未授权访问信息收集系统的制作方法

专利名称：未授权访问信息收集系统的制作方法
技术领域：
本发明涉及一种未授权访问信息收集系统，用于监测对由多个
诱捕系统(honey pots)(例如，用于诱骗病毒或黑客等的诱骗服务器或诱骗网络装置)构成的蜜网的未授权访问，以收集未授权访问信息。更具体地，本发明涉及一种未授权访问信息收集系统，其中能够以低成本收集宽地址空间上的未授权访问信息并能容易地执行操作分析。
背景技术：
作为相关技术的下列参考文献涉及一种传统的未授权访问信息收集系统，它们用于监测对由多个诱捕系统构成的蜜网的未授权访问，以收集未授权访问信息。
专利文献l: JP-A-2002-l 11727
专利文献2: JP-A-2004-234401
专利文献3: JP-A-2006-025354
专利文献4: JP-A-2006陽0995卯
专利文献5: JP-A-2006-243878
图17为表示传统未授权访问信息收集系统的方框图。在图17中，数字1为终端，例如用于获得未授权访问的计算机，且数字2是用于收集未授权访问信息的未授权访问信息收集装置，数字3、 4和5是诱捕系统，它们是用于诱骗病毒或黑客的诱骗服务器或诱骗网络装置，且数字100是互联网。
此外，数字2、 3、 4和5构成未授权访问信息收集系统，且数字3、 4和5构成蜜网。
终端1与互联网100互相连接，而且未授权访问信息收集装置2的一个通信单元(例如，网络接口)也与互联网100互相连接。此外，
5未授权访问信息收集装置2的另一通信单元与诱捕系统3、 4和5互相连接。
另外，图18为表示未授权访问信息收集装置2的一个具体示例的方框图。在图18中，数字6是用于通过互联网100进行通信的通信单元，数字7是用于控制整个未授权访问信息收集装置的运算控制单元(例如CPU，中央处理单元)，数字8是用于通过蜜网进行通信的通信单元，且数字9是存储单元，例如硬盘、ROM (只读存储器)或RAM (随机访问存储器)。而且，数字6、 7、 8和9构成未授权访问信息收集装置50。
通信单元6与互联网100 (未示出)互相连接，且其输入和输出与运算控制单元7互相连接。另一方面，通信单元8与蜜网(未示出)互相连接，且其输入和输出也与运算控制单元7互相连接。同样，存储单元9的输入和输出也与运算控制单元7互相连接。
现在将参照图19、图20、图21和图22说明图17中所示传统示例的动作。图19为解释在运算控制单元7进行入站通信(从互联网侧进行分组接收)吋的动作的流程图，图20为解释在入站通信时的动作的说明图，图21为解释在运算控制单元7进行出站通信(从蜜网侧进行分组接收)时的动作的流程图，且图22是解释在出站通信时的动作的说明图。
首先，分别为构成蜜网的每个诱捕系统3、 4和5分配全局IP(互联网协议)地址(此后简单称之为全局地址)。将MAC (媒体访问控制地址)地址和每个诱捕系统3、 4和5的全局地址登记成地址列表，并且将所述地址列表提前存储在未授权访问信息收集装置50的存储单元9中。
此外，将限制信息设置为通信控制列表，该限制信息关于例如在出站通信时IP (互联网协议)分组(此后简单的称之为分组)相对于目的全局地址向互联网侧的传送或分组的丢弃。将所述通信控制列表提前存储在未授权访问信息收集装置50的存储单元9中。
在入站通信(从互联网侧进行分组接收)时，在图19中的"S001"中，运算控制单元7判断是否通过通信单元6从互联网侧的终端1接收分组。如果判定从互联网侧的终端1接收分组，则在图19中的
"S002"中运算控制单元7检索在提前存储在存储单元9中的地址列表中是否记录有与目的全局地址相应的目的MAC地址。
在图19的"S003"中，当运算控制单元7判定所述MAC地址存在于所述地址列表中时，在图19的"S004"中运算控制单元7在存储单元9的日志文件中记录有关接收分组的信息，且在图19的"S005"中运算控制单元7通过通信单元8将接收的分组传送给与蜜网侧的MAC地址相应的诱捕系统。
例如，当如图20中"PC01"所示从位于互联网100—侧的终端1接收目的全局地址是"IP01"的分组时，未授权访问信息收集装置2检索地址列表。接着，当在未授权访问信息收集装置2中存在与目的全局地址"IP01"相应的MAC地址"MC01"时，未授权访问信息收集装置2以文本格式在日志文件中记录分组信息，同时将接收的分组传送给MAC地址是"MC01"的诱捕系统3。
另一方面，在图19的"S003"中判定地址列表中不存在MAC地址的情况下，换句话说，在将要传送到的诱捕系统的MAC地址不存在的情况下，在图19的"S006"中，运算控制单元7丢弃接收的分组。
例如，当如图20中"PC02"所示从位于互联网100侧的终端1接收目的全局地址是"IP05"的分组时，未授权访问信息收集装置2检索地址列表。接着，当不存在与目的全局地址"IP05"相应的MAC地址时，换句话说，当将要传送到的诱捕系统的MAC地址不存在时，未授权访问信息收集装置2丢弃接收的分组。
同样，在出站通信(从蜜网侧接收分组)时，在图21中的"S101"中，运算控制单元7判断是否通过通信单元8从位于蜜网侧的某个诱捕系统接收分组。接着，在判定从位于蜜网侧的某个诱捕系统接收到分组的情况下，在图21中的"S102"中，运算控制单元7在通信控制列表中检索是否登记有关于目的专用地址的限制信息。
在图21中的"S103"中，当运算控制单元7判定在通信控制列表中不存在有关目的专用地址的限制信息时，在图21中的"S104"中运算控制单元7在存储单元9的日志文件中记录有关接收的分组的
信息，同时在图21中的"S105"中，运算控制单元7通过通信单元6将接收的分组传送给与位于互联网侧的目的全局地址相应的终端。
例如，当如图22中"PC11"所示接收蜜网侧的诱捕系统3的专用地址是"IP11"的分组时，未授权访问信息收集装置2检索通信控制列表。接着当不存在与目的专用地址"IP21"相应的限制信息时，未授权访问信息收集装置2以文本格式在日志文件中记录有关分组的信息，同时将所接收的分组传送给目的全局地址是"IPU"的终端。
另一方面，当在图21中的"S103"中判定在通信控制列表中存在限制信息的情况下，换句话说，在限制目的专用地址的发送的情况下，在图21中的"S106"中，运算控制单元7丢弃接收的分组。
例如，当如图22中"PC12"所示接收蜜网侧的诱捕系统5的专用地址是"IP12"的分组时，未授权访问信息收集装置2检索通信控制列表。接着当不存在与目的专用地址"IP12"相应的限制信息时，换句话说，当限制从目的专用地址发送时，未授权访问信息收集装置2就丢弃接收的分组。
通过这种操作，将通过未授权访问信息收集装置50的分组信息记录在存储单元9的日志文件中，以使通过分析日志文件就能掌握黑客或病毒对蜜网的未授权访问。
另外，因为未授权访问信息收集装置50基于预置通信控制列表对从蜜网侧到互联网侧的分组执行通信控制，所以能够防止受到未授权访问的诱捕系统被用作攻击其它网络的阶梯。
结果，因为在互联网和蜜网之间提供未授权访问信息装置，记录通过未授权访问信息收集装置的分组信息，并基于设置的通信控制列表实现从蜜网侧到互联网侧的通信控制，所以能够收集未授权访问信息，并且还能够防止受到未授权访问的诱捕系统被用作攻击其它网络的阶梯。

发明内容
本发明要解决的问题然而，在图17所示的传统示例中，将全局地址逐个分配给构成蜜网的每个诱捕系统，使得在收集宽地址空间上的未授权访问信息的情况下，有必要准备大量的诱捕系统(网络装置、服务器等)，并且还存在操作成本增加的问题。
另外，图23为表示在日志文件中记录的分组信息示例的说明图，并且在图23所示的分组信息中，有必要逐行读取日志并分析动作。因此，存在难于实时掌握未授权访问(操作分析)情况的问题。
因此，本发明将要解决的问题是实现一种未授权访问信息收集系统，其中能够以低成本在宽地址空间中收集未授权访问信息，并能容易地实现操作分析。
解决所述问题的方式为了解决上述问题，根据权利要求l中所述的本发明，在一种用于监测对蜜网的未授权访问以便收集未授权访问信息的未授权访
问信息收集系统中，所述系统包括多个诱捕系统，其中分别设置专有地址或全局地址，并且多个诱捕系统构成蜜网；和未授权访问信息收集装置，将其布置在互联网和蜜网之间，并且未授权访问信息收集装置通过设置路由表来对所述专有地址或全局地址分配多个全局地址以传输接收的分组，并且未授权访问信息收集装置根据通信控制列表实现从蜜网侧至互联网侧的通信控制并记录通过的分组。因此，能够以低成本在宽地址空间中收集未授权访问信息，并且例如能够防止受到未授权访问的诱捕系统被用作攻击其它网络的阶梯。
根据权利要求2中所述的本发明，在如权利要求1所述的未授权访问信息收集系统中，所述未授权访问信息收集装置包括第一通信单元，用于通过互联网进行通信；第二通信单元，用于通过蜜网进行通信；存储所述路由表的存储单元；和运算控制单元，控制整个装置并在存储单元中记录通过第一通信单元接收的分组，且所述运算控制单元将第一检测点标识、目的全局地址和目的端口号写入记录的分组中，并且如果在路由表中存在所述目的全局地址，则运算控制单元将所接收的分组的目的地址重写到专有地址或全局地址中，且运算控制单元将先前记录的分组的目的地址重写到专有地址或全局地址中，并写入第二检测点标识并在存储单元中存储第二检测点标识，并且所
述运算控制单元通过第二通信单元传送重写到专有地址或全局地址中的接收分组，且当路由表中不存在所述目的全局地址时丢弃所接收的分组。因此，能够以低成本在宽地址空间中收集未授权访问信息，并且例如能够防止受到未授权访问的诱捕系统被用作攻击其它网络的阶梯。
根据权利要求3中所述的本发明，在如权利要求1所述的未授权访问信息收集系统中，未授权访问信息收集装置包括第一通信单元，用于通过互联网进行通信；第二通信单元，用于通过蜜网进行通信；存储通信控制列表的存储单元；和运算控制单元，控制整个装置，
并且如果在所述通信控制列表中未登记关于通过第二通信单元接收的分组的源全局地址或源专有地址的限制信息，则所述运算控制单元将所接收的分组记录在存储单元中并将第三检测点识标识写入记录的分组中，并且所述运算控制单元将所接收的分组的源地址重写到全局地址中并通过第一通信单元传送该全局地址，并且如果在通信控制列表中存在所述限制信息，则运算控制单元将接收的分组记录到存储单元中，将第四检测点标识写入记录的分组中并丢弃所接收的分组。因此，能够以低成本在宽地址空间中收集未授权访问信息，并且例如能够防止受到未授权访问的诱捕系统被用作攻击其它网络的阶梯。
根据权利要求4所述的本发明，在如权利要求2或3所述的未授权访问信息收集系统中，运算控制单元在显示单元上显示使用IP地址和端口号作为每个坐标轴的互联网平面、装置平面和蜜网平面，并从存储单元中读取所记录的分组；在写入第一检测点标识时，在所述互联网平面和装置平面之间作图；在写入第二检测点标识时，在所述装置平面和蜜网平面之间作图；在写入第三检测点标识时，在所述蜜网平面和互联网平面之间作图；并在写入第四检测点标识时，在所述蜜网平面和装置平面之间作图。因此，能够以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作分析。
根据权利要求5所述的本发明，在如权利要求4所述的未授权访问信息收集系统中，当写入第一检测点标识时，运算控制单元在互联网平面的坐标中显示源地址，并在装置平面的坐标中显示目的地址，并作图使得两个点通过线段彼此连接。因此，能够以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作分析。
根据权利要求6所述的本发明，在如权利要求4所述的未授权访问信息收集系统中，当写入第二检测点标识时，运算控制单元在装置平面的坐标中显示重写之前的目的全局地址，并在蜜网平面的坐标中显示重写的专有地址或重写的全局地址，并作图使得两个点通过线段彼此连接。因此，能够以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作分析。
根据权利要求7所述的本发明，在如权利要求4所述的未授权访问信息收集系统中，当写入第三检测点标识时，运算控制单元在蜜网平面的坐标中显示源地址，并在互联网平面的坐标中显示目的地址，并作图使得两个点通过线段彼此连接。因此，能够以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作分析。
根据权利要求8所述的本发明，在如权利要求4所述的未授权
访问信息收集系统中，当写入第四检测点标识时，运算控制单元在蜜网平面的坐标中显示源地址，并在装置平面的坐标中显示目的地址，并作图使得两个点通过线段彼此连接。因此，能够以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作分析。
根据权利要求9所述的本发明，在如权利要求5到8中的任何一个所述的未授权访问信息收集系统中，运算控制单元在线段上执行色彩编码显示。因此，能够用颜色直观地区分和观察通过各个装置的分组的协议类型，从而能够更容易地实现操作分析。
根据权利要求10所述的本发明，在如权利要求5到8中的任何一个所述的未授权访问信息收集系统中，运算控制单元向分组传播方向移动标记使所述标记跟踪线段。因此，能够直观地掌握分组传播方向。
根据权利要求11所述的本发明，在如权利要求5到8中的任何一个所述的未授权访问信息收集系统中，运算控制单元以任何形状来
11显示标记。因此，能够直观地掌握分组传播方向。
根据权利要求12所述的本发明，在如权利要求5到8中的任何 一个所述的未授权访问信息收集系统中，运算控制单元设置标记的亮 度使得标记的亮度不同于周围亮度。因此，能够直观地掌握分组传播 方向。
本发明的优点 本发明存在下述优点。
根据权利要求1至3所述的本发明，在互联网和蜜网之间布置
未授权访问信息收集装置，并且为构成蜜网的每个诱捕系统分配专有 地址，且通过设置路由表向专有地址分配多个全局地址，并传送接收 的分组且记录其中写有检测点标识的分组，并根据设置的通信控制列 表实现从蜜网侧至互联网侧的通信控制。因此，能够以低成本在宽地 址空间中收集未授权访问信息，并且例如能够防止受到未授权访问的 诱捕系统被用作攻击其它网络的阶梯。
另外，根据权利要求4至8所述的本发明，根据记录的添加有 检测点标识的分组，运算控制单元用线段在互联网平面和装置平面之 间作图，用线段在装置平面和蜜网平面之间作图或用线段在互联网平 面和蜜网平面之间作图。因此，能够以三维形式显示各个装置之间的 通信情况，从而能够容易地实现操作分析。
另外，根据权利要求9所述的本发明，运算控制单元对线段执 行色彩编码显示。因此，能够用颜色直观地区分和观察通过各个装置 的分组的协议类型，从而能够更容易地实现操作分析。
同时，根据权利要求10到12所述的本发明，运算控制单元向 分组传播方向移动一个标记使所述标记跟踪线段。因此，标记向分组 传播方向移动使所述标记跟踪线段，从而能够直观地掌握分组传播方 向。


图1为表示根据本发明的未授权访问信息收集系统的一个实施例的方框图。
图2为表示未授权访问信息收集装置的具体示例的方框图。 图3为说明全局地址分配的说明图。
图4为说明在入站通信时运算控制单元进行的动作的流程图。 图5为说明在进行入站通信时的动作的说明图。
图6为说明记录的分组的构成的说明图。
图7为说明记录分组的一个示例的说明图。
图8为说明记录分组的一个示例的说明图。
图9为说明在出站通信时运算控制单元的动作的流程图。
图10为说明在出站通信时的动作的说明图。
图IIA和图11B为说明记录分组的一个示例的说明图。
图12A和图12B为说明记录分组的一个示例的说明图。
图13为说明显示屏幕结构的说明图。
图14为说明在显示未授权访问信息时运算控制单元的动作的流程图。
图15A至图15C为表示未授权访问信息的显示示例的说明图。 图16A至图16C为表示未授权访问信息的显示示例的说明图。 图17为表示传统未授权访问信息收集系统的一个示例的方框图。
图18为表示未授权访问信息收集装置的具体示例的方框图。 图19为说明在进行入站通信时运算控制单元的动作的流程图。 图20为说明在入站通信时的动作的说明图。 图21为说明在进行出站通信时运算控制单元的动作的流程图。 图2 2为说明在出站通信时的动作的说明图。 图23为表示关于在日志文件中记录的分组的信息的一个示例的 说明图。
参考数字和符号的说明
1终端
2， 10， 50， 51未授权访问信息收集装置
133， 4， 5， 11， 12， 13诱捕系统
6， 8， 15， 17通信单元
7， 16运算控制单元
9， 18存储单元
14管理终端
19显示单元
100互联网
具体实施例方式
现在将参照附图详细描述本发明。图1为表示根据本发明的未 授权访问信息收集系统的一个实施例的方框图。
在图1中，与图16中相同的数字被指定为数字1和100，数字 IO是用于收集未授权访问信息的未授权访问信息收集装置，数字11、 12和13是诱捕系统，它们是用于诱骗病毒或黑客的诱骗服务器或诱 骗网络装置，并且数字14是用于通过互联网管理未授权访问信息收 集装置的管理终端。
同样，数字10、 11、 12和13构成未授权访问信息收集系统， 数字11、 12和13构成蜜网。
终端1与互联网IOO相互连接，而且未授权访问信息收集装置 10的一个通信单元(例如，网络接口)也与互联网IOO相互连接。 另外，未授权访问信息收集装置IO的另一个通信单元与诱捕系统11、 12和13相互连接。另外，管理终端14与互联网IOO相互连接。
另外，图2为表示未授权访问信息收集装置10的具体示例的方 框图。在图2中，数字15是用于通过互联网IOO进行通信的通信单 元，数字16是用于控制整个未授权访问信息收集装置的运算控制单 元(例如CPU)，数字17是用于通过蜜网进行通信的通信单元，数 字18是存储单元(例如硬盘、ROM或RAM)，且数字19是显示单 元(例如CRT (阴极射线管)或LCD (液晶显示器))。此外，数 字15、 16、 17、 18和19构成未授权访问信息收集装置51。
通信单元15与互联网100 (未示出)相互连接，而且其输入和输出与运算控制单元16相互连接。另一方面，通信单元17与蜜网(未 示出)相互连接，而且其输入和输出与运算控制单元16相互连接。
此外，存储单元18的输入和输出与运算控制单元16相互连接，并且 运算控制单元16的显示输出与显示单元19连接。
现在将参照图3、图4、图5、图6、图7、图8、图9、图10、 图11和图12描述图1所示实施例的动作。
图3为说明全局地址分配的说明图，图4为说明在进行入站通 信(从互联网侧进行分组接收)时运算控制单元16的动作的流程图， 图5为说明在进行入站通信时的动作的说明图，图6为说明记录的分 组的构成的说明图，图7、图8、图IIA、图IIB、图12A和图12B 为说明记录分组的一个示例的说明图，图9为说明在进行出站通信 (从蜜网侧进行分组接收)时运算控制单元16的动作的流程图，且 图10为说明在出站通信时的动作的说明图。
首先，分别对构成蜜网的每个诱捕系统11、 12和13分配专有 IP (互联网协议)地址(此后简单称之为专有地址)，且将每个诱捕 系统11、12和13的专有地址与分配给所述专有地址的全局地址之间 的关系登记在路由表中。将所述路由表提前存储在未授权访问信息收 集装置51的存储单元18中。
图3示出这种路由表的 一 个示例，例如将全局地址 "210.220.230.240 ，，禾口 " 210.220.230.243 ，，力、酉己纟合专有i也址 "192.168.0.1"。
另夕卜，例如，将全局地址"210.220.230.241" 、 "210.220.230.242" 和"210.220.230.244"分配给专有地址"192.168.0.2"。
另外，将限制信息设置在通信控制列表中，限制信息例如关于 在出站通信时分组相对于目的全局地址向互联网侧的传送或分组的 丢弃。将所述通信控制列表提前存储在未授权访问信息收集装置51 的存储单元18中。
在入站通信(从互联网侧进行分组接收)时，在图4中的"S201" 中，运算控制单元16判断是否通过通信单元15从互联网侧的终端1 接收分组。例如，假设将通过图5中的"PC21"所示且其目的全局地址是
"210.220.230.240"的分组从全局地址是"210.220.230.230"的终端
1发送给未授权访问信息收集装置11。另外，在此时，诱捕系统14 的专有地址将是"192.168.0.1"。
在图4中的"S201"中判定通过通信单元15从互联网侧的终端 1接收分组的情况下，在图4中的"S202"中运算控制单元16将接 收的分组记录在存储单元18中，并且还将目的端口号、目的全局地 址和检测点标识写到所记录的分组的有效载荷中。
例如，在存储单元中记录的分组中，将源地址和目的地址存储 在由图6中"HD31"所示头部的由图6中"SA31"和"DA31"所 示的部分中，将检测点标识写到由图6中"PL31"所示有效载荷部 分的由图6中"ID31"所示的部分中，并将目的全局地址和目的端 口号(在分组的有效载荷部分中所述的)写在由图6中"BN31"所 示的部分中。
即，将图7A中所示的信息写入到目的全局地址是 "210.220.230.240"且是从全局地址为"210.220.230.230"的终端1
接收的分组中。在图4中的步骤"S202"中，运算控制单元16将图 7B所示的信息写在有效载荷部分中，并将所述信息记录在存储单元 18中。
例如，将"1"作为检测点标识写在由图7B中"ID41"所示的 部分中，并将存储在由图7A中"DA31"所示部分中的全局地址写 入由图7B中的"BN41"所示的部分中。
顺便提及，检测点标识"1"指示当从互联网侧接收分组时的点。
接着，在图4的"S203"中，运算控制单元16在提前存储在存 储单元9中的路由表中检索是否登记有目的全局地址。
在图4中的"S204"中，当运算控制单元16判定在路由列表中 存在该全局地址时，在图4中的"S205"中，运算控制单元16根据 图3中所示的路由表将接收分组的目的地址重新写到专有地址中。
同时，运算控制单元16根据图3中所示的路由表将在图4的步 骤"S202"中记录的分组的目的地址重写到专有地址中。接着，在图4的"S206"中，运算控制单元16将所述分组记录在存储单元18 中，并且还将检测点标识写入所述记录分组的有效载荷中。
艮口，将如图8A中所示的信息写入到在图4的步骤"S202"中所 记录的分组中。通过图4中的步骤"S206"，运算控制单元16将如 图8B中所示的信息写入到头部和有效载荷部分中，并将所述信息记 录在存储单元18中。
例如，根据路由表将通过图8B中的"DA51"所示的部分重写 到专有地址"192.168.0.1"中，并将"2"作为检测点标识写入到由 图8B中的"ID51"所示的部分中。
顺便提及，检测点标识"2"指示当将由"DA51"所示的部分 重写入专有地址中时的点。
在图4的"S207"中，运算控制单元16通过通信单元15将根 据路由表重写到专有地址中的接收分组传送给具有蜜网侧的专有地 址的诱捕系统。
例如，如图5中的"CA21"所示将所接收的分组重写到专有地 址，并且如图5中的"PC22"所示将其传送给诱捕系统14。
另一方面，在图4中的"S204"中判定在路由列表中不存在目 的全局地址的情况下，换句话说，在不存在将要传送到的具有全局地 址(实际上为专用地址)的诱捕系统的情况下，在图4中的"S208" 中运算控制单元16丢弃所接收的分组。
另外，在出站通信(从蜜网侧进行分组接收)时，在图9中的 "S301"中运算控制单元16判断是否通过通信单元17从位于蜜网 侧的某 一 个诱捕系统接收分组。
例如，假设将如图10中的"PC61"所示的并且其目的全局地址 是"210.220.230.230"的分组从专有地址是"192.168.0.1"的诱捕系 统14发送给未授权访问信息收集装置11。
另外，在此时，未授权访问信息收集装置11在分配给诱捕系统 14的专有地址的全局地址中使用"210.220.230.240"作为发送地址 向互联网发送分组。
在图9的"S301"中，如果判定通过通信单元17从位于蜜网侧的某一诱捕系统接收分组，则在图9的"S302"中，运算控制单元 16检索在通信控制列表中是否登记有关于源专有地址的限制信息。
在图9的"S303"中，当运算控制单元16判定在通信控制列表 中不存在有关源专有地址的限制信息，则在图9的"S304"中，运 算控制单元16将接收的分组记录在存储单元18中，并且还将检测点 标识写到所记录分组的有效载荷中。
即，将如图11A所示的信息写入到目的全局地址是 "210.220.230.230"并且是从专有地址为"192.168.0.1"的诱捕系统 14接收的分组中。接着，通过图9中的步骤"S304"，运算控制单 元16将如图IIB所示的信息写入到有效载荷中，并将所述信息记录 到存储单元18中。
例如，将"3"作为检测点标识写入图11B中的"ID71"所示的
部分中。
顺便提及，检测点标识"3 "指示将分组传送给互联网侧时的点。
在图9中的"S305"中，运算控制单元16将接收分组的源地址 重写到全局地址"210.220.230.240"中。另夕卜，在图9中的"S306" 中，运算控制单元16通过通信单元15将重写的接收分组传送给位于 互联网侧的具有目的全局地址的终端。
例如，如图10中的"CA61"所示将接收的分组从源地址重写 到全局地址，并如图10中的"PC62"所示将其传送给终端1。
另一方面，在图9中的"S303"中判定在通信控制列表中存在 限制信息的情况下，换句话说，在限制从源专有地址发送的情况下， 在图9中的"S307"中，运算控制单元16将接收的分组记录在存储 单元18中，并且还将检测点标识写到记录分组的有效载荷中。同时 在图9中的"S308"中，运算控制单元16将所接收的分组丢弃。
即，将如图12A中所示的信息写入到目的全局地址是 "210.220.230.230"且是从专有地址是"192.168.0.1"的诱捕系统14 接收的分组中。接着，通过图9中的步骤"S307"，运算控制单元 16将如图12B所示的信息写入到有效载荷部分并将所述信息记录到 存储单元18中。例如，将"4"作为检测点标识写入到如图12中的"ID81"所
示的部分中。
顺便提及，检测点标识"4"指示在没有向互联网侧传输分组的 情况下丢弃分组时的点。
通过这种操作，就能够收集未授权访问信息，因为添加有检测 点标识的分组是存储于存储单元18中的。
另外，将专有地址分配给构成蜜网的每个诱捕系统，并且通过 设置路由表来为专有地址分配多个全局地址。由此，当收集关于宽地 址空间的未授权访问信息时，就没有必要准备大量的诱捕系统(网络 装置、服务器等)，并且能够以低成本收集关于宽地址空间的未授权 访问信息。
另外，未授权访问信息收集装置51根据预置的通信控制列表对 从蜜网侧到互联网侧的分组实现通信控制。因此，例如，能够防止受 到未授权访问的诱捕系统被用作攻击其他网络的阶梯。
结果，将未授权访问信息收集装置布置在互联网和蜜网之间， 并且还为构成蜜网的每个诱捕系统分配专有地址并通过设置路山表 为专有地址分配多个全局地址。接着，传输接收的分组并记录其中写 有检测点标识的分组，并根据设置的通信控制列表实现从蜜网侦'j至IJ互 联网侧的通信控制。因此，能够以低成本收集关于宽地址空间的未授 权访问信息，并且例如能够防止受到未授权访问的诱捕系统被用作攻 击其它网络的阶梯。
因此这里将进一步参照图13、图14、图15和图16说明记录的 未授权访问信息的显示方法。
图13为说明显示屏幕结构的说明图，且图14为说明在显示未 授权访问信息时运算控制单元16的动作的流程图。图15A至图16C 为表示未授权访问信息的显示示例的说明图。
为了以三维形式可视地展示位于互联网侧的终端和未授权访问 信息收集装置之间的通信情况、未授权访问信息收集装置和位于蜜网 侧的诱捕系统之间的通信情况以及位于互联网侧的终端和位于蜜网 侧的诱捕系统之间的通信情况，运算控制单元16控制显示单元19
19并设置如图13所示结构的显示坐标。
在图13所示的显示坐标中，由图13中的"ID91"所示的平面 (此后称作互联网平面)是一个坐标平面，其中纵坐标以IP地址设 置，横坐标以端口号设置，由图13中的"NI91"、 "NH91"和"HP91" 所示的平面(此后分别称为互联网侧装置平面、蜜网侧装置平面和蜜 网平面)是类似的坐标平面，其中纵轴是以IP地址设置的，且横轴 是以端口号设置的。
另外，各个纵坐标轴的IP地址范围在由图13中的"IN91"所 示的互联网平面中是"0.0.0.0"至"255.255.255.255"，将全局地址 (在路由表中记录的全局地址)的"最小IP地址"至"最大IP地址" 在由图13中的"NI91"和"NH91"所示的互联网侧装置平面和蜜网 侧装置平面中分配给未授权访问信息收集装置10。
类似地，所述IP地址范围在由图13中的"HP91"所示的蜜网 平面中是分配给每个诱捕系统的专有地址(在路由表中记录的专有地 址)的"最小IP地址"至"最大IP地址"。
另---方面，各个横轴的端口号范围在山图13中的"IN91"、 "NI91" 、 "NH91"禾B "HP91"所示的互联网平面、互联网侧装贾 平面、蜜网侧装置平面和蜜网平面中分别是"0"到"65535"。
即，运算控制单元16在由图13中的"IN91"所示的互联网平 面和由图13中的"NI91"所示的互联网侧装置平面之间以三维的形 式可视地展示互联网侧的终端与未授权访问信息收集装置之间的通 信情况，并且通过下列动作在由图13中的"NH91"所示的蜜网侧装 置平面与由图13中的"HP91"所示的蜜网平面之间以三维形式可视 地展示未授权访问信息收集装置和蜜网侧的诱捕系统之间的通信情 况。
另外，将互联网侧的终端和蜜网侧的诱捕系统之间的通信情况 在由图13中的"IN91"所示的互联网平面和由图13中的"HP91" 所示的蜜网平面之间以三维形式可视地展示。
然而，在下列动作说明中，为了清楚起见将适当省略关于作为 横轴的端口号的说明。在图14的"S401"中，运算控制单元16从存储单元18中读取 在早先入站通信或出站通信时记录的分组，并且在图14的"S402" 中，运算控制单元16从读出的分组提取检测点标识。
例如，将检测点识别符写入在存储单元18中存储的分组的由图 6中的"ID31"所示的部分中，以便从读出的分组的由图6中的"ID31"
所示的部分中提取检测点标识。
在图14中的"S403"中，运算控制单元16判断提取的检测点 标识是否为"1"，换句话说，判断是否为从互联网侧接收分组时的 点。如果检测点标识是"1"，则在图14中的"S404"中运算控制 单元16在互联网平面和互联网侧装置平面之间画线。
如果检测点标识是"1"，则将所读出的分组构造为如图7B中 所示，使得运算控制单元16在互联网平面的坐标中显示由图7B中 的"SA41"所示的源地址，并在互联网侧装置平面的坐标中显示由 图7B中的"DA41"所示的目的地址，并且还划线以便用线段连接 两个点。
具体地，当从互联网侧访问IP地址"210.220.230.240"的端口 号"80"时，如图15A所示，进行划线以使互联网平面与互联网侧 装置平面通过如由图15A中的"LN101"所示的线段连接起来。
在图14中的"S403"中判定所提取得检测点标识是"1"的情 况下，即在不是从互联网侧接收分组吋的点的情况下，在图14中的 "S405"中运算控制单元16判断所提取的检测点标识是否为"2"， 即是否为将其重写到专有地址中时的点。如果检测点标识是"2"， 则在图14中的"S406"中运算控制单元16在蜜网侧装置平面和蜜 网平面之间划线。
如果检测点标识是"2"，则将读出的分组构造为如如图8B所 示。因此，运算控制单元16在蜜网侧装置平面的坐标中显示由图8B 中的"BN51"所示的在重写之前的目的全局地址，并在蜜网平面的 坐标中显示由图8B中的"DA51"所示的重写专有地址，还划线使 得两个点用线段彼此连接。
具体地，当将IP地址(全局地址)"210.220.230.240"分配给专有地址"192.168.0.1"时，如图15B所示，作图使得蜜网侧装置平 面与蜜网平面用如由图15B中的"LN102"所示的线段连接起来。顺 便提及，此时，互联网侧装置平面和蜜网侧装置平面具有相同的坐标 位置，并且互联网侧装置平面、蜜网侧装置平面和蜜网平面具有相同 的端口号"80"。
当在图14中的"S405"中判定检测点标识是"2"的情况下， 即当不是将其重写到专有地址中时的点的情况下，在图14中的 "S407"中运算控制单元16判断所提取的检测点标识是否为"3"， 即是否为将分组传送给互联网侧时的点。如果检测点标识是"3"， 则在图14中的"S408"运算控制单元16在蜜网平面和互联网平面 之间划线。
当检测点标识是"3"时，将所读出的分组构造为如图11B中所 示。因此，运算控制单元16在蜜网平面的坐标中显示由图11B中的 "SA71"所示的源地址，并在互联网平面的坐标中显示由图11B中 的"DA71"所示的目的地址，还进行划线使得两个点用线段彼此连 接起来。
具体地，当从蜜网侧访问与IP地址(全局地址) "210.220.230.240"相应的端口号"35000"吋，如图15C所示，划 线以使蜜网平面与互联网平面用如由图15C中的"LN103"所示的线 段连接起来。
当在图14中的"S407"中判定所提取的检测点标识是"3"的 情况下，即在不是向互联网侧传送分组时的点的情况下，在图14中 的"S409"中，运算控制单元16判断所提取的检测点标识是否为"4"， 即是否为在没有向互联网侧传送分组的情况下丢弃分组时的点。如果 检测点标识是"4"，则在图14中的"S410"中，运算控制单元16 在蜜网平面和蜜网侧装置平面之间划线。
如果检测点标识是"4"，则将所读出的分组构造为如图12B中 所示。因此，运算控制单元16在蜜网平面的坐标中显示由图12B中 的"SA81"所示的源地址，并在蜜网侧装置平面的坐标中显示由图 12B中的"DA81"所示的目的地址，并且还划线使得两个点通过线段彼此连接。
具体地，当专有地址"192.168.0.2"访问全局地址(端口号是 "6667")时，未授权访问信息收集装置丢弃分组，其中感染了具有
专有地址"192.168.0.2 "的蠕虫的诱捕系统设置专有地址 "192.168.0.2"中的限制信息。因此，如图16A所示，划线以使蜜网
平面与蜜网侧装置平面用如由图16A中的"LN111"所示的线段连接起来。
最后，在图14中的"S409"中判定所提取的检测点标识是"4" 的情况下，即在不是在没有向互联网侧传输分组的情况下丢弃分组时 的点的情况下，所述步骤返回到图14中的步骤"S401"。
顺便提及，图16B示出只允许从专有地址"192.168.0.2"向全 局地址(端口号是"6667")访问一次的情形，其中感染了具有专有 地址"192.168.0.2 "的蠕虫(bot)的诱捕系统设置专有地址 "192.168.0.2"的限制信息。图16C示出全局地址(其端口号为 "6667")和此后在其中设置限制信息的专有地址"192.168.0.2"之 间的通信情况。
结果，根据对其添加有检测点标识的记录分组，运算控制单元 在互联网平面和互联网侧装置平面之间划线，在蜜网侧装置平面和蜜 网平面之间划线或者在互联网平面和蜜网平面之间划线。因此，能够 以三维形式显示各个装置之间的通信情况，从而能够容易地实现操作 分析。
另外，在图1所示实施例的描述中，未授权访问信息收集装置 10根据记录的分组以三维形式显示各个装置之间的通信情况，但与 互联网100连接的管理终端14可从未授权访问信息收集装置IO获取 记录的分组，并在管理终端14的显示单元上以三维形式显示各个装 置之间的通信情况。
在这种情况下，由于作图处理是通过管理终端14实现的，所以 能够降低未授权访问信息收集装置10作图处理的负担。
另外，在图1所示实施例的描述中，将多个全局地址分别分配 给路由表中的多个专有地址，但可以将多个全局地址分配给专有地
23址，并且还可以将所述全局地址随意分配给所述专有地址。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，将未授权访问信息收集装置的显示平面分割成两个平面，即互联网侧装置平面和蜜网侧装置平面，但如上所述互联网侧装置平面和蜜网侧装置平面具有相同的坐标位置，从而能够通过一个装置平面来显示所述显示平面。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，连接各个平面的线段可通过TCP (传输控制协议)标志来分类，例如可用色彩编码来显示分组协议类型。
在这种情况下，可通过色彩直观地区分和观察通过各个装置的分组的协议类型，从而能够更容易地实现操作分析。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，划线以使各个平面简单通过线段来连接，但可将标记朝向分组传播方向移动以便跟踪所述线段。
顺便提及，作为标记，可使用所有形状，只要它是任何形状，例如任何图示或比所述线段宽且短的线段。另外，通过使标记的亮度高于周围亮度(具体地，将标记的亮度设置成不同于周围亮度)能够改进可视性。
在这种情况下，因为标记朝向分组传播方向移动以便跟踪线段，所以能够直观地掌握分组传播方向。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，将类似互联网平面的坐标平面的纵坐标轴设置成IP地址，并且将显示坐标中的横坐标轴设置为端口号，但当然也可以采用相反的情况。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，在划线段等标记之后， 一定时间后可以擦除所划线段。
在这种情况下，能够直观地掌握不断改变的分组的行为。
另外，在图3的描述中，通过使用路由表将专有地址分配给各个诱捕系统，但当然可以给每个诱捕系统分配全局地址。
另外，通过与互联网连接的管理终端可动态地改变未授权访问信息收集装置的路由表。另外，可以通过与互联网连接的管理终端动态地改变未授权访问信息收集装置的通信限制列表。
另外，作为存储在路由表中的信息，可将包括端口号或通信协议的IP以及IP地址分配给各个诱捕系统。
另外，在图1所示实施例的描述中，将全局地址分配给未授权访问信息收集装置，但当然也可以分配专有地址。
另外，在说明图l所示实施例的情况下，在通信(从蜜网侧接收分组)时，通信控制取决于在通信控制列表中是否记录有关于源专有地址的限制信息，但可以根据源端口号和源专有地址来实现通信控制。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，可通过对数轴来显示分配了端
口号的轴。在这种情况下，很容易识别对公知端口号(0至1023)的访问。
另外，在图1所示实施例的描述中，尤其是，在以三维形式显示各个装置之间的通信情形的情况下，可按照目的IP地址的字节顺序进行字节存储次序转换。
例如，当目的IP地址是"210.220.230.240"时，将所述目的IP地址变换成"240.230.220.210，，。
在这种情况下，当诱捕系统连续扫描IP地址时，在没有相互重叠的情况下单独显示线段，由此可视性能够得以改进。
本发明基于2007年1月12日提交的日本专利申请第2007-004038号，其内容以参考形式并入本文。
权利要求
1.一种未授权访问信息收集系统，用于监测对蜜网的未授权访问以便收集未授权访问信息，所述系统包括构成所述蜜网的多个诱捕系统，其中分别设置专有地址或全局地址；和未授权访问信息收集装置，布置在互联网和蜜网之间，并且通过设置路由表对所述专有地址或全局地址分配多个全局地址以传输接收分组，并且根据通信控制列表实现从蜜网侧至互联网侧的通信控制并记录通过的分组。
2. 如权利要求1所述的未授权访问信息收集系统，其中未授权 访问信息收集装置包括第一通信单元，用于通过互联网进行通信； 第二通信单元，用于通过蜜网进行通信； 存储路由表的存储单元；和运算控制单元，控制整个装置并在存储单元中记录通过第一通 信单元接收的分组，并且将第一检测点标识、目的全局地址和目的端 口号写入记录的分组中，并且如果路由表中存在所述目的全局地址， 则运算控制单元将所接收的分组的目的地址重写到专有地址或全局 地址中，并且将先前记录的分组的目的地址重写到专有地址或全局地 址中，并写入第二检领U点标识并在存储单元中存储第二检测点标识， 并且运算控制单元通过第二通信单元传送重写到专有地址或全局地 址中的所接收的分组，并且当在路由表中不存在所述目的全局地址时 丢弃所接收的分组。
3. 如权利要求1所述的未授权访问信息收集系统，其中未授权 访问信息收集装置包括第一通信单元，用于通过互联网进行通信； 第二通信单元，用于通过蜜网进行通信；存储通信控制列表的存储单元；和运算控制单元，控制整个装置，并且如果在所述通信控制列表 中未登记关于通过第二通信单元接收的分组的源全局地址或源专有 地址的限制信息，则将所接收的分组记录在存储单元中并将第三检测 点标识写入记录的分组中，并且将所接收的分组的源地址重写到全局 地址中并通过第一通信单元传送所述全局地址，并且如果通信控制列 表中存在所述限制信息，则运算控制单元将所接收的分组记录到存储 单元中，将第四检测点标识写入到所记录的分组中并丢弃所接收的分 组。
4. 如权利要求2或3所述的未授权访问信息收集系统，其中运 算控制单元在显示单元上显示使用IP地址和端口号作为每个坐标轴的互联 网平面、装置平面和蜜网平面，并从存储单元中读取所记录的分组； 在写入第一检测点标识时，在互联网平面和装置平面之间作图；在写入第二检测点标识时，在装置平面和蜜网平面之间作图； 在写入第三检测点标识时，在蜜网平面和互联网平面之间作图；以及在写入第四检测点标识时，在蜜网平面和装置平面之间作图。
5. 如权利要求4所述的未授权访问信息收集系统，其中 当写入第一检测点标识时，运算控制单元在互联网平面的坐标中显示源地址，并在装置平面的坐标中显示目的地址，并作图以使两 个点通过线段相互连接。
6. 如权利要求4所述的未授权访问信息收集系统，其中 当写入第二检测点标识时，运算控制单元在装置平面的坐标中显示重写之前的目的全局地址，并在蜜网平面的坐标中显示重写的专 有地址或重写的全局地址，并作图以使两个点通过线段相互连接。
7. 如权利要求4所述的未授权访问信息收集系统，其中 当写入第三检测点标识时，运算控制单元在蜜网平面的坐标中显示源地址，并在互联网平面的坐标中显示目的地址，并作图以使两 个点通过线段相互连接。
8. 如权利要求4所述的未授权访问信息收集系统，其中 当写入第四检测点标识时，运算控制单元在蜜网平面的坐标中显示源地址，并在装置平面的坐标中显示目的地址，并作图以使两个 点通过线段相互连接。
9. 如权利要求5到8中的任何一个所述的未授权访问信息收集 系统，其中运算控制单元在所述线段上执行色彩编码显示。
10. 如权利要求5到8中的任何一个所述的未授权访问信息收集 系统，其中运算控制单元将标记朝向分组传播方向移动使得标记跟踪 所述线段。
11. 如权利要求5到8中的任何 一 个所述的未授权访问信息收集 系统，其中运算控制单元以任何形状来显示所述标记。
12. 如权利要求5到8中的任何一个所述的未授权访问信息收集 系统，其中运算控制单元设置标记的亮度使得标记的亮度不同于周围 亮度。
全文摘要
实现一种未授权访问信息收集系统，该系统能够以低成本在宽地址空间中收集未授权访问信息，并且其中能够容易地实现操作分析。未授权访问信息收集系统监测对蜜网的未授权访问并且收集未授权的访问信息。所述系统包括多个诱捕系统和未授权访问信息收集装置。所述诱捕系统构成蜜网，并且每个蜜网都设置有专有地址或全局地址。未授权访问信息收集装置布置在互联网和蜜网之间。在通过设置路由表为专有地址或全局地址分配多个全局地址之后，所述装置传输接收的分组，根据通信控制列表实现从蜜网侧至互联网侧的通信控制并记录通过的分组。
文档编号H04L12/56GK101578827SQ20078004975
公开日2009年11月11日 申请日期2007年12月27日 优先权日2007年1月12日
发明者铃木宏荣, 马场俊辅 申请人:横河电机株式会社