JP2013255196A - ネットワーク監視装置及びネットワーク監視方法 - Google Patents
ネットワーク監視装置及びネットワーク監視方法 Download PDFInfo
- Publication number
- JP2013255196A JP2013255196A JP2012131286A JP2012131286A JP2013255196A JP 2013255196 A JP2013255196 A JP 2013255196A JP 2012131286 A JP2012131286 A JP 2012131286A JP 2012131286 A JP2012131286 A JP 2012131286A JP 2013255196 A JP2013255196 A JP 2013255196A
- Authority
- JP
- Japan
- Prior art keywords
- header
- address
- network monitoring
- abnormal traffic
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出することを課題とする。
【解決手段】ネットワーク監視装置10は、各々の中継装置から当該中継装置で動作するエージェントによってスイッチを通過するパケットがサンプリングされたヘッダサンプルを含むフロー情報を収集し、収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出し、抽出されたIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出する。
【選択図】図1
【解決手段】ネットワーク監視装置10は、各々の中継装置から当該中継装置で動作するエージェントによってスイッチを通過するパケットがサンプリングされたヘッダサンプルを含むフロー情報を収集し、収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出し、抽出されたIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出する。
【選択図】図1
Description
本発明の実施形態は、ネットワーク監視装置及びネットワーク監視方法に関する。
IP(Internet Protocol)ネットワークにおいて、外部からの攻撃などの異常トラフィックを検出するために、IDS(Intrusion Detection System)が用いられている。かかるIDSを用いて異常トラフィックを検出する技術の一例としては、予め用意されたシグネチャを用いて観測トラフィックの異常を検出する技術が挙げられる。
米国Snort.org資料、SNORT Users Manual、[online]、[平成24年6月3日検索]、インターネット<http://www.snort.org/assets/166/snort_manual.pdf>
しかしながら、上記のIDSでは、通信路ごとに設置する必要があるので、ネットワーク全体を監視するためには外部IPネットワークと接続する全通信路に設置しなければならないという問題がある。
そこで、本発明の実施形態は、上記に鑑みてなされたものであって、ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出できるネットワーク監視装置及びネットワーク監視方法を提供することを目的とする。
実施形態に係るネットワーク監視装置は、複数の中継装置を含むネットワークのトラフィックを監視するネットワーク監視装置であって、各々の中継装置から当該中継装置で動作するエージェントによって前記中継装置を通過するパケットがサンプリングされたヘッダサンプルを含むフロー情報を収集する収集部と、前記収集部によって収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出する抽出部と、前記抽出部によって抽出されたIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出する検出部とを有する。
実施形態に係るネットワーク監視装置の一つの態様によれば、ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出できるという効果を奏する。
以下に、本発明の実施形態に係るネットワーク監視装置及びネットワーク監視方法を図面に基づいて詳細に説明する。なお、この実施形態は本発明を限定するものではない。そして、各実施形態は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
[第1の実施形態]
[ネットワークシステム1の構成]
まず、図1を用いて、第1の実施形態に係るネットワークシステムについて説明する。図1は、第1の実施形態に係るネットワークシステム1の構成例を示す図である。図1に例示するように、第1の実施形態に係るネットワークシステム1には、ユーザ端末20と、スイッチ30A〜30Dと、Webサーバ50とが収容される。
[ネットワークシステム1の構成]
まず、図1を用いて、第1の実施形態に係るネットワークシステムについて説明する。図1は、第1の実施形態に係るネットワークシステム1の構成例を示す図である。図1に例示するように、第1の実施形態に係るネットワークシステム1には、ユーザ端末20と、スイッチ30A〜30Dと、Webサーバ50とが収容される。
図1に示すネットワークシステム1には、1台のユーザ端末20と、4台のスイッチ30A〜30Dと、1台のWebサーバ50とが含まれる例を示したが、ネットワークシステム1に含まれる各装置の台数は図1に示した例に限られない。例えば、ネットワークシステム1には、複数台のユーザ端末が含まれてもよいし、複数台のWebサーバが含まれてもよいし、3台以下のスイッチが含まれてもよいし、5台以上のスイッチが含まれてもよい。なお、図1の例では、スイッチを中継装置として例示したが、スイッチの代わりに一部または全部をルータに置き換えることとしてもかまわない。
ユーザ端末20は、スイッチ30A〜30DやWebサーバ50と通信を行う通信装置であり、例えば、PC(Personal Computer)やPDA(Personal Digital Assistant)等である。図1に示す例では、ユーザ端末20は、スイッチ30Bと通信可能に接続される。なお、ユーザ端末20と接続されるスイッチはスイッチ30Bに限られない。例えば、ユーザ端末20は、スイッチ30B以外のスイッチ30A、スイッチ30Cやスイッチ30Dなどと接続されてもよい。
Webサーバ50は、各種Webサービスを提供する通信装置である。例えば、Webサーバ50は、スイッチ30A〜30Dのいずれかを経由して、ユーザ端末20からHTTP(HyperText Transfer Protocol)リクエストを受信した場合に、HTML(HyperText Markup Language)ファイル等をユーザ端末20に返信する。図1に示す例では、Webサーバ50は、スイッチ30Cと通信可能に接続される。なお、Webサーバ50と接続されるスイッチはスイッチ30Cに限られない。例えば、Webサーバ50は、スイッチ30C以外のスイッチ30Aやスイッチ30Bやスイッチ30Dなどと接続されてもよい。
また、図1に示す例では、ネットワークシステム1にWebサーバ50が含まれる例を示したが、ネットワークシステム1には、Webサービス以外のサービスを提供するサーバ装置が含まれてもよい。例えば、ネットワークシステム1には、電子メールの送受信処理を中継するメールサーバ、ファイルを管理するファイルサーバやその他のアプリケーションサーバが含まれてもよい。
スイッチ30A〜30Dは、IPパケットを中継する通信装置、すなわちIPパケットを転送するパケット転送装置である。図1に示す例では、スイッチ30Aは、他の通信装置(スイッチ30B又は30C等)との間でIPパケットを送受信するIF(InterFace)部31A及び32Aを有する。また、スイッチ30BはIF部31B〜33Bを有し、スイッチ30CはIF部31C〜33Cを有し、スイッチ30DはIF部31D及び32Dを有する。これらスイッチ30A〜30Dが有するIF部の数は、図1に示す例に限定されない。例えば、スイッチ30Aは、3個以上のIF部を有してもよく、また、スイッチ30Bは、2個のIF部又は4個以上のIF部を有してもよい。なお、以下では、スイッチ30A〜30Dを区別なく説明する場合に「スイッチ30」と総称する場合がある。
各IF部は、図1に図示するように接続される。一例を挙げて説明すると、スイッチ30AのIF部31Aとスイッチ30BのIF部31Bとが接続され、スイッチ30AのIF部32Aとスイッチ30CのIF部31Cとが接続される。また、スイッチ30BのIF部33Bとユーザ端末20とが接続され、スイッチ30CのIF部33CとWebサーバ50とが接続される。
さらに、図1に示す各IF部には、図示したIPアドレスが割り当てられているものとする。一例を挙げて説明すると、IF部31AにはIPアドレス「10.1.1.1」が割り当てられ、IF部32AにはIPアドレス「10.2.1.2」が割り当てられる。また、図1に示すように、ユーザ端末20のIPアドレスは「10.0.0.1」であり、Webサーバ50のIPアドレスは「10.2.3.1」であるものとする。
ネットワーク監視装置10は、ネットワークシステム1のトラフィックを監視する装置である。一態様としては、ネットワーク監視装置10は、sFlow(登録商標)、NetFlow(登録商標)やIPFIX等の技術が適用されたスイッチ30A〜30Dからフロー情報を収集する。すなわち、ネットワーク監視装置10は、スイッチ30A〜30Dが有するIF部ごとに、かかるIF部によって送受信されるトラフィック量やパケットに関する情報を含むフロー情報を収集する。その上で、ネットワーク監視装置10は、スイッチ30から収集したフロー情報中のヘッダサンプルに含まれるIPヘッダデータやペイロードデータを用いて、各種の異常トラフィックを検出する。
このように、本実施形態に係るネットワーク監視装置10は、各々の通信路にIDSを設置するのではなく、ネットワークシステム1に含まれるスイッチやルータ等の中継装置からフロー情報を収集した上でそのフロー情報から各種の異常トラフィックを検出する。これによって、ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出することを可能にする。
なお、以下では、一例として、sFlow(登録商標)エージェントが内蔵または付設されたスイッチ30からsFlow(登録商標)パケットを収集する場合を想定して説明を行う。これらスイッチ30でトラフィックをモニタリングしたり、パケットをサンプリングしたりするsFlow(登録商標)エージェントはハードウェアによって実装されることとしてもよいし、ソフトウェアによって実装されることとしてもかまわない。
[ネットワーク監視装置10の構成]
続いて、本実施形態に係るネットワーク監視装置10について説明する。図2は、第1の実施形態に係るネットワーク監視装置10の構成を示す図である。図2に示すように、ネットワーク監視装置10は、収集部11と、抽出部12と、第1の検出部13と、ダークネット・シグネチャDB14aと、第2の検出部14と、第3の検出部15と、関連付け情報DB16aと、登録部16と、出力制御部17とを有する。なお、ネットワーク監視装置10は、図2に示した機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイスなどの機能部を有することとしてもかまわない。
続いて、本実施形態に係るネットワーク監視装置10について説明する。図2は、第1の実施形態に係るネットワーク監視装置10の構成を示す図である。図2に示すように、ネットワーク監視装置10は、収集部11と、抽出部12と、第1の検出部13と、ダークネット・シグネチャDB14aと、第2の検出部14と、第3の検出部15と、関連付け情報DB16aと、登録部16と、出力制御部17とを有する。なお、ネットワーク監視装置10は、図2に示した機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイスなどの機能部を有することとしてもかまわない。
このうち、収集部11は、スイッチ30からフロー情報を収集する処理部である。一態様としては、収集部11は、sFlow(登録商標)コレクタとして機能し、各々のスイッチ30A〜30Dごとに、当該スイッチ30に内蔵または付設されたsFlow(登録商標)エージェントによってモニタリング及びサンプリングが実行されたカウンタサンプルやヘッダサンプルの他、拡張情報を含むフローサンプルを含むフロー情報を収集する。
例えば、ユーザ端末20がWebサーバ50からHTTPのGETコマンドを用いてHTMLファイルを取得する場合を想定する。具体例を挙げて説明すると、ユーザ端末20によって送信元のIPアドレス「10.0.0.1」、宛先のIPアドレス「10.2.3.1」、プロトコル「TCP」、送信先ポート番号「80」及びペイロードデータ「http get」とされたIPパケットが送信される。このとき、ユーザ端末20から送信されたIPパケットは、スイッチ30B、スイッチ30A、スイッチ30Cの順に各スイッチを経由してWebサーバ50に到達するものとする。この場合には、スイッチ30B、スイッチ30A及びスイッチ30Cからカウンタサンプル、ヘッダサンプル及びフローサンプルを含むフロー情報が収集されることになる。
抽出部12は、フロー情報に含まれる所望のデータを抽出する処理部である。一態様としては、抽出部12は、収集部11によって収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出する。さらに、抽出部12は、IPヘッダデータに含まれる送信元のIPアドレス、宛先のIPアドレス、プロトコル、ポート番号を抽出したり、ペイロードデータに含まれるプロトコルヘッダを抽出したりする。また、抽出部12は、フロー情報中のフローサンプルに含まれるIPパケット生成元のAS番号などの拡張情報を抽出することもできる。
図3は、フロー情報の一例を示す図である。図3の最下段に示すように、sFlow(登録商標)データグラムは、UDP(User Datagram Protocol)上にカプセル化されて収集される。かかるsFlow(登録商標)データグラムには、sFlow(登録商標)のバージョンやエージェントのアドレスなどが記述されたsFlow(登録商標)ヘッダと、パケット数やバイト数、エラー数といったトラフィックに関する情報が格納されるカウンタサンプルと、エージェントによってサンプリングされたIPパケットの一部分が格納されるヘッダサンプルと、IPパケットの生成元が所属するAS(Autonomous System:自律システム)番号やURL(Uniform Resource Locator)などの拡張情報を含むフローサンプルとが含まれる。このうち、ヘッダサンプル中のIPヘッダデータに含まれる送信元のIPアドレス、宛先のIPアドレス、プロトコル及びポート番号が抽出されるとともに、ペイロードデータに含まれるプロトコルヘッダが抽出される。また、フローサンプルに拡張データが含まれる場合には、IPパケット生成元のAS番号も抽出される。
第1の検出部13は、ポリシー情報を用いて、異常トラフィックを検出する処理部である。一態様としては、第1の検出部13は、抽出部12によって抽出されたデータのうちIPヘッダデータから抽出されたプロトコル及びポート番号を参照する。一方、第1の検出部13は、図示しない内部メモリに記憶されたポリシー情報を読み出す。かかるポリシー情報の一例としては、ネットワークシステム1内で使用が許可されたプロトコル及びポート番号が定義された情報が挙げられる。その上で、第1の検出部13は、IPヘッダデータに含まれるプロトコル及びポート番号が内部メモリから読み出したポリシー情報に登録されているか否かを判定する。このとき、第1の検出部13は、ネットワークシステム1内で使用が許可されていないプロトコルまたはポート番号がIPヘッダデータに含まれる場合には、当該IPヘッダに対応するトラフィックが異常トラフィックであると判定する。
この場合には、異常トラフィックの種別としてプロトコルまたはポート番号の違反に対応して採番された種別番号「1」、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを関連付けた関連付け情報が後述の関連付け情報DB16aへ登録される。このとき、フローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報が後述の関連付け情報DB16aへ登録される。
ダークネット・シグネチャDB14aは、IPアドレスリストと、シグネチャのパターンファイルとを記憶する記憶部である。かかるIPアドレスリストの一例としては、未割当もしくは使用されていないIPアドレスの空間がダークネットとして登載されたリストが挙げられる。他の一例としては、マルウェア感染やDos攻撃に関するブラックリストに指定されたIPアドレスが登載されたリストが挙げられる。例えば、ブラックリストには、マルウェアが感染対象を探索する場合に探索のアルゴリズムから推測されるIPアドレスを指定することができる。また、パターンファイルの一例としては、Webアプリケーション等のアプリケーションの脆弱性を狙った不正パターンの特徴がシグネチャとして定義されたファイルが挙げられる。なお、上記のIPアドレスリストやパターンファイルは、ネットワークシステム1のオペレータからの指示にしたがって任意のタイミングで任意の内容に更新することができる。
第2の検出部14は、ダークネット・シグネチャDB14aを用いて、異常トラフィックを検出する処理部である。一態様としては、第2の検出部14は、ダークネット・シグネチャDB14aに記憶されたダークネット及びブラックリスト指定のIPアドレスリストを読み出す。そして、第2の検出部14は、抽出部12によってIPヘッダデータから抽出された送信元のIPアドレス及び宛先のIPアドレスがIPアドレスリストに登録されているか否かを判定する。
ここで、送信元のIPアドレスまたは宛先のIPアドレスがIPアドレスリストに登録されている場合には、マルウェアが感染対象を探索するためにスキャンを行っていたり、マルウェアが感染対象を攻撃するためにファイルを送信していたり、送信元のIPアドレスが詐称されたDos攻撃に返信を行っているトラフィックのおそれが高い。このため、第2の検出部14は、マルウェア感染またはDos攻撃に起因する異常トラフィックであると判定する。
この場合には、異常トラフィックの種別としてIPアドレスリストの違反に対応して採番された種別番号「2」、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを関連付けた関連付け情報が後述の関連付け情報DB16aへ登録される。なお、フローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報が後述の関連付け情報DB16aへ登録される。
一方、第2の検出部14は、送信元のIPアドレス及び宛先のIPアドレスがIPアドレスリストに登録されていない場合に、抽出部12によってIPヘッダデータから抽出されたRFCの仕様がRFC(Request For Comment)違反であるか否か、例えばWebサーバ50の管理者によって定められたRFCの仕様と異なるか否かをさらに判定する。このとき、第2の検出部14は、RFC違反である場合には、当該RFC違反のあるトラフィックを異常トラフィックと判定する。
この場合には、異常トラフィックの種別としてRFC違反に対応して採番された種別番号「3」、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを関連付けた関連付け情報が後述の関連付け情報DB16aへ登録される。なお、フローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報が後述の関連付け情報DB16aへ登録される。
また、第2の検出部14は、RFC違反でない場合に、抽出部12によってペイロードデータから抽出されたプロトコルヘッダを参照する。そして、第2の検出部14は、ダークネット・シグネチャDB14aからシグネチャのパターンファイルを読み出す。その上で、第2の検出部14は、抽出部12によってペイロードデータから抽出されたプロトコルヘッダと、シグネチャのパターンファイルとをマッチングする。このとき、パターンファイルに定義されたシグネチャがプロトコルヘッダに含まれる場合には、Webアプリケーション等のアプリケーションの脆弱性を狙ってプロトコル違反や攻撃が行われているトラフィックのおそれが高い。このため、第2の検出部14は、アプリケーションへの攻撃に起因する異常トラフィックであると判定する。
この場合には、異常トラフィックの種別としてシグネチャ違反に対応して採番された種別番号「4」、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを関連付けた関連付け情報が後述の関連付け情報DB16aへ登録される。なお、フローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報が後述の関連付け情報DB16aへ登録される。
第3の検出部15は、フロー情報の収集元の中継装置および送信元と宛先のIPアドレスの組合せごとに時系列に記録されたデータが所定の条件を満たすか否かを判定することによって異常トラフィックを検出する処理部である。
一態様としては、第3の検出部15は、フロー情報の収集元の中継装置および送信元と宛先のIPアドレスの組合せごとにプロトコルヘッダを図示しない内部メモリへ時系列に記録する。その上で、第3の検出部15は、例えば、(イ)HTTPヘッダ内にファイル情報が含まれているか否か、(ロ)HTTPヘッダのサイズやURL長等が他の送信元のIPアドレスと乖離しているか否か、さらには、(ハ)一定期間の送信パケット量と受信パケット量の比率が所定の閾値を超えているか否か等を判定する。このとき、第3の検出部15は、HTTPヘッダ内にファイル情報が含まれている場合、HTTPヘッダサイズやURL長等が他の送信元のIPアドレスと乖離している場合、一定期間の送信パケット量と受信パケット量の比率が一定値を超えている場合には、異常トラフィックと判定する。上記の条件(イ)を判定することによって、例えば、ユーザ端末20が攻撃者に乗っ取られ、ユーザが意図せずユーザ端末20から攻撃者が用意したIPアドレス宛にユーザ端末20内のファイル情報がHTTPヘッダ内のURL情報等に組み込まれて送信されたことを検出できる。
この場合には、異常トラフィックの種別として上記の(イ)、(ロ)及び(ハ)の3つの条件のうちいずれかの条件の違反に対応して採番された種別番号「5」、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを関連付けた関連付け情報が後述の関連付け情報DB16aへ登録される。このとき、フローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報が後述の関連付け情報DB16aへ登録される。なお、ここでは、(イ)、(ロ)及び(ハ)の3つの条件のうちいずれかの条件に違反するケースに1つの種別番号を割り当てる場合を例示したが、各条件ごとに種別番号を割り当てることとしてもかまわない。
登録部16は、第1の検出部13、第2の検出部14または第3の検出部15によって異常トラフィックが検出された場合に、当該異常トラフィックに関する所定の項目が関連付けられた関連付け情報を関連付け情報DB16aへ登録する処理部である。一態様としては、登録部16は、異常トラフィックの種別番号、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを対応付けて関連付け情報DB16aへ登録する。このとき、登録部16は、抽出部12によってフローサンプルから拡張情報が抽出されている場合には、IPパケット生成元のAS番号が併せて関連付けられた関連付け情報を関連付け情報DB16aへ登録する。
関連付け情報DB16aは、関連付け情報を記憶する記憶部である。かかる関連付け情報には、上述のように、少なくとも異常トラフィックの種別番号、中継装置のIPアドレス、送信元と宛先のIPアドレスが含まれ、オプションとしてIPパケット生成元のAS番号が含まれる場合がある。
出力制御部17は、第1の検出部13、第2の検出部14または第3の検出部15によって異常トラフィックが検出された場合に、当該異常トラフィックの検出に関する出力制御を実行する処理部である。一態様としては、出力制御部17は、異常トラフィックが検出されると、異常トラフィックの種別番号が同一であり、かつ異常トラフィックが検出された中継装置とは異なる中継装置のIPアドレスを含む関連付け情報を関連付け情報DB16aから検索する。このとき、出力制御部17は、送信元のIPアドレス及び宛先のIPアドレスが同一である関連付け情報に絞り込んで検索することもできるし、また、出力制御部17は、送信元のIPアドレスまたは宛先のIPアドレスのうち一方が同一である関連付け情報に絞り込んで検索することもできる。また、出力制御部17は、IPパケット生成元のAS番号が同一である関連付け情報に絞り込んで検索することもできる。
その上で、出力制御部17は、当該異常トラフィックに関する情報、例えば異常トラフィックの種別番号、中継装置のIPアドレス及び送信元と宛先のIPアドレスとともに、検索結果として得られた関連付け情報を所定の出力先へ出力させる。かかる出力先の一例としては、図示しないネットワーク監視装置10の表示部であってもよいし、ネットワーク監視装置10に接続されたコンソールであってもよいし、また、他の外部装置の表示部であってもよい。これによって、異常トラフィックが発生した中継装置に関する情報だけでなく、同種の異常トラフィックが発生した中継装置に関する情報を併せてネットワークシステム1のオペレータに報知できる。
このように、本実施形態に係るネットワーク監視装置10では、同一装置内の情報だけでネットワークの複数箇所で発生した異常トラフィックを関連付けることを可能にし、ネットワーク全体で未使用等不正なIPアドレスやブラックリストのIPアドレスではないか、プロトコル違反していないか、脆弱性に対する攻撃ではないか、過去の傾向と逸脱していないか等の異常判断が可能になる。
なお、図1に示した収集部11、抽出部12、第1の検出部13、第2の検出部14、第3の検出部15、登録部16及び出力制御部17などの各種の機能部には、各種の集積回路や電子回路を採用できる。例えば、集積回路としては、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)が挙げられる。また、電子回路としては、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などが挙げられる。
また、図1に示したダークネット・シグネチャDB14a及び関連付け情報DB16aなどを記憶する記憶部には、次のようなデバイスを採用できる。例えば、RAM(Random Access Memory)、ROM(Read Only Memory)やフラッシュメモリ(flash memory)などの半導体メモリ素子を採用できる。また、ハードディスク、光ディスクなどの記憶装置も採用できる。
[処理の流れ]
次に、本実施形態に係るネットワーク監視装置10の処理の流れについて説明する。図4は、第1の実施形態に係るネットワーク監視処理の手順を示すフローチャートである。このネットワーク監視処理は、ネットワーク監視装置10の電源がON状態である限り、繰り返し実行される処理である。
次に、本実施形態に係るネットワーク監視装置10の処理の流れについて説明する。図4は、第1の実施形態に係るネットワーク監視処理の手順を示すフローチャートである。このネットワーク監視処理は、ネットワーク監視装置10の電源がON状態である限り、繰り返し実行される処理である。
図4に示すように、収集部11によってスイッチ30等からフロー情報が収集されると(ステップS101)、抽出部12は、フロー情報中のヘッダサンプルに含まれるIPヘッダデータ、ペイロードデータ及びIPパケット生成元のAS番号などの拡張情報を抽出する(ステップS102)。
続いて、第1の検出部13は、抽出部12によって抽出されたデータのうちIPヘッダデータを参照する(ステップS103)。そして、第1の検出部13は、図示しない内部メモリに記憶されたポリシー情報を読み出す(ステップS104)。
その上で、第1の検出部13は、IPヘッダデータに含まれるプロトコルがポリシー情報に登録されているか否かを判定する(ステップS104)。このとき、IPヘッダデータに含まれるプロトコルがポリシー情報に登録されている場合(ステップS104,Yes)には、第1の検出部13は、IPヘッダデータに含まれるポート番号がポリシー情報に登録されているか否かをさらに判定する(ステップS105)。
そして、IPヘッダデータに含まれるポート番号もポリシー情報に登録されている場合(ステップS105,Yes)には、ダークネット・シグネチャDB14aに記憶されたダークネット及びブラックリスト指定のIPアドレスリストを読み出す(ステップS106)。
続いて、第2の検出部14は、抽出部12によってIPヘッダデータから抽出された送信元のIPアドレス及び宛先のIPアドレスがIPアドレスリストに登録されているか否かを判定する(ステップS107)。
そして、送信元のIPアドレス及び宛先のIPアドレスがIPアドレスリストに登録されていない場合(ステップS107,Yes)には、抽出部12によってIPヘッダデータから抽出されたRFCの仕様がRFC違反であるか否か、例えばWebサーバ50の管理者によって定められたRFCの仕様と異なるか否かをさらに判定する(ステップS108)。
このとき、RFC違反でない場合、すなわちRFCの仕様が正規のものである場合(ステップS108,Yes)には、第2の検出部14は、抽出部12によってペイロードデータから抽出されたプロトコルヘッダを参照する(ステップS109)。そして、第2の検出部14は、ダークネット・シグネチャDB14aからシグネチャのパターンファイルを読み出す(ステップS110)。
その上で、第2の検出部14は、抽出部12によってペイロードデータから抽出されたプロトコルヘッダと、シグネチャのパターンファイルとをマッチングする(ステップS111)。
このとき、パターンファイルに定義されたシグネチャがプロトコルヘッダに含まれない場合(ステップS111,Yes)には、第3の検出部15は、時系列に記録されたプロトコルヘッダのデータが所定の条件を満たすか否かを判定する(ステップS112)。
そして、時系列に記録されたプロトコルヘッダのデータが所定の条件を満たさなければ(ステップS112,Yes)、第3の検出部15は、観測しているトラフィックに異常がないと判定し、そのまま処理を終了する。
一方、ステップS104,No、ステップS105,No、ステップS107,No、ステップS108,No、ステップS111,NoまたはステップS112,Noのいずれかの場合には、異常トラフィックと判定される。すなわち、IPヘッダデータに含まれるプロトコルまたはポート番号がポリシー情報に登録されていない場合、送信元のIPアドレス及び宛先のIPアドレスがIPアドレスリストに登録されている場合、RFC違反である場合、パターンファイルに定義されたシグネチャがプロトコルヘッダに含まれる場合、あるいは時系列に記録されたプロトコルヘッダのデータが所定の条件を満たす場合には、異常トラフィックと判定される。
これらの場合には、登録部16は、異常トラフィックの種別番号、IPヘッダデータがサンプリングされたスイッチ30のIPアドレス、IPヘッダデータに含まれる送信元及び宛先のIPアドレスを対応付けて関連付け情報DB16aへ登録する(ステップS113)。
そして、出力制御部17は、異常トラフィックに関する情報、例えば異常トラフィックの種別番号、中継装置のIPアドレス及び送信元と宛先のIPアドレスとともに、当該異常トラフィックと同種の異常トラフィックが検出された関連付け情報を所定の出力先へ報知し(ステップS114)、処理を終了する。
なお、図4に示すフローチャートで実行される各判定処理、すなわちステップS104、ステップS105、ステップS107、ステップS108、ステップS111及びステップS112は、互いの順序を入れ換えて実行することもできるし、同時に並行して実行することもできる。
[実施例1の効果]
上述してきたように、本実施形態に係るネットワーク監視装置10によれば、各々の通信路にIDSを設置するのではなく、ネットワークシステム1に含まれるスイッチやルータ等の中継装置からフロー情報を収集した上でそのフロー情報から抽出されるIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出するので、ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出できる。
上述してきたように、本実施形態に係るネットワーク監視装置10によれば、各々の通信路にIDSを設置するのではなく、ネットワークシステム1に含まれるスイッチやルータ等の中継装置からフロー情報を収集した上でそのフロー情報から抽出されるIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出するので、ネットワーク全体のトラフィックを集中監視して異常トラフィックを検出できる。
さらに、本実施形態に係るネットワーク監視装置10によれば、少なくとも異常トラフィックの種別番号、中継装置のIPアドレス、送信元と宛先のIPアドレスが関連付けられた関連付け情報を登録するので、同一装置内の情報だけでネットワークの複数箇所で発生した異常トラフィックを関連付けることを可能にし、ネットワーク全体で未使用等不正なIPアドレスやブラックリストのIPアドレスではないか、プロトコル違反していないか、脆弱性に対する攻撃ではないか、過去の傾向と逸脱していないか等の異常判断が可能になる。
さらに、本実施形態に係るネットワーク監視装置10によれば、異常トラフィックが発生した中継装置に関する情報だけでなく、同種の異常トラフィックが発生した中継装置に関する情報を併せてネットワークシステム1のオペレータに報知できる。
[第2の実施形態]
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施形態を説明する。
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施形態を説明する。
[分散および統合]
図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、収集部11、抽出部12、第1の検出部13、第2の検出部14、第3の検出部15、登録部16または出力制御部17をネットワーク監視装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、収集部11、抽出部12、第1の検出部13、第2の検出部14、第3の検出部15、登録部16または出力制御部17を別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のネットワーク監視装置10の機能を実現するようにしてもよい。
図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、収集部11、抽出部12、第1の検出部13、第2の検出部14、第3の検出部15、登録部16または出力制御部17をネットワーク監視装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、収集部11、抽出部12、第1の検出部13、第2の検出部14、第3の検出部15、登録部16または出力制御部17を別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のネットワーク監視装置10の機能を実現するようにしてもよい。
[ネットワーク監視プログラム]
図5は、第2の実施形態に係るネットワーク監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図5に例示するように、コンピュータは、例えば、メモリと、CPUと、ハードディスクドライブインタフェースと、ディスクドライブインタフェースと、シリアルポートインタフェースと、ビデオアダプタと、ネットワークインタフェースとを有し、これらの各部はバスによって接続される。
図5は、第2の実施形態に係るネットワーク監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図5に例示するように、コンピュータは、例えば、メモリと、CPUと、ハードディスクドライブインタフェースと、ディスクドライブインタフェースと、シリアルポートインタフェースと、ビデオアダプタと、ネットワークインタフェースとを有し、これらの各部はバスによって接続される。
メモリは、図5に例示するように、ROM及びRAMを含む。ROMは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェースは、図5に例示するように、ハードディスクドライブに接続される。ディスクドライブインタフェースは、図5に例示するように、ディスクドライブに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェースは、図5に例示するように、例えばマウス、キーボードに接続される。ビデオアダプタは、図5に例示するように、例えばディスプレイに接続される。
ここで、図5に例示するように、ハードディスクドライブは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、第2の実施形態に係るネットワーク監視プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブに記憶される。具体的には、上記実施形態で説明した監視サーバの各種の機能部と同様の情報処理を実行する監視手順が記述されたプログラムモジュールが、ハードディスクドライブに記憶される。また、上記実施形態で説明した各種の記憶部に記憶されるデータのように、ネットワーク監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブに記憶される。そして、CPUが、ハードディスクドライブに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAMに読み出し、監視手順を実行する。
なお、ネットワーク監視プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPUによって読み出されてもよい。あるいは、ネットワーク監視プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク、WAN(Wide Area Network)等を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPUによって読み出されてもよい。
1 ネットワークシステム
10 ネットワーク監視装置
11 収集部
12 抽出部
13 第1の検出部
14a ダークネット・シグネチャDB
14 第2の検出部
15 第3の検出部
16 登録部
16a 関連付け情報DB
17 出力制御部
20 ユーザ端末
30A,30B,30C,30D スイッチ
50 Webサーバ
10 ネットワーク監視装置
11 収集部
12 抽出部
13 第1の検出部
14a ダークネット・シグネチャDB
14 第2の検出部
15 第3の検出部
16 登録部
16a 関連付け情報DB
17 出力制御部
20 ユーザ端末
30A,30B,30C,30D スイッチ
50 Webサーバ
Claims (8)
- 複数の中継装置を含むネットワークのトラフィックを監視するネットワーク監視装置であって、
各々の中継装置から当該中継装置で動作するエージェントによって前記中継装置を通過するパケットがサンプリングされたヘッダサンプルを含むフロー情報を収集する収集部と、
前記収集部によって収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出する抽出部と、
前記抽出部によって抽出されたIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出する検出部と
を有することを特徴とするネットワーク監視装置。 - 前記検出部によって異常トラフィックが検出された場合に、前記異常トラフィックの種別、前記異常トラフィックが検出されたフロー情報の収集元である中継装置、前記IPヘッダデータに含まれる送信元及び宛先のIPアドレスを対応付けて所定の記憶部へ登録する登録部をさらに有することを特徴とする請求項1に記載のネットワーク監視装置。
- 前記検出部は、前記ネットワーク内で使用が許可されたプロトコル及びポート番号が定義されたポリシー情報を参照し、前記IPヘッダデータに含まれるプロトコル及びポート番号が前記ポリシー情報に登録されているか否かを判定することによって異常トラフィックを検出することを特徴とする請求項1または2に記載のネットワーク監視装置。
- 前記検出部は、未割当もしくは使用されていないIPアドレスまたはブラックリストに指定されたIPアドレスが定義されたIPアドレスリストを参照し、前記IPヘッダデータに含まれる送信元のIPアドレス及び宛先のIPアドレスが前記IPアドレスリストに登録されているか否かを判定することによって異常トラフィックを検出することを特徴とする請求項1または2に記載のネットワーク監視装置。
- 前記検出部は、前記IPヘッダデータに含まれるRFCの仕様が所定のRFCの仕様と異なるか否かを判定することによって異常トラフィックを検出することを特徴とする請求項1または2に記載のネットワーク監視装置。
- 前記検出部は、シグネチャが定義されたパターンファイルを参照し、前記パターンファイルに定義されたシグネチャが前記ペイロードデータのプロトコルヘッダに含まれるか否かを判定することによって異常トラフィックを検出することを特徴とする請求項1または2に記載のネットワーク監視装置。
- 前記検出部は、収集元の中継装置および送信元と宛先のIPアドレスの組合せごとに前記ペイロードデータに含まれるプロトコルヘッダを時系列に記録し、時系列に記録されたプロトコルヘッダが所定の条件を満たすか否かを判定することによって異常トラフィックを検出することを特徴とする請求項1または2に記載のネットワーク監視装置。
- 複数の中継装置を含むネットワークのトラフィックを監視するネットワーク監視装置で実行されるネットワーク監視方法であって、
各々の中継装置から当該中継装置で動作するエージェントによって前記中継装置を通過するパケットがサンプリングされたヘッダサンプルを含むフロー情報を収集する収集工程と、
前記収集工程によって収集されたフロー情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出する抽出工程と、
前記抽出工程によって抽出されたIPヘッダデータまたはペイロードデータを用いて、異常トラフィックを検出する検出工程と
を含んだことを特徴とするネットワーク監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012131286A JP2013255196A (ja) | 2012-06-08 | 2012-06-08 | ネットワーク監視装置及びネットワーク監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012131286A JP2013255196A (ja) | 2012-06-08 | 2012-06-08 | ネットワーク監視装置及びネットワーク監視方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013255196A true JP2013255196A (ja) | 2013-12-19 |
Family
ID=49952345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012131286A Pending JP2013255196A (ja) | 2012-06-08 | 2012-06-08 | ネットワーク監視装置及びネットワーク監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013255196A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017514372A (ja) * | 2014-03-31 | 2017-06-01 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | ネットワークにおける障害ノードの検出 |
| WO2018066228A1 (ja) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム |
-
2012
- 2012-06-08 JP JP2012131286A patent/JP2013255196A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017514372A (ja) * | 2014-03-31 | 2017-06-01 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | ネットワークにおける障害ノードの検出 |
| US10103933B2 (en) | 2014-03-31 | 2018-10-16 | Siemens Aktiengesellschaft | Detection of a faulty node in a network |
| WO2018066228A1 (ja) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム |
| JPWO2018066228A1 (ja) * | 2016-10-06 | 2019-01-31 | 日本電信電話株式会社 | フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム |
| US10735564B2 (en) | 2016-10-06 | 2020-08-04 | Nippon Telegraph And Telephone Corporation | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
| JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| US20180115523A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
| JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| Benson et al. | Leveraging internet background radiation for opportunistic network analysis | |
| Rebecchi et al. | DDoS protection with stateful software‐defined networking | |
| JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| Amrutkar et al. | Why is my smartphone slow? on the fly diagnosis of underperformance on the mobile internet | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| WO2019159989A1 (ja) | 監視システム、監視方法及び監視プログラム | |
| Gezer et al. | Exploitation of ICMP time exceeded packets for a large-scale router delay analysis. | |
| JP5362769B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| Burke et al. | Using network flow data to analyse distributed reflection denial of service (DRDoS) attacks, as observed on the South African national research and education network (SANReN) a postmortem analysis of the memcached attack on the SANReN | |
| Almgren et al. | Tracking malicious hosts on a 10gbps backbone link | |
| Kumar et al. | Two Pass Port Scan Detection Technique Based on Connection Pattern and Status on Sampled Data | |
| KR20200044210A (ko) | 무선 IoT장비에 대한 이상행위 패킷탐지 장치 |