[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4710889B2 - Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program - Google Patents

Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program Download PDF

Info

Publication number
JP4710889B2
JP4710889B2 JP2007218802A JP2007218802A JP4710889B2 JP 4710889 B2 JP4710889 B2 JP 4710889B2 JP 2007218802 A JP2007218802 A JP 2007218802A JP 2007218802 A JP2007218802 A JP 2007218802A JP 4710889 B2 JP4710889 B2 JP 4710889B2
Authority
JP
Japan
Prior art keywords
search
relay device
control
unauthorized terminal
request information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007218802A
Other languages
Japanese (ja)
Other versions
JP2009055222A (en
Inventor
由也 木津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007218802A priority Critical patent/JP4710889B2/en
Publication of JP2009055222A publication Critical patent/JP2009055222A/en
Application granted granted Critical
Publication of JP4710889B2 publication Critical patent/JP4710889B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、パケットの送信元情報を書き換えるパケット中継装置を介して、通信ネットワーク上のサーバへの攻撃が行われた場合でも、攻撃元を一意に特定し、攻撃元直近のパケット中継装置によって攻撃元からの通信を制御する攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラムに関する。   The present invention uniquely identifies an attack source even when an attack to a server on a communication network is performed via a packet relay device that rewrites packet transmission source information, and attacks by a packet relay device nearest to the attack source. The present invention relates to an attack packet countermeasure system, an attack packet countermeasure method, an attack packet countermeasure apparatus, and an attack packet countermeasure program that control original communication.

近年、インターネットやイントラネットなどのネットワークは社会のインフラとして欠かすことができないものとなってきており、多数の企業がインターネット上のサーバを通じて宣伝活動を行い、また商品等の販売やミーティングなど多くの産業活動がインターネット上のサーバを通じて行われている。
一方、このようなインターネット上のサーバに対し、Dos攻撃(Denial of Service Attack)やDDos攻撃(Distributed Denial of Service attack)などといった不正アクセスを行うことで、そのサービスの提供を不能にさせる事件が多発しており、社会問題となっている。
In recent years, networks such as the Internet and Intranet have become indispensable as social infrastructure, and many companies conduct advertising activities through servers on the Internet, and many industrial activities such as sales and meetings of products etc. Is done through a server on the Internet.
On the other hand, there are many incidents that make it impossible to provide such services by making unauthorized access such as Dos attack (Denial of Service Attack) and DDos attack (Distributed Denial of Service attack) to servers on the Internet. Has become a social problem.

このようなインターネット上のサーバへの攻撃が、プロキシサーバやアドレス変換を行うパケット中継装置(例えば、NAT(Network Address Translation)、NAPT(Network Address Port Translation)等の機能を有する中継装置)を介して行われた場合、パケット中継装置により通信を中継する際に送信元の情報が書き換えられてしまう。
このため、攻撃を受けた側から攻撃元を一意に特定して、通信を制御することは困難であり、特に複数のパケット中継装置を介して攻撃が行われた場合には、その攻撃元を特定することはまず不可能であった。
Such attacks on servers on the Internet are transmitted via proxy servers and packet relay devices that perform address translation (for example, relay devices having functions such as NAT (Network Address Translation) and NAPT (Network Address Port Translation)). If it is performed, the transmission source information is rewritten when the packet relay device relays communication.
For this reason, it is difficult to control the communication by uniquely identifying the attack source from the attacked side, especially when an attack is performed via multiple packet relay devices. First of all it was impossible to identify.

さらに、ネットワークが、複数のパケット中継装置を用いて複数のネットワークに分けて運用されているような構成の場合、あるネットワーク上に存在する不正端末からの攻撃を、そのネットワーク構成についての情報を有していない別のネットワーク上の装置から制御することは、困難であった。
例えば、インターネット上の、ある組織のネットワークに属する攻撃元の不正端末を、別組織のネットワークに属する装置から一意に特定し、攻撃元直近のネットワーク装置で通信を制御することは、通常セキュリティ的な観点から管理対象のネットワークの情報を別のネットワークに対して公開することはないため、事実上不可能であった。
In addition, if the network is configured to operate in multiple networks using multiple packet relay devices, there is information about the network configuration against attacks from unauthorized terminals on the network. It is difficult to control from a device on another network that is not.
For example, it is usually a security practice to uniquely identify an attacking fraudulent terminal belonging to one organization's network on the Internet from a device belonging to another organization's network and control communication with the network device closest to the attacking source. From the point of view, the information on the network to be managed is never disclosed to another network, so it is virtually impossible.

このような問題に対し、従来は次のような方法が採られていた。
まず、第一にネットワークごとにIDS(Intrusion Detection System)を設置し、各IDSのログを一箇所に集めて相関分析を行うことで、不正端末を特定する方法があった。
第二にプロキシサーバを用いることなく、かつ、パケット中継装置によるアドレス変換も行うことなくネットワークを運用することで、パケットの送信元情報が書き換えられないようにして、不正端末を特定する方法があった。
Conventionally, the following method has been adopted for such a problem.
First, there is a method of identifying an unauthorized terminal by installing an IDS (Intrusion Detection System) for each network, collecting logs of each IDS in one place, and performing correlation analysis.
Secondly, there is a method for identifying an unauthorized terminal by using a network without using a proxy server and without performing address translation by a packet relay device so that packet transmission source information is not rewritten. It was.

しかし、第一の方法によれば、ネットワークごとに攻撃を検知する装置を用意する必要があるため、コストがかかるという問題があった。
また、複数のサブネットに分割されているような大規模なネットワークの場合は、ログの相関分析だけで攻撃元を一意に特定することは困難であるという問題があった。
さらに、ログを一箇所に集めると、ディスクを圧迫してしまうという問題もあった。
However, according to the first method, since it is necessary to prepare a device for detecting an attack for each network, there is a problem in that costs are increased.
In addition, in the case of a large-scale network that is divided into a plurality of subnets, there is a problem that it is difficult to uniquely identify an attack source only by log correlation analysis.
In addition, collecting the logs in one place squeezed the disk.

また、割り当てできるIPアドレスには限りがあるため、第二の方法では、ネットワークの規模が大きくなると対応できなくなってしまうという問題もあった。
その上、第二の方法では、攻撃元の検索範囲は、ネットワーク構成を把握できる範囲に限定されるという問題があった。
さらに、プロキシサーバを用いない方法であるため、プロキシサーバによる各種メリットが得られなくなってしまうという問題もあった。
In addition, since there is a limit to the IP addresses that can be assigned, the second method has a problem in that it cannot be handled as the network size increases.
In addition, the second method has a problem that the search range of the attack source is limited to a range in which the network configuration can be grasped.
Furthermore, since the method does not use a proxy server, there is a problem that various merits of the proxy server cannot be obtained.

ここで、ネットワーク上のサーバに対する不正アクセスの防止に関する先行技術としては、例えば特許文献1に記載の分散型サービス不能攻撃の防止方法や特許文献2に記載のサービス不能攻撃の防御方法などを挙げることができる。
これらの発明によれば、攻撃を検知したネットワーク装置上のエージェントプログラムが、攻撃元により近いネットワーク装置に向けて、攻撃パケットを制御するための自身のプログラムの複製を送り、少しずつ攻撃元にさかのぼって攻撃パケットを制御することが可能となっている。
Here, as a prior art regarding prevention of unauthorized access to a server on a network, for example, a method for preventing a distributed denial of service attack described in Patent Document 1 or a method for preventing a denial of service attack described in Patent Document 2 are cited. Can do.
According to these inventions, the agent program on the network device that detects the attack sends a copy of its program for controlling the attack packet toward the network device closer to the attack source, and traces back to the attack source little by little. It is possible to control attack packets.

しかし、いずれの発明も攻撃が送信元の情報を書き換えるパケット中継装置を介して行われた場合には、攻撃元にさかのぼることができない場合があり、適切に攻撃パケットを制御することができないという問題があった。
すなわち、このような従来の方法では、Flood系の攻撃(例えば、SYNフラッド攻撃:確立しないTCP接続を大量に試みる攻撃)の場合は攻撃元を特定することができるが、いわゆる一撃死系と呼ばれる攻撃の場合は特定することができないという問題があった。
また、Flood系の攻撃の場合でも間違ったホスト(パケット中継装置)が攻撃元として検知される可能性があった。
However, in any of the inventions, when an attack is performed via a packet relay device that rewrites information of a transmission source, there is a case where the attack packet cannot be traced back and the attack packet cannot be appropriately controlled. was there.
That is, in such a conventional method, in the case of a flood type attack (for example, a SYN flood attack: an attack that attempts a large number of TCP connections that are not established), the attack source can be specified, but this is called a so-called blow-and-death system In the case of an attack, there was a problem that it could not be identified.
Further, even in the case of a Flood type attack, there is a possibility that an incorrect host (packet relay device) is detected as an attack source.

このような問題に対し、送信元の情報を書き換えるパケット中継装置からのアクセスをすべてブロックする運用を行うことで、その攻撃を回避することも可能である。
しかし、このような運用を行うと、その送信元の情報を書き換えるパケット中継装置を利用する他の端末からの正常な通信もすべてブロックされてしまうという新たな問題が生じてしまう。
また、これらの特許文献に記載の発明では、専用装置が必要になるという問題もあった。
For such a problem, it is possible to avoid the attack by performing an operation that blocks all accesses from the packet relay device that rewrites the information of the transmission source.
However, when such an operation is performed, a new problem arises in that all normal communications from other terminals using the packet relay device that rewrites the information of the transmission source are also blocked.
Further, the inventions described in these patent documents have a problem that a dedicated device is required.

一方、特許文献3に記載のネットワークシステムおよび攻撃防御方法によれば、一つの管理装置によりネットワーク上の全装置を一元管理するという方法を用いることで、特許文献1及び2に記載の発明における上述した問題に対処することが可能となっている。
しかしながら、このように一つの管理装置によりネットワーク上の全装置を一元管理すると、その管理装置が停止してしまった場合には、システム全体が機能しなくなるという問題があった。
また、複数の異なる組織が混在するネットワークでは、一つの管理装置により攻撃元を特定することが困難であるという問題もあった。
On the other hand, according to the network system and attack defense method described in Patent Document 3, the above-described invention in Patent Documents 1 and 2 is used by using a method in which all the devices on the network are centrally managed by one management device. It is possible to deal with the problem.
However, when all the devices on the network are centrally managed by one management device in this way, there is a problem that the entire system does not function if the management device stops.
In addition, in a network in which a plurality of different organizations are mixed, there is a problem that it is difficult to specify an attack source using a single management device.

さらに、本発明に関する先行技術としては、特許文献4に記載のパケット経路追跡システム、特許文献5に記載のパケット追跡方法、及び特許文献6に記載のサーバ保護ネットワークシステムを挙げることができる。
特許文献4及び5には、NAT機能を備えた中継装置を有するネットワークにおいて、転送時のログ情報にもとづき不正パケットの転送元の中継装置を特定し、不正パケットの送信元端末の検索依頼を行うための検索依頼情報を転送元に順次転送していくことにより、この送信元端末を特定することが記載されている。
また、特許文献6には、検索結果ごとに不正パケットの送信元端末からの通信の制御を指定した制御依頼情報を転送していくことにより、送信元端末からのパケットの遮断等の制御を行うことが記載されている。
Furthermore, examples of prior art relating to the present invention include a packet path tracking system described in Patent Document 4, a packet tracking method described in Patent Document 5, and a server protection network system described in Patent Document 6.
In Patent Documents 4 and 5, in a network having a relay device having a NAT function, a relay device that is a transfer source of illegal packets is specified based on log information at the time of transfer, and a search request for a sender terminal of illegal packets is made. It is described that the transmission source terminal is specified by sequentially transferring the search request information to the transfer source.
Further, Patent Document 6 performs control such as blocking of a packet from a transmission source terminal by transferring control request information specifying control of communication from the transmission source terminal of an illegal packet for each search result. It is described.

特開2002−164938号公報JP 2002-164938 A 特開2003−283571号公報JP 2003-283571 A 特開2006−067078号公報JP 2006-067078 A 特開2005−159936号公報JP 2005-159936 A 特開2004−282364号公報JP 2004-282364 A 特開2003−298628号公報JP 2003-298628 A

しかしながら、特許文献4〜6に記載の発明は、不正端末の検索依頼情報や制御依頼情報を、パケット中継装置上のエージェントプログラムを用いて中継させるものではなく、検索ルールをパケット中継装置上の各エージェントプラグラムによりパケット中継装置に持たせることはできなかった。
このため、検索ルールに含まれる依頼元アドレスに基づく細かな制御を行うことができないという問題があった。
However, the inventions described in Patent Documents 4 to 6 do not relay search request information and control request information of unauthorized terminals by using an agent program on the packet relay device, and search rules are assigned to each of the packet relay devices. The packet relay device could not be provided by the agent program.
For this reason, there has been a problem that fine control based on the request source address included in the search rule cannot be performed.

例えば、検索ホップ数の指定や制御方法(遮断、検疫、帯域制御、警告等)の指定を行うことができないため、組織内のネットワークポリシーに合わせた柔軟な運用を行うことができず、実用化が困難であるという問題があった。
また、あるネットワーク上に存在する不正端末からの攻撃を、そのネットワーク構成についての情報を持たない別個のネットワーク上の装置から制御することは困難であり、不正端末の検索処理や制御処理を柔軟に実行させることができなかった。
For example, because it is impossible to specify the number of search hops and control method (blocking, quarantine, bandwidth control, warning, etc.), flexible operation according to the network policy within the organization cannot be performed, and practical use There was a problem that was difficult.
In addition, it is difficult to control an attack from an unauthorized terminal on a network from a device on a separate network that does not have information about the network configuration, and flexible search processing and control processing for unauthorized terminals. Could not execute.

さらに、これらの先行発明は、不正端末の検索依頼情報や制御依頼情報をパケット中継装置上のエージェントプログラムを用いて中継させるものではないため、攻撃元の識別情報(IPアドレスなど)がわからなければ対策を実施できず、対策を依頼する側はある程度ネットワークの情報(IPアドレスなど)を公開する必要があり、ネットワークの匿名性を維持することは困難であった。
例えば、インターネット上のある組織のネットワークに属する不正端末を、匿名性を維持しつつ、別組織のネットワークに属する装置から正確に特定することは困難であった。
Furthermore, since these prior inventions do not relay search request information or control request information of unauthorized terminals using an agent program on the packet relay device, if the identification information (IP address, etc.) of the attack source is not known The countermeasure cannot be implemented, and the person who requests the countermeasure needs to disclose network information (IP address, etc.) to some extent, and it is difficult to maintain the anonymity of the network.
For example, it has been difficult to accurately identify an unauthorized terminal belonging to a network of a certain organization on the Internet from a device belonging to a network of another organization while maintaining anonymity.

さらに、特許文献6に記載の発明では、不正端末からの通信の制御依頼情報を、サービス要求が送られた経路を遡って、不正端末(攻撃元)に最も近いルータまで順次転送する仕組みとなっている。
しかしながら、この方法では、検索から制御までの処理の速度が遅くなってしまうという問題があった。
Further, in the invention described in Patent Document 6, the control request information for communication from the unauthorized terminal is sequentially transferred back to the router closest to the unauthorized terminal (attack source) by going back the route through which the service request is sent. ing.
However, this method has a problem that the processing speed from search to control is slow.

また、この特許文献6に記載の発明では、不正端末を特定する際に、参照する情報や利用する仕組みが明らかではなく、パケットがプロキシサーバなどで中継された場合については考慮されていない。
このため、例えば送信元の情報を書き換えるプロキシサーバからのアクセスを特許文献6に記載の発明でブロックすると、このプロキシサーバを利用する他の端末からの正常な通信がすべてブロックされてしまうという問題があった。
Further, in the invention described in Patent Document 6, the information to be referred to and the mechanism to be used are not clear when specifying an unauthorized terminal, and the case where the packet is relayed by a proxy server or the like is not considered.
For this reason, for example, if access from a proxy server that rewrites information of a transmission source is blocked by the invention described in Patent Document 6, all normal communications from other terminals using this proxy server are blocked. there were.

本発明は、上記の事情にかんがみなされたものであり、パケット中継装置にエージェントプログラムを格納して起動させ、このエージェントプログラムを用いて、パケット中継装置間で不正端末の検索依頼情報や不正端末からの通信の制御依頼情報を中継することにより、ネットワークの匿名性を維持しつつ、攻撃元を正確に特定するとともに、攻撃元直近の中継装置で不正な通信を制御することの可能な攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラムの提供を目的とする。   The present invention has been considered in view of the above circumstances. The agent program is stored and activated in the packet relay device, and the agent program is used to search for illegal terminal search information between the packet relay devices and from the unauthorized terminal. Measures against attack packets that can accurately identify the attack source and control unauthorized communications with the relay device closest to the attack source while maintaining network anonymity by relaying control request information for An object is to provide a system, an attack packet countermeasure method, an attack packet countermeasure apparatus, and an attack packet countermeasure program.

上記目的を達成するため、本発明の攻撃パケット対策システムは、ネットワーク上の中継装置を介してサーバへの不正アクセスを行った不正端末を特定する攻撃パケット対策システムであって、受信したパケットの送信元情報を書き換える一又は二以上の中継装置と、中継装置のいずれかに不正端末の検索依頼情報を送信する管理端末とを有し、中継装置が、受信したパケットの、中継前の送信元アドレス、中継後の送信元アドレス、宛先アドレスを含む通信ログを記憶する通信ログ記憶手段と、検索依頼情報を入力すると、通信ログ記憶手段を参照して不正端末又は検索依頼情報の送信先の中継装置を特定する不正端末検索手段と、管理端末又は他の中継装置から検索依頼情報を入力して不正端末検索手段に出力し、不正端末検索手段により不正端末が特定された場合に検索結果情報を管理端末又は他の中継装置に送信し、不正端末検索手段により送信先の中継装置が特定された場合に検索依頼情報を送信先の中継装置に送信する機能制御手段とを備えた構成としてある。
なお、「アドレス」には、IPアドレスなどの情報のほか、必要に応じてポート番号などの情報を含めることができる。
In order to achieve the above object, an attack packet countermeasure system of the present invention is an attack packet countermeasure system that identifies an unauthorized terminal that has made unauthorized access to a server via a relay device on a network, and transmits a received packet. One or more relay devices that rewrite original information, and a management terminal that transmits search request information for unauthorized terminals to one of the relay devices, and the relay device receives the source address before relaying of the received packet , A communication log storage unit that stores a communication log including a transmission source address and a destination address after relay, and a search request information input, the communication log storage unit is referred to, and an unauthorized terminal or a relay device that is a transmission destination of the search request information The search request information is input from the management terminal or other relay device and output to the illegal terminal search means. When an unauthorized terminal is identified, search result information is transmitted to the management terminal or other relay device, and when a transmission destination relay device is identified by the unauthorized terminal search means, search request information is transmitted to the transmission destination relay device. And a function control means.
The “address” can include information such as an IP address and information such as a port number as necessary.

本発明によれば、インターネット上のサーバへの攻撃が、パケットの送信元情報を書き換えるプロキシサーバやアドレス変換を行う装置を介して行われた場合でも、攻撃元を正確に特定することが可能となる。
また、攻撃元の特定後、攻撃元直近のネットワーク装置により不正な通信を制御することが可能となる。
According to the present invention, even when an attack on a server on the Internet is performed through a proxy server that rewrites packet transmission source information or a device that performs address conversion, it is possible to accurately identify the attack source. Become.
In addition, after specifying the attack source, it becomes possible to control unauthorized communication by the network device nearest to the attack source.

また、このような不正端末の検索や制御を、パケット中継装置上に導入したエージェントプログラムにより実行する構成としているため、あるネットワーク上に存在する不正端末からの攻撃を、そのネットワーク構成についての情報を持たない別個のネットワーク上の装置からも柔軟に制御することが可能となる。
すなわち、このエージェントプログラムを連携させて、不正端末の検索依頼や制御依頼を、エージェントプログラムに中継させることで、ネットワークの匿名性を維持しつつ、不正端末からの通信をピンポイントで制御することが可能となる。
In addition, since such an unauthorized terminal search and control is executed by an agent program installed on the packet relay device, an attack from an unauthorized terminal existing on a network is used to obtain information on the network configuration. It is possible to control flexibly from a device on a separate network that does not have.
In other words, by linking this agent program and relaying unauthorized terminal search requests and control requests to the agent program, it is possible to control communication from unauthorized terminals pinpointing while maintaining network anonymity. It becomes possible.

以下、本発明に係る攻撃パケット対策システムの好ましい実施形態について、図面を参照しつつ説明する。
なお、以下の実施形態に示す本発明の攻撃パケット対策システムは、プログラムに制御されたコンピュータにより動作するようになっている。コンピュータのCPUは、プログラムにもとづいてコンピュータの各構成要素に指令を送り、パケット中継装置の動作に必要となる所定の処理、例えば、不正端末の検索依頼/制御依頼の中継処理、検索結果/制御結果の返信処理等を行わせる。このように、本発明の攻撃パケット対策システムにおける各処理,動作は、プログラムとコンピュータとが協働した具体的手段により実現できるものである。
Hereinafter, a preferred embodiment of an attack packet countermeasure system according to the present invention will be described with reference to the drawings.
It should be noted that the attack packet countermeasure system of the present invention shown in the following embodiment is operated by a computer controlled by a program. The CPU of the computer sends a command to each component of the computer based on the program and performs predetermined processing necessary for the operation of the packet relay device, for example, relay processing of search request / control request for illegal terminal, search result / control The result is returned. Thus, each processing and operation in the attack packet countermeasure system of the present invention can be realized by specific means in which the program and the computer cooperate.

プログラムは予めROM,RAM等の記録媒体に格納され、コンピュータに実装された記録媒体から当該コンピュータにプログラムを読み込ませて実行されるが、例えば通信回線を介してコンピュータに読み込ませることもできる。
また、プログラムを格納する記録媒体は、例えば半導体メモリ,磁気ディスク,光ディスク、その他任意のコンピュータで読取り可能な任意の記録手段により構成できる。
The program is stored in advance in a recording medium such as a ROM and a RAM, and is executed by causing the computer to read the program from a recording medium mounted on the computer. For example, the program may be read by the computer via a communication line.
Further, the recording medium for storing the program can be constituted by, for example, a semiconductor memory, a magnetic disk, an optical disk, or any other recording means that can be read by any computer.

[第一実施形態]
まず、本発明の第一実施形態の構成について、図1〜図8を参照して説明する。図1は、本実施形態の攻撃パケット対策システムの構成(IPネットワーク)を示すブロック図である。図2は、同システムの構成(オーバレイネットワーク)を示すブロック図である。図3は、同システムにおけるパケット中継装置の構成を示すブロック図である。図4は、同システムにおける通信ログ記憶部のレコードレイアウトを示す図である。図5は、同システムにおける検索ルールDB内のテーブルのデータ構成を示す図である。図6は、同システムにおける検索キャッシュDBのレコードレイアウトを示す図である。図7は、同システムにおける制御ルールDB内のテーブルのデータ構成を示す図である。図8は、同システムにおける管理端末の構成を示すブロック図である。
[First embodiment]
First, the structure of 1st embodiment of this invention is demonstrated with reference to FIGS. FIG. 1 is a block diagram showing the configuration (IP network) of the attack packet countermeasure system of this embodiment. FIG. 2 is a block diagram showing a configuration (overlay network) of the system. FIG. 3 is a block diagram showing the configuration of the packet relay apparatus in the system. FIG. 4 is a diagram showing a record layout of the communication log storage unit in the system. FIG. 5 is a diagram showing a data configuration of a table in the search rule DB in the same system. FIG. 6 is a diagram showing a record layout of the search cache DB in the same system. FIG. 7 is a diagram showing a data configuration of a table in the control rule DB in the system. FIG. 8 is a block diagram showing the configuration of the management terminal in the system.

[攻撃パケット対策システム]
本実施形態の攻撃パケット対策システムは、図1に示すように、ネットワークにより接続されたパケット中継装置10(パケット中継装置10a(中継ルータa(NAPT有)),パケット中継装置10b(プロキシサーバ),パケット中継装置10c(中継ルータb(NAPT有)))と管理端末20を有している。
また、同図の例では、標的サーバ30が、ネットワークを介して不正端末40によりDosなどの攻撃を受けていることを想定している。
なお、図2は、図1の装置におけるサービスやアプリケーションの目的に応じたつながり方を示したものである。
[Attack packet countermeasure system]
As shown in FIG. 1, the attack packet countermeasure system of this embodiment includes a packet relay device 10 (packet relay device 10a (relay router a (with NAPT)), packet relay device 10b (proxy server), A packet relay device 10c (relay router b (with NAPT)) and a management terminal 20 are included.
Moreover, in the example of the figure, it is assumed that the target server 30 is under attack such as Dos by the unauthorized terminal 40 via the network.
FIG. 2 shows a connection method according to the purpose of the service or application in the apparatus of FIG.

[パケット中継装置10]
パケット中継装置10は、不正端末40から標的サーバ30へ送信されるパケットを中継する装置であり、図1の例では、中継ルータa(NAPT有)、プロキシサーバ、及び中継ルータb(NAPT有)として示されている。
中継ルータaは、NAPTを行う装置であり、プロキシサーバの属するネットワークから管理端末20の属するネットワークへ通信を行う際、パケットのヘッダにおける送信元の情報を、自身のもつ、管理端末20の属するネットワーク側のアドレス情報(ポート番号を含む。以下、同様。)に変換する。
[Packet relay apparatus 10]
The packet relay device 10 is a device that relays packets transmitted from the unauthorized terminal 40 to the target server 30. In the example of FIG. 1, the relay router a (with NAPT), the proxy server, and the relay router b (with NAPT) Is shown as
The relay router a is a device that performs a NAPT, and when performing communication from the network to which the proxy server belongs to the network to which the management terminal 20 belongs, the network of the management terminal 20 to which the transmission terminal information in the packet header belongs. Side address information (including the port number; the same applies hereinafter).

プロキシサーバは、不正端末40から標的サーバ30へのアクセスを中継する装置である。
中継ルータbは、NAPTを行う装置であり、不正端末40の属するネットワークからプロキシサーバの属するネットワークへ通信を行う際、パケットのヘッダにおける送信元の情報を、自身のもつ、プロキシサーバの属するネットワーク側のアドレス情報に変換する。
The proxy server is a device that relays access from the unauthorized terminal 40 to the target server 30.
The relay router b is a device that performs NAPT, and when performing communication from the network to which the unauthorized terminal 40 belongs to the network to which the proxy server belongs, the network side to which the proxy server has its own transmission source information in the packet header To address information.

パケット中継装置10には、図3に示すように、エージェントプログラムがインストールされており、このエージェントプログラムを起動することによって、パケット中継装置10内に、通信ログ記憶部11、検索ルールDB12、検索キャッシュDB13、制御ルールDB14、エージェント機能制御部15、不正端末検索部16、不正端末制御部17が構成される。なお、通信ログ記憶部11、検索ルールDB12、検索キャッシュDB13、制御ルールDB14をパケット中継装置10に外部接続する記憶装置上に構成してもよい。   As shown in FIG. 3, an agent program is installed in the packet relay device 10, and by starting this agent program, the communication log storage unit 11, the search rule DB 12, the search cache are included in the packet relay device 10. A DB 13, a control rule DB 14, an agent function control unit 15, an unauthorized terminal search unit 16, and an unauthorized terminal control unit 17 are configured. The communication log storage unit 11, the search rule DB 12, the search cache DB 13, and the control rule DB 14 may be configured on a storage device that is externally connected to the packet relay device 10.

パケット中継装置10において、エージェントプログラムを実行する場合には、予めその実行前に設定パラメータとして、待ち受けポート番号、上流ノードリスト、下流ノードリスト、優先度、キャッシュデータ保持期間を入力してパケット中継装置10における図示しないパラメータ記憶手段に格納し、エージェントプログラムの実行中にCPUによって読み取ることができるようにしておく。   When the agent program is executed in the packet relay device 10, the standby port number, the upstream node list, the downstream node list, the priority, and the cache data holding period are input as setting parameters in advance before the execution of the agent program. 10 is stored in parameter storage means (not shown) so that it can be read by the CPU during execution of the agent program.

待ち受けポート番号は、複数の相手と同時に接続を行うためにIPアドレスの下に設けられたサブアドレスである。   The standby port number is a sub-address provided under the IP address for simultaneous connection with a plurality of partners.

上流ノードリストは、当該パケット中継装置10が起動時に接続する、一又は二以上の他のパケット中継装置10のIPアドレスとポート番号を登録する記憶手段である。以下、この上流ノードリストに登録されているパケット中継装置10を、上流ノードと称する。   The upstream node list is storage means for registering the IP address and port number of one or more other packet relay apparatuses 10 to which the packet relay apparatus 10 is connected at the time of activation. Hereinafter, the packet relay apparatus 10 registered in the upstream node list is referred to as an upstream node.

パケット中継装置10において、エージェントプログラムを起動すると、当該パケット中継装置10における図示しない接続手段は、予め上流ノードリストに登録してある他のパケット中継装置10との接続を確立し、接続した他のパケット中継装置10に対して、自身のノード情報(待ち受けIPアドレス,ポート番号,優先度等)を一定間隔で通知する。   When the agent program is activated in the packet relay device 10, a connection unit (not shown) in the packet relay device 10 establishes a connection with another packet relay device 10 registered in the upstream node list in advance, The packet relay apparatus 10 is notified of its node information (standby IP address, port number, priority, etc.) at regular intervals.

下流ノードリストは、他のパケット中継装置10から一定間隔で通知されるノード情報を登録する記憶手段である。パケット中継装置10は、他のパケット中継装置10からノード情報を受信すると、これを下流ノードリストに追加する。以下、この下流ノードリストに登録されているパケット中継装置10を、下流ノードと称する。
パケット中継装置10は、下流ノードとの接続が切れた場合、又は下流ノードから一定期間ノード情報の通知がない場合、下流ノードリストから該当するノード情報を破棄する。
The downstream node list is storage means for registering node information notified from other packet relay apparatuses 10 at regular intervals. When the packet relay device 10 receives node information from another packet relay device 10, it adds this to the downstream node list. Hereinafter, the packet relay device 10 registered in the downstream node list is referred to as a downstream node.
The packet relay apparatus 10 discards the corresponding node information from the downstream node list when the connection with the downstream node is disconnected or when the node information is not notified from the downstream node for a certain period.

優先度は、パケット中継装置10が不正端末の検索依頼を中継する際、下流ノードリストに複数のノード情報が登録されている場合に、検索依頼を中継するパケット中継装置10の順番を決めるための情報である。
パケット中継装置10は、検索依頼のループを防ぐため、検索依頼の中継を下流ノードに対してのみ行う。また、この際に、優先度がより高いパケット中継装置10に検索依頼を中継する。
The priority is for determining the order of the packet relay device 10 that relays the search request when the packet relay device 10 relays a search request for an unauthorized terminal and a plurality of pieces of node information are registered in the downstream node list. Information.
The packet relay apparatus 10 relays the search request only to the downstream node in order to prevent a search request loop. At this time, the search request is relayed to the packet relay apparatus 10 having a higher priority.

キャッシュデータ保持期間は、パケット中継装置10が検索キャッシュDB13に検索キャッシュを格納しておく期間である。不正端末検索部16は、検索キャッシュDB13に格納されている検索キャッシュが、検索キャッシュ更新時刻からこのキャッシュデータ保持期間を経過すると、当該検索キャッシュを検索キャッシュDB13から削除する。   The cache data retention period is a period during which the packet relay apparatus 10 stores the search cache in the search cache DB 13. The unauthorized terminal search unit 16 deletes the search cache from the search cache DB 13 when the search cache stored in the search cache DB 13 has passed this cache data retention period from the search cache update time.

なお、この検索キャッシュは、後述するように、例えば検索ID、検索対象のIPアドレス、検索対象のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、セッション情報(セッション開始時、セッション開始時からセッション終了時までの時間)、検索キャッシュ更新時刻、不正端末直近のパケット中継装置のIPアドレス、不正端末直近のパケット中継装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション(複数組登録可)、末端ノードIDからなる情報とすることができる。   As will be described later, this search cache includes, for example, a search ID, a search target IP address, a search target port number, a victim terminal IP address, a victim terminal port number, a protocol number, session information (at the start of a session, Time from session start to session end), search cache update time, IP address of packet relay device nearest to unauthorized terminal, standby port number of agent program operating on packet relay device nearest to unauthorized terminal, executable control It can be information including a command, its options (multiple sets can be registered), and a terminal node ID.

[通信ログ記憶部11]
通信ログ記憶部11は、パケット中継装置10により行われた通信のログを格納する。
この通信ログは、中継前(アドレス変換前。以下同様。)の送信元IPアドレス、中継前の送信元ポート番号、中継後(アドレス変換後。以下同様。)の送信元IPアドレス、中継後の送信元ポート番号、宛先IPアドレス(エンドポイントのIPアドレス)、宛先ポート番号(エンドポイントのポート番号)、プロトコル番号、セッション情報(セッション開始時刻、セッション開始から終了までの時間)などの情報を含むものとすることが好ましい。
なお、通信ログ記憶部11は、ログを記憶するテキストファイルなどとすることもリレーショナルDBなどとすることもでき、通信ログが記憶可能であれば、その保存形式は特に限定されない。
[Communication log storage unit 11]
The communication log storage unit 11 stores a log of communication performed by the packet relay device 10.
This communication log includes a transmission source IP address before relay (before address conversion; the same applies hereinafter), a transmission source port number before relay, a transmission source IP address after relay (after address conversion; the same applies hereinafter), Includes information such as source port number, destination IP address (endpoint IP address), destination port number (endpoint port number), protocol number, session information (session start time, time from session start to end) It is preferable to use it.
Note that the communication log storage unit 11 can be a text file or the like that stores the log, or a relational DB, and the storage format is not particularly limited as long as the communication log can be stored.

[検索ルールDB12]
検索ルールDB12は、不正端末検索部16が検索処理を実行するか否かを判定する条件が規定された検索ルールテーブルを格納する。不正端末検索部16は、この検索ルールテーブルに記録されている検索ルールにもとづいて、検索を行うか否かを判定する。
検索ルールDB12における検索ルールは、エージェント機能制御部15からの検索ルール変更依頼にもとづいて、不正端末検索部16により必要に応じて変更するようにすることができる。また、この検索ルールを、エージェント機能制御部15により直接変更する構成とすることも可能である。
[Search rule DB 12]
The search rule DB 12 stores a search rule table in which conditions for determining whether or not the unauthorized terminal search unit 16 executes search processing are defined. The unauthorized terminal search unit 16 determines whether to perform a search based on the search rules recorded in the search rule table.
The search rule in the search rule DB 12 can be changed as necessary by the unauthorized terminal search unit 16 based on a search rule change request from the agent function control unit 15. Further, the search rule can be directly changed by the agent function control unit 15.

検索ルールは、図5に示すように、検索ルールID、検索元、検索ホップ数、備考のカラムを備えている。
検索ルールIDは、検索ルールを一意に特定するための識別情報である。
検索元は、当該パケット中継装置10が検索依頼を受けつける対象のネットワークのアドレスであり、このネットワーク内における管理端末20や他のパケット中継装置10から検索依頼を受信した場合に、不正端末検索部16による検索が行われる。
As shown in FIG. 5, the search rule includes columns for a search rule ID, a search source, the number of search hops, and remarks.
The search rule ID is identification information for uniquely specifying the search rule.
The search source is an address of a network to which the packet relay apparatus 10 accepts a search request. When a search request is received from the management terminal 20 or another packet relay apparatus 10 in this network, the unauthorized terminal search unit 16 A search by is performed.

なお、同図の検索元において、スラッシュの後の数値は、アドレスのマッチングに使用されるバイト数を示しており、検索元アドレスの左からスラッシュの後の数値分のバイト数がマッチングに使用され、これらが同一のアドレスは一致するものと判断される。
検索ホップ数は、何個先のノードまで検索を行うかを示す値である。
備考は、検索ルールに対するコメント情報である。
In the search source of the figure, the number after the slash indicates the number of bytes used for address matching, and the number of bytes after the slash from the left of the search source address is used for matching. These addresses that are the same are determined to match.
The number of search hops is a value indicating how many nodes ahead the search is performed.
The comment is comment information for the search rule.

[検索キャッシュDB13]
検索キャッシュDB13は、検索キャッシュを格納する。この検索キャッシュDB13のレコードレイアウトは、図6に示すように、例えば検索ID、検索対象のIPアドレス、検索対象のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、セッション情報(セッション開始時刻、セッション終了までの時間)、検索キャッシュ更新時刻、不正端末直近のパケット中継装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション(それぞれ複数登録可)、末端ノードID等とすることができる。
[Search cache DB 13]
The search cache DB 13 stores a search cache. As shown in FIG. 6, the record layout of the search cache DB 13 includes, for example, a search ID, a search target IP address, a search target port number, a victim terminal IP address, a victim terminal port number, a protocol number, session information ( Session start time, time until session end), search cache update time, standby port number of the agent program running on the packet relay device closest to the unauthorized terminal, executable control command and its options (each can be registered multiple times), end It can be a node ID or the like.

検索キャッシュDB13は、不正端末検索部16により、検索依頼情報における検索IDにもとづき参照され、同一内容の検索依頼情報にもとづく検索結果情報が保存されている場合には、以降の検索処理が実行されることなく、当該検索結果情報が不正端末検索部16により検索実行結果として出力される。   The search cache DB 13 is referred to by the unauthorized terminal search unit 16 based on the search ID in the search request information, and when search result information based on the search request information having the same content is stored, the subsequent search processing is executed. The search result information is output as a search execution result by the unauthorized terminal search unit 16.

[制御ルールDB14]
制御ルールDB14は、不正端末の制御依頼にもとづき不正端末制御部17により実行される不正端末からの通信の制御ルールを記録する制御ルールテーブルを格納している。不正端末制御部17は、この制御ルールテーブルに記録されている制御ルールにもとづいて、不正端末からの通信の制御処理を実行する。
制御ルールDB14における制御ルールは、エージェント機能制御部15からの制御ルール変更依頼にもとづいて、不正端末制御部17により必要に応じて変更するようにすることができる。また、この制御ルールを、エージェント機能制御部15により直接変更する構成とすることも可能である。
[Control Rule DB 14]
The control rule DB 14 stores a control rule table that records a control rule for communication from an unauthorized terminal executed by the unauthorized terminal control unit 17 based on an unauthorized terminal control request. The unauthorized terminal control unit 17 executes a control process for communication from an unauthorized terminal based on the control rules recorded in the control rule table.
The control rule in the control rule DB 14 can be changed as necessary by the unauthorized terminal control unit 17 based on a control rule change request from the agent function control unit 15. Further, the control rule can be directly changed by the agent function control unit 15.

この制御ルールは、図7に示すように、ルールID、制御元、制御タイプ、制御コマンド、制御コマンドオプション、備考のカラムを備えている。
制御ルールIDは、制御ルールを一意に特定するための識別情報である。
制御元は、当該パケット中継装置10が制御依頼を受けつける対象のネットワークのアドレスであり、このネットワーク内における他のパケット中継装置10や管理端末20から制御依頼を受信した場合に、不正端末制御部17による制御が行われる。
As shown in FIG. 7, this control rule has columns of rule ID, control source, control type, control command, control command option, and remarks.
The control rule ID is identification information for uniquely specifying the control rule.
The control source is an address of a network to which the packet relay apparatus 10 receives a control request. When the control request is received from another packet relay apparatus 10 or the management terminal 20 in the network, the unauthorized terminal control unit 17 Control by is performed.

なお、同図の制御元において、スラッシュの後の数値は、アドレスのマッチングに使用されるバイト数を示しており、制御元アドレスの左からスラッシュの後の数値分のバイト数がマッチングに使用され、これらが同一のアドレスは一致するものと判断される。   In the control source in the figure, the numerical value after the slash indicates the number of bytes used for address matching, and the number of bytes after the slash from the left of the control source address is used for matching. These addresses that are the same are determined to match.

制御タイプは、どの方法で通信の制御を行うかを示す値である。同図の例では、0が警告、1が帯域制御、2が検疫、3が遮断となっている。不正端末制御部17は、制御ルールが特定されると、不正端末からの通信に対して、その制御ルールにおける制御タイプに対応する制御を実行する。
制御コマンドは、不正端末に隣接するネットワーク装置に、不正端末からの通信を制御させるためのコマンドである。
The control type is a value indicating which method is used to control communication. In the example of the figure, 0 is a warning, 1 is bandwidth control, 2 is a quarantine, and 3 is blocked. When the control rule is specified, the unauthorized terminal control unit 17 executes control corresponding to the control type in the control rule for communication from the unauthorized terminal.
The control command is a command for causing a network device adjacent to the unauthorized terminal to control communication from the unauthorized terminal.

制御コマンドオプションは、制御コマンドのオプションに関する情報(制御コマンドの仕様など)であり、例えば特定のプロトコルやポート番号を制御コマンドオプションとして記録しておくことで、これらを使用する通信のみを制御することが可能となる。また、制御時間を記録しておき、その時間のみ制御できるようにすることなども可能である。
備考は、制御ルールに対するコメント情報である。
Control command options are information related to control command options (control command specifications, etc.). For example, a specific protocol or port number is recorded as a control command option to control only communications using these. Is possible. It is also possible to record the control time so that only that time can be controlled.
The comment is comment information for the control rule.

[エージェント機能制御部15]
エージェント機能制御部15は、管理端末20又は他のパケット中継装置10から不正端末の検索依頼情報を受信すると、この検索依頼情報を不正端末検索部16に出力し、不正端末検索部16に不正端末を特定するための検索処理等を実行させる。
[Agent function control unit 15]
Upon receiving the unauthorized terminal search request information from the management terminal 20 or another packet relay device 10, the agent function control unit 15 outputs the search request information to the unauthorized terminal search unit 16, and sends the retrieved information to the unauthorized terminal search unit 16. A search process or the like is executed to identify

また、エージェント機能制御部15は、不正端末検索部16に不正端末を特定するための検索処理等を実行させた結果、不正端末が特定されなかった場合、検索依頼情報を攻撃元により近いパケット中継装置10に送信する。
さらに、エージェント機能制御部15は、不正端末検索部16により不正端末が特定され、不正端末検索部16から検索結果情報を入力した場合、又は他のパケット中継装置10から不正端末の検索結果情報を受信した場合、この検索結果情報を、検索依頼情報の中継経路を逆にたどって、他のパケット中継装置10又は管理端末20に送信する。
このとき、エージェント機能制御部15は、検索依頼情報における検索経路リストを参照し、中継経路を逆にたどることができる。
Further, the agent function control unit 15 causes the unauthorized terminal search unit 16 to execute a search process for identifying an unauthorized terminal. As a result, if an unauthorized terminal is not identified, the agent function control unit 15 relays search request information closer to the attack source. Transmit to device 10.
Further, the agent function control unit 15 specifies the unauthorized terminal search unit 16 to specify the unauthorized terminal, and when the search result information is input from the unauthorized terminal search unit 16 or the search result information of the unauthorized terminal from another packet relay device 10. When received, the search result information is transmitted to another packet relay apparatus 10 or the management terminal 20 along the reverse route of the search request information.
At this time, the agent function control unit 15 can refer to the search route list in the search request information and trace the relay route in reverse.

また、エージェント機能制御部15は、管理端末20から不正端末の制御依頼情報を受信すると、この制御依頼情報を不正端末制御部17に出力して、不正端末からの通信を制御するための各種処理を実行させる。
このとき、エージェント機能制御部15は、制御依頼情報に含まれている検索IDを用いて検索キャッシュDB13を参照し、対応する検索キャッシュが格納されているかを確認する。
When the agent function control unit 15 receives the control request information of the unauthorized terminal from the management terminal 20, the agent function control unit 15 outputs the control request information to the unauthorized terminal control unit 17 and performs various processes for controlling communication from the unauthorized terminal. Is executed.
At this time, the agent function control unit 15 refers to the search cache DB 13 using the search ID included in the control request information, and confirms whether the corresponding search cache is stored.

そして、格納されている場合は、この検索キャッシュにおける検索経路リストにもとづき不正端末直近のパケット中継装置10を特定し、この不正端末直近のパケット中継装置10に不正端末の制御依頼情報を送信する。
さらに、エージェント機能制御部15は、自己のパケット中継装置10が不正端末直近であると特定された場合は、制御依頼情報にもとづき不正端末制御部17に不正端末からの通信を制御するための処理を実行させる。
If it is stored, the packet relay device 10 closest to the unauthorized terminal is identified based on the search path list in the search cache, and the control request information of the unauthorized terminal is transmitted to the packet relay device 10 nearest to the unauthorized terminal.
Further, the agent function control unit 15 controls the communication from the unauthorized terminal to the unauthorized terminal control unit 17 based on the control request information when the packet relay apparatus 10 is identified as the nearest unauthorized terminal. Is executed.

さらに、エージェント機能制御部15は、不正端末制御部17から制御結果情報を入力すると、この制御結果情報を制御依頼情報の送信元のパケット中継装置10に送信する。また、エージェント機能制御部15は、他のパケット中継装置10から不正端末の制御結果情報を受信すると、この制御結果情報を管理端末20に送信する。   Furthermore, when the control result information is input from the unauthorized terminal control unit 17, the agent function control unit 15 transmits the control result information to the packet relay apparatus 10 that is the transmission source of the control request information. When the agent function control unit 15 receives the control result information of the unauthorized terminal from the other packet relay apparatus 10, the agent function control unit 15 transmits the control result information to the management terminal 20.

[不正端末検索部16]
不正端末検索部16は、他のパケット中継装置10や管理端末20から当該パケット中継装置10に送信されてきた不正端末の検索依頼情報を入力すると、この検索依頼情報にもとづき当該パケット中継装置10における検索ルールDB12、検索キャッシュDB13、及び通信ログ記憶部11を参照し、不正端末を検索する。
[Unauthorized terminal search unit 16]
When the illegal terminal search unit 16 inputs the search request information of the illegal terminal transmitted from the other packet relay apparatus 10 or the management terminal 20 to the packet relay apparatus 10, the illegal terminal search unit 16 in the packet relay apparatus 10 based on the search request information. The search rule DB 12, the search cache DB 13, and the communication log storage unit 11 are referred to search for an unauthorized terminal.

そして、この不正端末の検索により不正端末が特定されると、エージェント機能制御部15により検索結果情報が、検索依頼情報の送信経路を逆に辿って送信される。このとき、エージェント機能制御部15は、検索依頼情報又は検索結果情報における検索経路リストにもとづき検索依頼情報の送信元を特定することができる。
また、不正端末検索部16は、この不正端末の検索により不正端末を特定できなかった場合、攻撃元により近いパケット中継装置10(下流ノードリストにおけるパケット中継装置10のうち最も優先度が高いもの)に不正端末の検索依頼情報を送信する。
When an unauthorized terminal is specified by this unauthorized terminal search, the search result information is transmitted by the agent function control unit 15 following the search request information transmission path in reverse. At this time, the agent function control unit 15 can identify the transmission source of the search request information based on the search route list in the search request information or the search result information.
Further, when the unauthorized terminal search unit 16 cannot identify the unauthorized terminal by searching for the unauthorized terminal, the packet relay apparatus 10 closer to the attack source (the highest priority among the packet relay apparatuses 10 in the downstream node list). The search request information for unauthorized terminals is sent to.

具体的には、不正端末検索部16は、以下の処理を実行する。
まず、不正端末検索部16は、他のパケット中継装置10や管理端末20からの検索依頼情報を入力すると、この検索依頼情報のパケットに含まれる依頼元のIPアドレスをキーとして、検索ルールDB12を参照し、送信元のIPアドレスと、検索ルールテーブルにおける「検索元」のネットワークのアドレスとがマッチする検索ルールを特定する。
Specifically, the unauthorized terminal search unit 16 executes the following processing.
First, when the search request information from another packet relay device 10 or the management terminal 20 is input, the unauthorized terminal search unit 16 sets the search rule DB 12 using the IP address of the request source included in the search request information packet as a key. The search rule that matches the IP address of the transmission source and the address of the “search source” network in the search rule table is specified.

このとき、送信元のIPアドレスが検索ルールテーブルにおける「検索元」のネットワークアドレスの左からスラッシュの後の数値分のバイト数がマッチングに使用され、これらが同一であればマッチすると判定される。
そして、不正端末検索部16により検索ルールテーブルにおける全ての検索ルールが確認された結果、送信元のIPアドレスがどのルールの検索元のネットワークアドレスにもマッチしない場合は、エージェント機能制御部15により検索結果情報としてエラーを送信元に返却する。
At this time, the number of bytes corresponding to the numerical value after the slash from the left of the “search source” network address in the search rule table is used for matching as the IP address of the transmission source.
Then, as a result of checking all search rules in the search rule table by the unauthorized terminal search unit 16, if the IP address of the transmission source does not match the network address of the search source of any rule, the search is performed by the agent function control unit 15. An error is returned to the sender as result information.

一方、不正端末検索部16は、送信元のIPアドレスと検索元のネットワークのアドレスがマッチする検索ルールを特定できた場合、次に検索依頼情報に含まれる検索ホップ数をデクリメントする。
検索ルールDB12における特定した検索ルールの検索ホップ数が、検索依頼情報におけるデクリメント前の検索ホップ数よりも小さい場合、不正端末検索部16は、検索依頼情報に含まれる検索ホップ数を、特定した検索ルールにおける検索ホップ数で置き換える。
On the other hand, if the search rule that matches the IP address of the transmission source and the address of the network of the search source can be specified, the unauthorized terminal search unit 16 decrements the number of search hops included in the search request information next.
When the number of search hops of the specified search rule in the search rule DB 12 is smaller than the number of search hops before decrement in the search request information, the unauthorized terminal search unit 16 specifies the number of search hops included in the search request information. Replace with the number of search hops in the rule.

検索依頼情報に含まれる検索ホップ数をデクリメントしたときに、デクリメント後の検索ホップ数が0以下になった場合、不正端末検索部16は、検索を打ち切り、エージェント機能制御部15は、検索結果情報として送信元にエラーを返却する。
一方、検索依頼情報に含まれる検索ホップ数をデクリメントしたときに、デクリメント後の検索ホップ数が0以下にならなかった場合、不正端末検索部16は、通信ログ記憶部11を参照し、攻撃元(不正端末40又はパケット中継装置10)を特定する。
When the number of search hops included in the search request information is decremented, if the number of search hops after decrement becomes 0 or less, the unauthorized terminal search unit 16 aborts the search, and the agent function control unit 15 searches the search result information. Return an error to the sender.
On the other hand, when the number of search hops included in the search request information is decremented, if the number of search hops after decrement is not less than or equal to 0, the unauthorized terminal search unit 16 refers to the communication log storage unit 11 and (Illegal terminal 40 or packet relay device 10) is specified.

このとき、不正端末検索部16は、通信ログにおける「中継前(アドレス変換前)の送信元IPアドレス」の情報処理装置を攻撃元として特定する。
そして、特定した攻撃元が下流ノードリストに存在する場合、攻撃元はパケット中継装置10であるため、不正端末検索部16は、まだ不正端末40が特定できていないと判断し、エージェント機能制御部15は、当該下流ノードリストの情報にもとづき検索依頼情報を特定した攻撃元に中継する。
一方、特定した攻撃元が下流ノードリストに存在しない場合、不正端末検索部16は、不正端末40を特定できたと判断し、エージェント機能制御部15は、検索結果情報を生成して、この検索結果情報を検索依頼情報の送信元に送信する。
At this time, the unauthorized terminal search unit 16 identifies the information processing apparatus of “transmission source IP address before relay (before address conversion)” in the communication log as an attack source.
If the identified attack source is present in the downstream node list, the attack source is the packet relay device 10, and therefore the unauthorized terminal search unit 16 determines that the unauthorized terminal 40 has not yet been identified, and the agent function control unit 15 relays the search request information to the identified attack source based on the information of the downstream node list.
On the other hand, if the identified attack source does not exist in the downstream node list, the unauthorized terminal search unit 16 determines that the unauthorized terminal 40 has been identified, and the agent function control unit 15 generates search result information, and the search result Send information to the sender of search request information.

なお、検索を許可したくないネットワークが存在する場合は、検索ルールの検索ホップ数を小さくすることで、パケット中継装置10による検索が行われないように制御することができる。
例えば、保護したいネットワーク(制御不要な機密領域など)が、あるパケット中継装置10に隣接して存在する場合、当該パケット中継装置10の検索ホップ数を0にしておくことで、そのネットワークに対する検索が行われないようにすることが可能である。
When there is a network that does not allow the search, the search by the packet relay device 10 can be controlled not to be performed by reducing the number of search hops of the search rule.
For example, when a network to be protected (such as a confidential area that does not need to be controlled) exists adjacent to a certain packet relay device 10, the search for the network can be performed by setting the number of search hops of the packet relay device 10 to 0. It is possible to prevent this from happening.

[不正端末制御部17]
不正端末制御部17は、管理端末20又は他のパケット中継装置10からの不正端末の制御依頼情報を入力すると、この制御依頼情報のパケットに含まれる制御コードを参照し、当該パケットの種類を識別する。
すなわち、この制御コードにもとづいて、制御依頼情報が管理端末20から送信されてきたものであるか、又は他のパケット中継装置10から送信されてきたものであるかを識別する。
[Unauthorized terminal control unit 17]
When the unauthorized terminal control unit 17 inputs the control request information of the unauthorized terminal from the management terminal 20 or another packet relay device 10, the unauthorized terminal control unit 17 refers to the control code included in the packet of the control request information and identifies the type of the packet To do.
That is, based on this control code, it is identified whether the control request information is transmitted from the management terminal 20 or transmitted from another packet relay apparatus 10.

そして、制御依頼情報が他のパケット中継装置10から送信されてきたものである場合、不正端末制御部17は、この制御依頼情報にもとづき制御コマンドを実行して、不正端末40からの通信を制限する。
一方、制御依頼情報が管理端末20から送信されてきたものである場合、不正端末制御部17は、エージェント機能制御部15により、不正端末の制御依頼情報を不正端末直近のパケット中継装置10に送信して中継する。
Then, when the control request information is transmitted from another packet relay device 10, the unauthorized terminal control unit 17 executes a control command based on the control request information and restricts communication from the unauthorized terminal 40. To do.
On the other hand, when the control request information is transmitted from the management terminal 20, the unauthorized terminal control unit 17 transmits the control request information of the unauthorized terminal to the packet relay apparatus 10 nearest to the unauthorized terminal by the agent function control unit 15. And relay.

また、不正端末40からの通信を制限するにあたり、不正端末制御部17は、以下の処理を実行する。
まず、不正端末制御部17は、制御依頼情報のパケットに含まれる依頼元のIPアドレスをキーとして、制御ルールテーブルを参照し、送信元のIPアドレスと、制御ルールテーブルにおける「制御元」のネットワークのアドレスがマッチする制御ルールを特定する。
このとき、送信元のIPアドレスが制御ルールテーブルにおける「制御元」のネットワークアドレスの左からスラッシュの後の数値分のバイト数がマッチングに使用され、これらが同一であればマッチすると判定される。
In restricting communication from the unauthorized terminal 40, the unauthorized terminal control unit 17 executes the following processing.
First, the unauthorized terminal control unit 17 refers to the control rule table by using the IP address of the request source included in the packet of the control request information as a key, the IP address of the transmission source, and the “control source” network in the control rule table Specify the control rule that matches the address.
At this time, the number of bytes corresponding to the numerical value after the slash from the left of the network address of the “control source” in the control rule table is used for matching as the IP address of the transmission source.

そして、不正端末制御部17により制御ルールテーブルにおける全ての制御ルールが確認された結果、制御元のIPアドレスがどのルールの制御元のネットワークアドレスにもマッチしない場合は、エージェント機能制御部15により制御結果情報としてエラーを送信元に返却する。   If all the control rules in the control rule table are confirmed by the unauthorized terminal control unit 17 and the IP address of the control source does not match the network address of the control source of any rule, the control is performed by the agent function control unit 15 An error is returned to the sender as result information.

また、不正端末制御部17は、送信元のIPアドレスと制御元のネットワークのアドレスがマッチする制御ルールを特定できた場合、その特定できた制御ルールにおける制御タイプと、制御依頼情報に含まれる制御タイプがマッチするか否かを判定する。
そして、マッチしない場合には、エージェント機能制御部15により制御結果情報としてエラーを送信元に返却する。
Further, when the unauthorized terminal control unit 17 can identify a control rule that matches the IP address of the transmission source and the address of the network of the control source, the unauthorized terminal control unit 17 controls the control type in the identified control rule and the control included in the control request information. Determine if type matches.
If they do not match, the agent function control unit 15 returns an error as control result information to the transmission source.

一方、不正端末制御部17は、特定できた制御ルールにおける制御タイプと、制御依頼情報に含まれる制御タイプがマッチする場合は、その制御ルールにおける制御コマンドを、制御依頼情報により指定された制御コマンドオプションで実行し、不正端末40からの通信を制御する。   On the other hand, when the control type in the identified control rule matches the control type included in the control request information, the unauthorized terminal control unit 17 determines the control command in the control rule as the control command specified by the control request information. This is executed as an option to control communication from the unauthorized terminal 40.

[管理端末20]
管理端末20は、標的サーバ30を監視し、不正端末40による標的サーバ30への攻撃を検出すると、パケット中継装置10に検索依頼情報を送信して、パケット中継装置10により不正端末40を特定させる情報処理装置である。
また、管理端末20は、不正端末40に隣接するパケット中継装置10に制御依頼情報を送信して、当該パケット中継装置10により不正端末40からの通信を制御させる情報処理装置である。
この管理端末20は、図8に示すように、監視手段21、検索依頼手段22、制御依頼手段23を備えている。
[Management terminal 20]
When the management terminal 20 monitors the target server 30 and detects an attack on the target server 30 by the unauthorized terminal 40, the management terminal 20 transmits search request information to the packet relay apparatus 10 to identify the unauthorized terminal 40 by the packet relay apparatus 10. Information processing apparatus.
The management terminal 20 is an information processing apparatus that transmits control request information to the packet relay apparatus 10 adjacent to the unauthorized terminal 40 and causes the packet relay apparatus 10 to control communication from the unauthorized terminal 40.
As shown in FIG. 8, the management terminal 20 includes a monitoring unit 21, a search request unit 22, and a control request unit 23.

監視手段21は、従来公知の各種方法により、標的サーバ30への攻撃を検出する。そして、攻撃を検出すると、攻撃パケットの情報を含む、不正端末40の検索要求情報を生成し、これを検索依頼手段22に出力する。
この攻撃パケットの情報としては、例えば被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、攻撃を受けた時刻等とすることができる。
The monitoring means 21 detects an attack on the target server 30 by various conventionally known methods. When an attack is detected, search request information for the unauthorized terminal 40 including attack packet information is generated and output to the search request means 22.
The attack packet information can be, for example, the IP address of the victim terminal, the port number of the victim terminal, the protocol number, the time of attack, and the like.

また、監視手段21による攻撃の検出方法としては、特に限定されないが、例えば、予め登録してある不正な処理を検出するシグニチャベースの検出方法や、不正な動作を検知して、未知の攻撃を検出する方法がある。
また、標的サーバ30が攻撃を検知した場合に、標的サーバ30から受信したアラート通知(メール、SNMPトラップ、シスログ転送)にもとづいて、攻撃を検出することも可能である。
Also, the attack detection method by the monitoring means 21 is not particularly limited. For example, a signature-based detection method for detecting an illegal process registered in advance or an illegal operation to detect an unknown attack. There is a way to detect.
Moreover, when the target server 30 detects an attack, it is also possible to detect the attack based on the alert notification (email, SNMP trap, syslog transfer) received from the target server 30.

検索依頼手段22は、監視手段21から攻撃パケットの情報を含む検索要求情報を入力すると、この攻撃パケットの情報を用いて検索依頼情報を生成し、これを最寄りのパケット中継装置10(図1においては中継ルータa)などに送信する。   When the search request means 22 receives search request information including attack packet information from the monitoring means 21, the search request means 22 generates search request information using the attack packet information, and this is used as the nearest packet relay device 10 (in FIG. 1). Is transmitted to the relay router a) or the like.

制御依頼手段23は、パケット中継装置10からの検索結果情報を入力すると、この検索結果情報にもとづき制御依頼情報を作成し、この制御依頼情報を最寄りのパケット中継装置10(図1においては中継ルータa)などに送信する。   When the search request information from the packet relay device 10 is input, the control request means 23 creates control request information based on the search result information, and uses this control request information as the nearest packet relay device 10 (the relay router in FIG. 1). a) and so on.

標的サーバ30は、何らかのサービスを提供する情報処理装置であり、不正端末40による攻撃を受けるものである。
不正端末40は、標的サーバ30に対して攻撃を行う情報処理装置である。
The target server 30 is an information processing apparatus that provides some service, and is attacked by the unauthorized terminal 40.
The unauthorized terminal 40 is an information processing device that attacks the target server 30.

[不正端末の検索処理手順の概要]
次に、本実施形態の攻撃パケット対策システムにおける不正端末の検索処理手順の概要を、図9を参照して説明する。同図は、同システムにおける不正端末の検索処理手順を示す動作手順図である。
なお、パケット中継装置10a、パケット中継装置10b、パケット中継装置10cにおいて、エージェントプログラムの起動により構成される通信ログ記憶部11、検索ルールDB12、検索キャッシュDB13、制御ルールDB14、エージェント機能制御部15、不正端末検索部16、不正端末制御部17をまとめて、それぞれエージェント1、エージェント2、エージェント3と称する。
[Outline of illegal terminal search processing procedure]
Next, an outline of the illegal terminal search processing procedure in the attack packet countermeasure system of this embodiment will be described with reference to FIG. FIG. 3 is an operation procedure diagram showing a procedure for searching for unauthorized terminals in the system.
In the packet relay device 10a, the packet relay device 10b, and the packet relay device 10c, a communication log storage unit 11, a search rule DB 12, a search cache DB 13, a control rule DB 14, an agent function control unit 15, which are configured by starting an agent program, The unauthorized terminal search unit 16 and the unauthorized terminal control unit 17 are collectively referred to as agent 1, agent 2, and agent 3, respectively.

まず、管理端末20が標的サーバ30への攻撃を検出して、不正端末40の検索依頼101を生成し、これを攻撃パケットの転送元と思われるパケット中継装置10a上のエージェント1に送信する(ステップ10)。
この攻撃パケットの転送元と思われるパケット中継装置10aは、例えばアラート通知に含まれる転送元などにもとづき特定することが可能である。
First, the management terminal 20 detects an attack on the target server 30, generates a search request 101 for the unauthorized terminal 40, and transmits this to the agent 1 on the packet relay device 10a that is considered to be the transfer source of the attack packet ( Step 10).
The packet relay device 10a that is considered to be the forwarding source of the attack packet can be identified based on the forwarding source included in the alert notification, for example.

この管理端末20から送信される検索依頼情報の検索依頼101は、図10に示すように、例えば中継されていない検索依頼であることを示す制御コード、検索ID、検索対象の端末のIPアドレス、検索対象の端末のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、攻撃を受けた時刻、依頼内容(警告、遮断、帯域制御、検疫等(それぞれ優先順位情報をもたせて、複数指定可能))、検索ホップ数、検索経路リスト等からなるものとすることができる。   As shown in FIG. 10, the search request 101 of search request information transmitted from the management terminal 20 includes, for example, a control code indicating that the search request is not relayed, a search ID, an IP address of a search target terminal, Search target terminal port number, victim terminal IP address, victim terminal port number, protocol number, time of attack, request content (warning, blocking, bandwidth control, quarantine, etc. (with priority information, The number of search hops, a search route list, and the like can be included.

制御コードは、パケットの種類を識別するものであり、検索依頼101における制御コードには、中継されていない検索依頼であることを示すものが設定される。
検索IDは、一連の検索依頼をそれぞれ識別するための情報である。この検索IDは、検索依頼情報に対応する制御依頼情報において同じものが用いられる。
The control code identifies the type of packet, and the control code in the search request 101 is set to indicate that the search request is not relayed.
The search ID is information for identifying a series of search requests. The same search ID is used in the control request information corresponding to the search request information.

検索対象の端末のIPアドレスは、検索依頼情報の送信元から見て、攻撃元と思われる側にあるパケット中継装置のIPアドレスである。
また、検索対象のポート番号は、検索依頼情報の送信元から見て、攻撃元と思われる側にあるパケット中継装置のポート番号である。
これらのIPアドレス及びポート番号は、標的サーバ30からのアラート通知に含まれる送信元の情報として取得する他、通信ログ記憶部11から取得するなど各種方法で取得することが可能である。
The IP address of the search target terminal is the IP address of the packet relay apparatus on the side considered to be the attack source when viewed from the transmission source of the search request information.
The search target port number is the port number of the packet relay apparatus on the side considered to be the attack source when viewed from the transmission source of the search request information.
These IP addresses and port numbers can be acquired by various methods such as acquisition from the communication log storage unit 11 as well as acquisition source information included in the alert notification from the target server 30.

被害端末のIPアドレスは、標的サーバ30における攻撃を受けた側のI/FのIPアドレスである。
また、被害端末のポート番号は、標的サーバ30上の攻撃を受けたサービスの待ち受けポート番号である。
これらのIPアドレス及びポート番号は、標的サーバ30からのアラート通知等に含まれ、これにもとづき取得することができる。
The IP address of the victim terminal is the IP address of the I / F on the attacked side of the target server 30.
The port number of the victim terminal is a standby port number of the service that has been attacked on the target server 30.
These IP addresses and port numbers are included in alert notifications from the target server 30 and can be acquired based on the notifications.

なお、被害端末のIPアドレスは、NATされている可能性があるため、注意が必要である。被害端末のIPアドレスがNATされている場合は、グローバルIPアドレスとプライベートIPアドレスの対応付けをすることで、被害端末のIPアドレスとして適切な値を取得することが可能である。   It should be noted that the IP address of the victim terminal may be NATed. When the IP address of the victim terminal is NATed, it is possible to obtain an appropriate value as the IP address of the victim terminal by associating the global IP address with the private IP address.

プロトコル番号は、攻撃を受けたサービスのプロトコル番号である。
攻撃を受けた時刻は、攻撃を検出した時刻である。
これらについても、標的サーバ30からのアラート通知等に含まれ、これにもとづき取得することが可能である。
The protocol number is the protocol number of the service under attack.
The time when the attack was received is the time when the attack was detected.
These are also included in the alert notification from the target server 30 and can be acquired based on this.

依頼内容は、不正端末からの通信の制御内容を特定する情報である。例えば、警告、遮断、帯域制御、検疫などとすることができ、複数指定することもできる。また、どのような攻撃に対して、どのような制御を行うかを特定する動作ルール情報を予め作成してパケット中継装置10に記憶させておき、この動作ルール情報にもとづき依頼内容を自動的に設定することも可能である。   The request content is information for specifying the control content of communication from an unauthorized terminal. For example, warning, blocking, bandwidth control, quarantine, and the like can be set, and a plurality can be designated. In addition, operation rule information specifying what kind of control is to be performed for what attack is created in advance and stored in the packet relay apparatus 10, and the request content is automatically based on this operation rule information. It is also possible to set.

次に、パケット中継装置10a上のエージェント1は、管理端末20から検索依頼101を受信すると、送信元のIPアドレスにもとづき検索ルールDB12を検索し、対応する検索ルールを取得する。
そして、エージェント1は検索ルールにもとづき検索処理を実行するか、エラーを返却するかの各種判定を実行する。図9に示す処理手順は、検索ルールにもとづく各エージェントによる判定がエラーにならなかった場合を示している。
Next, when the agent 1 on the packet relay device 10a receives the search request 101 from the management terminal 20, the agent 1 searches the search rule DB 12 based on the IP address of the transmission source and acquires the corresponding search rule.
Then, the agent 1 performs various determinations as to whether to execute a search process or return an error based on the search rule. The processing procedure shown in FIG. 9 shows a case where determination by each agent based on the search rule does not result in an error.

次に、パケット中継装置10a上のエージェント1は、通信ログ記憶部11における通信ログを参照し、標的サーバ30を攻撃したパケットの送信元を調べる。
具体的には、通信ログにおける「アドレス変換前の送信元IPアドレス」を参照し、このIPアドレスを備えた情報処理装置を、標的サーバ30を攻撃したパケットの発信元と推定する。
図1に示す本実施形態の場合、パケット中継装置10bのプロキシサーバが、標的サーバ30を攻撃したパケットの発信元と推定される。
Next, the agent 1 on the packet relay device 10 a refers to the communication log in the communication log storage unit 11 and checks the transmission source of the packet that attacked the target server 30.
Specifically, the “source IP address before address conversion” in the communication log is referred to, and the information processing apparatus having this IP address is estimated as the source of the packet that attacked the target server 30.
In the case of the present embodiment illustrated in FIG. 1, the proxy server of the packet relay device 10 b is estimated as the source of the packet that attacked the target server 30.

次に、パケット中継装置10a上のエージェント1は、検索依頼102を検索依頼情報としてパケット中継装置10b(プロキシサーバ)上のエージェント2へ中継する(ステップ11)。
このとき、エージェント1は、管理端末20から受信した検索依頼101を用いて、検索依頼102を作成し、これをパケット中継装置10bに送信する。
Next, the agent 1 on the packet relay device 10a relays the search request 102 as search request information to the agent 2 on the packet relay device 10b (proxy server) (step 11).
At this time, the agent 1 creates a search request 102 using the search request 101 received from the management terminal 20, and transmits it to the packet relay apparatus 10b.

このパケット中継装置10から送信される検索依頼情報の検索依頼102は、図10に示すように、例えば中継された検索依頼であることを示す制御コード、検索ID、検索対象の端末のIPアドレス、検索対象の端末のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、攻撃を受けた時刻、依頼内容(警告、遮断、帯域制御、検疫等)、検索ホップ数、検索経路リスト等からなるものとすることができる。   The search request information search request 102 transmitted from the packet relay apparatus 10 includes, for example, a control code indicating a relayed search request, a search ID, an IP address of a search target terminal, as shown in FIG. Search target terminal port number, victim terminal IP address, victim terminal port number, protocol number, time of attack, request contents (warning, blocking, bandwidth control, quarantine, etc.), number of search hops, search route list And the like.

検索依頼102における制御コードには、中継された検索依頼であることを示すものが設定される。
上記の検索依頼102の情報のうち、検索IDから依頼内容までの各情報は、検索依頼101におけるものと同様のものを設定することができる。なお、攻撃を受けた時刻は、各パケット中継装置10により、通信ログ記憶部11におけるセッション情報にもとづき更新することも可能である。
The control code in the search request 102 is set to indicate that the search request is relayed.
Of the information of the search request 102 described above, the same information as that in the search request 101 can be set for each information from the search ID to the request content. Note that the time of the attack can be updated by each packet relay device 10 based on the session information in the communication log storage unit 11.

検索ホップ数には、パケット中継装置10a上のエージェント1によりデクリメントされた後のものが含められる。
検索経路リストは、各エージェントによって、そのエージェントを備えたパケット中継装置10のIPアドレスが追加登録されて作成されるリストであり、検索経路のパケット中継装置10のIPアドレスが順番に含まれている。
この検索経路リストは、検索依頼を受けたタイミング又は検索結果を返信するタイミングで、エージェント機能制御部15により追加登録される。
The number of search hops includes the number after being decremented by the agent 1 on the packet relay apparatus 10a.
The search route list is a list that is created by additionally registering the IP address of the packet relay device 10 having the agent by each agent, and includes the IP address of the packet relay device 10 of the search route in order. .
This search path list is additionally registered by the agent function control unit 15 at a timing when a search request is received or when a search result is returned.

次に、パケット中継装置10aから検索依頼情報を受信したパケット中継装置10b上のエージェント2は、上述したパケット中継装置10aにおける場合と同様に、攻撃パケットの送信元の検索を行い、送信元と思われるパケット中継装置10c(中継ルータb)を特定する。そして、エージェント2は、パケット中継装置10c上のエージェント3へ管理端末20からの検索依頼を中継する(ステップ12)。
このとき、パケット中継装置10bからパケット中継装置10cへ中継される検索依頼103は、パケット中継装置10aからパケット中継装置10bへ中継された検索依頼102と同一のデータ構成をもつものとすることができる。
Next, the agent 2 on the packet relay device 10b that has received the search request information from the packet relay device 10a searches for the source of the attack packet, similarly to the case of the packet relay device 10a described above, and seems to be the source. The packet relay device 10c (relay router b) to be transmitted is specified. Then, the agent 2 relays the search request from the management terminal 20 to the agent 3 on the packet relay device 10c (step 12).
At this time, the search request 103 relayed from the packet relay apparatus 10b to the packet relay apparatus 10c can have the same data configuration as the search request 102 relayed from the packet relay apparatus 10a to the packet relay apparatus 10b. .

次に、パケット中継装置10c上のエージェント3は、上述したパケット中継装置10aにおける場合と同様に攻撃パケットの送信元の検索を行う(ステップ13)。
この検索の結果、不正端末40を特定できた場合、エージェント3は、予め制御ルールDB14に登録されている制御ルールの中から実施可能な制御コマンドの情報を取得し、不正端末40が特定できた旨と実施可能な制御コマンドの情報を含む検索結果情報を作成する。そして、管理端末20へ向けて検索結果情報を、検索依頼情報の中継経路を逆に辿って送信する。
Next, the agent 3 on the packet relay device 10c searches for the source of the attack packet in the same manner as in the packet relay device 10a described above (step 13).
As a result of this search, when the unauthorized terminal 40 can be identified, the agent 3 acquires information on control commands that can be executed from the control rules registered in the control rule DB 14 in advance, and the unauthorized terminal 40 can be identified. And search result information including information on the control command that can be executed. Then, the search result information is transmitted to the management terminal 20 by tracing the relay route of the search request information in reverse.

具体的には、パケット中継装置10c上のエージェント3は、検索結果104を検索結果情報として作成し、これをパケット中継装置10bに送信する(ステップ14)。
この検索結果104は、図11に示すように、例えば中継された検索依頼に対する結果であることを示す制御コード、検索ID、末端ノードID、検索対象の端末のIPアドレス、検索対象の端末のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、攻撃を受けた時刻、依頼内容(警告、遮断、帯域制御、検疫等(複数指定可能))、検索ホップ数、検索経路リスト、制御コマンドリスト、制御コマンドオプション、結果内容(コード、メッセージ)からなるものとすることができる。
Specifically, the agent 3 on the packet relay device 10c creates the search result 104 as search result information and transmits it to the packet relay device 10b (step 14).
As shown in FIG. 11, the search result 104 includes, for example, a control code indicating that the result is a relayed search request, a search ID, a terminal node ID, an IP address of the search target terminal, and a port of the search target terminal. Number, IP address of the victim terminal, port number of the victim terminal, protocol number, time of attack, request details (warning, blocking, bandwidth control, quarantine, etc. (multiple designation possible)), number of search hops, search route list, It can consist of a control command list, control command options, and result contents (code, message).

検索結果104における制御コードには、上記の通り、中継された検索依頼に対する結果であることを示すものが設定される。
また、上記の検索結果104の情報のうち、検索IDから検索経路リストまでの各情報は、末端ノードIDを除いて、検索依頼102,103におけるものと同様のものを設定することができる。
末端ノードIDは、不正端末直近のパケット中継装置からみて、制御対象の端末(不正端末40)を一意に特定可能な識別情報を示すものであり、例えばIPアドレス、MACアドレス、端末の認証IDなどを用いることができる。
As described above, the control code in the search result 104 is set to indicate that it is a result for the relayed search request.
Further, the information from the search ID to the search route list among the information of the search result 104 can be set to the same information as in the search requests 102 and 103 except for the terminal node ID.
The terminal node ID indicates identification information that can uniquely identify the terminal to be controlled (illegal terminal 40) as viewed from the packet relay apparatus nearest to the unauthorized terminal. For example, the IP address, MAC address, terminal authentication ID, and the like Can be used.

そして、パケット中継装置10cのエージェント3は、検索キャッシュDB13に新たなレコードを追加する。このとき、不正端末直近のパケット中継装置10のIPアドレスは当該パケット中継装置10cのIPアドレスを設定し、同装置10のポート番号はエージェント3のプログラムの待ち受けポート番号を設定する。また、末端ノードIDは、上記特定した不正端末40のものを設定する。また、検索キャッシュ更新時刻は更新する時刻を設定する。その他の情報については、検索依頼情報に含まれる情報にもとづき設定することができる。   Then, the agent 3 of the packet relay device 10c adds a new record to the search cache DB 13. At this time, the IP address of the packet relay device 10 closest to the unauthorized terminal is set to the IP address of the packet relay device 10c, and the port number of the device 10 is set to the standby port number of the agent 3 program. Also, the terminal node ID is set to that of the identified unauthorized terminal 40. The search cache update time is set to the time for update. Other information can be set based on information included in the search request information.

次に、パケット中継装置10bが検索結果104を受信すると、パケット中継装置10b上のエージェント2は、検索結果104における検索経路リストにもとづいて、検索結果情報の次の中継先として、パケット中継装置10aを特定する。
そして、エージェント2は、検索結果104にもとづき検索キャッシュDB13に対してレコードを更新する。
このとき、検索キャッシュDB13における不正端末直近のパケット中継装置10のIPアドレス及びポート番号は、検索結果104における検索経路リストから設定することができる。
Next, when the packet relay apparatus 10b receives the search result 104, the agent 2 on the packet relay apparatus 10b uses the packet relay apparatus 10a as the next relay destination of the search result information based on the search route list in the search result 104. Is identified.
Then, the agent 2 updates the record to the search cache DB 13 based on the search result 104.
At this time, the IP address and port number of the packet relay device 10 nearest to the unauthorized terminal in the search cache DB 13 can be set from the search route list in the search result 104.

そして、検索結果104にもとづき検索結果105を検索結果情報として作成し、これをパケット中継装置10aに送信する(ステップ15)。
この検索結果105のデータ構造は、検索結果104と同様のものとすることができる。
Then, based on the search result 104, the search result 105 is created as search result information and transmitted to the packet relay apparatus 10a (step 15).
The data structure of the search result 105 can be the same as that of the search result 104.

次に、パケット中継装置10aが検索結果105を受信すると、パケット中継装置10a上のエージェント1は、検索結果105における検索経路リストにもとづいて、検索結果情報の次の中継先として、管理端末20を特定する。
そして、エージェント1は、検索結果105にもとづき検索キャッシュDB13に対してレコードを更新する。
このとき、検索キャッシュDB13における不正端末直近のパケット中継装置10のIPアドレス及びポート番号は、検索結果105における検索経路リストから設定することができる。
Next, when the packet relay apparatus 10 a receives the search result 105, the agent 1 on the packet relay apparatus 10 a uses the management terminal 20 as the next relay destination of the search result information based on the search route list in the search result 105. Identify.
Then, the agent 1 updates the record to the search cache DB 13 based on the search result 105.
At this time, the IP address and port number of the packet relay apparatus 10 nearest to the unauthorized terminal in the search cache DB 13 can be set from the search route list in the search result 105.

そして、エージェント1は、検索結果105にもとづき検索結果106を検索結果情報として作成し、これを管理端末20に送信する(ステップ16)。
この検索結果106は、図11に示すように、例えば検索依頼に対する結果であることを示す制御コード、検索結果(コード、メッセージ)、検索ID、制御コマンドリスト、制御オプションリストからなるものとすることができる。
Then, the agent 1 creates a search result 106 as search result information based on the search result 105, and transmits it to the management terminal 20 (step 16).
As shown in FIG. 11, this search result 106 includes, for example, a control code indicating that the result is a search request, a search result (code, message), a search ID, a control command list, and a control option list. Can do.

[不正端末の制御処理手順の概要]
次に、本実施形態の攻撃パケット対策システムにおける不正端末の制御処理手順の概要を、図12を参照して説明する。同図は、同システムにおける不正端末の制御処理手順を示す動作手順図である。
[Outline of unauthorized terminal control processing procedure]
Next, an outline of the control processing procedure of the unauthorized terminal in the attack packet countermeasure system of this embodiment will be described with reference to FIG. FIG. 3 is an operation procedure diagram showing the control processing procedure of the unauthorized terminal in the system.

まず、管理端末20がパケット中継装置10aから検索結果106を受信すると、管理端末20における制御依頼手段23は、検索結果106における制御コマンドリスト及び制御コマンドオプションリストから実施可能な制御コマンド及びそのオプションを一つ選択する。
この選択は、予め選択基準を定義(ルール化)し、パケット中継装置10に記憶させておくことで自動化することが可能である。
First, when the management terminal 20 receives the search result 106 from the packet relay apparatus 10a, the control request unit 23 in the management terminal 20 displays a control command and its options that can be executed from the control command list and the control command option list in the search result 106. Select one.
This selection can be automated by defining (ruled) a selection criterion in advance and storing it in the packet relay apparatus 10.

次に、管理端末20の制御依頼手段23は、検索結果106にもとづき制御依頼111を作成して、これを検索結果106の送信元であるパケット中継装置10a上のエージェント1に送信する(ステップ20)。
この制御依頼111は、図13に示すように、例えば制御依頼であることを示す制御コード、制御ID(対応する検索依頼情報における検索IDと同一)、制御コマンド、制御コマンドオプションからなるものとすることができる。
Next, the control request unit 23 of the management terminal 20 creates a control request 111 based on the search result 106 and transmits it to the agent 1 on the packet relay apparatus 10a that is the transmission source of the search result 106 (step 20). ).
As shown in FIG. 13, the control request 111 includes, for example, a control code indicating that the request is a control request, a control ID (same as the search ID in the corresponding search request information), a control command, and a control command option. be able to.

次に、パケット中継装置10a上のエージェント1は、管理端末20から制御依頼111を受信すると、この制御依頼111における制御IDにもとづき検索キャッシュDB13を検索して、攻撃元直近のパケット中継装置10cと不正端末40を特定する。
このとき、エージェント1は、検索キャッシュDB13から不正端末直近のパケット中継装置10のIPアドレス、不正端末直近のパケット中継装置10上で動作するエージェントプログラムの待ち受けポート番号、末端ノードIDを取得することで、攻撃元直近のパケット中継装置10cと不正端末40を特定することができる。
Next, when the agent 1 on the packet relay device 10a receives the control request 111 from the management terminal 20, the agent 1 searches the search cache DB 13 based on the control ID in the control request 111, and the packet relay device 10c nearest to the attack source. The unauthorized terminal 40 is specified.
At this time, the agent 1 acquires from the search cache DB 13 the IP address of the packet relay device 10 closest to the unauthorized terminal, the standby port number of the agent program operating on the packet relay device 10 closest to the unauthorized terminal, and the terminal node ID. The packet relay device 10c and the unauthorized terminal 40 that are closest to the attack source can be specified.

そして、エージェント1は、この検索キャッシュDB13から取得した情報と、制御依頼111にもとづき制御依頼112を作成し、不正端末直近のパケット中継装置10c上のエージェント3に制御依頼112を送信する(ステップ21)。
この制御依頼112は、図13に示すように、例えば中継された制御依頼であることを示す制御コード、末端ノードID、制御コマンド、制御コマンドオプションからなるものとすることができる。
Then, the agent 1 creates a control request 112 based on the information acquired from the search cache DB 13 and the control request 111, and transmits the control request 112 to the agent 3 on the packet relay device 10c closest to the unauthorized terminal (step 21). ).
As shown in FIG. 13, the control request 112 can be composed of, for example, a control code indicating a relayed control request, a terminal node ID, a control command, and a control command option.

次に、パケット中継装置10c上のエージェント3は、パケット中継装置10aから制御依頼112を受信すると、この制御依頼112に含まれる末端ノードIDに対応する不正端末40に対して、制御コマンドを実行する(ステップ22)。
これによって、不正端末40からの通信に対して、制御コマンドに応じた制御を行うことができ、不正端末40による標的サーバ30に対する以降の攻撃を防止することが可能となる。
Next, when the agent 3 on the packet relay device 10c receives the control request 112 from the packet relay device 10a, the agent 3 executes a control command for the unauthorized terminal 40 corresponding to the terminal node ID included in the control request 112. (Step 22).
Thereby, it is possible to control the communication from the unauthorized terminal 40 according to the control command, and it is possible to prevent subsequent attacks on the target server 30 by the unauthorized terminal 40.

次に、パケット中継装置10c上のエージェント3は、図13に示すような、制御コマンドの実行結果(コード、メッセージ)を含む制御結果113を作成し、この制御結果113を制御依頼112の送信元であるパケット中継装置10a上のエージェント1に送信する(ステップ23)。
次に、パケット中継装置10a上のエージェント1は、制御依頼111の送信元である管理端末20に、制御コマンドの実行結果(コード、メッセージ)を含む制御結果114を送信する(ステップ24)。
Next, the agent 3 on the packet relay apparatus 10c creates a control result 113 including a control command execution result (code, message) as shown in FIG. Is transmitted to the agent 1 on the packet relay apparatus 10a (step 23).
Next, the agent 1 on the packet relay apparatus 10a transmits the control result 114 including the execution result (code, message) of the control command to the management terminal 20 that is the transmission source of the control request 111 (step 24).

なお、このように検索依頼と制御依頼とを分けて、検索処理と制御処理を別個にパケット中継装置10に実行させる構成としているのは、組織内のポリシーにしたがって、不正端末からの通信を柔軟に制御可能にするためである。
すなわち、検索依頼と制御依頼とを分けることによって、これらの送信元でいずれか一方の処理のみを選択することができ、また一定の制御依頼のみをまとめて連続して実行することなども可能となる。
Note that the configuration in which the search request and the control request are separated and the packet relay apparatus 10 executes the search process and the control process separately in this way allows flexible communication from unauthorized terminals according to the policy in the organization. This is to make it controllable.
In other words, by separating search requests and control requests, only one of these processes can be selected at these transmission sources, and only certain control requests can be executed in succession. Become.

なお、各パケット中継装置10上のエージェント間の通信は、公開鍵暗号方式を用いて暗号化し、機密性、完全性を保持することが好ましい。隣接するネットワーク装置の制御は、SNMP(Simple Network Management Protocol)、NETCONF(Network
Configuration)構成プロトコルなどの予め登録しておいたコマンド(装置専用のツール)などで行うことができる。
Note that communication between agents on each packet relay apparatus 10 is preferably encrypted using a public key cryptosystem to maintain confidentiality and integrity. Adjacent network devices are controlled by SNMP (Simple Network Management Protocol), NETCONF (Network
Configuration) This can be performed by a command (tool dedicated to the device) registered in advance such as a configuration protocol.

[エージェント機能制御部15による処理手順]
次に、図14を参照して、エージェント機能制御部15の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10におけるエージェント機能制御部15の処理手順を示すフローチャートである。
[Processing procedure by agent function control unit 15]
Next, the processing of the agent function control unit 15 will be described in detail with reference to FIG. FIG. 2 is a flowchart showing a processing procedure of the agent function control unit 15 in the packet relay apparatus 10 of the attack packet countermeasure system of the present embodiment.

まず、エージェント機能制御部15は、外部の情報処理装置から当該パケット中継装置10に送信されてきた各種処理要求情報を入力する(ステップ30)。
そして、エージェント機能制御部15は、この処理要求情報が、検索依頼、制御依頼、終了依頼のいずれであるかを判別し、それぞれに応じた処理を実行する。
その具体的な判別方法は特に限定されるものではないが、処理要求情報にこれらを識別するための制御コードをもたせ、これにもとづき判別する構成とすることができる。
First, the agent function control unit 15 inputs various processing request information transmitted from the external information processing apparatus to the packet relay apparatus 10 (step 30).
Then, the agent function control unit 15 determines whether the process request information is a search request, a control request, or an end request, and executes a process corresponding to each request.
The specific determination method is not particularly limited. However, the processing request information may be provided with a control code for identifying these, and the determination may be performed based on the control code.

次に、エージェント機能制御部15は、処理要求情報が検索依頼情報である場合(ステップ31のYes)、この検索依頼情報に含まれている検索IDをキーとして、既に同じ検索依頼情報を受信しているかどうかを確認する(ステップ32)。
その具体的な確認方法は特に限定されるものではないが、たとえば、エージェント機能制御部15が、検索ループが生じていないと判断したタイミング(ステップ32のYesのタイミング)で、図示しない記憶手段に、受信した検索依頼情報に含まれる検索IDを処理中、あるいは処理済みの検索依頼情報の識別子として格納しておき、新たに受信した検索依頼情報に含まれる検索IDと図示しない記憶手段に格納した検索IDとを照合して、同じ検索依頼情報を受信しているかどうかを判別する方法がある。
そして、既に同じ検索依頼情報を受信している場合は、検索ループが生じたと判断して、検索依頼情報の送信元にエラーを返す(ステップ33)。
Next, when the processing request information is search request information (Yes in step 31), the agent function control unit 15 has already received the same search request information using the search ID included in the search request information as a key. (Step 32).
The specific confirmation method is not particularly limited. For example, at the timing when the agent function control unit 15 determines that the search loop has not occurred (the timing of Yes in step 32), it is stored in a storage unit (not shown). The search ID included in the received search request information is stored as an identifier of the search request information being processed or processed, and stored in a storage means (not shown) and the search ID included in the newly received search request information. There is a method of collating a search ID to determine whether or not the same search request information is received.
If the same search request information has already been received, it is determined that a search loop has occurred, and an error is returned to the transmission source of the search request information (step 33).

過去に既に同じ検索依頼情報を受信していない場合、すなわち検索ループが生じていない場合は、エージェント機能制御部15は、不正端末40の検索処理を実行させるため、不正端末検索部16に検索依頼情報を出力し、検索を依頼する(ステップ34)。   If the same search request information has not been received in the past, that is, if no search loop has occurred, the agent function control unit 15 causes the unauthorized terminal search unit 16 to perform a search request in order to cause the unauthorized terminal 40 to perform a search process. Information is output and a search is requested (step 34).

そして、エージェント機能制御部15は、不正端末検索部16から検索実行結果を入力する(ステップ35)。
検索実行結果がエラーを示すものである場合、エージェント機能制御部15は、検索依頼情報の送信元にエラー情報を返信する(ステップ36のNo)。
Then, the agent function control unit 15 inputs a search execution result from the unauthorized terminal search unit 16 (step 35).
If the search execution result indicates an error, the agent function control unit 15 returns error information to the transmission source of the search request information (No in step 36).

一方、検索実行結果がエラーを示すものでない場合(ステップ36のYes)、エージェント機能制御部15は、検索実行結果にもとづき検索キャッシュDB13の更新処理を実行させるため、不正端末検索部16に検索キャッシュ更新依頼情報を出力し、当該DBの更新を依頼する(ステップ37)。   On the other hand, if the search execution result does not indicate an error (Yes in step 36), the agent function control unit 15 causes the unauthorized terminal search unit 16 to execute the search cache in order to execute update processing of the search cache DB 13 based on the search execution result. Update request information is output, and an update of the DB is requested (step 37).

次に、エージェント機能制御部15は、検索依頼情報に含まれている検索経路リストに、当該パケット中継装置10のIPアドレス及び待ち受けポート番号を追加して、当該検索依頼情報を更新する(ステップ38)。
そして、エージェント機能制御部15は、検索依頼情報の中継が必要であるか否かを判定する(ステップ39)。
Next, the agent function control unit 15 adds the IP address and the standby port number of the packet relay apparatus 10 to the search route list included in the search request information, and updates the search request information (step 38). ).
Then, the agent function control unit 15 determines whether or not the search request information needs to be relayed (step 39).

このとき、エージェント機能制御部15は、検索実行結果に含まれる、検索により特定された攻撃元のノードIDが、当該パケット中継装置10における下流ノードリストに存在するかどうかを確認する。
そして、特定した攻撃元のノードIDが、下流ノードリストに存在しない場合は、不正端末40を特定できたと判断し、中継は必要でないと判定する(ステップ39のNo)。
At this time, the agent function control unit 15 confirms whether or not the attack source node ID specified by the search included in the search execution result exists in the downstream node list in the packet relay apparatus 10.
If the identified node ID of the attack source does not exist in the downstream node list, it is determined that the unauthorized terminal 40 has been identified, and it is determined that relaying is not necessary (No in step 39).

この場合、エージェント機能制御部15は、検索結果情報(攻撃元が特定できた旨と実行可能な制御コマンドを含む)を作成し、これを検索依頼情報の送信元に返信する(ステップ33)。
一方、特定した攻撃元のノードIDが、下流ノードリストに存在する場合は、まだ不正端末40を特定できていないと判断し、中継が必要であると判定する(ステップ39のYes)。
In this case, the agent function control unit 15 creates search result information (including that the attack source has been identified and an executable control command), and returns this to the transmission source of the search request information (step 33).
On the other hand, when the identified node ID of the attack source is present in the downstream node list, it is determined that the unauthorized terminal 40 has not yet been identified, and it is determined that relaying is necessary (Yes in step 39).

この場合、エージェント機能制御部15は、検索依頼情報における「攻撃を受けた時刻」を、検索実行結果に含まれるセッション開始時刻で置き換えることで補正する(ステップ40)。
そして、エージェント機能制御部15は、下流ノードリストにもとづき優先度の高い順で下流ノードのパケット中継装置10に検索依頼情報を送信する(ステップ41)。
次に、この下流ノードのパケット中継装置10から検索結果情報を受信すると(ステップ42)、エージェント機能制御部15は、検索結果情報を検索依頼情報の送信元に返信する(ステップ33)。
In this case, the agent function control unit 15 corrects the “requested attack time” in the search request information by replacing it with the session start time included in the search execution result (step 40).
Then, the agent function control unit 15 transmits the search request information to the packet relay device 10 of the downstream node in descending order of priority based on the downstream node list (step 41).
Next, when the search result information is received from the packet relay apparatus 10 of the downstream node (step 42), the agent function control unit 15 returns the search result information to the transmission source of the search request information (step 33).

次に、エージェント機能制御部15は、処理要求情報が制御依頼情報である場合(ステップ43のYes)、不正端末40からの通信の制御処理を実行させるため、不正端末制御部17に制御依頼情報を出力し、制御を依頼する(ステップ44)。
そして、エージェント機能制御部15は、不正端末制御部17から制御実行結果を入力する(ステップ45)。この制御実行結果は、制御コード、終了コード(エラー番号など)、メッセージ(成功しましたなど)等を含むものとすることができる。
Next, when the process request information is the control request information (Yes in Step 43), the agent function control unit 15 causes the unauthorized terminal control unit 17 to execute the control request information in order to execute the control process of communication from the unauthorized terminal 40. Is requested and control is requested (step 44).
Then, the agent function control unit 15 inputs a control execution result from the unauthorized terminal control unit 17 (step 45). This control execution result may include a control code, an end code (such as an error number), a message (such as successful), and the like.

次に、エージェント機能制御部15は、制御依頼情報の中継が必要であるか否かを判定する(ステップ46)。
このとき、エージェント機能制御部15は、入力した制御実行結果がエラーを示すものではなく、かつ、制御依頼情報における制御コードが、中継されていない制御依頼であることを示すもの(管理端末から直接送信されたもの)である場合は、中継が必要であると判定する。
Next, the agent function control unit 15 determines whether or not relaying of control request information is necessary (step 46).
At this time, the agent function control unit 15 indicates that the input control execution result does not indicate an error, and the control code in the control request information indicates that the control request is not relayed (directly from the management terminal). It is determined that relaying is necessary.

また、入力した制御実行結果がエラーを示すものではなく、かつ、制御依頼情報における制御コードが、中継された制御依頼であることを示すものである場合は、中継が必要でないと判定する。
また、入力した制御実行結果がエラーを示すものである場合は、中継が必要でないと判定する。
If the input control execution result does not indicate an error, and the control code in the control request information indicates that the control request is relayed, it is determined that relaying is not necessary.
When the input control execution result indicates an error, it is determined that relaying is not necessary.

そして、エージェント機能制御部15は、中継が必要であると判定した場合(ステップ46のYes)、制御依頼情報を不正端末40の直近のパケット中継装置10に送信する(ステップ47)。
このとき、エージェント機能制御部15は、不正端末検索部16により制御依頼情報における制御ID(=検索ID)をキーとして、検索キャッシュDB13を検索させ、ヒットしたレコードの不正端末の直近のパケット中継装置のIPアドレス、及び同パケット中継装置上で動作するエージェントプログラムの待ち受けポート番号を取得する。
そして、取得したIPアドレス及びポート番号にもとづいて、上記制御依頼情報の送信を行う。
If the agent function control unit 15 determines that relaying is necessary (Yes in step 46), the agent function control unit 15 transmits control request information to the packet relay device 10 closest to the unauthorized terminal 40 (step 47).
At this time, the agent function control unit 15 causes the illegal terminal search unit 16 to search the search cache DB 13 using the control ID (= search ID) in the control request information as a key, and the packet relay device nearest to the illegal terminal of the hit record And the standby port number of the agent program operating on the packet relay apparatus.
Then, the control request information is transmitted based on the acquired IP address and port number.

また、エージェント機能制御部15は、不正端末40の直近のパケット中継装置10から制御結果情報を受信し(ステップ48)、これを制御依頼情報の送信元(この場合は、管理端末20)に送信する(ステップ49)。
また、エージェント機能制御部15は、入力した制御実行結果がエラーを示すものではない場合において、中継が必要でないと判定した場合(ステップ46のNo)、制御結果情報を制御依頼情報の送信元(この場合は、パケット中継装置10)に送信する(ステップ49)。
Further, the agent function control unit 15 receives the control result information from the packet relay device 10 nearest to the unauthorized terminal 40 (step 48), and transmits it to the transmission source of the control request information (in this case, the management terminal 20). (Step 49).
In addition, when the input control execution result does not indicate an error and the agent function control unit 15 determines that relaying is not necessary (No in step 46), the agent function control unit 15 transmits the control result information to the transmission source of the control request information (No. In this case, the packet is transmitted to the packet relay device 10) (step 49).

また、エージェント機能制御部15は、入力した制御実行結果がエラーを示すものであり、中継が必要でないと判定した場合(ステップ46のNo)は、制御処理がエラーになったことを示す制御結果情報を、制御依頼情報の送信元に返信する(ステップ49)。
さらに、処理要求依頼が、終了依頼である場合は(ステップ50のYes)、エージェント機能制御部15は、処理を終了する。
When the agent function control unit 15 determines that the input control execution result indicates an error and relay is not necessary (No in step 46), the control result indicating that the control process has an error. Information is returned to the transmission source of the control request information (step 49).
Furthermore, when the processing request is an end request (Yes in step 50), the agent function control unit 15 ends the processing.

[不正端末検索部16による処理手順]
次に、図15を参照して、不正端末検索部16の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10における不正端末検索部16の処理手順を示すフローチャートである。
[Processing Procedure by Unauthorized Terminal Search Unit 16]
Next, the process of the unauthorized terminal search unit 16 will be described in detail with reference to FIG. FIG. 3 is a flowchart showing the processing procedure of the unauthorized terminal search unit 16 in the packet relay device 10 of the attack packet countermeasure system of this embodiment.

まず、不正端末検索部16は、エージェント機能制御部15から、処理要求情報として検索依頼情報、検索キャッシュ更新依頼情報、又は終了依頼情報を入力する(ステップ60)。
入力した処理要求情報が検索依頼情報である場合(ステップ61のYes)、不正端末検索部16は、検索依頼情報のパケットにおける依頼元のIPアドレスをキーとして、検索ルールDB12を検索し、「検索元」のネットワークアドレスがマッチする検索ルールを特定する。
First, the unauthorized terminal search unit 16 inputs search request information, search cache update request information, or end request information as processing request information from the agent function control unit 15 (step 60).
If the input processing request information is search request information (Yes in step 61), the unauthorized terminal search unit 16 searches the search rule DB 12 using the IP address of the request source in the search request information packet as a key. Identify search rules that match the "original" network address.

そして、全ての検索ルールを確認した結果、どのルールの検索元のネットワークアドレスにも上記送信元のIPアドレスがマッチしない場合、不正端末検索部16は、検索不可と判定し(ステップ62のNo)、エージェント機能制御部15にエラーを返す(ステップ68)。   Then, as a result of checking all search rules, if the IP address of the transmission source does not match the network address of the search source of any rule, the unauthorized terminal search unit 16 determines that the search is impossible (No in step 62). An error is returned to the agent function control unit 15 (step 68).

一方、検索ルールが特定できた場合、不正端末検索部16は、検索依頼情報における検索ホップ数をデクリメントする。次に、検索ルールDB12における特定した検索ルールの検索ホップ数が、検索依頼情報におけるデクリメント前の検索ホップ数よりも小さい場合、不正端末検索部16は、検索依頼情報における検索ホップ数を、検索ルールDB12における検索ホップ数で置き換える。
そして、不正端末検索部16は、デクリメント後の検索ホップ数が0以下になった場合は(ステップ63のNo)、エージェント機能制御部15にエラーを返す(ステップ68)。
On the other hand, when the search rule can be identified, the unauthorized terminal search unit 16 decrements the number of search hops in the search request information. Next, when the number of search hops of the specified search rule in the search rule DB 12 is smaller than the number of search hops before decrement in the search request information, the unauthorized terminal search unit 16 determines the number of search hops in the search request information as the search rule. Replace with the number of search hops in DB12.
If the number of search hops after decrement becomes 0 or less (No in Step 63), the unauthorized terminal search unit 16 returns an error to the agent function control unit 15 (Step 68).

一方、デクリメント後の検索ホップ数が0以下にならなかった場合は(ステップ63のYes)、検索依頼情報における検索IDをキーとして検索キャッシュDB13を検索し、当該検索IDに対応する検索キャッシュが存在するか否かを確認する。
そして、対応する検索キャッシュが存在し、ヒットした場合は(ステップ64のNo)、この検索キャッシュにもとづき検索に成功した旨を含む検索実行結果を作成して、これをエージェント機能制御部15に出力する(ステップ68)。
このとき、検索実行結果には、検索キャッシュにおける、不正端末直近のパケット中継装置のIPアドレス、同装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション、末端ノードID等が含められる。
On the other hand, if the number of search hops after decrement is not less than or equal to 0 (Yes in step 63), the search cache DB 13 is searched using the search ID in the search request information as a key, and a search cache corresponding to the search ID exists. Confirm whether or not to do.
If the corresponding search cache exists and hits (No in step 64), a search execution result including that the search is successful is created based on this search cache, and this is output to the agent function control unit 15 (Step 68).
At this time, the search execution result includes the IP address of the packet relay device nearest to the unauthorized terminal in the search cache, the standby port number of the agent program operating on the same device, the executable control command and its options, the end node ID, etc. Is included.

対応する検索キャッシュが存在せず、ヒットしなかった場合は(ステップ64のYes)、通信ログ記憶部11を参照して、攻撃元(不正端末40又はパケット中継装置10)を検出する(ステップ65)。
このとき、不正端末検索部16は、検索依頼情報に含まれる検索対象の端末のIPアドレス、検索対象の端末のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、攻撃を受けた時刻と、通信ログに含まれる中継後の送信元IPアドレス、中継後の送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、セッション情報とをそれぞれ照合し、該当する通信ログを特定する。そして、特定した通信ログの中継前の送信元IPアドレスを備えた情報処理装置を攻撃元(不正端末40又はパケット中継装置10)として特定する。
攻撃元を検出できなかった場合は(ステップ66のNo)、エージェント機能制御部15にエラーを返す(ステップ68)。
If there is no corresponding search cache and no hit is found (Yes in step 64), the communication log storage unit 11 is referenced to detect the attack source (the unauthorized terminal 40 or the packet relay device 10) (step 65). ).
At this time, the unauthorized terminal search unit 16 receives the IP address of the search target terminal, the port number of the search target terminal, the IP address of the victim terminal, the port number of the victim terminal, the protocol number, and the attack included in the search request information. The corresponding communication log is identified by comparing the relay time with the post-relay source IP address, post-relay source port number, destination IP address, destination port number, protocol number, and session information included in the communication log. To do. Then, the information processing apparatus having the transmission source IP address before relaying the identified communication log is identified as the attack source (the unauthorized terminal 40 or the packet relay apparatus 10).
If the attack source cannot be detected (No in step 66), an error is returned to the agent function control unit 15 (step 68).

次に、不正端末検索部16は、攻撃元を検出できた場合は(ステップ66のYes)、攻撃元の端末のノードID、セッション情報(セッション開始時刻、セッション開始から終了までの時間)を通信ログ記憶部11から取得する。また、検索依頼情報のパケットにおける依頼元のIPアドレスをキーとして、制御ルールDB14を検索し、制御元のIPアドレスがマッチするレコードの制御コマンド及び制御オプションを取得する(ステップ67)。
そして、不正端末検索部16は、これらの取得した情報(攻撃元の端末のノードID、セッション情報、制御コマンド及び制御オプション)と、検索に成功した旨を含む検索実行結果を、エージェント機能制御部15に出力する(ステップ68)。
Next, if the attack source can be detected (Yes in step 66), the unauthorized terminal search unit 16 communicates the node ID of the attack source terminal and session information (session start time, time from session start to end). Obtained from the log storage unit 11. Further, the control rule DB 14 is searched using the requesting IP address in the search request information packet as a key, and a control command and a control option of a record matching the control source IP address are acquired (step 67).
Then, the unauthorized terminal search unit 16 sends the acquired information (node ID of the attack source terminal, session information, control command and control option) and the search execution result including the search success to the agent function control unit. 15 (step 68).

一方、入力した処理要求情報が検索キャッシュ更新依頼情報(制御コード以外は検索依頼情報と同内容の情報)である場合(ステップ69のYes)、不正端末検索部16は、この検索依頼情報にもとづいて検索キャッシュDB13にレコードを追加更新する(ステップ70)。   On the other hand, when the input processing request information is search cache update request information (information having the same contents as the search request information except for the control code) (Yes in step 69), the unauthorized terminal search unit 16 uses the search request information. Then, the record is additionally updated in the search cache DB 13 (step 70).

このとき、不正端末検索部16は、検索キャッシュDB13に、検索ID、検索対象のIPアドレス、検索対象のポート番号、被害端末のIPアドレス、被害端末のポート番号、プロトコル番号、セッション情報(セッション開始時刻、セッション終了までの時間)、検索キャッシュ更新時刻を備えるレコードを追加する。   At this time, the unauthorized terminal searching unit 16 stores the search ID, the IP address to be searched, the port number to be searched, the IP address of the damaged terminal, the port number of the damaged terminal, the protocol number, and session information (session start) in the search cache DB 13. Record with time, time until session end) and search cache update time.

また、不正端末40が特定できた場合であって、キャッシュ更新依頼情報を入力した場合、不正端末検索部16は、上記の情報に加え、さらに不正端末直近のパケット中継装置のIPアドレス、不正端末直近のパケット中継装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション(それぞれ複数登録可)、末端ノードID等を備えたレコードを検索キャッシュDB13に追加する。   Further, when the unauthorized terminal 40 can be identified and the cache update request information is input, the unauthorized terminal search unit 16 further adds the IP address of the packet relay device nearest to the unauthorized terminal, the unauthorized terminal, in addition to the above information. A record including a standby port number of an agent program operating on the latest packet relay device, executable control commands and their options (each can be registered in plural), a terminal node ID, and the like is added to the search cache DB 13.

そして、不正端末検索部16は、検索キャッシュDB13を更新した後、更新が成功したか否かを示す更新実行結果をエージェント機能制御部15に返す(ステップ68)。
さらに、入力した処理要求情報が終了依頼情報である場合(ステップ71のYes)、不正端末検索部16は、処理を終了する。
Then, after updating the search cache DB 13, the unauthorized terminal search unit 16 returns an update execution result indicating whether or not the update is successful to the agent function control unit 15 (step 68).
Furthermore, when the input processing request information is end request information (Yes in step 71), the unauthorized terminal search unit 16 ends the processing.

[不正端末制御部17による処理手順]
次に、図16を参照して、不正端末制御部17の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10における不正端末制御部17の処理手順を示すフローチャートである。
[Processing Procedure by Unauthorized Terminal Control Unit 17]
Next, the processing of the unauthorized terminal control unit 17 will be described in detail with reference to FIG. FIG. 3 is a flowchart showing a processing procedure of the unauthorized terminal control unit 17 in the packet relay device 10 of the attack packet countermeasure system of the present embodiment.

まず、不正端末制御部17は、エージェント機能制御部15から、処理要求情報として制御依頼情報、又は終了依頼情報を入力する(ステップ80)。
入力した処理要求情報が制御依頼情報である場合(ステップ81のYes)、不正端末制御部17は、制御依頼情報のパケットにおける依頼元のIPアドレスをキーとして、制御ルールDB14を検索し、「制御元」のネットワークアドレスがマッチする制御ルールを特定する。
First, the unauthorized terminal control unit 17 inputs control request information or end request information as processing request information from the agent function control unit 15 (step 80).
When the input processing request information is control request information (Yes in step 81), the unauthorized terminal control unit 17 searches the control rule DB 14 using the IP address of the request source in the control request information packet as a key. Identify the control rule that matches the "original" network address.

そして、全ての制御ルールを確認した結果、どのルールの制御元のネットワークアドレスにも上記送信元のIPアドレスがマッチしない場合、不正端末制御部17は、制御不可と判定し(ステップ82のNo)、エージェント機能制御部15にエラーを返す(ステップ88)。   Then, as a result of checking all the control rules, if the source IP address does not match the control source network address of any rule, the unauthorized terminal control unit 17 determines that control is not possible (No in step 82). An error is returned to the agent function control unit 15 (step 88).

一方、制御ルールが特定できた場合(ステップ82のYes)、不正端末制御部17は、制御依頼情報が管理端末20から直接送信されてきたものであるか、又はパケット中継装置10により中継されて送信されてきたものであるかを、制御コードにもとづき判定する(ステップ83)。   On the other hand, when the control rule can be identified (Yes in step 82), the unauthorized terminal control unit 17 determines whether the control request information is directly transmitted from the management terminal 20 or is relayed by the packet relay device 10. It is determined based on the control code whether it has been transmitted (step 83).

制御依頼情報が管理端末20から直接送信されてきたものである場合(ステップ83のNo)、制御依頼情報における制御ID(=検索ID)をキーとして、検索キャッシュDB13を検索し、対応する検索キャッシュが存在するか否かを確認する(ステップ84)。   When the control request information is transmitted directly from the management terminal 20 (No in step 83), the search cache DB 13 is searched using the control ID (= search ID) in the control request information as a key, and the corresponding search cache Is checked (step 84).

そして、対応する検索キャッシュが存在しない場合(ステップ84のNo)、不正端末制御部17は、エージェント機能制御部15にエラーを返す(ステップ88)。
一方、対応する検索キャッシュが存在した場合(ステップ84のYes)、不正端末制御部17は、この検索キャッシュから制御情報(不正端末直近のパケット中継装置のIPアドレス、同装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション、制御元、末端ノードID等)を取得する(ステップ85)。
そして、不正端末制御部17は、この取得した制御情報をエージェント機能制御部15に返す(ステップ88)。
If the corresponding search cache does not exist (No in step 84), the unauthorized terminal control unit 17 returns an error to the agent function control unit 15 (step 88).
On the other hand, if there is a corresponding search cache (Yes in step 84), the unauthorized terminal control unit 17 sends control information (IP address of the packet relay device nearest to the unauthorized terminal, agent program running on the same device) from this search cache. Standby port number, executable control command and its options, control source, terminal node ID, etc.) are acquired (step 85).
Then, the unauthorized terminal control unit 17 returns the acquired control information to the agent function control unit 15 (step 88).

制御依頼情報がパケット中継装置10により中継されて送信されてきたものである場合(ステップ83のYes)、不正端末制御部17は、制御ルールにおける制御タイプと、制御依頼情報における制御タイプがマッチするか否かを確認する(ステップ86)。
そして、マッチしない場合(ステップ86のNo)、不正端末制御部17は、エージェント機能制御部15にエラーを返す(ステップ88)。
When the control request information is relayed and transmitted by the packet relay device 10 (Yes in step 83), the unauthorized terminal control unit 17 matches the control type in the control rule with the control type in the control request information. (Step 86).
If there is no match (No at step 86), the unauthorized terminal control unit 17 returns an error to the agent function control unit 15 (step 88).

一方、マッチする場合(ステップ86のYes)、不正端末制御部17は、制御依頼情報における制御コマンドを、制御依頼情報における制御オプションにより実行する(ステップ87)。
そして、不正端末制御部17は、制御コマンドの実行結果を含む制御実行結果をエージェント機能制御部15に返す(ステップ88)。
さらに、入力した処理要求情報が終了依頼情報である場合(ステップ89のYes)、不正端末制御部17は、処理を終了する。
On the other hand, if there is a match (Yes in step 86), the unauthorized terminal control unit 17 executes the control command in the control request information with the control option in the control request information (step 87).
Then, the unauthorized terminal control unit 17 returns the control execution result including the execution result of the control command to the agent function control unit 15 (step 88).
Furthermore, when the input process request information is end request information (Yes in step 89), the unauthorized terminal control unit 17 ends the process.

以上説明したように、本実施形態の攻撃パケット対策システムによれば、ある組織のネットワークに属する不正端末を、ネットワークの匿名性を維持しつつ、別組織のネットワークに属する装置から一意に特定して、不正端末直近のネットワーク装置により不正端末からの通信を制御することが可能となる。
すなわち、不正端末の検索結果を中継装置により中継するにあたり、ネットワークの匿名性を高めることができるとともに、あるネットワーク上に存在する攻撃元の不正端末を、そのネットワーク構成を知らない別のネットワーク上の装置からも特定することが可能である。
As described above, according to the attack packet countermeasure system of this embodiment, an unauthorized terminal belonging to a network of a certain organization is uniquely identified from a device belonging to a network of another organization while maintaining network anonymity. The communication from the unauthorized terminal can be controlled by the network device nearest to the unauthorized terminal.
In other words, in relaying a search result of an unauthorized terminal by a relay device, the anonymity of the network can be improved, and an unauthorized terminal of an attack source existing on a certain network can be transmitted on another network that does not know the network configuration. It can also be specified from the device.

また、本発明によれば、不正端末を特定後、検索結果を中継装置にキャッシュしておくことで、制御依頼を不正端末直近のパケット中継装置にダイレクトに送信でき、不正端末の検索後、制御を行うまでの処理を、高速化することが可能となっている。なお、この「ダイレクトに送信」とは、不正端末直近の中継装置を宛先として、依頼元直近の中継装置から制御依頼を送信するということを意味する。   Further, according to the present invention, after identifying an unauthorized terminal, the search result is cached in the relay device, so that a control request can be transmitted directly to the packet relay device nearest to the unauthorized terminal. It is possible to speed up the processing up to. This “direct transmission” means that a control request is transmitted from the relay device nearest to the request source with the relay device closest to the unauthorized terminal as the destination.

[第二実施形態]
次に、本発明の第二実施形態について、図17を参照して説明する。同図は、本実施形態の攻撃パケット対策システムにおける制御ルールDB内のテーブルのデータ構成を示す図である。
第一実施形態の攻撃パケット対策システムによる検索処理において、検索依頼が、検索ホップ数を上回る多数のパケット中継装置10に中継された結果、検索処理が打ち切りとなり、不正端末40を正確に特定できなかった場合でも、例えば、パケット中継装置10の管理者に対する警告や帯域制御など何らかの制御を行いたいことがある。
[Second Embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. FIG. 4 is a diagram showing a data configuration of a table in the control rule DB in the attack packet countermeasure system of the present embodiment.
In the search processing by the attack packet countermeasure system of the first embodiment, as a result of the search request being relayed to a large number of packet relay devices 10 exceeding the number of search hops, the search processing is aborted and the unauthorized terminal 40 cannot be accurately identified. In some cases, for example, it may be desired to perform some control such as warning or bandwidth control for the administrator of the packet relay apparatus 10.

このような場合、図17に示すように、制御ルールDB14に格納されている制御ルールテーブルに、制御先のネットワークアドレス情報(どのネットワークにおける不正端末を制御するかを規定する情報)を追加することで、不正端末40を特定する前に通信がとぎれ、不正端末40を正確に特定できなかった場合でも、パケット中継装置10の管理者に対する警告や帯域制御などの制御を行うことが可能となり、より木目細かな制御を行うことが可能となる。   In such a case, as shown in FIG. 17, adding the network address information of the control destination (information defining which network is used to control the unauthorized terminal) to the control rule table stored in the control rule DB 14 Thus, even when communication is interrupted before the unauthorized terminal 40 is identified and the unauthorized terminal 40 cannot be accurately identified, it becomes possible to perform control such as warning and bandwidth control for the administrator of the packet relay device 10, and more. It is possible to perform fine control.

そこで、本実施形態の攻撃パケット対策システムは、パケット中継装置10における制御ルールDB14に格納されている制御ルールテーブルに、「制御先」のカラムを追加してあり、この点で第一実施形態と異なっている。その他の点については、第一実施形態と同様であり、本実施形態のブロック図も図1と同様のものを用いることができる。   Therefore, the attack packet countermeasure system of this embodiment adds a column of “control destination” to the control rule table stored in the control rule DB 14 in the packet relay apparatus 10, and this point is different from the first embodiment. Is different. About another point, it is the same as that of 1st embodiment, The thing similar to FIG. 1 can also be used for the block diagram of this embodiment.

なお、制御ルールテーブルには、カラムを追加することができるのみならず、不正端末からの通信を遮断するルールを追加することなども可能である。
例えば、制御コマンドのオプションを利用して、不正端末からの通信を全て遮断するのではなく、ある特定のプロトコルやポート番号を使用する通信のみを遮断することも好ましい。また、このようなプロトコルやポート番号による制御は遮断のルールだけでなく、帯域制御のルールなどにも適用することが可能である。
In addition to adding columns to the control rule table, it is also possible to add rules that block communication from unauthorized terminals.
For example, it is preferable to block only communication using a specific protocol or port number instead of blocking all communication from an unauthorized terminal by using an option of a control command. Further, such control by protocol and port number can be applied not only to a blocking rule but also to a band control rule.

[第三実施形態]
次に、本発明の第三実施形態について、図18を参照して説明する。同図は、本実施形態の攻撃パケット対策システムにおけるパケット中継装置の構成を示すブロック図である。
本実施形態は、特定した不正端末40の過去数時間のアクセス記録を下流ノードから上流ノードに通知して、検索キャッシュとして保存することで検索時間を短縮している点で、第一実施形態と異なる。
その他の点については、第一実施形態と同様であり、図18に示すように、パケット中継装置10における各構成も第一実施形態と同様であるが、エージェント機能制御部15及び不正端末検索部16は、以下の点で第一実施形態と異なっている。
[Third embodiment]
Next, a third embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the packet relay device in the attack packet countermeasure system of this embodiment.
This embodiment is different from the first embodiment in that the search time is shortened by notifying the upstream node of the access record of the specified unauthorized terminal 40 in the past several hours and storing it as a search cache. Different.
The other points are the same as in the first embodiment. As shown in FIG. 18, each configuration in the packet relay apparatus 10 is the same as that in the first embodiment, but the agent function control unit 15 and the unauthorized terminal search unit. 16 differs from the first embodiment in the following points.

すなわち、本実施形態のエージェント機能制御部15は、下流ノードから不正端末通信記録情報を受信すると、この不正端末通信記録情報を不正端末検索部16に出力して、不正端末検索部16によりこの情報にもとづき検索キャッシュDB13を更新させる構成となっている。   That is, when receiving the unauthorized terminal communication record information from the downstream node, the agent function control unit 15 according to the present embodiment outputs the unauthorized terminal communication record information to the unauthorized terminal search unit 16, and the unauthorized terminal search unit 16 uses this information. The search cache DB 13 is updated based on the above.

不正端末通信記録情報は、詳細については、フローチャートを用いて後述するが、所定のタイミングで不正端末検索部16により作成される。
この不正端末通信記録情報は、制御情報(不正端末直近のパケット中継装置のIPアドレス、同装置上で動作するエージェントプログラムの待ち受けポート番号、実行可能な制御コマンドとそのオプション、制御元、末端ノードID等)と、通信記録のリスト(送信元(不正端末40)のIPアドレス、送信元(不正端末40)のポート番号、宛先のIPアドレス、宛先のポート番号、プロトコル番号、セッション情報等)とを含んでいる。
The details of the unauthorized terminal communication record information will be described later using a flowchart, but are created by the unauthorized terminal search unit 16 at a predetermined timing.
This illegal terminal communication record information includes control information (IP address of the packet relay device nearest to the illegal terminal, standby port number of the agent program operating on the same device, executable control command and its options, control source, terminal node ID. Etc.) and a list of communication records (IP address of transmission source (illegal terminal 40), port number of transmission source (illegal terminal 40), destination IP address, destination port number, protocol number, session information, etc.) Contains.

そして、エージェント機能制御部15は、下流ノードから受信した不正端末通信記録情報を、次に上流ノードに送信する。この上流ノードは、上流ノードリストから所定の優先順位にもとづき決定される。   The agent function control unit 15 then transmits the unauthorized terminal communication record information received from the downstream node to the upstream node. The upstream node is determined based on a predetermined priority from the upstream node list.

[エージェント機能制御部15による処理手順]
次に、図19を参照して、エージェント機能制御部15の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10におけるエージェント機能制御部15の処理手順を示すフローチャートである。
[Processing procedure by agent function control unit 15]
Next, the processing of the agent function control unit 15 will be described in detail with reference to FIG. FIG. 2 is a flowchart showing a processing procedure of the agent function control unit 15 in the packet relay apparatus 10 of the attack packet countermeasure system of the present embodiment.

まず、図19におけるステップ100〜120については、図14を参照して説明したステップ30〜50と同様である。
次に、エージェント機能制御部15は、外部の情報処理装置から当該パケット中継装置10に送信されてきた処理要求情報が、不正端末通信記録であるか否かを確認する(ステップ121)。この場合も、検索依頼情報などと同様に、当該処理要求情報における制御コードにもとづき行うようにすることができる。
First, Steps 100 to 120 in FIG. 19 are the same as Steps 30 to 50 described with reference to FIG.
Next, the agent function control unit 15 confirms whether or not the processing request information transmitted from the external information processing apparatus to the packet relay apparatus 10 is an unauthorized terminal communication record (step 121). In this case as well as the search request information, it can be performed based on the control code in the processing request information.

処理要求情報が不正端末通信記録である場合(ステップ121のYes)、エージェント機能制御部15は、この不正端末通信記録を含む検索キャッシュ更新依頼情報を不正端末検索部16に出力して、検索キャッシュDB13の更新処理を依頼する(ステップ122)。
処理要求情報が不正端末通信記録でない場合(ステップ121のNo)、エージェント機能制御部15は、一定時間外部からの処理要求情報の入力がなくタイムアウトしたかどうかを確認する(ステップ123)。
When the processing request information is an unauthorized terminal communication record (Yes in Step 121), the agent function control unit 15 outputs search cache update request information including the unauthorized terminal communication record to the unauthorized terminal search unit 16 to search the search cache. A request is made to update the DB 13 (step 122).
If the processing request information is not an unauthorized terminal communication record (No in step 121), the agent function control unit 15 checks whether or not the processing request information has been input from the outside for a certain period of time and whether or not a timeout has occurred (step 123).

そして、一定時間外部からの処理要求情報の入力がなくタイムアウトした場合(ステップ123のYes)、エージェント機能制御部15は、不正端末検索部16に不正端末通信記録の作成を依頼するため、不正端末通信記録作成依頼情報を出力する(ステップ124)。
また、エージェント機能制御部15は、不正端末検索部16から不正端末通信記録を入力し(ステップ125)、この不正端末通信記録が空でない場合には、この不正端末通信記録を上流ノードに送信する(ステップ126)。
If there is no input of processing request information from the outside for a certain period of time and a timeout occurs (Yes in step 123), the agent function control unit 15 requests the unauthorized terminal search unit 16 to create an unauthorized terminal communication record. Communication record creation request information is output (step 124).
In addition, the agent function control unit 15 inputs the unauthorized terminal communication record from the unauthorized terminal search unit 16 (step 125), and when the unauthorized terminal communication record is not empty, transmits the unauthorized terminal communication record to the upstream node. (Step 126).

[不正端末検索部16による処理手順]
次に、図20を参照して、不正端末検索部16の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10における不正端末検索部16の処理手順を示すフローチャートである。
[Processing Procedure by Unauthorized Terminal Search Unit 16]
Next, the process of the unauthorized terminal search unit 16 will be described in detail with reference to FIG. FIG. 3 is a flowchart showing the processing procedure of the unauthorized terminal search unit 16 in the packet relay device 10 of the attack packet countermeasure system of this embodiment.

まず、図20におけるステップ130〜139、147については、図15を参照して説明したステップ60〜69、71と同様である。
本実施形態の不正端末検索部16は、入力した処理要求情報が検索キャッシュ更新依頼情報である場合(ステップ139のYes)、当該検索キャッシュ更新依頼情報に不正端末通信記録が含まれているか否かを確認する(ステップ140)。
First, Steps 130 to 139 and 147 in FIG. 20 are the same as Steps 60 to 69 and 71 described with reference to FIG. 15.
If the input processing request information is search cache update request information (Yes in step 139), the unauthorized terminal search unit 16 of the present embodiment determines whether or not the search cache update request information includes an unauthorized terminal communication record. Is confirmed (step 140).

不正端末通信記録が含まれている場合(ステップ140のYes)、不正端末検索部16は、当該不正端末通信記録情報と通信ログ記憶部11におけるログを比較し、一致するものがあるか否かを確認する。
このとき、不正端末検索部16は、不正端末通信記録情報における送信元(不正端末40)のIPアドレス、送信元(不正端末40)のポート番号、宛先のIPアドレス、宛先のポート番号、プロトコル番号、セッション情報が、それぞれ通信ログ記憶部11における中継前(アドレス変換前。以下同様。)の送信元IPアドレス、中継前の送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、セッション情報と一致するものが存在しているかを確認する。
When the unauthorized terminal communication record is included (Yes in Step 140), the unauthorized terminal search unit 16 compares the unauthorized terminal communication record information with the log in the communication log storage unit 11, and determines whether there is a match. Confirm.
At this time, the unauthorized terminal search unit 16 sends the IP address of the transmission source (illegal terminal 40), the port number of the transmission source (illegal terminal 40), the destination IP address, the destination port number, and the protocol number in the unauthorized terminal communication record information. , Session information is a source IP address before relay (before address conversion, the same applies hereinafter), source port number before relay, destination IP address, destination port number, protocol number, session information in the communication log storage unit 11. To see if a match exists.

そして、存在していた場合、一致する不正端末通信記録情報のレコードにおける制御情報と、上記送信元(不正端末40)のIPアドレス等の情報を用いて、検索キャッシュを生成し(ステップ141)、検索キャッシュDB13のレコードを更新し(ステップ142)、更新実行結果をエージェント機能制御部15に返す(ステップ138)。   If it exists, a search cache is generated using the control information in the matching record of unauthorized terminal communication record information and information such as the IP address of the transmission source (illegal terminal 40) (step 141), The record in the search cache DB 13 is updated (step 142), and the update execution result is returned to the agent function control unit 15 (step 138).

また、入力した処理要求情報が通信ログ検索依頼情報である場合(ステップ143のYes)、不正端末検索部16は、検索キャッシュDB13を参照し、最新の検索キャッシュのレコードから末端ノードIDとセッション情報を取得する(ステップ144)。
そして、これらの情報をキーとして通信ログ記憶部11を検索して、対応するログを取得し、不正端末の通信記録リストを作成する(ステップ145)。
If the input processing request information is communication log search request information (Yes in step 143), the unauthorized terminal search unit 16 refers to the search cache DB 13 and determines the terminal node ID and session information from the latest search cache record. Is acquired (step 144).
Then, the communication log storage unit 11 is searched using these pieces of information as a key, the corresponding log is acquired, and a communication record list of the unauthorized terminal is created (step 145).

また、不正端末検索部16は、最新の検索キャッシュのレコードから、上記末端ノードIDに対応する制御情報を取得し(ステップ146)、この制御情報と不正端末の通信記録リストとから不正端末通信記録情報を作成して、エージェント機能制御部15に出力する(ステップ138)。   Further, the unauthorized terminal search unit 16 acquires control information corresponding to the terminal node ID from the latest search cache record (step 146), and from this control information and the unauthorized terminal communication record list, the unauthorized terminal communication record. Information is created and output to the agent function control unit 15 (step 138).

以上説明したように、本実施形態の攻撃パケット対策システムによれば、所定のタイミングで、不正端末による過去数時間のアクセス記録を下流ノードから上流ノードに通知し、各パケット中継装置において検索キャッシュとして保存させることができる。
このため、検索時間を短縮することが可能となっている。
As described above, according to the attack packet countermeasure system of this embodiment, at a predetermined timing, an access record of the past several hours by an unauthorized terminal is notified from the downstream node to the upstream node, and is used as a search cache in each packet relay device. It can be saved.
For this reason, it is possible to shorten the search time.

[第四実施形態]
次に、本発明の第四実施形態について、図21を参照して説明する。同図は、本実施形態の攻撃パケット対策システムにおけるパケット中継装置の構成を示すブロック図である。
[Fourth embodiment]
Next, a fourth embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the packet relay device in the attack packet countermeasure system of this embodiment.

上記各実施形態では、不正端末からの通信を組織内のポリシーにしたがって柔軟に制御するため、管理端末から不正端末の検索依頼と制御依頼を分けて送信する構成としてあるが、不正端末を特定できた段階で、制御ルールに従い不正端末からの通信を制御することも可能である。
本実施形態は、このようにパケット中継装置により不正端末を特定できた段階で、不正端末からの通信を制御する点で、第一実施形態と異なる。
その他の点については、第一実施形態と同様であり、図21に示すように、パケット中継装置10における各構成も第一実施形態と同様であるが、エージェント機能制御部15及び不正端末制御部17は、以下の点で第一実施形態と異なっている。
In each of the above embodiments, since the communication from the unauthorized terminal is flexibly controlled according to the policy in the organization, the management terminal is configured to separately transmit the unauthorized terminal search request and the control request, but the unauthorized terminal can be identified. At this stage, it is possible to control communication from an unauthorized terminal according to the control rule.
This embodiment is different from the first embodiment in that the communication from the unauthorized terminal is controlled at the stage where the unauthorized terminal can be specified by the packet relay device.
The other points are the same as in the first embodiment. As shown in FIG. 21, the configuration of the packet relay apparatus 10 is the same as in the first embodiment. However, the agent function control unit 15 and the unauthorized terminal control unit 17 differs from the first embodiment in the following points.

すなわち、本実施形態のエージェント機能制御部15は、処理要求情報が検索依頼情報である場合、不正端末検索部16に検索依頼を行うとともに、検索結果にもとづいて、検索依頼情報の中継が必要でないと判定した場合、すなわち不正端末40を特定できたと判断した場合は、不正端末制御部17に制御を依頼する。
不正端末制御部17は、第一実施形態と異なり、制御依頼情報の中継は行わず、依頼された制御を実行して、制御実行結果をエージェント機能制御部15に返却する。
That is, when the processing request information is search request information, the agent function control unit 15 of the present embodiment makes a search request to the unauthorized terminal search unit 16 and does not need to relay the search request information based on the search result. In other words, when it is determined that the unauthorized terminal 40 has been identified, the unauthorized terminal control unit 17 is requested to perform control.
Unlike the first embodiment, the unauthorized terminal control unit 17 does not relay the control request information, executes the requested control, and returns the control execution result to the agent function control unit 15.

[エージェント機能制御部15による処理手順]
次に、図22を参照して、エージェント機能制御部15の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10におけるエージェント機能制御部15の処理手順を示すフローチャートである。
[Processing procedure by agent function control unit 15]
Next, the processing of the agent function control unit 15 will be described in detail with reference to FIG. FIG. 2 is a flowchart showing a processing procedure of the agent function control unit 15 in the packet relay apparatus 10 of the attack packet countermeasure system of the present embodiment.

まず、図22におけるステップ150〜162については、図14を参照して説明したステップ30〜42と同様である。一方、本実施形態のエージェント機能制御部15は、図14におけるステップ43〜49の処理を行わない。
本実施形態のエージェント機能制御部15は、ステップ159において、不正端末40を特定できたと判断すると(すなわち、中継不要の場合)、次に制御方法を選択する(ステップ163)。
First, Steps 150 to 162 in FIG. 22 are the same as Steps 30 to 42 described with reference to FIG. On the other hand, the agent function control unit 15 of the present embodiment does not perform the processing of steps 43 to 49 in FIG.
If the agent function control unit 15 of the present embodiment determines that the unauthorized terminal 40 has been identified in step 159 (that is, if relaying is not required), the agent function control unit 15 next selects a control method (step 163).

このとき、エージェント機能制御部15は、検索依頼情報における依頼内容を優先順位の高い方から順に取得するとともに、取得した依頼内容と検索依頼情報のパケットの送信元のIPアドレスにもとづき制御ルールDB14を検索して、制御コマンド及び制御オプションを自動的に取得することができる。   At this time, the agent function control unit 15 acquires the request contents in the search request information in descending order of priority, and sets the control rule DB 14 based on the acquired request contents and the IP address of the transmission source of the search request information packet. By searching, control commands and control options can be obtained automatically.

そして、エージェント機能制御部15は、不正端末40のノードID、制御コマンド及び制御オプションを不正端末制御部17に出力して、不正端末40からの通信の制御を依頼する(ステップ164)。
エージェント機能制御部15は、不正端末制御部17から制御実行結果を入力すると(ステップ165)、この制御実行結果にもとづき制御結果情報を生成し、検索依頼情報の送信元に送信する(ステップ153)。
Then, the agent function control unit 15 outputs the node ID, control command, and control option of the unauthorized terminal 40 to the unauthorized terminal control unit 17, and requests control of communication from the unauthorized terminal 40 (step 164).
When the agent function control unit 15 inputs the control execution result from the unauthorized terminal control unit 17 (step 165), the agent function control unit 15 generates control result information based on the control execution result and transmits it to the transmission source of the search request information (step 153). .

[不正端末制御部17による処理手順]
次に、図23を参照して、不正端末制御部17の処理について詳細に説明する。同図は、本実施形態の攻撃パケット対策システムのパケット中継装置10における不正端末制御部17の処理手順を示すフローチャートである。
[Processing Procedure by Unauthorized Terminal Control Unit 17]
Next, the processing of the unauthorized terminal control unit 17 will be described in detail with reference to FIG. FIG. 3 is a flowchart showing a processing procedure of the unauthorized terminal control unit 17 in the packet relay device 10 of the attack packet countermeasure system of the present embodiment.

本実施形態では制御依頼情報の中継が行われないため、図23に示す各ステップは、図16における中継に関連する処理を除いたものとなっている。
すなわち、図23は、図16におけるステップ83〜85を除いたものであり、ステップ172(図16のステップ82に対応)において、不正端末制御部17により制御ルールが特定され、受付可と判定された場合に、制御可能か否かの判定を行う(ステップ173)構成となっている。その他のステップについては、図16におけるステップと同様である。
In this embodiment, since control request information is not relayed, each step shown in FIG. 23 excludes processing related to relay in FIG.
That is, FIG. 23 is obtained by removing steps 83 to 85 in FIG. 16. In step 172 (corresponding to step 82 in FIG. 16), the control rule is specified by the unauthorized terminal control unit 17 and it is determined that acceptance is possible. In such a case, it is determined whether or not control is possible (step 173). Other steps are the same as those in FIG.

以上説明したように、本実施形態の攻撃パケット対策システムによれば、不正端末を検索して、これを特定できると同時にそのパケット中継装置により、制御ルールに従い不正端末からの通信を制御させることができる。
このため、不正端末からの通信を迅速に制御することが可能となっている。
As described above, according to the attack packet countermeasure system of this embodiment, an unauthorized terminal can be searched and identified, and at the same time, communication from the unauthorized terminal can be controlled by the packet relay device according to the control rule. it can.
For this reason, it is possible to quickly control communication from an unauthorized terminal.

本発明は、以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、上記実施形態ではエージェントプログラムをパケット中継装置上で起動させ、エージェントを構成しているが、パケット中継装置上の通信ログを参照でき、パケット中継装置を制御することができる限り、エージェントプログラムはどのホスト上で起動させてもかまわない。
It goes without saying that the present invention is not limited to the above embodiment, and that various modifications can be made within the scope of the present invention.
For example, in the above embodiment, the agent program is activated on the packet relay device to configure the agent. However, as long as the communication log on the packet relay device can be referred to and the packet relay device can be controlled, You can start it on any host.

また、検索処理の高速化のため、パケット中継装置による不正端末の検索処理をリソースのあまっている一又は二以上の他の端末に分散させることも可能である。
さらに、上記各実施形態における攻撃パケット対策システムを組み合わせるなど適宜変更することが可能である。
Further, in order to speed up the search process, it is possible to distribute the illegal terminal search process by the packet relay device to one or more other terminals having sufficient resources.
Furthermore, it is possible to change the attack packet countermeasure system in each of the above embodiments as appropriate.

本発明は、ISP(Internet Service Provider)などのネットワーク事業において好適に利用することが可能である。これによって、事業者側は一般の利用者に、より安心して利用してもらえるネットワーク環境を提供でき、事業者側も運用コストを削減することが可能となる。   The present invention can be suitably used in a network business such as ISP (Internet Service Provider). As a result, the provider side can provide a network environment that can be used with peace of mind by general users, and the provider side can also reduce the operation cost.

本発明の第一実施形態の攻撃パケット対策システムの構成(IPネットワーク)を示すブロック図である。It is a block diagram which shows the structure (IP network) of the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムの構成(オーバレイネットワーク)を示すブロック図である。It is a block diagram which shows the structure (overlay network) of the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおけるパケット中継装置の構成を示すブロック図である。It is a block diagram which shows the structure of the packet relay apparatus in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける通信ログ記憶部のレコードレイアウトを示す図である。It is a figure which shows the record layout of the communication log memory | storage part in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける検索ルールDB内のテーブルのデータ構成を示す図である。It is a figure which shows the data structure of the table in search rule DB in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける検索キャッシュDBのレコードレイアウトを示す図である。It is a figure which shows the record layout of search cache DB in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける制御ルールDB内のテーブルのデータ構成を示す図である。It is a figure which shows the data structure of the table in control rule DB in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける管理端末の構成を示すブロック図である。It is a block diagram which shows the structure of the management terminal in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける不正端末の検索処理手順を示す動作手順図である。It is an operation | movement procedure figure which shows the search process procedure of the unauthorized terminal in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける検索依頼のデータ構成を示す図である。It is a figure which shows the data structure of the search request in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける検索結果のデータ構成を示す図である。It is a figure which shows the data structure of the search result in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける不正端末の制御処理手順を示す動作手順図である。It is an operation | movement procedure figure which shows the control processing procedure of the unauthorized terminal in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける制御依頼及び制御結果のデータ構成を示す図である。It is a figure which shows the data structure of the control request and control result in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおけるエージェント機能制御部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the agent function control part in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける不正端末検索部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the unauthorized terminal search part in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第一実施形態の攻撃パケット対策システムにおける不正端末制御部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the unauthorized terminal control part in the attack packet countermeasure system of 1st embodiment of this invention. 本発明の第二実施形態の攻撃パケット対策システムにおける制御ルールDB内のテーブルのデータ構成を示す図である。It is a figure which shows the data structure of the table in control rule DB in the attack packet countermeasure system of 2nd embodiment of this invention. 本発明の第三実施形態の攻撃パケット対策システムにおけるパケット中継装置の構成を示すブロック図である。It is a block diagram which shows the structure of the packet relay apparatus in the attack packet countermeasure system of 3rd embodiment of this invention. 本発明の第三実施形態の攻撃パケット対策システムにおけるエージェント機能制御部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the agent function control part in the attack packet countermeasure system of 3rd embodiment of this invention. 本発明の第三実施形態の攻撃パケット対策システムにおける不正端末検索部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the unauthorized terminal search part in the attack packet countermeasure system of 3rd embodiment of this invention. 本発明の第四実施形態の攻撃パケット対策システムにおけるパケット中継装置の構成を示すブロック図である。It is a block diagram which shows the structure of the packet relay apparatus in the attack packet countermeasure system of 4th embodiment of this invention. 本発明の第四実施形態の攻撃パケット対策システムにおけるエージェント機能制御部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the agent function control part in the attack packet countermeasure system of 4th embodiment of this invention. 本発明の第四実施形態の攻撃パケット対策システムにおける不正端末制御部の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the unauthorized terminal control part in the attack packet countermeasure system of 4th embodiment of this invention.

符号の説明Explanation of symbols

10(10a,10b,10c) パケット中継装置
11 通信ログ記憶部
12 検索ルールDB
13 検索キャッシュDB
14 制御ルールDB
15 エージェント機能制御部
16 不正端末検索部
17 不正端末制御部
20 管理端末
21 監視手段
22 検索依頼手段
23 制御依頼手段
30 標的サーバ
40 不正端末
10 (10a, 10b, 10c) Packet relay device 11 Communication log storage unit 12 Search rule DB
13 Search cache DB
14 Control rule DB
DESCRIPTION OF SYMBOLS 15 Agent function control part 16 Unauthorized terminal search part 17 Unauthorized terminal control part 20 Management terminal 21 Monitoring means 22 Search request means 23 Control request means 30 Target server 40 Unauthorized terminal

Claims (25)

ネットワーク上の中継装置を介してサーバへの不正アクセスを行った不正端末を特定する攻撃パケット対策システムであって、
受信したパケットの送信元情報を書き換える一又は二以上の中継装置と、
前記中継装置のいずれかに不正端末の検索依頼情報を送信する管理端末と、を有し、
前記中継装置が、エージェントプログラムを起動することによって、
受信したパケットの、中継前の送信元アドレス、中継後の送信元アドレス、宛先アドレスを含む通信ログを記憶する通信ログ記憶手段と、
前記検索依頼情報を入力すると、前記通信ログ記憶手段を参照して不正端末又は前記検索依頼情報の送信先の中継装置を特定する不正端末検索手段と、
前記管理端末又は他の中継装置から検索依頼情報を入力して前記不正端末検索手段に出力し、前記不正端末検索手段により不正端末が特定された場合に検索結果情報を前記管理端末又は前記他の中継装置に送信し、前記不正端末検索手段により前記送信先の中継装置が特定された場合に前記検索依頼情報を前記送信先の中継装置に送信する機能制御手段と、
検索依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する検索ルール記憶部と、を備え、
前記不正端末検索手段が、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定し、一致しない場合に、エラーを示す検索実行結果を前記機能制御手段に出力する
ことを特徴とする攻撃パケット対策システム。
An attack packet countermeasure system for identifying an unauthorized terminal that has made unauthorized access to a server via a relay device on a network,
One or more relay devices for rewriting the source information of the received packet;
A management terminal that transmits search request information of unauthorized terminals to any of the relay devices,
By starting the agent program , the relay device ,
A communication log storage means for storing a communication log including a source address before relay, a source address after relay, and a destination address of the received packet;
When the search request information is input, an unauthorized terminal search unit that identifies an unauthorized terminal or a relay device as a transmission destination of the search request information with reference to the communication log storage unit;
Search request information is input from the management terminal or another relay device and output to the unauthorized terminal search means. When an unauthorized terminal is specified by the unauthorized terminal search means, search result information is sent to the management terminal or other Function control means for transmitting to the relay device, and transmitting the search request information to the destination relay device when the destination relay device is specified by the unauthorized terminal search means;
A search rule storage unit that stores one or more network addresses to receive search requests;
In the case where the unauthorized terminal search means determines whether or not the transmission source address of the search request information matches any network address that is the target of receiving the search request in the search rule storage unit. An attack packet countermeasure system characterized by identifying the unauthorized terminal or a relay device as a transmission destination of the search request information, and outputting a search execution result indicating an error to the function control means when they do not match .
前記検索依頼情報に検索ホップ数が含まれ、
前記不正端末検索手段が、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致する場合に、検索ホップ数をデクリメントし、デクリメント後の検索ホップ数が0以下でない場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定し、デクリメント後の検索ホップ数が0以下である場合に、エラーを示す検索実行結果を前記機能制御手段に出力する
ことを特徴とする請求項記載の攻撃パケット対策システム。
The search request information includes the number of search hops,
The unauthorized terminal search means decrements the number of search hops when the transmission source address of the search request information matches any one of network addresses to which the search request is received in the search rule storage unit. When the number of subsequent search hops is not 0 or less, the search execution result indicating an error when the unauthorized terminal or the relay device that is the transmission destination of the search request information is specified and the number of search hops after decrement is 0 or less The attack packet countermeasure system according to claim 1 , wherein the attack packet countermeasure system is output to the function control means.
前記検索ルール記憶部に、予め前記検索依頼を受けつける対象のネットワークアドレスに対応付けて検索ホップ数を記憶させ、
前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数が、前記検索依頼情報におけるデクリメント前の検索ホップ数よりも小さい場合、前記不正端末検索手段が、前記検索依頼情報におけるデクリメント前の検索ホップ数を、前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数で置き換える
ことを特徴とする請求項記載の攻撃パケット対策システム。
In the search rule storage unit, the number of search hops is stored in advance in association with a target network address for receiving the search request,
When the number of search hops corresponding to the network address to which the matched search request is received in the search rule storage unit is smaller than the number of search hops before decrement in the search request information, the unauthorized terminal search means 3. The attack packet countermeasure system according to claim 2 , wherein the number of search hops before decrement in the request information is replaced with the number of search hops corresponding to the network address of the search rule storage unit that accepts the matched search request. .
前記不正端末検索手段が、不正端末を特定した場合に、前記機能制御手段が、当該中継装置を不正端末の直近の中継装置として、この直近の中継装置のアドレス、及び特定された前記不正端末のノードIDを含む検索結果情報を前記管理端末又は前記他の中継装置に送信する
ことを特徴とする請求項1〜のいずれかに記載の攻撃パケット対策システム。
When the unauthorized terminal search means identifies an unauthorized terminal, the function control means uses the relay device as the nearest relay device of the unauthorized terminal, and the address of the nearest relay device and the identified unauthorized terminal. The attack packet countermeasure system according to any one of claims 1 to 3 , wherein search result information including a node ID is transmitted to the management terminal or the other relay device.
前記管理端末が、
前記中継装置のいずれかから前記検索結果情報を受信すると、前記不正端末からの通信を制御するための制御依頼情報を作成して、前記中継装置に返信する制御依頼手段を備え、
前記中継装置が、エージェントプログラムを起動することによって、
前記検索結果情報の全部又は一部を含む検索キャッシュを記憶する検索キャッシュ記憶手段と、
前記制御依頼情報を入力すると、前記検索キャッシュ記憶手段を参照して、前記制御依頼情報に対応する検索結果情報から前記不正端末に直近の中継装置を特定し、当該中継装置が前記直近の中継装置でない場合に、前記機能制御手段により前記制御依頼情報を前記直近の中継装置に送信させ、当該中継装置が前記直近の中継装置である場合に、前記制御依頼情報に対応する検索結果情報から前記不正端末のノードIDを特定し、前記制御依頼情報に含まれる制御コマンドを実行して、前記不正端末からの通信を制御する不正端末制御手段と、を備える
ことを特徴とする請求項記載の攻撃パケット対策システム。
The management terminal is
Upon receipt of the search result information from any of the relay devices, the control request means for creating control request information for controlling communication from the unauthorized terminal and returning to the relay device,
By starting the agent program , the relay device ,
Search cache storage means for storing a search cache including all or part of the search result information;
When the control request information is input, the search cache storage unit is referred to, the search result information corresponding to the control request information is used to identify the nearest relay device to the unauthorized terminal, and the relay device is the nearest relay device. If not, the function control means causes the control request information to be transmitted to the nearest relay device, and when the relay device is the nearest relay device, the search result information corresponding to the control request information causes the fraud 5. An attack according to claim 4 , further comprising: an unauthorized terminal control unit that specifies a node ID of the terminal, executes a control command included in the control request information, and controls communication from the unauthorized terminal. Packet protection system.
前記中継装置が、エージェントプログラムを起動することによって、
制御依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する制御ルール記憶部を備え、
前記不正端末制御手段が、前記制御依頼情報の送信元アドレスと、前記制御ルール記憶部における前記制御依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記制御依頼情報の送信又は前記不正端末からの通信の制御を行い、一致しない場合に、エラーを示す制御実行結果を前記機能制御手段に出力する
ことを特徴とする請求項記載の攻撃パケット対策システム。
By starting the agent program , the relay device ,
A control rule storage unit that stores one or more network addresses to receive control requests;
In the case where the unauthorized terminal control means determines whether or not the source address of the control request information matches any network address to which the control request is received in the control rule storage unit. 6. The attack packet according to claim 5 , wherein the control request information is transmitted or communication from the unauthorized terminal is controlled, and if they do not match, a control execution result indicating an error is output to the function control means. Countermeasure system.
前記制御ルール記憶部が、一又は二以上の制御先のネットワークアドレスを記憶することを特徴とする請求項記載の攻撃パケット対策システム。 The attack packet countermeasure system according to claim 6, wherein the control rule storage unit stores one or more control destination network addresses. 前記不正端末検索手段が、前記通信ログ記憶手段及び前記検索キャッシュ記憶手段に記憶された情報にもとづき不正端末の通信記録リストを作成して、前記機能制御手段に出力し、
前記機能制御手段が、前記通信記録リストを、前記検索依頼の送信元の中継装置に送信する
ことを特徴とする請求項5〜7のいずれかに記載の攻撃パケット対策システム。
The unauthorized terminal search means creates an unauthorized terminal communication record list based on the information stored in the communication log storage means and the search cache storage means, and outputs the communication record list to the function control means,
The attack packet countermeasure system according to any one of claims 5 to 7, wherein the function control means transmits the communication record list to a relay device that is a transmission source of the search request.
受信したパケットの送信元情報を書き換える一又は二以上の中継装置を介してサーバへの不正アクセスを行った不正端末を、前記中継装置のいずれかに不正端末の検索依頼情報を送信する管理端末を用いて特定する攻撃パケット対策方法であって、
前記中継装置が、エージェントプログラムを起動することによって、検索ルール記憶部と、通信ログ記憶手段と、不正端末検索手段と、機能制御手段と、を備え、
前記検索ルール記憶部が、検索依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶し、
前記通信ログ記憶手段が、受信したパケットの、中継前の送信元アドレス、中継後の送信元アドレス、宛先アドレス記憶し、
前記不正端末検索手段が、前記管理端末又は他の中継装置から送信されてきた前記検索依頼情報を入力すると、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記通信ログを参照して不正端末又は前記検索依頼情報の送信先の中継装置を特定し、一致しない場合に、エラーを示す検索実行結果を前記機能制御手段に出力し、
前記機能制御手段が、前記不正端末検索手段により不正端末が特定された場合に、検索結果情報を前記管理端末又は前記他の中継装置に送信し、前記不正端末検索手段により前記送信先の中継装置が特定された場合に、前記検索依頼情報を前記送信先の中継装置に送信する
ことを特徴とする攻撃パケット対策方法。
A management terminal that sends an unauthorized terminal that has made unauthorized access to a server via one or more relay devices that rewrites the transmission source information of the received packet to any of the relay devices; An attack packet countermeasure method specified by using
The relay device includes a search rule storage unit, a communication log storage unit, an unauthorized terminal search unit, and a function control unit by starting an agent program,
The search rule storage unit stores one or two or more network addresses for which a search request is received,
The communication log storage means, of the received packet, the source address of the previous relay, the source address after the relay stores the destination address,
When the unauthorized terminal search means inputs the search request information transmitted from the management terminal or another relay device , a source address of the search request information and a target for receiving the search request in the search rule storage unit If the network address matches any of the network addresses, and if they match, the communication log is referenced to identify the unauthorized terminal or the relay device that is the transmission destination of the search request information. The search execution result indicating the error is output to the function control means,
The function control means transmits search result information to the management terminal or the other relay apparatus when an unauthorized terminal is specified by the unauthorized terminal search means, and the destination relay apparatus by the unauthorized terminal search means The attack packet countermeasure method, wherein the search request information is transmitted to the transmission destination relay device when the search request information is specified.
前記検索依頼情報に検索ホップ数が含まれ、The search request information includes the number of search hops,
前記不正端末検索手段が、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致する場合に、検索ホップ数をデクリメントし、デクリメント後の検索ホップ数が0以下でない場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定し、デクリメント後の検索ホップ数が0以下である場合に、エラーを示す検索実行結果を前記機能制御手段に出力するThe unauthorized terminal search means decrements the number of search hops when the transmission source address of the search request information matches any one of network addresses to which the search request is received in the search rule storage unit. When the number of subsequent search hops is not 0 or less, the search execution result indicating an error when the unauthorized terminal or the relay device that is the transmission destination of the search request information is specified and the number of search hops after decrement is 0 or less Is output to the function control means
ことを特徴とする請求項9記載の攻撃パケット対策方法。The attack packet countermeasure method according to claim 9.
前記検索ルール記憶部に、予め前記検索依頼を受けつける対象のネットワークアドレスに対応付けて検索ホップ数を記憶させ、In the search rule storage unit, the number of search hops is stored in advance in association with a target network address for receiving the search request,
前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数が、前記検索依頼情報におけるデクリメント前の検索ホップ数よりも小さい場合、前記不正端末検索手段が、前記検索依頼情報におけるデクリメント前の検索ホップ数を、前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数で置き換えるWhen the number of search hops corresponding to the network address to which the matched search request is received in the search rule storage unit is smaller than the number of search hops before decrement in the search request information, the unauthorized terminal search means Replace the number of search hops before decrement in the request information with the number of search hops corresponding to the target network address that accepts the matched search request in the search rule storage unit.
ことを特徴とする請求項10記載の攻撃パケット対策方法。The attack packet countermeasure method according to claim 10.
前記中継装置が、不正端末を特定した場合に、当該中継装置を不正端末の直近の中継装置として、この直近の中継装置のアドレス、及び特定した不正端末のノードIDを含む検索結果情報を前記管理端末又は前記他の中継装置に送信する
ことを特徴とする請求項9〜11のいずれかに記載の攻撃パケット対策方法。
When the relay device identifies an unauthorized terminal, the relay device is regarded as the nearest relay device of the unauthorized terminal, and the search result information including the address of the nearest relay device and the node ID of the identified unauthorized terminal is managed. The attack packet countermeasure method according to any one of claims 9 to 11, wherein the attack packet is transmitted to a terminal or the other relay device.
前記管理端末が、
前記中継装置のいずれかから前記検索結果情報を受信すると、前記不正端末からの通信を制御するための制御依頼情報を作成して、前記中継装置に返信し、
前記中継装置が、エージェントプログラムを起動することによって、検索キャッシュ記憶手段と、不正端末制御手段と、を備え、
前記検索キャッシュ記憶手段が、前記検索結果情報の全部又は一部を含む検索キャッシュを記憶し、
前記不正端末制御手段が、前記制御依頼情報を入力すると、前記検索キャッシュ記憶手段を参照して、前記制御依頼情報に対応する検索結果情報から前記不正端末に直近の中継装置を特定し、当該中継装置が前記直近の中継装置でない場合に、前記機能制御手段により前記制御依頼情報を前記直近の中継装置に送信させ、当該中継装置が前記直近の中継装置である場合に、前記制御依頼情報に対応する検索結果情報から前記不正端末のノードIDを特定し、前記制御依頼情報に含まれる制御コマンドを実行して、前記不正端末からの通信を制御し、かつ、制御結果情報を前記管理端末又は前記制御依頼情報の送信元の中継装置に送信する
ことを特徴とする請求項12記載の攻撃パケット対策方法。
The management terminal is
Upon receiving the search result information from any of the relay devices, create control request information for controlling communication from the unauthorized terminal, and reply to the relay device,
The relay device includes a search cache storage unit and an unauthorized terminal control unit by activating an agent program,
The search cache storage means stores a search cache including all or part of the search result information;
When the fraudulent terminal control means inputs the control request information, it refers to the search cache storage means , identifies the relay device closest to the fraudulent terminal from the search result information corresponding to the control request information, and When the device is not the nearest relay device, the function control means causes the control request information to be transmitted to the nearest relay device, and corresponds to the control request information when the relay device is the nearest relay device. The node ID of the unauthorized terminal is identified from the search result information to be executed, the control command included in the control request information is executed, the communication from the unauthorized terminal is controlled, and the control result information is transmitted to the management terminal or the 13. The attack packet countermeasure method according to claim 12 , wherein the attack request packet is transmitted to a relay apparatus that is a transmission source of control request information .
前記中継装置が、エージェントプログラムを起動することによって、制御ルール記憶部を備え、
前記制御ルール記憶部が、制御依頼を受けつける対象の一又は二以上のネットワークアドレス記憶し、
前記不正端末制御手段が、前記制御依頼情報の送信元アドレスと、前記制御ルール記憶部における前記制御依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記制御依頼情報の送信又は前記不正端末からの通信の制御を行い、一致しない場合に、エラーを示す制御実行結果を前記機能制御手段に出力する
ことを特徴とする請求項13記載の攻撃パケット対策方法。
The relay device includes a control rule storage unit by starting an agent program,
The control rule storage unit stores one or more network addresses to receive control requests;
In the case where the unauthorized terminal control means determines whether or not the source address of the control request information matches any network address to which the control request is received in the control rule storage unit. 14. The attack packet according to claim 13 , wherein the control request information is transmitted or communication from the unauthorized terminal is controlled, and if they do not match, a control execution result indicating an error is output to the function control means. Countermeasure.
受信したパケットの送信元情報を書き換える機能を備え、かつ、ネットワークを介して管理端末から送信されてきた不正端末の検索依頼情報にもとづきサーバへの不正アクセスを行った不正端末を特定する攻撃パケット対策装置であって、
当該攻撃パケット対策装置が、エージェントプログラムを起動することによって、
受信したパケットの、中継前の送信元アドレス、中継後の送信元アドレス、宛先アドレスを含む通信ログを記憶する通信ログ記憶手段と、
前記検索依頼情報を入力すると、前記通信ログ記憶手段を参照して不正端末又は前記検索依頼情報の送信先の中継装置を特定する不正端末検索手段と、
前記管理端末又は他の中継装置から検索依頼情報を入力して前記不正端末検索手段に出力し、前記不正端末検索手段により不正端末が特定された場合に検索結果情報を前記管理端末又は前記他の中継装置に送信し、前記不正端末検索手段により前記送信先の中継装置が特定された場合に前記検索依頼情報を前記送信先の中継装置に送信する機能制御手段と、
検索依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する検索ルール記憶部と、を備え、
前記不正端末検索手段が、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定し、一致しない場合に、エラーを示す検索実行結果を前記機能制御手段に出力する
ことを特徴とする攻撃パケット対策装置。
Attack packet countermeasures that have a function to rewrite the source information of received packets and identify unauthorized terminals that have made unauthorized access to the server based on the unauthorized terminal search request information transmitted from the management terminal via the network A device,
When the attack packet countermeasure device starts the agent program,
A communication log storage means for storing a communication log including a source address before relaying, a source address after relaying, and a destination address of the received packet;
When the search request information is input, an unauthorized terminal search unit that identifies an unauthorized terminal or a relay device that is a transmission destination of the search request information with reference to the communication log storage unit;
Search request information is input from the management terminal or another relay device and output to the unauthorized terminal search means. When an unauthorized terminal is specified by the unauthorized terminal search means, search result information is sent to the management terminal or other Function control means for transmitting to the relay device, and transmitting the search request information to the destination relay device when the destination relay device is specified by the unauthorized terminal search means;
A search rule storage unit that stores one or more network addresses to receive search requests ;
In the case where the unauthorized terminal search means determines whether or not the transmission source address of the search request information matches any network address that is the target of receiving the search request in the search rule storage unit. An attack packet countermeasure device characterized by identifying the unauthorized terminal or a relay device as a transmission destination of the search request information, and outputting a search execution result indicating an error to the function control means when they do not match .
前記検索依頼情報に検索ホップ数が含まれ、The search request information includes the number of search hops,
前記不正端末検索手段が、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致する場合に、検索ホップ数をデクリメントし、デクリメント後の検索ホップ数が0以下でない場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定し、デクリメント後の検索ホップ数が0以下である場合に、エラーを示す検索実行結果を前記機能制御手段に出力するThe unauthorized terminal search means decrements the number of search hops when the transmission source address of the search request information matches any one of network addresses to which the search request is received in the search rule storage unit. When the number of subsequent search hops is not 0 or less, the search execution result indicating an error when the unauthorized terminal or the relay device that is the transmission destination of the search request information is specified and the number of search hops after decrement is 0 or less Is output to the function control means
ことを特徴とする請求項15記載の攻撃パケット対策装置。The attack packet countermeasure device according to claim 15.
前記検索ルール記憶部に、予め前記検索依頼を受けつける対象のネットワークアドレスに対応付けて検索ホップ数を記憶させ、In the search rule storage unit, the number of search hops is stored in advance in association with a target network address for receiving the search request,
前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数が、前記検索依頼情報におけるデクリメント前の検索ホップ数よりも小さい場合、前記不正端末検索手段が、前記検索依頼情報におけるデクリメント前の検索ホップ数を、前記検索ルール記憶部における一致した前記検索依頼を受けつける対象のネットワークアドレスに対応する検索ホップ数で置き換えるWhen the number of search hops corresponding to the network address to which the matched search request is received in the search rule storage unit is smaller than the number of search hops before decrement in the search request information, the unauthorized terminal search means Replace the number of search hops before decrement in the request information with the number of search hops corresponding to the target network address that accepts the matched search request in the search rule storage unit.
ことを特徴とする請求項16記載の攻撃パケット対策装置。The attack packet countermeasure apparatus according to claim 16.
前記不正端末検索手段が、不正端末を特定した場合に、前記機能制御手段が、当該中継装置を不正端末の直近の中継装置として、この直近の中継装置のアドレス、及び特定された前記不正端末のノードIDを含む検索結果情報を前記管理端末又は前記他の中継装置に送信する
ことを特徴とする請求項15〜17のいずれかに記載の攻撃パケット対策装置。
When the unauthorized terminal search means identifies an unauthorized terminal, the function control means uses the relay device as the nearest relay device of the unauthorized terminal, and the address of the nearest relay device and the identified unauthorized terminal. The attack packet countermeasure device according to any one of claims 15 to 17, wherein search result information including a node ID is transmitted to the management terminal or the other relay device.
請求項18記載の攻撃パケット対策装置が、エージェントプログラムを起動することによって、
前記検索結果情報の全部又は一部を含む検索キャッシュを記憶する検索キャッシュ記憶手段と、
前記管理端末から前記検索結果情報に対応する前記不正端末からの通信を制御するための制御依頼情報を入力すると、前記検索キャッシュ記憶手段を参照して、前記制御依頼情報に対応する検索結果情報から前記不正端末に直近の中継装置を特定し、当該中継装置が前記直近の中継装置でない場合に、前記機能制御手段により前記制御依頼情報を前記直近の中継装置に送信させ、当該中継装置が前記直近の中継装置である場合に、前記制御依頼情報に対応する検索結果情報から前記不正端末のノードIDを特定し、前記制御依頼情報に含まれる制御コマンドを実行して、前記不正端末からの通信を制御し、かつ、制御結果情報を前記管理端末又は前記制御依頼の送信元の中継装置に送信する不正端末制御手段と、を備えた
ことを特徴とする攻撃パケット対策装置。
The attack packet countermeasure device according to claim 18 activates the agent program,
Search cache storage means for storing a search cache including all or part of the search result information;
When control request information for controlling communication from the unauthorized terminal corresponding to the search result information is input from the management terminal, the search cache storage unit is referred to and the search result information corresponding to the control request information is used. When the relay device nearest to the unauthorized terminal is identified and the relay device is not the nearest relay device, the function control means causes the control request information to be transmitted to the nearest relay device, and the relay device The node ID of the unauthorized terminal is identified from the search result information corresponding to the control request information, the control command included in the control request information is executed, and communication from the unauthorized terminal is performed. And an unauthorized terminal control means for controlling and transmitting control result information to the management terminal or the relay device that is the transmission source of the control request. Attack packet countermeasure device.
請求項19記載の攻撃パケット対策装置が、エージェントプログラムを起動することによって、
制御依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する制御ルール記憶部をさらに備え、
前記不正端末制御手段が、前記制御依頼情報の送信元アドレスと、前記制御ルール記憶部における前記制御依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定し、一致する場合に、前記制御依頼情報の送信又は前記不正端末からの通信の制御を行い、一致しない場合に、エラーを示す制御実行結果を前記機能制御手段に出力する
ことを特徴とする攻撃パケット対策装置。
The attack packet countermeasure device according to claim 19 starts an agent program,
A control rule storage unit that stores one or more network addresses to receive control requests;
In the case where the unauthorized terminal control means determines whether or not the source address of the control request information matches any network address to which the control request is received in the control rule storage unit. The attack packet countermeasure apparatus characterized in that the control request information is transmitted or the communication from the unauthorized terminal is controlled, and if they do not match, a control execution result indicating an error is output to the function control means.
受信したパケットの送信元情報を書き換える機能を備えた中継装置に、ネットワークを介して管理端末から送信されてきた不正端末の検索依頼情報にもとづきサーバへの不正アクセスを行った不正端末を特定させる攻撃パケット対策プログラムであって、
エージェントプログラムを起動させることによって、前記中継装置を、
受信したパケットの、中継前の送信元アドレス、中継後の送信元アドレス、宛先アドレスを含む通信ログを記憶する通信ログ記憶手段、
前記検索依頼情報を入力すると、前記通信ログ記憶手段を参照して不正端末又は前記検索依頼情報の送信先の中継装置を特定する不正端末検索手段、
前記管理端末又は他の中継装置から検索依頼情報を入力して前記不正端末検索手段に出力し、前記不正端末検索手段により不正端末が特定された場合に検索結果情報を前記管理端末又は前記他の中継装置に送信し、前記不正端末検索手段により前記送信先の中継装置が特定された場合に前記検索依頼情報を前記送信先の中継装置に送信する機能制御手段、及び、
検索依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する検索ルール記憶手段として機能させ、
前記不正端末検索手段に、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶手段における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定させ、一致する場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定させ、一致しない場合に、エラーを示す検索実行結果を前記機能制御手段へ出力させる
ことを実行させるための攻撃パケット対策プログラム。
Attack that causes a relay device that has a function to rewrite the source information of received packets to identify an unauthorized terminal that has made unauthorized access to the server based on the unauthorized terminal search request information transmitted from the management terminal via the network A packet countermeasure program,
By starting the agent program, the relay device
A communication log storage means for storing a communication log including a source address before relaying, a source address after relaying, and a destination address of a received packet;
When the search request information is input, an unauthorized terminal search unit that identifies an unauthorized terminal or a relay device as a transmission destination of the search request information with reference to the communication log storage unit,
Search request information is input from the management terminal or another relay device and output to the unauthorized terminal search means. When an unauthorized terminal is specified by the unauthorized terminal search means, search result information is sent to the management terminal or other A function control unit that transmits to the relay device, and transmits the search request information to the destination relay device when the destination relay device is identified by the unauthorized terminal search unit ; and
Function as search rule storage means for storing one or more network addresses to receive search requests;
When the fraudulent terminal search means determines whether or not the transmission source address of the search request information matches any network address that is the target of receiving the search request in the search rule storage means. The relay device that is the transmission destination of the unauthorized terminal or the search request information is specified, and if the data does not match, the search execution result indicating an error is output to the function control unit
Attack packet countermeasure program to make things happen.
前記検索依頼情報に検索ホップ数が含まれ、The search request information includes the number of search hops,
前記不正端末検索手段に、前記検索依頼情報の送信元アドレスと、前記検索ルール記憶部における前記検索依頼を受けつける対象のいずれかのネットワークアドレスとが一致する場合に、検索ホップ数をデクリメントさせ、デクリメント後の検索ホップ数が0以下でない場合に、前記不正端末又は前記検索依頼情報の送信先の中継装置を特定させ、デクリメント後の検索ホップ数が0以下である場合に、エラーを示す検索実行結果を前記機能制御手段に出力させるIf the transmission source address of the search request information matches one of the network addresses that are the targets of receiving the search request in the search rule storage unit, the unauthorized terminal search means decrements the number of search hops, and decrements When the number of subsequent search hops is not 0 or less, the search execution result indicating an error when the unauthorized terminal or the relay device that is the transmission destination of the search request information is specified and the number of search hops after decrement is 0 or less Is output to the function control means
ことを実行させるための請求項21記載の攻撃パケット対策プログラム。The attack packet countermeasure program according to claim 21, wherein the attack packet countermeasure program is executed.
前記不正端末検索手段により不正端末が特定された場合に、前記機能制御手段に、当該中継装置を不正端末の直近の中継装置として、この直近の中継装置のアドレス、及び特定された前記不正端末のノードIDを含む検索結果情報を前記管理端末又は前記他の中継装置へ送信させる
ことを実行させるための請求項22記載の攻撃パケット対策プログラム。
When an unauthorized terminal is identified by the unauthorized terminal search means, the function control means uses the relay device as the nearest relay device of the unauthorized terminal, the address of the nearest relay device, and the identified unauthorized terminal 23. The attack packet countermeasure program according to claim 22, for causing the search result information including a node ID to be transmitted to the management terminal or the other relay device.
エージェントプログラムを起動させることによって、前記中継装置を、
前記検索結果情報の全部又は一部を含む検索キャッシュを記憶する検索キャッシュ記憶手段、及び、
前記管理端末から前記検索結果情報に対応する前記不正端末からの通信を制御するための制御依頼情報を入力すると、前記検索キャッシュ記憶手段を参照して、前記制御依頼情報に対応する検索結果情報から前記不正端末に直近の中継装置を特定し、当該中継装置が前記直近の中継装置でない場合に、前記機能制御手段により前記制御依頼情報を前記直近の中継装置へ送信させ、当該中継装置が前記直近の中継装置である場合に、前記制御依頼情報に対応する検索結果情報から前記不正端末のノードIDを特定し、前記制御依頼情報に含まれる制御コマンドを実行して、前記不正端末からの通信を制御し、かつ、制御結果情報を前記管理端末又は前記制御依頼の送信元の中継装置へ送信する不正端末制御手段
として機能させるための請求項23記載の攻撃パケット対策プログラム。
By starting the agent program, the relay device
Search cache storage means for storing a search cache including all or part of the search result information; and
When control request information for controlling communication from the unauthorized terminal corresponding to the search result information is input from the management terminal, the search cache storage unit is referred to and the search result information corresponding to the control request information is used. When the relay device nearest to the unauthorized terminal is identified and the relay device is not the nearest relay device, the function control unit transmits the control request information to the nearest relay device, and the relay device The node ID of the unauthorized terminal is identified from the search result information corresponding to the control request information, the control command included in the control request information is executed, and communication from the unauthorized terminal is performed. 3. An unauthorized terminal control means for controlling and transmitting control result information to the management terminal or a relay apparatus that is a transmission source of the control request. 3. The attack packet countermeasure program according to 3 .
エージェントプログラムを起動させることによって、前記中継装置を、
制御依頼を受けつける対象の一又は二以上のネットワークアドレスを記憶する制御ルール記憶部として機能させ、
前記不正端末制御手段に、前記制御依頼情報の送信元アドレスと、前記制御ルール記憶部における前記制御依頼を受けつける対象のいずれかのネットワークアドレスとが一致するか否かを判定させ、一致する場合に、前記制御依頼情報の送信又は前記不正端末からの通信の制御を行わせ、一致しない場合に、エラーを示す制御実行結果を前記機能制御手段へ出力させる
ことを実行させるための請求項24記載の攻撃パケット対策プログラム。
By starting the agent program, the relay device
Function as a control rule storage unit that stores one or more network addresses to receive control requests,
In the case where the unauthorized terminal control means determines whether or not the transmission source address of the control request information matches any network address of the target that receives the control request in the control rule storage unit. the to perform the transmission or the control of the communication from the unauthorized terminal control request information, if they do not match, according to claim 24, wherein for executing possible to output a control execution result indicating an error to the function control unit Attack packet countermeasure program.
JP2007218802A 2007-08-24 2007-08-24 Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program Expired - Fee Related JP4710889B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007218802A JP4710889B2 (en) 2007-08-24 2007-08-24 Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007218802A JP4710889B2 (en) 2007-08-24 2007-08-24 Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program

Publications (2)

Publication Number Publication Date
JP2009055222A JP2009055222A (en) 2009-03-12
JP4710889B2 true JP4710889B2 (en) 2011-06-29

Family

ID=40505906

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007218802A Expired - Fee Related JP4710889B2 (en) 2007-08-24 2007-08-24 Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program

Country Status (1)

Country Link
JP (1) JP4710889B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111428235A (en) * 2020-02-21 2020-07-17 华东师范大学 Bus controller decision protection method facing MI L-STD-1553B

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (en) * 1998-10-15 2000-04-28 Ntt Data Corp Method and system for tracking electronic data and recording medium
JP2003298652A (en) * 2002-03-29 2003-10-17 Yokogawa Electric Corp Attack route tracking system
JP2004282364A (en) * 2003-03-14 2004-10-07 Ntt Data Corp Packet tracing method and packet tracing program
JP2006127409A (en) * 2004-11-01 2006-05-18 Oki Electric Ind Co Ltd Illicit access tracking device, method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (en) * 1998-10-15 2000-04-28 Ntt Data Corp Method and system for tracking electronic data and recording medium
JP2003298652A (en) * 2002-03-29 2003-10-17 Yokogawa Electric Corp Attack route tracking system
JP2004282364A (en) * 2003-03-14 2004-10-07 Ntt Data Corp Packet tracing method and packet tracing program
JP2006127409A (en) * 2004-11-01 2006-05-18 Oki Electric Ind Co Ltd Illicit access tracking device, method, and program

Also Published As

Publication number Publication date
JP2009055222A (en) 2009-03-12

Similar Documents

Publication Publication Date Title
Schnackengerg et al. Cooperative intrusion traceback and response architecture (CITRA)
US10326777B2 (en) Integrated data traffic monitoring system
Wheeler et al. Techniques for cyber attack attribution
US7464407B2 (en) Attack defending system and attack defending method
US10057284B2 (en) Security threat detection
US8127356B2 (en) System, method and program product for detecting unknown computer attacks
US8918875B2 (en) System and method for ARP anti-spoofing security
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
JP2009516266A (en) Intrusion event correlation method and system using network discovery information
JP2006319982A (en) Worm-specifying and non-activating method and apparatus in communications network
US9699202B2 (en) Intrusion detection to prevent impersonation attacks in computer networks
US20130298220A1 (en) System and method for managing filtering information of attack traffic
US20170070518A1 (en) Advanced persistent threat identification
CN110266650B (en) Identification method of Conpot industrial control honeypot
KR20080026122A (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
JP2010198386A (en) Illegal access monitoring system and illegal access monitoring method
US8234503B2 (en) Method and systems for computer security
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program
CN114172881B (en) Network security verification method, device and system based on prediction
Kumar Dos attacks on cloud platform: Their solutions and implications
CN114244610B (en) File transmission method and device, network security equipment and storage medium
CN114024752B (en) Network security defense method, device and system based on whole network linkage
JP4867949B2 (en) Packet transmission source identification system, packet transmission source identification method, and packet transmission source identification program
JP6889673B2 (en) Security Countermeasure Planning Equipment and Methods

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110307

R150 Certificate of patent or registration of utility model

Ref document number: 4710889

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees