[go: up one dir, main page]

JP2008172548A - 不正アクセス情報収集システム - Google Patents

不正アクセス情報収集システム Download PDF

Info

Publication number
JP2008172548A
JP2008172548A JP2007004038A JP2007004038A JP2008172548A JP 2008172548 A JP2008172548 A JP 2008172548A JP 2007004038 A JP2007004038 A JP 2007004038A JP 2007004038 A JP2007004038 A JP 2007004038A JP 2008172548 A JP2008172548 A JP 2008172548A
Authority
JP
Japan
Prior art keywords
unauthorized access
address
access information
honeynet
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007004038A
Other languages
English (en)
Other versions
JP4780413B2 (ja
Inventor
Kouei Suzuki
宏栄 鈴木
Shunsuke Baba
俊輔 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2007004038A priority Critical patent/JP4780413B2/ja
Priority to CN2007800497544A priority patent/CN101578827B/zh
Priority to PCT/JP2007/075213 priority patent/WO2008084725A1/ja
Priority to US12/522,653 priority patent/US8331251B2/en
Publication of JP2008172548A publication Critical patent/JP2008172548A/ja
Application granted granted Critical
Publication of JP4780413B2 publication Critical patent/JP4780413B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】 広範囲のアドレス空間の不正アクセス情報を低コストで収集可能で動作解析が容易な不正アクセス情報収集システムを実現する。
【解決手段】 ハニーネットへの不正アクセスを監視して不正アクセス情報を収集する不正アクセス情報収集システムにおいて、プライベートアドレス或いはグローバルアドレスがそれぞれ設定されハニーネットを構成する複数のハニーポットと、インターネットとハニーネットとの間に設けられ、ルーティングテーブルの設定によってプライベートアドレス或いはグローバルアドレスに対して複数のグローバルアドレスを割り当てて受信したパケットを転送し、通信制御リストに基づきハニーネット側からインターネット側への通信制御を行うと共に通過するパケットを記録する不正アクセス情報収集装置とを設ける。
【選択図】 図1

Description

本発明は、複数のハニーポット(攻撃者やウィルス等を誘き寄せるための囮のネットワーク機器やサーバ等)から構成されるハニーネットへの不正アクセスを監視して不正アクセス情報を収集する不正アクセス情報収集システムに関し、特に広範囲のアドレス空間の不正アクセス情報を低コストで収集可能で動作解析が容易な不正アクセス情報収集システムに関する。
従来の複数のハニーポットから構成されるハニーネットへの不正アクセスを監視して不正アクセス情報を収集する不正アクセス情報収集システム等に関連する先行技術文献としては次のようなものがある。
特開2002−111727号公報 特開2004−234401号公報 特開2006−025354号公報 特開2006−099590号公報 特開2006−243878号公報
図17は従来の不正アクセス情報収集システムの一例を示す構成ブロック図である。図17において1は不正アクセスを行うコンピュータ等の端末、2は不正アクセス情報を収集する不正アクセス情報収集装置、3,4及び5は攻撃者やウィルス等を誘き寄せるための囮のネットワーク機器やサーバ等であるハニーポット、100はインターネットである。
また、2,3,4及び5は不正アクセス情報収集システムを、3,4及び5はハニーネットをそれぞれ構成している。
端末1はインターネット100に相互に接続され、不正アクセス情報収集装置2の一方の通信手段(例えば、ネットワークインターフェース等)もまたインターネット100に相互に接続される。また、不正アクセス情報収集装置2の他方の通信手段はハニーポット3,4及び5に相互に接続される。
また、図18は不正アクセス情報収集手段2の具体例を示す構成ブロック図である。図18において6はインターネット100を介して通信を行う通信手段、7はCPU(Central Processing Unit)等の不正アクセス情報収集装置全体を制御する演算制御手段、8はハニーネットを介して通信を行う通信手段、9はハードディスク、ROM(Read Only Memory)やRAM(Random Access Memory)等の記憶手段である。また、6,7,8及び9は不正アクセス情報収集装置50を構成している。
通信手段6はインターネット100(図示せず)に相互に接続されると共に入出力が演算制御手段7に相互に接続される。一方、通信手段8はハニーネット(図示せず)に相互に接続されると共に入出力が演算制御手段7に相互に接続される。また、記憶手段9の入出力もまた演算制御手段7に相互に接続される。
ここで、図17に示す従来例の動作を図19、図20、図21及び図22を用いて説明する。図19は演算制御手段7のインバウンド通信(インターネット側からパケットの受信)時の動作を説明するフロー図、図20はインバウンド通信時の動作を説明する説明図、図21は演算制御手段7のアウトバウンド通信(ハニーネット側からパケットの受信)時の動作を説明するフロー図、図22はアウトバウンド通信時の動作を説明する説明図である。
先ず、ハニーネットを構成する各ハニーポット3,4及び5にはそれぞれグローバルIP(Internet Protocol)アドレス(以下、単にグローバルアドレスと呼ぶ。)が割り当てられ、不正アクセス情報収集装置50の記憶手段9には各ハニーポット3,4及び5のグローバルアドレスとMAC(Media Access Control address)アドレスとが登録されたアドレステーブルが予め格納されている。
また、不正アクセス情報収集装置50の記憶手段9にはアウトバウンド通信時の送信先グローバルアドレスに対するIP(Internet Protocol)パケット(以下、単にパケット呼ぶ。)のインターネット側への転送、或いは、パケットの破棄等の制限情報が設定された通信制御リストが予め格納されている。
インバウンド通信(インターネット側からパケットの受信)時、図19中”S001”において演算制御手段7は、通信手段6を介してインターネット側の端末1からパケットを受信したか否かを判断し、もし、インターネット側の端末1からパケットを受信したと判断した場合には、図19中”S002”において演算制御手段7は、送信先のグローバルアドレスに対応する送信先のMACアドレスが記憶手段9に予め格納されているアドレステーブルに登録されているかを検索する。
図19中”S003”において演算制御手段7は、当該MACアドレスがアドレスリストに存在すると判断した場合には、図19中”S004”において演算制御手段7は、受信したパケットの情報を記憶手段9のログファイルに記録すると共に図19中”S005”において演算制御手段7は、通信手段8を介してハニーネット側の当該MACアドレスのハニーポットに受信したパケットを転送する。
例えば、図20中”PC01”に示すようにインターネット100側の端末1から送信先グローバルアドレスが”IP01”であるパケットを受信した時、不正アクセス情報収集装置2は、アドレスリストを検索し送信先グローバルアドレス”IP01”に対応するMACアドレス”MC01”が存在する場合、パケットの情報をテキスト形式でログファイルに記録すると共にMACアドレス”MC01”のハニーポット3に対して受信したパケットを転送する。
一方、図19中”S003”において当該MACアドレスがアドレスリストに存在しないと判断した場合には、言い換えれば、転送すべきMACアドレスのハニーポットが存在しない場合には、図19中”S006”において演算制御手段7は、受信したパケットを破棄する。
例えば、図20中”PC02”に示すようにインターネット100側の端末1から送信先グローバルアドレスが”IP05”であるパケットを受信した時、不正アクセス情報収集装置2は、アドレスリストを検索して送信先グローバルアドレス”IP05”に対応するMACアドレスが存在しない、言い換えれば、転送すべきMACアドレスのハニーポットが存在しない場合、受信したパケットを破棄する。
また、アウトバウンド通信(ハニーネット側からパケットの受信)時、図21中”S101”において演算制御手段7は、通信手段8を介してハニーネット側の或るハニーポットからパケットを受信したか否かを判断し、もし、ハニーネット側の或るハニーポットからパケットを受信したと判断した場合には、図21中”S102”において演算制御手段7は、送信元のプライベートアドレスに対する制限情報が通信制御リストに登録されているか否かを検索する。
図21中”S103”において演算制御手段7は、送信元のプライベートアドレスに対する制限情報が通信制御リストに存在しないと判断した場合には、図21中”S104”において演算制御手段7は、受信したパケットの情報を記憶手段9のログファイルに記録すると共に図21中”S105”において演算制御手段7は、通信手段6を介してインターネット側の送信先のグローバルアドレスの端末に受信したパケットを転送する。
例えば、図22中”PC11”に示すようにハニーネット側のハニーポット3のプライベートアドレスが”IP11”であるパケットを受信した時、不正アクセス情報収集装置2は、通信制御リストを検索し送信元のプライベートアドレス”IP21”に対応する制限情報が存在しない場合には、パケットの情報をテキスト形式でログファイルに記録すると共に送信先グローバルアドレス”IP11”の端末1に対して受信したパケットを転送する。
一方、図21中”S103”において制限情報が通信制御リストに存在すると判断した場合には、言い換えれば、当該送信元のプライベートアドレスからの送信を制限する場合には、図21中”S106”において演算制御手段7は、受信したパケットを破棄する。
例えば、図22中”PC12”に示すようにハニーネット側のハニーポット5のプライベートアドレスが”IP12”であるパケットを受信した時、不正アクセス情報収集装置2は、通信制御リストを検索して送信元のプライベートアドレス”IP12”に対応する制限情報が存在した場合には、言い換えれば、当該送信元のプライベートアドレスからの送信を制限する場合、受信したパケットを破棄する。
このような動作により、記憶手段9のログファイルには不正アクセス情報収集装置50を通過したパケットの情報が記録されるので、当該ログファイルを解析することにより、攻撃者やウィルス等のハニーネットに対する不正アクセスの状況を把握することが可能になる。
また、不正アクセス情報収集装置50が予め設定された通信制御リストに基づきハニーネット側からインターネット側へのパケットの通信制御を行うことにより、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
この結果、インターネットとハニーネットとの間に不正アクセス情報収集装置を設けて、不正アクセス情報収集装置を通過するパケットの情報を記録すると共に、設定された通信制御リストに基づきハニーネット側からインターネット側への通信制御を行うことにより、不正アクセス情報の収集が可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
しかし、図17に示す従来例では、ハニーネットを構成する各ハニーポットに1つずつグローバルアドレスを割り当てているため、広範囲のアドレス空間における不正アクセス情報を収集する場合には、大量のハニーポット(ネットワーク機器やサーバ等)を用意する必要性があり、運用コストが増大してしまうと言った問題点があった。
また、図23はログファイルに記録されるパケットの情報の一例を示す説明図であり、図23に示すようなパケットの情報では、ログを一行一行読んで動作解析する必要性があり、リアルタイムに不正アクセスの状況を把握(動作解析)することは困難であると言った問題点があった。
従って本発明が解決しようとする課題は、広範囲のアドレス空間の不正アクセス情報を低コストで収集可能で動作解析が容易な不正アクセス情報収集システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ハニーネットへの不正アクセスを監視して不正アクセス情報を収集する不正アクセス情報収集システムにおいて、
プライベートアドレス或いはグローバルアドレスがそれぞれ設定され前記ハニーネットを構成する複数のハニーポットと、インターネットと前記ハニーネットとの間に設けられ、ルーティングテーブルの設定によって前記プライベートアドレス或いは前記グローバルアドレスに対して複数のグローバルアドレスを割り当てて受信したパケットを転送し、通信制御リストに基づき前記ハニーネット側から前記インターネット側への通信制御を行うと共に通過する前記パケットを記録する不正アクセス情報収集装置とを備えたことにより、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
請求項2記載の発明は、
請求項1記載の発明である不正アクセス情報収集システムにおいて、
前記不正アクセス情報収集装置が、
前記インターネットを介して通信を行う第1の通信手段と、前記ハニーネットを介して通信を行う第2の通信手段と、前記ルーティングテーブルが格納される記憶手段と、装置全体を制御すると共に前記第1の通信手段を介して受信したパケットを前記記憶手段に記録し、記録したパケットに第1の検知ポイント識別子及び送信先グローバルアドレスと送信先ポート番号を書き込み、前記送信先グローバルアドレスが前記ルーティングテーブルに存在する場合には受信したパケットの送信先アドレスを前記プライベートアドレス或いは前記グローバルアドレスに書き換え、先に記録したパケットの送信先アドレスを前記プライベートアドレス或いは前記グローバルアドレスに書き換え第2の検知ポイント識別子を書き込んで前記記憶手段に記憶し、前記プライベートアドレス或いは前記グローバルアドレスに書き換えられた受信パケットを前記第2の通信手段を介して転送し、送信先グローバルアドレスがルーティングリストに存在しない場合に、受信したパケットを破棄する演算制御手段とから構成されることにより、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
請求項3記載の発明は、
請求項1記載の発明である不正アクセス情報収集システムにおいて、
前記不正アクセス情報収集装置が、
前記インターネットを介して通信を行う第1の通信手段と、
前記ハニーネットを介して通信を行う第2の通信手段と、
前記通信制御リストが格納される記憶手段と、
装置全体を制御すると共に前記第2の通信手段を介して受信したパケットの送信元のプライベートアドレス或いはグローバルアドレスに対する制限情報が前記通信制御リストに登録されていない場合に、受信したパケットを前記記憶手段に記録すると共に記録されたパケットに第3の検知ポイント識別子を書き込み、受信したパケットの送信元アドレスをグローバルアドレスに書き換えて前記第1の通信手段を介して転送し、制限情報が前記通信制御リストに存在する場合に受信したパケットを前記記憶手段に記録すると共に記録されたパケットに第4の検知ポイント識別子を書き込み受信したパケットを破棄する演算制御手段とから構成されることにより、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
請求項4記載の発明は、
請求項2若しくは請求項3記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
表示手段にIPアドレスとポート番号とを座標軸としたインターネット面、装置面及びハニーネット面を表示させると共に前記記憶手段から記録されたパケットを読み出し、前記第1の検知ポイント識別子が書き込まれている場合には前記インターネット面と前記装置面との間を描画し、前記第2の検知ポイント識別子が書き込まれている場合には前記装置面と前記ハニーネット面との間を描画し、前記第3の検知ポイント識別子が書き込まれている場合には前記ハニーネット面と前記インターネット面との間を描画し、前記第4の検知ポイント識別子が書き込まれている場合には前記ハニーネット面と前記装置面との間を描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
請求項5記載の発明は、
請求項4記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記第1の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記インターネット面の座標に表示し、前記送信先アドレスを前記装置面の座標に表示すると共に2つの点を線分で結ぶように描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
請求項6記載の発明は、
請求項4記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記第2の検知ポイント識別子が書き込まれている場合には、書き換え前の送信先グローバルアドレスを前記装置面の座標に表示し、書き換えられた前記プライベートアドレス或いは前記グローバルアドレスを前記ハニーネット面の座標に表示すると共に2つの点を線分で結ぶように描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
請求項7記載の発明は、
請求項4記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記第3の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記ハニーネット面の座標に表示し、送信先アドレスを前記インターネット面の座標に表示すると共に2つの点を線分で結ぶように描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
請求項8記載の発明は、
請求項4記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記第4の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記ハニーネット面の座標に表示し、送信先アドレスを前記装置面の座標に表示すると共に2つの点を線分で結ぶように描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
請求項9記載の発明は、
請求項5乃至請求8のいずれかに記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記線分を色分け表示してすることにより、直感的に各装置間を伝播するパケットのプロトコル種別等を色により分離して観察することができるので、動作解析をより容易に行うことができる。
請求項10記載の発明は、
請求項5乃至請求8のいずれかに記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
パケットの伝播方向に向かって前記線分をなぞるようにマーカを移動させることにより、線分上をなぞるようにマーカがパケットの伝播方向に向かって移動するので、パケットの伝播方向を直感的に把握することが可能になる。
請求項11記載の発明は、
請求項5乃至請求8のいずれかに記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記マーカを任意の形状で表示させることにより、線分上をなぞるようにマーカがパケットの伝播方向に向かって移動するので、パケットの伝播方向を直感的に把握することが可能になる。
請求項12記載の発明は、
請求項5乃至請求8のいずれかに記載の発明である不正アクセス情報収集システムにおいて、
前記演算制御手段が、
前記マーカの輝度を周囲の輝度とは異なる輝度にすることにより、線分上をなぞるようにマーカがパケットの伝播方向に向かって移動するので、パケットの伝播方向を直感的に把握することが可能になる。
本発明によれば次のような効果がある。
請求項1,2及び請求項3の発明によれば、インターネットとハニーネットとの間に不正アクセス情報収集装置を設けると共にハニーネットを構成する各ハニーポットにはプライベートアドレスを割り当て、ルーティングテーブルの設定によって当該プライベートアドレスに対して複数のグローバルアドレスを割り当てて受信したパケットを転送し、検知ポイント識別子を書き込んだパケットを記録し、設定された通信制御リストに基づきハニーネット側からインターネット側への通信制御を行うことにより、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
また、請求項4,5,6,7及び請求項8の発明によれば、演算制御手段が、検知ポイント識別子等を付加した記録されたパケットに基づきインターネット面と装置面との間を線分で描画し、装置面とハニーネット面との間を線分で描画し、或いは、インターネット面とハニーネット面との間を線分で描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
また、請求項9の発明によれば、演算制御手段が、線分を色分け表示してすることにより、直感的に各装置間を伝播するパケットのプロトコル種別等を色により分離して観察することができるので、動作解析をより容易に行うことができる。
また、請求項10,11及び請求項12の発明によれば、演算制御手段が、パケットの伝播方向に向かって線分をなぞるようにマーカを移動させることにより、線分上をなぞるようにマーカがパケットの伝播方向に向かって移動するので、パケットの伝播方向を直感的に把握することが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係る不正アクセス情報収集システムの一実施例を示す構成ブロック図である。
図1において1及び100は図16と同一符号を付してあり、10は不正アクセス情報を収集する不正アクセス情報収集装置、11,12及び13は攻撃者やウィルス等を誘き寄せるための囮のネットワーク機器やサーバ等であるハニーポット、14はインターネット経由で不正アクセス情報収集装置を管理等する管理端末である。
また、10,11,12及び13は不正アクセス情報収集システムを、11,12及び13はハニーネットをそれぞれ構成している。
端末1はインターネット100に相互に接続され、不正アクセス情報収集装置10の一方の通信手段(例えば、ネットワークインターフェース等)もまたインターネット100に相互に接続される。また、不正アクセス情報収集装置10の他方の通信手段はハニーポット11,12及び13に相互に接続される。さらに、管理端末14はインターネット100に相互に接続される。
また、図2は不正アクセス情報収集手段10の具体例を示す構成ブロック図である。図2において15はインターネット100を介して通信を行う通信手段、16はCPU等の不正アクセス情報収集装置全体を制御する演算制御手段、17はハニーネットを介して通信を行う通信手段、18はハードディスク、ROMやRAM等の記憶手段、19はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等の表示手段である。また、15,16,17,18及び19は不正アクセス情報収集装置51を構成している。
通信手段15はインターネット100(図示せず)に相互に接続されると共に入出力が演算制御手段16に相互に接続される。一方、通信手段17はハニーネット(図示せず)に相互に接続されると共に入出力が演算制御手段16に相互に接続される。また、記憶手段18の入出力もまた演算制御手段16に相互に接続され、演算制御手段16の表示出力が表示手段19に接続される。
ここで、図1に示す実施例の動作を図3,図4,図5,図6,図7,図8,図9,図10,図11及び図12を用いて説明する。
図3はグローバルアドレスの割り当てを説明する説明図、図4は演算制御手段16のインバウンド通信(インターネット側からパケットの受信)時の動作を説明するフロー図、図5はインバウンド通信時の動作を説明する説明図、図6は記録されるパケットの構成を説明する説明図、図7,図8,図11及び図12は記録されるパケットの一例を説明する説明図、図9は演算制御手段16のアウトバウンド通信(ハニーネット側からパケットの受信)時の動作を説明するフロー図、図10はアウトバウンド通信時の動作を説明する説明図である。
先ず、ハニーネットを構成する各ハニーポット11,12及び13にはそれぞれプライベートIP(Internet Protocol)アドレス(以下、単にプライベートアドレスと呼ぶ。)が割り当てられ、不正アクセス情報収集装置51の記憶手段18には各ハニーポット11,12及び13のプライベートアドレスと当該プライベートアドレスに割り当てられたグローバルアドレスとの関係が登録されたルーティングテーブルが予め格納されている。
図3はこのようなルーティングテーブルの一例を示しており、例えば、プライベートアドレス”192.168.0.1”にはグローバルアドレス”210.220.230.240”及び”210.220.230.243”が割り当てられている。
また、例えば、プライベートアドレス”192.168.0.2”にはグローバルアドレス”210.220.230.241”、”210.220.230.242”及び”210.220.230.244”が割り当てられている。
さらに、不正アクセス情報収集装置51の記憶手段18にはアウトバウンド通信時の送信先グローバルアドレスに対するパケットのインターネット側への転送、或いは、パケットの破棄等の制限情報が設定された通信制御リストが予め格納されている。
インバウンド通信(インターネット側からパケットの受信)時、図4中”S201”において演算制御手段16は、通信手段15を介してインターネット側の端末1からパケットを受信したか否かを判断する。
例えば、グローバルアドレスが”210.220.230.230”である端末1から送信先グローバルアドレスが”210.220.230.240”である図5中”PC21”に示すようなパケットが不正アクセス情報収集装置11に送信された場合を想定する。また、この時、ハニーポット14のプライベートアドレスは”192.168.0.1”であるとする。
図4中”S201”において通信手段15を介してインターネット側の端末1からパケットを受信したと判断した場合、図4中”S202”において演算制御手段16は、受信したパケットを記憶手段18に記録すると共に記録されたパケットのペイロードに検知ポイント識別子及び送信先グローバルアドレスと送信先ポート番号を書き込む。
例えば、記憶手段に記録されたパケットは図6中”HD31”に示すヘッダ部分の図6中”SA31”及び”DA31”に示す部分には送信元アドレス(Source Address)と送信先アドレス(Destination Address)が格納されており、図6中”PL31”に示すペイロード部分の図6中”ID31”に示す部分に検知ポイント識別子が書き込まれ、図6中”BN31”に示す部分に送信先グローバルアドレスと送信先ポート番号(パケットのペイロード部分に記載されている)が書き込まれる。
すなわち、グローバルアドレスが”210.220.230.230”である端末1から受信した送信先グローバルアドレスが”210.220.230.240”であるパケットは、図7中(a)に示すような情報が書き込まれており、図4中”S202”のステップにより演算制御手段16は、図7中(b)に示すような情報をペイロード部分に書き込み記憶手段18に記録する。
例えば、図7中”ID41”に示す部分には検知ポイント識別子として”1”が書き込まれ、図7中”BN41”に示す部分には図7中”DA31”に示す部分に格納されているグローバルアドレスが書き込まれる。
ちなみに、検知ポイント識別子”1”はインターネット側からパケットを受信した時点を示している。
次に、図4中”S203”において演算制御手段16は、送信先グローバルアドレスが記憶手段9に予め格納されているルーティングテーブルに登録されているか否かを検索する。
図4中”S204”において演算制御手段16は、当該グローバルアドレスがルーティングリストに存在すると判断した場合には、図4中”S205”において演算制御手段16は、受信したパケットの送信先アドレスを図3に示すルーティングテーブルに基づきプライベートアドレスに書き換える。
また、図4中”S206”において演算制御手段16は、図4中”S202”のステップで記録されたパケットの送信先アドレスを図3に示すルーティングテーブルに基づきプライベートアドレスに書き換えた上で記憶手段18に記録すると共に記録されたパケットのペイロードに検知ポイント識別子を書き込む。
すなわち、図4中”S202”のステップで記録されたパケットは、図8中(a)に示すような情報が書き込まれており、図4中”S206”のステップにより演算制御手段16は、図8中(b)に示すような情報をヘッダ部分及びペイロード部分に書き込み記憶手段18に記録する。
例えば、図8中”DA51”に示す部分はルーティングテーブルに基づきプライベートアドレス”192.168.0.1”に書き換えられ、図8中”ID51”に示す部分には検知ポイント識別子として”2”が書き込まれる。
ちなみに、検知ポイント識別子”2”はプライベートアドレスに書き換えられた時点を示している。
図4中”S207”において演算制御手段16は、通信手段17を介してハニーネット側の当該プライベートアドレスのハニーポットに、ルーティングテーブルに基づきプライベートアドレスに書き換えられた受信パケットを転送する。
例えば、受信パケットは図5中”CA21”に示すようにプライベートアドレスに書き換えられ、図5中”PC22”に示すようにハニーポット14に転送される。
一方、図4中”S204”において送信先グローバルアドレスがルーティングリストに存在しないと判断した場合には、言い換えれば、転送すべきグローバルアドレス(実際はプライベートアドレス)のハニーポットが存在しない場合には、図4中”S208”において演算制御手段16は、受信したパケットを破棄する。
また、アウトバウンド通信(ハニーネット側からパケットの受信)時、図9中”S301”において演算制御手段16は、通信手段17を介してハニーネット側の或るハニーポットからパケットを受信したか否かを判断する。
例えば、プライベートアドレスが”192.168.0.1”であるハニーポット14から送信先グローバルアドレスが”210.220.230.230”である図10中”PC61”に示すようなパケットが不正アクセス情報収集装置11に送信された場合を想定する。
また、この時、不正アクセス情報収集装置11は、ハニーポット14のプライベートアドレスに割り当てられたグローバルアドレスのなかで”210.220.230.240”を送信アドレスとしてインターネットにパケットを転送するものとする。
図9中”S301”において通信手段17を介してハニーネット側の或るハニーポットからパケットを受信したと判断した場合、図9中”S302”において演算制御手段16は、送信元のプライベートアドレスに対する制限情報が通信制御リストに登録されているか否かを検索する。
図9中”S303”において演算制御手段16は、送信元のプライベートアドレスに対する制限情報が通信制御リストに存在しないと判断した場合には、図9中”S304”において演算制御手段16は、受信したパケットを記憶手段18に記録すると共に記録されたパケットのペイロードに検知ポイント識別子を書き込む。
すなわち、プライベートアドレスが”192.168.0.1”であるハニーポット14から受信した送信先グローバルアドレスが”210.220.230.230”であるパケットは、図11中(a)に示すような情報が書き込まれており、図9中”S304”のステップにより演算制御手段16は、図11中(b)に示すような情報をペイロード部分に書き込み記憶手段18に記録する。
例えば、図11中”ID71”に示す部分には検知ポイント識別子として”3”が書き込まれる。
ちなみに、検知ポイント識別子”3”はインターネット側にパケットを転送した時点を示している。
図9中”S305”において演算制御手段16は、受信したパケットの送信元アドレスをグローバルアドレス”210.220.230.240”に書き換えると共に図9中”S306”において演算制御手段16は、通信手段15を介してインターネット側の送信先グローバルアドレスの端末に書き換え済みの受信パケットを転送する。
例えば、受信パケットは図10中”CA61”に示すように送信元アドレスをグローバルアドレスに書き換えられ、図10中”PC62”に示すように端末1に転送される。
一方、図9中”S303”において制限情報が通信制御リストに存在すると判断した場合には、言い換えれば、当該送信元のプライベートアドレスからの送信を制限する場合には、図9中”S307”において演算制御手段16は、受信したパケットを記憶手段18に記録すると共に記録されたパケットのペイロードに検知ポイント識別子を書き込み、図9中”S308”において演算制御手段16は、受信したパケットを破棄する。
すなわち、プライベートアドレスが”192.168.0.1”であるハニーポット14から受信した送信先グローバルアドレスが”210.220.230.230”であるパケットは、図12中(a)に示すような情報が書き込まれており、図9中”S307”のステップにより演算制御手段16は、図12中(b)に示すような情報をペイロード部分に書き込み記憶手段18に記録する。
例えば、図12中”ID81”に示す部分には検知ポイント識別子として”4”が書き込まれる。
ちなみに、検知ポイント識別子”4”はインターネット側にパケットを転送されずに破棄した時点を示している。
このような動作により、記憶手段18には検知ポイント識別子等が付加されたパケットが格納されるので、不正アクセス情報を収集することが可能になる。
また、ハニーネットを構成する各ハニーポットにはプライベートアドレスを割り当て、ルーティングテーブルの設定によって当該プライベートアドレスに対して複数のグローバルアドレスを割り当てることにより、広範囲のアドレス空間における不正アクセス情報を収集する場合には、大量のハニーポット(ネットワーク機器やサーバ等)を用意する必要性がなくなり、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能になる。
また、不正アクセス情報収集装置51が予め設定された通信制御リストに基づきハニーネット側からインターネット側へのパケットの通信制御を行うことにより、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
この結果、インターネットとハニーネットとの間に不正アクセス情報収集装置を設けると共にハニーネットを構成する各ハニーポットにはプライベートアドレスを割り当て、ルーティングテーブルの設定によって当該プライベートアドレスに対して複数のグローバルアドレスを割り当てて受信したパケットを転送し、検知ポイント識別子を書き込んだパケットを記録し、設定された通信制御リストに基づきハニーネット側からインターネット側への通信制御を行うことにより、広範囲のアドレス空間の不正アクセス情報を低コストで収集することが可能であり、不正アクセスされたハニーポットを他のネットワークに対する攻撃の踏み台に利用されること等を防止することができる。
ここで、さらに、図13,図14,図15及び図16を用いてこのように記録された不正アクセス情報の表示方法について説明する。
図13は表示画面の構成を説明する説明図、図14は演算制御手段16の不正アクセス情報表示時の動作を説明するフロー図、図15及び図16は不正アクセス情報の表示例を示す説明図である。
演算制御手段16は、インターネット側の端末と不正アクセス情報収集装置との間の通信の状況、不正アクセス情報収集装置とハニーネット側のハニーポットとの間の通信の状況及びインターネット側の端末とハニーネット側のハニーポットとの間の通信の状況を三次元で可視化するめ、表示手段19を制御して図13に示すような構成の表示座標を設定する。
図13に示す表示座標において、図13中”IN91”に示す面(以下、インターネット面と呼ぶ。)は、縦軸をIPアドレス、横軸をポート番号とした座標面であり、同様に、図13中”NI91”、”NH91”及び”HP91”に示す面(以下、インターネット側装置面、ハニーネット側装置面及びハニーネット面とそれぞれ呼ぶ。)もまた縦軸をIPアドレス、横軸をポート番号とした座標面である。
また、それぞれの縦軸のIPアドレス範囲としては、図13中”IN91”に示すインターネット面では、”0.0.0.0”〜”255.255.255.255”であり、図13中”NI91”及び”NH91”に示すインターネット側装置面及びハニーネット側装置面では不正アクセス情報収集装置10に割り当てられたグローバルアドレス(ルーティングテーブルに登録されているグローバルアドレス)の”最小IPアドレス”〜”最大IPアドレス”である。
同様に、図13中”HP91”に示すハニーネット面では個々のハニーポットに割り当てられたプライベートアドレス(ルーティングテーブルに登録されているプライベートアドレス)の”最小IPアドレス”〜”最大IPアドレス”である。
一方、それぞれの横軸のポート番号範囲としては、図13中”IN91”,”NI9”,”NH91”及び”HP91”に示すインターネット面、インターネット側装置面、ハニーネット側装置面及びハニーネット面ではそれぞれ”0”〜”65535”である。
すなわち、演算制御手段16は以下に説明する動作により、図13中”IN91”に示すインターネット面と、図13中”NI91”に示すインターネット側装置面との間でインターネット側の端末と不正アクセス情報収集装置との間の通信の状況を三次元で可視化し、図13中”NH91”に示すハニーネット側装置面と、図13中”HP91”に示すハニーネット面との間でと不正アクセス情報収集装置とハニーネット側のハニーポットとの間の通信の状況を三次元で可視化する。
さらに、図13中”IN91”に示すインターネット面と、図13中”HP91”に示すハニーネット面との間でとインターネット側の端末とハニーネット側のハニーポットとの間の通信の状況を三次元で可視化する。
但し、説明の簡単のために以下の動作説明では横軸であるポート番号に関する説明は適宜省略する。
図14中”S401”において演算制御手段16は、記憶手段18から先のイントバウンド通信時やアウトバウンド通信時において記録したパケットを読み出し、図14中”S402”において演算制御手段16は、読み出したパケットから検知ポイント識別子を抽出する。
例えば、記憶手段18に記憶されているパケットの図6中”ID31”に示す部分には検知ポイント識別子が書き込まれているので、読み出したパケットの図6中”ID31”に示す部分から検知ポイント識別子を抽出する。
図14中”S403”において演算制御手段16は、抽出した検知ポイント識別子が”1”、言い換えれば、インターネット側からパケットを受信した時点であるか否かを判断し、もし、検知ポイント識別子が”1”であれば、図14中”S404”において演算制御手段16は、インターネット面とインターネット側装置面との間を描画する。
検知ポイント識別子が”1”であれば、読み出されたパケットは、例えば、図7(b)に示すようになるので、演算制御手段16は、図7中”SA41”に示す送信元アドレスをインターネット面の座標に表示し、図7中”DA41”に示す送信先アドレスをインターネット側装置面の座標に表示すると共に2つの点を線分で結ぶように描画する。
具体的には、インターネット側からIPアドレス”210.220.230.240”のポート番号”80”へのアクセスがあった場合、図15(a)に示すようにインターネット面とインターネット側装置面との間を、図15中”LN101”に示すような線分で結ぶように描画する。
図14中”S403”で抽出した検知ポイント識別子が”1”、言い換えれば、インターネット側からパケットを受信した時点ではないと判断した場合、図14中”S405”において演算制御手段16は、抽出した検知ポイント識別子が”2”、言い換えれば、プライベートアドレスに書き換えられた時点であるか否かを判断し、もし、検知ポイント識別子が”2”であれば、図14中”S406”において演算制御手段16は、ハニーネット側装置面とハニーネット面との間を描画する。
検知ポイント識別子が”2”であれば、読み出されたパケットは、例えば、図8(b)に示すようになるので、演算制御手段16は、図8中”BN51”に示す書き換え前の送信先グローバルアドレスをハニーネット側装置面の座標に表示し、図8中”DA51”に示す書き換えられたプライベートアドレスをハニーネット面の座標に表示すると共に2つの点を線分で結ぶように描画する。
具体的には、IPアドレス(グローバルアドレス)”210.220.230.240”がプライベートアドレス”192.168.0.1”に割り当てられていた場合、図15(b)に示すようにハニーネット側装置面とハニーネット面との間を、図15中”LN102”に示すような線分で結ぶように描画する。ちなみに、この時、インターネット側装置面とハニーネット側装置面の座標位置は同一であり、インターネット側装置面、ハニーネット側装置面及びハニーネット面のポート番号”80”は同じである。
図14中”S405”で抽出した検知ポイント識別子が”2”、言い換えれば、プライベートアドレスに書き換えられた時点ではないと判断した場合、図14中”S407”において演算制御手段16は、抽出した検知ポイント識別子が”3”、言い換えれば、インターネット側にパケットを転送した時点であるか否かを判断し、もし、検知ポイント識別子が”3”であれば、図14中”S408”において演算制御手段16は、ハニーネット面とインターネット面との間を描画する。
検知ポイント識別子が”3”であれば、読み出されたパケットは、例えば、図11(b)に示すようになるので、演算制御手段16は、図11中”SA71”に示す送信元アドレスをハニーネット面の座標に表示し、図11中”DA71”に示す送信先アドレスをインターネット面の座標に表示すると共に2つの点を線分で結ぶように描画する。
具体的には、ハニーネット側からIPアドレス(グローバルアドレス)”210.220.230.240”のポート番号”35000”にアクセスする場合、図15(c)に示すようにハニーネット面とインターネット面との間を、図15中”LN103”に示すような線分で結ぶように描画する。
図14中”S407”で抽出した検知ポイント識別子が”3”、言い換えれば、インターネット側にパケットを転送した時点ではないと判断した場合、図14中”S409”において演算制御手段16は、抽出した検知ポイント識別子が”4”、言い換えれば、インターネット側にパケットを転送されずに破棄した時点であるか否かを判断し、もし、検知ポイント識別子が”4”であれば、図14中”S410”において演算制御手段16は、ハニーネット面とハニーネット側装置面との間を描画する。
検知ポイント識別子が”4”であれば、読み出されたパケットは、例えば、図12(b)に示すようになるので、演算制御手段16は、図12中”SA81”に示す送信元アドレスをハニーネット面の座標に表示し、図12中”DA81”に示す送信先アドレスをハニーネット側装置面の座標に表示すると共に2つの点を線分で結ぶように描画する。
具体的には、プライベートアドレスが”192.168.0.2”のボットに感染したハニーポットから制限情報が設定されたプライベートアドレスが”192.168.0.2”からグローバルアドレス(ポート番号は”6667”)へアクセスする場合、パケットは不正アクセス情報収集装置で破棄されるので、図16(a)に示すようにハニーネット面とハニーネット側装置面との間を、図16中”LN111”に示すような線分で結ぶように描画する。
最後に、図14中”S409”で抽出した検知ポイント識別子が”4”、言い換えれば、インターネット側にパケットを転送されずに破棄した時点ではないと判断した場合、図14中”S401”のステップに戻る。
ちなみに、図16(b)に示す状況はプライベートアドレスが”192.168.0.2”のボットに感染したハニーポットから制限情報が設定されたプライベートアドレスが”192.168.0.2”からグローバルアドレス(ポート番号は”6667”)へのアクセスを1回のみ許可した場合の状況を、図16(c)はその後、制限情報が設定されたプライベートアドレスが”192.168.0.2”からグローバルアドレス(ポート番号は”6667”)との間の通信の状況を示している。
この結果、演算制御手段が、検知ポイント識別子等を付加した記録されたパケットに基づきインターネット面とインターネット側装置面との間を線分で描画し、ハニーネット側装置面とハニーネット面との間を線分で描画し、或いは、インターネット面とハニーネット面との間を線分で描画することにより、各装置間の通信の状況を三次元で表示することができるので、動作解析を容易に行うことができる。
なお、図1に示す実施例の説明に際しては、不正アクセス情報収集装置10が記録ざれたパケットに基づき各装置間の通信の状況を三次元で表示していたが、インターネット100に接続された管理端末14が不正アクセス情報収集装置10から記録されたパケットを取得して管理端末14の表示手段に各装置間の通信の状況を三次元で表示しても構わない。
この場合には、管理端末14で描画処理を行うことになるので、不正アクセス情報収集装置10の描画処理の負荷を低減できる。
また、図1に示す実施例の説明に際しては、ルーティングテーブルにおいて複数のプライベートアドレスに対してそれぞれ複数のグローバルアドレスを割り当てているが、1個のプライベートアドレスに対して複数のグローバルアドレスを割り当てても構わず、プライベートアドレスに対するグローバルアドレスを割り当て方は自由である。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、不正アクセス情報収集装置の表示面をインターネット側装置面及びハニーネット側装置面と2つに分けて説明しているが、前述の通りインターネット側装置面とハニーネット側装置面の座標位置は同一であるので、1枚の装置面で表示しても構わない。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、各面の間を結ぶ線分をパケットのプロトコル種別やTCP(Transmission Control Protocol)フラグ等で分類して色分け表示しても構わない。
この場合には、直感的に各装置間を伝播するパケットのプロトコル種別等を色により分離して観察することができるので、動作解析をより容易に行うことができる。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、ただ単純に各面の間を線分で結ぶように描画しているが、パケットの伝播方向に向かって当該線分をなぞるようにマーカを移動させても構わない。
ちなみに、当該マーカとしては、当該線分よりも太く短い線分、任意の図形等の任意の形状であれば何であっても構わない。さらに、当該マーカの輝度を周囲の輝度よりも上げる(具体的には、周囲の輝度とは異なる輝度にする)ことにより視認性が向上する。
この場合には、線分上をなぞるようにマーカがパケットの伝播方向に向かって移動するので、パケットの伝播方向を直感的に把握することが可能になる。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、表示座標において、インターネット面等の座標面の縦軸をIPアドレス、横軸をポート番号と例示したが、勿論、逆であっても構わない。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、線分等の描画の後、一定時間が経過した後に線分等の描画を消しても構わない。
この場合には、時々刻々と変化するパケットの挙動を直感的に把握することが可能になる。
また、図3の説明に際しては、ルーティングテーブルにより各ハニーポットにプライベートアドレスを割り当てているが、勿論、各ハニーポットにグローバルアドレスを割り当てても構わない。
また、インターネットに接続された管理端末から不正アクセス情報収集装置のルーティングテーブルを動的に変更しても構わない。さらに、インターネットに接続された管理端末から不正アクセス情報収集装置の通信制限リストを動的に変更しても構わない。
また、ルーティングテーブルに格納する情報としてはIPアドレスにのみならず、ポート番号や通信プロトコルを含めて各ハニーポットにIP等を割り当てても構わない。
また、図1に示す実施例の説明に際しては、不正アクセス情報収集装置にはグローバルアドレスを割り当てているが、勿論、プライベートアドレスを割り当てても構わない。
また、図1に示す実施例の説明に際しては、通信(ハニーネット側からパケットの受信)時では、送信元のプライベートアドレスに対する制限情報が通信制御リストに登録されているか否かにより、通信制御を行っているが、送信元のプライベートアドレス及び送信元のポート番号に基づき通信制御を行っても構わない。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、ポート番号を割り当てた軸を対数軸で表示しても構わない。この場合には、よく知られているポート番号(0〜1023)へのアクセスが認識しやすくなる。
また、図1に示す実施例の説明に際しては、特に、各装置間の通信の状況を三次元で表示することに関しては、送信先のIPアドレスのバイトオーダでエンディアン変換して表示させても構わない。
例えば、送信先のIPアドレスが”210.220.230.240”であった場合、”240.230.220.210”に変換して表示させる。
この場合には、ハニーポットがIPアドレスに対して連続的にスキャンした場合、表示される線分が互いに重なることなく分離して表示されることになるので、視認性が向上することになる。
本発明に係る不正アクセス情報収集システムの一実施例を示す構成ブロック図である。 不正アクセス情報収集手段の具体例を示す構成ブロック図である。 グローバルアドレスの割り当てを説明する説明図である。 演算制御手段のインバウンド通信時の動作を説明するフロー図である。 インバウンド通信時の動作を説明する説明図である。 記録されるパケットの構成を説明する説明図である。 記録されるパケットの一例を説明する説明図である。 記録されるパケットの一例を説明する説明図である。 演算制御手段のアウトバウンド通信時の動作を説明するフロー図である。 アウトバウンド通信時の動作を説明する説明図である。 記録されるパケットの一例を説明する説明図である。 記録されるパケットの一例を説明する説明図である。 表示画面の構成を説明する説明図である。 演算制御手段の不正アクセス情報表示時の動作を説明するフロー図である。 不正アクセス情報の表示例を示す説明図である。 不正アクセス情報の表示例を示す説明図である。 従来の不正アクセス情報収集システムの一例を示す構成ブロック図である。 不正アクセス情報収集手段の具体例を示す構成ブロック図である。 演算制御手段のインバウンド通信時の動作を説明するフロー図である。 インバウンド通信時の動作を説明する説明図である。 演算制御手段のアウトバウンド通信時の動作を説明するフロー図である。 アウトバウンド通信時の動作を説明する説明図である。 ログファイルに記録されるパケットの情報の一例を示す説明図である。
符号の説明
1 端末
2,10,50,51 不正アクセス情報収集装置
3,4,5,11,12,13 ハニーポット
6,8,15,17 通信手段
7,16 演算制御手段
9,18 記憶手段
14 管理端末
19 表示手段
100 インターネット

Claims (12)

  1. ハニーネットへの不正アクセスを監視して不正アクセス情報を収集する不正アクセス情報収集システムにおいて、
    プライベートアドレス或いはグローバルアドレスがそれぞれ設定され前記ハニーネットを構成する複数のハニーポットと、
    インターネットと前記ハニーネットとの間に設けられ、ルーティングテーブルの設定によって前記プライベートアドレス或いは前記グローバルアドレスに対して複数のグローバルアドレスを割り当てて受信したパケットを転送し、通信制御リストに基づき前記ハニーネット側から前記インターネット側への通信制御を行うと共に通過する前記パケットを記録する不正アクセス情報収集装置と
    を備えたことを特徴とする不正アクセス情報収集システム。
  2. 前記不正アクセス情報収集装置が、
    前記インターネットを介して通信を行う第1の通信手段と、
    前記ハニーネットを介して通信を行う第2の通信手段と、
    前記ルーティングテーブルが格納される記憶手段と、
    装置全体を制御すると共に前記第1の通信手段を介して受信したパケットを前記記憶手段に記録し、記録したパケットに第1の検知ポイント識別子及び送信先グローバルアドレスと送信先ポート番号を書き込み、前記送信先グローバルアドレスが前記ルーティングテーブルに存在する場合には受信したパケットの送信先アドレスを前記プライベートアドレス或いは前記グローバルアドレスに書き換え、先に記録したパケットの送信先アドレスを前記プライベートアドレス或いは前記グローバルアドレスに書き換え第2の検知ポイント識別子を書き込んで前記記憶手段に記憶し、前記プライベートアドレス或いは前記グローバルアドレスに書き換えられた受信パケットを前記第2の通信手段を介して転送し、送信先グローバルアドレスがルーティングリストに存在しない場合に、受信したパケットを破棄する演算制御手段とから構成されることを特徴とする
    請求項1記載の不正アクセス情報収集システム。
  3. 前記不正アクセス情報収集装置が、
    前記インターネットを介して通信を行う第1の通信手段と、
    前記ハニーネットを介して通信を行う第2の通信手段と、
    前記通信制御リストが格納される記憶手段と、
    装置全体を制御すると共に前記第2の通信手段を介して受信したパケットの送信元のプライベートアドレス或いはグローバルアドレスに対する制限情報が前記通信制御リストに登録されていない場合に、受信したパケットを前記記憶手段に記録すると共に記録されたパケットに第3の検知ポイント識別子を書き込み、受信したパケットの送信元アドレスをグローバルアドレスに書き換えて前記第1の通信手段を介して転送し、制限情報が前記通信制御リストに存在する場合に受信したパケットを前記記憶手段に記録すると共に記録されたパケットに第4の検知ポイント識別子を書き込み受信したパケットを破棄する演算制御手段とから構成されることを特徴とする
    請求項1記載の不正アクセス情報収集システム。
  4. 前記演算制御手段が、
    表示手段にIPアドレスとポート番号とを座標軸としたインターネット面、装置面及びハニーネット面を表示させると共に前記記憶手段から記録されたパケットを読み出し、
    前記第1の検知ポイント識別子が書き込まれている場合には前記インターネット面と前記装置面との間を描画し、
    前記第2の検知ポイント識別子が書き込まれている場合には前記装置面と前記ハニーネット面との間を
    描画し、
    前記第3の検知ポイント識別子が書き込まれている場合には前記ハニーネット面と前記インターネット面との間を描画し、
    前記第4の検知ポイント識別子が書き込まれている場合には前記ハニーネット面と前記装置面との間を描画することを特徴とする
    請求項2若しくは請求項3記載の不正アクセス情報収集システム。
  5. 前記演算制御手段が、
    前記第1の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記インターネット面の座標に表示し、前記送信先アドレスを前記装置面の座標に表示すると共に2つの点を線分で結ぶように描画することを特徴とする
    請求項4記載の不正アクセス情報収集システム。
  6. 前記演算制御手段が、
    前記第2の検知ポイント識別子が書き込まれている場合には、書き換え前の送信先グローバルアドレスを前記装置面の座標に表示し、書き換えられた前記プライベートアドレス或いは前記グローバルアドレスを前記ハニーネット面の座標に表示すると共に2つの点を線分で結ぶように描画することを特徴とする
    請求項4記載の不正アクセス情報収集システム。
  7. 前記演算制御手段が、
    前記第3の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記ハニーネット面の座標に表示し、送信先アドレスを前記インターネット面の座標に表示すると共に2つの点を線分で結ぶように描画することを特徴とする
    請求項4記載の不正アクセス情報収集システム。
  8. 前記演算制御手段が、
    前記第4の検知ポイント識別子が書き込まれている場合には、送信元アドレスを前記ハニーネット面の座標に表示し、送信先アドレスを前記装置面の座標に表示すると共に2つの点を線分で結ぶように描画することを特徴とする
    請求項4記載の不正アクセス情報収集システム。
  9. 前記演算制御手段が、
    前記線分を色分け表示してすることを特徴とする
    請求項5乃至請求項8のいずれかに記載の不正アクセス情報収集システム。
  10. 前記演算制御手段が、
    パケットの伝播方向に向かって前記線分をなぞるようにマーカを移動させることを特徴とする
    請求項5乃至請求項8のいずれかに記載の不正アクセス情報収集システム。
  11. 前記演算制御手段が、
    前記マーカを任意の形状で表示させることを特徴とする
    請求項5乃至請求項8のいずれかに記載の不正アクセス情報収集システム。
  12. 前記演算制御手段が、
    前記マーカの輝度を周囲の輝度とは異なる輝度にすることを特徴とする
    請求項5乃至請求項8のいずれかに記載の不正アクセス情報収集システム。
JP2007004038A 2007-01-12 2007-01-12 不正アクセス情報収集システム Expired - Fee Related JP4780413B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007004038A JP4780413B2 (ja) 2007-01-12 2007-01-12 不正アクセス情報収集システム
CN2007800497544A CN101578827B (zh) 2007-01-12 2007-12-27 未授权访问信息收集系统
PCT/JP2007/075213 WO2008084725A1 (ja) 2007-01-12 2007-12-27 不正アクセス情報収集システム
US12/522,653 US8331251B2 (en) 2007-01-12 2007-12-27 Unauthorized access information collection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007004038A JP4780413B2 (ja) 2007-01-12 2007-01-12 不正アクセス情報収集システム

Publications (2)

Publication Number Publication Date
JP2008172548A true JP2008172548A (ja) 2008-07-24
JP4780413B2 JP4780413B2 (ja) 2011-09-28

Family

ID=39608619

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007004038A Expired - Fee Related JP4780413B2 (ja) 2007-01-12 2007-01-12 不正アクセス情報収集システム

Country Status (4)

Country Link
US (1) US8331251B2 (ja)
JP (1) JP4780413B2 (ja)
CN (1) CN101578827B (ja)
WO (1) WO2008084725A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
JP2012221502A (ja) * 2011-04-08 2012-11-12 Computer Associates Think Inc Jvmおよびクロスjvm呼び出しスタックの可視化
JP2016514313A (ja) * 2013-03-04 2016-05-19 クラウドストライク インコーポレイテッド セキュリティ攻撃への欺きに基づく応答
US10491628B2 (en) 2014-09-17 2019-11-26 Mitsubishi Electric Corporation Attack observation apparatus and attack observation method
WO2019235403A1 (ja) * 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP2020065166A (ja) * 2018-10-17 2020-04-23 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
US11418537B2 (en) 2018-01-04 2022-08-16 Fujitsu Limited Malware inspection apparatus and malware inspection method

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8291024B1 (en) * 2008-07-31 2012-10-16 Trend Micro Incorporated Statistical spamming behavior analysis on mail clusters
CN101582907B (zh) * 2009-06-24 2012-07-04 成都市华为赛门铁克科技有限公司 一种增强蜜网诱骗力度的方法和蜜网系统
US7917593B1 (en) * 2009-10-23 2011-03-29 Symantec Corporation Method and system for employing automatic reply systems to detect e-mail scammer IP addresses
US7917655B1 (en) * 2009-10-23 2011-03-29 Symantec Corporation Method and system for employing phone number analysis to detect and prevent spam and e-mail scams
US8752174B2 (en) 2010-12-27 2014-06-10 Avaya Inc. System and method for VoIP honeypot for converged VoIP services
US8824437B2 (en) * 2011-03-02 2014-09-02 Ricoh Company, Ltd. Wireless communications device, electronic apparatus, and methods for determining and updating access point
US8761181B1 (en) * 2013-04-19 2014-06-24 Cubic Corporation Packet sequence number tracking for duplicate packet detection
US9954896B2 (en) * 2015-04-29 2018-04-24 Rapid7, Inc. Preconfigured honey net
US10796010B2 (en) * 2017-08-30 2020-10-06 MyMedicalImages.com, LLC Cloud-based image access systems and methods
US11032318B2 (en) * 2018-08-06 2021-06-08 Juniper Networks, Inc. Network monitoring based on distribution of false account credentials
US11513762B2 (en) * 2021-01-04 2022-11-29 International Business Machines Corporation Controlling sounds of individual objects in a video

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2004304752A (ja) * 2002-08-20 2004-10-28 Nec Corp 攻撃防御システムおよび攻撃防御方法
JP2006222662A (ja) * 2005-02-09 2006-08-24 Oki Techno Creation:Kk 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805196A (en) * 1994-09-09 1998-09-08 Konica Corporation Apparatus for recording a color image on a color photogaphic material based on three color component image signals separated from the color image
AU707905B2 (en) * 1996-04-24 1999-07-22 Nortel Networks Corporation Internet protocol filter
JPH11122301A (ja) * 1997-10-20 1999-04-30 Fujitsu Ltd アドレス変換接続装置
JP3465620B2 (ja) * 1999-03-17 2003-11-10 日本電気株式会社 仮想私設網構築システム
GB2349244A (en) * 1999-04-22 2000-10-25 Visage Developments Limited Providing network access to restricted resources
US7117532B1 (en) * 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
US6892245B1 (en) * 2000-09-22 2005-05-10 Nortel Networks Limited Management information base for a multi-domain network address translator
JP3687782B2 (ja) 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
EP1244264B1 (en) * 2001-02-14 2006-06-28 Mitsubishi Denki Kabushiki Kaisha Illegal access data handling apparatus and method
US7406526B2 (en) * 2001-09-28 2008-07-29 Uri Benchetrit Extended internet protocol network address translation system
US7136385B2 (en) * 2001-12-07 2006-11-14 International Business Machines Corporation Method and system for performing asymmetric address translation
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
JP3776821B2 (ja) * 2002-03-28 2006-05-17 富士通株式会社 アドレスアクセスシステム及び方法
US6961809B2 (en) * 2002-06-04 2005-11-01 Riverstone Networks, Inc. Managing a position-dependent data set that is stored in a content addressable memory array at a network node
KR100876780B1 (ko) * 2002-06-05 2009-01-07 삼성전자주식회사 로컬 네트워크를 위한 인터넷 액세스 게이트웨이에서네트워크 어드레스 변환 없이 단일의 인터넷 프로토콜어드레스를 공유하기 위한 방법 및 장치
US7143137B2 (en) * 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
US7716725B2 (en) * 2002-09-20 2010-05-11 Fortinet, Inc. Firewall interface configuration and processes to enable bi-directional VoIP traversal communications
TWI222811B (en) * 2002-11-19 2004-10-21 Inst Information Industry NAPT gateway system and method to expand the number of connections
US20040139226A1 (en) * 2002-12-13 2004-07-15 Dany Margalit Method for assigning an IP address to a network connectable device
TWI263425B (en) * 2003-01-14 2006-10-01 Admtek Inc Router and packet transmission method
JP2004234401A (ja) 2003-01-31 2004-08-19 Hitachi Ltd セキュリティ診断情報収集システム及びセキュリティ診断システム
KR101030872B1 (ko) * 2003-09-11 2011-04-22 파나소닉 주식회사 시각 처리 장치, 시각 처리 방법, 화상 표시 장치, 텔레비젼, 정보 단말 장치, 카메라, 집적회로 및 기록 매체
JP4376711B2 (ja) 2004-07-09 2009-12-02 富士通株式会社 アクセス管理方法及びその装置
US7657735B2 (en) * 2004-08-19 2010-02-02 At&T Corp System and method for monitoring network traffic
JP2006099590A (ja) 2004-09-30 2006-04-13 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
TWI250751B (en) * 2004-10-01 2006-03-01 Realtek Semiconductor Corp Apparatus and method for IP allocation
JP4479459B2 (ja) * 2004-10-19 2010-06-09 横河電機株式会社 パケット解析システム
JP2006243878A (ja) 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
US7636944B2 (en) * 2005-10-28 2009-12-22 Hewlett-Packard Development Company, L.P. Method and apparatus for detecting and responding to email based propagation of malicious software in a trusted network
US20070165632A1 (en) * 2006-01-13 2007-07-19 Cisco Technology, Inc. Method of providing a rendezvous point
JP4682912B2 (ja) * 2006-05-08 2011-05-11 株式会社日立製作所 センサネットシステム、センサネット位置特定プログラム
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
WO2007143011A2 (en) * 2006-05-31 2007-12-13 The Trustees Of Columbia University In The City Ofnew York Systems, methods, and media for generating bait information for trap-based defenses
ATE493833T1 (de) * 2006-10-31 2011-01-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zum ip-netzwerk- interfacing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
JP2003264595A (ja) * 2002-03-08 2003-09-19 Mitsubishi Electric Corp パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2004304752A (ja) * 2002-08-20 2004-10-28 Nec Corp 攻撃防御システムおよび攻撃防御方法
JP2006222662A (ja) * 2005-02-09 2006-08-24 Oki Techno Creation:Kk 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
JP2012221502A (ja) * 2011-04-08 2012-11-12 Computer Associates Think Inc Jvmおよびクロスjvm呼び出しスタックの可視化
JP2016514313A (ja) * 2013-03-04 2016-05-19 クラウドストライク インコーポレイテッド セキュリティ攻撃への欺きに基づく応答
US10713356B2 (en) 2013-03-04 2020-07-14 Crowdstrike, Inc. Deception-based responses to security attacks
US11809555B2 (en) 2013-03-04 2023-11-07 Crowdstrike, Inc. Deception-based responses to security attacks
US12118086B2 (en) 2013-03-04 2024-10-15 Crowdstrike, Inc. Deception-based responses to security attacks
US10491628B2 (en) 2014-09-17 2019-11-26 Mitsubishi Electric Corporation Attack observation apparatus and attack observation method
US11418537B2 (en) 2018-01-04 2022-08-16 Fujitsu Limited Malware inspection apparatus and malware inspection method
WO2019235403A1 (ja) * 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP2020065166A (ja) * 2018-10-17 2020-04-23 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
US11316888B2 (en) 2018-10-17 2022-04-26 Fujitsu Limited Malware inspection support system and malware inspection support method
JP7107153B2 (ja) 2018-10-17 2022-07-27 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置

Also Published As

Publication number Publication date
US20100118717A1 (en) 2010-05-13
WO2008084725A1 (ja) 2008-07-17
CN101578827B (zh) 2013-05-29
US8331251B2 (en) 2012-12-11
JP4780413B2 (ja) 2011-09-28
CN101578827A (zh) 2009-11-11

Similar Documents

Publication Publication Date Title
JP4780413B2 (ja) 不正アクセス情報収集システム
US9240976B1 (en) Systems and methods for providing network security monitoring
EP3143714B1 (en) Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
CN100561976C (zh) 用于使数据包穿越网络地址转换装置的方法和装置
CN100386984C (zh) Vlan服务器
CN101707617B (zh) 报文过滤方法、装置及网络设备
CN101582907B (zh) 一种增强蜜网诱骗力度的方法和蜜网系统
EP2500838A1 (en) SOC-based device for packet filtering and packet filtering method thereof
CN111526132B (zh) 攻击转移方法、装置、设备及计算机可读存储介质
KR102321550B1 (ko) 방화벽에 ip 주소를 추가하는 방법, 시스템 및 매체
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
CN101599889B (zh) 一种以太网交换设备中防止mac地址欺骗的方法
CN103685279B (zh) 基于自适应的网络端口快速扫描方法
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
CN113783885A (zh) 一种蜜罐网络代理方法及相关装置
CN108810008A (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
EP3016423A1 (en) Network safety monitoring method and system
JP7139252B2 (ja) 転送装置
JP2015164295A (ja) 情報伝送システム、情報通信装置、情報伝送装置、及びプログラム
JP6330814B2 (ja) 通信システム、制御指示装置、通信制御方法及びプログラム
US20180159886A1 (en) System and method for analyzing forensic data in a cloud system
EP3253004B1 (en) Communication control device, communication control method, and communication control program
JP2010183214A (ja) パケット解析装置、パケット解析方法およびパケット解析プログラム
Wang et al. Construction of large-scale honeynet Based on Honeyd

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110622

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4780413

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees