ネットワーク監視方法及びシステム及び装置及びプログラム
【課題】 実際に利用されているネットワークから監視の用途として利用が可能なアドレス群を動的に抽出し、取得したアドレス群で監視サーバを動作させる。
【解決手段】 本発明は、トラヒック分析装置にて、外部ホストからネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホストのアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストに登録し、トラヒック転送装置において、監視用アドレスリストを参照して、内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバに送信し、監視サーバは、トラヒック転送装置から転送されたパケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元に送信する。
【解決手段】 本発明は、トラヒック分析装置にて、外部ホストからネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホストのアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストに登録し、トラヒック転送装置において、監視用アドレスリストを参照して、内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバに送信し、監視サーバは、トラヒック転送装置から転送されたパケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク監視方法及びシステム及び装置及びプログラムに係り、特に、未利用アドレス群を利用してネットワークを監視するためのネットワーク監視方法及びシステム及び装置及びプログラムに関する。
【背景技術】
【0002】
ワームやボットネットと呼ばれるマルウェア(悪意のあるソフトウェア)による被害が拡大・深刻化している。マルウェアの攻撃やエンドホストの感染拡大を意図した悪意のある通信を検出するためにはネットワーク監視技術が必要である。
【0003】
マルウェアと対象とした従来のネットワーク監視方法として、センサ・サーバをネットワーク上に分散配置する方法や、ダークネットと呼ばれる未利用のアドレス集合を用いる方法がある(例えば、非特許文献1参照)。しかし、これらの方法によって収集できる情報は攻撃元のIPアドレスや攻撃元あるいは攻撃先のポート番号等の情報に限られ、マルウェアの攻撃内容等の詳細に関する情報は得ることができない欠点がある。
【0004】
上記の欠点を補うための試みとして、ハニーポットと呼ばれる囮(おとり)用のサーバを用いて、マルウェアの攻撃等の詳細情報を収集するアプローチが提案されている(例えば、非特許文献2参照)。
【0005】
ハニーポットは、攻撃者からみると通常のホストと同様に動作する。ハニーポットの構成方法としては脆弱性のある実際のOSにマルウェアを感染させて活動を観察するケースや脆弱性をエミュレートし擬似的な応答を返すサービスを利用したケースが存在する。いずれのケースもハニーポットは監視者のコントロール下で動作するため、マルウェア情報を安全に収集することが可能な技術である。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】A。 Shimoda and S. Goto, "Flow-based Internet Threat Detec- tionwith Dark IP (in Japanese)、" IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences, vol. J92-B, no. 1, pp. 163173, 2009.
【非特許文献2】L. Spitzner, "The honeynet project: Trapping the hackers," IEEE Security & Privacy Magazine, vol. 1, no. 2, pp. 1523, 2003.
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、ハニーポットはマルウェアの詳細情報を得る手段として有効であるが、単一のアドレスを利用してハニーポットを運用している場合には限られた情報しか収集できない問題がある。複数のアドレス上でハニーポットを動作させる場合は前述のダークネットと同様に未利用の連続したアドレス集合(サブネット)を利用することが一般的である。連続した未利用アドレス集合は攻撃パケットを経路を設定する上で取り扱いが容易であること、攻撃者からハニーポットの存在を知られてしまうリスクが増える。また、複数アドレスをハニーポットに利用する場合もアドレスがサブネットに集中しているため、収集データに偏りが生じる問題が依然として存在する。
【0008】
さらに、同時に複数種類のハニーポットやセンサー・サーバといった監視サーバを動作させ、それらの挙動の違いを見ることはマルウェアに関するより多くの情報を得ることや、あるいは監視サーバ間の性能を比較するうえで有効なアプローチであるが、そのような目的を達成するための技術はこれまでに存在しなかった。
【0009】
本発明は上記の課題を鑑みてなされたものであり、実際に利用されているネットワークから監視の用途として利用が可能なアドレス群を動的に抽出し、取得したアドレス群で監視サーバを動作させることが可能なネットワーク監視方法及びシステム及び装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明(請求項1)は、ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送されたパケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、有する。
【0011】
また、本発明(請求項2)は、上記の請求項1のトラヒック分析装置において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段を更に有する。
【0012】
また、本発明(請求項3)は、上記の請求項1の前記トラヒック分析装置の前記監視用アドレスリスト生成手段において、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む。
【0013】
また、本発明(請求項4)は、上記の請求項1の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む。
【0014】
また、本発明(請求項5)は、ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う。
【0015】
また、本発明(請求項6)は、上記の請求項5のネットワーク監視方法において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップを行う。
【0016】
また、本発明(請求項7)は、上記の請求項5の前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する。
【0017】
また、本発明(請求項8)は、上記の請求項7において、前記アドレスXに対してハッシュ関数H(X)を適用する際に、前記アドレスXに対する任意の変換X'を適用してからハッシュ関数を適用したH(X)を利用する。
【0018】
また、本発明(請求項9)は、上記の請求項5の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないトラヒックのみを前記監視サーバに転送する。
【0019】
また、本発明(請求項10)は、ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホスト装置に対するトラヒックを分析し、一定期間において該外部ホストから該内部ホスト装置への通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト装置集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する。
【0020】
また、本発明(請求項11)は、請求項10に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラムである。
【発明の効果】
【0021】
上述のように本発明は、外部のネットワークのホスト(外部ホスト)から通信要求があったにも関わらず、一切の応答を返さず、かつ、ある一定の時間内で自ら外部に通信要求を出さなかった内部ホストを検出し、そのアドレスをハニーポットやセンサ・サーバ等の監視サーバに仮に割り当て、その監視サーバを囮サーバとして動作させることにより、マルウェアの情報収集及び分析を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明のシステム構成例である。
【図2】本発明の第1の実施の形態におけるトラヒック分析装置の動作を示す図である。
【図3】本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。
【図4】本発明の第1の実施の形態における監視対象アドレスの場合のトラヒック転送の例である。
【図5】本発明の第1の実施の形態における一連の動作を示す図である。
【図6】本発明の第2の実施の形態における動作を示す図である。
【図7】本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。
【発明を実施するための形態】
【0023】
以下図面と共に、本発明の実施の形態を説明する。
【0024】
以下の例ではネットワークをTCP/IPによるIPパケットネットワーク、アドレスをTCP/IPネットワークにおけるIPv4アドレスとし、通信の種類を内部ホスト向けパケットにおける宛先ポート番号で指定される数値とする例を示すが、本発明の適用範囲はこの限りではない。
【0025】
[第1の実施の形態]
図1は、本発明のシステム構成例を示す。
【0026】
同図に示すシステムの構成例は、外部ネットワーク1と内部ネットワーク100から構成され、内部ネットワーク100には、ハニーポットやセンサ・サーバとして機能する2つの監視サーバ110a,110b、トラヒック転送装置120、トラヒック分析装置130、内部ホスト140a,140b,140cから構成される。なお、当該システム構成は、以降の第2〜第4の実施の形態においても同様であるものとして説明する。また、監視サーバ110、内部ホスト140の数は図1の例に限定されるものではなく、任意の数設定することが可能である。
【0027】
ネットワーク上のトラヒックはトラヒック分析装置130において分析され、ネットワーク内部のホスト140a,140b,140c毎の通信が分析される。
【0028】
トラヒック転送装置120および監視サーバ110a,110bは、トラヒック分析装置130と同一の物理的装置上で実装しても構わないが、ここでは個別の装置としている。
【0029】
トラヒック分析装置130は、ネットワーク回線上に挿入される、または、タップやミラー等の方法によって外付けされ、ネットワーク上のトラヒックをネットワークの内部ホスト140毎に分析する。
【0030】
トラヒック分析装置130は、以下のような機能を有する。
【0031】
トラヒック分析装置130は、図2に示すように、観測した内部ホスト140のうち、外部のネットワーク1のホスト(以下、「外部ホスト」と記す)から通信要求があった場合には一切の応答を返さず、かつ、ある一定の時間内で自ら外部ネットワーク1に通信要求を出さなかった内部ホストの集合を抽出し、前記ホスト集合内の個々の内部ホストに割り当てられているアドレスの集合を監視用アドレスリスト131として、当該トラヒック分析装置130内部の記憶手段(例えば、メモリ)内に構成する。図2の例では、
(1)内部ホスト140aのように双方向通信の場合は、監視用アドレスリスト131には追加しない。
【0032】
(2)また、内部ホスト140cのように一定以上の期間にわたって外部から内部への片方向通信のみが観測された、あるいは、まったく通信が観測されなかった場合は監視用アドレスリストに追加する。
【0033】
表1に前記処理を行う際にトラヒック分析装置130が内部の記憶手段(例えば、メモリ)で管理するアドレス毎の通信記録の例を示す。トラヒック分析装置130で管理する表1には、観測する内部ホスト140のアドレス、一定期間内の内部発通信の有無、最後に観測された内部発通信の時刻が格納される。
【0034】
【表1】
以下に、トラヒック分析装置130の監視用アドレスリスト131への追加処理について説明する。図3は、本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。
【0035】
トラヒック分析装置130は、ネットワークの内部ホストXが着信先であるパケットを受信した場合(図3)には(ステップ101)、該内部ホストが既に監視用アドレスリスト131に登録されている場合には(ステップ102、Yes)何もせずに終了する。
【0036】
登録されていない場合は(ステップ102、No)現在時刻と該内部ホストX発パケットの最直近の到着時刻を比較し、その時刻の差が一定以上の時間経過していれば(例えば360分以上離れていたら)(ステップ103、Yes)該ホストは非アクティブであるとみなし、監視用アドレスリスト131に追加する(ステップ104)。
【0037】
すなわち、ある内部ホスト140宛のパケットが到着したことをトリガとし、その内部ホスト140が過去に自らパケットの送信元になったことがあった場合、どのくらい前であったかを把握し、その時間がある一定の閾値を超える場合に非アクティブである未利用IPアドレスとみなす。ここで360分は一例であり、任意に設置が可能な値とすることができる。
【0038】
トラヒック分析装置130は上記の監視用アドレスリスト131をトラヒック転送装置120に所定の周期毎に送信する。このとき、すべてのアドレスを送信するか、前回との差分のみを送信することで情報の更新を行う。
【0039】
トラヒック転送装置120は、トラヒックの転送が可能な箇所に設置され、例えば、トラヒック分析装置130と同一の物理的装置上で実装されてもよいし、別の装置として実装されても構わない。
【0040】
トラヒック転送装置120は、図4に示すように、監視用アドレスリスト131に記載されたアドレスを有する内部ホスト140宛に向けたパケットを単数あるいは複数の監視サーバ110へと転送する。図4では複数のケースを示している。また、図中に示されているように、それ以外のホスト宛のパケットに対しては何も行わない。すなわち、通常の手続きに従って後段のネットワーク装置へと転送される。
【0041】
トラヒック転送装置120は、図4の例では、監視対象の宛先アドレス"192.168,233.63"のパケットについては、監視サーバ110aに転送し(図4(1))、監視対象ではない宛先アドレス"192.168.3.19"のパケットに対してはそのまま通過させ内部ホスト140aに転送する(図4(2))。
【0042】
表2に監視用アドレスと対応する監視サーバ110の対応表の例を示す。
【0043】
【表2】
監視用アドレスと監視サーバの対応関係は任意に決定するか、あるいは、後述するように本発明の第3の実施の形態で示す方法によって決定することができる。この対応表は時間的に変更することもできる。
【0044】
表2において、内部ホスト140cのアドレス"192.168.233.63"を割り当てられた監視サーバID=aの監視サーバ110aは、トラヒック転送装置120によって転送された外部サーバのアドレス"10.4.99.8" 発のパケットを受信し、所望の処理、例えば、受信したパケットがTCP の SYNパケットであれば 3-way hand shake を確立するために TCP SYN/ACK パケットを送信するが、このパケットの送信元アドレスを"192.168.233.63"としたパケットをトラヒック転送装置120を経由するか、あるいは直接送信元の外部サーバのアドレス"10.4.99.8"に宛てて送信する。
【0045】
これにより、外部ホスト"10.4.99.8"からはあたかもアドレス"192.168.233.63"を有する唯一の物理的実体が存在するかのように通信の確立が実現される。この様子を図5に示す。トラヒック分析装置130の監視用アドレスリスト131には、予め内部ホスト140cのアドレス"192.168.233.63"については予め監視サーバ110aに転送するよう設定されているものとする。
【0046】
(1)送信元である外部ネットワーク1の外部ホスト(アドレス=10.4.99.8)が内部ホスト140cのアドレス"192.168.233.63"宛てにパケットを送信する。
【0047】
(2)トラヒック分析装置130は、外部ホストから送信されたパケットを受信して、内部の監視用アドレスリスト131を参照し、アドレス"192.168.233.63"が監視サーバaに対応すると判定し、トラヒック転送装置120を介して監視サーバ110aに転送する。
【0048】
(3)監視サーバ110aは、受信したパケットを処理した後、送信元のアドレスを"192.168.233.63"として、外部ホスト(アドレス=10.4.99.8)宛てに処理結果のパケットを送信する。ここで、監視サーバ100aから送信されるパケットは、トラヒック転送装置120及びトラヒック分析装置130を経由しない。
【0049】
図5の例では監視サーバ110の発アドレスの設定を監視サーバ110が自ら受信したパケットの宛先アドレスを元に監視サーバ自身が実施しているが、この例に限定されることなく、トラヒック転送装置120が実現してもよい。
【0050】
以上の仕組みにより、監視サーバが未使用IPアドレス宛のパケットを代理で受け取ることができ、かつ未使用IPアドレスを意図的に詐称して通信を成立することができる。
【0051】
[第2の実施の形態]
本実施の形態では、第1の実施の形態で抽出したトラヒック分析装置130の監視用アドレスリスト131に掲載された内部ホスト140毎の通信を継続的に監視し、内部ホスト140が自ら通信要求を出した時点で監視用アドレスリスト131から当該ホストのアドレスを削除する例を説明する。
【0052】
図6は、本発明の第2の実施の形態における動作を示す図である。
【0053】
図6において、トラヒック分析装置130の監視用アドレスリスト131には、内部ホスト140のアドレス"192.168.233.63"が登録されている状態において、
(1)アドレスが"192.168.233.63"の内部ホスト140が任意の外部ホストに対してパケットを送信する。
【0054】
(2)トラック分析装置130は、内部ホスト140からのパケットを検出すると、監視用アドレスリスト131から当該内部ホスト140のアドレス"192.168.233.63"を削除する。
【0055】
図7は、本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。
【0056】
トラヒック分析装置130は、あるネットワーク内部の内部ホストXが発信元であるパケットを受信した場合には(ステップ201)、まず当該内部ホストXのパケットが最直近で到着した時刻を現在の時刻に更新する(ステップ202)。次に、当該ホストXのアドレスが既に監視用アドレスリスト131に登録されている場合には(ステップ203、Yes)、当該内部ホストXのアドレスを監視用アドレスリスト131から削除し(ステップ204)、そうでない場合は何もせずに終了する。
【0057】
ここで、あるパケットが実際の内部ホストXが発信元であるか、あるいは監視用サーバ110が発信元であるかを区別する必要が生じるが、これには二通りの解決方法がある。図5に示したような構成では、監視用サーバ110が発信するパケットはトラヒック分析装置130を経由しないため、当該トラヒック分析装置130においてパケットを観測した時点で実際の内部ホスト140が発信元であることが特定される。他の方法としては、監視用サーバ110が内部ホストXのアドレスを偽装するパケットがトラヒック転送装置120を経由する構成も考えられる。
【0058】
すなわちパケットがトラヒック転送装置120から到着した場合には監視用サーバ110が発信元であり、そうでない場合には内部ホスト140が発信元であることがわかる。
いずれの場合であっても本方式では実際のネットワーク内部のホストXが発信元であるパケットを観測した時点でそのアドレスを監視用アドレスリスト131から削除する。
【0059】
[第3の実施の形態]
本実施の形態では、第1の実施の形態において示した監視用アドレスリスト131に含まれるアドレスをランダム、あるいは、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する例を示す。
【0060】
トラヒック分析装置130は、ランダムにアドレスXを分類する場合には、例えば分類するグループの数をMとした場合、ランダムに1からMの値を返す乱数によって各々のアドレスX が1からMのいずれかに分類する。
【0061】
また、アドレスXに対してハッシュ関数H(X)を適用する際に、アドレスXに対する任意の変換X'を適用してからハッシュ関数H(X')を利用してもよい。
【0062】
Mでの剰余を計算し1を追加した H(X') % M + 1 を計算するとその値は必ず1からMの値となり、同一のアドレスX に対して一意の値となる。グループ数Mは制御が可能なパラメタであり、監視対象のネットワークのサイズや、各グループに割り当てるアドレス数などを元に決定することができる。
【0063】
以下ではハッシュ関数としてよく知られた SHA-1 を用い、グループの数を5とするケースを例示する。
【0064】
また最初はXに何も変換を施さないケースを示し、次に変換を施す例を示す。
【0065】
X を文字列 "192.168.233.63" とする。この X に SHA-1 を適用した結果は16進表記で
"b08bfacb35f261690ce5fa14d6d9828a4c59a9d9"
となる。この値は10進表記で
"1007904026468102533226922959238641403105044441561"
である。この値を5で割った余りに1を加えると2となる。したがって、"192.168.233.63"はグループ2に分類することができる。
【0066】
32ビットで表現されているアドレス X に対して下位 8 ビットを"0"とする変換を施すケースを示す。すなわち X ="192.168.233.63"に対するX'は X'="192.168.233.0"となる。
【0067】
X' にSHA-1 を適用した結果は10進表記で
"668294084579058110983956357411212418693232089851"
となる。この値を5で割った剰余は1であるのでグループは1を足すことによって2となる。
【0068】
[第4の実施の形態]
本実施の形態では、通信(プロトコル)の種類も加えて非監視用アドレス・通信リストを構成する。表3に「非監視用アドレス・通信リスト」の例を示す。
【0069】
【表3】
トラヒック分析装置130は外部ホスト1から内部ホストX宛に向けたパケットを分析し、該パケットの通信プロトコルが表3に示す「非監視用アドレス・通信リスト」にマッチするか否かをチェックする。例えば該通信の内部ホストの宛先アドレスが"192.168.233.33"であり、通信のプロトコル種類がhttp であった場合は、非監視用アドレス・通信リストにマッチするので非監視の対象となり、該通信は通常通り"192.168.233.33"へと転送される。
【0070】
同様に該パケットの宛先アドレスが"192.168.233.33"であり、通信の種類が smtp であった場合はリストにマッチしないので、監視の対象となり、該パケットはトラヒック転送装置120を経由して監視サーバ110へと転送される。
【0071】
すなわち同じ宛先アドレスであっても通信の種類によっては監視対象となったりならなかったりする。この非監視用アドレス・通信リストは本発明の第1から第3の実施の形態に示した監視用アドレスリスト131と同様に更新・管理することができる。
【0072】
[第5の実施の形態]
第1の実施の形態における監視アドレスリストまたは、第4の実施の形態で示した非監視用アドレス・通信リストに対し、予めアドレスリストを記憶手段に用意し、当該アドレスリストを参照することにより、当該アドレスリストに含まれる内部ホスト140のみを対象として、または、アドレスリストに掲載されていないホストのみを対象として、監視アドレスリストまたは非監視用アドレスリストを構築するリストを構築する。
【0073】
また、上記の図1に示すトラヒック分析装置、トラヒック転送装置を1つのトラヒック監視装置とし、当該装置の動作をプログラムとして構築し、トラヒック管理装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0074】
また、構築されたプログラムをハードディスクやフレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。
【0075】
なお、本発明は、上記の実施の形態に限定されるものではなく、特許請求の範囲内において種々変更・応用が可能である。
【符号の説明】
【0076】
1 外部ネットワーク
100 内部ネットワーク
110 監視サーバ
120 トラヒック転送装置
130 トラヒック分析装置
131 監視用アドレスリスト
140 内部ホスト
【技術分野】
【0001】
本発明は、ネットワーク監視方法及びシステム及び装置及びプログラムに係り、特に、未利用アドレス群を利用してネットワークを監視するためのネットワーク監視方法及びシステム及び装置及びプログラムに関する。
【背景技術】
【0002】
ワームやボットネットと呼ばれるマルウェア(悪意のあるソフトウェア)による被害が拡大・深刻化している。マルウェアの攻撃やエンドホストの感染拡大を意図した悪意のある通信を検出するためにはネットワーク監視技術が必要である。
【0003】
マルウェアと対象とした従来のネットワーク監視方法として、センサ・サーバをネットワーク上に分散配置する方法や、ダークネットと呼ばれる未利用のアドレス集合を用いる方法がある(例えば、非特許文献1参照)。しかし、これらの方法によって収集できる情報は攻撃元のIPアドレスや攻撃元あるいは攻撃先のポート番号等の情報に限られ、マルウェアの攻撃内容等の詳細に関する情報は得ることができない欠点がある。
【0004】
上記の欠点を補うための試みとして、ハニーポットと呼ばれる囮(おとり)用のサーバを用いて、マルウェアの攻撃等の詳細情報を収集するアプローチが提案されている(例えば、非特許文献2参照)。
【0005】
ハニーポットは、攻撃者からみると通常のホストと同様に動作する。ハニーポットの構成方法としては脆弱性のある実際のOSにマルウェアを感染させて活動を観察するケースや脆弱性をエミュレートし擬似的な応答を返すサービスを利用したケースが存在する。いずれのケースもハニーポットは監視者のコントロール下で動作するため、マルウェア情報を安全に収集することが可能な技術である。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】A。 Shimoda and S. Goto, "Flow-based Internet Threat Detec- tionwith Dark IP (in Japanese)、" IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences, vol. J92-B, no. 1, pp. 163173, 2009.
【非特許文献2】L. Spitzner, "The honeynet project: Trapping the hackers," IEEE Security & Privacy Magazine, vol. 1, no. 2, pp. 1523, 2003.
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、ハニーポットはマルウェアの詳細情報を得る手段として有効であるが、単一のアドレスを利用してハニーポットを運用している場合には限られた情報しか収集できない問題がある。複数のアドレス上でハニーポットを動作させる場合は前述のダークネットと同様に未利用の連続したアドレス集合(サブネット)を利用することが一般的である。連続した未利用アドレス集合は攻撃パケットを経路を設定する上で取り扱いが容易であること、攻撃者からハニーポットの存在を知られてしまうリスクが増える。また、複数アドレスをハニーポットに利用する場合もアドレスがサブネットに集中しているため、収集データに偏りが生じる問題が依然として存在する。
【0008】
さらに、同時に複数種類のハニーポットやセンサー・サーバといった監視サーバを動作させ、それらの挙動の違いを見ることはマルウェアに関するより多くの情報を得ることや、あるいは監視サーバ間の性能を比較するうえで有効なアプローチであるが、そのような目的を達成するための技術はこれまでに存在しなかった。
【0009】
本発明は上記の課題を鑑みてなされたものであり、実際に利用されているネットワークから監視の用途として利用が可能なアドレス群を動的に抽出し、取得したアドレス群で監視サーバを動作させることが可能なネットワーク監視方法及びシステム及び装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明(請求項1)は、ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送されたパケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、有する。
【0011】
また、本発明(請求項2)は、上記の請求項1のトラヒック分析装置において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段を更に有する。
【0012】
また、本発明(請求項3)は、上記の請求項1の前記トラヒック分析装置の前記監視用アドレスリスト生成手段において、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む。
【0013】
また、本発明(請求項4)は、上記の請求項1の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む。
【0014】
また、本発明(請求項5)は、ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う。
【0015】
また、本発明(請求項6)は、上記の請求項5のネットワーク監視方法において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップを行う。
【0016】
また、本発明(請求項7)は、上記の請求項5の前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する。
【0017】
また、本発明(請求項8)は、上記の請求項7において、前記アドレスXに対してハッシュ関数H(X)を適用する際に、前記アドレスXに対する任意の変換X'を適用してからハッシュ関数を適用したH(X)を利用する。
【0018】
また、本発明(請求項9)は、上記の請求項5の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないトラヒックのみを前記監視サーバに転送する。
【0019】
また、本発明(請求項10)は、ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホスト装置に対するトラヒックを分析し、一定期間において該外部ホストから該内部ホスト装置への通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト装置集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する。
【0020】
また、本発明(請求項11)は、請求項10に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラムである。
【発明の効果】
【0021】
上述のように本発明は、外部のネットワークのホスト(外部ホスト)から通信要求があったにも関わらず、一切の応答を返さず、かつ、ある一定の時間内で自ら外部に通信要求を出さなかった内部ホストを検出し、そのアドレスをハニーポットやセンサ・サーバ等の監視サーバに仮に割り当て、その監視サーバを囮サーバとして動作させることにより、マルウェアの情報収集及び分析を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明のシステム構成例である。
【図2】本発明の第1の実施の形態におけるトラヒック分析装置の動作を示す図である。
【図3】本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。
【図4】本発明の第1の実施の形態における監視対象アドレスの場合のトラヒック転送の例である。
【図5】本発明の第1の実施の形態における一連の動作を示す図である。
【図6】本発明の第2の実施の形態における動作を示す図である。
【図7】本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。
【発明を実施するための形態】
【0023】
以下図面と共に、本発明の実施の形態を説明する。
【0024】
以下の例ではネットワークをTCP/IPによるIPパケットネットワーク、アドレスをTCP/IPネットワークにおけるIPv4アドレスとし、通信の種類を内部ホスト向けパケットにおける宛先ポート番号で指定される数値とする例を示すが、本発明の適用範囲はこの限りではない。
【0025】
[第1の実施の形態]
図1は、本発明のシステム構成例を示す。
【0026】
同図に示すシステムの構成例は、外部ネットワーク1と内部ネットワーク100から構成され、内部ネットワーク100には、ハニーポットやセンサ・サーバとして機能する2つの監視サーバ110a,110b、トラヒック転送装置120、トラヒック分析装置130、内部ホスト140a,140b,140cから構成される。なお、当該システム構成は、以降の第2〜第4の実施の形態においても同様であるものとして説明する。また、監視サーバ110、内部ホスト140の数は図1の例に限定されるものではなく、任意の数設定することが可能である。
【0027】
ネットワーク上のトラヒックはトラヒック分析装置130において分析され、ネットワーク内部のホスト140a,140b,140c毎の通信が分析される。
【0028】
トラヒック転送装置120および監視サーバ110a,110bは、トラヒック分析装置130と同一の物理的装置上で実装しても構わないが、ここでは個別の装置としている。
【0029】
トラヒック分析装置130は、ネットワーク回線上に挿入される、または、タップやミラー等の方法によって外付けされ、ネットワーク上のトラヒックをネットワークの内部ホスト140毎に分析する。
【0030】
トラヒック分析装置130は、以下のような機能を有する。
【0031】
トラヒック分析装置130は、図2に示すように、観測した内部ホスト140のうち、外部のネットワーク1のホスト(以下、「外部ホスト」と記す)から通信要求があった場合には一切の応答を返さず、かつ、ある一定の時間内で自ら外部ネットワーク1に通信要求を出さなかった内部ホストの集合を抽出し、前記ホスト集合内の個々の内部ホストに割り当てられているアドレスの集合を監視用アドレスリスト131として、当該トラヒック分析装置130内部の記憶手段(例えば、メモリ)内に構成する。図2の例では、
(1)内部ホスト140aのように双方向通信の場合は、監視用アドレスリスト131には追加しない。
【0032】
(2)また、内部ホスト140cのように一定以上の期間にわたって外部から内部への片方向通信のみが観測された、あるいは、まったく通信が観測されなかった場合は監視用アドレスリストに追加する。
【0033】
表1に前記処理を行う際にトラヒック分析装置130が内部の記憶手段(例えば、メモリ)で管理するアドレス毎の通信記録の例を示す。トラヒック分析装置130で管理する表1には、観測する内部ホスト140のアドレス、一定期間内の内部発通信の有無、最後に観測された内部発通信の時刻が格納される。
【0034】
【表1】
以下に、トラヒック分析装置130の監視用アドレスリスト131への追加処理について説明する。図3は、本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。
【0035】
トラヒック分析装置130は、ネットワークの内部ホストXが着信先であるパケットを受信した場合(図3)には(ステップ101)、該内部ホストが既に監視用アドレスリスト131に登録されている場合には(ステップ102、Yes)何もせずに終了する。
【0036】
登録されていない場合は(ステップ102、No)現在時刻と該内部ホストX発パケットの最直近の到着時刻を比較し、その時刻の差が一定以上の時間経過していれば(例えば360分以上離れていたら)(ステップ103、Yes)該ホストは非アクティブであるとみなし、監視用アドレスリスト131に追加する(ステップ104)。
【0037】
すなわち、ある内部ホスト140宛のパケットが到着したことをトリガとし、その内部ホスト140が過去に自らパケットの送信元になったことがあった場合、どのくらい前であったかを把握し、その時間がある一定の閾値を超える場合に非アクティブである未利用IPアドレスとみなす。ここで360分は一例であり、任意に設置が可能な値とすることができる。
【0038】
トラヒック分析装置130は上記の監視用アドレスリスト131をトラヒック転送装置120に所定の周期毎に送信する。このとき、すべてのアドレスを送信するか、前回との差分のみを送信することで情報の更新を行う。
【0039】
トラヒック転送装置120は、トラヒックの転送が可能な箇所に設置され、例えば、トラヒック分析装置130と同一の物理的装置上で実装されてもよいし、別の装置として実装されても構わない。
【0040】
トラヒック転送装置120は、図4に示すように、監視用アドレスリスト131に記載されたアドレスを有する内部ホスト140宛に向けたパケットを単数あるいは複数の監視サーバ110へと転送する。図4では複数のケースを示している。また、図中に示されているように、それ以外のホスト宛のパケットに対しては何も行わない。すなわち、通常の手続きに従って後段のネットワーク装置へと転送される。
【0041】
トラヒック転送装置120は、図4の例では、監視対象の宛先アドレス"192.168,233.63"のパケットについては、監視サーバ110aに転送し(図4(1))、監視対象ではない宛先アドレス"192.168.3.19"のパケットに対してはそのまま通過させ内部ホスト140aに転送する(図4(2))。
【0042】
表2に監視用アドレスと対応する監視サーバ110の対応表の例を示す。
【0043】
【表2】
監視用アドレスと監視サーバの対応関係は任意に決定するか、あるいは、後述するように本発明の第3の実施の形態で示す方法によって決定することができる。この対応表は時間的に変更することもできる。
【0044】
表2において、内部ホスト140cのアドレス"192.168.233.63"を割り当てられた監視サーバID=aの監視サーバ110aは、トラヒック転送装置120によって転送された外部サーバのアドレス"10.4.99.8" 発のパケットを受信し、所望の処理、例えば、受信したパケットがTCP の SYNパケットであれば 3-way hand shake を確立するために TCP SYN/ACK パケットを送信するが、このパケットの送信元アドレスを"192.168.233.63"としたパケットをトラヒック転送装置120を経由するか、あるいは直接送信元の外部サーバのアドレス"10.4.99.8"に宛てて送信する。
【0045】
これにより、外部ホスト"10.4.99.8"からはあたかもアドレス"192.168.233.63"を有する唯一の物理的実体が存在するかのように通信の確立が実現される。この様子を図5に示す。トラヒック分析装置130の監視用アドレスリスト131には、予め内部ホスト140cのアドレス"192.168.233.63"については予め監視サーバ110aに転送するよう設定されているものとする。
【0046】
(1)送信元である外部ネットワーク1の外部ホスト(アドレス=10.4.99.8)が内部ホスト140cのアドレス"192.168.233.63"宛てにパケットを送信する。
【0047】
(2)トラヒック分析装置130は、外部ホストから送信されたパケットを受信して、内部の監視用アドレスリスト131を参照し、アドレス"192.168.233.63"が監視サーバaに対応すると判定し、トラヒック転送装置120を介して監視サーバ110aに転送する。
【0048】
(3)監視サーバ110aは、受信したパケットを処理した後、送信元のアドレスを"192.168.233.63"として、外部ホスト(アドレス=10.4.99.8)宛てに処理結果のパケットを送信する。ここで、監視サーバ100aから送信されるパケットは、トラヒック転送装置120及びトラヒック分析装置130を経由しない。
【0049】
図5の例では監視サーバ110の発アドレスの設定を監視サーバ110が自ら受信したパケットの宛先アドレスを元に監視サーバ自身が実施しているが、この例に限定されることなく、トラヒック転送装置120が実現してもよい。
【0050】
以上の仕組みにより、監視サーバが未使用IPアドレス宛のパケットを代理で受け取ることができ、かつ未使用IPアドレスを意図的に詐称して通信を成立することができる。
【0051】
[第2の実施の形態]
本実施の形態では、第1の実施の形態で抽出したトラヒック分析装置130の監視用アドレスリスト131に掲載された内部ホスト140毎の通信を継続的に監視し、内部ホスト140が自ら通信要求を出した時点で監視用アドレスリスト131から当該ホストのアドレスを削除する例を説明する。
【0052】
図6は、本発明の第2の実施の形態における動作を示す図である。
【0053】
図6において、トラヒック分析装置130の監視用アドレスリスト131には、内部ホスト140のアドレス"192.168.233.63"が登録されている状態において、
(1)アドレスが"192.168.233.63"の内部ホスト140が任意の外部ホストに対してパケットを送信する。
【0054】
(2)トラック分析装置130は、内部ホスト140からのパケットを検出すると、監視用アドレスリスト131から当該内部ホスト140のアドレス"192.168.233.63"を削除する。
【0055】
図7は、本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。
【0056】
トラヒック分析装置130は、あるネットワーク内部の内部ホストXが発信元であるパケットを受信した場合には(ステップ201)、まず当該内部ホストXのパケットが最直近で到着した時刻を現在の時刻に更新する(ステップ202)。次に、当該ホストXのアドレスが既に監視用アドレスリスト131に登録されている場合には(ステップ203、Yes)、当該内部ホストXのアドレスを監視用アドレスリスト131から削除し(ステップ204)、そうでない場合は何もせずに終了する。
【0057】
ここで、あるパケットが実際の内部ホストXが発信元であるか、あるいは監視用サーバ110が発信元であるかを区別する必要が生じるが、これには二通りの解決方法がある。図5に示したような構成では、監視用サーバ110が発信するパケットはトラヒック分析装置130を経由しないため、当該トラヒック分析装置130においてパケットを観測した時点で実際の内部ホスト140が発信元であることが特定される。他の方法としては、監視用サーバ110が内部ホストXのアドレスを偽装するパケットがトラヒック転送装置120を経由する構成も考えられる。
【0058】
すなわちパケットがトラヒック転送装置120から到着した場合には監視用サーバ110が発信元であり、そうでない場合には内部ホスト140が発信元であることがわかる。
いずれの場合であっても本方式では実際のネットワーク内部のホストXが発信元であるパケットを観測した時点でそのアドレスを監視用アドレスリスト131から削除する。
【0059】
[第3の実施の形態]
本実施の形態では、第1の実施の形態において示した監視用アドレスリスト131に含まれるアドレスをランダム、あるいは、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する例を示す。
【0060】
トラヒック分析装置130は、ランダムにアドレスXを分類する場合には、例えば分類するグループの数をMとした場合、ランダムに1からMの値を返す乱数によって各々のアドレスX が1からMのいずれかに分類する。
【0061】
また、アドレスXに対してハッシュ関数H(X)を適用する際に、アドレスXに対する任意の変換X'を適用してからハッシュ関数H(X')を利用してもよい。
【0062】
Mでの剰余を計算し1を追加した H(X') % M + 1 を計算するとその値は必ず1からMの値となり、同一のアドレスX に対して一意の値となる。グループ数Mは制御が可能なパラメタであり、監視対象のネットワークのサイズや、各グループに割り当てるアドレス数などを元に決定することができる。
【0063】
以下ではハッシュ関数としてよく知られた SHA-1 を用い、グループの数を5とするケースを例示する。
【0064】
また最初はXに何も変換を施さないケースを示し、次に変換を施す例を示す。
【0065】
X を文字列 "192.168.233.63" とする。この X に SHA-1 を適用した結果は16進表記で
"b08bfacb35f261690ce5fa14d6d9828a4c59a9d9"
となる。この値は10進表記で
"1007904026468102533226922959238641403105044441561"
である。この値を5で割った余りに1を加えると2となる。したがって、"192.168.233.63"はグループ2に分類することができる。
【0066】
32ビットで表現されているアドレス X に対して下位 8 ビットを"0"とする変換を施すケースを示す。すなわち X ="192.168.233.63"に対するX'は X'="192.168.233.0"となる。
【0067】
X' にSHA-1 を適用した結果は10進表記で
"668294084579058110983956357411212418693232089851"
となる。この値を5で割った剰余は1であるのでグループは1を足すことによって2となる。
【0068】
[第4の実施の形態]
本実施の形態では、通信(プロトコル)の種類も加えて非監視用アドレス・通信リストを構成する。表3に「非監視用アドレス・通信リスト」の例を示す。
【0069】
【表3】
トラヒック分析装置130は外部ホスト1から内部ホストX宛に向けたパケットを分析し、該パケットの通信プロトコルが表3に示す「非監視用アドレス・通信リスト」にマッチするか否かをチェックする。例えば該通信の内部ホストの宛先アドレスが"192.168.233.33"であり、通信のプロトコル種類がhttp であった場合は、非監視用アドレス・通信リストにマッチするので非監視の対象となり、該通信は通常通り"192.168.233.33"へと転送される。
【0070】
同様に該パケットの宛先アドレスが"192.168.233.33"であり、通信の種類が smtp であった場合はリストにマッチしないので、監視の対象となり、該パケットはトラヒック転送装置120を経由して監視サーバ110へと転送される。
【0071】
すなわち同じ宛先アドレスであっても通信の種類によっては監視対象となったりならなかったりする。この非監視用アドレス・通信リストは本発明の第1から第3の実施の形態に示した監視用アドレスリスト131と同様に更新・管理することができる。
【0072】
[第5の実施の形態]
第1の実施の形態における監視アドレスリストまたは、第4の実施の形態で示した非監視用アドレス・通信リストに対し、予めアドレスリストを記憶手段に用意し、当該アドレスリストを参照することにより、当該アドレスリストに含まれる内部ホスト140のみを対象として、または、アドレスリストに掲載されていないホストのみを対象として、監視アドレスリストまたは非監視用アドレスリストを構築するリストを構築する。
【0073】
また、上記の図1に示すトラヒック分析装置、トラヒック転送装置を1つのトラヒック監視装置とし、当該装置の動作をプログラムとして構築し、トラヒック管理装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0074】
また、構築されたプログラムをハードディスクやフレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。
【0075】
なお、本発明は、上記の実施の形態に限定されるものではなく、特許請求の範囲内において種々変更・応用が可能である。
【符号の説明】
【0076】
1 外部ネットワーク
100 内部ネットワーク
110 監視サーバ
120 トラヒック転送装置
130 トラヒック分析装置
131 監視用アドレスリスト
140 内部ホスト
【特許請求の範囲】
【請求項1】
ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、
有することを特徴とするネットワーク監視システム。
【請求項2】
前記トラヒック分析装置は、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段を更に有する
請求項1記載のネットワーク監視システム。
【請求項3】
前記トラヒック分析装置の前記監視用アドレスリスト生成手段は、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む
請求項1記載のネットワーク監視システム。
【請求項4】
前記トラヒック分析装置は、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置は、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む
請求項1記載のネットワーク監視システム。
【請求項5】
ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う
ことを特徴とするネットワーク監視方法。
【請求項6】
前記トラヒック分析装置において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップを更に行う
請求項5記載のネットワーク監視方法。
【請求項7】
前記トラヒック分析装置における、前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する
請求項5記載のネットワーク監視方法。
【請求項8】
前記アドレスXに対してハッシュ関数H(X)を適用する際に、
前記アドレスXに対する任意の変換X'を適用してからハッシュ関数を適用したH(X)を利用する
請求項7記載のネットワーク監視方法。
【請求項9】
前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する
請求項5記載のネットワーク監視方法。
【請求項10】
ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホスト装置に対するトラヒックを分析し、一定期間において該外部ホストから該内部ホスト装置への通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト装置集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する
ことを特徴とするネットワーク監視装置。
【請求項11】
請求項10に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラム。
【請求項1】
ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、
有することを特徴とするネットワーク監視システム。
【請求項2】
前記トラヒック分析装置は、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段を更に有する
請求項1記載のネットワーク監視システム。
【請求項3】
前記トラヒック分析装置の前記監視用アドレスリスト生成手段は、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む
請求項1記載のネットワーク監視システム。
【請求項4】
前記トラヒック分析装置は、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置は、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む
請求項1記載のネットワーク監視システム。
【請求項5】
ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホスト装置、監視サーバを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う
ことを特徴とするネットワーク監視方法。
【請求項6】
前記トラヒック分析装置において、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップを更に行う
請求項5記載のネットワーク監視方法。
【請求項7】
前記トラヒック分析装置における、前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する
請求項5記載のネットワーク監視方法。
【請求項8】
前記アドレスXに対してハッシュ関数H(X)を適用する際に、
前記アドレスXに対する任意の変換X'を適用してからハッシュ関数を適用したH(X)を利用する
請求項7記載のネットワーク監視方法。
【請求項9】
前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する
請求項5記載のネットワーク監視方法。
【請求項10】
ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホスト装置に対するトラヒックを分析し、一定期間において該外部ホストから該内部ホスト装置への通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト装置集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する
ことを特徴とするネットワーク監視装置。
【請求項11】
請求項10に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−23686(P2012−23686A)
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願番号】特願2010−162168(P2010−162168)
【出願日】平成22年7月16日(2010.7.16)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(899000068)学校法人早稲田大学 (602)
【Fターム(参考)】
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願日】平成22年7月16日(2010.7.16)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(899000068)学校法人早稲田大学 (602)
【Fターム(参考)】
[ Back to top ]