JP2011097468A - 監視装置、監視システム、監視方法及び監視プログラム - Google Patents

監視装置、監視システム、監視方法及び監視プログラム Download PDF

Info

Publication number
JP2011097468A
JP2011097468A JP2009251131A JP2009251131A JP2011097468A JP 2011097468 A JP2011097468 A JP 2011097468A JP 2009251131 A JP2009251131 A JP 2009251131A JP 2009251131 A JP2009251131 A JP 2009251131A JP 2011097468 A JP2011097468 A JP 2011097468A
Authority
JP
Japan
Prior art keywords
address
domain name
key information
inquiry
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009251131A
Other languages
English (en)
Inventor
Yasuo Musashi
泰雄 武藏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kumamoto University NUC
Original Assignee
Kumamoto University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kumamoto University NUC filed Critical Kumamoto University NUC
Priority to JP2009251131A priority Critical patent/JP2011097468A/ja
Publication of JP2011097468A publication Critical patent/JP2011097468A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】SSHサーバ装置等の装置に対する不正な攻撃の発見及び対策を、小さい処理負荷、かつ短時間で実現する監視装置、監視システム、監視方法及び監視プログラムを提供する。
【解決手段】監視装置1は、ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得し(S201)、取得した複数のパケットに係るキー情報に基づいて、対応するIPアドレス及びドメイン名をキー情報とする逆引きのDNSクエリパケット及び正引きのDNSクエリパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する(S203)。そして、監視装置1は、計数した組数が、所定の閾値を超える場合(S204:YES)、組数を計数した組み合わせに係るIPアドレスを出力する(S205)。
【選択図】図5

Description

本願は、ドメイン名システムとの通信に用いられるパケットを監視する監視装置、該監視装置を用いた監視システム、前記監視装置を用いた監視方法、及び前記監視装置を実現する監視プログラムに関する。
ルータ、ファイアウォール等の静的方法、又はIDS(Intrusion Detection System)と呼ばれる侵入検知システム、IPS(Intrusion Prevention System)と呼ばれる侵入阻止システム等の動的方法により不正アクセス等の攻撃を防御するシステムが普及している。このようなシステムは、パケットを選択的に通過又は転送することによって、好ましからざるアクセス、データの流入等の危険を防止している。
好ましからざるアクセスとしては、辞書に記録されている用語に基づいてアクセスを繰り返すSSH(Secure SHell)辞書攻撃を例示することができる。SSH辞書攻撃等の攻撃に対しては、例えば、攻撃元となる装置を特定した上で、特定した装置からのアクセスに対して所定の処理を行うように、攻撃先となるサーバ装置に対策が施される。攻撃元となる装置の特定は、攻撃先となるサーバ装置のシステムログに記録されたクライアント接続時のメッセージの監視、侵入検知システムを用いた特定のクライアント装置の監視等の方法により行われる。
不正な攻撃に対する対策として、本願発明者は、様々な方法を提案している(例えば、特許文献1参照)。
特開2006−42183号公報
しかしながら、前述した攻撃元の装置の特定方法は、攻撃を受けてから対策を施すまでに時間を要し、また対策に要する人的作業負荷、各種装置の処理負荷等の負荷が大きいという問題がある。
本発明は斯かる事情に鑑みてなされたものであり、ドメイン名システムに対して、ドメイン名又はIPアドレスの照会を要求するパケットを監視し、夫々対応するIPアドレス又はドメイン名をキー情報とするパケット組の組数が、所定の閾値以上である組に係るIPアドレスを出力する。これにより、対策の時間に関する問題を解消し、対策に要する様々な負荷を軽減することが可能な監視装置、該監視装置を用いた監視システム、前記監視装置を用いた監視方法、及び前記監視装置を実現する監視プログラムを開示する。
本発明に係る監視装置、監視システム、監視方法及び監視プログラムは、ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得し、取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数し、計数した組数が、所定の閾値を超えるか否かを判定し、所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力することを特徴とする。
本発明では、ドメイン名又はIPアドレスの照会を要求するパケットから取得したキー情報を統計的に処理することで攻撃元の特定を支援するので、対策に要する負荷が小さく、また攻撃を受けてから対策を施すまでの時間を短縮することが可能である等、優れた効果を奏する。
本発明に係る監視システムの概要の一例を示す説明図である。 本発明に係る監視システムにて用いられる各種装置の構成例を示すブロック図である。 本発明に係る監視システムにて用いられるDNS装置のログデータベースの記録内容の一例を概念的に示す説明図である。 本発明に係る監視システムにて用いられる照会要求装置及びDNS装置の照会処理の一例を示すシーケンス図である。 本発明に係る監視装置の監視処理の一例を示すフローチャートである。 本発明に係る監視装置の監視処理の他の例を示すフローチャートである。 本発明に係る監視方法の適用の対象とした通信状況を示すグラフである。 本発明に係る監視方法の適用の結果を示す説明図である。
以下、本発明をその実施の形態を示す図面に基づいて詳述する。
図1は、本発明に係る監視システムの概要の一例を示す説明図である。図1中1は、本発明の監視装置である。監視装置1は、ドメイン名又はIPアドレスの照会を要求する照会要求装置2からドメイン名システム(DNS:Domain Name System)として機能するDNS装置3へ送信されるパケットを監視する。
照会要求装置2は、一又は複数台が配設されており、例えば、SSH(Secure SHell)サーバ装置等の装置を用いて構成される。また、照会要求装置2は、インターネット等の外部通信網NWo及びLAN(Local Area Network)等の内部通信網NWiを接続するゲートウェイとしての機能を有する。
DNS装置3は、例えば、ドメイン名及びIPアドレスの対応関係を記録(マッピング)するDNSサーバ装置、又はDNSサーバ装置の記録内容の一部を一時的に記録するDNSキャッシュサーバ装置等の装置を用いて構成される。IPアドレスとは、外部通信網NWo又は内部通信網NWi上の示す位置情報である。例えば、Version4として規定される位置情報は、32ビットの数列を8ビット毎に区切った数列、すなわち、0〜255の数値を4つ並べた「aaa.bbb.ccc.ddd 」等の数列として示される。なお、「aaa 」、「bbb 」、「ccc 」及び「ddd 」は、数字を伏せ字として示した符号である。ドメイン名とは、人が認識しやすいように、IPアドレスに対応付けられた「host.abc.xyz.net. 」等の名称情報である。なお、「abc 」及び「xyz 」は、任意の個数の英数字を伏せ字として示した符号である。そして、DNS装置3は、ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答する名前解決を行う。例えば、IPアドレスをキー情報として、ドメイン名の照会を要求する逆引きのDNSクエリパケットを受け付けた場合に、キー情報のIPアドレスに対応するドメイン名を応答する名前解決を行う。また、ドメイン名をキー情報として、IPアドレスの照会を要求する正引きのDNSクエリパケットを受け付けた場合に、キー情報のドメイン名に対応するIPアドレスを応答する名前解決を行う。なお、ドメイン名としては、例えば、完全ドメイン名(FQDN:Fully Qualified Domain Name )が用いられる。
照会要求装置2は、例えば、SSH、SMTP(Simple Mail Transfer Protocol )等のプロトコルに基づくアクセスを受け付けた場合に、アクセス元のIPアドレスをキー情報として、DNS装置3に対してドメイン名の照会を要求する逆引き処理を行う。さらに、逆引き処理により得られたドメイン名をキー情報として、DNS装置3に対してIPアドレスの照会を要求する正引き処理を行う。正引き処理により得られたIPアドレスが、アクセス元のIPアドレスと異なる場合、当該アクセスは、不正な目的を持ったアクセスである可能性が高いと判断することができる。なお、照会結果は、照会要求装置2、DNS装置3、又は内部通信網NWiを介して接続される他の記録装置(図示せず)にログとして記録される。
監視装置1は、照会要求装置2からDNS装置3へ送信される照会要求に係るパケットを監視する。例えば、送信されているパケットの複製を取得し、取得したパケットに示されたキー情報等の情報を読み取る等の処理に基づいて監視が行われる。なお、照会要求装置2からDNS装置3へ送信されるパケットを中継することにより監視しても良い。また、監視装置1を、照会要求装置2又はDNS装置3と一体の装置として形成することによりパケットを取得して監視するようにしても良い。また、パケットの通信に係る情報を記録したログを読み取ることにより、監視しても良い。さらに、DNS装置3から照会要求装置2へ送信される応答パケットに係る情報を前述の方法により取得して監視するようにしても良い。
照会要求装置2に対しては、外部通信網NWoを介した様々なアクセスがあり、例えば、不正装置4からの不正な攻撃としてのアクセスを受けることもある。不正装置4による不正な攻撃としては、例えば、照会要求装置2等の装置に設定されているパスワード等の文字列を推定し、推定した文字列に基づく侵入、破壊等の攻撃を例示することができる。このような攻撃として、例えば、辞書に記録されている用語等の文字列に基づいてアクセスを繰り返す辞書攻撃、辞書に記録されていない文字列をも含めてアクセスを繰り返す総当たり攻撃等の攻撃の方法がある。
なお、不正装置4は、必ずしも、不正者が直接操作する通信用コンピュータ等の装置であるとは限らない。むしろ、善意の所有者が所有するパーソナルコンピュータ等の装置が、不正者により、本来の所有者に認識されることなく遠隔操作される所謂攻撃用ボット装置となり、不正装置4として用いられることが往々にしてある。攻撃用ボット装置としての不正装置4により、攻撃が行われる場合、複数の不正装置4が同時に攻撃を行うこともあり、さらには、複数の照会要求装置2に対して同時に攻撃を行う分散型攻撃に発展することもある。
図2は、本発明に係る監視システムにて用いられる各種装置の構成例を示すブロック図である。監視装置1は、例えばサーバ用コンピュータ等の通信装置を用いて構成され、制御部10、記憶部11、記録部12、通信部13、出力部14等の各種機構を備えている。
制御部10は、CPU(Central Processing Unit )等の演算機構である。制御部10は、内部通信線を介して監視装置1内のハードウェア各部と接続されており、本発明に係る監視プログラムPRG等の各種プログラムの手順に従って所定の処理を実行する。また、制御部10は、演算に要する各種レジスタ、命令解読回路、演算回路、計数回路、計時回路等の回路を備えている。なお、監視プログラムPRG等の各種プログラムの実行ではなく、各種プログラムによる手順の一部又は全部を実現する一又は複数のVLSI(Very Large Scale Integration)等の回路を組み込み、監視装置1に係る各種機能を実現するようにしても良い。
記憶部11は、SDRAM(Synchronous Dynamic Random Access Memory)、SRAM(Static Random Access Memory)等の揮発性の主記憶機構である。
記録部12は、HDD(Hard Disk Drive)等の磁気記録機構、SSD(Solid State Disk)等の不揮発性半導体記録機構等の不揮発性の補助記録機構である。記録部12には、本発明に係る監視プログラムPRG等の各種プログラム及びデータが記録されている。そして、記録部12に記録されている監視プログラムPRGを、記憶部11に記憶し、制御部10の制御に基づき実行することにより、通信装置は、本発明の監視方法に係る処理等の各種処理を実行し、監視装置1として機能する。なお、便宜上、記憶部11及び記録部12として分けているが、両者とも各種情報の記録という同様の機能を有するものであり、装置の仕様、運用形態等に応じていずれの機構に記録させるかは、適宜決定することが可能である。
通信部13は、内部通信網NWiに接続するコネクタ、通信回路等のハードウェア、及びドライバ等のソフトウェアを備える通信機構である。監視装置1は、通信部13にて内部通信網NWiに接続し、照会要求装置2からDNS装置3へ送信されるDNSクエリパケット等のパケットに係る情報を取得する。
出力部14は、情報を出力させる出力機構である。先ず、制御部10の制御により、記憶部11又は記録部12への記録を目的として、情報の内部出力が行われる。さらに、記憶部11又は記録部12に記録された情報は、出力部14により、外部出力される。外部出力を行う出力部14としては、画像である情報を出力するモニタ及びその付属機構、デジタルデータである情報を記録媒体に出力する各種メモリポート及びその付属回路を例示することができる。なお、通信部13及び出力部14を一つの機構とし、デジタルデータである情報を出力部14として機能する通信部13から他の装置へ出力するようにしても良い。
照会要求装置2は、制御部20、記憶部21、記録部22、外部通信部23、内部通信部24等の各種機構を備えている。外部通信部23は、外部通信網NWoとの接続に要する通信機構である。内部通信部24は、内部通信網NWiとの接続に要する通信機構である。SSHサーバを用いた照会要求装置2の場合、制御部20は、DNSクエリパケットを送信する前述の照会要求処理の他、必要に応じて、認証機能、暗号通信機能、ゲートウェイ機能、ルーティング機能、ファイアウォール機能等の各種機能を実現するための各種処理を実行する。
また、記録部22の記録領域の一部は、ファイアウォール機能として通信を制限すべき不正装置4等の装置に係るIPアドレスを記録する制限対象データベース(制限対象DB)22a等の各種データベースとして用いられる。そして、制御部20は、制限対象データベース22aに記録されたIPアドレスに係る装置からのアクセスに対し、通信の遮断等の制限を行うファイアウォール機能等の機能を実現する制限手段20aとして動作する。
DNS装置3は、制御部30、記憶部31、記録部32、通信部33等の各種機能を備えている。記録部32の記録領域の一部は、ドメイン名データベース(DNS DB)32a、ログデータベース(Log DB)32b等の各種データベースとして用いられる。なお、DNS装置3が備える記録部32の記録内容の一部を、ドメイン名データベース32a、ログデータベース32b等の各種データベースとして用いるのではなく、DNS装置3に接続された他の装置を各種データベースとして用い、必要に応じてアクセスするようにしてもよい。
ドメイン名データベース32aは、DNSサーバ装置としての機能を実現するため、ドメイン名及びIPアドレスを対応付けて記録するデータベースである。
図3は、本発明に係る監視システムにて用いられるDNS装置3のログデータベース32bの記録内容の一例を概念的に示す説明図である。ログデータベース32bには、DNS装置3が、DNSサーバ装置として受信したDNSクエリパケット等のパケットの内容が記録されている。図中「A」として示した箇所は、受信日時を示している。「B」として示した箇所は、ホスト名、プロセス名及びプロセスIDを示している。「C」として示した箇所は、パケットの送信元の装置、例えば、照会要求装置2のIPアドレスを送信元情報として示している。「D」として示した箇所は、当該パケットの照会内容を示している。照会内容の末尾が「IN PTR」であるパケットはPTRレコードと呼ばれ、IPアドレスをキー情報としてドメイン名の照会を要求する逆引きのDNSクエリパケットである。図3に示す例では、IPアドレス「aaa.bbb.ccc.ddd 」をキー情報として、対応するドメイン名の照会を要求している。照会内容の末尾が「IN A」であるパケットはAレコードと呼ばれ、ドメイン名をキー情報としてIPアドレスの照会を要求する正引きのDNSクエリパケットである。図3に示す例では、ドメイン名「host.abc.xyz.net. 」をキー情報として、対応するIPアドレスの照会を要求している。照会内容の末尾が「IN MX 」であるパケットはMXレコードと呼ばれ、電子メールの配送先を照会している。
次に、本発明の監視システムに係る各種装置の処理について説明する。図4は、本発明に係る監視システムにて用いられる照会要求装置2及びDNS装置3の照会処理の一例を示すシーケンス図である。照会要求装置2は、例えば、外部通信網NWoを介して、SSHプロトコルに基づくアクセスを受け付けた場合に、照会要求を開始する。
照会要求装置2は、制御部20の制御により、アクセス元の装置のIPアドレスを取得する(S101)。ステップS101では、例えば、アクセスとして受け付けたパケットにメタ情報等の情報として示されている送信元のIPアドレスを読み取ることにより、IPアドレスの取得を行う。
照会要求装置2は、制御部20の制御により、取得したIPアドレスをキー情報として、DNS装置3に対し、ドメイン名の照会を要求する(S102)。ステップS102は、逆引きのDNSクエリパケットを、内部通信部24から内部通信網NWiを介して、DNS装置3へ送信する処理である。逆引きのDNSクエリパケットは、例えば、図3を用いて説明したPTRレコードの内容を含む。
DNS装置3は、制御部30の制御により、通信部33にて、ドメイン名の照会の要求を受け付ける(S103)。ステップS103は、照会要求装置2から送信された逆引きのDNSクエリパケットを受信する処理である。
DNS装置3は、制御部30の制御により、ドメイン名の照会の要求として受け付けた逆引きのDNSクエリパケットからキー情報であるIPアドレスを読み取り、読み取ったIPアドレスに対応するドメイン名をドメイン名データベース3から抽出する(S104)。なお、DNS装置3が備えるドメイン名データベース3に、キー情報であるIPアドレスに対応するドメイン名が記録されていない場合、DNS装置3は、他のDNSサーバ装置等の装置に対し、問い合わせを行うことにより、IPアドレスに対応するドメイン名を取得する。
DNS装置3は、制御部30の制御により、キー情報であるIPアドレスに対応するドメイン名を、要求に対する応答として、通信部33から内部通信網NWiを介して、照会要求装置2へ送信する(S105)。ステップS105では、例えば、完全ドメイン名が応答として送信される。なお、DNS装置3は、問い合わせの内容、即ち、DNSパケットの内容をログデータベース32bに記録する。
照会要求装置2は、制御部20の制御により、要求に対する応答としてドメイン名を取得する(S106)。ステップS106は、内部通信部24にて、ドメイン名を受信し、受信したドメイン名を取得する処理である。
さらに、照会要求装置2は、制御部20の制御により、取得したドメイン名をキー情報として、DNS装置3に対し、IPアドレスの照会を要求する(S107)。ステップS107は、正引きのDNSクエリパケットを、内部通信部24から内部通信網NWiを介して、DNS装置3へ送信する処理である。正引きのDNSクエリパケットは、例えば、図3を用いて説明したAレコードの内容を含む。
DNS装置3は、制御部30の制御により、通信部33にて、IPアドレスの照会の要求を受け付ける(S108)。
DNS装置3は、制御部30の制御により、IPアドレスの照会の要求として受け付けた正引きのDNSクエリパケットからキー情報であるドメイン名を読み取り、読み取ったドメイン名に対応するIPアドレスをドメイン名データベース3から抽出する(S109)。
DNS装置3は、制御部30の制御により、キー情報であるドメイン名に対応するIPアドレスを、要求に対する応答として、通信部33から内部通信網NWiを介して、照会要求装置2へ送信する(S110)。
照会要求装置2は、制御部20の制御により、要求に対する応答としてIPアドレスを取得する(S111)。そして、照会要求装置2は、アクセス元のIPアドレスと取得したIPアドレスとの照会、照会要求及び取得内容の記録等の以降の処理を実行する。このようにして照会処理が実行される。
図5は、本発明に係る監視装置1の監視処理の一例を示すフローチャートである。図5を用いて説明する監視処理とは、監視装置1が、照会要求装置2及びDNS装置3間の通信に係るパケットに基づいて、不正な攻撃元である可能性が高い装置のIPアドレスを特定し、出力する処理である。監視装置1は、操作担当者による操作及び設定に基づいて、任意の時期、所定の時刻、所定の時間間隔等を契機として監視処理を実行する。
監視装置1は、監視プログラムPRGを実行する制御部10の制御により、ドメイン名システムに対する照会に用いられるパケットに係るキー情報等の情報を取得する(S201)。ドメイン名システムに対する照会に用いられるパケットとは、DNSクエリパケット等のパケットである。パケットに係るキー情報等の情報とは、逆引きのDNSクエリパケットのキー情報であるIPアドレス、正引きのDNSクエリパケットのキー情報であるドメイン名等の情報を示す。パケットに係る情報の取得は、照会要求装置2からDNS装置3へ送信されるDNSパケットの取得、DNS装置3のログデータベース32bの記録内容の読み取り等の前述した様々な方法により実現される。取得の対象となる情報は、設定された監視期間に転送された複数のパケットに係る情報である。
監視装置1は、制御部10の制御により、取得した情報に基づいて、所定数以上のパケットにてキー情報とされているドメイン名又はIPアドレスに係るパケットを、以降の処理の対象として選択する(S202)。ステップS202は、不正な攻撃元である不正装置4からは、多数のアクセスがあることから、キー情報とされた回数が所定数以上であるドメイン名又はIPアドレスをキー情報とするパケットに係る情報のみを以降の処理の対象とする処理である。ステップS202の処理により、処理の対象の選択を行い、以降の処理の負荷を軽減することができる。なお、所定数は、操作担当者が指定した数値を予め設定しておくようにしても良く、また、監視期間として設定された期間の長さ、取得したパケット数等の要因に応じて自動的に決定されるようにしても良い。
監視装置1は、制御部10の制御により、選択した複数のパケットに係る情報に基づいて、対応するIPアドレス及びドメイン名をキー情報とする逆引きのDNSクエリパケット及び正引きのDNSクエリパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する(S203)。例えば、IPアドレス「aaa.bbb.ccc.ddd 」とドメイン名「host.abc.xyz.net. 」とが対応付けられている場合、一対の「aaa.bbb.ccc.ddd 」をキー情報とする逆引きのDNSクエリパケットと、「host.abc.xyz.net. 」をキー情報とする正引きのDNSクエリパケットとの組み合わせを組とする。そして、対となるDNSクエリパケットの数、即ち組数を計数する。図4を用いて示した照会処理により、照会要求装置2は、SSHプロトコルに基づくアクセスを受け付けた場合、逆引きに係る照会処理及び正引きに係る照会処理を実行する。従って、一回のアクセスに対し、一対となる逆引きのDNSクエリパケット及び正引きのDNSクエリパケットが送信されることになる。なお、IPアドレス及びドメイン名の対応関係は、例えば、DNS装置3に対し、DNSクエリパケットの送信等の方法にて問い合わせることにより、取得することができる。
監視装置1は、制御部10の制御により、計数した組数が、所定の閾値を超えるか否かを判定する(S204)。照会要求装置2は、一の不正装置4からSSHプロトコルに基づく攻撃としてアクセスを受けた場合、少なくともそのアクセス回数の組数のDNSクエリパケットを送信することになる。ステップS204では、組数が所定の閾値を超える場合、当該クエリパケットの送信は、不正装置4からの攻撃に基づくものである可能性が高いと判断する。なお、閾値は、操作担当者が指定した数値を予め設定しておくようにしても良く、また、監視期間として設定された期間の長さ、取得したパケット数等の要因に応じて自動的に決定されるようにしても良い。
ステップS204において、計数した組数が所定の閾値を超えると判定した場合(S204:YES)、監視装置1は、制御部10の制御により、組数を計数した組み合わせに係るIPアドレスを、出力部14から出力し(S205)、処理を終了する。例えば、IPアドレス「aaa.bbb.ccc.ddd 」と、ドメイン名「host.abc.xyz.net. 」との対に基づく組については、IPアドレスである「aaa.bbb.ccc.ddd 」が出力される。また、組数が所定の閾値を超える組が複数である場合、各組に係るIPアドレスが出力される。ただし、対策の際の負荷を考慮して、出力するIPアドレスの数を限定するようにしてもよい。なお、IPアドレスの代替情報としてドメイン名を出力するようにしても良い。出力部14による出力は、モニタへの表示、記憶部11又は記録部12への記録、その他の記録媒体への記録、他の装置への送信等の出力方法を例示することができる。
ステップS204において、計数した組数が所定の閾値を超えないと判定した場合(S204:NO)、ステップS205の処理を実行せずに、処理を終了する。ステップS204において、計数した組数が所定の閾値を超えない場合とは、全ての組の組数が閾値以下である場合を示す。この場合、対策が必要な攻撃は受けていないと判断する。
操作担当者は、出力されたIPアドレスに基づいて、不正装置4からの攻撃に対する対策を施す。具体的には、照会要求装置2の制限対象データベース22aに出力されたIPアドレスを記録し、当該IPアドレスに係る装置からのアクセスの制限等の対策を施す。なお、IPアドレスの出力先を照会要求装置2とし、照会要求装置2は、出力されたIPアドレスを自動的に制限対象として制限対象データベース22aに記録するというような自動設定処理を行っても良い。また、不正装置4は、攻撃用ボット装置として不正に利用されているだけであることも考えられるので、制限対象とする期間に期限を設けるようにしても良い。
本願にて開示した監視方法では、DNSクエリパケットのキー情報等の情報だけで、不正装置4を特定するので、例えば、処理負荷の大きいアクセス内容の解析等の処理を必要としない。従って、人的作業負荷をも含む対策に要する様々な負荷を軽減することが可能である。また、処理負荷が小さいことから短時間での処理が可能であり、監視対象となる時間を適宜設定することができることから、攻撃から対策までの時間を短縮し、速やかな対応を行うことが可能である。さらに、転送されるパケットを取得して処理を実行した場合には、略実時間での対応を行うことが可能である。また、例えば、複数の照会要求装置2,2,…に対する分散型攻撃が行われた場合にでも、夫々の攻撃に基づくDNSクエリパケットを纏めて計数することができるので、様々な攻撃に対応することが可能である。しかも、メタ情報であるキー情報に基づいて、不正装置4を特定するので、暗号化されたパケットに基づくアクセスに対しても、パケット内容の復号等の処理が不要である。
対となるDNSクエリパケットの組数に基づいて、不正装置4のIPアドレスを特定する方法としては、図5を用いて示した監視処理以外にも様々な方法で実現することが可能である。図6は、本発明に係る監視装置1の監視処理の他の例を示すフローチャートである。図6を用いて説明する監視処理とは、図5を用いて説明した監視処理の他のアルゴリズムに基づく処理である。
監視装置1は、監視プログラムPRGを実行する制御部10の制御により、ドメイン名システムに対する照会に用いられるパケットに係るキー情報等の情報を取得する(S301)。
監視装置1は、制御部10の制御により、キー情報の内容毎にパケットに係る情報を集約し(S302)、所定数以上のパケットにてキー情報とされているドメイン名又はIPアドレスに係るパケットを、以降の処理の対象として選択する(S303)。ステップS302のキー情報の内容とは、ドメイン名又はIPアドレスである。即ち、ステップS302は、キー情報であるドメイン名又はIPアドレスが同一のパケットを夫々集約する処理である。そして、ステップS303は、集約されたキー情報の内容毎のパケット数が所定数以上である場合に、以降の処理の対象として選択する。ステップS301〜S303の処理は、図5を用いて説明した監視処理のステップS201〜S202の処理に対応している。
監視装置1は、制御部10の制御により、キー情報の内容毎に、DNS装置3に対し、IPアドレスの照会を要求する(S304)。ステップS304は、ステップS302にて内容毎に集約した各キー情報を、夫々キー情報とする正引きのDNSクエリパケットを、通信部13から内部通信網NWiを介してDNS装置3へ夫々送信する処理である。ステップS304では、各キー情報に基づいて夫々IPアドレスの照会を要求する。従って、ドメイン名をキー情報とする正引きのDNSクエリパケットだけでなく、IPアドレスをキー情報とする正引きのDNSクエリパケットをも送信することになる。
DNS装置3は、受け付けた正引きのDNSクエリパケットからキー情報を読み取り、読み取ったキー情報に対応するIPアドレスをドメイン名データベース3から抽出する。なお、キー情報がIPアドレスである場合、そのIPアドレスが、対応するIPアドレスとされる。そして、DNS装置3は、対応するIPアドレスを、要求に対する応答として、監視装置1へ送信する。例えば、IPアドレス「aaa.bbb.ccc.ddd 」と、ドメイン名「host.abc.xyz.net. 」とが対応する場合、ドメイン名「host.abc.xyz.net. 」をキー情報とする正引きのDNSクエリパケットに対して、IPアドレス「aaa.bbb.ccc.ddd 」が応答として送信される。また、IPアドレス「aaa.bbb.ccc.ddd 」をキー情報とする正引きのDNSクエリパケットに対しても、IPアドレス「aaa.bbb.ccc.ddd 」が応答として送信される。即ち、対応するIPアドレス及びドメイン名を夫々キー情報とする正引きのDNSクエリパケットに対しては、同じIPアドレスが応答結果となる。正引きのDNSクエリパケットに対するDNS装置3の処理は、図4を用いて説明した照会処理におけるDNS装置3の処理と実質的に同様である。
監視装置1は、制御部10の制御により、通信部13により、キー情報毎の応答結果としてIPアドレスを受信する(S305)。
監視装置1は、制御部10の制御により、応答結果となるIPアドレスが同一である異なる内容のキー情報の組を選択する(S306)。ステップS306では、夫々異なる内容の複数のキー情報に対して、応答結果となるIPアドレスが同一であるキー情報の組を選択する。前述したように、異なるキー情報であっても、対応するIPアドレス及びドメイン名に対しては、同一のIPアドレスが応答結果となる。従って、対応するIPアドレス及びドメイン名が、組として選択されることになる。なお、IPアドレスが同一となるキー情報が他に存在しないキー情報は、組を形成することできないため、選択の対象から除外される。例えば、ドメイン名の照会だけしか必要がないプロトコルに係るアクセスに基づくDNSクエリパケットは、この段階で除外される。即ち、処理の対象を、ドメイン名及びIPアドレスの照会が必要なアクセス、例えば、SSHプロトコルに基づくアクセスに係るパケットに絞り込むことができる。SSHプロトコルに基づくアクセスに絞り込むことにより、SSH辞書攻撃等の攻撃を効率的に検出することができる。
監視装置1は、制御部10の制御により、選択した組に含まれるキー情報の内容毎に、パケットの数を計数し(S307)。ステップS306にて選択された組に含まれるキー情報の内容とは、対応するIPアドレス及びドメイン名である。従って、ステップS307では、組に含まれるIPアドレスをキー情報とするパケットの数と、組に含まれるドメイン名をキー情報とするパケットの数とを計数することになる。
監視装置1は、制御部10の制御により、選択した組のキー情報の内容毎のパケット数が、所定の閾値を超えるか否かを判定する(S308)。ステップS308では、選択した組に含まれるIPアドレスをキー情報とするパケットの数と、当該組に含まれるドメイン名のキー情報とするパケットの数とが、共に閾値を超えるか否かを判定する。組に含まれるIPアドレス及びドメイン名は対応していることから、夫々をキー情報とするパケット数が共に閾値を超える場合、対となるIPアドレス及びドメイン名の組数が閾値を超えていると推定することができる。即ち、ステップS307〜S308の処理は、実質的に、図5を用いて説明した監視処理のステップS203〜S204の処理に対応する。なお、ステップS307〜S308の処理は、ステップS306にて複数の組が選択された場合、各組毎に実行される。
ステップS308において、キー情報の内容毎のパケット数が、所定の閾値を超えると判定した場合(S308:YES)、監視装置1は、制御部10の制御により、組数を計数した組に係るIPアドレスを、出力部14から出力し(S309)、処理を終了する。ステップS308において、キー情報の内容毎のパケット数が、所定の閾値を超えないと判定した場合(S308:YES)、ステップS309の処理を実行せずに、処理を終了する。ステップS308〜S309の処理は、図5を用いて説明した監視処理のステップS204〜S205の処理に対応する。
図5を用いて説明した他の監視方法では、IPアドレス及びドメイン名の対応付けを行った上での組数の計数を行わずとも、IPアドレス及びドメイン名の対の数の計数結果に近似すると考えられる計数結果を算出することができる。従って、状況によっては図4を用いて説明した監視方法の処理負荷を更に軽減することができる。なお、他の監視方法では、DNS装置3に対する照会を行っているが、キー情報の内容毎に1回ずつの照会となるので、大きな処理負荷となることはない。
次に、本発明に係る監視方法を適用した実験結果について説明する。図7は、本発明に係る監視方法の適用の対象とした通信状況を示すグラフである。図7は、或るドメイン名システムに対するDNSクエリパケットの受信状況の経時変化を示している。図7は、横軸に時刻をとり、縦軸に1秒当たりに受信したDNSクエリパケットの数をとって、その関係を示している。図7において、点線は、DNSクエリパケットの総数、実線は、正引きのDNSクエリパケットの数、そして、一点鎖線は、逆引きのDNSクエリパケットの数を示している。図7において、逆引きのDNSクエリパケットは、低い値で安定しているが、4時頃及び8時頃にピークが観測される。また、正引きのDNSクエリパケットの数は、8時頃から21時頃にかけて増加しており、特に8時頃に大きなピークが観測される。
図8は、本発明に係る監視方法の適用の結果を示す説明図である。図8は、図7に示した通信状況のサンプルに対し、本発明に係る監視装置1の他の例として説明した処理を実行した状況を示している。図8は、図7の7時30分から8時30分までの期間を観測期間とし、観測期間中におけるDNSクエリパケットの数をキー情報毎に示している。また、図8の説明図では、パケット数が1000以上であるキー情報のみを、パケット数に基づいて、降順に並べ替えた状況を示している。即ち、図8は、図6を用いて説明した監視処理のステップS301〜S303の処理を実行し、所定数以上のパケットにてキー情報とされているドメイン名又はアドレスに係るパケットを選択した状況を示している。なお、図8において、「eee 」、「fff 」、「ggg 」、「hhh 」、「iii 」及び「jjj 」は、任意の個数の英数字を伏せ字として示した符号である。図8では、ドメイン名「host.abc.xyz.net. 」をキー情報とするDNSクエリパケットが最も多く、次いでIPアドレス「aaa.bbb.ccc.ddd 」をキー情報とするDNSクエリパケットが多いことが示されている。
ここで、ドメイン名「host.abc.xyz.net. 」及びIPアドレス「aaa.bbb.ccc.ddd 」は、対応している。従って、図6のステップS304〜S306の処理により、「host.abc.xyz.net. 」及び「aaa.bbb.ccc.ddd 」のいずれをキー情報とした場合でも応答結果は、「aaa.bbb.ccc.ddd 」となるため、ドメイン名「host.abc.xyz.net. 」及びIPアドレス「aaa.bbb.ccc.ddd 」がキー情報の組として選択されることになる。図8に示す例において、パケットの合計は、40000を超えるが、ステップS304〜S305の処理による照会回数は5回で良い。なお、図8において、3位以降のキー情報は、ドメイン名のみであるため、ステップS306の処理にて組として選択されることはない。
そして、所定の閾値として、10000が設定されている場合、図8のステップS307〜S309の処理により、IPアドレス「aaa.bbb.ccc.ddd 」が出力されることになる。このことより、7時30分から8時30分までの期間において、IPアドレスが「aaa.bbb.ccc.ddd 」である装置から攻撃を受けていた可能性があると判断される。
なお、図7に示す例では、8時頃にDNSクエリパケットの数が極端に増加しているため、正引きのDNSクエリパケットの数又はDNSクエリパケットの総数からだけでも、攻撃を受けている可能性があると推定することができる。しかし、4時頃は、正引きのDNSクエリパケットの数又はDNSクエリパケットの総数に極端な変化はないものの、逆引きのDNSクエリパケットの数が増加していることから、本願の監視方法を適用することで初めて発見可能な攻撃が行われている可能性もあると考えられる。
以上、詳述したように本願に係る監視方法は、SSHプロトコルによるアクセスに対して逆引き及び正引きによる照合を行うSSHサーバ装置等の装置に対して攻撃を受けている場合、攻撃の発見及び攻撃元の特定に特に有効である。そして、本願に係る監視方法を適用することにより、処理負荷の小さい簡単な処理で、短時間に攻撃に対する対策を施すころが可能である。
前記実施の形態は、本願の無数にある形態の一部を例示したに過ぎず、各種ハードウェアの構成及び処理の手順は、目的、用途等に応じて適宜設計することが可能である。
1 監視装置
2 照会要求装置
3 DNS装置
4 不正装置

Claims (8)

  1. ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを監視する監視装置において、
    ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得する取得手段と、
    該取得手段が取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する手段と、
    計数した組数が、所定の閾値を超えるか否かを判定する手段と、
    所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力する出力手段と
    を備えることを特徴とする監視装置。
  2. ドメイン名又はIPアドレスをキー情報の内容とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを監視する監視装置において、
    ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得する取得手段と、
    該取得手段が取得した複数のパケットに係るキー情報の内容毎に、ドメイン名システムに対し、IPアドレスの照会を要求する手段と、
    夫々異なる内容の複数のキー情報に対して応答結果となるIPアドレスが同一である異なる内容のキー情報の組を選択する手段と、
    選択した組に含まれるキー情報の内容毎に、パケットの数を計数する手段と、
    選択した組のキー情報の内容毎のパケットの数が、所定の閾値を超えるか否かを判定する手段と、
    所定の閾値を超えると判定した場合に、選択した組のキー情報に対する応答結果であるIPアドレスを出力する出力手段と
    を備えることを特徴とする監視装置。
  3. 前記取得手段は、所定数以上のパケットにてキー情報とされているドメイン名又はIPアドレスに係るパケットを、以降の処理の対象として選択するようにしてある請求項1又は請求項2に記載の監視装置。
  4. 予め対応付けられている第1情報及び第2情報の対応関係に基づいて、第1情報又は第2情報をキー情報とする照会の要求に対し、キー情報に対応する情報を応答する応答システムの通信を監視する監視装置において、
    応答システムに対する照会の要求に係るキー情報を取得する手段と、
    取得した複数の照会の要求に係るキー情報に基づいて、第1情報をキー情報とした第2情報の照会の要求、及び該要求にてキー情報とした第1情報に対応する第2情報をキー情報とした第2情報の照会の要求の組の数を、対応する第1情報及び第2情報の組み合わせ毎に組数として計数する手段と、
    計数した組数が、所定の閾値を超えるか否かを判定する手段と、
    所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係る第1情報又は第2情報を出力する手段と
    を備えることを特徴とする監視装置。
  5. 請求項1乃至3のいずれかに記載の監視装置と、
    ドメイン名システムに対して、ドメイン名又はIPアドレスをキー情報とする照会を要求する一又は複数の照会要求装置と
    を備え、
    該照会要求装置は、
    アクセスを受け付けた場合に、アクセス元のIPアドレスを取得する手段と、
    取得したIPアドレスをキー情報として、ドメイン名システムに対し、ドメイン名の照会を要求する第1要求手段と、
    該第1要求手段による要求に対する応答としてドメイン名を取得する第1取得手段と、
    該第1取得手段が取得したドメイン名をキー情報として、ドメイン名システムに対し、IPアドレスの照会を要求する第2要求手段と、
    該第2要求手段による要求に対する応答としてIPアドレスを取得する第2取得手段と
    を備えることを特徴とする監視システム。
  6. 前記紹介要求装置は、前記監視装置が備える出力手段が出力したIPアドレスに係る装置からの通信を制限する手段を更に備えることを特徴とする請求項5に記載の監視システム。
  7. ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを監視する監視装置を用いた監視方法において、
    ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得するステップと、
    取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数するステップと、
    計数した組数が、所定の閾値を超えるか否かを判定するステップと、
    所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力するステップと
    を実行することを特徴とする監視方法。
  8. ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを、コンピュータに監視させる監視プログラムにおいて、
    コンピュータに、
    ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得させる手順と、
    取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数させる手順と、
    計数した組数が、所定の閾値を超えるか否かを判定させる手順と、
    所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力させる手順と
    を実行させることを特徴とする監視プログラム。
JP2009251131A 2009-10-30 2009-10-30 監視装置、監視システム、監視方法及び監視プログラム Pending JP2011097468A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009251131A JP2011097468A (ja) 2009-10-30 2009-10-30 監視装置、監視システム、監視方法及び監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009251131A JP2011097468A (ja) 2009-10-30 2009-10-30 監視装置、監視システム、監視方法及び監視プログラム

Publications (1)

Publication Number Publication Date
JP2011097468A true JP2011097468A (ja) 2011-05-12

Family

ID=44113887

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009251131A Pending JP2011097468A (ja) 2009-10-30 2009-10-30 監視装置、監視システム、監視方法及び監視プログラム

Country Status (1)

Country Link
JP (1) JP2011097468A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018045992A1 (zh) * 2016-09-09 2018-03-15 华为技术有限公司 地址管理方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018045992A1 (zh) * 2016-09-09 2018-03-15 华为技术有限公司 地址管理方法及装置
US10893019B2 (en) 2016-09-09 2021-01-12 Huawei Technologies Co., Ltd. Address management method and apparatus

Similar Documents

Publication Publication Date Title
US10664602B2 (en) Determining malware prevention based on retrospective content scan
US9985994B2 (en) Enforcing compliance with a policy on a client
US8161538B2 (en) Stateful application firewall
US11652792B2 (en) Endpoint security domain name server agent
JP6006788B2 (ja) ドメイン名をフィルタリングするためのdns通信の使用
US7849507B1 (en) Apparatus for filtering server responses
WO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
US20050138402A1 (en) Methods and apparatus for hierarchical system validation
US8191131B2 (en) Obscuring authentication data of remote user
GB2512954A (en) Detecting and marking client devices
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
JP2009295187A (ja) ファイアウォールサービス提供方法
EP1741045A2 (en) Dynamic executable
US11822660B2 (en) Disarming malware in protected content
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP2009239525A (ja) フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
CN112019516B (zh) 一种共享文件的访问控制方法、装置、设备及存储介质
CN114402567A (zh) 算法生成的域的在线检测
CN108259473A (zh) Web服务器扫描防护方法
WO2020221095A1 (zh) 网络的访问控制方法和设备
US11736516B2 (en) SSL/TLS spoofing using tags
Sinha et al. CookieArmor: Safeguarding against cross‐site request forgery and session hijacking
JP2011097468A (ja) 監視装置、監視システム、監視方法及び監視プログラム
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
JP2005328373A (ja) ネットワークセキュリティシステム