TOP > 国内特許検索 > ネットワーク監視システム及びその方法

ネットワーク監視システム及びその方法 コモンズ

国内特許コード P140010441
整理番号 08-68
掲載日 2014年4月9日
出願番号 特願2009-001051
公開番号 特開2010-161488
登録番号 特許第5476578号
出願日 平成21年1月6日(2009.1.6)
公開日 平成22年7月22日(2010.7.22)
登録日 平成26年2月21日(2014.2.21)
発明者
  • 井上 大介
  • 衛藤 将史
  • 中尾 康二
出願人
  • 国立研究開発法人情報通信研究機構
発明の名称 ネットワーク監視システム及びその方法 コモンズ
発明の概要 【課題】 ダークネット観測を広範囲に行い、その観測結果を用いて、サーバやホストが存在する組織の実ネットワークの保護の充実を図る技術を提供すること。
【解決手段】 ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視方法を提供する。監視対象とする各通信ネットワークの使用済みのアドレス情報を収集して格納した分析センタ装置10を用い、異なる組織に管理される通信ネットワーク2a~2g内に設置されたセンサ手段が、自ネットワーク内のダークネット宛の信号を検出する。そして、各センサ手段から少なくとも信号の存在と検出した信号の送信元アドレスとを含む検出結果を受理して、その送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する。分析の結果、少なくとも該信号が使用済みのアドレスから発信されている場合にアラートを出力する。
【選択図】 図1
従来技術、競合技術の概要



インターネットなどの通信ネットワークが社会の重要な基盤となるに伴い、ネットワーク上でのウイルス感染や、特定のホストコンピュータへの攻撃などが深刻な問題になっている。そのため、従来からネットワークを監視する様々な方法が提案されている。





そのうちの1つが、ダークネットを監視する方法である。ダークネットとは,インターネット上で到達可能かつ未使用のIPアドレス空間のことを指し、非特許文献1~3などに記載されている。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においては起こる可能性が低いが、実際には相当数のパケットがダークネットに到着している。これらのパケットの多くは、リモート感染型のマルウェアが送信するスキャンやエクスプロイトコード、送信元IPアドレスを詐称したSYNフラッド攻撃に対する応答であるバックスキャッタ等、インターネット上での不正な活動に起因している。





そのため、ダークネットに到着するパケットを観測することで、インターネット上で発生している不正な活動の傾向把握が可能になる。ダークネット観測の最大の利点は、トラフィックを正・不正で区別する必要がなく、全てのパケットを不正なものと見なすことが出来る点にある。





出願人が研究開発を進めているインシデント分析センタnicter(Network ncident analysis Center for Tactical Emergency Response)では、日本国内に点在する複数のダークネット(合計10万アドレス以上)にセンサを設置し、定常的な観測を行なっている。(非特許文献4~6参照)





このようなダークネットの定常的観測を通して、次に示す2つの課題が浮上してきている。

まず、実ネットワーク保護への直結ダークネット観測は、インターネット上の不正な活動の傾向把握に有用であるが、サーバやホストが存在する、組織の実ネットワークの保護に直結していない。

次に、センサの広域展開ダークネット観測の精度は、観測するアドレス数が多いほど向上する(非特許文献2参照)ため、センサの広域展開が重要であるが、ダークネットの情報もセキュリティ情報であり他組織にむやみに公開することはできない。また、ダークネットにセンサを設置することにもコストがかかる。





ここで、従来行われている主要なネットワーク観測プロジェクトについての概要を記す。

まず、Network Telescope(非特許文献2)を挙げることができる。これは、米国のCAIDA(Cooperative Association for InternetData Analysis)によるダークネット観測プロジェクトであり、16万アドレス以上のダークネットを観測している。このプロジェクトでは、バックスキャッタやワームによるトラフィックのデータセットが公開されている。





次に、IMS(Internet Motion Sensor)(非特許文献3)が挙げられる。これは、米国ミシガン大学による/8ネットワークを含む1700万アドレス以上の大規模ダークネット観測プロジェクトである。観測されたTCP SYNパケットの一部にセンサ側からSYN-ACKを返すことでTCPコネクションの確立を試み、コネクション確立後の最初のパケットのペイロードを収集・分析する機能を持っている。





Leurre.com(非特許文献7、8参照)は、仏国のEurecomによる分散型ハニーポットを用いた情報収集・分析プロジェクトである。観測対象のIPアドレス数は比較的少数であるが、観測地域は世界各国に分散している。第1世代のLeurre.com v1.0は低インタラクションセンサのHoneyd (非特許文献9参照)を使用していたが、第2世代のLeurre.com v2.0ではSGNET(非特許文献10参照)を使用して情報収集能力の向上を図っている。





REN-ISAC(非特許文献11参照)は、米国の研究教育ネットワー(REN:Research and Education Networking)におけるセキュリティ情報の共有・分析プロジェクトである。Internet2で観測されたトラフィックを分析し、観測結果を公開している。

ISC(Internet Storm Center)(非特許文献12参照)は、米国のSANS (SysAdmin,Audit,Networking,and Security)による、セキュリティ情報の収集・分析プロジェクトである。50万アドレス以上のファイアウォールログを、DShield(非特許文献13参照)と呼ばれるシステムに集約し、統計情報やボランティアによる分析レポートを公開している。





これらの他、日本国内ではISDAS(非特許文献14参照)、@police(非特許文献15参照)、MUSTAN(非特許文献16参照)、WCLSCAN(非特許文献17参照)等のネットワーク観測プロジェクトが進行中である。





以上に示したこれまでの各種プロジェクトは、インターネット上の不正なトラフィックの傾向把握に主眼を置いており、組織の実ネットワークの保護に直結していないという課題を残している。

産業上の利用分野



本発明はネットワークの監視システムとその処理方法に関し、特に、ネットワーク上で到達可能かつ未使用のアドレス空間をなすダークネットを監視することで不正な信号を検出するシステム及び方法に関する。

特許請求の範囲 【請求項1】
ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視システムにおいて、
異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワークと、
該各通信ネットワーク内に設置され、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出するセンサ手段と、
該各通信ネットワークのアドレス範囲の中で使用済みのアドレス情報を保持すると共に、該各センサ手段の検出結果を受信する分析センタ装置と
から構成され、
該分析センタ装置が、
監視対象とする各通信ネットワークにおける使用済みのアドレス情報を格納する使用済みアドレス情報記憶手段と、
該各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理手段と、
検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析手段と、
分析の結果、少なくとも該信号が使用済みのアドレスから、監視対象のいずれかのネットワークにおけるダークネット宛の信号が発信されている場合にアラートを出力するアラート手段と
からなることを特徴とするネットワーク監視システム。

【請求項2】
前記ネットワーク監視システムにおいて、
前記分析センタ装置のアラート手段が、
前記センサ手段が検出した信号の送信元アドレスをアドレス範囲に含む通信ネットワークの管理者に対して、送信元アドレスの情報を通知する
請求項1に記載のネットワーク監視システム。

【請求項3】
前記ネットワーク監視システムにおいて、
前記センサ手段が、検出した信号の宛先ポート番号を検出し、
前記分析センタ装置の分析手段が、所定の判定規則に従い、少なくとも該宛先ポート番号の情報から不正な通信であるか否かを判定すると共に、
該判定結果に従って、前記アラート手段がアラートを出力する
請求項1又は2に記載のネットワーク監視システム。

【請求項4】
前記センサ手段が、
送信元アドレスからの信号に対し何ら応答を行わないセンサである
請求項1ないし3のいずれかに記載のネットワーク監視システム。

【請求項5】
前記センサ手段が、
送信元アドレスからの既知の信号に対し所定の応答を行うセンサである
請求項1ないし3のいずれかに記載のネットワーク監視システム。

【請求項6】
ネットワーク上で用いられるアドレスであって到達可能かつ未使用のアドレス空間をなすダークネットを監視するネットワーク監視方法において、
監視対象とする各通信ネットワークの使用済みのアドレス情報を使用済みアドレス情報記憶手段に格納した分析センタ装置を用い、
異なる組織に管理され、それぞれが所定のアドレス範囲をもつ通信ネットワーク内に設置されたセンサ手段が、少なくとも同じアドレス範囲から発信された信号を含む、自ネットワーク内のダークネット宛の信号を検出する信号検出ステップ、
該分析センタ装置の検出結果受理手段が、該各センサ手段から少なくとも信号の存在と、検出した信号の送信元アドレスとを含む検出結果を受理する検出結果受理ステップ、
該分析センタ装置の分析手段が、検出結果を受理した際に、その信号の送信元アドレスが、監視対象の各通信ネットワークにおける使用済みのアドレス情報であるかどうかを分析する分析ステップ、
該分析センタ装置のアラート手段が、分析の結果、少なくとも該信号が使用済みのアドレスから、監視対象のいずれかのネットワークにおけるダークネット宛の信号が発信されている場合にアラートを出力するアラートステップ
を有することを特徴とするネットワーク監視方法。

【請求項7】
前記ネットワーク監視方法のアラートステップにおいて、
前記分析センタ装置のアラート手段が、
前記センサ手段が検出した信号の送信元アドレスをアドレス範囲に含む通信ネットワークの管理者に対して、送信元アドレスの情報を通知する
請求項6に記載のネットワーク監視方法。

【請求項8】
前記ネットワーク監視方法において、
前記センサステップにおいて、前記センサ手段が、検出した信号の宛先ポート番号を検出し、
前記分析ステップにおいて、前記分析手段が、所定の判定規則に従い、少なくとも該宛先ポート番号の情報から不正な通信であるか否かを判定し、
前記アラートステップにおいて、前記アラート手段が、該判定結果に従って、アラートを出力する
請求項6又は7に記載のネットワーク監視方法。

【請求項9】
前記ネットワーク監視方法の信号検出ステップにおいて、
前記センサ手段が、送信元アドレスからの信号に対し何ら応答を行わない
請求項6ないし8のいずれかに記載のネットワーク監視方法。

【請求項10】
前記ネットワーク監視方法の信号検出ステップにおいて、
前記センサ手段が、送信元アドレスからの既知の信号に対し所定の応答を行う
請求項6ないし8のいずれかに記載のネットワーク監視方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2009001051thum.jpg
出願権利状態 登録
参考情報 (研究プロジェクト等) サイバー攻撃観測・分析・対策システム NICTER(http://www.nict.go.jp/nsri/cyber/index.html)
※ 詳細内容の開示にあたっては、別途、JSTと秘密保持契約を締結していただくことが必要となります。


PAGE TOP

close
close
close
close
close
close
close