JP5267893B2 - ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム - Google Patents

ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム Download PDF

Info

Publication number
JP5267893B2
JP5267893B2 JP2010501849A JP2010501849A JP5267893B2 JP 5267893 B2 JP5267893 B2 JP 5267893B2 JP 2010501849 A JP2010501849 A JP 2010501849A JP 2010501849 A JP2010501849 A JP 2010501849A JP 5267893 B2 JP5267893 B2 JP 5267893B2
Authority
JP
Japan
Prior art keywords
address
generated
name
access
host name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010501849A
Other languages
English (en)
Other versions
JPWO2009110327A1 (ja
Inventor
靖士 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010501849A priority Critical patent/JP5267893B2/ja
Publication of JPWO2009110327A1 publication Critical patent/JPWO2009110327A1/ja
Application granted granted Critical
Publication of JP5267893B2 publication Critical patent/JP5267893B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラムに関する。
通信ネットワークの分野において、IDS(Intrusion Detection System)が知られている。また、DNS(Domain Name System)が知られている。通信ネットワークの分野において、マルウェアによる通信を検知したり、マルウェアが存在する端末や装置を検知したりすることは重要である。
マルウェアの感染端末の検知システムの一例が、特開2007−274265号公報に記載されている。当該文献の図1に示されているように、当該検知システムは、IDSとスイッチ、ネットワーク管理装置及び端末から構成されている。当該検知システムは、次のように動作する。端末が通信ネットワークに接続するために利用する端末接続装置の位置情報と、端末から発生した通信装置を流れる通信パケットについて、IDS等により所定の検出ルールに基づく監視を行い、その接続元情報と検知情報とを関連づけることにより、感染端末の検知を行う。
特開2007−266931号公報には、不正な通信を行う通信端末から送信された通信データを他の通信端末に送信させない通信遮断装置が記載されている。
特開2007−288531号公報には、通信の相手先のアドレスを登録する際に、名前解決が可能かどうかを判定し、名前解決が可能な場合に、当該アドレスを登録する通信装置が記載されている。
自己感染活動(周囲の端末装置に対する攻撃パケットの送信等)を行わず、外部サーバに接続して命令を受け取りメール等の中継を行うマルウェアについて、接続先の外部サーバのDNSエントリが存在しない、もしくはループバックアドレスを戻す設定がされている場合であっても、感染した端末を検知することができることが望ましい。つまり、マルウェアの存在する端末外部への通信が発生せず、通信先等が特定できない場合であっても、感染した端末を検知することができることが望ましい。
また、上記の外部サーバへのアクセスがファイアウォール等により遮断、もしくは外部サーバ自体が休止している場合であっても、同様にマルウェアによる通信検知ができることが望ましい。つまり、マルウェアによる通信が本来成立しない場合であっても、上記同様IDS等による通信データの監視が行えることが望ましい。
本発明は、マルウェアが接続する外部サーバのホスト名に対するアドレスが実際には解決できない状況においても解決し、マルウェアによる通信を発生させる。それにより、イントラネット内におけるマルウェアの存在するノードを検知する。
本発明の1つの観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視システムが提供される。そのネットワーク監視システムは、DNSサーバと監視装置とを備える。DNSサーバは、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成してアドレス解決要求元に送信する。監視装置は、生成されたアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成する。
本発明の他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視システムが提供される。そのネットワーク監視システムは、DNSサーバと中継装置とを備える。DNSサーバは、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成してアドレス解決要求元に送信する。中継装置は、生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する。
本発明の更に他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視方法が提供される。そのネットワーク監視方法は、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成するステップと、生成されたアドレスをアドレス解決要求元に送信するステップと、生成されたアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと、を含む。
本発明の更に他の観点において、通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視方法が提供される。そのネットワーク監視方法は、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に、ホスト名に対応するアドレスを生成するステップと、生成されたアドレスをアドレス解決要求元に送信するステップと、生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成するステップと、を含む。
本発明の更に他の観点において、コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを監視させるネットワーク監視プログラムが提供される。そのネットワーク監視プログラムは、(A)ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、ホスト名に対応するアドレスへのアクセス要求を監視するステップと、ここで、ホスト名に対応するアドレスは、アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、(B)生成されたアドレスへのアクセス要求を検出した場合に、アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと、をコンピュータに実行させる。
本発明の更に他の観点において、コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを中継させるネットワーク監視プログラムが提供される。そのネットワーク監視プログラムは、(a)ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、ホスト名に対応するアドレスへのアクセスをホストとして受け付けるステップと、ここで、ホスト名に対応するアドレスは、アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、(b)アクセス内容を元にアラームを生成するステップと、をコンピュータに実行させる。
本発明によれば、DNSサーバが、本来無効となるサーバ名に対しても有効なアドレスを生成して戻すように構成されている。本来無効となるサーバ名とは、例えば、正規のDNSサーバで名前が解決できない(名前からアドレスを特定できない)サーバ名である。従って、マルウェアに対して実際の環境では発生させられない通信を発生させることにより、そのポート番号等からマルウェアの存在する端末等の装置を検知することができる。
また、本発明によれば、中継装置が、実際の環境では接続できなくなっているサーバ等に対する通信を接続できる様に振舞うので、マルウェアによって実際の環境では検知できない通信データを出力させることにより、その通信内容を判定することでマルウェアの存在する端末等の装置を検知することができる。
上記及び他の目的、長所、特徴は、次の図面と共に説明される本発明の実施の形態により明らかになるであろう。
マルウェア検知システムの構成例を示すブロック図である。 偽装DNSサーバの構成例を示すブロック図である。 透過プロキシサーバの構成例を示すブロック図である。 偽装DNSサーバの動作を示すフローチャートである。 透過プロキシサーバの動作を示すフローチャートである。
本発明の実施形態について、図面を参照して説明する。図1は、本発明の実施形態のマルウェア検知システムの構成例を示すブロック図である。なお、図1は、本発明のマルウェア検知システムの最小構成例を示すブロック図でもある。
図1に示すように、本発明の実施形態のマルウェア検知システムは、イントラネット内で端末装置1に接続された偽装DNSサーバ(DNSサーバ)2と、偽装DNSサーバ2、端末装置1およびイントラネット外の正規DNSサーバ4に接続され、外部の通信ネットワークに接続された透過プロキシサーバ(監視装置、中継装置)3とを含む。
なお、本実施形態において、マルウェアとは、自律的なプログラムであって、単なるExploitやPort/Address Scan等のコマンドではなく、例えば、Windows(登録商標)系であればサービス等の常駐プログラムとして、UNIX(登録商標)系であればdaemon的に常駐して、何らかの契機によって外部への通信を行うものをいう。
偽装DNSサーバ2は、イントラネット内部に配置された端末装置1に対して、サーバやホストの名前に対する正しいIPアドレス、または、サーバやホストの名前に対するIPアドレスのうち一部が偽装されたIPアドレスを解決する機能を有する。サーバやホストの名前に対するIPアドレスのうち一部とは、少なくとも実際には解決できないホスト名に対応するアドレスや、該当ネットワーク上において無効となるアドレスである。実際には解決できないホスト名とは、例えば、DNSの名前のエントリが変更されたりしてエントリ自体が存在しなかったり、DNSの名前エントリは存在するものの、アドレスが一切登録されていないホスト名である。また、該当ネットワーク上において無効となるアドレスとは、DNSのエントリがローカルアドレスや特定のプライベートアドレスを戻す設定になっていたりする場合のホスト名である。サーバやホストの名前に対するIPアドレスのうち一部が偽装されたIPアドレスとは、端末装置1が生成した全DNSクエリに対して応答するIPアドレスのうち、一部のIPアドレスが本来の応答内容と異なる(偽装されている)ことをいう。また、偽装されたIPアドレスを解決する機能とは、例えば、正しくアドレスが帰らないはずのDNSクエリの応答をイントラネットから見て外部に存在するかのようなアドレスエントリを生成して戻す機能をいう。
透過プロキシサーバ3は、イントラネットの出入り口において、内部から外部への通信をそのまま転送せずに一旦終端し、通過の可否を判定したのち中継する。
正規DNSサーバ4は、イントラネット外部に配置された外部サーバに対する正規のアドレスを解決する。
図2は、本発明の実施形態の偽装DNSサーバ2の構成例を示すブロック図である。図2に示すように、本実施形態の偽装DNSサーバ2は、パケット送受信機能(パケット送受信手段)21と、アドレス生成機能22と、名前管理機能(名前管理手段)23と、アドレス管理機能(アドレス管理手段)24と、一時アドレス記憶領域25と、アドレスルール管理機能26とを含む。
パケット送受信機能21は、イントラネット内の各装置からDNSクエリを受け取り、また応答メッセージを送出する。アドレスルール管理機能26は、名前からアドレスを生成するための定義情報と、アドレスに対応する名前に関する情報(名前情報)を管理する。なお、管理とは、情報をメモリやファイルやデータベースに登録したり、登録した情報を登録先から読み出して出力したりすることをいう。定義情報とは、例えば、あるドメインを含むホスト名に対して、一部が当該ホスト名をハッシュ化されたIPアドレスを戻すことを示す情報である。ハッシュ化の方法は、例えば、MD5や、sha1等であり、IPアドレスの重複が発生しにくい方法が好ましい。
アドレス生成機能22は、定義情報に基づいて名前から自動的に少なくとも1つ以上のアドレスを生成する。一時アドレス記憶領域25は、アドレス生成機能22によって生成されたアドレスと名前との組み合わせの情報(マップ情報)、及び生成されたアドレスに複数の名前が割り当てられる場合に生成される仮名情報を一定時間保持する。
名前管理機能23は、アドレスルール管理機能26によって管理されているアドレスに対応する名前に関する情報と、一時アドレス記憶領域25に記憶されたマップ情報とからアドレスデータ(アドレス情報。例えば、IPアドレス)を元に名前情報を解決(名前解決)する。なお、本実施形態において、名前解決とは、一時アドレス記憶領域25に記憶されたマップ情報を用いて、IPアドレス等のアドレスデータに対応するホスト名を特定することをいう。
アドレス管理機能24は、パケット受信機能21が受け取ったDNSクエリから、その問い合わせ内容と、問い合わせ元とを管理する。具体的には、例えば、問い合わせ元の装置のIPアドレスと、問い合わせの内容を示す情報とを一時アドレス記憶領域25等の記憶手段に記憶させる。また、アドレス管理機能24は、アドレスルール管理機能26によって管理されている名前に対応するアドレスに関する情報と、一時アドレス記憶領域25に記録されたマップ情報及び仮名情報とから名前データを元に、アドレス情報を解決する(アドレスを解決する)機能を有する。
名前に対応するアドレスに関する情報は、例えば、一旦問い合わせのあったデータに対しては、一時アドレス記憶領域25からアドレスを取り出すことを示す。また、名前に対応するアドレスに関する情報は、初めての問い合わせに対しては、問い合わせ元のホスト名またはドメイン名に応じて、自動生成するアドレスの範囲およびアドレスを自動生成する方法を示す。なお、アドレスの自動生成は、例えば、MD5や、sha1等でホスト名をハッシュ化して行われる。
また、アドレス管理機能24は、アドレスルール管理機能26によって管理されるアドレスルールの定義によっては、別途正規DNSサーバ4を用いて、外部サーバの名前に対応する正規のアドレスを取得し、その結果に応じてアドレス生成機能22によって自動生成されるアドレスか、当該取得した正規のアドレスを応答メッセージとして送信するかを選択する機能を有する。
偽装DNSサーバ2に含まれる各機能の動作を具体的に説明する。パケット送受信機能21は、端末装置1からのDNSクエリパケットを受信し、パケットに含まれる解決すべき名前、もしくはアドレスデータを抽出する。クエリが名前に対するアドレスを要求している場合には、パケット送受信機能21は、アドレス管理機能24にデータを転送し、処理を呼び出す。クエリがアドレスに対する名前を要求している場合には、パケット送受信機能21は、名前管理機能23にデータを転送し、処理を呼び出す。そして、アドレス管理機能24または名前管理機能23によって名前またはアドレスが解決された場合、パケット送受信機能21は、それらの情報をDNSの応答パケットとして端末装置1に送信する。
アドレス生成機能22は、アドレスルール管理機能26によって管理されるアドレスルールの定義に基づいて、DNSクエリに含まれる名前からハッシュ等を利用して、名前毎に概ね一意となるアドレスを自動生成する。アドレスルールの定義は、例えば、特定の名前パターンに対して生成するアドレスの範囲やパターンを規定する。
名前管理機能23は、アドレスから名前を解決する要求データをパケット送受信機能21から受け取る。名前管理機能23は、アドレスルール管理機能26によって管理されているアドレスルール、及び一時アドレス記憶領域25を参照する。アドレスルールによって一意に返却すべき名前が規定されているか、または、一時アドレス記憶領域25に、名前とアドレスのマップ情報が存在する(記憶されている)場合、名前管理機能23は、該当する名前情報をパケット送受信機能に返却する。また、返却する名前情報が存在しない場合、名前管理機能23は、名前無しで応答データをパケット送受信機能21に返却する。
アドレス管理機能24は、名前からアドレスを解決する要求データをパケット送受信機能21から受け取る。アドレス管理機能24は、アドレスルール管理機能26によって管理されているアドレスルール、及び一時アドレス記憶領域25を参照する。アドレスルールによって一意に返却すべきアドレスが規定されているか、または、一時アドレス記憶領域25に、名前とアドレスのマップ情報が存在する場合、アドレス管理機能24は、該当するアドレス情報をパケット送受信機能に返却する。
また、一時アドレス記憶領域25に、名前に対応するアドレスが一意に登録されていないか、登録データの有効期限が切れている場合、アドレスルールにてクエリによって問い合わされた名前に対するアドレスの自動生成が定義されている場合、アドレス管理機能24は、アドレス生成機能22を利用して名前に対応するアドレスを自動生成する。また、アドレス管理機能24は、パケット送受信機能21を呼び出して、端末装置1にDNSクエリに対する応答メッセージとして送信する。更に、アドレス管理機能24は、生成したアドレスと生成に利用した名前をマップ情報として別途一時アドレス記憶領域25に登録する。また、この時登録されるマップ情報には情報の有効期限を指定することもできる。
名前から生成したアドレスが、既に一時アドレス記憶領域25に存在するか、アドレスルールで定義されている場合は、既存の登録データに対して仮名(エイリアス/DNSではCNAME)として登録される。
アドレスルール管理機能26は、偽装DNSサーバ内の各機能からの名前、またはアドレスに対応するルールの要求に対し、管理しているアドレスルール内から適切なルールを返却する。また、アドレスルール管理機能26は、何らかのタイミングで一時アドレス記憶領域25に記録されたマップ情報をアドレスルールに変換して、外部の記憶手段に保存する機能を有する。更に、アドレスルール管理機能26は、外部の記憶手段に保存したルールを読み出す機能を有する。なお、適切なルールを返却するとは、予め用意された複数のルールのうち、アドレスパターンが一致したルールを適切なルールとして返却したり、Longest matchのケースを取ったりして返却したりすることをいう。
図3は、本発明の実施形態の透過プロキシサーバ3の構成例を示すブロック図である。図3に示すように、本実施形態の透過プロキシサーバ3は、パケット送受信機能A31、サーバ名解決機能32、偽装サーバ機能33、IDS機能34、エラー処理−通知機能30、セッション情報記憶領域38、パケット中継機能39、パケット送受信機能B35、サーバアドレス解決機能36、および偽装クライアント機能37を含む。
パケット送受信機能A31は、イントラネット内の端末装置1から外部ネットワークへのアクセス等のパケットを送受信する。パケット送受信機能B35は、外部ネットワーク上にある正規DNSサーバ4や、端末装置1がアクセスしようとしているサーバとのパケットの送受信を行う。サーバ名解決機能32は、パケット送受信機能A31が受け取ったパケットに含まれる宛先アドレス情報から、アクセスすべきサーバ名を、偽装DNSサーバ2に問い合わせて取得する。
IDS機能34は、パケット送受信機能A31が受け取ったパケットに含まれる送信データを検査し、特定のパターンに一致するかどうかを判定する。なお、IDS機能34は、一般的なIDS(特に、通信ネットワークの通信データを調査するNIDS)のsnortのように、シグネチャと呼ばれるパターンデータにもとづいて、判定を行ってもよい。あるいは、IDS機能34は、通信を中継すると同時にプロトコルを解釈して、通信データを特定のSandbox上に再現し、そこでそれらのデータがプログラムデータであれば、さらにそれを実行して振る舞いを監視し、判定を行ってもよい。また、IDS機能34は、通信データが圧縮されている場合や暗号化されている場合には、当該通信データを解凍したり、暗号化を説いたりする処理を実行してもよい。
偽装サーバ機能33は、端末装置1が外部サーバへ接続するために送信したパケットをパケット送受信機能A31によって受け取り、外部サーバになりすまして接続を受け付ける。セッション情報記憶領域38には、サーバ名解決機能32によって解決された端末装置1が本来接続するはずのサーバ名と、偽装サーバ機能33によって外部サーバを偽装して受け付けられた接続情報(セッション情報)とが合わせて記録される。
なお、セッション情報には、接続元端末のアドレス情報(例えば、マルウェアに感染されているノードのIPアドレス)、接続元端末のポート番号、接続先端末のアドレス情報(例えば、マルウェアが接続しようとしているノードのIPアドレス)、接続先端末のポート番号が含まれる。また、セッション情報には、接続先端末のホスト名やアドレス等の情報が含まれてもよいし、通信に用いられるプロトコルを示すプロトコル情報(例えば、プロトコル番号やイベントを示す情報)が含まれていてもよい。
サーバアドレス解決機能36は、セッション情報記憶領域38に記録されたサーバ名を利用して、正規DNSサーバ4を用いて、端末装置1が本来接続するはずの本来のアドレスを解決する。アドレスを解決するとは、具体的には、例えば、名前解決の逆引きの処理をいう。
偽装クライアント機能37は、サーバアドレス解決機能36によって解決されたサーバのアドレスに対して、偽装サーバ機能33が受け付け、端末装置1から送信され、パケット送受信機能A31が受信したパケットのデータを用いる。そして、偽装クライアント機能37は、外部のサーバに対し端末装置1になりすまして接続を行い、サーバからの応答メッセージを別途偽装サーバ機能33に転送する。
パケット中継機能39は、端末装置1と外部サーバとの通信を中継する。エラー処理−通知機能30は、各機能におけるエラーに関する処理と、その通知を行う。
また、偽装サーバ機能33は、偽装クライアント機能37が取得した外部サーバによる端末装置1に対する応答メッセージを利用して、端末装置1に対し応答メッセージを送信する。具体的には、例えば、端末装置1から偽装サーバ機能33が受信したデータを、偽装クライアント機能37が、外部サーバに送信する。その送信したデータに対する応答のデータを、偽装サーバ機能33が端末装置1に送信する。なお、偽装サーバ機能33は、応答のデータに送信元や送信先を示す情報が含まれている場合に、適宜データを書き換えたりするように構成されていてもよい。
また、パケット中継機能39は、セッション情報記憶領域38に記録された情報を元に、偽装サーバ機能33が受信した端末装置1が送信したデータを、偽装クライアント機能37を用いて外部サーバに転送する。更に、パケット中継機能39は、外部サーバから送信された応答データを偽装クライアント機能37に受信させ、偽装サーバ機能33を利用して端末装置1に送信するように各機能を制御する機能を有する。
また、エラー処理−通知機能30は、各機能毎のエラーに応じてその回数やエラー原因となる情報について何らかの条件処理を行う。そして、エラー処理−通知機能30は、別途パケット送受信機能A31またはパケット送受信機能B35のいずれかまたは両方を用いて、外部の装置、サーバ等へエラーとエラーに関連する情報、またはエラー処理の結果判定された検知情報等を通知する。
具体的には、エラー処理−通知機能30は、エラーに関連する情報として、例えば、エラーの原因となったデータそのものや、データの特徴量を示す情報であったり、エラーの原因となったデータを送信した端末のアドレスや本来の接続先等を示す情報を通知したりする。また、エラー処理−通知機能30は、検知情報等として、ある端末があるアドレスのホストに対してあるプロトコルで通信しようとしたことを示し、そのホストが本来DNS解決できないホストであることを示す情報を通知する。また、エラー処理−通知機能30は、検知情報等として、ある端末があるプロトコルであるデータを送信しようとしたが、その通信はあるマルウェアによる通信である可能性があることを示す情報を通知する。
また、偽装サーバ機能33は、IDS機能34による検査結果を元に端末装置1との接続を遮断、または、偽装クライアント機能37に対して検査したデータを転送する機能を有する。
また、偽装クライアント機能37は、サーバアドレス解決機能36によって名前が解決できない等、特定条件に応じて偽装サーバ機能33に対し、パケット送受信機能B35からの受信データ以外に、別途エラー等を通知する機能を有する。
尚、ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが他の通信ネットワークで無効なアドレスである場合、そのホスト名に対応するアドレスが生成され、生成されたアドレスがアドレス解決要求元に送信される。透過プロキシサーバ3は、例えば、ネットワーク監視プログラムが搭載されたコンピュータによって実現される。ネットワーク監視プログラムは、上記ホスト名に対応するアドレスへのアクセス要求を監視して、当該アドレスへのアクセス要求を検出した場合に、そのアクセス要求のアクセス先を示す情報を元にアラームを生成する処理を、コンピュータに実行させる。あるいは、ネットワーク監視プログラムは、上記ホスト名に対応するアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する処理を、コンピュータに実行させる。
次に、偽装DNSサーバ2の動作について、図面を参照して説明する。図4は、偽装DNSサーバ2の動作を示すフローチャートである。
パケット送受信機能21は、DNSクエリ待ちの処理(ステップS101)で、イントラネット内の端末装置1及び透過プロキシサーバ3からのDNSクエリを待ち合わせる。DNSクエリを受け取ると、パケット送受信機能21は、受け取ったクエリ及びその送信元の情報を合わせてアドレス管理機能24に転送する。DNSクエリを受け取ったアドレス管理機能24は、その内容を判定する。クエリが名前からアドレス解決を要求している場合(ステップS102;Y)、アドレス管理機能24は、正引き処理を実行する(ステップS103)。クエリがアドレスから名前の解決を要求している場合(ステップS102;N)、アドレス管理機能24は、逆引き処理を実行する(ステップS113)。
アドレス管理機能24は、正引き処理(ステップS103)で、DNSクエリに含まれる名前を一時アドレス記憶領域25から検索する。既にマップ情報、または仮名情報が存在する場合(ステップS104;Y)、アドレス管理機能24は、マップ情報からDNSクエリの名前に対応するアドレス情報を取り出す。処理は、アドレス応答設定(ステップS110)に移行する。
アドレス管理機能24は、一時アドレス記憶領域25にマップ情報が存在しない場合に(ステップS104;N)、ルール確認の処理(ステップS105)を実行する。アドレス管理機能24は、ルール確認の処理(ステップS105)で、アドレスルール管理機能26に対して、クエリ情報(DNSクエリに含まれる名前)に対応するアドレス生成ルールを問い合わせる。
そして、クエリ情報に対応するアドレス生成ルールの存在を確認する。クエリ情報に対応するアドレス生成ルールが存在する場合(ステップS106;Y)、処理は、アドレス自動生成(ステップS107)に移行する。また、クエリ情報に対応するアドレス生成ルールが存在しない場合(ステップS106;N)、対応アドレスなしの応答を戻す為、処理は、応答メッセージ生成(ステップS111)に移行する。
次に、アドレス自動生成の処理(ステップS107)では、アドレス生成機能22が、アドレスルール管理機能26によって戻されたアドレス生成ルールにしたがって、クエリ情報に対応するアドレスを自動生成する。そして、生成したアドレスが一時アドレス記憶領域25のマップ情報に存在しない場合(ステップS108;N)、処理は、マップ情報保存(ステップS109)に移行する。また、既にマップ情報が存在する場合(ステップS108;Y)、処理は、仮名情報保存(ステップS116)に移行する。
マップ情報保存の処理(ステップS109)では、生成されたマップ情報(ステップS107の処理で生成されたアドレスとステップS101の処理で受信したDNSクエリに含まれる名前との組み合わせ)を一時アドレス記憶領域25に保存する。その後、処理は、アドレス応答設定(ステップS110)に移行する。
仮名情報保存の処理(ステップS116)では、ステップS107の処理で生成されたアドレスに対する仮名(エイリアス/DNSではCNAME)を示す仮名情報を生成し、一時アドレス記憶領域25に保存する。その後、処理は、アドレス応答設定(ステップS110)に移行する。
アドレス応答設定の処理(ステップS110)では、パケット送受信機能A31が、名前に対応するアドレス情報を応答メッセージに含めるように設定する。その後、処理は、応答メッセージ作成(ステップS111)に移行する。
逆引き処理(ステップS113)では、名前管理機能23が、DNSクエリに含まれるアドレスを、一時アドレス記憶領域25のマップ情報から検索する。そして、DNSクエリに含まれるアドレスが一時アドレス記憶領域25のマップ情報に存在する場合(ステップS114;Y)、処理は、名前応答設定(ステップS115)に移行する。DNSクエリに含まれるアドレスが一時アドレス記憶領域25のマップ情報に存在しない場合(ステップS114;N)、処理は、応答メッセージ作成(ステップS111)に移行する。
名前応答設定の処理(ステップS115)では、パケット送受信機能A31が、アドレスに対応する名前情報を応答メッセージに含めるように設定する。その後、処理は、応答メッセージ作成(ステップS111)に移行する。
応答メッセージ作成の処理(ステップS111)では、パケット送受信機能A31が、ステップS110の処理またはステップS115の処理で設定された応答メッセージに含めるデータに対応する応答メッセージを作成する。その後、処理は、DNS応答(ステップS112)に移行する。なお、応答メッセージに名前から解決したアドレス、もしくはアドレスから解決した名前のいずれも含める設定でない場合(名前、もしくはアドレスの解決ができなかった場合)は、パケット送受信機能A31が、解決された名前、もしくはアドレスが無いことを通知するための応答メッセージを作成する。その後、処理は、DNS応答(ステップS112)に移行する。
DNS応答の処理(ステップS112)では、パケット送受信機能21が、ステップS111の処理で生成された応答メッセージを、アドレス管理機能24が管理するDNSクエリ送信元に送信する。
なお、上記ステップS103およびステップS113における一時アドレス記憶領域25に登録されたマップ情報及び仮名情報の参照時には、適宜情報の有効期限が確認される。有効期限を経過したものについては、削除あるいは登録されていないものとして処理が行われる。
次に、透過プロキシサーバ3の動作について、図面を参照して説明する。図5は、透過プロキシサーバ3の動作を示すフローチャートである。
パケット送受信機能1は、外部接続待ちの処理(ステップS201)で、イントラネット内の端末装置1による外部ネットワークへのアクセス(イントラネット内の端末装置1から外部の通信ネットワークに接続された通信端末に送信されたパケット)を受け取る。パケット送受信機能1は、パケットに含まれる宛先アドレスの情報を接続先アドレス情報Aとして、セッション情報記憶領域38に保存する。その後、処理は、偽装サーバ受付(ステップS202)に移行する。
偽装サーバ受付の処理(ステップS202)では、偽装サーバ機能33が、端末装置1の接続先サーバを偽装して接続を受け付け、端末装置1から送信された最初のデータの受信を行う。このとき、偽装サーバ機能33の設定により、データを受け付ける前に、本来の接続先のサーバ(端末装置1の接続先(パケット送信先)サーバ)が最初に出力するデータと同様のデータを先に端末装置1に返却する場合もある。そして、本来の接続先の名前を解決するため、処理は、逆引き処理(ステップS203)に移行する。
逆引き処理(ステップS203)では、サーバ名解決機能32が、ステップS201の処理でセッション情報記憶領域38に保存された接続先アドレス情報Aを用いて、偽装DNSサーバ2に対し対応するホスト名を問い合わせる。そして、逆引きで解決できない場合(ステップS204;N)、処理は、逆引きエラー処理(ステップS212)に移行する。逆引きで解決できた場合(ステップS204;Y)、サーバ名解決機能32は、接続先ホストの名前を接続先ホスト名情報として、既に記録されている接続先アドレス情報1と関連付けてセッション情報記憶領域38に記録する。その後、処理は、接続データ−ルールチェック(ステップS205)に移行する。
接続データ−ルールチェックの処理(ステップS205)では、IDS機能34が、偽装サーバ機能33が受け付けたデータやセッション情報をチェックする。そして、監視対象となるパターンが検出された場合(ステップS206;NG)、処理は、IDS検知判定(ステップS213)に移行する。
監視対象となるパターンが検出されなかった場合(ステップS206;OK)、処理は、サーバアドレス解決(ステップS207)に移行する。
サーバアドレス解決の処理(ステップS207)では、サーバアドレス解決機能36が、正規DNSサーバ4に対して、接続先ホストの名前に対応するアドレスを問合せる。このとき、サーバアドレス解決機能36は、逆引き処理(ステップS203)でセッション情報記憶領域38に保存された接続先ホスト名情報を利用する。そして、接続先ホストの名前に対応するアドレス情報が取得できなかった場合(ステップS208;N)、処理は、正引きエラー処理(ステップS214)に移行する。一方、接続先ホストの名前に対応するアドレス情報が取得できた場合(ステップS208;Y)、サーバアドレス解決機能36は、取得できたアドレスを接続先アドレス情報Bとする。そして、サーバアドレス解決機能36は、セッション情報記憶領域38に、接続先アドレス情報Bを、既に記録されている接続先アドレス情報Aと接続先ホスト情報と関連付けてセッション情報として保存する。その後、処理は、偽装クライアント接続(ステップS209)に移行する。
偽装クライアント接続(ステップS209)では、偽装クライアント機能37が、ステップS207の処理で解決された接続先アドレス情報Bに対応するサーバ等に、端末装置1を偽装してパケット送受信機能B035を利用して接続を行う。接続不可の場合、処理は、エラー通知の処理(ステップS211)に移行する。接続可能な場合、処理は、プロキシ処理起動(ステップS210)に移行する。
プロキシ処理起動(ステップS210)では、パケット中継機能39が、セッション情報記憶領域38に記録されたセッション情報を元に、偽装サーバ機能33が受信した端末装置1が送信したデータを、偽装クライアント機能37を用いて外部サーバに転送する。更に、パケット中継機能39は、外部サーバから送信された応答データを偽装クライアント機能37に受信させ、偽装サーバ機能33を利用して端末装置1に送信するように各機能を制御する。そして、処理は、外部接続待ち(ステップS201)に移行する。
逆引きエラー処理(ステップS212)では、エラー処理−通知機能30が、逆引きエラーとなった接続先アドレス情報Aについて、一定回数以上のエラー発生の判定等の条件処理を行う。その結果判定のため、処理は、エラー通知判定(ステップS215)に移行する。
IDS検知判定の処理(ステップS213)では、エラー処理−通知機能30が、IDS機能34によるチェックの結果について、その原因となったアクセスデータ、及び接続先ホスト名情報、または接続先アドレス情報Aの一方もしくは両方について、一定回数以上の検知等の判定等の条件処理を行う。条件を満たす場合、すなわち、接続が不正である可能性ありと判定された場合(ステップS213;NG)、処理は、エラー通知判定(ステップS215)に移行する。条件を満たさない場合(ステップS213;OK)、処理は、サーバアドレス解決(ステップS207)に移行する。
正引きエラー処理(ステップS214)では、エラー処理−通知機能30が、正引きエラーとなった接続先ホスト名情報について、一定回数以上のエラー発生等の条件処理を行う。その結果判定のため、処理は、エラー通知判定(ステップS215)に移行する。
エラー通知判定の処理(ステップS215)では、エラー処理−通知機能30が、ステップS212、ステップS213、ステップS214のエラー処理結果を元に処理を行う。対象エラー処理がステップS212の処理よるものである場合は、エラー処理−通知機能30は、アクセス元の端末装置1のアドレスと接続先アドレス情報Aとを利用して、一定期間以内に既に通知されているか等の条件判定により、通知対象であるかを判定する。対象エラー処理がステップS213の処理によるものである場合は、エラー処理−通知機能30は、アクセス元の端末装置1のアドレスと、ステップS206のIDSチェックの処理で検出された対象データとを利用する。対象エラー処理がステップS214の処理によるものである場合は、エラー処理−通知機能30は、アクセス元の端末装置1のアドレスと、接続先ホスト名情報とを利用する。そして、通知する必要があると判定した場合(ステップS215;Y)、処理は、エラー通知の処理(ステップS211)に移行する。一方、通知不要と判定された場合(ステップS215;N)、処理は、外部接続待ち(ステップS201)に移行する。
エラー通知の処理(ステップS211)では、エラー処理−通知機能30が、パケット送受信機能A031またはパケット送受信機能B035のいずれか、あるいは両方を利用して、本システム内外の何らかの装置またはプログラムに対して何らかの方法(例えば、メールやSYSLOG等)で、検知した情報またはエラーを通知する。
なお、本実施形態において、端末装置1上で動作する外部ネットワーク上のサーバへのアクセスを行うプログラム(マルウェアを含む)、機能等については一般的に以下の手順にて外部サーバへのアクセスを行うものを想定する。
1.外部サーバへのアクセスを行うプログラムは、初めに外部サーバのホスト名に対するアドレス情報をDNSサーバに問い合わせる。
2.外部サーバへのアクセスを行うプログラムは、上記の問い合わせにて得られたアドレスに対して接続を試みる。
また、本実施形態における正規DNSサーバ4は、一般のDNSサーバであるとする。
本実施形態は、端末装置1内のマルウェア等のプログラムによって、外部ネットワーク上のサーバ等へのアクセスが行われる際に、偽装DNSサーバ2によってアドレス(または名前)の解決が行われるように構成されている。従って、正規DNSサーバ4上では既にアドレス(または名前)が無効になっている、あるいは、ローカルな通信用アドレスになっている等、通信対象として不適当なアドレス(または名前)になっている場合において、本来マルウェアによる通信が発生しない状況であっても、通信可能なアドレスが戻される。それにより、マルウェアによる通信を発生させることが可能になり、マルウェアの存在を検出することが可能になる。
また、本実施形態では、上記で発生したマルウェアによる通信の宛先を判定することにより、通常イントラネット内部から外部に対しては発生することの無いポートへの通信等を判定することにより、マルウェアの存在を検知することが可能になる。
また、本実施形態では、透過プロキシサーバ3において、外部ネットワーク上のサーバを偽装する。それにより、実際には外部ネットワーク上のサーバが既に閉鎖、もしくは一時的に停止しているといった接続不可である状況においても、通信を受け付けることが可能となる。従って、本来監視不可能な発生しないはずの通信内容をIDSにより検査することが可能になる。そして、通常の通信ネットワーク構成では不可能なイントラネット内におけるマルウェアの存在を検知することが可能になる。
また、本実施形態では、透過プロキシサーバ3において、一旦内部の偽装DNSサーバ2に対して、アクセス先のアドレスに対するホスト名の問い合わせを行う様に構成されている。従って、その時点でホスト名が解決できない場合、端末装置1内のプログラムがDNSによりホスト名からアドレスを解決せずに、直接対象アドレスへの通信を発生させようとしていることを検知可能である。また、対象アドレスが、例えば、イントラネット内等に存在するサーバ等でない場合、外部への不正なアクセスとして判定する。これにより、マルウェアによる通信である可能性の高い通信を検知することが可能になる。
本発明は、イントラネット内と外部を接続するファイアウォールやルータ等の装置、及びイントラネット内に設置するDNSサーバといった分野に適用できる。
以上、本発明の実施の形態が添付の図面を参照することにより説明された。但し、本発明は、上述の実施の形態に限定されず、要旨を逸脱しない範囲で当業者により適宜変更され得る。
本出願は、2008年3月4日に出願された日本国特許出願2008−052770を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (16)

  1. 通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視システムであって、
    ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成してアドレス解決要求元に送信するDNSサーバと、
    前記生成されたアドレスへのアクセス要求を監視して、前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成する監視装置と
    を備え、
    前記DNSサーバは、同一のホスト名に対しては常に同一のアドレスを生成し、異なるホスト名に対しては概ね異なるアドレスを生成するという条件を満たすように、前記ホスト名に対応するアドレスを生成する
    ネットワーク監視システム。
  2. 前記監視装置は、前記DNSサーバによってアドレス解決が行われていない外部のサーバへの前記アクセス要求を監視し、前記アクセス要求を検出した場合に、前記アクセス要求のアクセス先の情報を元に前記アラームを生成する
    請求の範囲1に記載のネットワーク監視システム。
  3. 通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視システムであって、
    ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成してアドレス解決要求元に送信するDNSサーバと、
    前記生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成する中継装置と
    を備え、
    前記DNSサーバは、同一のホスト名に対しては常に同一のアドレスを生成し、異なるホスト名に対しては概ね異なるアドレスを生成するという条件を満たすように、前記ホスト名に対応するアドレスを生成する
    ネットワーク監視システム。
  4. 前記中継装置は、前記DNSサーバによってアドレス解決が行われていない外部のサーバへの前記アクセス内容を監視し、前記アクセス内容を元に前記アラームを生成する
    請求の範囲3に記載のネットワーク監視システム。
  5. 前記DNSサーバは、
    パケットを送信および受信するパケット送受信手段と、
    前記パケット送受信手段が受信したパケットに含まれる名前を示す情報にもとづいて、アドレス解決するアドレス管理手段と
    を含む
    請求の範囲1乃至4のいずれか一項に記載のネットワーク監視システム。
  6. 前記DNSサーバは、
    パケットを送信および受信するパケット送受信手段と、
    前記パケット送受信手段が受信したパケットに含まれるアドレスを示す情報にもとづいて、名前解決する名前管理手段と
    を含む
    請求の範囲1乃至4のいずれか一項に記載のネットワーク監視システム。
  7. 通信ネットワークと他の通信ネットワークとの間のアクセスを監視するネットワーク監視方法であって、
    ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成するステップと、
    前記生成されたアドレスをアドレス解決要求元に送信するステップと、
    前記生成されたアドレスへのアクセス要求を監視して、前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと
    を含み、
    前記ホスト名に対応するアドレスを生成するステップにおいて、同一のホスト名に対しては常に同一のアドレスが生成され、異なるホスト名に対しては概ね異なるアドレスが生成される
    ネットワーク監視方法。
  8. 前記アラームを生成するステップは、
    前記アドレスを生成するステップでアドレス解決が行われていない外部のサーバへの前記アクセス要求を監視するステップと、
    前記アクセス要求を検出した場合に、前記アクセス要求のアクセス先の情報を元に前記アラームを生成するステップと
    を含む
    請求の範囲7に記載のネットワーク監視方法。
  9. 通信ネットワークと他の通信ネットワークとの間のアクセスを中継するネットワーク監視方法であって、
    ホスト名に対するアドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に、前記ホスト名に対応するアドレスを生成するステップと、
    前記生成されたアドレスをアドレス解決要求元に送信するステップと、
    前記生成されたアドレスへのアクセスをホストとして受け付け、アクセス内容を元にアラームを生成するステップと
    を含み、
    前記ホスト名に対応するアドレスを生成するステップにおいて、同一のホスト名に対しては常に同一のアドレスが生成され、異なるホスト名に対しては概ね異なるアドレスが生成される
    ネットワーク監視方法。
  10. 前記アラームを生成するステップは、
    前記アドレスを生成するステップでアドレス解決が行われていない外部のサーバへの前記アクセス内容を監視するステップと、
    前記アクセス内容を元に前記アラームを生成するステップと
    を含む
    請求の範囲9に記載のネットワーク監視方法。
  11. 前記アドレスを生成するステップは、
    パケットを受信するステップと、
    前記受信したパケットに含まれる名前を示す情報にもとづいて、アドレス解決するステップと
    を含む
    請求の範囲7乃至10のいずれか一項に記載のネットワーク監視方法。
  12. 前記アドレスを生成するステップは、
    パケットを受信するステップと、
    前記受信したパケットに含まれるアドレスを示す情報にもとづいて、名前解決するステップと
    を含む
    請求の範囲7乃至10のいずれか一項に記載のネットワーク監視方法。
  13. コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを監視させるネットワーク監視プログラムであって、
    ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、前記ホスト名に対応するアドレスへのアクセス要求を監視するステップと、
    ここで、前記ホスト名に対応するアドレスは、前記アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、且つ、前記ホスト名に対応するアドレスが生成される際、同一のホスト名に対しては常に同一のアドレスが生成され、異なるホスト名に対しては概ね異なるアドレスが生成され、
    前記生成されたアドレスへのアクセス要求を検出した場合に、前記アクセス要求のアクセス先を示す情報を元にアラームを生成するステップと
    を前記コンピュータに実行させる
    ネットワーク監視プログラム。
  14. コンピュータに、通信ネットワークと他の通信ネットワークとの間のアクセスを中継させるネットワーク監視プログラムであって、
    ホスト名に対するアドレス解決要求に対して生成されるアドレスであって、前記ホスト名に対応するアドレスへのアクセスをホストとして受け付けるステップと、
    ここで、前記ホスト名に対応するアドレスは、前記アドレス解決要求に対して、アドレスが解決できない場合、または、解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合に生成され、また、アドレス解決要求元に送信され、且つ、前記ホスト名に対応するアドレスが生成される際、同一のホスト名に対しては常に同一のアドレスが生成され、異なるホスト名に対しては概ね異なるアドレスが生成され、
    前記アクセス内容を元にアラームを生成するステップと
    を前記コンピュータに実行させる
    ネットワーク監視プログラム。
  15. 前記アドレスが解決できない場合は、
    ホスト名に対応するエントリが存在しない場合と、
    ホスト名に対応するエントリは存在するが、アドレスが登録されていない場合と
    を含む
    請求の範囲1に記載のネットワーク監視システム。
  16. 前記解決されたアドレスが前記他の通信ネットワークで無効なアドレスである場合は、
    ホスト名に対応するエントリが存在し、アドレスが登録されているが、当該アドレスが、ホスト内でのみ利用可能なローカルアドレスとなっており、外部との通信をする際には無効である場合と、
    ホスト名に対応するエントリが存在し、アドレスが登録されていて、且つ、通信可能なアドレスではあるが、当該アドレスが、該当ネットワーク上に本来存在してはいけないアドレスである場合と、
    ホスト名に対応するエントリが存在し、アドレスが登録されていて、且つ、通信可能なアドレスではあるが、当該アドレスを管理するドメインと異なるドメイン名で当該アドレスが登録されていて、且つ、当該アドレスが本来外部に公開されないネットワークのアドレスである場合と
    を含む
    請求の範囲1に記載のネットワーク監視システム。
JP2010501849A 2008-03-04 2009-02-20 ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム Expired - Fee Related JP5267893B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010501849A JP5267893B2 (ja) 2008-03-04 2009-02-20 ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008052770 2008-03-04
JP2008052770 2008-03-04
PCT/JP2009/052996 WO2009110327A1 (ja) 2008-03-04 2009-02-20 ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2010501849A JP5267893B2 (ja) 2008-03-04 2009-02-20 ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム

Publications (2)

Publication Number Publication Date
JPWO2009110327A1 JPWO2009110327A1 (ja) 2011-07-14
JP5267893B2 true JP5267893B2 (ja) 2013-08-21

Family

ID=41055888

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010501849A Expired - Fee Related JP5267893B2 (ja) 2008-03-04 2009-02-20 ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム

Country Status (2)

Country Link
JP (1) JP5267893B2 (ja)
WO (1) WO2009110327A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014175250A1 (ja) * 2013-04-23 2014-10-30 日本電気株式会社 通信端末、制御装置、通信システム、通信方法及びプログラム
JP6303661B2 (ja) * 2014-03-17 2018-04-04 日本電気株式会社 マルウェア検知システム、マルウェア検知方法、dnsサーバ、及び名前解決プログラム。
MY168557A (en) * 2014-10-10 2018-11-13 Mimos Berhad System and method for automatic network switching in distributed communication network upon total network connection failure

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006228140A (ja) * 2005-02-21 2006-08-31 Fuji Xerox Co Ltd 情報処理装置
WO2007005868A2 (en) * 2005-07-01 2007-01-11 Markmonitor, Inc. Enhanced fraud monitoring systems
JP2007266931A (ja) * 2006-03-28 2007-10-11 Matsushita Electric Works Ltd 通信遮断装置、通信遮断プログラム
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006228140A (ja) * 2005-02-21 2006-08-31 Fuji Xerox Co Ltd 情報処理装置
WO2007005868A2 (en) * 2005-07-01 2007-01-11 Markmonitor, Inc. Enhanced fraud monitoring systems
JP2007266931A (ja) * 2006-03-28 2007-10-11 Matsushita Electric Works Ltd 通信遮断装置、通信遮断プログラム
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
CSND200401117015; 斉藤 栄太郎: '米ベリサインのSite Finder問題で大混乱' 日経NETWORK 第43号, 20031022, pp.188-189 *
CSND200401147001; '.comと.netの未使用ドメイン名をジャック?米ベリサインが打ち間違えURLを自社サイトに誘導する仕組みを導' iNTERNET magazine 2nd STAGE 第106号, 20031101, p.63 *
CSNG200700187003; 朝長 秀誠: 'Botnetの命令サーバドメインネームを用いたBot感染検出方法' 情報処理学会研究報告 2006-CSEC-35(3) , 20061208 *
JPN6013017198; '.comと.netの未使用ドメイン名をジャック?米ベリサインが打ち間違えURLを自社サイトに誘導する仕組みを導' iNTERNET magazine 2nd STAGE 第106号, 20031101, p.63 *
JPN6013017201; 斉藤 栄太郎: '米ベリサインのSite Finder問題で大混乱' 日経NETWORK 第43号, 20031022, pp.188-189 *
JPN6013017204; 朝長 秀誠: 'Botnetの命令サーバドメインネームを用いたBot感染検出方法' 情報処理学会研究報告 2006-CSEC-35(3) , 20061208 *

Also Published As

Publication number Publication date
JPWO2009110327A1 (ja) 2011-07-14
WO2009110327A1 (ja) 2009-09-11

Similar Documents

Publication Publication Date Title
JP3596400B2 (ja) Dnsサーバフィルタ
EP3507964B1 (en) Malware detection for proxy server networks
US7849507B1 (en) Apparatus for filtering server responses
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
Whyte et al. DNS-based Detection of Scanning Worms in an Enterprise Network.
US7836501B2 (en) Client compliancy with self-policing clients
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US20180205573A1 (en) Network packet redirection device and method thereof
US7912048B2 (en) Apparatus and method for detecting network address translation device
US20160330287A1 (en) Processing service requests for digital content
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2013528852A (ja) 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法
Al Sukkar et al. Address resolution protocol (ARP): Spoofing attack and proposed defense
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
Li et al. TuDoor Attack: Systematically Exploring and Exploiting Logic Vulnerabilities in DNS Response Pre-processing with Malformed Packets
US20170034004A1 (en) Discovering network nodes
JP3590394B2 (ja) パケット転送装置、パケット転送方法およびプログラム
EP4167524B1 (en) Local network device connection control
JP6249015B2 (ja) 受信装置、受信装置制御方法、受信装置制御プログラム、ネットワークシステム、ネットワークシステム制御方法、及びネットワークシステム制御プログラム
CN114024752B (zh) 一种基于全网联动的网络安全防御方法、设备及***
US10015179B2 (en) Interrogating malware
JP5842128B2 (ja) 通信システム、機器通信サーバ、クライアント機器
JP6382244B2 (ja) パケットフィルタリング装置
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP4447479B2 (ja) データ処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130411

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130424

R150 Certificate of patent or registration of utility model

Ref document number: 5267893

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees