      |
  |
| インターネット治安情勢|インターネット定点観測- 説明 |
「インターネット定点観測」とは
警察庁では、全国の警察施設のインターネット接続点にセンサーを設置し、その観測結果から、「インターネット治安情勢」を定期的に公表しています。「インターネット定点観測」(日本語版及び英語版)では、 観測した検知情報を迅速に提供するため、 平成15年10月より公開しています。
グラフは毎時20分頃に更新されるので、 インターネットにおける各種攻撃状況の変化、ワーム発生等を把握する基礎資料としてご活用下さい。 特異状況を認知した場合は、@policeトップページでお知らせいたします。
グラフの説明
横軸の単位は時間で、縦軸は1時間毎に集計された1IPアドレス当たりの件数です。
■シグネチャを用いた不正侵入等の検知
各センサーには、平成22年4月現在、約3000種類のシグネチャが登録されています。検知された各シグネチャは、次に示す分類に従って集計されます。グラフには、分類の上位5つとそれ以外(Others)の件数がプロットされます。
| 分類 | 代表的なシグネチャ |
|---|---|
| Worm | SQL Slammer, Nachi, Conficker P2P |
| Scan | Proxy port probe, Port scan, TCP ACK ping |
| Scan(P2P) | BitTorrent DHT peer-to-peer, BitTorrent probe |
| VoIP | SIP message detected, SIP long host name detected |
| UDP_spam | MSRPC Popup Message |
| DoS | Windows Trin00 DDoS, ICMP Echo Reply without Echo |
| DNS | DNS request made for all records, DNS port probe, DNS dot query detected |
| ICMP | ICMP time stamp request |
| Others | Traceroute, ISAKMP Vendor ID |
- シグネチャは随時追加しています。
- 各センサーには、サーバ等の攻撃対象となる可能性のある機器を一切接続していません。 そのため、セッションの確立を必要としない、UDPを利用するWormやScan系の検知が大きな割合を占めています。
■センサーに対するアクセス
センサーは、全てのIncomingのパケットを破棄する設定となっています。 集計は、Incomingのトラフィックのみ対象とし、Outgoingのトラフィックはカウントされません。 グラフでは、ファイアウォールに到着したパケット数の集計結果がプロットされます。
グラフには以下の種類があります。
- 宛先ポート別
- 発信元国別
- 宛先ポート別(発信元:日本)
- 発信元TCPポート別
発信元TCPポート別推移は、TCPのフラグ種別に関係なく、発信元のポート番号毎に件数を集計したものです。 このグラフに限り、Othersの件数はプロットされません。
各ポート別のグラフにおいて、TCPとUDPはポート番号が表示されますが、 ICMPについてはTypeフィールドが表示されます。 (例:8/icmp → Echo Request)
| 数値 | 意味 |
|---|---|
| 0 | Echo Reply |
| 3 | Destination Unreachable |
| 4 | Source Quench |
| 5 | Redirect |
| 8 | Echo Request |
| 11 | Time Exceeded |
| 12 | Paramter Problem |
| 13 | Timestamp Request |
| 14 | Timestamp Reply |