TOP > 国内特許検索 > ネットワーク監視システム及びその方法 > 明細書

明細書 :ネットワーク監視システム及びその方法

発行国 日本国特許庁(JP)
公報種別 特許公報(B2)
特許番号 特許第5476578号 (P5476578)
公開番号 特開2010-161488 (P2010-161488A)
登録日 平成26年2月21日(2014.2.21)
発行日 平成26年4月23日(2014.4.23)
公開日 平成22年7月22日(2010.7.22)
発明の名称または考案の名称 ネットワーク監視システム及びその方法
国際特許分類 H04L  12/70        (2013.01)
G06F  13/00        (2006.01)
G06F  21/56        (2013.01)
FI H04L 12/70 100Z
G06F 13/00 351Z
G06F 21/00 156G
H04L 12/70 B
請求項の数または発明の数 10
全頁数 17
出願番号 特願2009-001051 (P2009-001051)
出願日 平成21年1月6日(2009.1.6)
新規性喪失の例外の表示 特許法第30条第1項適用 研究集会名:情報通信システムセキュリティ研究会 主催者名:社団法人 電子情報通信学会 情報・システムソサエティ :情報通信システムセキュリティ時限研究専門委員会 開催日 :平成20年9月10日 刊行物名:情報通信システムセキュリティ研究会 予稿集 発行日 :平成20年9月3日
審査請求日 平成23年12月12日(2011.12.12)
特許権者または実用新案権者 【識別番号】301022471
【氏名又は名称】独立行政法人情報通信研究機構
発明者または考案者 【氏名】井上 大介
【氏名】衛藤 将史
【氏名】中尾 康二
個別代理人の代理人 【識別番号】100130111、【弁理士】、【氏名又は名称】新保 斉
審査官 【審査官】衣鳩 文彦
参考文献・文献 特開2004-030286(JP,A)
特表2008-535304(JP,A)
特開2005-333200(JP,A)
特開2005-175993(JP,A)
特開2008-165796(JP,A)
特開2009-37545(JP,A)
溝口 誠一郎 他,DHCPによって管理されたセグメントに存在する未使用IPアドレスの監視手法,情報処理学会研究報告,2008年 5月15日,第2008巻,第45号,p.55~60
下田 晃弘 他,フローデータからのDark IP抽出による脅威観測法,電子情報通信学会論文誌,2009年 1月 1日,第J92-B巻,第1号,p.163~173
調査した分野 H04L 12/70
G06F 13/00
G06F 21/56
特許請求の範囲 【請求項1】
ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視システムにおいて、
異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワークと、
該各通信ネットワーク内に設置され、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出するセンサ手段と、
該各通信ネットワークのアドレス範囲の中で使用済みのアドレス情報を保持すると共に、該各センサ手段の検出結果を受信する分析センタ装置と
から構成され、
該分析センタ装置が、
監視対象とする各通信ネットワークにおける使用済みのアドレス情報を格納する使用済みアドレス情報記憶手段と、
該各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理手段と、
検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析手段と、
分析の結果、少なくとも該信号が使用済みのアドレスから、監視対象のいずれかのネットワークにおけるダークネット宛の信号が発信されている場合にアラートを出力するアラート手段と
からなることを特徴とするネットワーク監視システム。
【請求項2】
前記ネットワーク監視システムにおいて、
前記分析センタ装置のアラート手段が、
前記センサ手段が検出した信号の送信元アドレスをアドレス範囲に含む通信ネットワークの管理者に対して、送信元アドレスの情報を通知する
請求項1に記載のネットワーク監視システム。
【請求項3】
前記ネットワーク監視システムにおいて、
前記センサ手段が、検出した信号の宛先ポート番号を検出し、
前記分析センタ装置の分析手段が、所定の判定規則に従い、少なくとも該宛先ポート番号の情報から不正な通信であるか否かを判定すると共に、
該判定結果に従って、前記アラート手段がアラートを出力する
請求項1又は2に記載のネットワーク監視システム。
【請求項4】
前記センサ手段が、
送信元アドレスからの信号に対し何ら応答を行わないセンサである
請求項1ないし3のいずれかに記載のネットワーク監視システム。
【請求項5】
前記センサ手段が、
送信元アドレスからの既知の信号に対し所定の応答を行うセンサである
請求項1ないし3のいずれかに記載のネットワーク監視システム。
【請求項6】
ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視方法において、
監視対象とする各通信ネットワークの使用済みのアドレス情報を使用済みアドレス情報記憶手段に格納した分析センタ装置を用い、
異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワーク内に設置されたセンサ手段が、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出する信号検出ステップ、
該分析センタ装置の検出結果受理手段が、該各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理ステップ、
該分析センタ装置の分析手段が、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析ステップ、
該分析センタ装置のアラート手段が、分析の結果、少なくとも該信号が使用済みのアドレスから、監視対象のいずれかのネットワークにおけるダークネット宛の信号が発信されている場合にアラートを出力するアラートステップ
を有することを特徴とするネットワーク監視方法。
【請求項7】
前記ネットワーク監視方法のアラートステップにおいて、
前記分析センタ装置のアラート手段が、
前記センサ手段が検出した信号の送信元アドレスをアドレス範囲に含む通信ネットワークの管理者に対して、送信元アドレスの情報を通知する
請求項6に記載のネットワーク監視方法。
【請求項8】
前記ネットワーク監視方法において、
前記センサステップにおいて、前記センサ手段が、検出した信号の宛先ポート番号を検出し、
前記分析ステップにおいて、前記分析手段が、所定の判定規則に従い、少なくとも該宛先ポート番号の情報から不正な通信であるか否かを判定し、
前記アラートステップにおいて、前記アラート手段が、該判定結果に従って、アラートを出力する
請求項6又は7に記載のネットワーク監視方法。
【請求項9】
前記ネットワーク監視方法の信号検出ステップにおいて、
前記センサ手段が、送信元アドレスからの信号に対し何ら応答を行わない
請求項6ないし8のいずれかに記載のネットワーク監視方法。
【請求項10】
前記ネットワーク監視方法の信号検出ステップにおいて、
前記センサ手段が、送信元アドレスからの既知の信号に対し所定の応答を行う
請求項6ないし8のいずれかに記載のネットワーク監視方法。
発明の詳細な説明 【技術分野】
【0001】
本発明はネットワークの監視システムとその処理方法に関し、特に、ネットワーク上で到達可能かつ未使用のアドレス空間をなすダークネットを監視することで不正な信号を検出するシステム及び方法に関する。
【背景技術】
【0002】
インターネットなどの通信ネットワークが社会の重要な基盤となるに伴い、ネットワーク上でのウイルス感染や、特定のホストコンピュータへの攻撃などが深刻な問題になっている。そのため、従来からネットワークを監視する様々な方法が提案されている。
【0003】
そのうちの1つが、ダークネットを監視する方法である。ダークネットとは,インターネット上で到達可能かつ未使用のIPアドレス空間のことを指し、非特許文献1~3などに記載されている。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においては起こる可能性が低いが、実際には相当数のパケットがダークネットに到着している。これらのパケットの多くは、リモート感染型のマルウェアが送信するスキャンやエクスプロイトコード、送信元IPアドレスを詐称したSYNフラッド攻撃に対する応答であるバックスキャッタ等、インターネット上での不正な活動に起因している。
【0004】
そのため、ダークネットに到着するパケットを観測することで、インターネット上で発生している不正な活動の傾向把握が可能になる。ダークネット観測の最大の利点は、トラフィックを正・不正で区別する必要がなく、全てのパケットを不正なものと見なすことが出来る点にある。
【0005】
出願人が研究開発を進めているインシデント分析センタnicter(Network ncident analysis Center for Tactical Emergency Response)では、日本国内に点在する複数のダークネット(合計10万アドレス以上)にセンサを設置し、定常的な観測を行なっている。(非特許文献4~6参照)
【0006】
このようなダークネットの定常的観測を通して、次に示す2つの課題が浮上してきている。
まず、実ネットワーク保護への直結ダークネット観測は、インターネット上の不正な活動の傾向把握に有用であるが、サーバやホストが存在する、組織の実ネットワークの保護に直結していない。
次に、センサの広域展開ダークネット観測の精度は、観測するアドレス数が多いほど向上する(非特許文献2参照)ため、センサの広域展開が重要であるが、ダークネットの情報もセキュリティ情報であり他組織にむやみに公開することはできない。また、ダークネットにセンサを設置することにもコストがかかる。
【0007】
ここで、従来行われている主要なネットワーク観測プロジェクトについての概要を記す。
まず、Network Telescope(非特許文献2)を挙げることができる。これは、米国のCAIDA(Cooperative Association for InternetData Analysis)によるダークネット観測プロジェクトであり、16万アドレス以上のダークネットを観測している。このプロジェクトでは、バックスキャッタやワームによるトラフィックのデータセットが公開されている。
【0008】
次に、IMS(Internet Motion Sensor)(非特許文献3)が挙げられる。これは、米国ミシガン大学による/8ネットワークを含む1700万アドレス以上の大規模ダークネット観測プロジェクトである。観測されたTCP SYNパケットの一部にセンサ側からSYN-ACKを返すことでTCPコネクションの確立を試み、コネクション確立後の最初のパケットのペイロードを収集・分析する機能を持っている。
【0009】
Leurre.com(非特許文献7、8参照)は、仏国のEurecomによる分散型ハニーポットを用いた情報収集・分析プロジェクトである。観測対象のIPアドレス数は比較的少数であるが、観測地域は世界各国に分散している。第1世代のLeurre.com v1.0は低インタラクションセンサのHoneyd (非特許文献9参照)を使用していたが、第2世代のLeurre.com v2.0ではSGNET(非特許文献10参照)を使用して情報収集能力の向上を図っている。
【0010】
REN-ISAC(非特許文献11参照)は、米国の研究教育ネットワー(REN:Research and Education Networking)におけるセキュリティ情報の共有・分析プロジェクトである。Internet2で観測されたトラフィックを分析し、観測結果を公開している。
ISC(Internet Storm Center)(非特許文献12参照)は、米国のSANS (SysAdmin,Audit,Networking,and Security)による、セキュリティ情報の収集・分析プロジェクトである。50万アドレス以上のファイアウォールログを、DShield(非特許文献13参照)と呼ばれるシステムに集約し、統計情報やボランティアによる分析レポートを公開している。
【0011】
これらの他、日本国内ではISDAS(非特許文献14参照)、@police(非特許文献15参照)、MUSTAN(非特許文献16参照)、WCLSCAN(非特許文献17参照)等のネットワーク観測プロジェクトが進行中である。
【0012】
以上に示したこれまでの各種プロジェクトは、インターネット上の不正なトラフィックの傾向把握に主眼を置いており、組織の実ネットワークの保護に直結していないという課題を残している。
【先行技術文献】
【0013】

【非特許文献1】D. Song, R. Malan, R. Stone, “A Snapshot of Global Internet Worm Activity,” The 14th Annual FIRST Conference onComputer Security Incident Handling and Response, 2002年
【非特許文献2】Moore, D.: Network telescopes: tracking Denial-of-Service attacksand internet worms around the globe, 17th Large Installation SystemsAdministration Conference (LISA’03), USENIX, 2003年
【非特許文献3】M. Bailey, E. Cooke, F.Jahanian, J. Nazario, D.Watson, “The Internet Motion Sensor: A Distributed Blackhole Monitoring System,” The 12th Annual Network andDistributed System Security Symposium (NDSS05), 2005年
【非特許文献4】K. Nakao, K. Yoshioka, D. Inoue,M. Eto, K. Rikitake, “nicter: An Incident Analysis System using Correlation betweenNetwork Monitoring and Malware Analysis,” The 1st Joint Workshop onInformation Security (JWIS06), pp. 363 - 377, 2006年
【非特許文献5】K. Nakao, K. Yoshioka, D. Inoue,M. Eto, “ANovel Concept of Network Incident Analysis based on Multi-layer Observations ofMalware Activities,” The2nd Joint Workshop on Information Security (JWIS07), pp. 267 - 279, 2007年
【非特許文献6】D. Inoue, M. Eto, K. Yoshioka,S. Baba, K. Suzuki, J. Nakazato, K. Ohtaka, K. Nakao, “nicter: An Incident Analysis Systemtoward Binding Network Monitoring with Malware Analysis,” WOMBAT Workshop on InformationSecurity Threats Data Collection and Sharing (WISTDCS 2008), pp. 58 - 66, 2008年
【非特許文献7】F. Pouget, M. Dacier, V.H.Pham, “Leurre.com: On the Advantages ofDeploying a Large Scale Distributed Honeypot Platform,” E-Crime and Computer Conference(ECCE’05),2005年
【非特許文献8】C. Leita, V. H. Pham, O. Thonnard,E. Ramirez-Silva, F. Pouget, E. Kirda, M. Dacier, “The Leurre.com Project: CollectingThreats Information using a Worldwide Distributed Honeynet,” WOMBAT Workshop on Information SecurityThreats Data Collection and Sharing (WISTDCS 2008), pp. 40 - 57, 2008年
【非特許文献9】N. Provos, “A Virtual Honeypot Framework,” The 13th USENIX SecuritySymposium, 2004年 インターネット http://www.honeyd.org/
【非特許文献10】C. Leita, M. Dacier, “SGNET: A Worldwide DeployableFramework to Support the Analysis of Malware Threat Models,” The 7th European DependableComputing Conference (EDCC 2008), 2008年
【非特許文献11】REN-ISAC: Research andEducation Networking Information Sharing and Analysis Center, インターネット http://www.ren-isac.net/
【非特許文献12】M. V. Horenbeeck, “The SANS Internet Storm Center,” WOMBAT Workshop on InformationSecurity Threats Data Collection and Sharing (WISTDCS 2008), pp. 17 - 23, 2008年 インターネットhttp://isc.sans.org/.
【非特許文献13】DShield,インターネット http://www.dshield.org/
【非特許文献14】JPCERT/CCISDAS,インターネット http://www.jpcert.or.jp/isdas/.
【非特許文献15】@police, インターネットhttp://www.cyberpolice.go.jp/english/obs_e.html
【非特許文献16】MUSTAN, インターネット http://mustan.ipa.go.jp/mustan_web/.
【非特許文献17】WCLSCAN, インターネット http://www.wclscan.org/.
【発明の概要】
【発明が解決しようとする課題】
【0014】
本発明は上記従来技術が有する問題点に鑑みて創出されたものであり、ダークネット観測を広範囲に行い、その観測結果を用いて、サーバやホストが存在する組織の実ネットワークの保護の充実を図る技術を提供することを目的とする。
特に、ダークネットの情報提供や、センサの設置によりこれらを行う管理者側にも有益な情報を提供できるネットワーク監視システムやその処理方法を提供する。
【課題を解決するための手段】
【0015】
本発明は、上記の課題を解決するために、次のようなネットワーク監視システムを提供する。最も特徴とする点は、これまでは疎な関係であったダークネット観測と実ネットワーク保護を直接的に結びつけることで、ダークネット観測の可能性を押し広げ、センサの広域展開の促進を図ることにある。
【0016】
そこで、ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視システムを提供する。本システムは、異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワークと、その各通信ネットワーク内に設置され、自ネットワーク内のダークネット宛の信号を検出するセンサ手段と、各通信ネットワークのアドレス範囲の中で使用済みのアドレス情報を保持すると共に、各センサ手段の検出結果を受信する分析センタ装置とから構成される。
【0017】
そこで、ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視システムを提供する。本システムは、異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワークと、その各通信ネットワーク内に設置され、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出するセンサ手段と、各通信ネットワークのアドレス範囲の中で使用済みのアドレス情報を保持すると共に、各センサ手段の検出結果を受信する分析センタ装置とから構成される。
【0018】
そして、分析センタ装置が、監視対象とする各通信ネットワークにおける使用済みのアドレス情報を格納する使用済みアドレス情報記憶手段と、各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理手段と、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析手段と、分析の結果、少なくとも該信号が使用済みのアドレスから、監視対象のいずれかのネットワークにおけるダークネット宛の信号が発信されている場合にアラートを出力するアラート手段とからなることを特徴とする。
【0019】
センサ手段が、送信元アドレスからの信号に対し何ら応答を行わないセンサであってもよい。また、センサ手段が、送信元アドレスからの既知の信号に対し所定の応答を行うセンサであってもよい。
【0020】
本発明はネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視方法として提供することもできる。本方法には、監視対象とする各通信ネットワークの使用済みのアドレス情報を使用済みアドレス情報記憶手段に格納した分析センタ装置を用いる。
【0021】
そして、次の各ステップを有する。
(S1) 異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワーク内に設置されたセンサ手段が、自ネットワーク内のダークネット宛の信号を検出する信号検出ステップ、
(S2) 分析センタ装置の検出結果受理手段が、各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理ステップ、
(S3) 分析センタ装置の分析手段が、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析ステップ、
(S4) 分析センタ装置のアラート手段が、分析の結果、少なくとも該信号が使用済みのアドレスから発信されている場合にアラートを出力するアラートステップ。
【0022】
そして、次の各ステップを有する。
(S1) 異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワーク内に設置されたセンサ手段が、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出する信号検出ステップ、
(S2) 分析センタ装置の検出結果受理手段が、各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理ステップ、
(S3) 分析センタ装置の分析手段が、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析ステップ、
(S4) 分析センタ装置のアラート手段が、分析の結果、少なくとも該信号が使用済みのアドレスから発信されている場合にアラートを出力するアラートステップ。
【0023】
上記のセンサステップにおいて、センサ手段が、検出した信号の宛先ポート番号を検出し、分析ステップにおいて、分析手段が、所定の判定規則に従い、少なくとも該宛先ポート番号の情報から不正な通信であるか否かを判定し、さらにアラートステップにおいて、アラート手段が、判定結果に従って、アラートを出力することもできる。
【0024】
ネットワーク監視方法の信号検出ステップにおいて、センサ手段が、送信元アドレスからの信号に対し何ら応答を行わない構成でもよい。
【0025】
ネットワーク監視方法の信号検出ステップにおいて、センサ手段が、送信元アドレスからの既知の信号に対し所定の応答を行う構成でもよい。
【発明の効果】
【0026】
本発明は、以上の構成を備えることにより、次の効果を奏する。
実際の組織内で用いられる通信ネットワークにおけるダークネットを監視することができるので、実ネットワークの保護に直結する監視活動を行うことができる。そして、分析センタ装置では各通信ネットワークのアドレス範囲と使用済みのアドレス情報を把握することで、実際に稼働しているホストからダークネット宛に信号が送られた場合に、それを検出することができるようになる。
これによって従来のように監視対象としているダークネットに他ネットワークから送信された信号だけを測定するのではなく、自ネットワークからダークネットに送信された信号を検出することで、自ネットワークにおけるウイルス感染や機器の設定ミスなどを早期発見することが可能となる。
【0027】
通信ネットワークを運用する各組織は、ダークネットにセンサ手段を設置し、分析センタ装置に対して情報を提供しなければならないが、その一方で同じ分析センタ装置に情報を提供している通信ネットワークのダークネットに、自ネットワーク内から不正な信号が送信された場合には、分析センタ装置がそれを検出し、アラートを出力することができるので、自ネットワーク内の機器の不正な挙動を知ることができる。
【0028】
すなわち、ダークネットで検出した信号の情報を分析センタ装置を介して共有することで、互いに自ネットワークから他の通信ネットワークへの不正な信号の送信を知ることができるようになる。この点、従来は研究目的で監視しているダークネットに着信する情報だけであったため、必ずしも実ネットワークの保護に直結するものではなかったが、本手法によれば、実際に稼働している通信ネットワークからの信号の送信を検出するため、より実際的な監視を行うことができる。
【0029】
このように異なる組織間で実ネットワークの監視体制を共同で構築した場合、従来の手法ではセンサ手段の設置者が互いに通信ネットワークのアドレス範囲や使用済みアドレスの詳細を共有しなければならなかったため、普及が進まない原因の1つとなっていた。
本発明によれば、分析センタ装置が介在し、センサ手段で検出した発信元アドレスが本システムに加わっている組織のものかどうかも含めて分析センタ装置だけが管理すればよいので、参加組織間でもそれぞれの通信ネットワークに関わる情報を共有する必要がない。
これにより各組織のプライバシーやネットワークセキュリティの保護に寄与する。
【0030】
その一方で、センサ手段の設置を負担した管理者は、自ネットワークから送信され、他のダークネットで検出されたという情報を知ることができるので、自ネットワーク内の機器に適切な対応をとることができる。
このような仕組みによってセンサ手段の設置者としては自ネットワークの管理に有用な情報を得ることができるので、センサ手段の設置にインセンティブが生じる。そのためセンサ手段が多くの通信ネットワークに設置されることが期待できる。
【0031】
センサ手段が、検出した信号の宛先ポート番号を検出することもできる。宛先ポート番号がいずれであるかは感染しているウイルスの特定や、問題点の把握に有用な情報であり、分析手段が、所定の判定規則に従って不正な通信であるか否かを判定することに寄与する。
【0032】
従来、ダークネットの監視にはさまざまなセンサが用いられているが、本発明においてセンサ手段に、送信元アドレスからの信号に対し何ら応答を行わないセンサを用いる構成によれば、メンテナンスが容易であり大規模にセンサ手段を設置することに適している。このようなセンサは、外部からセンサの存在を検知されないくいという利点もある。また、センサ手段の設置コストが低く、システム全体の低コスト化にも寄与する。
【0033】
センサ手段が、送信元アドレスからの既知の信号に対し所定の応答を行うセンサを用いる構成によれば、センサ手段からパケットの送信元に対して一定レベルの応答を返し、それに対する反応を知ることができる。このため、送信元アドレスの機器の問題を特定しやすくなる利点がある。また、所定の応答のみを行うだけであるため、機器のメンテナンスが比較的容易である。
【図面の簡単な説明】
【0034】
【図1】本発明に係るネットワーク監視システムの説明図である。
【図2】本発明に係る分析センタ装置の構成図である。
【図3】本発明に係る組織側センサ装置の構成図である。
【図4】本発明に係るネットワーク監視方法の処理フローチャートである。
【図5】内部ネットワークのスキャンを監視する様子を示す説明図である。
【図6】外部ネットワークのスキャンを監視する様子を示す説明図である。
【図7】ネットワーク監視システムによる観測結果である。
【発明を実施するための形態】
【0035】
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、実施形態は下記に限定されるものではない。まず、本発明の概要を説明する。
本発明では、従来のようにダークネットをトラフィックの傾向把握に利用するだけでなく、サーバやホストが存在する実ネットワーク(以下、ライブネットと言う。)の保護に直接的に活用するためのアーキテクチャをもつことに要点がある。すなわち、これまでのダークネット観測では、ある組織が保有するダークネットに到達したトラフィック(以下、ダークネットトラフィック)を、組織内に設置したセンサに向けて転送し、センサがダークネットトラフィックを中央の分析センタに送信する。分析センタは各組織のセンサから集まったダークネットトラフィックを分析し、トラフィックの統計情報等を公開するというアーキテクチャが一般的である。

【0036】
本発明では、従来のダークネット観測アーキテクチャを踏襲し、特に各組織に設置したセンサには変更を加えることを必要としない。しかし従来と異なるのは、各組織がライブネットとして使用しているIPアドレスの範囲を分析センタに登録しておく点である。
すなわち、図1のようなネットワーク監視システム(1)において、複数の組織、例えば組織Aないし組織Gが管理する通信ネットワーク(2a)~(2g)と、各通信ネットワーク(2a)~(2g)を監視する分析センタ装置(10)が設けられている。

【0037】
各通信ネットワーク(2a)~(2g)には、ネットワーク機器にアドレスが割り当てられて使用済みのライブネット(3)と、各組織が自由に割り当てることができるが、実際には機器に割り当てられていないダークネット(4)とが存在する。
本発明におけるアドレスとはネットワーク上で用いられるいかなるアドレスでもよく、IPネットワークでは、IPアドレスが代表的である。ネットワーク機器に割り当てられるMACアドレスなどの物理アドレスでもよい。

【0038】
各組織は、ダークネットを観測するためのセンサ手段を配置している。そして、内部ネットワーク又は外部ネットワークから、ダークネット宛の信号を検出すると、そのダークネットトラフィックを分析センタ装置(10)に転送する。

【0039】
図2は、分析センタ装置(10)の構成図、図3は各通信ネットワークに設置されるセンサ装置の構成図、図4は本発明によるネットワーク監視方法の処理フローチャートである。
分析センタ装置(10)及びセンサ装置(20)は、周知のパーソナルコンピュータや、ワークステーション等によって構成するのが簡便であり、CPU(11)(21)と図示しないメモリが協働して、記憶手段に格納されたプログラムに従って各処理を行う。コンピュータの動作方法については周知の事項であるから、説明を省略する。

【0040】
分析センタ装置(10)には、CPU(11)の他、各通信ネットワークと接続する通信モジュール(12)(13)、情報を格納する記憶手段であるハードディスク(14)が備えられている。なお、通信モジュール(12)(13)は各通信ネットワークに適合するものを設ければよく、複数の通信ネットワークに対応するモジュールを1基でもよい。

【0041】
CPU(11)には、各センサ装置(20)から少なくともダークネットトラフィックの存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理部(111)、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワーク(2a)~(2g)のアドレス範囲であって、かつ使用済みのアドレス情報であるかどうかを分析する分析部(112)、分析の結果、少なくともダークネットトラフィックが使用済みのアドレスから発信されている場合にアラートを出力するアラート部(113)を備えている。

【0042】
また、本発明の特徴として述べたように、ハードディスク(14)には、監視対象とする各通信ネットワークにおける使用済みのアドレス情報(141)を格納している。このほか、各通信ネットワークのアドレス範囲をアドレス範囲情報(142)として備えておいてもよい。

【0043】
各組織側に設置されるセンサ手段の構成は、本発明は任意であるが、一例として図3のようにCPU(21)に信号センサ(22)、モニタ(23)を設けたセンサ装置(20)を設置することができる。
信号センサ(22)は、自ネットワーク(2)のダークネット(4)を監視し、不正なダークネットトラフィックが受信されるかどうかを監視する。

【0044】
本実施例におけるセンサ装置(20)の機能としては、ダークネットトラフィックを通知する他に、使用済みアドレス情報を送信する機能、分析センタ装置(10)からアラートを受け取って出力する機能が備えられている。

【0045】
図4を用いて、処理の流れを説明する。
まず、各通信ネットワークにおいて、センサ装置(20)の自ネットワーク情報送信部(211)から、自ネットワークにおけるライブネットの情報、すなわち使用済みアドレス情報を送信する(自ネットワーク情報通知ステップ:S10)。
分析センタ装置(20)ではこれを通信モジュール(12)(13)で受信し、ハードディスク(14)に使用済みアドレス情報(141)として格納する。(各通信ネットワーク情報収集ステップ:S11)

【0046】
この状態で、各通信ネットワーク(2a)~(2g)の信号センサ(22)はそれぞれのダークネットを監視した状態とする。
そして、例えば組織Aの通信ネットワーク(2a)において、ダークネットトラフィックを信号センサ(22)とそれを制御するセンサ処理部(212)が検出すると、検出結果送信部(213)から分析センタ装置(10)に向けて送信する。

【0047】
このとき、センサ処理部(212)では、信号センサ(22)が受信したダークネットトラフィックの中から、少なくとも送信元ホストのアドレスを抽出して送信する。あるいは、単位ダークネットトラフィック全体を送信する構成でもよい。(信号検出ステップ:S12)

【0048】
分析センタ装置(10)の検出結果受理部(111)が通信モジュール(12)を介して検出結果を受理(S13)する。(検出結果受理ステップ:S13)
さらに、分析部(112)では、使用済みアドレス情報(142)を参照して、該ダークネットのトラフィックの送信元アドレスが、使用済みアドレス情報のアドレスに含まれるかを照合する。(分析ステップ:S14)

【0049】
ここで、分析部(112)の処理として、前記でセンサ処理部(212)が送信元アドレスを抽出してある場合には、単に照合すればよいし、ダークネットトラフィック全体が転送された場合には、その中から送信元ホストを分析する処理を行う。
例えばIPパケットの場合には、12バイト目からの32ビットが送信元IPアドレス、16バイト目から32ビットが宛先IPアドレスであり、これらを分析することで送信元アドレスが抽出される。
また、分析部(112)は従来行われているように、ダークネットトラフィックの内容を分析して、感染しているウイルスの種類や、挙動の解析、送信元ホストの設定ミスの判定などを行っても良い。

【0050】
さらに、ダークネットトラフィックが送られてきた宛先のポート番号を分析することもできる。マルウェアの典型的な挙動として、ポート番号50000番など、一般的にはあまり用いられないポート番号にランダムに送ってくる場合や、TCPが用いる80番、8080番などに大量の信号を送ってくる場合がある。
一方、UDPの67番ポートなどはDHCPサーバがLAN内部で用いるポート番号であり、これがダークネットに送信されるのはマルウェアよりは設定ミスの可能性が高い。
このように、ポート番号を分析することで、ウイルスに感染しているのか、設定ミスであるのか、などをある程度判定することができる。

【0051】
そこで、ハードディスク(14)に、例えばマルウェアを疑うべきプロトコルとポート番号、設定ミスを疑うべきプロトコルとポート番号、アラートの必要のないプロトコルとポート番号のリストを判定規則として格納しておき、分析部(112)でポート番号の照合を行う。
この結果、「マルウェア」「設定ミス」「アラート必要無し」に分類する。
その他、公知の手法を用いて、マルウェアの種類や設定ミスの内容の推定などを行ってもよい。

【0052】
分析処理の結果、例えば検出されたダークネットトラフィックの送信元アドレスが、組織Bのライブネットのアドレスであった場合にアラート部(113)でアラートを出力する。本発明では最低限、分析センタ装置(10)上で画面表示により出力したり、スピーカから音を出力したり、ハードディスク(14)にアラートを記録する処理でもよい。
本実施例では、アラート部(113)から通信モジュール(13)を介して、センサ装置(20)のアラート受理部(214)にアラート情報を送信する。(アラート通知ステップ:S15)

【0053】
アラート受理部(214)がアラート情報を受理(アラート受理ステップ:S16)し、モニタ(23)からアラート情報を表示する。(アラート表示ステップ:S17)
ここで、分析ステップ(S14)において「マルウェア」や「設定ミス」と判定し、その結果をアラートとして送信している場合には、これも表示して、管理者にどのホストについてどのような疑いがあるのかを知らせることができる。

【0054】
本発明において、ハードディスク(14)にアドレス範囲情報(142)を備えておくとき、前記ダークネットトラフィックの送信元アドレスが使用済みアドレス情報(141)に含まれない場合でも、アドレス範囲情報(142)に含まれるときには、その通信ネットワークのセンサ装置(20)にアラートする構成でもよい。これによりDHCPサーバなどから動的にIPアドレスを割り当てる場合など、使用済みアドレス情報の更新が間に合わない場合などでも、発信元として疑わしい通信ネットワークの管理者に通知することができる。

【0055】
本発明によりどのようなダークトラフィックが検出できるのか、2つの具体例を説明する。
まず、図5に内部ネットワークのスキャンを監視する様子を示す説明図を示す。この図は組織Gの通信ネットワーク(2g)内に、マルウェアに感染したホストコンピュータのアドレス(5)が存在しているパターンである。

【0056】
このようにある組織において、自組織が管理するIPアドレスの範囲内に含まれるダークネットを、内部ダークネットと呼ぶこととする。組織内で、マルウェアに感染したホストがローカルスキャン(50)(典型的には感染ホストを含む/24や/16ネットワークへのスキャン)を行ない、内部ダークネットにスキャンが到達した場合、分析センタ装置(10)がそれを検出し、該当する組織にアラートを送信する。

【0057】
図5の例では、組織G内でマルウェアに感染したホストがローカルスキャンを行なった結果、組織Gに設置されたセンサ装置(20)の信号センサ(22)がこれを検出しダークネットトラフィック(51)を送信する。
そして、分析センタ装置(10)の分析でこの送信元アドレスが、組織Gの感染ホストのアドレス(5)であることが判明する。

【0058】
この分析結果に従って組織Gに対して分析センタ装置(10)からアラート(52)が送信されている。内部ダークネットではローカルスキャン以外にも、組織内でのネットワーク設定の間違い等によって、自組織からのパケットが検出される場合もあるが、いずれにせよ不正なパケットであるため、アラートはネットワーク管理上の有用な情報となり得る。
このような内部ダークネットの監視に使われる構成では、どちらにしても組織Gの通信ネットワーク内の情報であるため、ダークネット内にどのようにトラフィックがあったのか、全ての情報を管理者に通知してもよい。これにより、問題の特定が容易になることが考えられる。

【0059】
一方、図6は外部ネットワークのスキャンを監視する様子を示す説明図を示す。この図は組織Gの通信ネットワーク(2g)内に、マルウェアに感染したホストコンピュータのアドレス(5)が存在し、組織Aのダークネットをスキャンしているパターンである。
ある組織において、自組織が管理するIPアドレスの範囲外のダークネットを、外部ダークネットと呼ぶこととする。組織内で、マルウェアに感染したホストがグローバルスキャン(60)(感染ホストが属する組織外へのスキャン)を行ない、外部ダークネットにスキャンが到達した場合、分析センタ装置(10)がそれを検出し、該当する組織にアラートを送信する。

【0060】
図6の例では、組織G内でマルウェアに感染したホストがグローバルスキャンを行い、スキャンが組織Aのダークネットに到達した結果、組織Gに設置されたセンサ装置(20)の信号センサ(22)がこれを検出しダークネットトラフィック(61)を送信する。
そして、分析センタ装置(10)の分析でこの送信元アドレスが、組織Gの感染ホストのアドレス(5)であることが判明する。

【0061】
この分析結果に従って組織Gに対して分析センタ装置(10)からアラート(62)が送信されている。外部ダークネットではグローバルスキャン以外にも、分析センタに登録されたライブネットからのバックスキャッタが検出された結果、アラートが送信される場合もあるが、それは自組織のサーバが何らかの攻撃を受けている可能性を示唆しており、セキュリティ上重要な情報である。

【0062】
このような外部ダークネットの監視に使われる構成では、組織Gの管理者としては組織Aの管理者に自ネットワークの詳細な情報を送られることを欲しないのが通常である。一方、マルウェアの感染の場合には、組織Aの管理者として組織Gが特定されてもほとんど意味をなさず、このような情報は必要ではない。
本発明によれば、分析センタ装置(10)は組織Aのセンサ手段を利用するものの、組織Gの管理者にだけアラートを通知すればよい。

【0063】
この場合には、組織Aの管理者としては、センサ手段を設置したことで直接的な利益を受けるものではないが、組織Gにおいてマルウェア感染から修復されることで自ネットワークへの攻撃も解消することができ、参加している通信ネットワーク全体のセキュリティの向上に寄与する。また当然、組織A内でマルウェア感染が生じた場合には、参加する他のセンサ手段により原因を特定できることになるから、互恵的な効果があり、センサ手段を設置する十分な利益が存在していることになる。

【0064】
ここで、センサ手段について2つの態様を示す。
本発明のセンサ手段としては、特にブラックホールセンサが好適である。ブラックホールセンサとは、パケットの送信元に対し、全く応答を行なわないセンサを言う。上記実施例で述べたのはこのセンサであり、ただ入力する信号を監視しているだけなので、メンテナンスが容易である。そのため、本発明のような大規模なダークネット観測に向き、設置にも多くのコストがかからないことから、本発明システムに最適である。

【0065】
ブラックホールセンサは、無応答であるため、外部からセンサの存在を検知することが困難であるという利点もある。また、センサ手段自体がマルウェアに感染するリスクは非常に小さい。
マルウェアの感染活動の初期段階であるスキャンは観測可能であるが、それ以降の挙動を観測することは出来ない。しかし、本発明において送信元ホストを特定する点では、十分な作用をもつと言うことができる。

【0066】
ブラックホールセンサに次いで好適なセンサとしては、低インタラクションセンサが挙げられる。これはパケットの送信元に対し、一定レベルの応答を返すセンサである。TCP SYNパケットに対してSYN-ACK パケットを返すセンサや、OSの既知の脆弱性をエミュレートする低インタラクションハニーポットがここに含まれる。このセンサでは、マルウェアの挙動をある程度監視できる他、既知の信号に対し所定の応答を行うだけであるため、マルウェアの攻撃は受けにくい。
しかし、リッスンしているポートの傾向等からセンサの存在を検知され易く、アドレスが連続した大規模なダークネットでの運用には不向きという特徴がある。

【0067】
一方、高インタラクションセンサと呼ばれるセンサも知られている。これは、実ホストもしくはそれに準じた応答を返すセンサ(いわゆる、高インタラクションハニーポット)である。マルウェア感染時の挙動や攻撃者のキーストロークまで多様な情報が取得可能であるが、安全な運用を行うためのコストは高く、大規模運用には不向きである。
もっとも、本発明の各センサ手段は、同一のものでなくてもよく、このような高インタラクションセンサを用いる組織が混在していてもよい。

【0068】
従来のダークネットの利用法は、組織外から飛来する不正なパケットを観測する、つまり外から内へのアクセスを捉えるという考え方であった。一方、提案方式は、組織内から送出された不正なパケットを分散配置されたダークネットで観測する、つまり内から外(または内から内)へのアクセスを捉えるという、従来とは逆転したダークネットの利用法を提示している。

【0069】
本発明では、組織内で起こったマルウェア感染等を分析センタ装置(10)が検出し、該当する組織にアラートを送信することで、ダークネットの観測結果が実ネットワークのセキュリティオペレーションのトリガとなることが期待される。
従来のダークネット観測の2つの課題の前者、すなわち実ネットワーク保護を図るものである。ダークネットを提供する組織側の観点から見ると、組織内の一部の使用済みIPアドレスの提供とブラックホールセンサの設置によって、広域のダークネット観測網からアラートという直接的なフィードバックが得られ、組織内のホストによる外部への不正アクセスを迅速に検出できるというインセンティブが働く。

【0070】
このため、ダークネット観測の2つの課題の後者、センサの広域展開の進展が期待でき、さらにダークネット観測網の拡大、分析精度の向上、参加組織の増加という、正のスパイラルを実現することができる。

【0071】
最後に、nicterのブラックホールセンサを設置している国内の2組織(便宜上、組織Xと組織Yと呼ぶ)のダークネット観測結果を基に、本発明の有効性を検証する実験結果を示す。組織Xは/16ネットワークの中に、ダークネットとライブネットが混在する(図1の組織Bの様な)ネットワーク構成となっている。そこで、組織Xのライブネットを分析センタ装置に登録するIPアドレスとし、組織Xのダークネットを内部ダークネットと見なす。

【0072】
一方、組織Yは/16ネットワーク全体が未使用であるダークネットを保有している。この組織Yのダークネットを外部ダークネットと見なす。図7は2008年7月に、組織Xから内部ダークネットまたは外部ダークネットに対して、パケットを1つ以上送信したユニークホスト数を、1日毎にプロットしたものである。
内部ダークネットでは1日平均約83ホストのアクセスが検出され、7月16日にはスパイク(176ホスト)が見られた。一方、外部ダークネットでは、1日平均約0.3ホストのアクセスが検出され、最大は7月5日の2ホストであった。これら検出されたホストは、通常のネットワーク利用では起こり得ない挙動をしており、アンチウイルスソフトの適用やOSの最新版へのアップデート、もしくはネットワーク設定の確認などの対応が必要であり、本発明によるアラートが有効であると考えられる。
【符号の説明】
【0073】
1 ネットワーク監視システム
2a 組織Aの通信ネットワーク
2b 組織Bの通信ネットワーク
2c 組織Cの通信ネットワーク
2d 組織Dの通信ネットワーク
2e 組織Eの通信ネットワーク
2f 組織F通信ネットワーク
2g 組織Gの通信ネットワーク
3 ライブネット
4 ダークネット
10 分析センタ装置
図面
【図1】
0
【図2】
1
【図3】
2
【図4】
3
【図5】
4
【図6】
5
【図7】
6