[go: up one dir, main page]

JP2007221442A - Packet search management apparatus and packet search management method - Google Patents

Packet search management apparatus and packet search management method Download PDF

Info

Publication number
JP2007221442A
JP2007221442A JP2006039466A JP2006039466A JP2007221442A JP 2007221442 A JP2007221442 A JP 2007221442A JP 2006039466 A JP2006039466 A JP 2006039466A JP 2006039466 A JP2006039466 A JP 2006039466A JP 2007221442 A JP2007221442 A JP 2007221442A
Authority
JP
Japan
Prior art keywords
search
packet
request
source
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006039466A
Other languages
Japanese (ja)
Other versions
JP4597882B2 (en
Inventor
Keisuke Takemori
敬祐 竹森
Yutaka Nomura
豊 野村
Shoichi Endo
彰一 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2006039466A priority Critical patent/JP4597882B2/en
Publication of JP2007221442A publication Critical patent/JP2007221442A/en
Application granted granted Critical
Publication of JP4597882B2 publication Critical patent/JP4597882B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】パケットの発信元を効率良く探索することができるパケット探索管理装置およびパケット探索管理方法を提供する。
【解決手段】共有情報管理システム11は、パケットの発信元の探索を依頼するための第1の探索依頼を依頼元ネットワークのパケット探索システムから受信し、発信元の探索を依頼するための第2の探索依頼を、依頼元ネットワークを除く他のネットワークのパケット探索システムへ送信する。また、共有情報管理システム11は、第2の探索依頼を受信したネットワークのパケット探索システムから発信元の探索結果を受信する。
【選択図】図1A packet search management apparatus and a packet search management method capable of efficiently searching for a packet source.
A shared information management system receives a first search request for requesting a search for a packet source from a packet search system of a request source network, and a second for requesting a source search. Is sent to the packet search system of the other network excluding the request source network. Further, the shared information management system 11 receives the search result of the transmission source from the packet search system of the network that has received the second search request.
[Selection] Figure 1

Description

本発明は、パケットの発信元を探索するパケット探索システムを管理するパケット探索管理装置およびパケット探索管理方法に関する。   The present invention relates to a packet search management apparatus and a packet search management method for managing a packet search system for searching for a packet source.

近年、パケットを連続的に送信するなどすることによって、ネットワーク上で提供されるサービスの妨害を図った攻撃が問題となっている。このような攻撃に対処するため、攻撃パケットの発信元をトレース(探索)するIPトレースバックシステム(IP−TBS)がある。昨今、詐称された攻撃の発信元を特定するために、ドメイン(通信事業者等の管理する単位のネットワーク)内のIP−TBSが連携してトレースを行う仕組みが研究されている(例えば非特許文献1および2参照)。非特許文献1では同一種類のIP−TBSが直列に接続され、非特許文献2では異なる種類のIP−TBSが直列に接続され、各IP−TBSが相互連携してトレースを行う仕組みが提案されている。   In recent years, attacks that attempt to interfere with services provided on the network by continuously transmitting packets have become a problem. In order to cope with such an attack, there is an IP traceback system (IP-TBS) that traces (searches) the source of an attack packet. Recently, in order to identify the source of a spoofed attack, a mechanism has been studied in which IP-TBS in a domain (a network of units managed by a communication carrier or the like) performs tracing (for example, non-patented). Reference 1 and 2). In Non-Patent Document 1, the same type of IP-TBS is connected in series, and in Non-Patent Document 2, different types of IP-TBS are connected in series. ing.

図7は,異なるIP−TBS間の相互接続方式として注目されている階層型の接続アーキテクチャを示している。図において、ドメイン9a〜9cが直列に接続され、ドメイン9aと9bの間およびドメイン9bと9cの間でトレース要求とトレース結果が交換される。ドメイン9a,9b,9cはそれぞれIP−TBS91a,91b,91cを有している。   FIG. 7 shows a hierarchical connection architecture that is attracting attention as an interconnection system between different IP-TBSs. In the figure, domains 9a to 9c are connected in series, and trace requests and trace results are exchanged between domains 9a and 9b and between domains 9b and 9c. The domains 9a, 9b, and 9c have IP-TBSs 91a, 91b, and 91c, respectively.

各IP−TBSの入出力は、DTM(Domain Traceback Manager)92a,92b,92cによって共通化されている。他のドメインのIP−TBSと受け渡しされる情報をDTMが適宜変換することによって、各IP−TBSの仕様の差異が吸収される。ドメイン間の情報の受け渡しは、各ドメイン内のITM(Internet Traceback Manager)93a,93b,93cによって行われる。   Input / output of each IP-TBS is shared by DTM (Domain Traceback Manager) 92a, 92b, 92c. Differences in specifications of each IP-TBS are absorbed by the DTM appropriately converting information exchanged with IP-TBSs in other domains. Information exchange between domains is performed by Internet Traceback Manager (ITM) 93a, 93b, 93c in each domain.

攻撃パケットの発信元の探索は、例えば以下のようにして行われる。攻撃パケットが、ドメイン9bを経由してドメイン9aに届いたことがドメイン9aのIP−TBS91aによって判明した場合、IP−TBS91aによってトレース要求が生成され、DTM92aおよびITM93aを経由してドメイン9bへ送信される。ドメイン9bにおいて、このトレース要求は、ITM93bおよびDTM92bを経由してIP−TBS91bへ転送される。   The search for the source of the attack packet is performed as follows, for example. When it is determined by the IP-TBS 91a of the domain 9a that the attack packet has arrived at the domain 9a via the domain 9b, a trace request is generated by the IP-TBS 91a and transmitted to the domain 9b via the DTM 92a and the ITM 93a. The In the domain 9b, the trace request is transferred to the IP-TBS 91b via the ITM 93b and the DTM 92b.

続いて、トレース要求に基づいてIP−TBS92bがトレースを行った結果、攻撃パケットが、ドメイン9cを経由してドメイン9bに届いたことが判明した場合、IP−TBS91bによってトレース要求が生成され、DTM92bおよびITM93bを経由してドメイン9cへ送信される。これ以降、上記と同様の動作を繰り返すことによって、攻撃パケットの発信元の探索が行われる。
早川晃弘,馬場達也,小久保勝敏,松田栄之,「不正アクセス発信源追跡システムにおける追跡時間の評価」,情処64回全大,pp.389−390,2002年3月 大江将史,櫨山寛晃,門林雄基,「IPトレースバックシステムの相互接続アーキテクチャの提案」,SCIS2005,3B4−3,2005年1月 Subsequently, as a result of the IP-TBS 92b tracing based on the trace request, when it is determined that the attack packet has arrived at the domain 9b via the domain 9c, the IP-TBS 91b generates a trace request, and the DTM 92b And transmitted to the domain 9c via the ITM 93b. Thereafter, the source of the attack packet is searched by repeating the same operation as described above.
Yasuhiro Hayakawa, Tatsuya Baba, Katsutoshi Kokubo, Eiyuki Matsuda, “Evaluation of Tracking Time in Unauthorized Access Source Tracking System”, Information 64th University, pp. 389-390, March 2002 Masafumi Oe, Hiroshi Kajiyama, Yuki Kadobayashi, “Proposal of Interconnection Architecture of IP Traceback System”, SCIS2005, 3B4-3, January 2005

上述した従来技術では、IP−TBSが直列に接続され、各IP−TBSが順番にトレースを行うため、トレースに時間を要するという問題がある。また、他のドメインからトレース要求を受けたドメインのIP−TBSがトレースに失敗すると、そのドメインでトレースが停止してしまうという問題もある。また、DDoS(Distributed Denial of Service)攻撃のように、複数の攻撃元がある場合に、個々の攻撃元を1つずつトレースすることになり、トレースが非効率的であるという問題もある。   In the prior art described above, since IP-TBSs are connected in series and each IP-TBS performs tracing in order, there is a problem that it takes time to trace. In addition, when the IP-TBS of a domain that has received a trace request from another domain fails to trace, there is also a problem that tracing stops in that domain. In addition, when there are a plurality of attack sources, such as a DDoS (Distributed Denial of Service) attack, each of the attack sources is traced one by one, and there is a problem that the tracing is inefficient.

本発明は、上述した問題点に鑑みてなされたものであって、パケットの発信元を効率良く探索することができるパケット探索管理装置およびパケット探索管理方法を提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a packet search management device and a packet search management method capable of efficiently searching for a packet source.

本発明は、上記の課題を解決するためになされたもので、パケットの発信元を探索するパケット探索システムを管理するパケット探索管理装置であって、パケットの発信元の探索を依頼するための第1の探索依頼を依頼元ネットワークのパケット探索システムから受信する探索依頼受信手段と、前記第1の探索依頼が受信された場合に、前記発信元の探索を依頼するための第2の探索依頼を、前記依頼元ネットワークを除く他のネットワークのパケット探索システムへ送信する第1の探索依頼送信手段と、前記第2の探索依頼を受信したネットワークのパケット探索システムから前記発信元の探索結果を受信する探索結果受信手段とを備えたことを特徴とするパケット探索管理装置である。   The present invention has been made to solve the above-described problem, and is a packet search management device that manages a packet search system that searches for a packet source, and is a first device for requesting a search for a packet source. Search request receiving means for receiving one search request from the packet search system of the request source network, and a second search request for requesting the search of the transmission source when the first search request is received. Receiving a search result of the transmission source from a first search request transmission means for transmitting to a packet search system of a network other than the request source network and a packet search system of the network that has received the second search request; A packet search management device comprising search result receiving means.

また、本発明のパケット探索管理装置において、前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記依頼元ネットワークを除く他の複数のネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   In the packet search management device of the present invention, when the first search request is received, the first search request transmitting means sends the packet search system to a plurality of networks other than the request source network. The second search request is transmitted.

また、本発明のパケット探索管理装置は、複数のネットワークで管理されているアドレスをネットワーク毎に記憶するアドレス記憶手段をさらに備え、前記発信元のアドレスが含まれた前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記発信元のアドレスを管理しているネットワークの情報を前記アドレス記憶手段から読み出し、該ネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   The packet search management apparatus of the present invention further comprises address storage means for storing addresses managed by a plurality of networks for each network, and the first search request including the source address is received. In this case, the first search request transmission means reads out information on the network managing the source address from the address storage means, and sends the second search request to the packet search system of the network. It is characterized by transmitting.

また、本発明のパケット探索管理装置において、前記パケットが経由したネットワークの情報が含まれた前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記パケットが経由したネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   Further, in the packet search management device of the present invention, when the first search request including the information of the network through which the packet has passed is received, the first search request transmitting means transmits the packet via The second search request is transmitted to the packet search system of the network.

また、本発明のパケット探索管理装置は、前記発信元の探索結果が探索失敗を示している場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記探索結果の発信元のネットワークとを除く他のネットワークのパケット探索システムへ送信する第2の探索依頼送信手段をさらに備えたことを特徴とする。   Further, the packet search management device of the present invention may send a third search request for requesting a search for the transmission source to the request source network when the search result of the transmission source indicates a search failure. It further comprises second search request transmission means for transmitting to a packet search system of another network excluding the search result transmission source network.

また、本発明のパケット探索管理装置は、前記第2の探索依頼送信手段によって前記第2の探索依頼が送信されてから、所定時間が経過しても、前記探索結果受信手段によって前記発信元の探索結果が受信されていない場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記第2の探索結果の送信先のネットワークとを除く他のネットワークのパケット探索システムへ送信する第2の探索依頼送信手段をさらに備えたことを特徴とする。   In addition, the packet search management device of the present invention may be configured such that the search result receiving unit causes the originator of the transmission source even if a predetermined time elapses after the second search request transmission unit transmits the second search request. When a search result is not received, a third search request for requesting a search for the transmission source is sent to a network other than the request source network and the destination network of the second search result. A second search request transmission means for transmitting to the packet search system is further provided.

また、本発明は、パケットの発信元を探索するパケット探索システムを管理するパケット探索管理方法であって、パケットの発信元の探索を依頼するための第1の探索依頼を依頼元ネットワークのパケット探索システムから受信する第1のステップと、前記第1の探索依頼が受信された場合に、前記発信元の探索を依頼するための第2の探索依頼を、前記依頼元ネットワークを除く他のネットワークのパケット探索システムへ送信する第2のステップと、前記第2の探索依頼を受信したネットワークのパケット探索システムから前記発信元の探索結果を受信する第3のステップとを備えたことを特徴とするパケット探索管理方法である。   The present invention also relates to a packet search management method for managing a packet search system for searching for a packet source, wherein a first search request for requesting a packet source search is sent to a packet search of a request source network. When the first search request received from the system and the first search request are received, a second search request for requesting the search of the transmission source is sent to a network other than the request source network. A packet comprising: a second step of transmitting to the packet search system; and a third step of receiving the search result of the transmission source from the packet search system of the network that has received the second search request. This is a search management method.

また、本発明のパケット探索管理方法において、前記第1の探索依頼が受信された場合に、前記第2のステップでは、前記依頼元ネットワークを除く他の複数のネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   In the packet search management method of the present invention, when the first search request is received, in the second step, the second search is made to the packet search system of a plurality of networks other than the request source network. The search request is transmitted.

また、本発明のパケット探索管理方法において、前記発信元のアドレスが含まれた前記第1の探索依頼が受信された場合に、前記第2のステップでは、複数のネットワークで管理されているアドレスをネットワーク毎に記憶するアドレス記憶手段から、前記発信元のアドレスを管理しているネットワークの情報を読み出し、該ネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   In the packet search management method of the present invention, when the first search request including the source address is received, in the second step, addresses managed by a plurality of networks are selected. Information on a network that manages the source address is read from an address storage unit that stores each network, and the second search request is transmitted to the packet search system of the network.

また、本発明のパケット探索管理方法において、前記パケットが経由したネットワークの情報が含まれた前記第1の探索依頼が受信された場合に、前記第2のステップでは、前記パケットが経由したネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする。   In the packet search management method of the present invention, when the first search request including the information of the network through which the packet has passed is received, the second step includes: The second search request is transmitted to the packet search system.

また、本発明のパケット探索管理方法は、前記発信元の探索結果が探索失敗を示している場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記探索結果の発信元のネットワークとを除く他のネットワークのパケット探索システムへ送信する第4のステップをさらに備えたことを特徴とする。   In the packet search management method of the present invention, when the search result of the transmission source indicates a search failure, a third search request for requesting the search of the transmission source is sent to the request source network and the request source network. It is further characterized by further comprising a fourth step of transmitting to a packet search system of another network excluding the search result transmission source network.

また、本発明のパケット探索管理方法は、前記第2のステップで前記第2の探索依頼が送信されてから、所定時間が経過しても、前記発信元の探索結果が受信されていない場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記第2の探索結果の送信先のネットワークとを除く他のネットワークのパケット探索システムへ送信する第4のステップをさらに備えたことを特徴とする。   Further, the packet search management method of the present invention is used when the search result of the source is not received even after a predetermined time has elapsed since the second search request was transmitted in the second step. A fourth search request for requesting a search for the transmission source is transmitted to a packet search system of another network excluding the request source network and the transmission destination network of the second search result. Further comprising a step.

本発明によれば、依頼元ネットワークのパケット探索システムからパケットの発信元の探索依頼を受け付け、適宜、他のネットワークのパケット探索システムへ探索を依頼するので、パケットの発信元を効率良く探索することができるという効果が得られる。   According to the present invention, a packet source search request is received from the packet search system of the request source network, and a search is appropriately requested to the packet search system of another network, so that the packet source is efficiently searched. The effect of being able to be obtained.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるトレースバック管理システムの構成を示している。本トレースバック管理システムは、ドメイン2a〜2gが有するIP−TBSによって行われるトレースを管理する情報管理センタ1を備えている。情報管理センタ1において、共有情報管理システム11は、ドメインからのトレースの依頼の受付、ドメインに対するトレースの依頼、ドメインからのトレース結果の受付、各ドメインでのトレース状況の管理等の機能を有している。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of a traceback management system according to an embodiment of the present invention. The traceback management system includes an information management center 1 that manages traces performed by the IP-TBS included in the domains 2a to 2g. In the information management center 1, the shared information management system 11 has functions such as receiving a trace request from a domain, requesting a trace for the domain, receiving a trace result from the domain, and managing a trace status in each domain. ing.

トレースバック情報テーブル12は、各ドメインのIP−TBSで行われているトレースに関連する情報が格納されたテーブルである。図2はトレースバック情報テーブル12の内容を示している。図2に示されるようにトレース毎にトレースNOが付与され、識別される。また、トレースに成功した、失敗した、現在トレース中である等、各トレースの状況を示す情報が記録される。攻撃元(攻撃パケットの発信元)のアドレス(IPアドレス)や、攻撃先(攻撃パケットの宛先)のアドレス、攻撃先のポート番号等も記録される。攻撃パケットが経由したドメインの経路が判明した場合には、その経路がトレース経路として記録される。   The traceback information table 12 is a table in which information related to tracing performed in the IP-TBS of each domain is stored. FIG. 2 shows the contents of the traceback information table 12. As shown in FIG. 2, a trace NO is assigned for each trace and identified. Also, information indicating the status of each trace, such as success or failure of the trace, and currently being traced, is recorded. The address (IP address) of the attack source (the source of the attack packet), the address of the attack destination (the destination of the attack packet), the port number of the attack destination, and the like are also recorded. When the path of the domain through which the attack packet has passed is found, the path is recorded as a trace path.

ドメイン情報テーブル13(本発明のアドレス記憶手段に対応)は、各ドメインに関連する情報が格納されたテーブルである。図3はドメイン情報テーブル13の内容を示している。図3に示されるように、ドメインIDや、ドメイン名、ドメインの管理者の連絡先等の情報(ドメイン情報)が記録される。各ドメインで管理されているアドレス(アドレス空間)の情報(アドレス情報)も記録される。また、各ドメインのIP−TBSの仕様に関する情報(TBS情報)等も記録される。   The domain information table 13 (corresponding to the address storage means of the present invention) is a table in which information related to each domain is stored. FIG. 3 shows the contents of the domain information table 13. As shown in FIG. 3, information (domain information) such as a domain ID, a domain name, and a contact information of a domain administrator is recorded. Information (address information) of addresses (address space) managed in each domain is also recorded. In addition, information (TBS information) related to the IP-TBS specification of each domain is also recorded.

共有情報管理システム11は1以上のコンピュータで構成されており、上述した機能は、主に、コンピュータが有するCPU(Central Processing Unit)によって実現される。また、トレースバック情報テーブル12およびドメイン情報テーブル13は、SRAM(Static Random Access Memory)、SDRAM(Synchronous Dynamic Random Access Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等の記録媒体内に構築される。トレースバック情報テーブル12およびドメイン情報テーブル13は、それぞれ別個のコンピュータ内にあってもよいし、同一のコンピュータ内にあってもよい。また、トレースバック情報テーブル12およびドメイン情報テーブル13の少なくとも一方が共有情報管理システム11のコンピュータ内にあってもよい。   The shared information management system 11 includes one or more computers, and the above-described functions are mainly realized by a CPU (Central Processing Unit) included in the computer. The traceback information table 12 and the domain information table 13 are constructed in a recording medium such as an SRAM (Static Random Access Memory), an SDRAM (Synchronous Dynamic Random Access Memory), a flash memory, or an HDD (Hard Disk Drive). The traceback information table 12 and the domain information table 13 may be in separate computers or in the same computer. Further, at least one of the traceback information table 12 and the domain information table 13 may be in the computer of the shared information management system 11.

ドメイン2a〜2gは、IP−TBS、DTM、およびITMを有しているが、図1ではITMのみが図示され、他の図示は省略されている。IP−TBSは複数のコンピュータで構成されている。DTMおよびITMは、別個のコンピュータまたは同一のコンピュータで構成されている。IP−TBS、DTM、およびITMの機能も、主に、コンピュータが有するCPUによって実現される。IP−TBS、DTM、およびITMを含めたシステムが本発明のパケット探索システムに相当するが、パケット探索システムの構成は一例であり、本実施形態で示される構成に限定される訳ではない。   Although the domains 2a to 2g have IP-TBS, DTM, and ITM, only ITM is shown in FIG. 1, and other illustrations are omitted. The IP-TBS is composed of a plurality of computers. The DTM and ITM are composed of separate computers or the same computer. The functions of IP-TBS, DTM, and ITM are also realized mainly by the CPU of the computer. A system including IP-TBS, DTM, and ITM corresponds to the packet search system of the present invention. However, the configuration of the packet search system is an example, and is not limited to the configuration shown in the present embodiment.

攻撃元端末3は、攻撃パケットの送信元であるPC(Personal Computer)等の端末である。被害者端末4は、攻撃パケットを受信したPC等の端末である。攻撃元端末3と被害者端末4の位置は一例であり、図1に示される位置以外に配置される場合もある。図1では、攻撃元端末3はドメイン2dに接続して攻撃パケットを送信するものとし、被害者端末4はドメイン2aに接続して攻撃パケットを受信するものとする。また、攻撃元端末3によって送信された攻撃パケットは、ドメイン2d,2b,2aを経由して被害者端末4へ転送されるものとする。   The attack source terminal 3 is a terminal such as a PC (Personal Computer) that is the source of the attack packet. The victim terminal 4 is a terminal such as a PC that has received the attack packet. The positions of the attack source terminal 3 and the victim terminal 4 are merely examples, and may be arranged other than the positions shown in FIG. In FIG. 1, it is assumed that the attack source terminal 3 is connected to the domain 2d and transmits an attack packet, and the victim terminal 4 is connected to the domain 2a and receives the attack packet. The attack packet transmitted by the attack source terminal 3 is transferred to the victim terminal 4 via the domains 2d, 2b, and 2a.

次に、本実施形態によるトレースバック管理システムの動作を説明する。以下、図4〜図6を参照し、第1の動作例〜第3の動作例を順番に説明する。本実施形態では、攻撃元のアドレスが複数であり、攻撃対象が単一である攻撃を多対1攻撃と定義し、攻撃元のアドレスが単一であり、攻撃対象が単一である攻撃を1対1攻撃と定義する。   Next, the operation of the traceback management system according to the present embodiment will be described. Hereinafter, the first operation example to the third operation example will be described in order with reference to FIGS. In the present embodiment, an attack with a plurality of attack source addresses and a single attack target is defined as a many-to-one attack, and an attack with a single attack source address and a single attack target is defined as an attack. It is defined as a one-to-one attack.

(第1の動作例)
本動作例は多対1攻撃と1対1攻撃のいずれにも適用可能である。依頼元ドメイン(図4ではドメイン2a)のIP−TBSは、攻撃パケットの発信元のトレース(探索)を依頼するためのトレース依頼(探索依頼)を生成する。このトレース依頼には、他のドメインのIP−TBSでのトレースに必要なパケット情報が含まれている。パケット情報とは、攻撃パケットの発信元のアドレスを含むヘッダ情報と、攻撃パケットからヘッダを除いたデータ部分であるペイロードと、ペイロードのハッシュ値とのうち、少なくとも1つである。本動作例では、トレース依頼中のパケット情報に攻撃パケットの発信元のアドレスが含まれるものとする。 (First operation example)
This operation example can be applied to both a many-to-one attack and a one-to-one attack. The IP-TBS of the request source domain (domain 2a in FIG. 4) generates a trace request (search request) for requesting a trace (search) of the source of the attack packet. This trace request includes packet information necessary for tracing in the IP-TBS of another domain. The packet information is at least one of header information including the source address of the attack packet, a payload that is a data portion obtained by removing the header from the attack packet, and a hash value of the payload. In this operation example, it is assumed that the packet information in the trace request includes the address of the source of the attack packet.

攻撃パケットの受信時刻を示す時刻情報がパケット情報に含まれていてもよい。また、攻撃の種類(多対1攻撃と1対1攻撃)を判別する攻撃判別情報がパケット情報に含まれていてもよい。所定時間内に特定の被害者端末4で受信された全攻撃パケットについて、発信元のアドレスが単数であるか複数であるかによって攻撃の種類が判別される。さらに、パケット情報に攻撃パケット全体が含まれていてもよい。生成されたトレース依頼は、DTMおよびITMを経由して情報管理センタ1の共有情報管理システム11へ送信される(図4のステップS101)。   Time information indicating the reception time of the attack packet may be included in the packet information. Further, attack determination information for determining the type of attack (many-to-one attack and one-to-one attack) may be included in the packet information. For all attack packets received by a specific victim terminal 4 within a predetermined time, the type of attack is determined depending on whether the source address is singular or plural. Further, the entire attack packet may be included in the packet information. The generated trace request is transmitted to the shared information management system 11 of the information management center 1 via DTM and ITM (step S101 in FIG. 4).

情報管理センタ1の共有情報管理システム11は依頼元ドメインのIP−TBSからのトレース依頼を受信する(本発明の探索依頼受信手段の機能に対応)。共有情報管理システム11は、ドメイン情報テーブル13を参照し、攻撃パケットの発信元のアドレスをキーとして、ドメイン情報テーブル13に記録されているアドレスを検索する。検索の結果、発信元のアドレスを管理しているドメイン(最終ドメインとする)が見つかった場合、共有情報管理システム11はそのドメインの情報をドメイン情報テーブル13から読み出し、そのドメインのIP−TBSに対するトレース依頼を生成する。   The shared information management system 11 of the information management center 1 receives the trace request from the IP-TBS of the request source domain (corresponding to the function of the search request receiving means of the present invention). The shared information management system 11 refers to the domain information table 13 and searches for an address recorded in the domain information table 13 using the address of the source of the attack packet as a key. As a result of the search, when a domain that manages the source address (assumed to be the final domain) is found, the shared information management system 11 reads the domain information from the domain information table 13 and the IP-TBS of the domain Generate a trace request.

また、共有情報管理システム11はトレースNOを発行し、トレースバック情報テーブル12の内容を更新する。続いて、共有情報管理システム11は、見つかった最終ドメインのIP−TBSへトレース依頼を送信する(本発明の第1の探索依頼送信手段の機能に相当)。図4では、ドメイン2dのIP−TBSへトレース依頼が送信される(図4のステップS102)。   Further, the shared information management system 11 issues a trace NO and updates the contents of the traceback information table 12. Subsequently, the shared information management system 11 transmits a trace request to the found IP-TBS of the final domain (corresponding to the function of the first search request transmission means of the present invention). In FIG. 4, the trace request is transmitted to the IP-TBS of the domain 2d (step S102 in FIG. 4).

最終ドメインのIP−TBSは、ITMおよびDTMを経由してトレース依頼を受信し、公知の方法によって、攻撃パケットの発信元をトレースする。続いて、最終ドメインのIP−TBSは、DTMおよびITMを経由してトレース結果を共有情報管理システム11へ送信する(図4のステップS103)。トレースに成功した場合には、攻撃パケットの発信元が特定されるが、トレースに失敗した場合には、攻撃パケットの発信元は特定されない。トレース結果にはトレースの成功・失敗の情報が含まれ、トレースに成功した場合には見つかった攻撃パケットの発信元のアドレスも含まれる。共有情報管理システム11はトレース結果を受信し(本発明の探索結果受信手段の機能に対応)、トレース結果に基づいてトレースバック情報テーブル12の内容を更新する。   The IP-TBS in the final domain receives the trace request via ITM and DTM, and traces the source of the attack packet by a known method. Subsequently, the IP-TBS in the final domain transmits the trace result to the shared information management system 11 via the DTM and ITM (step S103 in FIG. 4). If the trace is successful, the source of the attack packet is specified, but if the trace fails, the source of the attack packet is not specified. The trace result includes trace success / failure information. If the trace is successful, the source address of the found attack packet is also included. The shared information management system 11 receives the trace result (corresponding to the function of the search result receiving means of the present invention), and updates the contents of the traceback information table 12 based on the trace result.

最終ドメインのIP−TBSからトレースの成功が通知された場合、共有情報管理システム11は、必要に応じてトレースに関する情報(攻撃パケットが通過したドメインの情報や、最終ドメインで見つかった攻撃パケットの発信元のアドレスの情報)を依頼元ドメインへ送信する。   When the success of the trace is notified from the IP-TBS of the final domain, the shared information management system 11 sends information related to the trace (information of the domain through which the attack packet has passed or transmission of the attack packet found in the final domain as necessary). (Original address information) is sent to the requesting domain.

一方、最終ドメインのIP−TBSからトレースの失敗が通知された場合には、共有情報管理システム11は、依頼元ドメインと最終ドメインとを除く他のドメインのIP−TBSへトレース依頼を一斉に送信する(本発明の第2の探索依頼送信手段の機能に対応)。図4では、ドメイン2dのIP−TBSがトレースに失敗した場合には、ドメイン2aと2dを除くドメイン2b,2c,2e,2f,2gのIP−TBSへトレース依頼が送信される(図4のステップS104)。このトレース依頼を受信したIP−TBSはトレースを行い、上記と同様にトレース結果を共有情報管理システム11へ返信する。共有情報管理システム11は、このトレース結果に基づいてトレースバック情報テーブル12の内容を更新し、必要に応じてトレースに関する情報を依頼元ドメインへ送信する。   On the other hand, when the trace failure is notified from the IP-TBS of the final domain, the shared information management system 11 transmits the trace request all at once to the IP-TBSs of other domains excluding the request source domain and the final domain. (Corresponding to the function of the second search request transmission means of the present invention). In FIG. 4, when the IP-TBS of the domain 2d fails to trace, a trace request is transmitted to the IP-TBSs of the domains 2b, 2c, 2e, 2f, and 2g except the domains 2a and 2d (FIG. 4). Step S104). The IP-TBS that has received this trace request performs a trace, and returns the trace result to the shared information management system 11 as described above. The shared information management system 11 updates the contents of the traceback information table 12 based on the trace result, and transmits information about the trace to the request source domain as necessary.

本動作例によれば、依頼元ドメインと最終ドメインの間にある、攻撃パケットを中継したドメイン(図4ではドメイン2b)にトレースを依頼する必要がないため、各ドメインが直列に接続され、隣接するドメインを介して順番にトレースが行われる従来のトレース方法と比較して、攻撃パケットの発信元を効率良く探索することができる。また、依頼元ドメインが、攻撃パケットの発信元を特定する機能を有するIP−TBSのようなシステムを備えていなくても、共有情報管理システム11が依頼元ドメインからのトレース依頼を受けて、他のドメインのIP−TBSにトレースを依頼することができる。   According to this operation example, it is not necessary to request a trace between the request source domain and the final domain that relayed the attack packet (domain 2b in FIG. 4). Compared with the conventional tracing method in which tracing is performed sequentially through the domain to be executed, the source of the attack packet can be searched efficiently. Even if the requesting domain does not have a system such as IP-TBS having a function of specifying the source of the attack packet, the shared information management system 11 receives a trace request from the requesting domain, The trace can be requested to the IP-TBS of the domain.

(第2の動作例)
本動作例は多対1攻撃と1対1攻撃のいずれにも適用可能である。依頼元ドメイン(図5ではドメイン2a)のIP−TBSは、攻撃パケットの発信元のトレース(探索)を依頼するためのトレース依頼(探索依頼)を生成する。このトレース依頼中のパケット情報には、攻撃パケットのペイロードとペイロードのハッシュ値とのうち、少なくとも1つが含まれているものとする。前述した動作と同様にして、依頼元ドメインのIP−TBSはトレース依頼を共有情報管理システム11へ送信する(図5のステップS201)。 (Second operation example)
This operation example can be applied to both a many-to-one attack and a one-to-one attack. The IP-TBS of the request source domain (domain 2a in FIG. 5) generates a trace request (search request) for requesting a trace (search) of the source of the attack packet. It is assumed that the packet information in the trace request includes at least one of the payload of the attack packet and the hash value of the payload. In the same manner as described above, the IP-TBS of the request source domain transmits a trace request to the shared information management system 11 (step S201 in FIG. 5).

共有情報管理システム11は依頼元ドメインのIP−TBSからのトレース依頼を受信する(本発明の探索依頼受信手段の機能に対応)。共有情報管理システム11は、依頼元ドメインを除く複数のドメインの情報をドメイン情報テーブル13から読み出し、それらのドメインのIP−TBSに対するトレース依頼を生成する。このトレース依頼には、依頼元ドメインのIP−TBSから受信されたパケット情報が含まれている。また、共有情報管理システム11はトレースNOを発行し、トレースバック情報テーブル12の内容を更新する。続いて、共有情報管理システム11は、上記のドメインのIP−TBSへトレース依頼を一斉に送信する(本発明の第1の探索依頼送信手段の機能に相当)。図5では、ドメイン2aを除くドメイン2b,2c,2d,2e,2f,2gのIP−TBSへトレース依頼が送信される(図5のステップS202)。   The shared information management system 11 receives the trace request from the IP-TBS of the request source domain (corresponding to the function of the search request receiving means of the present invention). The shared information management system 11 reads information of a plurality of domains excluding the request source domain from the domain information table 13 and generates a trace request for the IP-TBS of those domains. This trace request includes packet information received from the IP-TBS of the request source domain. Further, the shared information management system 11 issues a trace NO and updates the contents of the traceback information table 12. Subsequently, the shared information management system 11 transmits a trace request all at once to the IP-TBS in the above domain (corresponding to the function of the first search request transmission means of the present invention). In FIG. 5, the trace request is transmitted to the IP-TBS of the domains 2b, 2c, 2d, 2e, 2f, and 2g except the domain 2a (step S202 in FIG. 5).

このトレース依頼を受信したIP−TBSは、公知の方法によって、攻撃パケットの発信元をトレースし、トレース結果を共有情報管理システム11へ返信する。共有情報管理システム11は、このトレース結果に基づいてトレースバック情報テーブル12の内容を更新し、必要に応じてトレースに関する情報を依頼元ドメインへ送信する。   The IP-TBS that has received this trace request traces the source of the attack packet by a known method and returns the trace result to the shared information management system 11. The shared information management system 11 updates the contents of the traceback information table 12 based on the trace result, and transmits information about the trace to the request source domain as necessary.

本動作例によれば、依頼元ドメインのIP−TBSからトレース依頼を受けた後、共有情報管理システム11が複数のドメインのIP−TBSへトレース依頼を一斉に送信するので、各ドメインが直列に接続され、隣接するドメインを介して順番にトレースが行われる従来のトレース方法と比較して、攻撃パケットの発信元を効率良く探索することができる。また、依頼元ドメインが、攻撃パケットの発信元を特定する機能を有するIP−TBSのようなシステムを備えていなくても、共有情報管理システム11が依頼元ドメインからのトレース依頼を受けて、他のドメインのIP−TBSにトレースを依頼することができる。   According to this operation example, after receiving the trace request from the IP-TBS of the request source domain, the shared information management system 11 transmits the trace request all at once to the IP-TBSs of a plurality of domains. Compared with the conventional tracing method in which tracing is performed in order through the connected and adjacent domains, the source of the attack packet can be efficiently searched. Even if the requesting domain does not have a system such as IP-TBS having a function of specifying the source of the attack packet, the shared information management system 11 receives a trace request from the requesting domain, The trace can be requested to the IP-TBS of the domain.

本動作例で説明したトレース方法は、多対1攻撃の攻撃パケットの発信元をトレースするのに特に好適である。依頼元ドメインのIP−TBSは、複数アドレスの攻撃元から同じ攻撃を受けた場合、攻撃パケット間で共通のデータ部を攻撃パケットから抽出し、抽出したデータ、あるいはそのデータのハッシュ値をパケット情報として含むトレース依頼を共有情報管理システム11へ送信する。共通のデータ部とは、ワームやDDoS攻撃に見られる、IPヘッダを除いた同一のペイロードのことである。   The tracing method described in this operation example is particularly suitable for tracing the source of attack packets of many-to-one attacks. When the IP-TBS of the request source domain receives the same attack from the attack source of multiple addresses, it extracts the common data part between attack packets from the attack packet, and extracts the extracted data or the hash value of the data as packet information. Is sent to the shared information management system 11. The common data portion is the same payload excluding the IP header, which is found in worms and DDoS attacks.

共有情報管理システム11はトレース依頼を受信し、依頼元ドメインを除く複数のドメインのIP−TBSへトレース依頼を一斉に送信する。これ以降の動作は上記と同様である。上記に代えて、依頼元ドメインのIP−TBSから送信されたトレース依頼に攻撃パケットの全体が含まれ、共有情報管理システム11が、受信した攻撃パケットから共通のデータ部を抽出するようにしてもよい。   The shared information management system 11 receives the trace request and transmits the trace request all at once to the IP-TBSs of a plurality of domains excluding the request source domain. The subsequent operation is the same as described above. Instead of the above, the entire attack packet is included in the trace request transmitted from the IP-TBS of the request source domain, and the shared information management system 11 may extract the common data portion from the received attack packet. Good.

このように、共有情報管理システム11が、複数の攻撃パケットについて個別にトレース依頼を送信するのではなく、複数の攻撃パケットに共通のトレース依頼を一括して送信するので、攻撃パケットの発信元を効率良く探索することができる。   In this way, the shared information management system 11 does not individually send a trace request for a plurality of attack packets, but collectively sends a common trace request to a plurality of attack packets. It is possible to search efficiently.

(第3の動作例)
本動作例は多対1攻撃と1対1攻撃のいずれにも適用可能であるが、1対1攻撃の攻撃パケットの発信元をトレースするのに特に好適である。依頼元ドメイン(図6ではドメイン2a)のIP−TBSは、攻撃パケットの発信元のトレース(探索)を依頼するためのトレース依頼(探索依頼)を生成する。このトレース依頼中のパケット情報には、攻撃パケットのペイロードとペイロードのハッシュ値とのうち、少なくとも1つが含まれているものとする。また、依頼元ドメインのIP−TBSは既にトレースを行っており、攻撃パケットが経由したドメイン(中継ドメインとする)が判明しているものとし、トレース依頼中のパケット情報には、中継ドメインの情報も含まれているものとする。前述した動作と同様にして、依頼元ドメインのIP−TBSはトレース依頼を共有情報管理システム11へ送信する(図6のステップS301)。 (Third operation example)
This operation example can be applied to both a many-to-one attack and a one-to-one attack, but is particularly suitable for tracing the source of an attack packet of a one-to-one attack. The IP-TBS of the request source domain (domain 2a in FIG. 6) generates a trace request (search request) for requesting a trace (search) of the source of the attack packet. It is assumed that the packet information in the trace request includes at least one of the payload of the attack packet and the hash value of the payload. Further, it is assumed that the IP-TBS of the request source domain has already been traced and the domain through which the attack packet has passed (referred to as a relay domain) is known, and the packet information in the trace request includes the relay domain information. Is also included. In the same manner as described above, the IP-TBS of the request source domain transmits a trace request to the shared information management system 11 (step S301 in FIG. 6).

共有情報管理システム11は依頼元ドメインのIP−TBSからのトレース依頼を受信する(本発明の探索依頼受信手段の機能に対応)。共有情報管理システム11は、トレース依頼中のパケット情報に含まれる中継ドメインの情報を参照する。そして、共有情報管理システム11は、中継ドメインの情報をドメイン情報テーブル13から読み出し、中継ドメインのIP−TBSに対するトレース依頼を生成する。このトレース依頼には、依頼元ドメインのIP−TBSから受信されたパケット情報が含まれている。また、共有情報管理システム11はトレースNOを発行し、トレースバック情報テーブル12の内容を更新する。続いて、共有情報管理システム11は、中継ドメインのIP−TBSへトレース依頼を送信する(本発明の第1の探索依頼送信手段の機能に相当)。図6では、ドメイン2bのIP−TBSへトレース依頼が送信される(図6のステップS302)。   The shared information management system 11 receives the trace request from the IP-TBS of the request source domain (corresponding to the function of the search request receiving means of the present invention). The shared information management system 11 refers to the relay domain information included in the packet information that is being requested for tracing. Then, the shared information management system 11 reads the relay domain information from the domain information table 13 and generates a trace request for the IP-TBS of the relay domain. This trace request includes packet information received from the IP-TBS of the request source domain. Further, the shared information management system 11 issues a trace NO and updates the contents of the traceback information table 12. Subsequently, the shared information management system 11 transmits a trace request to the IP-TBS of the relay domain (corresponding to the function of the first search request transmission unit of the present invention). In FIG. 6, the trace request is transmitted to the IP-TBS of the domain 2b (step S302 in FIG. 6).

このトレース依頼を受信したIP−TBSは、公知の方法によって、攻撃パケットの発信元をトレースし、トレース結果を共有情報管理システム11へ返信する(図6のステップS303)。このトレース結果には、トレースの成功もしくは失敗、または攻撃パケットが経由した他のドメインの情報が含まれる。共有情報管理システム11はこのトレース結果を受信し、トレース結果に基づいてトレースバック情報テーブル12の内容を更新した後、トレース結果に含まれる情報の内容に応じて以下のように動作する。   The IP-TBS that has received this trace request traces the source of the attack packet by a known method, and returns the trace result to the shared information management system 11 (step S303 in FIG. 6). The trace result includes trace success or failure or other domain information through which the attack packet has passed. The shared information management system 11 receives this trace result, updates the content of the traceback information table 12 based on the trace result, and then operates as follows according to the content of the information included in the trace result.

攻撃パケットが経由した他のドメインの情報がトレース結果に含まれる場合、共有情報管理システム11は、そのドメインの情報をドメイン情報テーブル13から読み出し、そのドメインのIP−TBSに対するトレース依頼を生成する。続いて、共有情報管理システム11は、そのドメインのIP−TBSへトレース依頼を送信する(本発明の第1の探索依頼送信手段の機能に相当)。図6では、ドメイン2bのIP−TBSにおいて、攻撃パケットがドメイン2dを経由したことが判明した場合、ドメイン2dのIP−TBSへトレース依頼が送信される(図6のステップS304)。   When information on another domain through which the attack packet has passed is included in the trace result, the shared information management system 11 reads the domain information from the domain information table 13 and generates a trace request for the IP-TBS of the domain. Subsequently, the shared information management system 11 transmits a trace request to the IP-TBS of the domain (corresponding to the function of the first search request transmission unit of the present invention). In FIG. 6, when it is determined that the attack packet has passed through the domain 2d in the IP-TBS of the domain 2b, a trace request is transmitted to the IP-TBS of the domain 2d (step S304 in FIG. 6).

また、トレースに成功したことを示す情報がトレース結果に含まれていた場合、共有情報管理システム11は、必要に応じてトレースに関する情報を依頼元ドメインへ送信する。   Further, when information indicating that the trace is successful is included in the trace result, the shared information management system 11 transmits information on the trace to the request source domain as necessary.

また、トレースに失敗したことを示す情報がトレース結果に含まれていた場合、共有情報管理システム11は、第2の動作例と同様にして、既にトレース結果を送信した中継ドメインと依頼元ドメインを除く複数のドメインの情報をドメイン情報テーブル13から読み出し、それらのドメインのIP−TBSに対するトレース依頼を生成する。これ以降の動作は第2の動作例と同様である。共有情報管理システム11はトレースNOを発行し、トレースバック情報テーブル12の内容を更新した後、上記のドメインのIP−TBSへトレース依頼を送信する(本発明の第2の探索依頼送信手段の機能に相当)。図6では、ドメイン2bのIP−TBSにおいて、トレースに失敗した場合、ドメイン2c,2d,2e,2f,2gのIP−TBSへトレース依頼が送信される(図6のステップS305)。   If the trace result includes information indicating that the trace has failed, the shared information management system 11 determines the relay domain and the requester domain that have already transmitted the trace result in the same manner as in the second operation example. Information of a plurality of domains other than the domain is read from the domain information table 13 and a trace request for the IP-TBS of those domains is generated. The subsequent operation is the same as in the second operation example. The shared information management system 11 issues a trace NO, updates the contents of the traceback information table 12, and then transmits a trace request to the IP-TBS of the above domain (function of the second search request transmission means of the present invention) Equivalent). In FIG. 6, when tracing fails in the IP-TBS of the domain 2b, a trace request is transmitted to the IP-TBSs of the domains 2c, 2d, 2e, 2f, and 2g (step S305 in FIG. 6).

本動作例によれば、共有情報管理システム11が順次、中継ドメインにトレースを依頼しつつ、中継ドメインのIP−TBSがトレースに失敗した場合には、他のドメインのIP−TBSにトレースを依頼するので、トレースに成功する可能性をより高め、従来のように途中の中継ドメインでトレースが停止する可能性を低減することができる。   According to this operation example, when the shared information management system 11 sequentially requests tracing to the relay domain and the IP-TBS of the relay domain fails to trace, the IP-TBS of another domain requests tracing. Therefore, it is possible to further increase the possibility of success in tracing, and to reduce the possibility of the trace stopping in the intermediate relay domain as in the past.

上述した3つの動作例によるトレース方法を共有情報管理システム11が適宜切り替えられるようにしてもよい。例えば、依頼元ドメインのIP−TBSからのトレース依頼中のパケット情報に含まれる攻撃判別情報に基づいて、共有情報管理システム11が攻撃の種類を判定し、その種類に応じてトレース方法を選択するようにしてもよい。また、複数のドメインのIP−TBSへトレース依頼を送信する処理の負荷は、ドメインの数が増えるほど大きくなるので、共有情報管理システム11の処理負荷に応じて、第1もしくは第3の動作例によるトレース方法と、第2の動作例によるトレース方法とを共有情報管理システム11が選択するようにしてもよい。   The shared information management system 11 may appropriately switch the tracing method according to the three operation examples described above. For example, the shared information management system 11 determines the type of attack based on the attack discrimination information included in the packet information in the trace request from the IP-TBS of the request source domain, and selects the trace method according to the type. You may do it. In addition, since the load of processing for transmitting a trace request to IP-TBSs of a plurality of domains increases as the number of domains increases, the first or third operation example depends on the processing load of the shared information management system 11. The shared information management system 11 may select the tracing method according to the above and the tracing method according to the second operation example.

また、第1の動作例によるトレース方法に従って、共有情報管理システム11がドメイン情報テーブル13を参照し、攻撃パケットの発信元のアドレスをキーとして、ドメイン情報テーブル13に記録されているアドレスを検索した結果、発信元のアドレスを管理しているドメインが見つからない場合もある。この場合に、発信元のアドレスが詐称されていると共有情報管理システム11が判断し、第2の動作例のように、依頼元ドメインを除く複数のドメインのIP−TBSへトレース依頼を送信するようにしてもよい。   Further, according to the tracing method according to the first operation example, the shared information management system 11 refers to the domain information table 13 and searches for the address recorded in the domain information table 13 using the address of the source of the attack packet as a key. As a result, the domain that manages the source address may not be found. In this case, the shared information management system 11 determines that the source address is spoofed, and transmits a trace request to the IP-TBSs of a plurality of domains excluding the request source domain as in the second operation example. You may do it.

また、各ドメインが有するIP−TBSの種別毎に、トレースに要する時間が異なり、攻撃中にのみトレースが成功するIP−TBSを、あるドメインが有している場合、そのドメインに対してトレースを依頼しても、トレースに成功しないことがある。そこで、トレースの成功率を向上させるため、以下のようにしてもよい。共有情報管理システム11は、あるドメインのIP−TBSへトレース依頼を送信してから所定時間が経過しても、そのIP−TBSから発信元のトレース結果を受信できていない場合に、依頼元ドメインとトレース依頼の送信先のドメインとを除く他のドメインのIP−TBSへトレース依頼を送信する。   In addition, when a certain domain has an IP-TBS in which the time required for tracing differs depending on the type of IP-TBS possessed by each domain and tracing is successful only during an attack, tracing is performed for that domain. Even if requested, tracing may not succeed. Therefore, in order to improve the success rate of tracing, the following may be performed. When the shared information management system 11 has not received the trace result of the transmission source from the IP-TBS even after a predetermined time has elapsed since the transmission of the trace request to the IP-TBS of a certain domain, the shared information management system 11 And the trace request are transmitted to IP-TBSs in other domains excluding the destination domain of the trace request.

例えば、第1の動作例において、共有情報管理システム11は、最終ドメインのIP−TBSへトレース依頼を送信したとき(図4のステップS102)、タイマーを起動して計時を開始する。最終ドメインのIP−TBSからトレース結果を受信するよりも前に所定の時間が経過した場合、共有情報管理システム11は、その後にトレース結果を受信するか否かに関わらず、依頼元ドメインと最終ドメインとを除く他のドメインのIP−TBSへトレース依頼を一斉に送信する(本発明の第2の探索依頼送信手段の機能に対応)。   For example, in the first operation example, when the shared information management system 11 transmits a trace request to the IP-TBS in the final domain (step S102 in FIG. 4), the shared information management system 11 starts a timer and starts timing. When a predetermined time elapses before receiving the trace result from the IP-TBS of the final domain, the shared information management system 11 determines whether the request source domain and the final domain are received regardless of whether or not the trace result is received thereafter. Trace requests are transmitted all at once to IP-TBSs in other domains excluding the domain (corresponding to the function of the second search request transmission means of the present invention).

また、例えば、第3の動作例において、共有情報管理システム11は、中継ドメインのIP−TBSへトレース依頼を送信したとき(図6のステップS302)、タイマーを起動して計時を開始する。中継ドメインのIP−TBSからトレース結果を受信するよりも前に所定の時間が経過した場合、共有情報管理システム11は、その後にトレース結果を受信するか否かに関わらず、上記と同様に、依頼元ドメインと、既にトレース依頼を送信した中継ドメインとを除く他のドメインのIP−TBSへトレース依頼を一斉に送信する。   For example, in the third operation example, when the shared information management system 11 transmits a trace request to the IP-TBS in the relay domain (step S302 in FIG. 6), the shared information management system 11 starts a timer and starts timing. When a predetermined time elapses before receiving the trace result from the IP-TBS of the relay domain, the shared information management system 11 is the same as described above regardless of whether or not the trace result is received thereafter. The trace request is transmitted all at once to the IP-TBSs of other domains excluding the request source domain and the relay domain that has already transmitted the trace request.

上述したように、本実施形態によれば、共有情報管理システム11が依頼元ドメインのIP−TBSからトレースの依頼を受け付け、適宜、他のドメインのIP−TBSへトレースを依頼するので、攻撃パケットの発信元を効率良く探索することができる。例えば、第1および第2の動作例によれば、攻撃パケットの発信元を従来よりも高速に探索することができる。   As described above, according to the present embodiment, the shared information management system 11 receives a trace request from the IP-TBS of the request source domain, and appropriately requests the trace to the IP-TBS of another domain. Can be searched efficiently. For example, according to the first and second operation examples, it is possible to search the source of the attack packet at a higher speed than in the past.

また、第1および第3の動作例によれば、共有情報管理システム11からトレースの依頼を受けたドメインのIP−TBSがトレースに失敗したとしても、他のドメインのIP−TBSにトレースが依頼されるので、トレースに成功する可能性をより高め、従来のようにトレースが停止する可能性を低減することができる。同様に、第2の動作例によれば、共有情報管理システム11が依頼元ドメインのIP−TBSからトレースの依頼を受け付け、他の複数のドメインのIP−TBSにトレースを依頼するので、トレースに成功する可能性をより高め、従来のようにトレースが停止する可能性を低減することができる。   Further, according to the first and third operation examples, even if the IP-TBS of the domain that has received the trace request from the shared information management system 11 fails to trace, the trace is requested to the IP-TBS of another domain. As a result, the possibility of success in tracing can be further increased, and the possibility of stopping the tracing as in the conventional case can be reduced. Similarly, according to the second operation example, the shared information management system 11 accepts a trace request from the IP-TBS of the request source domain and requests traces to the IP-TBSs of other domains. The possibility of success can be further increased, and the possibility of the trace being stopped as in the conventional case can be reduced.

また、第2の動作例によれば、共有情報管理システム11が、複数の攻撃パケットについて個別にトレース依頼を送信するのではなく、複数の攻撃パケットに共通のトレース依頼を一括して送信するので、複数の攻撃元が存在する攻撃で送信された攻撃パケットの発信元を効率的に探索することができる。   Further, according to the second operation example, the shared information management system 11 does not individually transmit a trace request for a plurality of attack packets, but transmits a common trace request for a plurality of attack packets. Thus, it is possible to efficiently search for a source of an attack packet transmitted by an attack having a plurality of attack sources.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   The embodiment of the present invention has been described in detail above with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like without departing from the gist of the present invention.

本発明の一実施形態によるトレースバック管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the traceback management system by one Embodiment of this invention. 本発明の一実施形態によるトレースバック管理システムで管理されるトレースバック情報テーブルの内容を示す参考図である。It is a reference figure which shows the content of the traceback information table managed with the traceback management system by one Embodiment of this invention. 本発明の一実施形態によるトレースバック管理システムで管理されるドメイン情報テーブルの内容を示す参考図である。It is a reference figure which shows the content of the domain information table managed with the traceback management system by one Embodiment of this invention. 本発明の一実施形態によるトレースバック管理システムの動作を説明するための動作説明図である。It is operation | movement explanatory drawing for demonstrating operation | movement of the traceback management system by one Embodiment of this invention. 本発明の一実施形態によるトレースバック管理システムの動作を説明するための動作説明図である。It is operation | movement explanatory drawing for demonstrating operation | movement of the traceback management system by one Embodiment of this invention. 本発明の一実施形態によるトレースバック管理システムの動作を説明するための動作説明図である。It is operation | movement explanatory drawing for demonstrating operation | movement of the traceback management system by one Embodiment of this invention. 従来のIP−TBSの接続方式を示す参考図である。It is a reference figure which shows the connection system of the conventional IP-TBS.

符号の説明Explanation of symbols

1・・・情報管理センタ、11・・・共有情報管理システム、12・・・トレースバック情報テーブル、13・・・ドメイン情報テーブル

DESCRIPTION OF SYMBOLS 1 ... Information management center, 11 ... Shared information management system, 12 ... Traceback information table, 13 ... Domain information table

Claims (12)

パケットの発信元を探索するパケット探索システムを管理するパケット探索管理装置であって、
パケットの発信元の探索を依頼するための第1の探索依頼を依頼元ネットワークのパケット探索システムから受信する探索依頼受信手段と、
前記第1の探索依頼が受信された場合に、前記発信元の探索を依頼するための第2の探索依頼を、前記依頼元ネットワークを除く他のネットワークのパケット探索システムへ送信する第1の探索依頼送信手段と、
前記第2の探索依頼を受信したネットワークのパケット探索システムから前記発信元の探索結果を受信する探索結果受信手段と、
を備えたことを特徴とするパケット探索管理装置。 A packet search management device for managing a packet search system for searching for a packet source,
Search request receiving means for receiving from the packet search system of the request source network a first search request for requesting a search for the source of the packet;
When the first search request is received, a first search for transmitting a second search request for requesting a search for the transmission source to a packet search system of another network excluding the request source network A request sending means;
Search result receiving means for receiving the search result of the source from the packet search system of the network that has received the second search request;
A packet search management apparatus comprising: 前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記依頼元ネットワークを除く他の複数のネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする請求項1に記載のパケット探索管理装置。   When the first search request is received, the first search request transmission means transmits the second search request to packet search systems of a plurality of networks other than the request source network. The packet search management device according to claim 1, wherein: 複数のネットワークで管理されているアドレスをネットワーク毎に記憶するアドレス記憶手段をさらに備え、
前記発信元のアドレスが含まれた前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記発信元のアドレスを管理しているネットワークの情報を前記アドレス記憶手段から読み出し、該ネットワークのパケット探索システムへ前記第2の探索依頼を送信する
ことを特徴とする請求項1に記載のパケット探索管理装置。 An address storage means for storing addresses managed in a plurality of networks for each network;
When the first search request including the source address is received, the first search request transmission unit stores information on a network managing the source address as the address storage unit. The packet search management apparatus according to claim 1, wherein the second search request is transmitted to the packet search system of the network. 前記パケットが経由したネットワークの情報が含まれた前記第1の探索依頼が受信された場合に、前記第1の探索依頼送信手段は、前記パケットが経由したネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする請求項1に記載のパケット探索管理装置。   When the first search request including the information of the network through which the packet has been received is received, the first search request transmission unit sends the second search request to the network packet search system through which the packet has passed. The packet search management device according to claim 1, wherein a search request is transmitted. 前記発信元の探索結果が探索失敗を示している場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記探索結果の発信元のネットワークとを除く他のネットワークのパケット探索システムへ送信する第2の探索依頼送信手段をさらに備えたことを特徴とする請求項1に記載のパケット探索管理装置。   When the search result of the transmission source indicates a search failure, a third search request for requesting the search of the transmission source is other than the request source network and the network of the transmission source of the search result 2. The packet search management device according to claim 1, further comprising second search request transmission means for transmitting to a packet search system of the network. 前記第2の探索依頼送信手段によって前記第2の探索依頼が送信されてから、所定時間が経過しても、前記探索結果受信手段によって前記発信元の探索結果が受信されていない場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記第2の探索結果の送信先のネットワークとを除く他のネットワークのパケット探索システムへ送信する第2の探索依頼送信手段をさらに備えたことを特徴とする請求項1に記載のパケット探索管理装置。   When the search result receiving means has not received the search result of the transmission source even after a predetermined time has elapsed since the second search request transmission means was transmitted by the second search request transmission means, A second search request for transmitting a third search request for requesting a search for a transmission source to a packet search system of another network excluding the request source network and the destination network of the second search result. The packet search management apparatus according to claim 1, further comprising a transmission unit. パケットの発信元を探索するパケット探索システムを管理するパケット探索管理方法であって、
パケットの発信元の探索を依頼するための第1の探索依頼を依頼元ネットワークのパケット探索システムから受信する第1のステップと、
前記第1の探索依頼が受信された場合に、前記発信元の探索を依頼するための第2の探索依頼を、前記依頼元ネットワークを除く他のネットワークのパケット探索システムへ送信する第2のステップと、
前記第2の探索依頼を受信したネットワークのパケット探索システムから前記発信元の探索結果を受信する第3のステップと、
を備えたことを特徴とするパケット探索管理方法。 A packet search management method for managing a packet search system for searching for a packet source,
Receiving a first search request for requesting a search for a packet source from a packet search system of a request source network;
A second step of transmitting a second search request for requesting a search for the transmission source to a packet search system of another network excluding the request source network when the first search request is received; When,
A third step of receiving the search result of the source from the packet search system of the network that has received the second search request;
A packet search management method comprising: 前記第1の探索依頼が受信された場合に、前記第2のステップでは、前記依頼元ネットワークを除く他の複数のネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする請求項7に記載のパケット探索管理方法。   When the first search request is received, in the second step, the second search request is transmitted to packet search systems of a plurality of networks other than the request source network. The packet search management method according to claim 7. 前記発信元のアドレスが含まれた前記第1の探索依頼が受信された場合に、前記第2のステップでは、複数のネットワークで管理されているアドレスをネットワーク毎に記憶するアドレス記憶手段から、前記発信元のアドレスを管理しているネットワークの情報を読み出し、該ネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする請求項7に記載のパケット探索管理方法。   When the first search request including the source address is received, in the second step, an address storage unit that stores addresses managed by a plurality of networks for each network, 8. The packet search management method according to claim 7, wherein information on a network that manages a source address is read, and the second search request is transmitted to a packet search system of the network. 前記パケットが経由したネットワークの情報が含まれた前記第1の探索依頼が受信された場合に、前記第2のステップでは、前記パケットが経由したネットワークのパケット探索システムへ前記第2の探索依頼を送信することを特徴とする請求項7に記載のパケット探索管理方法。   When the first search request including the information of the network through which the packet has passed is received, the second step sends the second search request to the packet search system of the network through which the packet has passed. The packet search management method according to claim 7, wherein transmission is performed. 前記発信元の探索結果が探索失敗を示している場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記探索結果の発信元のネットワークとを除く他のネットワークのパケット探索システムへ送信する第4のステップをさらに備えたことを特徴とする請求項7に記載のパケット探索管理方法。   When the search result of the transmission source indicates a search failure, a third search request for requesting the search of the transmission source is other than the request source network and the network of the transmission source of the search result The packet search management method according to claim 7, further comprising a fourth step of transmitting to a packet search system of the network. 前記第2のステップで前記第2の探索依頼が送信されてから、所定時間が経過しても、前記発信元の探索結果が受信されていない場合に、前記発信元の探索を依頼するための第3の探索依頼を、前記依頼元ネットワークと前記第2の探索結果の送信先のネットワークとを除く他のネットワークのパケット探索システムへ送信する第4のステップをさらに備えたことを特徴とする請求項7に記載のパケット探索管理方法。

For requesting a search for the transmission source when the search result of the transmission source is not received even after a predetermined time has elapsed since the transmission of the second search request in the second step. The method further comprises a fourth step of transmitting a third search request to a packet search system in another network excluding the request source network and the destination network of the second search result. Item 8. The packet search management method according to Item 7.

JP2006039466A 2006-02-16 2006-02-16 Packet search management apparatus and packet search management method Expired - Fee Related JP4597882B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006039466A JP4597882B2 (en) 2006-02-16 2006-02-16 Packet search management apparatus and packet search management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006039466A JP4597882B2 (en) 2006-02-16 2006-02-16 Packet search management apparatus and packet search management method

Publications (2)

Publication Number Publication Date
JP2007221442A true JP2007221442A (en) 2007-08-30
JP4597882B2 JP4597882B2 (en) 2010-12-15

Family

ID=38498212

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006039466A Expired - Fee Related JP4597882B2 (en) 2006-02-16 2006-02-16 Packet search management apparatus and packet search management method

Country Status (1)

Country Link
JP (1) JP4597882B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298652A (en) * 2002-03-29 2003-10-17 Yokogawa Electric Corp Attack route tracking system
JP2004096246A (en) * 2002-08-29 2004-03-25 Fujitsu Ltd Data transmission method, data transmission system and data transmission device
JP2007060218A (en) * 2005-08-24 2007-03-08 Ntt Communications Kk Mpls switch, nms server device, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298652A (en) * 2002-03-29 2003-10-17 Yokogawa Electric Corp Attack route tracking system
JP2004096246A (en) * 2002-08-29 2004-03-25 Fujitsu Ltd Data transmission method, data transmission system and data transmission device
JP2007060218A (en) * 2005-08-24 2007-03-08 Ntt Communications Kk Mpls switch, nms server device, and program

Also Published As

Publication number Publication date
JP4597882B2 (en) 2010-12-15

Similar Documents

Publication Publication Date Title
US7349348B1 (en) Method and apparatus for determining a network topology in the presence of network address translation
US20200228433A1 (en) Computer-readable recording medium including monitoring program, programmable device, and monitoring method
EP2164207B1 (en) Message routing method, system and node equipment
US9118719B2 (en) Method, apparatus, signals, and medium for managing transfer of data in a data network
US8571848B2 (en) System and method of network emlation for test of on-line server processing heavy traffic
JP4758362B2 (en) Relay device, program, and relay method
US20060215695A1 (en) Protocol stack
US20150032837A1 (en) Hard Disk and Data Processing Method
US8433768B1 (en) Embedded model interaction within attack projection framework of information system
CN111064804B (en) Network access method and device
US8887280B1 (en) Distributed denial-of-service defense mechanism
CN103685213A (en) Device, system and method for reducing attacks on DNS
Park et al. Smart base station-assisted partial-flow device-to-device offloading system for video streaming services
US9049140B2 (en) Backbone network with policy driven routing
CN101512539A (en) iSCSI and fibre channel authentication
US7565405B2 (en) Method and apparatus for providing data storage in peer-to-peer networks
US6553421B1 (en) Method and system for broadcast management in a data communication network that permits namesharing
JP4597882B2 (en) Packet search management apparatus and packet search management method
US7701876B2 (en) Message transmission method and device in mixture of private network and public network
JP4223045B2 (en) DNS server device, request message processing method, and request message processing program
US9609079B1 (en) Methods for improved cache maintenance and devices thereof
CN104519109A (en) Method and device for sharing file among multiple devices
CN115190107A (en) Multi-subsystem management method based on extensive domain name, management terminal and readable storage medium
CN114338127A (en) Data transmission method and device for anonymous communication, electronic device and storage medium
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071016

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071016

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080813

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100722

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100914

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100922

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131001

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees