッセージIDは、追跡対象パケットごとにパケットハッシュ記録装置Lに送信される通過確認要求メッセージごとに生成される。確認済み装置名は、通過確認要求メッセージに対して通過確認応答メッセージを返信したパケットハッシュ記録装置Lの装置名である。通過装置名は、追跡対象パケットを中継した経路に接続されたパケットハッシュ記録装置Lの装置名である。処理完了時刻は、全てのパケットハッシュ記録装置Lから通過確認応答メッセージを受信した時刻である。
【0153】
通過確認問合せ処理部24は、メッセージIDごとの通過確認要求メッセージに対して通過確認応答メッセージを受信した場合には、確認済み装置名にパケットハッシュ記録装置Lの装置名を追加する。通過確認問合せ処理部24は、追跡対象パケットの通過が「有り」の通過確認応答メッセージを送信したパケットハッシュ記録装置Lの装置名を、通過装置名として追加する。
【0154】
通過確認問合せ処理部24は、装置隣接関係情報記憶部26に記憶された装置隣接関係情報を参照して、追跡対象パケットが通過した装置名を特定する。この装置隣接関係情報は、図21(c)に示すように、トレースバックシステム専用網N1を介してトレースバックマネージャ装置Mに接続された装置名、当該装置名のIPアドレス、当該装置名に隣接する装置の隣接装置名が対応付けられている。通過確認問合せ処理部24は、通過確認応答メッセージに追跡対象パケットの通過が「有り」である場合に、問い合わせメッセージ管理情報における通過装置名を更新し、処理完了時刻となったら装置隣接関係情報を参照して、追跡対象パケットの通過経路を特定する。
【0155】
例えばメッセージIDが「0002」の通過確認要求メッセージに対して、追跡対象パケットの通過が「有り」の通過確認応答メッセージがパケットハッシュ記録装置L5、L4であったとする。このとき、パケットハッシュ記録装置L5に隣接するパケットハッシュ記録装置Lは、L3とL4である。また、パケットハッシュ記録装置L4に隣接するパケットハッシュ記録装置Lは、L2とL3とL5である。したがって、通過確認問合せ処理部24は、追跡対象パケットが、パケット中継装置R3、R1、R2、通信端末A1を経由して通信端末Vに到着したことを認識でき、通信端末A1が追跡対象パケットの発信源であることを認識できる。
【0156】
「追跡要求メッセージ受信時の処理」
つぎに、上述したように構成されたトレースバックマネージャ装置Mにより追跡要求メッセージを受信したときの処理について、図22を参照して説明する。
【0157】
トレースバックマネージャ装置Mは、攻撃パケット特定装置Dからトレースバックシステム専用網N1を介して送信された追跡要求メッセージを、通信インターフェース部21により受信すると(攻撃パケット取得手段)、ステップS71以降の処理を開始する。この追跡要求メッセージには、攻撃パケット特定装置Dが攻撃パケットして特定した追跡対象パケットが含まれている。
【0158】
ステップS71において、パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡要求メッセージの送信元IPアドレスを抽出する。
【0159】
次のステップS72において、パケットハッシュ算出部22は、通信インターフェース部21により受信した追跡要求メッセージに含まれている追跡対象パケットから、パケット個別フィールド値D1及びセッション内同一フィールド値D2を抽出する。これらパケット個別フィールド値D1及びセッション内同一フィールド値D2は、トレースバックマネージャ装置Mとパケットハッシュ記録装置Lとの間で予め設定されたIPヘッダ及びIPパケットである。
【0160】
次のステップS73において、パケットハッシュ算出部22は、パケットハッシュ上限パラメータ記憶部23に記憶されたパケットハッシュ上限パラメータのうちハッシュ算出数上限値K及びハッシュビット幅上限値Bを取得する。
【0161】
次のステップS74において、パケットハッシュ算出部22は、ステップS72にて抽出したパケット個別フィールド値D1及びセッション内同一フィールド値D2からそれぞれハッシュ算出数上限値Kの数のパケットハッシュであって、各パケットハッシュがハッシュビット幅上限値Bのビット幅のパケットハッシュを算出する(第1パケット特定情報作成手段)。ここで、パケット個別フィールド値D1及びセッション内同一フィールド値D2から生成するハッシュ関数についても、トレースバックマネージャ装置Mとパケットハッシュ記録装置Lとで予め設定されたものである。これにより、パケットハッシュ算出部22は、各パケットハッシュ記録装置Lが生成しうる最大数のパケットハッシュ値を生成する。
【0162】
次のステップS75において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報に1つのレコードを追加し、メッセージIDの最大値に1を加えたメッセージIDをセットする。
【0163】
次のステップS76において、通過確認問合せ処理部24は、パケットハッシュ記録装置Lに送信する通過確認要求メッセージを生成する。通過確認問合せ処理部24は、ステップS75にてセットされたメッセージIDと、ステップS74にてパケット個別フィールド値D1、セッション内同一フィールド値D2にてそれぞれ算出した(ハッシュ算出数上限値K×2個)のパケットハッシュとを含める。
【0164】
次のステップS77において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS71にて抽出した送信元IPアドレスに該当する装置の隣接装置名を取得する。例えば図1において、通過確認問合せ処理部24は、攻撃パケット特定装置Dから追跡要求メッセージを受信した場合、攻撃パケット特定装置Dに隣接する隣接装置名を、装置隣接関係情報から取得する。
【0165】
次のステップS78において、通過確認問合せ処理部24は、ステップS77にて取得した隣接装置名に対応するそれぞれの隣接装置名のIPアドレスを宛先IPアドレスとして、通過確認要求メッセージを生成する。そして、通過確認問合せ処理部24は、当該通過確認要求メッセージを通信インターフェース部21から送信させる(問い合わせ手段)。これにより、トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lに対して通過確認要求メッセージを受信させることができる。
【0166】
「通過確認応答メッセージ受信時の処理」
つぎに、上述したように通過確認要求メッセージを送信したことに対する通過確認応答メッセージを受信したときのトレースバックマネージャ装置Mの処理について、図23を参照して説明する。
【0167】
トレースバックマネージャ装置Mは、パケットハッシュ記録装置Lからトレースバックシステム専用網N1を介して送信された通過確認応答メッセージを、通信インターフェース部21により受信すると(問い合わせ手段)、ステップS81以降の処理を開始する。この通過確認応答メッセージには、追跡対象パケットの通過の有無を示す情報が含まれている。
【0168】
ステップS81において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージの送信元IPアドレスを抽出する。
【0169】
次のステップS82において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージからメッセージIDを取得する。
【0170】
次のステップS83において、通過確認問合せ処理部24は、問合せメッセージ管理情報からメッセージIDが合致するレコードR2を検索する。このとき、通過確認問合せ処理部24は、図22における追跡要求メッセージの受信時に、通過確認要求メッセージを送信する前のステップS75にて追加されたレコードのメッセージIDが存在するかを検索する。これにより、通過確認問合せ処理部24は、ステップS78にて送信した通過確認要求メッセージに対する返信として通過確認応答メッセージを受信したかを確認する。
【0171】
次のステップS84において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS81にて取得した送信元IPアドレスに該当する装置名を取得する。
【0172】
次のステップS85において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報のうちステップS83にて見つけられたレコードR2に対応する確認済み装置名に対して、ステップS84にて取得された装置名を、確認済み装置名として追加する。
【0173】
次のステップS86において、通過確認問合せ処理部24は、通信インターフェース部21により受信した通過確認応答メッセージに通過が「有り」の情報が含まれているか否かを判定する。
【0174】
次のステップS87において、通過確認問合せ処理部24は、ステップS86における判定の結果、通過確認応答メッセージに通過が「有り」の情報が含まれている場合にはステップS88に処理を進め、そうでない場合にはステップS90に処理を進める。
【0175】
ステップS88において、通過確認問合せ処理部24は、問い合わせメッセージ管理情報のうちのレコードR2に対応する通過装置名に、ステップS84にて取得された装置名を追加する。
【0176】
次のステップS89において、通過確認問合せ処理部24は、装置隣接関係情報から、ステップS71にて抽出した通過確認応答メッセージの送信元IPアドレスに該当するパケットハッシュ記録装置Lの隣接装置名を取得する。
【0177】
次のステップS90において、通過確認問合せ処理部24は、ステップS89にて取得した隣接装置名に対応するIPアドレスを宛先として、通過確認要求メッセージを送信する。
【0178】
これにより、トレースバックマネージャ装置Mは、あるパケットハッシュ記録装置Lから返送された通過確認応答メッセージに追跡対象パケットの通過が「有り」の情報が含まれている場合には、当該通過確認応答メッセージを返送したパケットハッシュ記録装置Lに隣接するパケットハッシュ記録装置Lに通過確認要求メッセージを送信できる。これにより、トレースバックマネージャ装置Mは、段階的に追跡対象パケットを取得したパケットハッシュ記録装置Lから、追跡対象パケットの通過が「有り」の通過確認応答メッセージを取得できる。
【0179】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【符号の説明】
【0180】
L パケットハッシュ記録装置
M トレースバックマネージャ装置
N1 トレースバックシステム専用網
N2 汎用パケット通信網
R パケット中継装置
V 通信端末
1 監視用通信インターフェース部
2 管理用通信インターフェース部
3 パケットハッシュ算出部
4 パケットハッシュ算出パラメータ記憶部
5 パケットハッシュテーブル記憶部
6 トラフィック測定部
7 統計用一次データ記憶部
8 トラフィック統計データ記憶部
9 パラメータ最適化部
10 タイマー部
11 タイマーパラメータ記憶部
12 テーブル切り替え部
13 問合せ処理部
21 通信インターフェース部
22 パケットハッシュ算出部
23 パケットハッシュ上限パラメータ記憶部
24 通過確認問合せ処理部
25 メッセージ管理情報記憶部
26 装置隣接関係情報記憶部
【特許請求の範囲】
【請求項1】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する発信源追跡システムであって、
前記中継装置により中継されたパケットを取得し、当該取得したパケットに含まれる情報に対して所定の処理を施してパケット特定情報として記録し、前記攻撃パケットを特定するパケット特定情報に基づいて前記攻撃パケットの通過の有無を判定する複数の記録装置と、
前記記録装置に前記攻撃パケットを特定するパケット特定情報を供給し、前記複数の記録装置から供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数の中継装置を特定する追跡管理装置とを備え、
前記各記録装置は、前記所定の処理として、前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行うこと
を特徴とする発信源追跡システム。
【請求項2】
前記各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、前記攻撃パケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、前記パケット特定情報を作成することを特徴とする請求項1に記載の発信源追跡システム。
【請求項3】
前記追跡管理装置は、
前記被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、
前記攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する第1パケット特定情報作成手段と、
前記第1パケット特定情報作成手段が作成したパケット特定情報を前記記録装置に送信し、前記攻撃パケットの通過の有無を前記記録装置から受信する問い合わせ手段とを備え、
前記記録装置は、
前記中継装置により中継されるパケットを取得するパケット取得手段と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行う第2パケット特定情報作成手段と、
前記パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、前記第2パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段と、
前記第2パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と、
前記記録手段に記録したパケット特定情報と、前記問い合わせ手段から送信されたパケット特定情報とを比較して、前記攻撃パケットの通過の有無を作成して前記問い合わせ手段に返信する返信手段とを備え、
前記追跡管理装置の第1パケット特定情報作成手段は、前記記録装置の設定手段が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成し、
前記記録装置の第2パケット特定情報作成手段は、前記設定手段により設定された第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を作成し、
前記返信手段は、前記問い合わせ手段から送信されたパケット特定情報のうち、前記設定手段が設定した第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と、前記第2パケット特定情報作成手段により作成されたパケット特定情報とを比較して、前記攻撃パケットを記録したかの情報を作成すること
を特徴とする請求項1又は請求項2に記載の発信源追跡システム。
【請求項4】
通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得するパケット取得手段と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行うパケット特定情報作成手段と、
前記パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と
を備えることを特徴とするパケット特定情報記録装置。
【請求項5】
前記パケット特定情報作成手段は、接続された通信網のトラフィック測定情報に基づいて、特定のパケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、前記パケット特定情報を作成することを特徴とする請求項4に記載のパケット特定情報記録装置。
【請求項6】
前記パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、前記パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段を更に備え、
前記パケット特定情報作成手段は、前記設定手段により設定された第1パケット特定情報数の第1パケット特定情報と、前記設定手段により設定された第2パケット特定情報数の第2パケット特定情報とを含む前記パケット特定情報を作成すること
を特徴とする請求項4又は請求項5に記載のパケット特定情報記録装置。
【請求項7】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置であって、
前記被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、
前記攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成するパケット特定情報作成手段と、
前記中継装置により中継されたパケットを表すパケット特定情報を記録する記録装置に前記パケット特定情報作成手段が作成したパケット特定情報を送信し、前記攻撃パケットの通過の有無を前記記録装置から受信する問い合わせ手段と
を備えることを特徴とする追跡管理装置。
【請求項8】
通信装置に内蔵されたコンピュータが実行するプログラムであって、
通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得する処理と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、
前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、
前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理と、
前記作成したパケット特定情報を記録媒体に記録する処理と
をコンピュータに実行させることを特徴とする通信装置のプログラム。
【請求項9】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置内のコンピュータが実行するプログラムであって、
前記被害端末で受信された攻撃パケットを取得する処理と、
前記取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、
前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、
前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する処理と、
前記中継装置により中継されたパケットを記録する記録装置に前記作成したパケット特定情報を送信させ、前記攻撃パケットを記録したかの情報を前記記録装置から受信させる処理と
をコンピュータに実行させることを特徴とする追跡管理装置のプログラム。
【請求項1】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する発信源追跡システムであって、
前記中継装置により中継されたパケットを取得し、当該取得したパケットに含まれる情報に対して所定の処理を施してパケット特定情報として記録し、前記攻撃パケットを特定するパケット特定情報に基づいて前記攻撃パケットの通過の有無を判定する複数の記録装置と、
前記記録装置に前記攻撃パケットを特定するパケット特定情報を供給し、前記複数の記録装置から供給された攻撃パケットの通過の有無に基づいて、当該攻撃パケットを中継した複数の中継装置を特定する追跡管理装置とを備え、
前記各記録装置は、前記所定の処理として、前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行うこと
を特徴とする発信源追跡システム。
【請求項2】
前記各記録装置は、当該各記録装置が接続された通信網のトラフィック測定情報に基づいて、前記攻撃パケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、前記パケット特定情報を作成することを特徴とする請求項1に記載の発信源追跡システム。
【請求項3】
前記追跡管理装置は、
前記被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、
前記攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する第1パケット特定情報作成手段と、
前記第1パケット特定情報作成手段が作成したパケット特定情報を前記記録装置に送信し、前記攻撃パケットの通過の有無を前記記録装置から受信する問い合わせ手段とを備え、
前記記録装置は、
前記中継装置により中継されるパケットを取得するパケット取得手段と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行う第2パケット特定情報作成手段と、
前記パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、前記第2パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段と、
前記第2パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と、
前記記録手段に記録したパケット特定情報と、前記問い合わせ手段から送信されたパケット特定情報とを比較して、前記攻撃パケットの通過の有無を作成して前記問い合わせ手段に返信する返信手段とを備え、
前記追跡管理装置の第1パケット特定情報作成手段は、前記記録装置の設定手段が設定しうる最大の第1パケット特定情報数及び第2パケット特定情報数を含むパケット特定情報を作成し、
前記記録装置の第2パケット特定情報作成手段は、前記設定手段により設定された第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を作成し、
前記返信手段は、前記問い合わせ手段から送信されたパケット特定情報のうち、前記設定手段が設定した第1パケット特定情報数及び第2パケット特定情報数のパケット特定情報を抽出して、当該抽出されたパケット特定情報と、前記第2パケット特定情報作成手段により作成されたパケット特定情報とを比較して、前記攻撃パケットを記録したかの情報を作成すること
を特徴とする請求項1又は請求項2に記載の発信源追跡システム。
【請求項4】
通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得するパケット取得手段と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理とを行うパケット特定情報作成手段と、
前記パケット特定情報作成手段が作成したパケット特定情報を記録する記録手段と
を備えることを特徴とするパケット特定情報記録装置。
【請求項5】
前記パケット特定情報作成手段は、接続された通信網のトラフィック測定情報に基づいて、特定のパケットを誤検知する誤検知率が最低となる任意の数の第1パケット特定情報及び第2パケット特定情報を作成して、前記パケット特定情報を作成することを特徴とする請求項4に記載のパケット特定情報記録装置。
【請求項6】
前記パケット取得手段が所定期間内に取得した複数のパケットに基づいて当該所定期間内における通信状況の統計値を算出し、当該算出した統計値に基づいて、前記パケット特定情報作成手段が作成する第1パケット特定情報数及び第2パケット特定情報数を設定する設定手段を更に備え、
前記パケット特定情報作成手段は、前記設定手段により設定された第1パケット特定情報数の第1パケット特定情報と、前記設定手段により設定された第2パケット特定情報数の第2パケット特定情報とを含む前記パケット特定情報を作成すること
を特徴とする請求項4又は請求項5に記載のパケット特定情報記録装置。
【請求項7】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置であって、
前記被害端末で受信された攻撃パケットを取得する攻撃パケット取得手段と、
前記攻撃パケット取得手段により取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成するパケット特定情報作成手段と、
前記中継装置により中継されたパケットを表すパケット特定情報を記録する記録装置に前記パケット特定情報作成手段が作成したパケット特定情報を送信し、前記攻撃パケットの通過の有無を前記記録装置から受信する問い合わせ手段と
を備えることを特徴とする追跡管理装置。
【請求項8】
通信装置に内蔵されたコンピュータが実行するプログラムであって、
通信ネットワークにおける端末間で送受され中継装置により中継されるパケットを取得する処理と、
前記パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、
前記パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、
前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含む前記パケット特定情報を作成する作成処理と、
前記作成したパケット特定情報を記録媒体に記録する処理と
をコンピュータに実行させることを特徴とする通信装置のプログラム。
【請求項9】
攻撃端末から送信されて複数の中継装置で経由されて被害端末で受信された攻撃パケットの発信源を追跡する追跡管理装置内のコンピュータが実行するプログラムであって、
前記被害端末で受信された攻撃パケットを取得する処理と、
前記取得された攻撃パケットに含まれる情報のうちパケットごとに異なる情報に対して変換処理を施して第1パケット特定情報を作成する第1変換処理と、
前記攻撃パケットに含まれる情報のうち前記端末間で設定されたセッションごとに共通した情報に対して変換処理を施して第2パケット特定情報を作成する第2変換処理と、
前記第1変換処理により作成された第1パケット特定情報と前記第2変換処理により作成された第2パケット特定情報とを含むパケット特定情報を作成する処理と、
前記中継装置により中継されたパケットを記録する記録装置に前記作成したパケット特定情報を送信させ、前記攻撃パケットを記録したかの情報を前記記録装置から受信させる処理と
をコンピュータに実行させることを特徴とする追跡管理装置のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【公開番号】特開2011−114820(P2011−114820A)
【公開日】平成23年6月9日(2011.6.9)
【国際特許分類】
【出願番号】特願2009−272080(P2009−272080)
【出願日】平成21年11月30日(2009.11.30)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成23年6月9日(2011.6.9)
【国際特許分類】
【出願日】平成21年11月30日(2009.11.30)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人 情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]