WO2009110327A1

WO2009110327A1 - ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム

Info

Publication number: WO2009110327A1
Application number: PCT/JP2009/052996
Authority: WO
Inventors: 靖士佐藤
Original assignee: 日本電気株式会社
Priority date: 2008-03-04
Filing date: 2009-02-20
Publication date: 2009-09-11
Also published as: JP5267893B2; JPWO2009110327A1

Abstract

　通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視システムが提供される。そのネットワーク監視システムは、ＤＮＳサーバと監視装置とを備える。ＤＮＳサーバは、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成してアドレス解決要求元に送信する。監視装置は、生成されたアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成する。

Description

ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム

　本発明は、ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラムに関する。

　通信ネットワークの分野において、ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）が知られている。また、ＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）が知られている。通信ネットワークの分野において、マルウェアによる通信を検知したり、マルウェアが存在する端末や装置を検知したりすることは重要である。

　マルウェアの感染端末の検知システムの一例が、特開２００７－２７４２６５号公報に記載されている。当該文献の図１に示されているように、当該検知システムは、ＩＤＳとスイッチ、ネットワーク管理装置及び端末から構成されている。当該検知システムは、次のように動作する。端末が通信ネットワークに接続するために利用する端末接続装置の位置情報と、端末から発生した通信装置を流れる通信パケットについて、ＩＤＳ等により所定の検出ルールに基づく監視を行い、その接続元情報と検知情報とを関連づけることにより、感染端末の検知を行う。

　特開２００７－２６６９３１号公報には、不正な通信を行う通信端末から送信された通信データを他の通信端末に送信させない通信遮断装置が記載されている。

　特開２００７－２８８５３１号公報には、通信の相手先のアドレスを登録する際に、名前解決が可能かどうかを判定し、名前解決が可能な場合に、当該アドレスを登録する通信装置が記載されている。

　自己感染活動（周囲の端末装置に対する攻撃パケットの送信等）を行わず、外部サーバに接続して命令を受け取りメール等の中継を行うマルウェアについて、接続先の外部サーバのＤＮＳエントリが存在しない、もしくはループバックアドレスを戻す設定がされている場合であっても、感染した端末を検知することができることが望ましい。つまり、マルウェアの存在する端末外部への通信が発生せず、通信先等が特定できない場合であっても、感染した端末を検知することができることが望ましい。

　また、上記の外部サーバへのアクセスがファイアウォール等により遮断、もしくは外部サーバ自体が休止している場合であっても、同様にマルウェアによる通信検知ができることが望ましい。つまり、マルウェアによる通信が本来成立しない場合であっても、上記同様ＩＤＳ等による通信データの監視が行えることが望ましい。

　本発明は、マルウェアが接続する外部サーバのホスト名に対するアドレスが実際には解決できない状況においても解決し、マルウェアによる通信を発生させる。それにより、イントラネット内におけるマルウェアの存在するノードを検知する。

　本発明の１つの観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視システムが提供される。そのネットワーク監視システムは、ＤＮＳサーバと監視装置とを備える。ＤＮＳサーバは、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成してアドレス解決要求元に送信する。監視装置は、生成されたアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成する。

　本発明の他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視システムが提供される。そのネットワーク監視システムは、ＤＮＳサーバと中継装置とを備える。ＤＮＳサーバは、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成してアドレス解決要求元に送信する。中継装置は、生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する。

　本発明の更に他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視方法が提供される。そのネットワーク監視方法は、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成するステップと、生成されたアドレスをアドレス解決要求元に送信するステップと、生成されたアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと、を含む。

　本発明の更に他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視方法が提供される。そのネットワーク監視方法は、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成するステップと、生成されたアドレスをアドレス解決要求元に送信するステップと、生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成するステップと、を含む。

　本発明の更に他の観点において、コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを監視させるネットワーク監視プログラムが提供される。そのネットワーク監視プログラムは、（Ａ）ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、ホスト名に対応するアドレスへのアクセス要求を監視するステップと、ここで、ホスト名に対応するアドレスは、アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、（Ｂ）生成されたアドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと、をコンピュータに実行させる。

　本発明の更に他の観点において、コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを中継させるネットワーク監視プログラムが提供される。そのネットワーク監視プログラムは、（ａ）ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、ホスト名に対応するアドレスへのアクセスをホストとして受け付けるステップと、ここで、ホスト名に対応するアドレスは、アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、（ｂ）アクセス内容を元にアラームを生成するステップと、をコンピュータに実行させる。

　本発明によれば、ＤＮＳサーバが、本来無効となるサーバ名に対しても有効なアドレスを生成して戻すように構成されている。本来無効となるサーバ名とは、例えば、正規のＤＮＳサーバで名前が解決できない（名前からアドレスを特定できない）サーバ名である。従って、マルウェアに対して実際の環境では発生させられない通信を発生させることにより、そのポート番号等からマルウェアの存在する端末等の装置を検知することができる。

　また、本発明によれば、中継装置が、実際の環境では接続できなくなっているサーバ等に対する通信を接続できる様に振舞うので、マルウェアによって実際の環境では検知できない通信データを出力させることにより、その通信内容を判定することでマルウェアの存在する端末等の装置を検知することができる。

　上記及び他の目的、長所、特徴は、次の図面と共に説明される本発明の実施の形態により明らかになるであろう。

マルウェア検知システムの構成例を示すブロック図である。偽装ＤＮＳサーバの構成例を示すブロック図である。透過プロキシサーバの構成例を示すブロック図である。偽装ＤＮＳサーバの動作を示すフローチャートである。透過プロキシサーバの動作を示すフローチャートである。

　本発明の実施形態について、図面を参照して説明する。図１は、本発明の実施形態のマルウェア検知システムの構成例を示すブロック図である。なお、図１は、本発明のマルウェア検知システムの最小構成例を示すブロック図でもある。

　図１に示すように、本発明の実施形態のマルウェア検知システムは、イントラネット内で端末装置１に接続された偽装ＤＮＳサーバ（ＤＮＳサーバ）２と、偽装ＤＮＳサーバ２、端末装置１およびイントラネット外の正規ＤＮＳサーバ４に接続され、外部の通信ネットワークに接続された透過プロキシサーバ（監視装置、中継装置）３とを含む。

　なお、本実施形態において、マルウェアとは、自律的なプログラムであって、単なるＥｘｐｌｏｉｔやＰｏｒｔ／Ａｄｄｒｅｓｓ　Ｓｃａｎ等のコマンドではなく、例えば、Ｗｉｎｄｏｗｓ（登録商標）系であればサービス等の常駐プログラムとして、ＵＮＩＸ（登録商標）系であればｄａｅｍｏｎ的に常駐して、何らかの契機によって外部への通信を行うものをいう。

　偽装ＤＮＳサーバ２は、イントラネット内部に配置された端末装置１に対して、サーバやホストの名前に対する正しいＩＰアドレス、または、サーバやホストの名前に対するＩＰアドレスのうち一部が偽装されたＩＰアドレスを解決する機能を有する。サーバやホストの名前に対するＩＰアドレスのうち一部とは、少なくとも実際には解決できないホスト名に対応するアドレスや、該当ネットワーク上において無効となるアドレスである。実際には解決できないホスト名とは、例えば、ＤＮＳの名前のエントリが変更されたりしてエントリ自体が存在しなかったり、ＤＮＳの名前エントリは存在するものの、アドレスが一切登録されていないホスト名である。また、該当ネットワーク上において無効となるアドレスとは、ＤＮＳのエントリがローカルアドレスや特定のプライベートアドレスを戻す設定になっていたりする場合のホスト名である。サーバやホストの名前に対するＩＰアドレスのうち一部が偽装されたＩＰアドレスとは、端末装置１が生成した全ＤＮＳクエリに対して応答するＩＰアドレスのうち、一部のＩＰアドレスが本来の応答内容と異なる（偽装されている）ことをいう。また、偽装されたＩＰアドレスを解決する機能とは、例えば、正しくアドレスが帰らないはずのＤＮＳクエリの応答をイントラネットから見て外部に存在するかのようなアドレスエントリを生成して戻す機能をいう。

　透過プロキシサーバ３は、イントラネットの出入り口において、内部から外部への通信をそのまま転送せずに一旦終端し、通過の可否を判定したのち中継する。

　正規ＤＮＳサーバ４は、イントラネット外部に配置された外部サーバに対する正規のアドレスを解決する。

　図２は、本発明の実施形態の偽装ＤＮＳサーバ２の構成例を示すブロック図である。図２に示すように、本実施形態の偽装ＤＮＳサーバ２は、パケット送受信機能（パケット送受信手段）２１と、アドレス生成機能２２と、名前管理機能（名前管理手段）２３と、アドレス管理機能（アドレス管理手段）２４と、一時アドレス記憶領域２５と、アドレスルール管理機能２６とを含む。

　パケット送受信機能２１は、イントラネット内の各装置からＤＮＳクエリを受け取り、また応答メッセージを送出する。アドレスルール管理機能２６は、名前からアドレスを生成するための定義情報と、アドレスに対応する名前に関する情報（名前情報）を管理する。なお、管理とは、情報をメモリやファイルやデータベースに登録したり、登録した情報を登録先から読み出して出力したりすることをいう。定義情報とは、例えば、あるドメインを含むホスト名に対して、一部が当該ホスト名をハッシュ化されたＩＰアドレスを戻すことを示す情報である。ハッシュ化の方法は、例えば、ＭＤ５や、ｓｈａ１等であり、ＩＰアドレスの重複が発生しにくい方法が好ましい。

　アドレス生成機能２２は、定義情報に基づいて名前から自動的に少なくとも１つ以上のアドレスを生成する。一時アドレス記憶領域２５は、アドレス生成機能２２によって生成されたアドレスと名前との組み合わせの情報（マップ情報）、及び生成されたアドレスに複数の名前が割り当てられる場合に生成される仮名情報を一定時間保持する。

　名前管理機能２３は、アドレスルール管理機能２６によって管理されているアドレスに対応する名前に関する情報と、一時アドレス記憶領域２５に記憶されたマップ情報とからアドレスデータ（アドレス情報。例えば、ＩＰアドレス）を元に名前情報を解決（名前解決）する。なお、本実施形態において、名前解決とは、一時アドレス記憶領域２５に記憶されたマップ情報を用いて、ＩＰアドレス等のアドレスデータに対応するホスト名を特定することをいう。

　アドレス管理機能２４は、パケット受信機能２１が受け取ったＤＮＳクエリから、その問い合わせ内容と、問い合わせ元とを管理する。具体的には、例えば、問い合わせ元の装置のＩＰアドレスと、問い合わせの内容を示す情報とを一時アドレス記憶領域２５等の記憶手段に記憶させる。また、アドレス管理機能２４は、アドレスルール管理機能２６によって管理されている名前に対応するアドレスに関する情報と、一時アドレス記憶領域２５に記録されたマップ情報及び仮名情報とから名前データを元に、アドレス情報を解決する（アドレスを解決する）機能を有する。

　名前に対応するアドレスに関する情報は、例えば、一旦問い合わせのあったデータに対しては、一時アドレス記憶領域２５からアドレスを取り出すことを示す。また、名前に対応するアドレスに関する情報は、初めての問い合わせに対しては、問い合わせ元のホスト名またはドメイン名に応じて、自動生成するアドレスの範囲およびアドレスを自動生成する方法を示す。なお、アドレスの自動生成は、例えば、ＭＤ５や、ｓｈａ１等でホスト名をハッシュ化して行われる。

　また、アドレス管理機能２４は、アドレスルール管理機能２６によって管理されるアドレスルールの定義によっては、別途正規ＤＮＳサーバ４を用いて、外部サーバの名前に対応する正規のアドレスを取得し、その結果に応じてアドレス生成機能２２によって自動生成されるアドレスか、当該取得した正規のアドレスを応答メッセージとして送信するかを選択する機能を有する。

　偽装ＤＮＳサーバ２に含まれる各機能の動作を具体的に説明する。パケット送受信機能２１は、端末装置１からのＤＮＳクエリパケットを受信し、パケットに含まれる解決すべき名前、もしくはアドレスデータを抽出する。クエリが名前に対するアドレスを要求している場合には、パケット送受信機能２１は、アドレス管理機能２４にデータを転送し、処理を呼び出す。クエリがアドレスに対する名前を要求している場合には、パケット送受信機能２１は、名前管理機能２３にデータを転送し、処理を呼び出す。そして、アドレス管理機能２４または名前管理機能２３によって名前またはアドレスが解決された場合、パケット送受信機能２１は、それらの情報をＤＮＳの応答パケットとして端末装置１に送信する。

　アドレス生成機能２２は、アドレスルール管理機能２６によって管理されるアドレスルールの定義に基づいて、ＤＮＳクエリに含まれる名前からハッシュ等を利用して、名前毎に概ね一意となるアドレスを自動生成する。アドレスルールの定義は、例えば、特定の名前パターンに対して生成するアドレスの範囲やパターンを規定する。

　名前管理機能２３は、アドレスから名前を解決する要求データをパケット送受信機能２１から受け取る。名前管理機能２３は、アドレスルール管理機能２６によって管理されているアドレスルール、及び一時アドレス記憶領域２５を参照する。アドレスルールによって一意に返却すべき名前が規定されているか、または、一時アドレス記憶領域２５に、名前とアドレスのマップ情報が存在する（記憶されている）場合、名前管理機能２３は、該当する名前情報をパケット送受信機能に返却する。また、返却する名前情報が存在しない場合、名前管理機能２３は、名前無しで応答データをパケット送受信機能２１に返却する。

　アドレス管理機能２４は、名前からアドレスを解決する要求データをパケット送受信機能２１から受け取る。アドレス管理機能２４は、アドレスルール管理機能２６によって管理されているアドレスルール、及び一時アドレス記憶領域２５を参照する。アドレスルールによって一意に返却すべきアドレスが規定されているか、または、一時アドレス記憶領域２５に、名前とアドレスのマップ情報が存在する場合、アドレス管理機能２４は、該当するアドレス情報をパケット送受信機能に返却する。

　また、一時アドレス記憶領域２５に、名前に対応するアドレスが一意に登録されていないか、登録データの有効期限が切れている場合、アドレスルールにてクエリによって問い合わされた名前に対するアドレスの自動生成が定義されている場合、アドレス管理機能２４は、アドレス生成機能２２を利用して名前に対応するアドレスを自動生成する。また、アドレス管理機能２４は、パケット送受信機能２１を呼び出して、端末装置１にＤＮＳクエリに対する応答メッセージとして送信する。更に、アドレス管理機能２４は、生成したアドレスと生成に利用した名前をマップ情報として別途一時アドレス記憶領域２５に登録する。また、この時登録されるマップ情報には情報の有効期限を指定することもできる。

　名前から生成したアドレスが、既に一時アドレス記憶領域２５に存在するか、アドレスルールで定義されている場合は、既存の登録データに対して仮名（エイリアス／ＤＮＳではＣＮＡＭＥ）として登録される。

　アドレスルール管理機能２６は、偽装ＤＮＳサーバ内の各機能からの名前、またはアドレスに対応するルールの要求に対し、管理しているアドレスルール内から適切なルールを返却する。また、アドレスルール管理機能２６は、何らかのタイミングで一時アドレス記憶領域２５に記録されたマップ情報をアドレスルールに変換して、外部の記憶手段に保存する機能を有する。更に、アドレスルール管理機能２６は、外部の記憶手段に保存したルールを読み出す機能を有する。なお、適切なルールを返却するとは、予め用意された複数のルールのうち、アドレスパターンが一致したルールを適切なルールとして返却したり、Ｌｏｎｇｅｓｔ　ｍａｔｃｈのケースを取ったりして返却したりすることをいう。

　図３は、本発明の実施形態の透過プロキシサーバ３の構成例を示すブロック図である。図３に示すように、本実施形態の透過プロキシサーバ３は、パケット送受信機能Ａ３１、サーバ名解決機能３２、偽装サーバ機能３３、ＩＤＳ機能３４、エラー処理－通知機能３０、セッション情報記憶領域３８、パケット中継機能３９、パケット送受信機能Ｂ３５、サーバアドレス解決機能３６、および偽装クライアント機能３７を含む。

　パケット送受信機能Ａ３１は、イントラネット内の端末装置１から外部ネットワークへのアクセス等のパケットを送受信する。パケット送受信機能Ｂ３５は、外部ネットワーク上にある正規ＤＮＳサーバ４や、端末装置１がアクセスしようとしているサーバとのパケットの送受信を行う。サーバ名解決機能３２は、パケット送受信機能Ａ３１が受け取ったパケットに含まれる宛先アドレス情報から、アクセスすべきサーバ名を、偽装ＤＮＳサーバ２に問い合わせて取得する。

　ＩＤＳ機能３４は、パケット送受信機能Ａ３１が受け取ったパケットに含まれる送信データを検査し、特定のパターンに一致するかどうかを判定する。なお、ＩＤＳ機能３４は、一般的なＩＤＳ（特に、通信ネットワークの通信データを調査するＮＩＤＳ）のｓｎｏｒｔのように、シグネチャと呼ばれるパターンデータにもとづいて、判定を行ってもよい。あるいは、ＩＤＳ機能３４は、通信を中継すると同時にプロトコルを解釈して、通信データを特定のＳａｎｄｂｏｘ上に再現し、そこでそれらのデータがプログラムデータであれば、さらにそれを実行して振る舞いを監視し、判定を行ってもよい。また、ＩＤＳ機能３４は、通信データが圧縮されている場合や暗号化されている場合には、当該通信データを解凍したり、暗号化を説いたりする処理を実行してもよい。

　偽装サーバ機能３３は、端末装置１が外部サーバへ接続するために送信したパケットをパケット送受信機能Ａ３１によって受け取り、外部サーバになりすまして接続を受け付ける。セッション情報記憶領域３８には、サーバ名解決機能３２によって解決された端末装置１が本来接続するはずのサーバ名と、偽装サーバ機能３３によって外部サーバを偽装して受け付けられた接続情報（セッション情報）とが合わせて記録される。

　なお、セッション情報には、接続元端末のアドレス情報（例えば、マルウェアに感染されているノードのＩＰアドレス）、接続元端末のポート番号、接続先端末のアドレス情報（例えば、マルウェアが接続しようとしているノードのＩＰアドレス）、接続先端末のポート番号が含まれる。また、セッション情報には、接続先端末のホスト名やアドレス等の情報が含まれてもよいし、通信に用いられるプロトコルを示すプロトコル情報（例えば、プロトコル番号やイベントを示す情報）が含まれていてもよい。

　サーバアドレス解決機能３６は、セッション情報記憶領域３８に記録されたサーバ名を利用して、正規ＤＮＳサーバ４を用いて、端末装置１が本来接続するはずの本来のアドレスを解決する。アドレスを解決するとは、具体的には、例えば、名前解決の逆引きの処理をいう。

　偽装クライアント機能３７は、サーバアドレス解決機能３６によって解決されたサーバのアドレスに対して、偽装サーバ機能３３が受け付け、端末装置１から送信され、パケット送受信機能Ａ３１が受信したパケットのデータを用いる。そして、偽装クライアント機能３７は、外部のサーバに対し端末装置１になりすまして接続を行い、サーバからの応答メッセージを別途偽装サーバ機能３３に転送する。

　パケット中継機能３９は、端末装置１と外部サーバとの通信を中継する。エラー処理－通知機能３０は、各機能におけるエラーに関する処理と、その通知を行う。

　また、偽装サーバ機能３３は、偽装クライアント機能３７が取得した外部サーバによる端末装置１に対する応答メッセージを利用して、端末装置１に対し応答メッセージを送信する。具体的には、例えば、端末装置１から偽装サーバ機能３３が受信したデータを、偽装クライアント機能３７が、外部サーバに送信する。その送信したデータに対する応答のデータを、偽装サーバ機能３３が端末装置１に送信する。なお、偽装サーバ機能３３は、応答のデータに送信元や送信先を示す情報が含まれている場合に、適宜データを書き換えたりするように構成されていてもよい。

　また、パケット中継機能３９は、セッション情報記憶領域３８に記録された情報を元に、偽装サーバ機能３３が受信した端末装置１が送信したデータを、偽装クライアント機能３７を用いて外部サーバに転送する。更に、パケット中継機能３９は、外部サーバから送信された応答データを偽装クライアント機能３７に受信させ、偽装サーバ機能３３を利用して端末装置１に送信するように各機能を制御する機能を有する。

　また、エラー処理－通知機能３０は、各機能毎のエラーに応じてその回数やエラー原因となる情報について何らかの条件処理を行う。そして、エラー処理－通知機能３０は、別途パケット送受信機能Ａ３１またはパケット送受信機能Ｂ３５のいずれかまたは両方を用いて、外部の装置、サーバ等へエラーとエラーに関連する情報、またはエラー処理の結果判定された検知情報等を通知する。

　具体的には、エラー処理－通知機能３０は、エラーに関連する情報として、例えば、エラーの原因となったデータそのものや、データの特徴量を示す情報であったり、エラーの原因となったデータを送信した端末のアドレスや本来の接続先等を示す情報を通知したりする。また、エラー処理－通知機能３０は、検知情報等として、ある端末があるアドレスのホストに対してあるプロトコルで通信しようとしたことを示し、そのホストが本来ＤＮＳ解決できないホストであることを示す情報を通知する。また、エラー処理－通知機能３０は、検知情報等として、ある端末があるプロトコルであるデータを送信しようとしたが、その通信はあるマルウェアによる通信である可能性があることを示す情報を通知する。

　また、偽装サーバ機能３３は、ＩＤＳ機能３４による検査結果を元に端末装置１との接続を遮断、または、偽装クライアント機能３７に対して検査したデータを転送する機能を有する。

　また、偽装クライアント機能３７は、サーバアドレス解決機能３６によって名前が解決できない等、特定条件に応じて偽装サーバ機能３３に対し、パケット送受信機能Ｂ３５からの受信データ以外に、別途エラー等を通知する機能を有する。

　尚、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合、そのホスト名に対応するアドレスが生成され、生成されたアドレスがアドレス解決要求元に送信される。透過プロキシサーバ３は、例えば、ネットワーク監視プログラムが搭載されたコンピュータによって実現される。ネットワーク監視プログラムは、上記ホスト名に対応するアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、そのアクセス要求のアクセス先を示す情報を元にアラームを生成する処理を、コンピュータに実行させる。あるいは、ネットワーク監視プログラムは、上記ホスト名に対応するアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する処理を、コンピュータに実行させる。

　次に、偽装ＤＮＳサーバ２の動作について、図面を参照して説明する。図４は、偽装ＤＮＳサーバ２の動作を示すフローチャートである。

　パケット送受信機能２１は、ＤＮＳクエリ待ちの処理（ステップＳ１０１）で、イントラネット内の端末装置１及び透過プロキシサーバ３からのＤＮＳクエリを待ち合わせる。ＤＮＳクエリを受け取ると、パケット送受信機能２１は、受け取ったクエリ及びその送信元の情報を合わせてアドレス管理機能２４に転送する。ＤＮＳクエリを受け取ったアドレス管理機能２４は、その内容を判定する。クエリが名前からアドレス解決を要求している場合（ステップＳ１０２；Ｙ）、アドレス管理機能２４は、正引き処理を実行する（ステップＳ１０３）。クエリがアドレスから名前の解決を要求している場合（ステップＳ１０２；Ｎ）、アドレス管理機能２４は、逆引き処理を実行する（ステップＳ１１３）。

　アドレス管理機能２４は、正引き処理（ステップＳ１０３）で、ＤＮＳクエリに含まれる名前を一時アドレス記憶領域２５から検索する。既にマップ情報、または仮名情報が存在する場合（ステップＳ１０４；Ｙ）、アドレス管理機能２４は、マップ情報からＤＮＳクエリの名前に対応するアドレス情報を取り出す。処理は、アドレス応答設定（ステップＳ１１０）に移行する。

　アドレス管理機能２４は、一時アドレス記憶領域２５にマップ情報が存在しない場合に（ステップＳ１０４；Ｎ）、ルール確認の処理（ステップＳ１０５）を実行する。アドレス管理機能２４は、ルール確認の処理（ステップＳ１０５）で、アドレスルール管理機能２６に対して、クエリ情報（ＤＮＳクエリに含まれる名前）に対応するアドレス生成ルールを問い合わせる。

　そして、クエリ情報に対応するアドレス生成ルールの存在を確認する。クエリ情報に対応するアドレス生成ルールが存在する場合（ステップＳ１０６；Ｙ）、処理は、アドレス自動生成（ステップＳ１０７）に移行する。また、クエリ情報に対応するアドレス生成ルールが存在しない場合（ステップＳ１０６；Ｎ）、対応アドレスなしの応答を戻す為、処理は、応答メッセージ生成（ステップＳ１１１）に移行する。

　次に、アドレス自動生成の処理（ステップＳ１０７）では、アドレス生成機能２２が、アドレスルール管理機能２６によって戻されたアドレス生成ルールにしたがって、クエリ情報に対応するアドレスを自動生成する。そして、生成したアドレスが一時アドレス記憶領域２５のマップ情報に存在しない場合（ステップＳ１０８；Ｎ）、処理は、マップ情報保存（ステップＳ１０９）に移行する。また、既にマップ情報が存在する場合（ステップＳ１０８；Ｙ）、処理は、仮名情報保存（ステップＳ１１６）に移行する。

　マップ情報保存の処理（ステップＳ１０９）では、生成されたマップ情報（ステップＳ１０７の処理で生成されたアドレスとステップＳ１０１の処理で受信したＤＮＳクエリに含まれる名前との組み合わせ）を一時アドレス記憶領域２５に保存する。その後、処理は、アドレス応答設定（ステップＳ１１０）に移行する。

　仮名情報保存の処理（ステップＳ１１６）では、ステップＳ１０７の処理で生成されたアドレスに対する仮名（エイリアス／ＤＮＳではＣＮＡＭＥ）を示す仮名情報を生成し、一時アドレス記憶領域２５に保存する。その後、処理は、アドレス応答設定（ステップＳ１１０）に移行する。

　アドレス応答設定の処理（ステップＳ１１０）では、パケット送受信機能Ａ３１が、名前に対応するアドレス情報を応答メッセージに含めるように設定する。その後、処理は、応答メッセージ作成（ステップＳ１１１）に移行する。

　逆引き処理（ステップＳ１１３）では、名前管理機能２３が、ＤＮＳクエリに含まれるアドレスを、一時アドレス記憶領域２５のマップ情報から検索する。そして、ＤＮＳクエリに含まれるアドレスが一時アドレス記憶領域２５のマップ情報に存在する場合（ステップＳ１１４；Ｙ）、処理は、名前応答設定（ステップＳ１１５）に移行する。ＤＮＳクエリに含まれるアドレスが一時アドレス記憶領域２５のマップ情報に存在しない場合（ステップＳ１１４；Ｎ）、処理は、応答メッセージ作成（ステップＳ１１１）に移行する。

　名前応答設定の処理（ステップＳ１１５）では、パケット送受信機能Ａ３１が、アドレスに対応する名前情報を応答メッセージに含めるように設定する。その後、処理は、応答メッセージ作成（ステップＳ１１１）に移行する。

　応答メッセージ作成の処理（ステップＳ１１１）では、パケット送受信機能Ａ３１が、ステップＳ１１０の処理またはステップＳ１１５の処理で設定された応答メッセージに含めるデータに対応する応答メッセージを作成する。その後、処理は、ＤＮＳ応答（ステップＳ１１２）に移行する。なお、応答メッセージに名前から解決したアドレス、もしくはアドレスから解決した名前のいずれも含める設定でない場合（名前、もしくはアドレスの解決ができなかった場合）は、パケット送受信機能Ａ３１が、解決された名前、もしくはアドレスが無いことを通知するための応答メッセージを作成する。その後、処理は、ＤＮＳ応答（ステップＳ１１２）に移行する。

　ＤＮＳ応答の処理（ステップＳ１１２）では、パケット送受信機能２１が、ステップＳ１１１の処理で生成された応答メッセージを、アドレス管理機能２４が管理するＤＮＳクエリ送信元に送信する。

　なお、上記ステップＳ１０３およびステップＳ１１３における一時アドレス記憶領域２５に登録されたマップ情報及び仮名情報の参照時には、適宜情報の有効期限が確認される。有効期限を経過したものについては、削除あるいは登録されていないものとして処理が行われる。

　次に、透過プロキシサーバ３の動作について、図面を参照して説明する。図５は、透過プロキシサーバ３の動作を示すフローチャートである。

　パケット送受信機能１は、外部接続待ちの処理（ステップＳ２０１）で、イントラネット内の端末装置１による外部ネットワークへのアクセス（イントラネット内の端末装置１から外部の通信ネットワークに接続された通信端末に送信されたパケット）を受け取る。パケット送受信機能１は、パケットに含まれる宛先アドレスの情報を接続先アドレス情報Ａとして、セッション情報記憶領域３８に保存する。その後、処理は、偽装サーバ受付（ステップＳ２０２）に移行する。

　偽装サーバ受付の処理（ステップＳ２０２）では、偽装サーバ機能３３が、端末装置１の接続先サーバを偽装して接続を受け付け、端末装置１から送信された最初のデータの受信を行う。このとき、偽装サーバ機能３３の設定により、データを受け付ける前に、本来の接続先のサーバ（端末装置１の接続先（パケット送信先）サーバ）が最初に出力するデータと同様のデータを先に端末装置１に返却する場合もある。そして、本来の接続先の名前を解決するため、処理は、逆引き処理（ステップＳ２０３）に移行する。

　逆引き処理（ステップＳ２０３）では、サーバ名解決機能３２が、ステップＳ２０１の処理でセッション情報記憶領域３８に保存された接続先アドレス情報Ａを用いて、偽装ＤＮＳサーバ２に対し対応するホスト名を問い合わせる。そして、逆引きで解決できない場合（ステップＳ２０４；Ｎ）、処理は、逆引きエラー処理（ステップＳ２１２）に移行する。逆引きで解決できた場合（ステップＳ２０４；Ｙ）、サーバ名解決機能３２は、接続先ホストの名前を接続先ホスト名情報として、既に記録されている接続先アドレス情報１と関連付けてセッション情報記憶領域３８に記録する。その後、処理は、接続データ－ルールチェック（ステップＳ２０５）に移行する。

　接続データ－ルールチェックの処理（ステップＳ２０５）では、ＩＤＳ機能３４が、偽装サーバ機能３３が受け付けたデータやセッション情報をチェックする。そして、監視対象となるパターンが検出された場合（ステップＳ２０６；ＮＧ）、処理は、ＩＤＳ検知判定（ステップＳ２１３）に移行する。

　監視対象となるパターンが検出されなかった場合（ステップＳ２０６；ＯＫ）、処理は、サーバアドレス解決（ステップＳ２０７）に移行する。

　サーバアドレス解決の処理（ステップＳ２０７）では、サーバアドレス解決機能３６が、正規ＤＮＳサーバ４に対して、接続先ホストの名前に対応するアドレスを問合せる。このとき、サーバアドレス解決機能３６は、逆引き処理（ステップＳ２０３）でセッション情報記憶領域３８に保存された接続先ホスト名情報を利用する。そして、接続先ホストの名前に対応するアドレス情報が取得できなかった場合（ステップＳ２０８；Ｎ）、処理は、正引きエラー処理（ステップＳ２１４）に移行する。一方、接続先ホストの名前に対応するアドレス情報が取得できた場合（ステップＳ２０８；Ｙ）、サーバアドレス解決機能３６は、取得できたアドレスを接続先アドレス情報Ｂとする。そして、サーバアドレス解決機能３６は、セッション情報記憶領域３８に、接続先アドレス情報Ｂを、既に記録されている接続先アドレス情報Ａと接続先ホスト情報と関連付けてセッション情報として保存する。その後、処理は、偽装クライアント接続（ステップＳ２０９）に移行する。

　偽装クライアント接続（ステップＳ２０９）では、偽装クライアント機能３７が、ステップＳ２０７の処理で解決された接続先アドレス情報Ｂに対応するサーバ等に、端末装置１を偽装してパケット送受信機能Ｂ０３５を利用して接続を行う。接続不可の場合、処理は、エラー通知の処理（ステップＳ２１１）に移行する。接続可能な場合、処理は、プロキシ処理起動（ステップＳ２１０）に移行する。

　プロキシ処理起動（ステップＳ２１０）では、パケット中継機能３９が、セッション情報記憶領域３８に記録されたセッション情報を元に、偽装サーバ機能３３が受信した端末装置１が送信したデータを、偽装クライアント機能３７を用いて外部サーバに転送する。更に、パケット中継機能３９は、外部サーバから送信された応答データを偽装クライアント機能３７に受信させ、偽装サーバ機能３３を利用して端末装置１に送信するように各機能を制御する。そして、処理は、外部接続待ち（ステップＳ２０１）に移行する。

　逆引きエラー処理（ステップＳ２１２）では、エラー処理－通知機能３０が、逆引きエラーとなった接続先アドレス情報Ａについて、一定回数以上のエラー発生の判定等の条件処理を行う。その結果判定のため、処理は、エラー通知判定（ステップＳ２１５）に移行する。

　ＩＤＳ検知判定の処理（ステップＳ２１３）では、エラー処理－通知機能３０が、ＩＤＳ機能３４によるチェックの結果について、その原因となったアクセスデータ、及び接続先ホスト名情報、または接続先アドレス情報Ａの一方もしくは両方について、一定回数以上の検知等の判定等の条件処理を行う。条件を満たす場合、すなわち、接続が不正である可能性ありと判定された場合（ステップＳ２１３；ＮＧ）、処理は、エラー通知判定（ステップＳ２１５）に移行する。条件を満たさない場合（ステップＳ２１３；ＯＫ）、処理は、サーバアドレス解決（ステップＳ２０７）に移行する。

　正引きエラー処理（ステップＳ２１４）では、エラー処理－通知機能３０が、正引きエラーとなった接続先ホスト名情報について、一定回数以上のエラー発生等の条件処理を行う。その結果判定のため、処理は、エラー通知判定（ステップＳ２１５）に移行する。

　エラー通知判定の処理（ステップＳ２１５）では、エラー処理－通知機能３０が、ステップＳ２１２、ステップＳ２１３、ステップＳ２１４のエラー処理結果を元に処理を行う。対象エラー処理がステップＳ２１２の処理よるものである場合は、エラー処理－通知機能３０は、アクセス元の端末装置１のアドレスと接続先アドレス情報Ａとを利用して、一定期間以内に既に通知されているか等の条件判定により、通知対象であるかを判定する。対象エラー処理がステップＳ２１３の処理によるものである場合は、エラー処理－通知機能３０は、アクセス元の端末装置１のアドレスと、ステップＳ２０６のＩＤＳチェックの処理で検出された対象データとを利用する。対象エラー処理がステップＳ２１４の処理によるものである場合は、エラー処理－通知機能３０は、アクセス元の端末装置１のアドレスと、接続先ホスト名情報とを利用する。そして、通知する必要があると判定した場合（ステップＳ２１５；Ｙ）、処理は、エラー通知の処理（ステップＳ２１１）に移行する。一方、通知不要と判定された場合（ステップＳ２１５；Ｎ）、処理は、外部接続待ち（ステップＳ２０１）に移行する。

　エラー通知の処理（ステップＳ２１１）では、エラー処理－通知機能３０が、パケット送受信機能Ａ０３１またはパケット送受信機能Ｂ０３５のいずれか、あるいは両方を利用して、本システム内外の何らかの装置またはプログラムに対して何らかの方法（例えば、メールやＳＹＳＬＯＧ等）で、検知した情報またはエラーを通知する。

　なお、本実施形態において、端末装置１上で動作する外部ネットワーク上のサーバへのアクセスを行うプログラム（マルウェアを含む）、機能等については一般的に以下の手順にて外部サーバへのアクセスを行うものを想定する。

　１．外部サーバへのアクセスを行うプログラムは、初めに外部サーバのホスト名に対するアドレス情報をＤＮＳサーバに問い合わせる。
　２．外部サーバへのアクセスを行うプログラムは、上記の問い合わせにて得られたアドレスに対して接続を試みる。

　また、本実施形態における正規ＤＮＳサーバ４は、一般のＤＮＳサーバであるとする。

　本実施形態は、端末装置１内のマルウェア等のプログラムによって、外部ネットワーク上のサーバ等へのアクセスが行われる際に、偽装ＤＮＳサーバ２によってアドレス（または名前）の解決が行われるように構成されている。従って、正規ＤＮＳサーバ４上では既にアドレス（または名前）が無効になっている、あるいは、ローカルな通信用アドレスになっている等、通信対象として不適当なアドレス（または名前）になっている場合において、本来マルウェアによる通信が発生しない状況であっても、通信可能なアドレスが戻される。それにより、マルウェアによる通信を発生させることが可能になり、マルウェアの存在を検出することが可能になる。

　また、本実施形態では、上記で発生したマルウェアによる通信の宛先を判定することにより、通常イントラネット内部から外部に対しては発生することの無いポートへの通信等を判定することにより、マルウェアの存在を検知することが可能になる。

　また、本実施形態では、透過プロキシサーバ３において、外部ネットワーク上のサーバを偽装する。それにより、実際には外部ネットワーク上のサーバが既に閉鎖、もしくは一時的に停止しているといった接続不可である状況においても、通信を受け付けることが可能となる。従って、本来監視不可能な発生しないはずの通信内容をＩＤＳにより検査することが可能になる。そして、通常の通信ネットワーク構成では不可能なイントラネット内におけるマルウェアの存在を検知することが可能になる。

　また、本実施形態では、透過プロキシサーバ３において、一旦内部の偽装ＤＮＳサーバ２に対して、アクセス先のアドレスに対するホスト名の問い合わせを行う様に構成されている。従って、その時点でホスト名が解決できない場合、端末装置１内のプログラムがＤＮＳによりホスト名からアドレスを解決せずに、直接対象アドレスへの通信を発生させようとしていることを検知可能である。また、対象アドレスが、例えば、イントラネット内等に存在するサーバ等でない場合、外部への不正なアクセスとして判定する。これにより、マルウェアによる通信である可能性の高い通信を検知することが可能になる。

　本発明は、イントラネット内と外部を接続するファイアウォールやルータ等の装置、及びイントラネット内に設置するＤＮＳサーバといった分野に適用できる。

　以上、本発明の実施の形態が添付の図面を参照することにより説明された。但し、本発明は、上述の実施の形態に限定されず、要旨を逸脱しない範囲で当業者により適宜変更され得る。

　本出願は、２００８年３月４日に出願された日本国特許出願２００８－０５２７７０を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims

　通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視システムであって、
　ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成してアドレス解決要求元に送信するＤＮＳサーバと、
　前記生成されたアドレスへのアクセス要求を監視して、前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成する監視装置と
　を備える
　ネットワーク監視システム。
　前記監視装置は、前記ＤＮＳサーバによってアドレス解決が行われていない外部のサーバへの前記アクセス要求を監視し、前記アクセス要求を検出した場合に、前記アクセス要求のアクセス先の情報を元に前記アラームを生成する
　請求の範囲１に記載のネットワーク監視システム。
　通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視システムであって、
　ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成してアドレス解決要求元に送信するＤＮＳサーバと、
　前記生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する中継装置と
　を備える
　ネットワーク監視システム。
　前記中継装置は、前記ＤＮＳサーバによってアドレス解決が行われていない外部のサーバへの前記アクセス内容を監視し、前記アクセス内容を元に前記アラームを生成する
　請求の範囲３に記載のネットワーク監視システム。
　前記ＤＮＳサーバは、
　パケットを送信および受信するパケット送受信手段と、
　前記パケット送受信手段が受信したパケットに含まれる名前を示す情報にもとづいて、アドレス解決するアドレス管理手段と
　を含む
　請求の範囲１乃至４のいずれか一項に記載のネットワーク監視システム。
　前記ＤＮＳサーバは、
　パケットを送信および受信するパケット送受信手段と、
　前記パケット送受信手段が受信したパケットに含まれるアドレスを示す情報にもとづいて、名前解決する名前管理手段と
　を含む
　請求の範囲１乃至４のいずれか一項に記載のネットワーク監視システム。
　通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視方法であって、
　ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成するステップと、
　前記生成されたアドレスをアドレス解決要求元に送信するステップと、
　前記生成されたアドレスへのアクセス要求を監視して、前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと
　を含む
　ネットワーク監視方法。
　前記アラームを生成するステップは、
　前記アドレスを生成するステップでアドレス解決が行われていない外部のサーバへの前記アクセス要求を監視するステップと、
　前記アクセス要求を検出した場合に、前記アクセス要求のアクセス先の情報を元に前記アラームを生成するステップと
　を含む
　請求の範囲７に記載のネットワーク監視方法。
　通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視方法であって、
　ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成するステップと、
　前記生成されたアドレスをアドレス解決要求元に送信するステップと、
　前記生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成するステップと
　を含む
　ネットワーク監視方法。
　前記アラームを生成するステップは、
　前記アドレスを生成するステップでアドレス解決が行われていない外部のサーバへの前記アクセス内容を監視するステップと、
　前記アクセス内容を元に前記アラームを生成するステップと
　を含む
　請求の範囲９に記載のネットワーク監視方法。
　前記アドレスを生成するステップは、
　パケットを受信するステップと、
　前記受信したパケットに含まれる名前を示す情報にもとづいて、アドレス解決するステップと
　を含む
　請求の範囲７乃至１０のいずれか一項に記載のネットワーク監視方法。
　前記アドレスを生成するステップは、
　パケットを受信するステップと、
　前記受信したパケットに含まれるアドレスを示す情報にもとづいて、名前解決するステップと
　を含む
　請求の範囲７乃至１０のいずれか一項に記載のネットワーク監視方法。
　コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを監視させるネットワーク監視プログラムであって、
　ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、前記ホスト名に対応するアドレスへのアクセス要求を監視するステップと、
　ここで、前記ホスト名に対応するアドレスは、前記アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、
　前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと
　を前記コンピュータに実行させる
　ネットワーク監視プログラム。
　コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを中継させるネットワーク監視プログラムであって、
　ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、前記ホスト名に対応するアドレスへのアクセスをホストとして受け付けるステップと、
　ここで、前記ホスト名に対応するアドレスは、前記アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、
　前記アクセス内容を元にアラームを生成するステップと
　を前記コンピュータに実行させる
　ネットワーク監視プログラム。