JP4416630B2 - 監視装置、通信システム、監視方法、および監視プログラム - Google Patents

監視装置、通信システム、監視方法、および監視プログラム Download PDF

Info

Publication number
JP4416630B2
JP4416630B2 JP2004340656A JP2004340656A JP4416630B2 JP 4416630 B2 JP4416630 B2 JP 4416630B2 JP 2004340656 A JP2004340656 A JP 2004340656A JP 2004340656 A JP2004340656 A JP 2004340656A JP 4416630 B2 JP4416630 B2 JP 4416630B2
Authority
JP
Japan
Prior art keywords
information
feature information
packet
worm
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004340656A
Other languages
English (en)
Other versions
JP2006157144A (ja
Inventor
信之 中村
康貴 川本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2004340656A priority Critical patent/JP4416630B2/ja
Publication of JP2006157144A publication Critical patent/JP2006157144A/ja
Application granted granted Critical
Publication of JP4416630B2 publication Critical patent/JP4416630B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は監視装置、通信システム、監視方法、および監視プログラムに関し、例えば、ネットワーク内のノードが未知のワームに感染したことを早期に検知する場合などに適用して好適なものである。
不正アクセスに対する防御技術を記載した従来の文献としては、下記の非特許文献1があげられる。
非特許文献1の技術では、ネットワークを流れるパケットをマシン語の命令列として解析することにより、マシン語(シェルコード)をパケットで送り付けて侵入者の意図する処理をサーバに実行させるタイプのバッファオーバフロー攻撃を検出している。
北條 孝佳、外2名、"シェルコード解析による不正アクセス検出手法"社団法人情報処理学会研究報告、2003年12月19日、2003−CSEC−23、p.1−6
ところが、上述した非特許文献1の技術では、マシン語(シェルコード)をパケットで送り付けて侵入者の意図する処理をサーバに実行させるタイプのバッファオーバフロー攻撃を検出することはできても、それ以外の不正アクセス(例えば、ワームの感染など)には対応することができない。このため、適用範囲が狭く、セキュリティ性を十分に高めることが難しい。
例えば、サーバが未知ワームに感染した場合、感染したことが検出できないまま長時間に渡ってワームの活動の踏み台として利用されてしまう可能性がある。
かかる課題を解決するために、第1の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視装置において、(1)前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段と、(2)前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段と、(3)ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段と、(4)前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段と、(5)前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段とを備えたことを特徴とする。第2の本発明の通信システムは、第1の本発明の複数の監視装置と、センタノードとを有する通信システムであって、前記センタノードが、前記各監視装置のワームデータベース手段に保持されているワームに関連する特徴情報を収集して保持する情報収集保持手段と、前記情報収集保持手段に保持されているワームに関連する特徴情報に対して統計的な解析を実行する統計解析手段とを有することを特徴とする。
また、第3の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視方法において、(1)特徴情報抽出手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出工程と、(2)特徴情報記憶手段が、前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶工程と、(3)監視対象特定情報保持手段が、ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持工程と、(4)情報近似判定手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定工程と、(5)ワームデータベース手段が、前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース保持工程とを含むことを特徴とする。
さらに、第4の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視プログラムにおいて、コンピュータに、(1)前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段、(2)前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段、(3)ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段、(4)前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段、(5)前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段として機能させるものである。
本発明によれば、適用範囲が広く、セキュリティ性を十分に高めることができる。
(A)第1の実施形態
以下、本発明にかかる監視装置、通信システム、監視方法、および監視プログラムを、インターネットを含む通信システムに適用した場合を例に、第1の実施形態について説明する。
(A−1)第1の実施形態の構成
本実施形態にかかる通信システム10の全体構成例を図2に示す。
図2において、当該通信システム10は、ネットワーク11,12と、ノード13〜17とを備えている。
このうちネットワーク11は、管理ネットワーク12からみて、管理ノード13を介して接続される外部のネットワークであればどのようなものであってもよいが、ここでは、インターネットを想定する。
このインターネット11には、外部ノード15〜17が接続されている。これらの外部ノード15〜17は、コンピュータウイルスの感染元または感染先となり得るノードであり、例えば、FTPサーバやWebサーバなどのサーバであってよい。広義のコンピュータウイルスには、ワームやトロイの木馬なども含まれるが、ここでは、主としてワームを想定する。ワームは自己の複製を送り付けることによって感染範囲を拡大する。
管理ネットワーク12は、管理ノード13によって管理される内部のネットワークである。内部か外部かは管理ノード13に対していずれの側に配置されているかによって決まる相対的な概念である。したがって、例えば、社内LANなどにおいても、社内LANのなかに管理ノード13を設置した場合、社内LAN自体を内部ネットワーク(内部セグメント)と外部ネットワーク(外部セグメント)に分けることができるが、図2の例では、外部ネットワークがインターネット11,内部ネットワークは管理ネットワーク12(例えば、ある企業の各拠点のうちの1つを構成するLANなどに対応)となっている。
前記インターネット11と管理ネットワーク12を接続する管理ノード13は、外部から内部へ向かう内向きのパケットPK1と、内部から外部へ向かう外向きのパケットPK2の中継を監視する監視装置である。具体的には、例えば、ファイアウォール装置などの形で、当該管理ノード13の機能を実装することができる。ただし、管理ノード13の役割はワームに関連するパケットの遮断ではなく、ワームに関連するパケットの検出であるから、パケットPK1やPK2が当該管理ノード13を経なければ他のネットワークへ到達できない構成となっていることは必ずしも必須ではない。例えば、リピータ型のハブなどを利用して、パケットPK1,PK2が確実に管理ノード13に受信される構成となっていれば十分である。
ここで、前記内向きのパケットPK1は、外部ノード15から内部ノード14に宛てて送信されたものである。外部ノード15はワームWM1に感染しており、このワームWM1が感染範囲を拡大するため、自己の複製をパケットPK1を用いて内部ノード14へ送り付けたものとする。不正アクセスが成功し、内部ノード14が当該ワームWM1に感染すると、外向きのパケットPK2を送信して他のノード(ここでは、16とする)へワームWM1の複製を収容したパケットPK2を送り付ける。このような動作が繰り返されることによってワームWM1の感染範囲が拡大されて行く。
ここで、外部ノード15に割り当てられているIPアドレスをIA5とする。同様に、外部ノード16に割り当てられているIPアドレスをIA6、外部ノード17に割り当てられているIPアドレスをIA7、内部ノード14に割り当てられているIPアドレスをIA4とする。この場合、前記内向きパケットPK1の宛先IPアドレスはIA4,送信元IPアドレスはIA5となり、外向きパケットPK2の宛先IPアドレスはIA6、送信元IPアドレスはIA4となる。もしも、内部ノード14が外部ノード16だけでなく外部ノード17へも外向きパケットを送信するものとすると、宛先IPアドレスがIA7で送信元IPアドレスがIA4のパケットが送信されることになる。
パケットPK1,PK2の宛先は予めワームWM1のプログラムに記述されている場合もあるし、擬似乱数などを利用して動的に決定される場合もある。いずれにしても、感染範囲を拡大するため、パケットPK1,PK2を届ける宛先は複数となるのが普通である。したがって、例えば、内部ノード14がワームWM1に感染した場合、ワームWM1を収容したパケットPK2は前記外部ノード16に届けられたあと、1または複数の他のノード(例えば、外部ノード17)へも届けられる。
なお、通常、ワームの複製は1パケットでは収容しきれないため、1度、複製を送信するために多数のパケットが送られるのが普通であるが、図2の例では説明を簡単にするために内向きのパケットと外向きのパケットを1つずつ図示している。
また、パケットは、OSI参照モデルの各階層におけるプロトコルデータ単位(PDU)であってよいが、ここでは、ネットワーク層のPDUであるものとする。ネットワーク層の通信プロトコルには様々なものがあるため、ネットワーク層のPDUとしてのパケットにも様々なものがあるが、ここでは、インターネット11を前提とするので、パケットPK1,PK2はIPパケットである。
前記管理ノード13の内部構成は例えば図1に示す通りである。
(A−1−1)管理ノードの内部構成例
図1において、当該管理ノード13は、ネットワーク入出力部(NW入出力部)20と、振分部21と、特徴抽出部22と、近似判定部23と、データベース制御部(DB制御部)24、25と、特徴情報データベース部26と、ワームデータベース(ワームDB)部27と、設定情報保持部28とを備えている。
このうちネットワーク入出力部20は、前記内向き及び外向きのパケットPK1,PK2の入出力を行う部分で、具体的には、例えば、LANカードなどに相当し得る。
振分部21は、内向きのパケットPK1と外向きのパケットPK2の振り分けを行う部分である。内向きのパケットPK1は特徴抽出部22へ、外向きのパケットPK2は近似判定部23へ振り分ける。
すべての外向きのパケットとすべての内向きのパケットを検査するのではない場合、当該振分部21は、検査の対象となるパケットを指定するための設定情報を、設定情報保持部28から取得し、その設定情報に適合しないパケットは、特徴抽出部22への振り分けも行わず、近似判定部23への振り分けも行わないようにするとよい。例えば、パケットのヘッダに含まれる宛先IPアドレスや送信元IPアドレスをもとに、検査の対象となるパケットを特定することができる。検査の対象となるパケットは、他の任意のノード(例えば、15)から管理の対象となるノード(ここでは、14)へ宛てて送信されたパケットか、管理の対象となるノードから他のノード(例えば、16)へ宛てて送信されたパケットである。
なお、検査の対象となるパケットを指定するための設定情報としては、宛先IPアドレスや送信元IPアドレス以外にも、IPヘッダに含まれる様々な制御情報を利用できる可能性がある。例えば、上位プロトコルに関するプロトコル識別情報である「プロトコル番号」などの値を利用してもよい。また、管理の対象をホスト単位で指定せず、例えば、ネットワーク単位(ネットワークアドレス単位)で指定するようにしてもよいことは当然である。
さらに、管理ノード13の資源(例えば、特徴情報データベース部26の記憶容量など)に比べて、単位時間内に管理ノード13で受信されるパケットの量が多すぎる場合などには、適切な間引き処理を行うようにしてもよい。一例として、この間引き処理では、500パケットごとに1パケットをサンプリングし、サンプリングしたパケットだけを振分部21による振り分けの対象とするものであってよい。ただし、パケットのデータ部分(ペイロード部分)が暗号化されているパケットの場合など、宛先IPアドレスや送信元IPアドレス等、IPヘッダなどに含まれる制御情報だけに基づいた解析になるため、できるだけ多くのパケットを処理するように工夫することが望ましい。
特徴抽出部22は、前記振分部21から振り分けられた内向きのパケットPK1から所定の特徴情報を抽出する部分である。抽出した特徴情報はデータベース制御部24を介して特徴情報データベース部26に蓄積される。
特徴抽出部22は、前記特徴情報を抽出するときの抽出手法を前記設定情報保持部28から読み出した設定情報に基づいて決める。設定情報は例えばパケットの特定の場所を指定する情報であってよい。一例として、IPヘッダ中で前記プロトコル番号を記述する場所(フィールド)を指定しておけば、特徴情報としてプロトコル番号の値を抽出することができる。また、データベース制御部24に渡す前に特徴情報に変換処理を施す場合にはその変換処理方法なども、当該設定情報で指定しておくことができる。一例として、パケットのデータ部分を抽出したあと、ハッシュ関数を用いてそのハッシュ値を求めることをこの変換処理としてもよい。ハッシュ値は元のデータよりもデータサイズを小さくできるため、記憶容量を節約することができる。
設定情報保持部28は、上述した各種設定情報を保持していて、求められたときに各構成要素へ渡す部分である。そのため、当該設定情報保持部28は、図3(A)および(B)に示すテーブルTB1,TB2を有するものであってよい。
図3(A)の管理対象テーブルTB1には、管理対象を示している。ただしこの例では、管理対象を上述したようにホスト単位ではなくネットワーク単位(ネットワークアドレス単位)で管理対象を指定している。
図3(B)の抽出手法テーブルTB2は、データ項目として、番号と、抽出手法を備えている。番号は、当該抽出手法テーブルTB2内で各行を一意に識別するための識別情報で、抽出手法は、上述した抽出手法の具体例を示す。
ここで、行とは、テーブル中でデータ項目を除く横の並びのことである。図3(B)の場合、「1 プロトコル番号,フラグ,TTL,…」の行L1は1つの行である。
抽出手法テーブルTB2の各行のうち行L1には、抽出手法として、上述した特徴情報を抽出する場所(例えば、プロトコル番号(のフィールド)など)を指定しているが、行L2などでは、特徴情報を抽出する場所(データ部分)と、上述した変換処理方法(MD5などのハッシュ関数)を指定している。
特徴情報データベース部26は、図4の特徴情報テーブルTB3を備えている。当該特徴情報テーブルTB3は、データ項目として、宛先と、特徴情報と、タイムアウト時間とを備えている。
宛先は、前記内向きパケットPK1の宛先IPアドレスであるIA4を登録する。
特徴情報は、それぞれ該当する特徴情報を登録する。図示の例では、「DstPort:31337」すなわち、宛先ポート番号が31337であると登録されているが、これは特徴情報として宛先ポート番号を抽出した場合の例である。図3(B)に示したプロトコル番号、データ部分のハッシュ値などが、特徴情報としてここに登録されるものであってよいことは当然である。したがって、特徴情報に対応するデータ項目は図4の例では1つであるが、複数になってもよいし、データ項目の内容が図4の例と異なるものとなってもよい。このようなデータ項目の組み合わせ(特徴情報のフォーマット)が変化した場合、その変化に対応する新しいデータ項目の組み合わせを持つ特徴情報テーブルを作成することになる。新しいデータ項目の組み合わせを持つ特徴情報テーブルの作成は、例えば、前記データベース制御部24が実行するものであってよい。
タイムアウト時間は、特徴情報テーブルTB3上の該当する行(例えば、LN1)を特徴情報データベース部26に登録しておく時間を示している。実際の運用では、膨大な数のパケットが管理ノード13で受信されるのが普通であるため、特徴情報テーブルTB3の行数も膨大なものとなるが、タイムアウト時間を設定しておくことにより、記憶資源を節約することができる。
また、本実施形態では基本的に、外向きのパケットと内向きのパケットの特徴情報が近似しているか否かだけをもとにワームが収容されているか否かを判定するため、ワームを含まない何らかのファイル(例えば、文書ファイルなど)を収容したパケットを内部ノード14に送信し、内部ノード14からそのファイルの複製を収容したパケットを外部ノード(例えば、16)に送信した場合、ワームを含むものと誤判定してしまう可能性があるが、タイムアウト時間の設定などにより、そのような誤判定の発生確率を低下させることも可能になる。
例えば、人間の操作によって文書ファイルの複製を作成し、その複製を収容したパケットが送信されるケースなどでは、管理ノード13で、内向きのパケットPK1が受信されてから外向きのパケットPK2が受信されるまでの時間はかなり長くなるはずなので、タイムアウト時間を例えば60秒程度に設定しておけば、文書ファイルの複製を収容した外向きのパケットPK2を受信するときには、すでに、文書ファイルのオリジナルを収容した内向きのパケットPK1から抽出した特徴情報は特徴情報テーブルTB3上から削除されていて、誤判定が行われなくなる可能性が高いからである。
誤判定の発生確率を低下させる方法には、ほかにも様々なものがある。例えば、同じ送信元から多数の宛先に次々とパケットを送信するワーム特有の動作などに着目して、ワームの機能によって送信されたパケットであることを特定するようにしてもよい。
データベース制御部24は、データベースである特徴情報データベース部26を管理するDBMS(データベース管理システム)に相当する構成要素である。データベース制御部24は、前記特徴抽出部22からの要求に応じて、特徴抽出部22がパケットから抽出した特徴情報(例えば、前記プロトコル番号など)や、抽出した特徴情報の変換処理結果(例えば、データ部分のハッシュ値(このハッシュ値自体も特徴情報))を、特徴情報データベース部26に登録し、逆に、近似判定部23からの要求に応じて、すでに登録してある特徴情報を検索して近似判定部23に供給する。
近似判定部23は、内向きのパケットPK1と、外向きのパケットPK2の近似度を調べ、ワームを収容したパケットであるか否かを判定(すなわち、近似するか否かを判定)する部分である。近似判定部23は特徴抽出部22と同等な特徴情報の抽出や変換処理などを実行する機能を備え、外向きのパケットPK2から特徴情報を抽出する。抽出の際、前記管理対象テーブルTB1や抽出手法テーブルTB2を検索して、これらのテーブルTB1、TB2に登録されている設定情報に応じた抽出や変換処理を実行する。
なお、前記特徴抽出部22が特徴情報の抽出などを行うときには、宛先IPアドレスが前記管理対象テーブルTB1に登録されたIPアドレス(ネットワークアドレス)に該当するパケットとして、前記内向きのパケットPK1を選択し、近似判定部23が特徴情報の抽出などを行うときには、送信元IPアドレスが前記管理対象テーブルTB1に登録されたIPアドレス(ネットワークアドレス)に該当するパケットとして、前記外向きのパケットPK2を選択することになる。
近似度の判定では様々な判定方法を用いることができる可能性があるが、例えば、該当する特徴情報(または、その変換処理結果)が一致するか否かをもとに判定を行ってもよい。この場合、近似というよりも、ほぼ一致不一致の判定になる。例えば、プロトコル番号間の比較やハッシュ値間の比較では近似ということはなく、一致か不一致かしかないからである。ただし、例えば、前記TTLの値などは、通常、一致してもしなくても、この判定には影響を与えない。TTLの値はそのパケットがルータを経由するたびにデクリメントされるものであり、ワームの複製の検出に影響する可能性は低いからである。
もちろん、もっと複雑な判定方法を用いて内向きのパケットPK1と外向きのパケットPK2の近似度を算出し、近似度の値が所定値以上であれば近似するものと判定し、所定値未満であれば、近似しないものと判定するようにしてもよい。ハッシュ値を算出せず、パケットから抽出したデータ部分を直接比較するような判定方法の場合には、所定値以上であれば近似と判定する方法が有効となる可能性がある。また、例えば、複数の特徴情報に関する一致不一致の結果を集計し、一致した特徴情報の割合が所定値(例えば、80%)以上であるとき、前記近似判定部23がそのパケットをワームを収容したパケットである(すなわち、近似する)と判定するようにしてもよい。
上述したように、ワームは自己の複製を送り付けることによって感染範囲を拡大するものであるため、検出しようとしているワームWM1が未知のもので、まだ対応するウイルス定義ファイルなどが作成されていない場合でも、本実施形態のように、内向きのパケットPK1と外向きのパケットPK2の特徴情報を比較する方法によれば、ワームWM1の検出が可能になる。
また、近似度は、パケット単位で調べるだけでなく、複数のパケットの流れによって構成されるトラフィックパターンとしての近似度を調べることもできる。
ワームデータベース部27は、前記近似判定部23がワームを収容したパケットと判定した場合、そのパケットから抽出した特徴情報(ワームに対応)を蓄積するデータベースである。この場合、特徴情報をそのまま蓄積するようにしてもよく、前記変換処理を行ったあとの特徴情報を蓄積するようにしてもよい。また、例えば次のような方法によれば、ワームデータベース部27には、既知のワームを示す特徴情報を蓄積せず、未知のワームを示す特徴情報を蓄積することが可能である。
すなわち、内部ノード14など、管理ネットワーク12内の既知のワームに対する対策(例えば、ウイルス定義ファイルの更新など)を適切に行って、内部ノード14などが、既知のワームを感染前に検出し、駆除すること等ができるようにしておけば、外向きのパケットPK2に収容されて送信されるワームは既存の方法(例えば、前記ウイルス定義ファイルを用いたパターンマッチング法)で検出することが難しい未知のワームとなるから、ワームデータベース部27には既知のワームの特徴情報は蓄積されず、未知のワームの特徴情報が蓄積される。
データベース制御部25は、前記データベース制御部24に対応する構成要素であるので、その詳しい説明は省略する。
ただし当該データベース制御部25は、近似判定部23が、ワームを収容していると判定したパケットPK2から抽出した特徴情報をワームデータベース部27に蓄積するときに利用される。
ワームデータベース部27は、図5に示すワームテーブルTB4を備えている。図5において、当該ワームテーブルTB4は、データ項目として、登録日時と、ワーム特徴情報とを備えている。
このうち登録日時は、該当する特徴情報(ワーム特徴情報)を当該ワームテーブルTB4に登録した日時を示す。
ワーム特徴情報は、登録された特徴情報の内容を示す。
上述した誤判定の発生確率を低く抑制すれば、当該ワームテーブルTB4の各行LM1、LM2などには、前記文書ファイルなどが登録されることが少なくなり、ほとんどがワームを示す特徴情報となる。
以下、上記のような構成を有する本実施形態の動作について説明する。
(A−2)第1の実施形態の動作
前記外部ノード15がワームWM1に感染し、当該ワームWM1の機能に応じて、自己の複製を含む前記パケットPK1をIPアドレスIA4に宛てて送信したものとする。このパケットPK1は、インターネット11経由で伝送され、前記管理ノード13による受信を経て管理ネットワーク12内の内部ノード14に到達することになる。
受信の際、管理ノード13内では、前記ネットワーク入出力部20を経て当該パケットPK1を受け取った振分部21が、その宛先IPアドレスがIA4であること等から、当該パケットPK1が内向きのパケットであって、なおかつ、図3(A)に示す管理対象テーブルTB1の管理対象であるネットワークに含まれていることも分かるため、前記特徴抽出部22へ振り分ける。
当該パケットPK1を受け取った特徴抽出部22は、図3(B)に示す抽出手法テーブルTB2の登録内容に基づいて当該パケットPK1から特徴情報の抽出を行い、抽出した特徴情報をデータベース制御部24を介して特徴情報データベース部26に登録する。
一方、前記パケットPK1を受け取った内部ノード14では、既存の方法によってワームの検出や駆除を常時、行っているものとする。パケットPK1に含まれるワームWM1が、既知のものであれば、対応するウイルス定義ファイルなども存在し、検出可能であるため、通常は、感染する前に検出され、駆除される。
ただし当該ワームWM1が未知のものである場合には、このような検出や駆除を行うことが難しいため、内部ノード14に感染する可能性が高い。感染に成功すると、内部ノード14の資源は当該ワームWM1によって利用される。ワームWM1は通常、自身の複製を送信して感染範囲を拡大するようにプログラムされているため、内部ノード14の資源を利用してワームWM1の複製を含む前記パケットPK2を送信する。
パケットPK2の宛先IPアドレスが前記IA6であるものとすると、当該パケットPK2は、管理ネットワーク12内のルータ(図示せず)によって管理ノード13まで届けられ、管理ノード13と、インターネット11を経由して前記外部ノード16まで届けられようとする。内部ノード14が送信したパケットであるから、当該パケットPK2の送信元IPアドレスは前記IA4である。
管理ノード13の内部において、前記ネットワーク入出力部20経由で当該パケットPK2を受け取った振分部21は、その宛先IPアドレスがIA6であること等から当該パケットPK2が外向きのパケットであることを特定できるので、当該パケットPK2を近似判定部23に振り分ける。ただしこのとき、上述したように、設定情報保持部28の設定情報を利用して、すべての外向きパケットでなく、一部の外向きパケットのみを近似判定部23に振り分けるようにしてもよい。例えば、設定情報として、実際に所定時間前に管理ノード13が処理した内向きパケット(例えば、PK1)の宛先IPアドレスを登録しておけば、内向きパケットを受け取った内部ノード(例えば、14)が所定時間内に送信した外向きパケットのみを近似判定部23に振り分けることもできる。
いずれにしても、近似判定部23がパケットPK2を受け取ると、前記特徴抽出部22がパケットPK1を処理した場合と同様に、前記抽出手法テーブルTB2の登録内容に基づいて当該パケットPK2から特徴情報の抽出を行い、特徴情報テーブルTB3の該当する行に含まれる特徴情報との近似度を判定する。外向きパケットPK2の送信元IPアドレスであるIA4に合致する値の宛先(宛先IPアドレス)を持つ行が、この該当する行にあたる。
近似度の判定方法として、単純に、上述したプロトコル番号やハッシュ値間の一致不一致を判定するものとすると、一致した場合のみ、近似判定部23は、前記パケットPK2から抽出した特徴情報はワームの特徴情報であると判定し、その特徴情報を前記データベース制御部25経由でワームデータベース部27に登録する。
この方法によれば、ワームWM1が未知のものであっても、その特徴情報を収集することができる。
ワームによる感染を検出することのみが目的である場合には、外向きのパケットPK2はそのままインターネット11に送信してかまわないが、近似判定部23が、パケットPK2から抽出した特徴情報がワームの特徴情報であると判定した時点で、そのパケットPK2の中継を中止させて、外部へ送信しないようにしてもよいことは当然である。これにより、管理ネットワーク12内の内部ノード14が踏み台となって、ワームWM1の感染範囲が拡大することを防止できる。ただし、実際に中継の中止を行う場合、上述した誤判定の発生確率を十分に低いものとしておくことが望ましい。
また、別に用意した手段を用いて、管理者などが、前記ワームデータベース部27に蓄積されている特徴情報が真にワームを示すものであるか否かを確認するようにしてもよいことは当然である。この場合、管理ノード13は、管理者などが未知のワームを検出する場合の支援ツールとして機能することになる。
(A−3)第1の実施形態の効果
本実施形態によれば、未知のワーム(WM1)を検出することや、未知のワームの検出を支援することが可能となるので、セキュリティ性が高まる。
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
本実施形態では、第1の実施形態で単独で用いた管理ノードを多数分散配置し、それらの管理ノードの機能を利用して、上述した誤判定の発生確率の低減を含む信頼性の向上をはかるものである。
(B−1)第2の実施形態の構成および動作
本実施形態にかかる通信システム30の全体構成例を図6に示す。
図6において、当該通信システム30は、インターネット11と、管理ノード13A〜13Eと、センタノード31とを備えている。
このうち管理ノード13A〜13Eは基本的に第1の実施形態の管理ノード13とほぼ同じ機能を持つノードである。ただし、前記ワームデータベース部27に蓄積したワーム特徴情報をセンタノード31に定期的にまたは不定期に送信する機能を持つ点が相違する。
図6上では図示していないが、前記管理ネットワーク12に相当するネットワークが、各管理ノード13A〜13Eごとに配置されていることは当然である。
各管理ノード13A〜13Eは物理的に離れた位置に配置されているため、センタノード31では、各管理ノード13A〜13Eが送信してくるワーム特徴情報をもとに、物理的な広がりを持つ大きな通信システム30の内部で起きている現象を正確に高い精度で判定することが可能となる。
前記センタノード31は、ネットワーク入出力部32と、データベース制御部33と、情報収集データベース部(情報収集DB部)34と、結果出力部35と、統計解析部36とを備えている。
このうちネットワーク入出力部32は、前記ネットワーク入出力部20に対応し、データベース制御部33は前記データベース制御部24に対応するので、その詳しい説明は省略する。
ただし、ネットワーク入出力部32は、内向きパケットと外向きパケットの入出力を行う必要はなく、各管理ノード13A〜13Eが送信してくるパケット(前記ワーム特徴情報などが収容されたパケット)を受信すること等ができればよい。
また、データベース制御部33は情報収集データベース部34を管理するDBMSである。
当該情報収集データベース部34には、前記管理ノード13A〜13Eが送信してきたパケットに収容されていたワーム特徴情報を蓄積するデータベースである。
統計解析部36は、当該情報収集データベース部34内に蓄積されているワーム特徴情報を統計的に解析する部分で、解析結果は結果出力部35に供給する。重要度が高いと判定した解析結果だけを、結果出力部35へ供給するようにしてもよい。
結果出力部35は、統計解析部36から供給を受けた当該解析結果を出力する部分である。この出力には様々な態様があるが、例えば、管理者のパソコンや携帯電話機などに宛てた電子メールなどの形で出力するようにしてもよい。
出力先も、管理者だけでなく、例えば、セキュリティ関連技術者、IDS(侵入検知システム)のシグネチャ開発者や、ウイルス定義ファイルの開発者など、様々なものがあり得る。
未知のワームの感染範囲が当該通信システム30中の広い範囲に拡大している場合などは、この解析結果によってそれを正確に捕らえることが可能であるし、ワームの感染範囲拡大に限らず、通信システム30中の広い範囲で起きている現象を正確に捕らえることが容易になる。
また、通信システム30を管理する管理者の負担は、個々の管理ノード13A〜13Eのワームデータベース部27に蓄積されたワーム特徴情報を管理ノード13A〜13Eごとに調べる場合に比べて、著しく軽減される。これにより、例えば、未知のワームの検出なども容易になる。
(B−2)第2の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
加えて、本実施形態では、複数の管理ノード(13A〜13E)を含む大きな通信システム(30)内で起きている現象を正確に捕らえることが容易になり、管理者の負担も軽減することが可能である。
(C)他の実施形態
上記第1、第2の実施形態において、1つのノード(1つの通信装置)上に配置した機能は別な通信装置に分けて配置することができ、別なノード上に配置した機能は1つの通信装置上にまとめて配置することができる。
1つのノード(1つの通信装置)上に配置した機能を別な通信装置に分けて配置する方法には様々なものがあり得るが、一例として、図1の管理ノード13上に配置されていた各機能(各構成要素)を、図7および図8に示すように通信装置40〜43上に分けて配置してもよい。図7、図8上で図1と同じ符号を付与した各構成要素の機能は基本的に第1の実施形態と同じである。
また、上記第1、第2の実施形態にかかわらず、特徴情報などとして蓄積すべきデータの量がわずかである場合、各データベース制御部(例えば、24)やデータベース(例えば、26)はキャッシュなどに置換できる可能性がある。
さらに、上記第1、第2の実施形態では、ワームを例に説明したが、本発明は、ワーム以外の広義のコンピュータウイルスに適用可能である。
なお、上記第1、第2の実施形態で利用した各階層の通信プロトコルは他の通信プロトコルに置換できることは当然である。
例えば、IPプロトコルは、OSI参照モデルのネットワーク層またはその他の階層に位置する他の通信プロトコルに置換可能である。一例として、IPXプロトコルなどを利用できる可能性もある。
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
第1の実施形態で使用する管理ノードの内部構成例を示す概略図である。 第1の実施形態にかかる通信システムの全体構成例を示す概略図である。 第1および第2の実施形態で使用するテーブルの構成例を示す概略図である。 第1および第2の実施形態で使用するテーブルの構成例を示す概略図である。 第1および第2の実施形態で使用するテーブルの構成例を示す概略図である。 第2の実施形態にかかる通信システムの全体構成例を示す概略図である。 他の実施形態にかかる通信装置の内部構成例を示す概略図である。 他の実施形態にかかる通信装置の内部構成例を示す概略図である。
符号の説明
10、30…通信システム、11…インターネット、12…管理ネットワーク、13、13A〜13E…管理ノード、14…内部ノード、15〜17…外部ノード、21…振分部、22…特徴抽出部、23…近似判定部、24、25…データベース制御部、26…特徴情報データベース部、27…ワームデータベース部、28…設定情報保持部、31…センタノード、PK1…パケット(内向きパケット)、PK2…パケット(外向きパケット)。

Claims (5)

  1. 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視装置において、
    前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段と、
    前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段と、
    ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段と、
    前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段と
    前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段と
    を備えたことを特徴とする監視装置。
  2. 前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、所定の変換方法により変換し、この変換後の変換特徴情報を前記ワームデータベース手段に保持させることを特徴とする請求項に記載の監視装置。
  3. 請求項1に記載の複数の監視装置と、センタノードとを有する通信システムであって、
    前記センタノードが、
    前記各監視装置のワームデータベース手段に保持されているワームに関連する特徴情報を収集して保持する情報収集保持手段と、
    前記情報収集保持手段に保持されているワームに関連する特徴情報に対して統計的な解析を実行する統計解析手段とを有する
    ことを特徴とする通信システム。
  4. 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視方法において、
    特徴情報抽出手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出工程と、
    特徴情報記憶手段が、前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶工程と、
    監視対象特定情報保持手段が、ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持工程と、
    情報近似判定手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定工程と
    ワームデータベース手段が、前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース保持工程と
    を含むことを特徴とする監視方法。
  5. 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視プログラムにおいて、
    コンピュータに、
    前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段、
    前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段、
    ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段、
    前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段
    前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段
    として機能させる監視プログラム。
JP2004340656A 2004-11-25 2004-11-25 監視装置、通信システム、監視方法、および監視プログラム Expired - Fee Related JP4416630B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004340656A JP4416630B2 (ja) 2004-11-25 2004-11-25 監視装置、通信システム、監視方法、および監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004340656A JP4416630B2 (ja) 2004-11-25 2004-11-25 監視装置、通信システム、監視方法、および監視プログラム

Publications (2)

Publication Number Publication Date
JP2006157144A JP2006157144A (ja) 2006-06-15
JP4416630B2 true JP4416630B2 (ja) 2010-02-17

Family

ID=36634945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004340656A Expired - Fee Related JP4416630B2 (ja) 2004-11-25 2004-11-25 監視装置、通信システム、監視方法、および監視プログラム

Country Status (1)

Country Link
JP (1) JP4416630B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6142702B2 (ja) 2013-07-04 2017-06-07 富士通株式会社 監視装置、監視方法及びプログラム
WO2015015572A1 (ja) 2013-07-30 2015-02-05 三菱電機株式会社 データ処理装置及びデータ通信装置及び通信システム及びデータ処理方法及びデータ通信方法及びプログラム

Also Published As

Publication number Publication date
JP2006157144A (ja) 2006-06-15

Similar Documents

Publication Publication Date Title
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
Yang et al. RIHT: a novel hybrid IP traceback scheme
US8156541B1 (en) System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
US11290484B2 (en) Bot characteristic detection method and apparatus
CN112039904A (zh) 一种网络流量分析与文件提取系统及方法
CN104378283A (zh) 一种基于客户端/服务器模式的敏感邮件过滤系统及方法
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
KR20140027616A (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN106815511B (zh) 信息处理装置和方法
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
US10999304B2 (en) Bind shell attack detection
CN105407096A (zh) 基于流管理的报文数据检测方法
CN112491836B (zh) 通信系统、方法、装置及电子设备
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
CN115017502A (zh) 一种流量处理方法、及防护系统
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP4416630B2 (ja) 監視装置、通信システム、監視方法、および監視プログラム
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
JP6783261B2 (ja) 脅威情報抽出装置及び脅威情報抽出システム
WO2022156293A1 (zh) 处理告警日志的方法、装置及存储介质
JP4321375B2 (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP2010239392A (ja) サービス不能攻撃制御システム、装置、および、プログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070508

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070705

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070807

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071003

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071016

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20071109

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091021

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131204

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees