IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電信電話株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電信電話株式会社の特許一覧

特許7396483パケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-04
(45)【発行日】2023-12-12
(54)【発明の名称】パケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラム
(51)【国際特許分類】
   H04L 43/08 20220101AFI20231205BHJP
【FI】
H04L43/08
【請求項の数】 6
(21)【出願番号】P 2022531121
(86)(22)【出願日】2020-06-15
(86)【国際出願番号】 JP2020023479
(87)【国際公開番号】W WO2021255800
(87)【国際公開日】2021-12-23
【審査請求日】2022-10-05
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100124844
【弁理士】
【氏名又は名称】石原 隆治
(72)【発明者】
【氏名】白石 将浩
(72)【発明者】
【氏名】長山 弘樹
(72)【発明者】
【氏名】岡部 恵一
(72)【発明者】
【氏名】鷲尾 知暁
(72)【発明者】
【氏名】宮島 麻美
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2019-110513(JP,A)
【文献】特開2020-031281(JP,A)
【文献】特開2007-157059(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-12/66,13/00,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおける異常検知用のパケットを収集するためのパケット収集システムであって、
前記通信システムにおいて送受信されるパケットを各セグメントから時系列に収集し、収集したパケットのヘッダ情報及びペイロード情報を格納するヘッダ収集装置と、
前記通信システムにおける各セグメントに備えられるペイロード収集装置であって、セグメント内で受信したパケットにおけるペイロード情報を復号し、復号されたペイロード情報を、当該パケットのヘッダ情報及びペイロード情報とともに格納するペイロード収集装置と、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得し、格納するパケット統合解析装置と
を備えるパケット収集システム。
【請求項2】
前記1以上のセグメントはそれぞれマルチキャストグループであり、各マルチキャストグループにおいて、パブリッシャとして機能する送信装置とサブスクライバとして機能する受信装置との間で出版購読型モデルによる通信がなされ、前記ペイロード収集装置は、サブスクライバとして機能する受信装置の1つである
請求項1に記載のパケット収集システム。
【請求項3】
前記パケット統合解析装置は、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報に、対応するセグメントを示す情報を付加し、格納する
請求項1又は2に記載のパケット収集システム。
【請求項4】
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおいて使用されるパケット統合解析装置であって、
前記通信システムにおいて送受信されるパケットを時系列に収集するヘッダ収集装置から、時系列のヘッダ情報及びペイロード情報を受信し、各セグメントに備えられるペイロード収集装置から、ヘッダ情報、ペイロード情報、及び復号されたペイロード情報を受信するデータ受信部と、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得する時系列照合部と、
前記時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を格納するトラヒックデータ記録部と
を備えるパケット統合解析装置。
【請求項5】
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおける異常検知用のパケットを収集するためのパケット収集システムにより実行されるパケット収集方法であって、
ヘッダ収集装置が、前記通信システムにおいて送受信されるパケットを各セグメントから時系列に収集し、収集したパケットのヘッダ情報及びペイロード情報を格納するステップと、
前記通信システムにおける各セグメントに備えられるペイロード収集装置が、セグメント内で受信したパケットにおけるペイロード情報を復号し、復号されたペイロード情報を、当該パケットのヘッダ情報及びペイロード情報とともに格納するステップと、
パケット統合解析装置が、前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得し、格納するステップと
を備えるパケット収集方法。
【請求項6】
コンピュータを、暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおいて使用されるパケット統合解析装置として機能させるためのプログラムであって、前記コンピュータを、
前記通信システムにおいて送受信されるパケットを時系列に収集するヘッダ収集装置から、時系列のヘッダ情報及びペイロード情報を受信し、各セグメントに備えられるペイロード収集装置から、ヘッダ情報、ペイロード情報、及び復号されたペイロード情報を受信するデータ受信部、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得する時系列照合部、及び
前記時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を格納するトラヒックデータ記録部、
として機能させるためのプログラム
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュアなマルチキャスト通信における異常検知用パケットを収集する技術に関連するものである。
【背景技術】
【0002】
産業システムでは、ネットワーク(NW)上で流通する機密な制御パラメータ等の盗聴・改竄を防ぐために暗号通信が用いられることがある。
【0003】
ただし、暗号通信が用いられる場合でも、暗号化鍵が盗まれた場合には不正動作を起こす制御パラメータを含む通信等によるサイバー攻撃のリスクが残り、暗号化鍵が盗まれていない場合でも過去に流通した通信の記録を再利用した通信(Replay)によるサイバー攻撃のリスクが残る。
【先行技術文献】
【非特許文献】
【0004】
【文献】SSLアクセラレータ、日立ソリューションズ、[https://www.hitachi-solutions.co.jp/array/sp/apv/function2.html]
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記サイバー攻撃をNW上で異常として検知するためには、送受信されるデータの値の時間変化量等を分析する必要がある。そのために、送受信される複数のデータ(復号したデータ)を時系列に分析できるように、データ収集を行う必要がある。
【0006】
異常検知に関して、非特許文献1には、産業システムと同様に高いスループットが求められるシステムに向けて、通信の暗号化と復号、及び異常検知処理を行う専用機が開示されている。
【0007】
しなしながら、非特許文献1に開示された技術を含む従来技術では、復号した複数のデータを時系列に分析できるように効率的にデータ収集を行うことはできない。
【0008】
本発明は上記の点に鑑みてなされたものであり、暗号通信が行われる通信システムにおいて、復号した複数のデータを時系列に分析できるように効率的にデータ収集を行うことを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0009】
開示の技術によれば、暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおける異常検知用のパケットを収集するためのパケット収集システムであって、
前記通信システムにおいて送受信されるパケットを各セグメントから時系列に収集し、収集したパケットのヘッダ情報及びペイロード情報を格納するヘッダ収集装置と、
前記通信システムにおける各セグメントに備えられるペイロード収集装置であって、セグメント内で受信したパケットにおけるペイロード情報を復号し、復号されたペイロード情報を、当該パケットのヘッダ情報及びペイロード情報とともに格納するペイロード収集装置と、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得し、格納するパケット統合解析装置と
を備えるパケット収集システムが提供される。
【発明の効果】
【0010】
開示の技術によれば、暗号通信が行われる通信システムにおいて、復号した複数のデータを時系列に分析できるように効率的にデータ収集を行うことを可能とする技術が提供される。
【図面の簡単な説明】
【0011】
図1】暗号通信の処理負荷を説明するための図である。
図2】不正検知の例を説明するための図である。
図3】パケット収集システムの例を示す図である。
図4】本発明の実施の形態におけるシステムの構成図である。
図5】本発明の実施の形態におけるシステムの構成図である。
図6】パケットの流れを説明するための図である。
図7】パケットの流れを説明するための図である。
図8】ヘッダ収集装置の構成図である。
図9】ヘッダ収集装置の動作を説明するためのフローチャートである。
図10】受信するパケットのイメージを示す図である。
図11】トラヒックデータ記録部に格納されるテーブルの例を示す図である。
図12】ペイロード収集部の構成図である。
図13】ペイロード収集部の動作を説明するためのフローチャートである。
図14】ペイロードデータ記録部に格納されるテーブルの例を示す図である。
図15】パケット統合解析装置へのデータ転送を示す図である。
図16】パケット統合解析装置の構成図である。
図17】パケット統合解析装置の動作を説明するためのフローチャートである。
図18】データの順位の決定を説明するための図である。
図19】グローバルトラヒックデータ記録部に格納されるテーブルの例を示す図である。
図20】ユニキャストの場合の例を説明するための図である。
図21】収集した情報の例を示す図である。
図22】収集した情報の例を示す図である。
図23】装置のハードウェア構成例である。
【発明を実施するための形態】
【0012】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0013】
(課題について)
本発明の実施の形態を詳細に説明する前に、本発明を使用しない場合に想定されるパケット収集システムについての課題を説明する。
【0014】
まず、図1を参照して、送信装置10と受信装置20との間で暗号通信が行われる場合における処理負荷について説明する。
【0015】
平文通信を行う場合には、送信装置10は、ヘッダと平文のペイロードを有するパケットを受信装置20に送信する(S1)。一方、暗号通信を行う場合、送信装置10はまず平文のペイロードを暗号化し(S2)、暗号化したペイロードとヘッダからなるパケットを送信する(S3)。S4において、受信装置20は、暗号化されたペイロードを復号し、平文のペイロードを取得する。
【0016】
上記のとおり、平文通信と比較して、暗号通信では、暗号化と復号の処理の分だけ処理負荷が増加する。
【0017】
図2は、不正通信の検知を行う場合を示している。ここでは送信装置10が攻撃者(クラッカー10)であるとする。ペイロードを復号しなければ不正値を検知できないので、受信装置20は、暗号化されたペイロードを含むパケットを受信し(S5)、ペイロードを復号することにより(S6)、不正値を検出する。
【0018】
図3は、異常検知のための処理負荷をオフロードする専用機(オフロード機)を用いて異常検知用パケットを収集するためのシステムの構成例を示す図である。なお、図3に示すシステム自体は従来技術ではない。従来技術である専用機を用いてパケット収集を行う場合に想定されるシステムの構成である。
【0019】
図3におけるシステムは、3つのセグメント(例えば3つのマルチキャストグループ)に分けられており、セグメント1が高トラヒック量ゾーンであり、セグメント2が中トラヒック量ゾーンであり、セグメント3が低トラヒック量ゾーンである。セグメント1は、送信装置17、受信装置18、19、スイッチ(SW)15、専用機14を有する。セグメント2は、送信装置27、受信装置28、29、スイッチ(SW)25、専用機24を有する。セグメント3は、送信装置31、受信装置32、33、スイッチ(SW)35、専用機34を有する。
【0020】
SW15、25、35は、上位のSW6に接続される。各セグメントの専用機は、保守SW5に接続され、保守SW15は統合異常検知機7に接続される。
【0021】
各セグメントにおける専用機は、セグメント内のSWから、ミラーリングにより、セグメント内の送信装置と受信装置との間で送受信されるパケットを受信し、受信したパケットにおける暗号化されたペイロードを復号し、ヘッダと復号したペイロードとを統合異常検知機7に送信する。統合異常検知機7は、各専用機から受信したデータを分析することにより統合的な異常検知を行う。
【0022】
しかし、図3に示す構成では、各セグメントの専用機に対し、受信装置の持つ鍵を共有する設定あるいは作りこみが必要であり、共有サーバ等が必要となり、運用コストが増大する。
【0023】
また、セグメント毎に専用機にかかるトラヒック負荷が異なるため、統合異常検知機7によるデータの収集タイミングが揃わないという問題がある。
【0024】
そのため、統合異常検知装置7において、データを時系列に分析するために、データの時系列ソートが必要になる。しかし、データは次々と統合異常検知装置7により収集されるため、時系列ソートを行っても時系列のデータ分析を適切に行えない場合がある。
【0025】
つまり、上記のシステムのように専用機を導入する場合には、鍵管理等の運用効率が悪い。また、専用機(オフロード機)から収集するデータが異常検知用データとして収集効率が悪い。すなわち、トラヒック量とオフロード機の配置構成によってデータ収集が遅くなる、データ収集後の統合処理が必要になるという課題がある。
【0026】
より具体的には、データ収集のタイミングが揃わないことに対し、時系列を揃える処理をするだけでなく、異常検知のためのデータ作成の処理として一定の時間を区切りその時間内に到達しないデータは欠損扱いとするあるいはデータが揃うまで待機するといった異常検知の精度に関わる設定を伴う機能が統合処理に必要となる。
【0027】
以下で説明する本実施の形態に係るシステムでは上記の課題が解決され、暗号通信が行われる通信システムにおいて、復号した複数のデータを時系列に分析できるように効率的にデータ収集を行うことが可能となる。
【0028】
すなわち、本実施の形態においては、通信の配送範囲に基づき、復号処理機能と収集処理機能を階層的に配置し、収集した情報を後に統合することで異常検知用データの収集効率を上げることとしている。
【0029】
具体的には、近年、産業システムで利用されるセキュアなマルチキャスト通信の配送範囲内(マルチキャストグループ)に、当該範囲のペイロードを復号して収集する装置(ペイロード収集装置)を配置し、更に、複数マルチキャストグループを跨いで時系列にヘッダ情報等を収集する装置(ヘッダ収集装置)と、復号したペイロードを時系列に並んだヘッダデータと照合する装置(パケット統合解析装置)を配置することとしている。以下、本実施の形態に係る技術をより詳細に説明する。
【0030】
(システム構成)
図4に、本発明の実施の形態におけるパケット収集システムの全体構成図を示す。図4に示すように、本パケット収集システムには、マルチキャストグループ1、マルチキャストグループ2、及びマルチキャストグループ3が存在し、各マルチキャストグループがヘッダ収集装置200に接続され、各マルチキャストグループとヘッダ収集装置200との間でデータの送受信が可能になっている。また、パケット統合解析装置300がヘッダ収集装置200に接続されており、パケット統合解析装置300とヘッダ収集装置200との間でデータの送受信が可能になっている。
【0031】
なお、「マルチキャストグループ」を「セグメント」と称してもよい。また、後述するように、本実施の形態に係る技術はマルチキャスト通信のみでなくユニキャスト通信にも適用可能である。「セグメント」は、「マルチキャスト通信を行う範囲」と「ユニキャスト通信を行う範囲」の両方の意味を含むものであってもよい。
【0032】
図4に示すように、3つのマルチキャストグループが存在することは一例である。マルチキャストグループの数は、1つであってもよいし、2つであってもよいし、4つ以上であってもよい。
【0033】
図4に示す3つのマルチキャストグループの種類は特に限定されないが、例えば、図3に示したセグメント1~3と同様に、トラヒック量に応じたゾーンに分けられていると想定してもよい。例えば、マルチキャストグループ1がセンサデータの処理を行うゾーン、マルチキャストグループ2がコントローラについての通信を行うゾーン、及びマルチキャストグループ3がアクチュエータの制御を行うゾーンであってもよい。
【0034】
上記のようにマルチキャストグループに含まれる装置の具体的種類等は、マルチキャストグループ間で異なり得るが、基本的な構成はマルチキャストグループ間で同じである。
【0035】
図5に、1つのマルチキャストグループ内の構成例を示す。他のマルチキャストグループも同様の構成を有している。
【0036】
図5に示すように、マルチキャストグループには、送信装置10、受信装置20、ペイロード収集装置100-A、ペイロード収集装置100-B、L2SW30(レイヤ2スイッチ30)が備えら、図示のとおりに各装置がL2SW30に接続されている。なお、ペイロード収集装置100-Aとペイロード収集装置100-Bは、同じ構成を備えており、両者を区別しないで説明する場合には、「パケット収集装置100」と記述する。また、ペイロード収集装置100は、1台のみ備えてもよいし、3台以上備えられてもよい。
【0037】
本実施の形態において、送信装置10と受信装置20は、Publish/Subscribeモデル(以降、Pub/Subモデルと呼ぶ。出版購買型モデルと呼んでもよい)でメッセージの送受信を行う。本実施の形態におけるPub/Subモデルにおいて、送信装置10がPublisher(パブリッシャ)に相当し、受信装置20がSubscriber(サブスクライバ)に相当する。また、本実施の形態では、Pub/Subモデルの方式の1つであるDDS(Data Distribution Service)を使用することを想定している。ただし、これに限定されるわけではない。
【0038】
送信装置10は、例えばセンサであり、受信装置20は、例えば、センサデータを解析する装置やセンサデータに基づく制御を行う制御装置である。
【0039】
基本的な動作として、受信装置20(Subscriber)が送信装置10(Publisher)に対して希望するトピックについてのメッセージ配信(メッセージ購読)を申し込み、送信装置10(Publisher)は、そのトピックのメッセージを受信装置20(Subscriber)に送信する。送信されるメッセージには、トピック名と値が含まれる。
【0040】
本実施の形態では、上記メッセージは、ヘッダを有するパケットのペイロードとして、送信装置10から受信装置20に送信される。また、本実施の形態では、メッセージ(パケットのペイロード)は、送信装置10において暗号化され、受信装置20において復号される。
【0041】
本実施の形態におけるペイロード収集装置100は、ペイロード収集のために専用に備える装置ではなく、受信装置として機能する装置に、ペイロード収集のための機能を追加した装置であることを想定している。ただし、ペイロード収集装置100が、ペイロード収集のために専用に備えられる装置であっても構わない。
【0042】
送信装置10から送信されたパケットは、同じマルチキャストグループ内の受信装置20とパケット収集装置100のそれぞれに送信され、受信装置20とパケット収集装置100のそれぞれが当該パケットを受信する。具体的には、送信装置10から送信されたパケットは、L2SW30に届き、L2SW30が、同じマルチキャストグループ内の受信装置20とパケット収集装置100が接続されている各ポートからパケットを出力する。
【0043】
また、送信装置10と受信装置20/パケット収集装置100との間ではユニキャスト通信も行われる。ユニキャスト通信では、送信装置10から送信されたパケットはまずL2SW30に届き、L2SW30は、宛先の装置が接続されたポートからパケットを送信する。また、ユニキャスト通信において、受信装置20/パケット収集装置100から送信されたパケットはまずL2SW30に届き、L2SW30は、宛先の装置が接続されたポートからパケットを送信する。
【0044】
L2SW30は、受信したパケットを宛先に向けて送信するとともに、送受信されるパケットをコピー(ミラーリング)して、ヘッダ収集装置200へ送信する。
【0045】
図5に示すように、送信装置10は、Publisher11と暗号化処理部12を含む。Publisher11は、あるトピックについての購読申込に応じて、当該トピックについてのメッセージを生成し、送信する機能部である。
【0046】
暗号化処理部12は、Publisher11から受信したメッセージを暗号化し、暗号化したメッセージをペイロードとして有するパケットを生成し、当該パケットを送信する機能部である。なお、暗号化処理部12を、「セキュリティPub/Subミドルウェア」と称してもよい。
【0047】
受信装置20は、Subscriber21と復号処理部22を含む。Subscriber21は、Publisher11に対してあるトピックについての購読申込を行って、Publisher11から当該トピックについてのメッセージを受信する機能部である。
【0048】
復号処理部22は、送信装置10から受信したパケットの中の暗号化されたペイロードを復号し、復号したペイロード(メッセージ)をSubscriber21に送信する機能部である。なお、復号処理部22を、「セキュリティPub/Subミドルウェア」と称してもよい。
【0049】
ペイロード収集装置100は、ペイロード収集部110と復号処理部120を含む。ペイロード収集部110は、前述したSubscriber21の機能と、ペイロード収集に係る機能を有する。ペイロード収集に係る機能についての構成(ブロック図)と動作については後述する。復号処理部120は、前述した復号処理部22と同様の機能を有する。
【0050】
(パケットの流れ)
続いて、本実施の形態のおけるパケットの流れの例について図6図7を参照して説明する。
【0051】
図6は、マルチキャストグループ内(セグメント内)でのPub/Sub通信のパケットの流れを説明するための図である。
【0052】
S11において、送信装置10のPublisher11がメッセージ(TopicA:12)を暗号化処理部12に送信する。S12において、暗号化処理部12は、メッセージを暗号化するとともに、暗号化したメッセージ(ペイロード)にヘッダを付けることによりパケットを生成する。S13において、復号処理部12は、パケットを送信する。
【0053】
受信装置20の復号処理部22がパケットを受信し、S14において、パケットから暗号化されたペイロードを抽出し、暗号化されたペイロードを復号する。S15において、復号処理部12は、復号されたペイロードであるメッセージをSubscriber22に送信する。
【0054】
S16~S20では、トピックBのメッセージに対してS11~S15と同様の処理が実行される。
【0055】
図7は、本実施の形態におけるパケットの流れを説明するための図である。まず、マルチキャスト通信について説明する。
【0056】
S101において、送信装置10のPublisher11がメッセージ(TopicA:12)を暗号化処理部12に送信する。S102において、暗号化処理部12は、メッセージを暗号化するとともに、暗号化したメッセージ(ペイロード)にヘッダを付けることによりパケットを生成する。S103において、暗号化処理部12は、パケットを送信する。
【0057】
送信されたパケットは、受信装置20とパケット収集装置100のそれぞれに届き(S103、S108)、受信装置20とパケット収集装置100のそれぞれにおいてペイロード抽出及び復号が行われる(S106、S107、S109、S110)。
【0058】
一方、S104、S105において、L2SW30は、パケットのミラーリングを行って、当該パケットをヘッダ収集装置200に送信する。ヘッダ収集装置200は当該パケットを受信する。
【0059】
次に、ユニキャスト通信について説明する。なお、ユニキャスト通信は、例えばPublisherとSubscriberとの相互で死活監視を実施するために発生する。
【0060】
S201において、送信装置10のPublisher11がメッセージ(TopicB:×××)を暗号化処理部12に送信する。S202において、暗号化処理部12は、メッセージを暗号化するとともに、暗号化したメッセージ(ペイロード)にヘッダを付けることによりパケットを生成する。S203において、暗号化処理部12は、パケットを送信する。
【0061】
送信されたパケットは、ユニキャストの宛先である受信装置20のみに送信され(S203)、受信装置20においてペイロード抽出及び復号が行われる(S206、S207)。なお、ユニキャストの宛先がペイロード収集装置100である場合、ペイロード収集装置100は、受信装置20での処理と同様の処理を実行することで、ペイロードを収集する。
【0062】
一方、S204、S205において、L2SW30は、パケットのミラーリングを行って、当該パケットをヘッダ収集装置200に送信する。ヘッダ収集装置200は当該パケットを受信する。
【0063】
(暗号化通信について)
本実施の形態における暗号化は共通鍵暗号方式を前提とする。ただし、共通鍵暗号方式に限定されるわけではなく、共通鍵暗号方式以外の暗号化方式を用いてもよい。
【0064】
また、本実施の形態における共通鍵の生成単位は特定のものに限定されず、どのようなものであってもよい。また、鍵交換の方式や頻度等についても特定のものに限定されず、どのようなものであってもよい。
【0065】
例えば、「一つのマルチキャストグループで一つの共通鍵を持つ」、「一つのTopicについて一つの共通鍵を持つ」、「一対のノードとノードについて一つの共通鍵を持つ」のいずれであってもよい。
【0066】
例えば、「一対のノードとノードについて一つの共通鍵を持つ」場合のマルチキャストの具体例は以下のとおりである。
【0067】
例えば受信装置が3つの場合、送信装置は、[ヘッダ:{受信装置1用暗号化ペイロード、受信装置2用暗号化ペイロード、受信装置3用暗号化ペイロード}]の形式のパケットを生成し、送信する。受信装置3がペイロード収集装置100であれば、当該ペイロード収集装置100が、受信装置3用暗号化ペイロードのみ復号化することで、ペイロードの中身を取得することができる。
【0068】
以下では、ヘッダ収集装置200、ペイロード収集装置100のペイロード収集部110、及びパケット統合解析装置300の構成と動作について説明する。
【0069】
(ヘッダ収集装置200)
図8は、ヘッダ収集装置200の構成図である。図8に示すように、ヘッダ収集装置200は、トラヒックデータ収集部210、ヘッダデータ抽出部220、トラヒックデータ記録部230、及び時系列データ転送部240を有する。
【0070】
図9のフローチャートの手順に沿って、各部の動作を説明する。S301において、トラヒックデータ収集部210は、L2SW30からヘッダ収集装置200に送信されるパケットを時系列で受信し、随時、パケットをヘッダデータ抽出部220に渡す。なお、トラヒックデータ収集部210がパケットを受信する方法はどのような方法でもよいが、例えば、tcpdump、wireshark、socketプログラミング等を用いる方法がある。
【0071】
本実施の形態では、図3に示したような復号を行う専用機を介さずにヘッダ収集装置200がパケットを収集するので、マルチキャストグループ毎のトラヒック量の相違等にほとんど影響されずに時系列でパケットを収集できる。
【0072】
図10は、トラヒックデータ収集部210が受信するパケットの例を示している。図10に示すとおり、各パケットは、ヘッダと暗号化されたペイロードを有する。
【0073】
図9のS302において、ヘッダデータ抽出部220は、各パケットにおけるヘッダとペイロードを分離し、分離して得たヘッダ情報とペイロード情報とを、パケットの受信順にトラヒックデータ記録部230に格納する。この時、ヘッダデータ抽出部220は、ヘッダ情報からユニキャスト通信を識別した場合には、当該ユニキャスト通信に係るヘッダ情報とペイロード情報をFlgデータと合わせてトラヒックデータ記録部230に格納する。図11に、トラヒックデータ記録部230に格納される情報(テーブル)の例を示す。
【0074】
図9のS303において、時系列データ転送部240は、トラヒックデータ記録部230に格納された通信について、ヘッダ情報(H)とペイロード情報(Payload)を抽出し、抽出した時系列のヘッダ情報(H)とペイロード情報(Payload)を、パケット統合解析装置300に転送する。
【0075】
この時に、時系列データ転送部240は、マルチキャストグループのID(DDSで言えばドメインID等)もヘッダ情報(H)とペイロード情報(Payload)に付与して送信する。なお、転送形態について、通信経路、プロトコル、ファイル形式等は特定のものに限定されず、どのようなものを用いてもよい。
【0076】
(ペイロード収集部110)
図12は、ペイロード収集部110の構成図である。図12に示すように、ペイロード収集部110は、通信キャプチャ部111、ペイロード処理部112、ペイロードデータ記録部113、ペイロードデータ転送部114を有する。
【0077】
図13のフローチャートの手順に沿って、各部の動作を説明する。S401において、通信キャプチャ部111は、パケットを受信し、随時、受信したパケットをペイロードデータ記録部113に格納する。ここで受信するパケットは図10の示したパケットと同様である。パケットの受信の方法については、トラヒックデータ収集部210と同様にどのような方法を用いてもよい。
【0078】
図13のS402において、ペイロード処理部112は、通信キャプチャ部111で受信したパケットに対して、復号処理部120を用いて復号されたペイロードからTopic名とValueを収集し、Topic名とValueを、当該パケットのヘッダ情報とペイロード情報に対応付けて、ペイロードデータ記録部113に格納する。図14に、ペイロードデータ記録部113に格納されるテーブルの例を示す。
【0079】
図13のS403において、ペイロードデータ転送部114は、ペイロードデータ記録部113に格納された各通信について、ヘッダ情報(H)、ペイロード情報(Payload)、ペイロード情報を復号することにより得られたトピック情報(Topic)及び値情報(Value)を抽出し、抽出した情報をパケット統合解析装置300に転送する。
【0080】
この時に、ペイロードデータ転送部114は、マルチキャストグループのID(DDSで言えばドメインID等)も上記情報に付与して送付する。転送形態については、時系列データ転送部240と同様にどのような方法を用いてもよい。また、転送する情報にペイロード収集部110へのユニキャストデータが含まれていても構わない。
【0081】
図15に示すように、ヘッダ収集装置200から各マルチキャストグループのヘッダ情報とペイロード情報がパケット統合解析装置300に送信され、各マルチキャストグループのペイロード収集部110からヘッダ情報とペイロード情報とTopicとValueがパケット統合解析装置300に送信される。
【0082】
(パケット統合解析装置300)
図16は、パケット統合解析装置300の構成図である。図16に示すように、パケット統合解析装置300は、データ受信部310、ドメイン記号付与部320、時系列照合部330、データ記録部340、グローバルトラヒックデータ記録部350を有する。
【0083】
図17のフローチャートの手順に沿って、各部の動作を説明する。S501において、データ受信部310が、ヘッダ収集200とペイロード収集部110のそれぞれから転送されるデータを受信し、随時、受信したデータをドメイン記号付与部320に渡す。データの受信方法については、トラヒックデータ収集部210と同様にどのような方法を用いてもよい。
【0084】
S502において、ドメイン記号付与部320は、データ受信部310から渡された情報に対して、どのマルチキャストグループから来たデータであるのかを識別する情報としてのドメイン情報を付与する。付与するドメイン情報は、ヘッダ情報から(マルチキャストアドレス等を)抽出してもよいし、予め収集するマルチキャストグループ毎に異なる値を設定しておいてもよい。
【0085】
S503において、時系列照合部330は、ヘッダ収集装置200から収集したデータの時系列の順番に従って、データの順位(時系列の並び)を決定し、得られた結果をデータ記録部340に渡す。
【0086】
ペイロード収集装置100には到達しないユニキャスト通信や到達していてもペイロード処理部で処理しないNTPやDNS等の通信が存在しているため、ヘッダ収集装置200により収集されるデータの総量は、ペイロード収集部110で収集されるデータの総量よりも多い。時系列照合部330は、ヘッダ収集装置200とぺイロード収集装置100のHとPayloadを一意なものとして照合し、データの順位を決定する。順位決定処理のイメージを図18に示す。
【0087】
図18の例では、ペイロード収集部110で収集した図示するヘッダとペイロードが、ヘッダ収集装置200で収集した1番目のヘッダとペイロードと一致するので、ペイロード収集部110で収集した図示するヘッダとペイロードとトピックと値は、時系列の1番目のデータであると決定できる。
【0088】
S504において、データ記録部340は、時系列照合部330から渡された情報をグローバルトラヒックデータ記録部350に記録する。図19に、グローバルトラヒックデータ記録部350に記録される情報のイメージを示す。
【0089】
(ユニキャスト通信について)
本実施の形態における構成と処理について、例としてTopicのValueについてマルチキャストを利用したPub/Sub通信を前提としたものを説明してきた。しかし、本実施の形態に係る技術は、マルチキャスト通信に限定されるわけではなく、ユニキャスト通信を用いたPub/Sub通信にも適用できる。具体的な理由は、以下の通りである。
【0090】
本実施の形態に係るPub/Sub通信の仕組みとして、複数の受信装置(Subscriber)が存在し、それぞれに向けて異なる暗号化の鍵を用いてパケットを送信したとしても、同一タイミングで送信するTopicの中身は同一のValueである。
【0091】
従って、複数の受信装置のうち一つがペイロード収集装置であれば、当該ペイロード収集装置で得られるデータは、その他の受信装置へのユニキャストと近い時刻のユニキャストと同じグループのまとまりとして同一視することができる。
【0092】
図20に、ユニキャスト通信の例を示す。図20に示すように、S601~S603(S604~S606も同様)において、送信装置10から受信装置20A~20Cのそれぞれに対してユニキャストのパケットが送信される。各パケットのペイロードを構成するTopicとValueは同一である。
【0093】
ヘッダ収集装置200はS601~S603においてパケットを受信し、ここで受信した順で時系列を決定できる。つまり、S601~S603において受信したパケットの次は、S604~S606で受信したパケット、のようにして時系列を決定できる。
【0094】
また、図20の例では、受信装置20Cがペイロード収集装置として機能しており、受信装置20Cにより復号されたTopicとValueが収集される。受信装置20A~20Cの通信のうち、受信装置20CのみでTopicとValueが収集されるが、上述したPub/Sub通信の仕組みにより、受信装置20Aと受信装置20Bの通信もこのTopicとValueを持つと見なすことができる。
【0095】
(収集された情報の例)
図21図22に、パケット統合解析装置300におけるグローバルトラヒックデータ記録部350に格納されるデータの例を示す。図示の例におけるMGはマルチキャストグループを示し、Timeは時刻(例えば、ヘッダ収集装置200がパケットを取得した時刻)を示し、H_srcは送信元アドレスを示し、H_destは宛先アドレスを示し、H_protoはプロトコルを示す。
【0096】
図21図22に示すように、データは時系列(時間の経過の順番)に並んでいる。そのため、例えば、#10のデータに異常があることを検知できる。すなわち、#1~#3において、sensorA-1~A-3のデータが続いており、それらの値は23.51又は23.52である。一方、その後の#8~#10におけるsensorA-1~A-3のデータにおいて、最初の2つの値は23.51又は23.52であり、#10のデータの値も23.51又は23.52が正しいものと推測できるが、実際には19.22であるので、異常であると判断できる。
【0097】
また、#11、#12において「control_A_main」、「control_A_sub」となっているように、controlのTopicに関しては、mainとsubのデータがほぼ同時に取得されることが推測される。一方、#18及びその前後に示すように、「control_B_main」に対する「control_B_sub」が得られていないため、異常であると判断できる。なお、本発明の技術を用いない場合、「control_B_main」のみが得られた後に、遅延して「control_B_sub」が得られる可能性があることから、"「control_B_sub」がない"という異常検知が遅くなる。すなわち、本発明の技術により、迅速に異常検知を行うことができる。また、#21~#24に示すように、マルチキャストグループ跨ぎの通信も時系列で揃えることが可能となる。
【0098】
(ハードウェア構成例)
本実施の形態におけるペイロード収集装置100、ヘッダ収集装置200、パケット統合解析装置300はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現することができる。
【0099】
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0100】
図23は、上記コンピュータのハードウェア構成例を示す図である。図23のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
【0101】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0102】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、ペイロード収集装置100、ヘッダ収集装置200、パケット統合解析装置300等に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0103】
(実施の形態の効果)
本実施の形態に係る技術により、暗号通信が行われる通信システムにおいて、復号した複数のデータを時系列に分析できるように効率的にデータ収集を行うことが可能となる。
【0104】
また、本発明を使用しない場合に想定されるパケット収集システムのように、異常検知処理の肩代わりのための専用機の購入は不要である。また、送信装置と受信装置との間で暗号/復号鍵を自動で共有するため、専用機に実施している鍵設定等のコストも不要になる。更に、ハードウェア制約がないため、パケット収集にかかる処理負荷が増大しても冗長構成が取りやすいという効果もある。
【0105】
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載したパケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラムが記載されている。
(第1項)
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおける異常検知用のパケットを収集するためのパケット収集システムであって、
前記通信システムにおいて送受信されるパケットを各セグメントから時系列に収集し、収集したパケットのヘッダ情報及びペイロード情報を格納するヘッダ収集装置と、
前記通信システムにおける各セグメントに備えられるペイロード収集装置であって、セグメント内で受信したパケットにおけるペイロード情報を復号し、復号されたペイロード情報を、当該パケットのヘッダ情報及びペイロード情報とともに格納するペイロード収集装置と、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得し、格納するパケット統合解析装置と
を備えるパケット収集システム。
(第2項)
前記1以上のセグメントはそれぞれマルチキャストグループであり、各マルチキャストグループにおいて、パブリッシャとして機能する送信装置とサブスクライバとして機能する受信装置との間で出版購読型モデルによる通信がなされ、前記ペイロード収集装置は、サブスクライバとして機能する受信装置の1つである
第1項に記載のパケット収集システム。
(第3項)
前記パケット統合解析装置は、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報に、対応するセグメントを示す情報を付加し、格納する
第1項又は第2項に記載のパケット収集システム。
(第4項)
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおいて使用されるパケット統合解析装置であって、
前記通信システムにおいて送受信されるパケットを時系列に収集するヘッダ収集装置から、時系列のヘッダ情報及びペイロード情報を受信し、各セグメントに備えられるペイロード収集装置から、ヘッダ情報、ペイロード情報、及び復号されたペイロード情報を受信するデータ受信部と、
前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得する時系列照合部と、
前記時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を格納するトラヒックデータ記録部と
を備えるパケット統合解析装置。
(第5項)
暗号化されたペイロードを有するパケットの送受信がなされる1以上のセグメントを有する通信システムにおける異常検知用のパケットを収集するためのパケット収集システムにより実行されるパケット収集方法であって、
ヘッダ収集装置が、前記通信システムにおいて送受信されるパケットを各セグメントから時系列に収集し、収集したパケットのヘッダ情報及びペイロード情報を格納するステップと、
前記通信システムにおける各セグメントに備えられるペイロード収集装置が、セグメント内で受信したパケットにおけるペイロード情報を復号し、復号されたペイロード情報を、当該パケットのヘッダ情報及びペイロード情報とともに格納するステップと、
パケット統合解析装置が、前記ヘッダ収集装置から受信した時系列のヘッダ情報及びペイロード情報と、前記ペイロード収集装置から受信したヘッダ情報、ペイロード情報、及び復号されたペイロード情報とを照合することにより、時系列に並べられたヘッダ情報、ペイロード情報、及び復号されたペイロード情報を取得し、格納するステップと
を備えるパケット収集方法。
(第6項)
コンピュータを、第4項に記載のパケット統合解析装置における各部として機能させるためのプログラム。
【0106】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0107】
5、6、15、25、30、35 SW
7 統合異常検知装置
14、24、34 専用機
10、17、27、31 送信装置
18、19、20、28、29、32、33 受信装置
11 Publisher
12 暗号化処理部
21 Subscriber
22、120 復号処理部
100 ペイロード収集装置
110 ペイロード収集部
111 通信キャプチャ部
112 ペイロード処理部
113 ペイロードデータ記録部
114 ペイロードデータ転送部
200 ヘッダ収集装置
210 トラヒックデータ収集部
220 ヘッダデータ抽出部
230 トラヒックデータ記録部
240 時系列データ転送部
300 パケット統合解析装置
310 データ受信部
320 ドメイン記号付与部
330 時系列照合部
340 データ記録部
350 グローバルトラヒックデータ記録部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.