JP4772025B2 - P2p通信検出装置、及びその方法とプログラム - Google Patents

P2p通信検出装置、及びその方法とプログラム Download PDF

Info

Publication number
JP4772025B2
JP4772025B2 JP2007295543A JP2007295543A JP4772025B2 JP 4772025 B2 JP4772025 B2 JP 4772025B2 JP 2007295543 A JP2007295543 A JP 2007295543A JP 2007295543 A JP2007295543 A JP 2007295543A JP 4772025 B2 JP4772025 B2 JP 4772025B2
Authority
JP
Japan
Prior art keywords
node
address
correspondence
connection destination
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007295543A
Other languages
English (en)
Other versions
JP2009124382A (ja
Inventor
博史 仲小路
一弥 大河内
哲郎 鬼頭
倫宏 重本
真敏 寺田
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007295543A priority Critical patent/JP4772025B2/ja
Publication of JP2009124382A publication Critical patent/JP2009124382A/ja
Application granted granted Critical
Publication of JP4772025B2 publication Critical patent/JP4772025B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、P2P(Peer to Peer)通信検知装置およびその検知方法と検知プログラムに係る。
P2P技術を基盤としたファイル共有ソフトの爆発的な普及に伴い、著作物の不適切な流通や、ファイル共有ソフトを悪用したウイルスの流行による個人情報や企業の機密情報等の漏えいが社会的な問題となっている。そこで、ファイル共有ソフトの通信を検出し、利用者を把握する技術が必要となる。ファイル共有ソフトの通信を検出するためには、監視対象とするファイル共有ソフトの通信プロトコルを解明し、解明したプロトコルに則った通信が監視対象ネットワーク上の通信に含まれているか否かを解析することによりファイル共有ソフトの通信を検出する技術が知られている。プロトコルを解析してファイル共有ソフトの通信を検出する技術が、特許文献1に開示されている。
特開2007−133362号公報
近年のP2P技術を基盤としたファイル共有ソフト(P2Pソフト)は、秘匿性を高めるために暗号化処理を実装していたり、ソフトの静的解析(リバースエンジニアリング等)を困難にするために難読化処理が施されていたりするなど、通信プロトコルの解析が容易ではなくなってきている。このため、個々のP2Pソフトごとに通信プロトコルを解析するような従来の技術によってP2P通信やP2Pノードを検知しようとした場合には、検知プログラムや検知装置の開発コストがかかったり、このようなソフトの通信の検出が可能となるまでに時間を要してしまったり、場合によっては検出が不可能になるといった問題がある。
本発明の目的は、P2Pソフトの通信プロトコル、すなわちP2Pソフトの種類に依存せずに、P2P通信やP2Pノードを推定するP2P通信検知装置および方法を提供することにある。
本発明にかかるP2P通信検知装置は、ネットワークに接続されたP2Pソフト稼働ノードを検知する装置において、検知装置がネットワークを流れるDNS通信を蓄積したクエリ情報に基づいて各ノードの通信相手のIPアドレスがDNSによって得られたIPアドレスなのか否かを判断し、P2P技術を基盤としたファイル共有ソフトのような、ホスト名を利用しないで他のノードと通信を行うプログラムが稼働するP2Pノードを特定するものである。
本発明のP2P通信検知装置及びその検知方法と検知プログラムの具体的な態様は次のとおりである。P2P通信検知装置は監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続する。監視対象ノードからのDNSサーバへのクエリに対するレスポンスとして得られるホスト名とそのIPアドレスとの第1の対応関係を監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納する。監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスの際に得られる他ノードのIPアドレスとこのIPアドレスが第1の対応関係から得られたか否かを示す情報との第2の対応関係を、監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納する。所定期間内又は所定件数の、接続先情報データベースに格納された第2の対応関係の中で、他ノードのIPアドレスとこのIPアドレスが第1の対応関係から得られたことを示す情報との対応を示す第2の対応関係の割合又は件数が所定の割合又は件数を超えている場合に、監視対象のノードは通常通信を行っているノードであると推定する。
本発明によれば、ネットワークを流れる通信を監視するとともに、P2P通信と思しき通信を検知して、特定のP2Pソフトに依存せずにP2Pノードの検知が可能となる。
以下、図面を用いて、本発明の一実施形態について説明する。
図1は、一実施形態によるP2P通信検知システムのネットワーク構成図である。このP2P通信検知システム10は、監視対象となるインターネットサービスプロバイダが抱える末端ネットワークなどの内部ネットワーク40を介して、ブリッジ型の検知装置12(又は検知装置13)と、複数のノード14、15(本実施形態では、P2Pノード14と通常ノード15として説明する。)とが互いに接続される構成である。ブリッジ型の検知装置12は、さらにインターネットなどの外部ネットワーク50に接続されて構成される。ただし、検知装置12(又は13)は、ルータ(router)やFW(firewall)に内蔵された装置、又は既存のルータやFWに後に増設されて構成される場合もある。
なお、検知装置12は、内部ネットワーク40と外部ネットワーク50との間に通信される情報が検知装置12の内部を通るようにした検知装置であり、検知装置13は、内部ネットワーク40と外部ネットワーク50との間に通信される情報をモニタするようにした検知装置である。図1は、本実施形態においては検知装置を検知装置12の位置に限らず、検知装置13の位置に構成しても良いことを示している(破線による図示)。
外部ネットワーク50にはDNS(Domain Name System)サーバ20が接続されている。DNSサーバ20は、必ずしも外部ネットワーク50に接続される必要はなく、内部ネットワーク40に接続されても良い。DNSサーバ20は、インターネット上のホスト名とIPアドレス(Internet Protocolにおけるアドレス)とを対応させる(名前解決する)サーバである。外部ネットワーク50には、多くのサーバコンピュータや端末装置としてのPCが接続しているが、図示を省略する。
各装置12(又は13)、14、及び15を構成するハードウェアは、図2に示すように、実質的に同様のユニット(装置)構成を有し、各演算装置で実行されるソフトウェアによって各々の動作が定められる。
ブリッジ型の検知装置12は、バス1201に接続された、演算装置1202と、表示装置1203と、入力装置1204と、メモリ1205と、記憶装置1206と、通信装置1207、1208とを有して構成される。検知装置13の構成も検知装置12と同様である(図示略)。ノード14、15(図2及び以下のその説明では、ノード14を代表させる。)は、パーソナルコンピュータ(PC)のようなクライアントコンピュータであり、バス1401に接続された、演算装置1402と、表示装置1403と、入力装置1404と、メモリ1405と、記憶装置1406と、通信装置1407とをそれぞれ有して構成される。
なお、ノード14及び15は異なるハードウェアとして実装されるとは限らず、一つのハードウエアノード上に、異なるソフトウエアノードとして実装される場合もある。
図3を参照して、各装置12、13、14、15、20の機能、およびそれらに関連する通信情報について説明する。
ブリッジ型の検知装置12は、ノード14、15から送信された外向き(内部ネットワーク40から外部ネットワーク50へ流れる方向)のDNSクエリ通信と、内向き(外部ネットワーク50から内部ネットワーク40へ流れる方向)のDNSレスポンス通信、外向きの接続情報を格納する接続先情報データベース(接続先情報DB)124と、外部ネットワーク50と送受信するデータ送受信部123と、内部ネットワーク40と送受信するデータ送受信部121と、それらを制御する検知プログラム122とを有する。
DNSクエリ通信とは、DNSサーバへのホスト名とIPアドレスとの対応付け(名前解決)の問い合わせであり、DNSレスポンス通信とは、問い合わせに対する応答である。DNSサーバ20は、DNSクエリを受信し、DNSレスポンスを送信するデータ送受信装置201と、前述の名前解決をするためのDNSサーバプログラムを含んでいる。
検知装置13(検知装置12に代わって構成される。)は、検知装置12におけるデータ送受信部121、123に代わって、外部ネットワーク50と内部ネットワーク40と間で送受信されるデータをモニタするようにデータ受信部(図示略)を備えること以外は、検知装置12と同様である。以下では、検知装置12(又は13)を単に検知装置12と称する。
接続先情報DB124は、記憶装置1206に形成される。接続先情報DB124は、内部ネットワーク40に接続されたノード14、15と、外部ネットワーク50に接続されたDNSサーバ20との間に流れるDNSクエリやDNSレスポンスに含まれるクエリ情報や、内部ネットワーク40に接続されたP2Pノード14から外部ネットワーク50に接続されたWebサーバやメールサーバなどの様々なノードへの接続情報を格納する。
本実施形態では、検知装置12の検知プログラム122の実行により、受信した通信情報(TCP(53番ポート)やUDP(53番ポート)のヘッダ又はそれらのペイロード)から、DNSクエリとDNSレスポンスとを判別する。判別することにより、検知装置12は、内部ネットワーク40に接続されたノード14又は15(IPアドレス)が、外部ネットワーク50に接続されたノードへ接続するにあたり、DNSサーバ20を利用して名前解決したDNSクエリ履歴を得、そのDNSクエリ履歴を接続先情報125として接続先情報DB124に格納する。
検知装置12の検知プログラム122は、受信した内部ネットワーク40から外部ネットワーク50への外向き通信情報から、内部ネットワーク40に接続されたノード14及び15が、外部ネットワーク50に接続されたノードへの接続情報を、接続先情報125として接続先情報DB124に格納する。
検知装置12の検知プログラム122は、定期的に又は逐次的に接続先情報125に含まれるノード接続先情報の接続先リストの接続情報が、同ノード接続先情報のDNSクエリリストに含まれる全て又は一定時間内のクエリ情報と一致するか否かを検査する。一致する場合はホスト名を指定して確立した接続(DNSサーバ20に問い合わせて名前解決した結果を使用した接続)であると検知プログラム122は判断する。一致しない場合はIPアドレスを直接指定して確立した接続(ノード14又は15が自ノードに有しているIPアドレスを接続先アドレスとした接続)であると検知プログラム122は判断する。検知プログラム122は、判断結果を用いて、特定の(IPアドレスが同一な)ノードについて、全てあるいは一定時間内の接続先に関して、ホスト名を指定して確立した接続とIPアドレスを直接指定して確立した接続先の比率に基づいたり、IPアドレスを直接指定して確立した接続先の累計数に基づいたりして、P2Pノード14であるか通常ノード15であるかを判定する。これらの判定結果に基づき、P2Pノード14の通信の全てあるいは判定したIPアドレスへの接続を制御(遮断/帯域制限/経路変更)したり、P2Pノード14に対して警告メッセージを発したりするなどの対策を講じる。
本実施形態においては、P2Pノード14は、ファイル共有ソフトなどのP2Pソフトが稼働しているノードであり、P2Pプログラム142と、P2P通信に必要となるデータ送受信を行うデータ送受信部141を有する。また、通常ノード15は、P2Pソフトが稼働していないノードであり、Webサーバやメールサーバと通信する通信プログラム152と、HTTP通信やSMTP・POP通信など、P2P通信以外のデータ送受信を行うデータ送受信部151を有する。
図4に、接続先情報DB124に格納される接続先情報125の例を示す。接続先情報125には、検知装置12が検知の対象としているノード毎のノード接続先情報がある。ノード接続先情報には、外向き通信に関して、最近発生した通信の接続日時と送信元IPアドレスとがある。さらに、その送信元IPアドレスが接続した接続先に関して、宛先IPアドレス、宛先ポート番号、接続日時、及びクエリ有無の4つを含む接続情報が接続先リストとして管理される。さらに、その送信元IPアドレスがDNSサーバ20に問い合わせた情報に関して、ホスト名、IPアドレス、及びクエリ日時の3つのクエリ情報がDNSクエリリストとして管理される。
図5を参照して、本実施形態のP2P通信検知システムの動作を説明する。図5において、各ノード、サーバ、及び検知装置12は、ローカルエリアネットワーク40又はワイドエリアネットワーク50に含まれるように図示しているが、これらのネットワークにそれぞれ接続している。又、ローカルエリアネットワーク40及びワイドエリアネットワーク50のそれぞれは、図1における内部ネットワーク40及び外部ネットワーク50にそれぞれ対応する。また、検知装置12がローカルエリアネットワーク40に接続しているように示しているが、図1に示したように検知装置12はローカルエリアネットワーク40とワイドエリアネットワーク50との接続点にブリッジとして接続していることを想定している。
P2Pソフトが稼働していない通常ノード15の動作を説明する。最初に通常ノード15は操作者の指示によって、外部ネットワーク50に公開されたHP(ホームページ)を閲覧するためにWebサーバへ接続する。通常、WebサーバのURL(Uniform Resource Locator)の指定はホスト名を用いることがほとんどであるので、通常ノード15は、ホスト名からIPアドレスを取得するために、DNSサーバ20へDNSクエリを送信する(ST1)。
通常ノード15からのDNSクエリを受信したDNSサーバ20は、DNSクエリに含まれるホスト名に対応するIPアドレスをDNSレスポンスに格納して通常ノード15へ送り返す(ST2)。
検知装置12は、通常ノード15の通信を常に監視しており、DNS通信に使われるTCP53番ポートやUDP53番ポートやDNS特有のメッセージがペイロードに含まれているか否かによりDNS通信であるか否かを判断する。DNS通信である場合、検知装置12は、DNSリクエストおよびDNSレスポンス情報を検知装置12の接続先情報DB124の接続先情報125のノード接続先情報に含まれる送信元IPアドレスが通常ノード15と同値となるノード接続先情報のDNSクエリリストに記録する。同値となるノード接続先情報がない場合は新たにノード接続先情報を作成する(ST3)。
DNSレスポンスを受信した通常ノード15は、得られたWebサーバ61のIPアドレスを利用してWebサーバ61へ接続することにより、HPを閲覧する(ST4)。このとき、検知装置12は、通常ノード15がWebサーバ61に接続する通信を監視して、接続先のIPアドレスなどを検知装置12の接続先情報DB124の接続先情報125のノード接続先情報の接続先リストに記録する(ST5)。
検知装置12は、定期的又は新たな接続先を追加した時点で、送信元IPアドレスが通常ノード15と同じ値のノード接続先情報を読み込み、接続先リストに含まれるそれぞれの宛先IPアドレスと同じIPアドレスが、DNSクエリリストに含まれるか否かを検査し(ST6)、DNSクエリによって得られたIPアドレスの割合(クエリ率:同じIPアドレスを得るためにDNSサーバに対してDNSクエリを送信した割合)を算出する(ST7)。通常ノード15の利用するWebなどのサービスの多くはホスト名を利用したサービスであるので、算出したクエリ率は高い値になる。
P2Pソフトが稼働しているP2Pノード14の動作を説明する。P2Pノード間のノード情報の共有(通信相手又は通信仲間のIPアドレスなどのノード情報を自ノードの記憶装置に格納しており、知っている状態)には、一般的にホスト名ではなくIPアドレスが利用されている。このため、最初にP2Pノード14は与えられた初期IPアドレス又は他のP2Pノードから取得したIPアドレスを利用して、他のP2Pノード62に接続する(ST8)。即ち、他のP2Pノード62への接続の前に、DNSクエリが発生しないことになる。検知装置12は、P2Pノード14が他のP2Pノード62に接続する通信を監視して、接続先のIPアドレスなどを検知装置12の接続先情報DB124の接続先情報125のノード接続先情報の接続先リストに記録する(ST9)。検知装置12は、定期的又は新たな接続先を追加した時点で、送信元IPアドレスがP2Pノード14と同じ値となるノード接続先情報を読み込み、接続先リストに含まれるそれぞれの宛先IPアドレスと同じ値のIPアドレスが、DNSクエリリストに含まれるか否かを検査し(ST10)、DNSクエリによって得られたIPアドレスの割合を算出する(ST11)。一般的にP2Pノード14は、P2Pソフトの特性により、前述のようにIPアドレスを共有して動作する性質を有し、さらに接続先ノード数も非常に多くなる性質を有するため、クエリ率は通常ノード15と比較して低い値になる。
検知装置12は、定期的あるいは新たな接続先を追加した時点で、ローカルエリアネットワーク40に接続されたノード14、15のそれぞれのクエリ率を算出して、一定の閾値(例えば70%)を下回るクエリ率となるノードをP2Pが稼働しているノードであると判定する。一方、一定の閾値(例えば70%)を超えるクエリ率となるノードをP2Pが稼働していない通常ノードであると判定する(ST12)。
閾値は、高い割合に設定すると通常ノードをP2Pノードと判定する確率が増し、逆に低い割に設定するとP2Pノードを通常ノードと判定する確率が増す性質があるので、適度に調整される。
図6と図7を参照して、P2P通信検知システムにおける各装置の処理動作について説明する。
図6を参照して、P2Pソフトが稼働していない通常ノード15における各装置の処理動作について説明する。初期動作として、検知装置12は検知プログラム122を起動し(S001)、DNSサーバ20はDNSサーバプログラム202を起動する(S002)。また、Webサーバ61のホスト名を”http://www.example.com”、IPアドレスを”10.1.1.100”とし、WebサービスはTCP80番ポートで提供されるものとする。さらに、通常ノード15のIPアドレスを”192.168.1.100”とし、P2P通信検知システムにおけるクエリ率の閾値を70%とする。
通常ノード15は通信プログラム(Webブラウザ)152を起動する(S003)。通常ノード15の操作者は、外部ネットワーク50に公開されたHPを閲覧するためにWebブラウザのアドレスバーにURL(”http://www.example.com”)を入力したり、リンクを辿ったりするなどして閲覧先ホスト名(”www.example.com”)を接続先に指定する(S004)。通常ノード15は、ホスト名からIPアドレスを割り出す(名前解決する)ために、DNSサーバ20に対してDNSクエリを送信する(S005)。
DNSクエリは検知装置12によって監視され、DNSクエリの送信元IPアドレス(”192.168.1.100”)が接続先情報DB124の接続先情報125のノード接続先情報に、DNSクエリに含まれるホスト名(”www.example.com”)が現在日時とともに、接続先情報DB124の接続先情報125のノード接続先情報に含まれるDNSクエリリストに、それぞれ記録される(S006)。
通常ノード15から送信されたDNSクエリは、最終的にDNSサーバ20によって受信される(S007)。DNSサーバプログラム202は、受信したDNSクエリからホスト名を割り出し、対応するIPアドレス(”10.1.1.100”)をDNSレスポンスに含めて通常ノード15に送り返す(S008)。
DNSレスポンスは検知装置12によって監視され、DNSレスポンスに含まれるIPアドレス(”10.1.1.100”)を、S006において記録したDNSクエリリストに追加する(S009)(S010)。
なお、DNSレスポンスにIPアドレスとホスト名が対応つけて含まれる場合は、この時点で、ホスト名、IPアドレス、及びクエリ日時を纏めてクエリ情報としてDNSクエリリストに格納してもよい。この場合は、DNSクエリの監視(S006)が不要になる。
通常ノード15は、DNSサーバ20より送信されてきたDNSレスポンスを受信する(S011)。続けて通常ノード15は、Webサーバ61に接続するために、DNSレスポンスによって得られたWebサーバ61のIPアドレス(”10.1.1.100”)へHTTPリクエストを送信する(S012)。
HTTPリクエストは検知装置12によって監視され、接続先IPアドレス、即ち外向き通信であるHTTPリクエストの宛先IPアドレス(”10.1.1.100”)と宛先ポート番号(”80”)が現在時刻とともに、接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.100”)に含まれる接続先リストに記録される(S013)。
Webサーバ61は、通常ノード15から送信されたHTTPリクエストを受信する(S014)。その間、検知装置12は、接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.100”)のDNSクエリリストから、S013で記録したIPアドレス(”10.1.1.100”)を検索する(S015)。この際に検索条件として、全てのDNSクエリリストや、クエリ日時が一定期間内のDNSクエリリストなど、加えて指定することもできる。検索の結果、IPアドレス(”10.1.1.100”)に対応するホスト名(”www.example.com”)が検索できるため、DNSクエリ有と判定する(S016)。判定結果は、接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.100”)の接続先リスト(宛先IPアドレス=” 10.1.1.100”)にクエリ有無=”TRUE(有)”として記録される(S017)。
Webサーバ61は、S014で受信した通常ノード15のHTTPリクエストに対するHTTPレスポンスを通常ノード15に送信する(S018)。通常ノード15はHTTPレスポンスを受信し、所期のWebサービスを享受する(S019)。
検知装置12はDNSに関連する通信以外の内向き通信は監視しない。検知装置12は定期的にあるいは逐次的に、接続先情報DB124の接続先情報125のノード接続先情報から、送信元IPアドレスが通常ノード15のIPアドレスである”192.168.1.100”となるレコードに含まれる全期間あるいは一定期間内の接続先リストに関して、クエリ有無が“TRUE“となる件数をカウントする(S020)。検知装置12は続けて、全期間あるいは一定期間内の接続先リストに含まれるレコードに占めるクエリ有無が“TRUE“となるレコードの割合を算出(本例においては1件中1件なので100%)する(S021)。検知装置12は得られた割合(クエリ率)が70%を超えているため、通常ノード15ではP2Pソフトは稼働していない(陰性)と判断する(S022)。
図7を参照して、P2Pソフトが稼働しているP2Pノード14における各装置の処理動作について説明する。初期動作として、検知装置12は検知プログラム122を起動し(S101)、DNSサーバ20はDNSサーバプログラム202を起動する(S102)。また、P2Pノード14のIPアドレスを”192.168.1.50”とする。さらに、外部ネットワーク50に接続された他のP2Pノード62のIPアドレスを”10.1.1.50”とし、ファイル共有サービスはTCP4000番ポートで提供されるものとする。加えて、P2P通信検知システムにおけるクエリ率の閾値を70%とする。
P2Pノード14はP2Pプログラム(P2Pソフト、ファイル共有ソフト)142を起動する(S103)。P2Pノード14の操作者は、P2Pプログラム142に、既に保持していた又は他のP2Pノードから取得した、P2Pノード62のIPアドレス(”10.1.1.50”)を入力する(S104)。P2Pノード14は、IPアドレス(”10.1.1.50”)の他のP2Pノードへ接続要求を送信する(S105)。
接続要求通信は、検知装置12によって監視され、接続先IPアドレス、即ち外向き通信である接続要求の宛先IPアドレス(”10.1.1.50”)と宛先ポート番号(”4000”)が現在時刻とともに、接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.50”)に含まれる接続先リストに記録される(S106)。
P2Pノード62は、P2Pノード14の接続要求を受信する(S107)。その間、検知装置12は、接続先情報DB124の接続先情報のノード接続先情報(送信元IPアドレス=”192.168.1.50”)のDNSクエリリストから、S106で記録したIPアドレス(”10.1.1.50”)を検索する(S108)。この際に検索条件として、全てのDNSクエリリストや、クエリ日時が一定期間内のDNSクエリリストなど、加えて指定することもできる。検索の結果、IPアドレス(”10.1.1.50”)に対応するホスト名がDNSクエリリストに見つからないため、DNSクエリ無と判定する(S109)。判定結果は、接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.50”)の接続先リスト(宛先IPアドレス=” 10.1.1.50”)にクエリ有無=”FALSE(無)”として記録される(S110)。
P2Pノード62は、S106で受信したP2Pノード14の接続要求に対する接続応答をP2Pノード14に送信する(S111)。P2Pノード14は接続応答を受信し、所期のファイル共有サービスを享受する(S112)。
検知装置12はDNSに関連する通信以外の内向き通信は監視しない。検知装置12は定期的にあるいは逐次的に、接続先情報DB124の接続先情報125のノード接続先情報から、送信元IPアドレスがP2Pノード14のIPアドレスである”192.168.1.50”となるレコードに含まれる全期間若しくは所定期間内、又は所定件数内の接続先リストに関して、クエリ有無が“TRUE“となる件数をカウントする(S113)。検知装置12は続けて、全期間若しくは所定期間内又は所定件数内の接続先リストに含まれるレコードに占めるクエリ有無が“TRUE“となるレコードの割合を算出(本例においては1件中0件なので0%)する(S114)。検知装置12は得られた割合(クエリ率)が70%を超えていないため、P2Pノード14ではP2Pソフトが稼働している(陽性)と判断する(S115)。P2Pソフトが稼働しているか否かの判断に、クエリ率ではなく、クエリ有無が“TRUE“となる件数を対象に、閾値(例えば10件)によって判断することもできる。
P2Pソフトが稼働していると判断されたP2Pノード14に関する接続先情報DB124の接続先情報125のノード接続先情報(送信元IPアドレス=”192.168.1.50”)の接続先リストのうち、クエリ有無が”FALSE”となるレコードに含まれる宛先IPアドレス(”10.1.1.50”)と宛先ポート番号(”4000”)を、他のP2Pノードで稼働するP2PソフトのIPアドレス及びポート番号であると判断し(S116)、このIPアドレス及びポート番号に接続したP2Pノード14以外のノードもP2Pソフトが稼働していると推定することができる(S117)。即ち、接続先情報DB124から、接続先情報125のノード接続先情報の接続先リストの接続情報の宛先IPアドレスが”10.1.1.50”に、宛先ポート番号が”4000”となっているノード接続先情報を検索し、そのノード接続先情報に含まれる送信元IPアドレスもまた、P2Pノードであると推定できる。
このように、本実施例によれば、検知したP2Pノードに関わるP2P通信情報から、連鎖的にその他のP2Pノードの存在も把握することが可能となり、従来困難であったP2P通信の制御やP2Pノードの絞り込みが可能となる。
本実施例では、検知装置12による監視対象のノードは14及び15としたが、ローカルネットワーク40に接続する監視対象のノードが他にある場合、他のノードもP2Pノードであるか否かを推定できることになる。典型的には、ノード15にP2Pプログラムがインストールされ、その実行が開始された場合がある。
図8を参照して、P2P通信検知システムのP2Pノードへの対策実施措置における、各装置の処理動作について説明する。
検知装置12は、S115で判定されたP2Pノード14に対して対策を開始する(S201)。検知装置12はアクセス制御装置に対して、P2Pノード14のIPアドレス(”192.168.1.50”)に関するP2P通信制御命令を送信する(S202)。ここでいうP2P通信制御命令とは、ネットワークの遮断、帯域制限、あるいは経路変更などをいう。
図1〜3及び図5に図示を省略しているが、アクセス制御装置は検知装置12がアクセス制御装置を介してワイドエリアネットワーク50に接続するようにするか、ここで説明するアクセス制御装置の機能を検知装置12に内蔵してもよい。
アクセス制御装置は、検知装置12からP2P通信制御命令を受信し(S203)、P2P通信制御を実施し(S204)、P2Pノード14によるファイル共有などのP2Pサービスを抑制する。また、検知装置12は、P2Pノード14のIPアドレス(”192.168.1.50”)に対して「P2Pソフトの利用は禁止しています。」などのP2P通信に対する警告を送信する(S205)。P2Pノード14は、検知装置12から送信されてきたP2P通信に対する警告を受信し(S206)、画面に警告文を表示したり、P2Pプログラムを終了させたりするなどして、P2Pサービスを抑制する(S207)。
さらに、検知装置12は、ネットワークを運用管理するネットワーク管理者(ネットワーク管理サーバ)に対して、P2P通信検知報告を送信し(S208)、ネットワーク管理者はP2P通信検知報告を受信し(S209)、運用管理しているネットワークに存在するノードのP2P稼働状況を記録する(S210)。
図9を参照して、P2P通信検知システムにおけるP2Pノード判定手順について説明する。
検知装置12の起動により、P2Pノードの検知を開始する(F001)。検知装置12は、内部ネットワーク40と外部ネットワーク50との間の通信を受信する(F002)。受信した通信がDNSクエリ又はDNSレスポンスであるか否かを判定する(F003)。DNSクエリ又はDNSレスポンスであった場合には、DNSクエリ結果を接続先情報DB124に保存し(F004)、F002に戻る。
DNSクエリ及びDNSレスポンスのいずれでもない場合には、受信した通信が内部ネットワーク40から外部ネットワーク50への新たな外向き通信であるか否かを判定し(F005)、新たな外向け通信でなかった場合は、F002に戻る。新たな外向け通信であった場合には、接続先情報を接続先情報DB124に保存する(F006)。
検知装置12は、接続先情報DB124の接続先情報125のノード接続先情報に含まれる個々の送信元IPアドレスについて、所定時間又は所定件数の中の、接続先情報DB124のDNSクエリリストのIPアドレスと接続先リストの宛先IPアドレスの一致件数を検索する(F007)。検索により取得した送信元IPアドレスに対する一致件数、又は一致割合を定量値とする(F008)。予め与えられた閾値と定量化された定量値とを比較し、定量値が閾値以上であればP2Pノードではないと判定(F010)し、閾値未満であればP2Pノードであると判定する(F011)。
一実施形態におけるP2P通信検知システムのネットワーク構成を示す。 図1のP2P通信検知システムを構成する各装置のハードウェア構成例を示す。 図2のP2P通信検知システムを構成する各装置のソフトウェア構成例を示す。 一実施形態によるP2P通信検知システムにおける接続先情報を示す。 一実施形態によるP2P通信検知システムの動作を示す。 一実施形態によるP2P通信検知システムにおける各装置の動作を示す(通常ノード監視フロー)。 一実施形態によるP2P通信検知システムにおける各装置の動作を示す(P2Pノード監視フロー)。 一実施形態によるP2P通信検知システムにおける各装置の動作を示す(P2Pノードへの対策フロー)。 一実施形態によるP2P通信検知システムにおけるP2Pノード判定手順を示す。
符号の説明
10:P2P通信検知システム、12:ブリッジ型の検知装置、13:検知装置、14:P2Pノード、15:通常ノード、20:DNSサーバ、40:内部ネットワーク(ローカルエリアネットワーク)、50:外部ネットワーク(ワイドエリアネットワーク)、61:Webサーバ、62:P2Pノード。

Claims (16)

  1. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続し、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスとして得られるホスト名とそのIPアドレスとの第1の対応関係と、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスの際に得られる前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて格納する接続先情報データベースと、所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定する演算装置とを有することを特徴とするP2P通信検知装置。
  2. 前記所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定する演算装置とを有することを特徴とする請求項1記載のP2P通信検知装置。
  3. 前記演算装置が、前記DNSサーバへのクエリに対する前記レスポンスを監視し、該レスポンスに含まれる前記ホスト名とそのIPアドレスとの前記第1の対応関係として、前記DNSサーバへクエリを送信した前記監視対象のノードのIPアドレスに対応付けて前記演算装置が前記接続先情報データベースに格納することを特徴とする請求項2記載のP2P通信検知装置。
  4. 前記演算装置が、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスを監視し、該アクセス情報に含まれる前記他ノードのIPアドレスを得、該IPアドレスが前記第1の対応関係から得られたか否かを判定し、その判定結果を示す情報を前記得たIPアドレスと対応付けた第2の対応関係を、前記監視対象のノードのIPアドレスに対応付けて前記接続先情報データベース格納することを特徴とする請求項2記載のP2P通信検知装置。
  5. 前記演算装置は、前記監視対象のノードと前記他ノードはP2P通信を行っているとの推定応じて、警告を出力することを特徴とする請求項2記載のP2P通信検知装置。
  6. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続し、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスとして得られるホスト名とそのIPアドレスとの第1の対応関係と、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスの際に得られる前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて格納する接続先情報データベースと、所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が予め定めた件数を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定する演算装置とを有することを特徴とするP2P通信検知装置。
  7. 前記所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が前記予め定めた件数以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定する演算装置とを有することを特徴とする請求項6記載のP2P通信検知装置。
  8. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続するP2P通信検知装置におけるP2P通信検知方法であって、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスを監視し、前記レスポンスに含まれるホスト名とそのIPアドレスとの第1の対応関係を前記監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納し、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスを監視し、前記アクセスに関する情報から前記他ノードのIPアドレスを得、前記得た前記他ノードのIPアドレスと、該IPアドレスが前記接続先情報データベースに格納されている前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて前記接続先情報データベースに格納し、所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定することを特徴とするP2P通信検知方法。
  9. 前記所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定することを特徴とする請求項8記載のP2P通信検知方法。
  10. 前記監視対象のノードと前記他ノードはP2P通信を行っているノードであるとの推定応じて、警告を出力することを特徴とする請求項9記載のP2P通信検知方法。
  11. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続するP2P通信検知装置におけるP2P通信検知方法であって、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスを監視し、前記レスポンスに含まれるホスト名とそのIPアドレスとの第1の対応関係を前記監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納し、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスを監視し、前記アクセスに関する情報から前記他ノードのIPアドレスを得、前記得た前記他ノードのIPアドレスと、該IPアドレスが前記接続先情報データベースに格納されている前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて前記接続先情報データベースに格納し、所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が予め定めた件数を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定することを特徴とするP2P通信検知方法。
  12. 前記所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が前記予め定めた件数以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定することを特徴とする請求項11記載のP2P通信検知方法。
  13. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続するP2P通信検知装置に実行させるためのP2P通信検知プログラムであって、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスを監視し、前記レスポンスに含まれるホスト名とそのIPアドレスとの第1の対応関係を前記監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納し、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスを監視し、前記アクセスに関する情報から前記他ノードのIPアドレスを得、前記得た前記他ノードのIPアドレスと、該IPアドレスが前記接続先情報データベースに格納されている前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて前記接続先情報データベースに格納し、所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定することを特徴とするP2P通信検知プログラム。
  14. 前記所定期間内に前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の割合が所定の割合以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定することを特徴とする請求項13記載のP2P通信検知プログラム。
  15. 監視対象のノードが接続するネットワークと他のネットワークとの接続部に接続するP2P通信検知装置に実行させるためのP2P通信検知プログラムであって、前記監視対象ノードからのDNSサーバへのクエリに対するレスポンスを監視し、前記レスポンスに含まれるホスト名とそのIPアドレスとの第1の対応関係を前記監視対象のノードのIPアドレスに対応付けて接続先情報データベースに格納し、前記監視対象ノードからの前記他のネットワークに接続する他ノードへのアクセスを監視し、前記アクセスに関する情報から前記他ノードのIPアドレスを得、前記得た前記他ノードのIPアドレスと、該IPアドレスが前記接続先情報データベースに格納されている前記第1の対応関係から得られたか否かを示す情報との第2の対応関係とを、前記監視対象のノードのIPアドレスに対応付けて前記接続先情報データベースに格納し、所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が予め定めた件数を超えている場合に、前記監視対象のノードは通常通信を行っているノードであると推定することを特徴とするP2P通信検知プログラム。
  16. 前記所定件数の前記接続先情報データベースに格納された前記第2の対応関係の中で、前記他ノードのIPアドレスと該IPアドレスが前記第1の対応関係から得られたことを示す情報との対応を示す前記第2の対応関係の件数が前記予め定めた件数以下である場合に、前記監視対象のノードと前記他ノードはP2P通信を行っているノードであると推定することを特徴とする請求項15記載のP2P通信検知プログラム。
JP2007295543A 2007-11-14 2007-11-14 P2p通信検出装置、及びその方法とプログラム Expired - Fee Related JP4772025B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007295543A JP4772025B2 (ja) 2007-11-14 2007-11-14 P2p通信検出装置、及びその方法とプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007295543A JP4772025B2 (ja) 2007-11-14 2007-11-14 P2p通信検出装置、及びその方法とプログラム

Publications (2)

Publication Number Publication Date
JP2009124382A JP2009124382A (ja) 2009-06-04
JP4772025B2 true JP4772025B2 (ja) 2011-09-14

Family

ID=40816071

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007295543A Expired - Fee Related JP4772025B2 (ja) 2007-11-14 2007-11-14 P2p通信検出装置、及びその方法とプログラム

Country Status (1)

Country Link
JP (1) JP4772025B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5147769B2 (ja) * 2009-03-24 2013-02-20 株式会社日立製作所 端末検出方法、端末検出プログラム、および端末検出装置
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4572719B2 (ja) * 2005-03-30 2010-11-04 日本電気株式会社 トラフィック制御装置及びトラフィック制御方法並びにプログラム

Also Published As

Publication number Publication date
JP2009124382A (ja) 2009-06-04

Similar Documents

Publication Publication Date Title
US10200402B2 (en) Mitigating network attacks
US8479048B2 (en) Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained
US9742795B1 (en) Mitigating network attacks
US8904524B1 (en) Detection of fast flux networks
US9794281B1 (en) Identifying sources of network attacks
EP2612488B1 (en) Detecting botnets
KR100949808B1 (ko) P2p 트래픽 관리 장치 및 그 방법
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
US20160234167A1 (en) Detecting anomaly action within a computer network
JP6737610B2 (ja) 通信装置
Gokcen et al. Can we identify NAT behavior by analyzing traffic flows?
US20170063859A1 (en) System and method for network access control
KR101416523B1 (ko) 보안 시스템 및 그것의 동작 방법
US11874845B2 (en) Centralized state database storing state information
JP4772025B2 (ja) P2p通信検出装置、及びその方法とプログラム
De Montigny-Leboeuf et al. Passive network discovery for real time situation awareness
JP2006330783A (ja) オーバレイネットワーク生成アプリケーション起動ノード特定装置およびその方法
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP6740191B2 (ja) 攻撃対処システム及び攻撃対処方法
Chen et al. Measuring tor relay popularity
JP2002108729A (ja) ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体
US20240064158A1 (en) Automatic threat actor attribution based on multiple evidence
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110511

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110524

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110621

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees