JP6229504B2 - ネットワーク監視装置、監視方法及びプログラム - Google Patents

ネットワーク監視装置、監視方法及びプログラム Download PDF

Info

Publication number
JP6229504B2
JP6229504B2 JP2014002693A JP2014002693A JP6229504B2 JP 6229504 B2 JP6229504 B2 JP 6229504B2 JP 2014002693 A JP2014002693 A JP 2014002693A JP 2014002693 A JP2014002693 A JP 2014002693A JP 6229504 B2 JP6229504 B2 JP 6229504B2
Authority
JP
Japan
Prior art keywords
data
communication
communication data
operation end
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014002693A
Other languages
English (en)
Other versions
JP2015133547A (ja
Inventor
山田 正弘
正弘 山田
由紀 藤嶌
由紀 藤嶌
正信 森永
正信 森永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014002693A priority Critical patent/JP6229504B2/ja
Priority to US14/571,532 priority patent/US9548989B2/en
Publication of JP2015133547A publication Critical patent/JP2015133547A/ja
Application granted granted Critical
Publication of JP6229504B2 publication Critical patent/JP6229504B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークに接続されたシステムのセキュリティ対策技術に関する。
近年、独自に開発したり、カスタマイズしたマルウェアを利用する攻撃が頻繁に行われている。特に、特定の企業を標的とする標的型攻撃の被害事例が増加している。このような事例の多くでは、企業内のユーザ端末が遠隔操作型のマルウェアに感染し、感染した端末を踏み台として、他の企業内のユーザ端末等の装置に侵入して、遠隔操作型のマルウェアに感染させる攻撃手法が利用される。
従来のネットワーク監視技術として、マルウェア毎に遠隔操作における通信の通信データのパターンを定義し、ネットワークを流れる通信データとパターンを比較してマルウェアを検知するシグネチャ方式がある。しかし、シグネチャ方式では、既に通信データのパターンが作成されているマルウェアしか検知することができず、独自に開発されたり、カスタマイズされたマルウェアは検知できない。
また、図1に示すように、あるユーザ端末を遠隔操作によって踏み台とし、他のユーザ端末に新たに遠隔操作のマルウェアを送り込んで感染させる攻撃を検知する技術(例えば非特許文献1)もある。これは、以下のような個別に見れば正常な通信が行われたことを攻撃と判断するものである。すなわち、システム外部の攻撃者端末から、HTTP(Hyper Text Transfer Protocol)又はHTTPS(HTTP Secure)で、システム内部のユーザ端末Aへ指令を送り、ユーザ端末Aから正常なSMB(Server Message Block)などで遠隔操作のマルウェアをユーザ端末Bへ送り込んで実行し、ユーザ端末Bから攻撃者端末に新たなコネクションが構築される、というものである。なお、コネクションを構築する手順は、例えば3 way handshakeである。
しかしながら、ユーザ端末B上で遠隔操作のマルウェアを動作させずに、ユーザ端末Bでコマンドやプログラムを実行して情報を奪取し、ユーザ端末Aを経由して攻撃者端末で情報を取得するような諜報活動では、ユーザ端末Bから攻撃者端末への外部接続が発生しない。このため、このような諜報活動を検知できない。
山田正弘,森永正信,海野由紀,鳥居悟,武仲正彦,「組織内ネットワークにおける標的型攻撃の検知方式」,情報処理学会研究報告コンピュータセキュリティ,第62回CSEC・第6回SPT合同研究発表会,2013年7月
特表2004−537075号公報 特開2007−323428号公報 特許第4700884号公報
従って、本発明の目的は、一側面としては、攻撃者の諜報活動を検出できるようにするための技術を提供することである。
本発明に係るネットワーク監視装置は、(A)通信データを取得する取得部と、(B)取得された通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納する外部通信特定部と、(C)取得された通信データが、予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された通信データの送信元アドレスを送信先アドレスとする外部通信データをデータ格納部において抽出し、当該外部通信データに対応付けて通信データの送信先アドレスを含むサービス開始データをデータ格納部に格納するサービス開始抽出部と、(D)取得された通信データが、予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された通信データの送信元アドレス及び送信先アドレスを含む操作終了データをデータ格納部に格納する操作終了抽出部と、(E)取得された通信データが、予め規定された範囲外への通信である場合、取得された通信データの送信元アドレスを含む操作終了データをデータ格納部において抽出する関連データ抽出部と、(F)抽出された操作終了データの送信元アドレス又は送信先アドレスを含むサービス開始データに対応付けて、取得された通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データがデータ格納部に格納されているという条件を含む第4の条件を満たすか判定する判定部とを有する。
一側面としては、攻撃者の諜報活動を検出できるようになる。
図1は、従来技術を説明するための図である。 図2は、システムの一例を示す図である。 図3は、第1の実施の形態に係る攻撃を検知するための観点を模式的に示す図である。 図4は、第1の実施の形態に係るネットワーク監視装置の構成例を示す図である。 図5は、第1の実施の形態に係る処理フローを示す図である。 図6は、第1の実施の形態に係る関連付けデータ格納部に格納されるデータの第1の状態例を示す図である。 図7は、第1の実施の形態に係る関連付けデータ格納部に格納されるデータの第2の状態例を示す図である。 図8は、第1の実施の形態に係る処理フローを示す図である。 図9は、第1の実施の形態に係る終了データ格納部に格納されるデータの一例を示す図である。 図10は、判定条件を説明するための図である。 図11は、第2の実施の形態に係る攻撃を検知するための観点を模式的に示す図である。 図12は、第2の実施の形態に係るネットワーク監視装置の構成例を示す図である。 図13は、第2の実施の形態に係る処理フローを示す図である。 図14は、アウトバウンドデータ格納部に格納されるデータの一例を示す図である。 図15は、第3の実施の形態の前提を説明するための図である。 図16は、第3の実施の形態に係る攻撃を検知するための観点を模式的に示す図である。 図17は、第3の実施の形態に係る攻撃を検知するための観点を模式的に示す図である。 図18は、第3の実施の形態に係るネットワーク監視装置の構成例を示す図である。 図19は、第3の実施の形態に係る処理フローを示す図である。 図20は、第3の実施の形態に係るセッションデータ格納部に格納されるデータの第1の状態の例を示す図である。 図21は、第3の実施の形態に係る処理フローを示す図である。 図22は、第3の実施の形態に係るセッションデータ格納部に格納されるデータの第2の状態の例を示す図である。 図23は、第4の実施の形態に係るネットワーク監視装置の構成例を示す図である。 図24は、第4の実施の形態に係る処理フローを示す図である。 図25は、コンピュータの機能ブロック図である。
[実施の形態1]
本実施の形態に係るシステムの概要を図2を用いて説明する。図2に示すように、インターネット1000には、様々なサーバ2000や攻撃者が操作する攻撃者端末2100と、例えば企業におけるルータなどの通信装置1100も接続されている。通信装置1100には、ネットワーク監視装置1200と、ユーザ端末A、ユーザ端末B及び管理者端末1300を含む複数のユーザ端末や、サーバ等が接続されている。なお、通信装置1100は、当該通信装置1100を介して流れる通信データ(具体的にはパケット)をミラーリングでネットワーク監視装置1200に出力する。
本実施の形態では、踏み台となるユーザ端末Aを遠隔操作して標的となるユーザ端末Bに諜報活動を行う場合、攻撃者端末2100と、ユーザ端末A、攻撃を受けるユーザ端末Bの間で、図3に示すような通信が発生する。
まず、攻撃者端末2100からユーザ端末Aに対して指令となるデータを載せた通信(すなわち第1の外部通信又はインバウンド通信(1))が発生する。これは例えばHTTPやHTTPSでの通信である。次に、ユーザ端末Aからユーザ端末Bへ、例えばSMBによる通信(サービス開始(2))を行って、ユーザ端末B上でサービスを開始させる。このようにサービス開始(2)は、第1の外部通信(1)に連動して行われる(図3中のA)。この後、ユーザ端末Aとユーザ端末Bとの間には様々な通信が長時間(例えば30秒)に渡って行われる(図3中のB)。そして、このような通信による諜報活動が終了すると、ユーザ端末Bからユーザ端末Aへ例えばSMBで操作終了を表す通信が行われ(操作終了(3))、最後にユーザ端末から攻撃者端末2100に対して、第2の外部通信(アウトバウンド通信(4))が発生する。このように第2の外部通信(4)は、操作終了(3)に連動して行われる(図3中のC)。第1の外部通信、サービス開始、操作終了及び第2の外部通信はそれぞれ独立に判断すれば正常な通信であり、攻撃であるとは判定できない。
そこで、本実施の形態では、第2の外部通信から操作終了、操作終了からサービス開始、サービス開始から第の外部通信といったように、通信を遡るような形で不当な諜報活動を検出する。なお、WebサーバとアプリケーションサーバとDBサーバとを含む3層構造システムにおける1トランザクションに含まれるメッセージを解析する場合には、第1階層のWebサーバが外部のユーザ端末からのHTTP等におけるリクエストを受信してから、その後当該リクエストに対するレスポンスを当該外部のユーザ端末へ返信するまでの間の通信を解析する。しかし、第1の外部通信(1)と第2の外部通信(4)とは、HTTPにおけるリクエストとレスポンスというような単純な関係ではないので、そのような解析では、本実施の形態が想定するような諜報活動を検出できない。
このため、本実施の形態におけるネットワーク監視装置1200は、図4に示すような構成を有する。すなわち、ネットワーク監視装置1200は、通信データ取得部1201と、インバウンド通信抽出部1202と、サービス開始抽出部1204と、操作終了抽出部1205と、アウトバウンド通信抽出部1206と、関連データ抽出部1207と、IPアドレスリスト格納部1203と、関連付けデータ格納部1210と、判定条件格納部1211と、終了データ格納部1212と、判定部1208と、出力部1209とを有する。
通信データ取得部1201は、通信装置1100から通信データを受信する。IPアドレスリスト格納部1203は、システム内部に属するIPアドレスのリストを格納する。インバウンド通信抽出部1202は、IPアドレスリスト格納部1203に格納されているIPアドレスのリストに基づき、通信データ取得部1201からの通信データが第1の外部通信(すなわちインバウンド通信)に該当するか否かなどの判断を行い、第1の外部通信に該当する場合には、関連付けデータ格納部1210に、外部通信データを格納する。
サービス開始抽出部1204は、通信データ取得部1201からの通信データがサービス開始に該当するか否かなどの判断を行い、さらに関連する外部通信データを関連付けデータ格納部1210において抽出して、当該外部通信データに対応付けてサービス開始データを関連付けデータ格納部1210に格納する。
操作終了抽出部1205は、通信データ取得部1201からの通信データが操作終了に該当するかなどの判断を行い、操作終了に該当する場合には、操作終了データを終了データ格納部1212に格納する。
アウトバウンド通信抽出部1206は、通信データ取得部1201からの通信データがアウトバウンド通信に該当するか否かなどの判断を行い、通信データがアウトバウンド通信に該当する場合には、関連データ抽出部1207に当該通信データを出力する。
関連データ抽出部1207は、アウトバウンド通信に関連する操作終了データを終了データ格納部1212から抽出し、アウトバウンド通信データ及び操作終了データを判定部1208に出力する。
判定部1208は、アウトバウンド通信データ及び操作終了データに関連するサービス開始データ及び外部通信データを、関連付けデータ格納部1210から抽出し、取得されたデータが、判定条件格納部1211に格納されている判定条件を満たしているか否かを判定する。判定条件を満たしている場合、判定部1208は、諜報活動(すなわち攻撃)の検出通知を出力部1209に管理者端末1300へ送信させる。判定条件格納部1211は、例えば通信の間隔についての条件などを表すデータなどを格納する。
次に、図5乃至図10を用いてネットワーク監視装置1200の処理内容について説明する。
通信データ取得部1201は、通信装置1100から通信データを取得すると(図5:ステップS1)、通信データを、インバウンド通信抽出部1202、サービス開始抽出部1204、操作終了抽出部1205及びアウトバウンド通信抽出部1206に出力する。第2の実施の形態以降の実施の形態においては、他の抽出部に出力する場合もある。
これに対して、インバウンド通信抽出部1202は、通信データを受け取ると、当該通信データに係る通信が所定のインバウンド通信に該当するのか否かを判断する(ステップS3)。具体的には、HTTP又はHTTPSのプロトコルの通信であって且つ通信データの送信元IPアドレス(SrcIPアドレス)が、IPアドレスリスト格納部1203に格納されるIPアドレスのリストに含まれない、すなわちシステム外部の装置のIPアドレスであるか否かを判断する。この条件を満たさない場合には、サービス開始抽出部1204に処理を指示する。通信データには、パケットのデータと例えば通信装置1100又はネットワーク監視装置1200が当該パケットを受信した時刻(通信時刻と呼ぶ)とが含まれる。
一方、通信データの送信元IPアドレスがシステム外部の装置のIPアドレスであり且つ通信データに係る通信がHTTP若しくはHTTPSの通信である場合には、インバウンド通信抽出部1202は、着目すべき外部通信(すなわちインバウンド通信)であるので、インバウンド通信抽出部1202は、当該通信データの送信元IPアドレス(SrcIPアドレス)と送信先IPアドレス(DstIPアドレス)と送信先ポート番号と送信元ポート番号と通信時刻とを、関連付けデータ格納部1210に格納する(ステップS5)。なお、着目すべき外部通信が検出された場合には、インバウンド通信抽出部1202は、サービス開始抽出部1204及び操作終了抽出部1205等の後続の抽出部に対して、今回受け取った通信データを破棄させる。
例えば、図6に示すようなデータが関連付けデータ格納部1210に格納される。図6の例では、送信元IPアドレスと送信先IPアドレスと送信先ポート番号と送信元ポート番号と通信時刻とを含む外部通信データと、送信元IPアドレスと送信先IPアドレスと通信時刻とを含むサービス開始データとが対応付けて格納されるようになっている。この例では、攻撃者端末2100のIPアドレスが「10.0.1.1」であり、ユーザ端末AのIPアドレスが「192.168.0.2」であり、送信先ポート番号が「40000」であり、送信元ポート番号が「443」であり、通信時刻が「8:50:0.000」であるものとする。この段階では、サービス開始データは対応付けて登録されてはいない。
その後、例えば通信データ取得部1201は、処理終了が指示されているか判断し(ステップS13)、処理終了が指示されていなければ、処理はステップS1に戻る。一方、処理終了が指示されていれば、処理を終了する。
一方、サービス開始抽出部1204は、インバウンド通信抽出部1202から処理を指示されると(ステップS3:Noルート)、受け取った通信データが、所定のサービス開始に係る通信データであるか否かを判断する(ステップS7)。
例えば、DCE/RPC(Distributed Computing Environment / Remote Procedure Calls) over SMB 又はDCE/RPCプロトコルの通信で、DCERPCヘッダ内のオプションがStartServiceWである場合に、所定のサービス開始に係る通信であると判断される。
ステップS7の条件を満たさない場合には、操作終了抽出部1205に処理を指示する。処理は端子Aを介して図8の処理に移行する。
通信データに係る通信が所定のサービス開始に係る通信である場合には、サービス開始抽出部1204は、この通信データに関連する外部通信データが、関連付けデータ格納部1210に格納されているか否かを判断する(ステップS9)。なお、サービス開始が検出された場合には、サービス開始抽出部1204は、操作終了抽出部1205及びアウトバウンド通信抽出部1206等の後続の抽出部に対して、今回受け取った通信データを破棄させる。
この通信データの送信元IPアドレス(SrcIPアドレス)を宛先とする外部通信データを、この通信データの通信時刻より前に遡って特定する。
この通信データの送信元IPアドレス(SrcIPアドレス)を宛先とする外部通信データが関連付けデータ格納部1210において抽出できない場合には、処理はステップS13に移行する。
一方、この通信データの送信元IPアドレス(SrcIPアドレス)を宛先とする外部通信データが抽出されると、関連する外部通信データが抽出されたことになるので、サービス開始抽出部1204は、受け取った通信データの少なくとも送信先IPアドレス(DstIPアドレス)と通信時刻とを含むサービス開始データを、抽出された外部通信データに対応付けて関連付けデータ格納部1210に格納する(ステップS11)。その後処理はステップS13に移行する。
なお、図6の例で、具体的な数値が示されている行が、関連する外部通信データである場合に、図7に示すように、送信元IPアドレスと、送信先IPアドレスと、通信時刻とを含むサービス開始データを格納する。具体的には、図7の例では、受け取った通信データの送信元IPアドレスが「192.168.0.2」で且つ送信先IPアドレスが「192.168.0.3」であったので、受け取った通信データの送信先IPアドレス「192.168.0.3」と送信元IPアドレス「192.168.0.2」と通信時刻「8:50:0.200」を、サービス開始データとして格納する。送信元IPアドレスは、省略可能である。
次に、端子Aの後の処理について図8を用いて説明する。操作終了抽出部1205は、サービス開始抽出部1204からの指示に応じて、通信データ取得部1201からの通信データが、予め定められた操作終了に該当するか否かを判断する(ステップS15)。例えば、DCE/RPC over SMB、又はDCR/RPCプロトコルの通信で、DCERPCヘッダ内のオプションがDelete Service Requestであるか否かを判定する。
このような条件を満たす場合には、操作終了抽出部1205は、通信データに含まれる送信元IPアドレス(SrcIPアドレス)、送信先IPアドレス(DstIPアドレス)及び通信時刻を含む操作終了データを、終了データ格納部1212に格納する(ステップS17)。
例えば図9に示されるようなデータが終了データ格納部1212に格納される。図9の例では、送信元IPアドレス、送信先IPアドレス及び通信時刻が、登録されるようになっている。
その後処理は端子Bを介して図5のステップS13に移行する。また、操作終了抽出部1205は、アウトバウンド通信抽出部1206に、今回受け取った通信データを破棄させる。
一方、今回受け取った通信データが、所定の操作終了に該当しない場合には、操作終了抽出部1205は、アウトバウンド通信抽出部1206に処理を指示する。アウトバウンド通信抽出部1206は、操作終了抽出部1205からの指示に応じて、通信データ取得部1201からの通信データが、予め定められたアウトバウンド通信であるか否かを判断する(ステップS19)。
具体的には、HTTP又はHTTPSのプロトコルの通信であって且つ通信データの送信先IPアドレス(DstIPアドレス)が、IPアドレスリスト格納部1203に格納されるIPアドレスのリストに含まれない、すなわちシステム外部の装置のIPアドレスであるか否かを判断する。
今回受け取った通信データが、予め定められたアウトバウンド通信ではない場合には、処理は端子Bを介して図5のステップS13へ戻る。
一方、今回受け取った通信データが、予め定められたアウトバウンド通信である場合には、アウトバウンド通信抽出部1206は、今回受け取った通信データを関連データ抽出部1207に出力する。
関連データ抽出部1207は、今回のアウトバウンド通信に関連する操作終了データを終了データ格納部1212において検索し(ステップS21)、該当する操作終了データが存在する場合には抽出する。具体的には、今回のアウトバウンド通信における送信元IPアドレスと同一のIPアドレスが、送信元IPアドレス又は送信先IPアドレスとして含む操作終了データを検索する。複数回の通信に対応する操作終了データが抽出される場合もある。
今回のアウトバウンド通信に関連する操作終了データが終了データ格納部1212に格納されていない場合には(ステップS23:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、今回のアウトバウンド通信に関連する操作終了データが終了データ格納部1212に格納されている場合には(ステップS23:Yesルート)、関連データ抽出部1207は、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データを、判定部1208に出力する。
判定部1208は、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組を、関連付けデータ格納部1210において検索し、該当する組が存在する場合には当該組のデータを抽出する(ステップS25)。
具体的には、操作終了データに含まれる送信先IPアドレス及び送信元IPアドレスを、送信先IPアドレス及び送信元IPアドレスとして又は送信元IPアドレス及び送信先IPアドレスとして含むサービス開始データが存在するという条件が判断される。さらに、当該サービス開始データに対応付けられている外部通信データに含まれる送信元IPアドレス及び送信先IPアドレスが、送信先IPアドレス及び送信元IPアドレスとして今回受け取った通信データに含まれるという条件を満たすか否かも判断する。
そして、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が、関連付けデータ格納部1210において検出されなかった場合には(ステップS27:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が抽出された場合には(ステップS27:Yesルート)、判定部1208は、判定条件格納部1211に格納されている判定条件を満たす上記の組が存在するか否かを判断する(ステップS29)。
判定条件は、サービス開始データの通信時刻と外部通信データの通信時刻との差(図10のT1)が、例えば1000ms以内であり、外部通信データの通信時刻と操作終了データの通信時刻との差(図10のT2)が、例えば10000ms以内であり、操作終了データの通信時刻とアウトバウンド通信の通信時刻(今回受け取った通信データの通信時刻。)との差(図10のT3)が、例えば1000ms以内である。諜報活動の時間は、一般的に様々な処理を行わせているため長くなる。
判定条件を満たすようなデータが抽出できた場合には、判定部1208は、アウトバウンド通信(今回受け取った通信データに係る通信)、操作終了、外部通信及びサービス開始のデータを、出力部1209に、例えば管理者端末1300へ送信させることによって、諜報活動の検知を通知する(ステップS31)。そして処理は端子Bを介して図5のステップS13に戻る。なお、判定条件を満たすようなデータが抽出できなかった場合には、処理は端子Bを介して図5のステップS13に戻る。
このような処理を行うことで、個々の通信は正常な通信でも、一連の通信から外部からの攻撃であることを検出できるようになる。
[実施の形態2]
通常業務の通信において、アウトバウンド通信の候補は多数存在することが想定され、間違ったアウトバウンド通信と操作終了を組み合わせる恐れがある。一方、遠隔操作型のマルウェアは、コネクションを維持することで、リアルタイムな遠隔操作を実現する特徴がある。このため、アウトバウンド通信を抽出する際に、アウトバウンド通信がコネクション型の通信でコネクションの継続時間が長いもの(例えば30分以上)に限定することで、アウトバウンド通信の候補を限定し、間違ったアウトバウンド通信から通信を辿ることを防止することで、間違ったデータを検知する可能性を低下させることが可能となる。
図11の例では、攻撃者端末2100からユーザ端末Aへマルウェアが入れられると、それらの間に多数の通信が行われるが、ユーザ端末Aから攻撃者端末2100への最初のアウトバウンド通信から継続時間Dが例えば30分以上継続したコネクションについての第2のアウトバウンド通信(4)については、諜報活動の最終段階を表すアウトバウンド通信として抽出する。一方、他のサーバとユーザ端末Aとの間にも、同じような通信が行われているが、最初のアウトバウンド通信と着目するアウトバウンド通信との継続時間Eが例えば30分未満であれば、着目するアウトバウンド通信を用いて操作終了データを抽出しない。これによって諜報活動の抽出精度を高めることができるようになる。
次に、本実施の形態に係るネットワーク監視装置1200bの機能ブロック図を図12に示す。図4に示したネットワーク監視装置1200との差は、アウトバウンドデータ格納部1221が導入され、アウトバウンド通信抽出部1206が、当該アウトバウンドデータ格納部1221を用いるように動作が変更されたアウトバウンド通信抽出部1206bに置換された点である。
アウトバウンド通信抽出部1206bは、最初のアウトバウンド通信を検出すると、アウトバウンドデータ格納部1221にコネクションを特定するためのデータを格納し、後に同一コネクションについてのアウトバウンド通信を検出すると、所定時間以上(例えば30分以上)継続されているかを判断する。
次に、本実施の形態に係る処理フローを図13及び図14を用いて説明する。なお、図5に示した処理の部分については同様であるから、説明を省略する。
操作終了抽出部1205は、サービス開始抽出部1204からの指示に応じて、通信データ取得部1201からの通信データが、予め定められた操作終了に該当するか否かを判断する(ステップS51)。例えば、DCE/RPC over SMB、又はDCR/RPCプロトコルの通信で、DCERPCヘッダ内のオプションがDelete Service Requestであるか否かを判定する。
このような条件を満たす場合には、操作終了抽出部1205は、通信データに含まれる送信元IPアドレス(SrcIPアドレス)、送信先IPアドレス(DstIPアドレス)及び通信時刻を含む操作終了データを、終了データ格納部1212に格納する(ステップS53)。例えば図9に示されるようなデータが終了データ格納部1212に格納される。
その後処理は端子Bを介して図5のステップS13に移行する。また、操作終了抽出部1205は、アウトバウンド通信抽出部1206bに、今回受け取った通信データ破棄させる。
一方、今回受け取った通信データが、所定の操作終了に該当しない場合には、操作終了抽出部1205は、アウトバウンド通信抽出部1206bに処理を指示する。アウトバウンド通信抽出部1206bは、操作終了抽出部1205からの指示に応じて、通信データ取得部1201からの通信データが、予め定められたアウトバウンド通信であるか否かを判断する(ステップS55)。
具体的には、HTTP又はHTTPSのプロトコルの通信であって且つ通信データの送信先IPアドレス(DstIPアドレス)が、IPアドレスリスト格納部1203に格納されるIPアドレスのリストに含まれない、すなわちシステム外部の装置のIPアドレスであるか否かを判断する。
今回受け取った通信データが、予め定められたアウトバウンド通信に該当しない場合には、処理は端子Bを介して図5のステップS13へ戻る。
一方、今回受け取った通信データが、予め定められたアウトバウンド通信に該当する場合には、アウトバウンド通信抽出部1206bは、今回受け取った通信データのコネクションと同一のコネクションについてのデータが、アウトバウンドデータ格納部1221に蓄積されているか否かを判断する(ステップS57)。例えば、送信先IPアドレスと、送信元IPアドレスと、TCP(Transmission Control Protocol)送信元ポート番号と、TCP送信先ポート番号とが一致する場合に、同一コネクションと判断される。
今回受け取った通信データのコネクションと同一のコネクションについてのデータが、アウトバウンドデータ格納部1221に蓄積されていない場合には、アウトバウンド通信抽出部1206bは、今回受け取った通信データのコネクションデータを、アウトバウンドデータ格納部1221に格納する(ステップS59)。そして処理は端子Bを介して図5のステップS13に移行する。
例えば図14に示すようなデータが、アウトバウンドデータ格納部1221に格納される。図14の例では、送信元IPアドレスと、送信先IPアドレスと、送信先ポート番号と、送信元ポート番号と、最初に検出した通信時刻である開始時刻と、同一コネクションについてのアウトバウンド通信が検出された場合における当該通信データの通信時刻である更新時刻とが登録されるようになっている。初期的には、開始時刻と更新時刻とは同じである。
一方、今回受け取った通信データのコネクションと同一のコネクションについてのデータが、アウトバウンドデータ格納部1221に蓄積されている場合には、アウトバウンド通信抽出部1206bは、今回受け取った通信データの通信時刻を、当該コネクションデータについての更新時刻として登録する共に、コネクション継続時間が所定時間以上であるか否かを判断する(ステップS61)。更新時刻−開始時刻が、例えば30分以上であるか否かを判断する。
コネクション継続時間が所定時間未満であれば、処理は端子Bを介して図5のステップS13に戻る。
一方、コネクション継続時間が所定時間以上であれば、今回受け取った通信データを、関連データ抽出部1207に出力する。
関連データ抽出部1207は、今回のアウトバウンド通信に関連する操作終了データを終了データ格納部1212において検索し、該当する操作終了データが存在する場合には抽出する(ステップS63)。具体的には、今回のアウトバウンド通信における送信元IPアドレスと同一のIPアドレスが、送信元IPアドレス又は送信先IPアドレスとして含む操作終了データを検索する。複数回の通信に対応する操作終了データが抽出される場合もある。
今回のアウトバウンド通信に関連する操作終了データが終了データ格納部1212に格納されていない場合には(ステップS65:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、今回のアウトバウンド通信に関連する操作終了データが終了データ格納部1212に格納されている場合には(ステップS65:Yesルート)、関連データ抽出部1207は、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データを、判定部1208に出力する。
判定部1208は、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組を、関連付けデータ格納部1210において検索し、該当する組が存在する場合には当該組のデータを抽出する(ステップS67)。
具体的には、操作終了データに含まれる送信先IPアドレス及び送信元IPアドレスを、送信先IPアドレス及び送信元IPアドレスとして又は送信元IPアドレス及び送信先IPアドレスとして含むサービス開始データが存在するという条件が判断される。さらに、当該サービス開始データに対応付けられている外部通信データに含まれる送信元IPアドレス及び送信先IPアドレスが、送信先IPアドレス及び送信元IPアドレスとして今回受け取った通信データに含まれるという条件を満たすか否かも判断する。
そして、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が、関連付けデータ格納部1210において検出されなかった場合には(ステップS69:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が抽出された場合には(ステップS69:Yesルート)、判定部1208は、判定条件格納部1211に格納されている判定条件を満たす上記の組が存在するか否かを判断する(ステップS71)。判定条件は、第1の実施の形態と同様である。すなわち、サービス開始データの通信時刻と外部通信データの通信時刻との差(図10のT1)が、例えば1000ms以内であり、外部通信データの通信時刻と操作終了データの通信時刻との差(図10のT2)が、例えば10000ms以内であり、操作終了データの通信時刻と外部接続(アウトバウンド通信。今回受け取った通信データの通信時刻。)の通信時刻との差(図10のT3)が、例えば1000ms以内である。諜報活動の時間は、一般的に様々な処理を行わせているため長くなる。
判定条件を満たすようなデータが抽出できた場合には、判定部1208は、アウトバウンド通信(今回受け取った通信データに係る通信)、操作終了、外部通信及びサービス開始のデータを、出力部1209に、例えば管理者端末1300へ送信させることによって、諜報活動の検知を通知する(ステップS73)。そして処理は端子Bを介して図5のステップS13に戻る。なお、判定条件を満たすようなデータが抽出できなかった場合には、処理は端子Bを介して図5のステップS13に戻る。
このような処理を行うことで、より確からしいアウトバウンド通信から、諜報活動を検出でき、諜報活動の検出精度を高めることができる。
[実施の形態3]
操作終了に対応する通信は、諜報活動において実行するコマンドやプログラム、または標的となるユーザ端末BのOS(Operating System)のバージョンや設定によって異なる。よって、間違った操作終了データを選択すると、攻撃とは無関係なアウトバウンド通信を組み合わせたり、攻撃に関連するアウトバウンド通信が候補として組み合わせできなくなる恐れがある。
攻撃においては、操作が終了した時点での操作終了通信の直後に、操作の実行結果であるアウトバウンド通信が発生する。そして、操作終了通信の後に、踏み台となったユーザ端末Aから標的であるユーザ端末Bに張られたSMBのセッションが終了する。このとき、セッション終了の通信とアウトバウンド通信の発生順序は、ネットワーク環境や踏み台の状況、遠隔操作マルウェアの実装などの多様な条件で入れ替わる可能性があり、一意に定義できない。
例えば図15に示すように、踏み台であるユーザ端末Aと標的であるユーザ端末Bとの間の通信を監視して、サービス開始から、予め定められた操作終了候補(例えばSMBの場合には、ControlService、DeleteServiceW、Close Response)を抽出する。そして、操作終了候補に該当する通信が発生する毎に、当該最新の操作終了候補で更新する。
通信全体を見ると、図16で示すように、攻撃者端末2100及び他のサーバA及びBからのインバウンド通信が記録され、サービス開始も記録されるが、本実施の形態では、上で述べたとおり操作終了候補が検出される毎に当該操作終了候補が記録される。その間も、攻撃者端末2100及び他のサーバA及びBへのアウトバウンド通信が検出されるが、セッション切断(例えばSMBのTree Disconnect)を検出するまでは、いずれを選択するかは定まらない。このセッション切断が検出されると、最新の操作終了候補が選択されて、最新の操作終了候補から所定時間以内の、攻撃者端末2100へのアウトバウンド通信(4)が選択される。そして、このような最新の操作終了候補及びアウトバウンド通信に関連するサービス開始データ及び外部通信を抽出するようにする。
なお、最新の操作終了候補の発生後、所定時間以内にアウトバウンド通信が検出されない場合には、攻撃とは判断されない。また、図17に模式的に示すように、最も古い操作終了候補が検出された後、アウトバウンド通信が発生せずに、セッション切断まで至る場合には、セッション切断後のアウトバウンド通信を用いて操作終了候補を抽出し、さらにサービス開始及び外部通信を抽出することになる。
次に、本実施の形態に係るネットワーク監視装置1200cを図18に示す。本実施の形態に係るネットワーク監視装置1200cは、図4に示したネットワーク監視装置1200とは、以下の点で異なる。すなわち、セッション終了抽出部1214とセッションデータ格納部1213と操作終了判定部1215とを新たに導入し、終了データ格納部1212を除外したものである。また、操作終了抽出部1205cについては、その処理内容に変更がある。
操作終了抽出部1205cは、操作終了候補を検出し、セッションデータ格納部1213に格納し、同一セッションについての操作終了候補が新たに検出されると、セッションデータ格納部1213を更新する。セッション終了抽出部1214は、セッション終了に該当する通信データを検出すると、セッションデータ格納部1213にセッション終了を表すデータを格納する。アウトバウンド通信抽出部1206は、予め定められたアウトバウンド通信を検出すると、関連データ抽出部1207に処理を指示する。関連データ抽出部1207は、セッションデータ格納部1213から、アウトバウンド通信に関連する操作終了データを検索して、最新の操作終了候補についての操作終了データを抽出する。
操作終了判定部1215は、関連データ抽出部1207によって操作終了データが抽出され、当該操作終了データに対応付けてセッション終了を表すデータが格納されていなければ、今回のアウトバウンド通信のデータを操作終了データに対応付けてセッションデータ格納部1213に格納する。なお、既にセッション終了を表すデータが格納されていれば、操作終了判定部1215は、判定部1208に処理を指示する。
セッション終了抽出部1214は、アウトバウンド通信のデータが操作終了候補についての操作終了データに対応付けて格納されている状態で、セッション終了を検出すると、判定部1208に処理を指示する。
次に、図19乃至図22を用いて、本実施の形態に係る処理フローを説明する。なお、図5に示した処理の部分については同様であるから、説明を省略する。
操作終了抽出部1205cは、サービス開始抽出部1204からの指示に応じて、通信データ取得部1201からの通信データが、予め定められた操作終了候補に該当するか否かを判断する(ステップS81)。例えば、DCE/RPC over SMB、又はDCR/RPCプロトコルの通信で、DCERPCヘッダ内のオプションがControlService、DeleteServiceW、Closeであるか否かを判定する。
今回受け取った通信データが予め定められた操作終了候補に該当する場合は、操作終了抽出部1205cは、今回受け取った通信データと同じコネクション(送信元IPアドレス及び送信先IPアドレスの組み合わせ)についてのデータを、セッションデータ格納部1213において検索する(ステップS83)。
今回受け取った通信データと同じコネクションについてのデータが、セッションデータ格納部1213に存在しない場合には(ステップS85:Noルート)、操作終了抽出部1205cは、送信元IPアドレス、送信先IPアドレス及び通信時刻を、セッションデータ格納部1213に格納する(ステップS89)。そして処理は端子Bを介して図5のステップS13に戻る。
例えば、セッションデータ格納部1213には図20に示すようなデータが格納される。図20の例では、操作終了データと関係するアウトバウンド通信のデータを格納するようになっている。操作終了データは、送信元IPアドレスと、送信先IPアドレスと、通信時刻と、セッション終了か否かを表す確定フラグ(確定又は候補)とを含む。また、アウトバウンド通信のデータは、送信元IPアドレスと、送信先IPアドレスと、通信時刻とを含む。
一方、今回受け取った通信データと同じコネクションについてのデータが、セッションデータ格納部1213に存在する場合には(ステップS85:Yesルート)、操作終了抽出部1205cは、今回受け取った通信データによって、同一コネクションについての操作終了データを更新する(ステップS87)。
ステップS87又はS89の後に、操作終了抽出部1205cは、セッション終了抽出部1214及びアウトバウンド通信抽出部1206に対して、今回受け取った通信データを廃棄させる。
また、今回受け取った通信データが予め定められた操作終了候補に該当しない場合は、操作終了抽出部1205cは、セッション終了抽出部1214に処理を指示する。
セッション終了抽出部1214は、操作終了抽出部1205cから指示されると、今回受け取った通信データが予め定められたセッション終了に該当するか否かを判断する(ステップS91)。上で述べたとおり、例えばSMBのTree Disconnectであるか否かを判断する。
今回受け取った通信データが予め定められたセッション終了に該当しない場合には、セッション終了抽出部1214は、アウトバウンド通信抽出部1206に処理を指示する。処理は端子Cを介して図21の処理に移行する。
一方、今回受け取った通信データが予め定められたセッション終了に該当する場合には、セッション終了抽出部1214は、セッションデータ格納部1213において、関連する操作終了候補の操作終了データを検索する(ステップS93)。具体的には、今回受け取った通信データの送信元IPアドレス及び送信先IPアドレスの組(送信元と送信先とが入れ替わっているものを含む)を含む操作終了データを検索する。なお、セッション終了抽出部1214は、アウトバウンド通信抽出部1206に通信データを破棄させる。
関連する操作終了候補が抽出されない場合には(ステップS95:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、関連する操作終了候補が抽出された場合には(ステップS95:Yesルート)、セッション終了抽出部1214は、関連する操作終了候補の確定フラグを「確定」に設定する(ステップS97)。さらに、セッション終了抽出部1214は、セッションデータ格納部1213において、アウトバウンド通信のデータが、確定となった操作終了候補に対して対応付けられているか判断する(ステップS99)。図16を用いて説明したケースの場合には、セッション終了(Tree切断)が検出された際には既にアウトバウンド通信のデータが操作終了データに対応付けてセッションデータ格納部1213に格納されている。
従って、アウトバウンド通信のデータが、確定となった操作終了候補に対して対応付けられている場合には、セッション終了抽出部1214は、判定部1208に対して処理を指示する。処理は端子Dを介して図21の処理に移行する。
一方、アウトバウンド通信のデータが、確定となった操作終了候補に対して対応付けられていない場合には、処理は端子Bを介して図5のステップS13に移行する。
図21の処理の説明に移行して、アウトバウンド通信抽出部1206は、セッション終了抽出部1214からの指示に応じて、通信データ取得部1201からの通信データが、予め定められたアウトバウンド通信であるか否かを判断する(ステップS101)。
具体的には、HTTP又はHTTPSのプロトコルの通信であって且つ通信データの送信先IPアドレス(DstIPアドレス)が、IPアドレスリスト格納部1203に格納されるIPアドレスのリストに含まれない、すなわちシステム外部の装置のIPアドレスであるか否かを判断する。
今回受け取った通信データが、予め定められたアウトバウンド通信ではない場合には、処理は端子Bを介して図5のステップS13へ戻る。
一方、今回受け取った通信データが、予め定められたアウトバウンド通信である場合には、アウトバウンド通信抽出部1206は、今回受け取った通信データを関連データ抽出部1207に出力する。
関連データ抽出部1207は、今回のアウトバウンド通信に関連する操作終了データをセッションデータ格納部1213において検索し(ステップS103)、該当する操作終了データが存在する場合には抽出する。具体的には、今回のアウトバウンド通信における送信元IPアドレスと同一のIPアドレス、送信元IPアドレス又は送信先IPアドレスとして含む操作終了データを検索する。複数回の通信に対応する操作終了データが抽出される場合もある。
今回のアウトバウンド通信に関連する操作終了データがセッションデータ格納部1213に格納されていない場合には(ステップS105:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、今回のアウトバウンド通信に関連する操作終了データがセッションデータ格納部1213に格納されている場合には(ステップS105:Yesルート)、関連データ抽出部1207は、今回受け取った通信データ(アウトバウンド通信の通信データ)及び関連する操作終了データを、操作終了判定部1215に出力する。
操作終了判定部1215は、関連する操作終了データの確定フラグが「確定」に設定されているか否かを判断する(ステップS107)。図16を用いて説明したケースの場合には、確定フラグが「確定」に設定される前に、アウトバウンド通信が検出される。すなわち、関連する操作終了データの確定フラグが「確定」に設定されていない場合には、操作終了判定部1215は、関連する操作終了データに対応付けて、アウトバウンド通信の送信元IPアドレス、送信先IPアドレス及び通信時刻を、セッションデータ格納部1213に格納する(ステップS109)。同一操作終了データに対応付けて複数回分のアウトバウンド通信のデータが格納される場合もある。そして、処理は端子Bを介して図5のステップS13に移行する。
図22に示すように、3行目の操作終了データに関連するアウトバウンド通信が検出されると、送信元IPアドレス、送信先IPアドレス及び通信時刻を、アウトバウンド通信のデータ対応付けて格納する。このような状態に遷移した後に、処理がステップS99に移行すると、端子Dを介して処理がステップS111に移行する。
一方、関連する操作終了データの確定フラグが「確定」に設定されている場合には、図22の1行目のように、これ以前に操作終了データに関連するアウトバウンド通信が検出されなかったことになる。そこで、この場合には、操作終了判定部1215は、今回受け取った通信データ(アウトバウンド通信のデータ)及び関連する操作終了データを、判定部1208に出力する。
判定部1208は、今回受け取った通信データ又は対応付けられているアウトバウンド通信の通信データ及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組を、関連付けデータ格納部1210において検索し、該当する組が存在する場合には当該組のデータを抽出する(ステップS111)。
具体的には、操作終了データに含まれる送信先IPアドレス及び送信元IPアドレスを、送信先IPアドレス及び送信元IPアドレスとして又は送信元IPアドレス及び送信先IPアドレスとして含むサービス開始データが存在するという条件が判断される。さらに、当該サービス開始データに対応付けられている外部通信データに含まれる送信元IPアドレス及び送信先IPアドレスが、送信先IPアドレス及び送信元IPアドレスとしてアウトバウンド通信の通信データに含まれるという条件を満たすか否かも判断する。
そして、アウトバウンド通信の通信データ及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が、関連付けデータ格納部1210において検出されなかった場合には(ステップS113:Noルート)、処理は端子Bを介して図5のステップS13に戻る。
一方、アウトバウンド通信の通信データ及び関連する操作終了データに関連する、外部通信データ及びサービス開始データの組が抽出された場合には(ステップS113:Yesルート)、判定部1208は、判定条件格納部1211に格納されている判定条件を満たす上記の組が存在するか否かを判断する(ステップS115)。
判定条件は、サービス開始データの通信時刻と外部通信データの通信時刻との差(図10のT1)が、例えば1000ms以内であり、外部通信データの通信時刻と操作終了データの通信時刻との差(図10のT2)が、例えば10000ms以内であり、操作終了データの通信時刻と外部接続(アウトバウンド通信。今回受け取った通信データの通信時刻。)の通信時刻との差(図10のT3)が、例えば1000ms以内である。諜報活動の時間は、一般的に様々な処理を行わせているため長くなる。
判定条件を満たすようなデータが抽出できた場合には、判定部1208は、アウトバウンド通信(今回受け取った通信データに係る通信)、操作終了、外部通信及びサービス開始のデータを、出力部1209に、例えば管理者端末1300へ送信させることによって、諜報活動の検知を通知する(ステップS117)。そして処理は端子Bを介して図5のステップS13に戻る。なお、判定条件を満たすようなデータが抽出できなかった場合には、処理は端子Bを介して図5のステップS13に戻る。
このような処理を行うことで、実態に即した諜報活動を検出できるようになる。
[実施の形態4]
第3の実施の形態では、特定のSMBコマンドや特定のDCERPCのオプションで操作終了候補を定義したが、コマンドやプログラムがエラー終了する場合には、操作中や操作の前後に頻出するSMBコマンドの通信の後に、アウトバウンド通信が発生してSMBのセッションが終了する。
本実施の形態では、操作の前後や操作中に頻出するSMBコマンドであっても、SMB通信のステータスを監視し、ステータスがエラーの場合には、操作終了候補に含めるようにする。これによって、適切な操作終了を選択することで、攻撃と無関係なアウトバウンド通信の候補を組み合わせたり、攻撃に関係するアウトバウンド通信が候補として組み合わせできなくなる可能性を低下させることができるようになる。
このような処理を行うためのネットワーク監視装置1200dを、図23に示す。図18に示したネットワーク監視装置1200cとの差は、異常終了抽出部1216を新たに追加した点と、操作終了抽出部1205dを用いる点が異なる。異常終了抽出部1216は、通信データが、SMBプロトコルの通信で、SMBコマンドの実行ステータスがエラーであることを表しているか否かを判定する。操作終了抽出部1205dは、異常終了抽出部1216とのインターフェースが追加されている。
次に、本実施の形態に係るネットワーク監視装置1200dの処理フローを図24に示す。基本的には、第3の実施の形態に係る図19と同様の処理フローであるが、操作終了抽出部1205dが、今回受け取った通信データが予め定められた操作終了候補に該当しないと判断すると、操作終了抽出部1205dは、異常終了抽出部1216に対して今回受け取った通信データを出力して処理を指示する。異常終了抽出部1216は、今回受け取った通信データが、コマンド異常終了に該当するか否かを判断する(ステップS100)。上で述べたように、例えば、SMBプロトコルの通信で、SMBコマンドの実行ステータスがエラーであることを表しているか否かを判定する。異常終了抽出部1216は、この判定結果を操作終了抽出部1205dに出力する。
今回受け取った通信データがコマンド異常終了に該当する場合には、処理はステップS83に移行する。一方、今回受け取った通信データがコマンド異常終了に該当しない場合には、処理はステップS91に移行する。
その他の部分については、第3の実施の形態と同様であるから説明を省略する。
なお、操作終了候補についての条件に、コマンド異常終了の条件を含めるようにしても同様の処理結果が得られる。
以上本発明の実施の形態を説明したが、本発明はこれらの実施の形態に限定されるものではない。例えば、処理フローについては、処理結果が変わらない限り、処理の順番を入れ替えたり、一部の処理を並列実行するようにしても良い。
また、ネットワーク監視装置1200の機能ブロック構成は、プログラムモジュール構成とは一致しない場合もある。データ格納部の構成についても同様にファイル構成と一致しない場合もある。
さらに、ネットワーク監視装置1200等は、1台のコンピュータではなく、複数のコンピュータで実現される場合もある。また、ユーザ端末Bは、ユーザ端末Aを含むシステム外の装置であることもある。
なお、上で述べたネットワーク監視装置1200等は、コンピュータ装置であって、図25に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本実施の形態をまとめると、以下のようになる。
本実施の形態に係るネットワーク監視装置は、(A)通信データを取得する取得部と、(B)取得された通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納する外部通信特定部と、(C)取得された通信データが、予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された通信データの送信元アドレスを送信先アドレスとする外部通信データをデータ格納部において抽出し、当該外部通信データに対応付けて通信データの送信先アドレスを含むサービス開始データをデータ格納部に格納するサービス開始抽出部と、(D)取得された通信データが、予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された通信データの送信元アドレス及び送信先アドレスを含む操作終了データをデータ格納部に格納する操作終了抽出部と、(E)取得された通信データが、予め規定された範囲外への通信である場合、取得された通信データの送信元アドレスを含む操作終了データをデータ格納部において抽出する関連データ抽出部と、(F)抽出された操作終了データの送信元アドレス又は送信先アドレスを含むサービス開始データに対応付けて、取得された通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データがデータ格納部に格納されているという条件を含む第4の条件を満たすか判定する判定部とを有する。
このような処理を行うことによって、踏み台となる装置から標的となる装置への諜報活動が行われているような場合をも検出できるようになる。
なお、上で述べた第4の条件が、(f1)サービス開始データに係る通信データの通信時刻と外部通信データに係る通信データの通信時刻との差が第1の閾値以下であり、(f2)操作終了データに係る通信データの通信時刻とサービス開始データに係る通信データの通信時刻との差が第2の閾値以下であり、(f3)取得された通信データの通信時刻と操作終了データに係る通信データの通信時刻との差が第3の閾値以下であるという条件を含むようにしても良い。このような時間的な条件を採用することによって攻撃検出の精度を上げることができるようになる。
さらに、(e1)取得された通信データと同じセッションを初めて検出した際における通信データの通信時刻からの時間が所定時間以上であると判断された場合に、関連データ抽出部が動作するようにしても良い。このような時間的な条件をさらに確認することで、より実際的な攻撃を抽出できるようになる。
また、(d1)上で述べた操作終了抽出部は、同一セッションについて第3の条件を満たす通信データが取得されると、当該通信データに基づき当該同一セッションについての操作終了データを更新するようにしても良い。この場合、ネットワーク監視装置は、(G)取得された通信データが、予め規定された範囲内における通信又は範囲内外の間の通信であって且つ予め定められたセッション終了に該当するという条件を含む第5の条件を満たす場合に、当該通信データと同一セッションについての操作終了データを抽出して、当該操作終了データに対応付けてセッション終了を表すデータをデータ格納部において格納するセッション終了抽出部をさらに有するようにしても良い。そして、(e2)関連データ抽出部は、抽出した操作終了データにセッション終了を表すデータが対応付けられていない場合には、抽出した操作終了データに対応付けて、取得された通信データに含まれる送信先アドレス及び送信元アドレスを含む第2の外部通信データをデータ格納部において格納するようにしても良い。また、(g1)セッション終了抽出部は、さらに、(f4)抽出した操作終了データに対応付けて第2の外部通信データが格納されていれば、検知部を動作させるようにしても良い。
このようにすれば、セッション終了より前に操作終了が発生するケースを適切に検出できるようになる。
また、上で述べた関連データ抽出部は、抽出した操作終了データにセッション終了を表すデータが対応付けられている場合には、検知部を動作させるようにしても良い。セッション終了後に、外部への通信が検出されたケースを適切に処理できるようになる。
さらに、上で述べた第3の条件が、取得された通信データが、予め規定されたコマンド異常終了であるという条件を含むようにしても良い。コマンドの異常終了によって操作終了となる場合もあるためである。
なお、上で述べたような処理をプロセッサ又はコンピュータに実行させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROMなどの光ディスク、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
通信データを取得する取得部と、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納する外部通信特定部と、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納するサービス開始抽出部と、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納する操作終了抽出部と、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出する関連データ抽出部と、
抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含む前記サービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する判定部と、
を有するネットワーク監視装置。
(付記2)
前記第4の条件が、
前記サービス開始データに係る通信データの通信時刻と前記外部通信データに係る通信データの通信時刻との差が第1の閾値以下であり、
前記操作終了データに係る通信データの通信時刻と前記サービス開始データに係る通信データの通信時刻との差が第2の閾値以下であり、
取得された前記通信データの通信時刻と前記操作終了データに係る通信データの通信時刻との差が第3の閾値以下である
という条件を含む付記1記載のネットワーク監視装置。
(付記3)
取得された前記通信データと同じセッションを初めて検出した際における通信データの通信時刻からの時間が所定時間以上であると判断された場合に、前記関連データ抽出部が動作する
付記1記載のネットワーク監視装置。
(付記4)
前記操作終了抽出部は、同一セッションについて前記第3の条件を満たす通信データが取得されると、当該通信データに基づき当該同一セッションについての操作終了データを更新し、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内外の間の通信であって且つ予め定められたセッション終了に該当するという条件を含む第5の条件を満たす場合に、当該通信データと同一セッションについての操作終了データを抽出して、当該操作終了データに対応付けてセッション終了を表すデータを前記データ格納部において格納するセッション終了抽出部
をさらに有し、
前記関連データ抽出部は、抽出した前記操作終了データに前記セッション終了を表すデータが対応付けられていない場合には、抽出した前記操作終了データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを含む第2の外部通信データを前記データ格納部において格納し、
前記セッション終了抽出部は、さらに、抽出した前記操作終了データに対応付けて前記第2の外部通信データが格納されていれば、前記検知部を動作させる
付記1記載のネットワーク監視装置。
(付記5)
前記関連データ抽出部は、抽出した前記操作終了データに前記セッション終了を表すデータが対応付けられている場合には、前記検知部を動作させる
付記4記載のネットワーク監視装置。
(付記6)
前記第3の条件が、取得された前記通信データが、予め規定されたコマンド異常終了であるという条件を含む
付記4記載のネットワーク監視装置。
(付記7)
通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出し、
抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含む前記サービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する
処理を含み、コンピュータにより実行されるネットワーク監視方法。
(付記8)
通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出し、
抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含む前記サービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する
処理を、コンピュータに実行させるためのネットワーク監視プログラム。
1201 通信データ取得部
1202 インバウンド通信抽出部
1203 IPアドレスリスト格納部
1204 サービス開始抽出部
1205 操作終了抽出部
1206 アウトバウンド通信抽出部
1207 関連データ抽出部
1208 判定部
1209 出力部
1210 関連付けデータ格納部
1211 判定条件格納部
1212 終了データ格納部

Claims (8)

  1. 通信データを取得する取得部と、
    取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納する外部通信特定部と、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納するサービス開始抽出部と、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納する操作終了抽出部と、
    取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出する関連データ抽出部と、
    抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含むサービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する判定部と、
    を有するネットワーク監視装置。
  2. 前記第4の条件が、
    前記サービス開始データに係る通信データの通信時刻と前記外部通信データに係る通信データの通信時刻との差が第1の閾値以下であり、
    前記操作終了データに係る通信データの通信時刻と前記サービス開始データに係る通信データの通信時刻との差が第2の閾値以下であり、
    取得された前記通信データの通信時刻と前記操作終了データに係る通信データの通信時刻との差が第3の閾値以下である
    という条件を含む請求項1記載のネットワーク監視装置。
  3. 取得された前記通信データと同じセッションを初めて検出した際における通信データの通信時刻からの時間が所定時間以上であると判断された場合に、前記関連データ抽出部が動作する
    請求項1記載のネットワーク監視装置。
  4. 前記操作終了抽出部は、同一セッションについて前記第3の条件を満たす通信データが取得されると、当該通信データに基づき当該同一セッションについての操作終了データを更新し、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内外の間の通信であって且つ予め定められたセッション終了に該当するという条件を含む第5の条件を満たす場合に、当該通信データと同一セッションについての操作終了データを抽出して、当該操作終了データに対応付けてセッション終了を表すデータを前記データ格納部において格納するセッション終了抽出部
    をさらに有し、
    前記関連データ抽出部は、抽出した前記操作終了データに前記セッション終了を表すデータが対応付けられていない場合には、抽出した前記操作終了データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを含む第2の外部通信データを前記データ格納部において格納し、
    前記セッション終了抽出部は、さらに、抽出した前記操作終了データに対応付けて前記第2の外部通信データが格納されていれば、前記判定部を動作させる
    請求項1記載のネットワーク監視装置。
  5. 前記関連データ抽出部は、抽出した前記操作終了データに前記セッション終了を表すデータが対応付けられている場合には、前記判定部を動作させる
    請求項4記載のネットワーク監視装置。
  6. 前記第3の条件が、取得された前記通信データが、予め規定されたコマンド異常終了であるという条件を含む
    請求項4記載のネットワーク監視装置。
  7. 通信データを取得し、
    取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出し、
    抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含むサービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する
    処理を含み、コンピュータにより実行されるネットワーク監視方法。
  8. 通信データを取得し、
    取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲内から範囲外への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲内における通信又は範囲外から範囲内への通信であって且つ予め定められた操作終了に該当するという条件を含む第3の条件を満たす場合に、取得された前記通信データの送信元アドレス及び送信先アドレスを含む操作終了データを前記データ格納部に格納し、
    取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを含む操作終了データを前記データ格納部において抽出し、
    抽出された前記操作終了データの送信元アドレス又は送信先アドレスを含むサービス開始データに対応付けて、取得された前記通信データに含まれる送信先アドレス及び送信元アドレスを送信元アドレス及び送信先アドレスとして含む外部通信データが前記データ格納部に格納されているという条件を含む第4の条件を満たすか判定する
    処理を、コンピュータに実行させるためのネットワーク監視プログラム。
JP2014002693A 2014-01-09 2014-01-09 ネットワーク監視装置、監視方法及びプログラム Active JP6229504B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014002693A JP6229504B2 (ja) 2014-01-09 2014-01-09 ネットワーク監視装置、監視方法及びプログラム
US14/571,532 US9548989B2 (en) 2014-01-09 2014-12-16 Network monitoring apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014002693A JP6229504B2 (ja) 2014-01-09 2014-01-09 ネットワーク監視装置、監視方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2015133547A JP2015133547A (ja) 2015-07-23
JP6229504B2 true JP6229504B2 (ja) 2017-11-15

Family

ID=53496095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014002693A Active JP6229504B2 (ja) 2014-01-09 2014-01-09 ネットワーク監視装置、監視方法及びプログラム

Country Status (2)

Country Link
US (1) US9548989B2 (ja)
JP (1) JP6229504B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6476853B2 (ja) 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法
JP6641819B2 (ja) 2015-09-15 2020-02-05 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089428B2 (en) 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP4610240B2 (ja) 2004-06-24 2011-01-12 富士通株式会社 分析プログラム、分析方法及び分析装置
KR100612452B1 (ko) * 2004-11-08 2006-08-16 삼성전자주식회사 악성 코드 탐지 장치 및 그 방법
JP2007323428A (ja) 2006-06-01 2007-12-13 Hitachi Ltd ボット検出装置、ボット検出方法、およびプログラム
US8020207B2 (en) * 2007-01-23 2011-09-13 Alcatel Lucent Containment mechanism for potentially contaminated end systems
US20090007266A1 (en) * 2007-06-29 2009-01-01 Reti Corporation Adaptive Defense System Against Network Attacks
US20130019309A1 (en) * 2011-07-12 2013-01-17 Raytheon Bbn Technologies Corp. Systems and methods for detecting malicious insiders using event models
US8856913B2 (en) * 2011-08-29 2014-10-07 Arbor Networks, Inc. Method and protection system for mitigating slow HTTP attacks using rate and time monitoring
WO2013188611A2 (en) * 2012-06-14 2013-12-19 Tt Government Solutions, Inc. System and method for real-time reporting of anomalous internet protocol attacks
JP6056857B2 (ja) * 2012-06-25 2017-01-11 日本電気株式会社 通信制御装置及び通信制御方法
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
JP6142702B2 (ja) * 2013-07-04 2017-06-07 富士通株式会社 監視装置、監視方法及びプログラム

Also Published As

Publication number Publication date
US20150195294A1 (en) 2015-07-09
JP2015133547A (ja) 2015-07-23
US9548989B2 (en) 2017-01-17

Similar Documents

Publication Publication Date Title
JP6142702B2 (ja) 監視装置、監視方法及びプログラム
JP6641819B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US10091167B2 (en) Network traffic analysis to enhance rule-based network security
US10027626B2 (en) Method for providing authoritative application-based routing and an improved application firewall
US9819693B2 (en) Identification of infected devices in broadband environments
US9800593B2 (en) Controller for software defined networking and method of detecting attacker
US10263975B2 (en) Information processing device, method, and medium
WO2005109797A1 (ja) ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム
CN106778229B (zh) 一种基于vpn的恶意应用下载拦截方法及系统
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
JP6229504B2 (ja) ネットワーク監視装置、監視方法及びプログラム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP5925287B1 (ja) 情報処理装置、方法およびプログラム
CN114281547A (zh) 一种数据报文处理方法、装置、电子设备及存储介质
CN106067864B (zh) 一种报文处理方法及装置
CN106657095B (zh) 一种识别未知类远控木马的方法及系统
KR102082889B1 (ko) 프로토콜 분석 장치 및 방법
KR101231035B1 (ko) 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템 및 그 방법
KR20110061217A (ko) 플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법
US20200412748A1 (en) Abnormality cause specification support system and abnormality cause specification support method
JP2015133680A (ja) 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
CN103200194A (zh) 一种ipsec隧道加密报文的流程优化装置及方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170613

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171002

R150 Certificate of patent or registration of utility model

Ref document number: 6229504

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150