JP2004128733A - 通信監視システム及びその方法、情報処理方法並びにプログラム - Google Patents

通信監視システム及びその方法、情報処理方法並びにプログラム Download PDF

Info

Publication number
JP2004128733A
JP2004128733A JP2002287758A JP2002287758A JP2004128733A JP 2004128733 A JP2004128733 A JP 2004128733A JP 2002287758 A JP2002287758 A JP 2002287758A JP 2002287758 A JP2002287758 A JP 2002287758A JP 2004128733 A JP2004128733 A JP 2004128733A
Authority
JP
Japan
Prior art keywords
packet
communication
similarity
network
stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002287758A
Other languages
English (en)
Other versions
JP3773194B2 (ja
Inventor
Hiroaki Eto
江藤 博明
Kunikazu Yoda
依田 邦和
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2002287758A priority Critical patent/JP3773194B2/ja
Priority to US10/672,342 priority patent/US7360246B2/en
Publication of JP2004128733A publication Critical patent/JP2004128733A/ja
Application granted granted Critical
Publication of JP3773194B2 publication Critical patent/JP3773194B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ファイア・ウォールやルータのフィルタ機能等のセキュリティ手段の管理下に置かれているホストコンピュータを経由した通信を監視する。
【解決手段】ネットワークインターフェイスにてネットワークの所定の地点に接続しこの地点を流れる通信パケットを入力するパケット入力手段と、入力された通信パケットにてそれぞれ構成される2つのパケットストリームのマッチングを、通信パケットが入力されるたびに実時間で実行するマッチング手段とを備える。そして、2つのパケットストリームが非常に類似する場合は、侵入や攻撃が行われている可能性が高いと擬制し通報する。
【選択図】    図2

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークにおけるデータ通信を監視する技術に関し、特にネットワークや端末への侵入、攻撃等の検知に利用できる監視技術に関する。
【0002】
【従来の技術】
インターネットに代表されるコンピュータネットワークでは、所定のネットワークやネットワークに接続された端末に対して正当な権限無く侵入したり攻撃したりする行為(アクセス)を防止するために、セキュリティ手段を設けることが必要となる。
現在、ネットワークのセキュリティ手段としては、ファイア・ウォールが一般的に利用されている。例えば、インターネットとイントラネットの境にファイア・ウォールで構築されたDMZ(De−Militarised Zone:非武装地帯)を通過するTCPコネクションは禁止されている。したがって、ファイア・ウォールのルール設定でインターネットからイントラネットへの直接的な接続は禁止することができる。
また、ネットワークどうしを接続するルータには、通過するデータ通信(以下、単に通信と称す)を制限するためのフィルタ機能があり、これを用いてネットワーク間の不正なアクセスによる侵入を防止することができる。
【0003】
また従来、ネットワークにおいて不正なアクセスが発見された場合に、当該不正なアクセスを追跡する技術が提案されている。従来のこの種の不正なアクセスの追跡技術には、ネットワークを行き交う通信パケット(以下、単にパケットと称す)のログデータを、そのデータサイズ及び検知時刻と共に、所定の記憶装置(ログボックス)に蓄積しておき、発見された不正なアクセスと蓄積されたログ情報とのマッチングを行うことにより、当該不正なアクセスを追跡するものがある(例えば、特許文献1参照。)。この種の従来の不正なアクセスの追跡技術によれば、当該不正なアクセスの追跡は、通信が行われている時点でリアルタイムに行われるのではなく、蓄積されたログ情報を用いてオフラインで行われている。
【0004】
【特許文献1】
特開2001−217834号公報(第6−8頁)
【0005】
【発明が解決しようとする課題】
しかし、上記のようにネットワーク上にファイア・ウォールやルータのフィルタ機能といったセキュリティ手段を設けたとしても、かかるセキュリティ手段の管理下に置かれているホストコンピュータを経由した通信による侵入や攻撃を防止することはできなかった。
上述したインターネットとイントラネットとの間にDMZを構築する例では、インターネットとDMZ内のサーバ(ウェブサーバ、DNS(Domain Name System)サーバ、メールサーバ等)との間でTCPコネクションを設定し、さらにDMZ内の当該ウェブサーバとイントラネットとの間でTCPコネクションを設定するというように、DMZを経由したTCPコネクションは、個々のTCPコネクション自体は正当であるので、ファイア・ウォールのルールで禁止することは困難であった。
【0006】
また、ルータのフィルタ機能にて通信を制限する場合でも、次のような形での侵入をルータのフィルタ設定で防止することはできなかった。すなわち、攻撃者は、踏み台となるコンピュータに侵入し、そのコンピュータ上のログを消去した後に、他のコンピュータを攻撃する。これにより、客観的には、あたかも踏み台となったコンピュータから攻撃が行われたかのように見える。通常、攻撃者は複数の踏み台を経由して標的となるコンピュータの攻撃を行う。踏み台としてのコンピュータの利用は、そのコンピュータ自体が侵入されなくても起こりうる。例えば、プロキシサーバを中継器として悪用する場合などである。しかし、踏み台となったコンピュータには侵入による実害が無くても、踏み台としてコンピュータが利用されたという事実は、それを管理している組織の信用失墜につながる。
【0007】
ネットワーク上で発見された不正なアクセスを追跡する従来の技術は、通信ログとのマッチングを行うことによって当該不正なアクセスの追跡を行うため、上記のようなセキュリティ手段の管理下に置かれているホストコンピュータを経由した通信であっても、追跡(逆探知)が可能である。しかし、マッチングの処理をオフラインで行うため、実際に通信が行われている時点でリアルタイムに不正なアクセス等を監視することができなかった。また、不正なアクセスを追跡するためには、不正なアクセスであることが判明している通信ログが必要であった。
【0008】
そこで、本発明は、ホストコンピュータを経由した通信や直接的な通信を監視できるようにすることを目的とする。
また本発明は、かかる通信の監視により不正なアクセスによる侵入や攻撃を、不正なアクセスであることが判明している通信ログを必要とせず、かつ実時間(リアルタイム)で検出できるようにすることを目的とする。
【0009】
【課題を解決するための手段】
上記の目的を達成する本発明は、ネットワーク上の任意の地点を流れる通信パケットを入力するパケット入力手段と、入力された通信パケットにてそれぞれ構成される2つのパケットストリームのマッチングを実時間で実行するマッチング手段とを備える通信監視システムとして実現される。
このパケット入力手段は、ネットワークインターフェイスにてネットワークの所定の地点(通信を監視しようとする地点)に接続された通信センサ部であり、マッチング手段は、この通信センサ部および通信センサ部にて入力された通信パケットにて構成される2つのパケットストリームの外形的な類似度を通信パケットの到着に応じて計算する類似度計算部とを備える通信監視システムとして実現される。
また、この通信監視システムは、マッチング手段による前記2つのパケットストリームの外形的な類似度の判断結果に応じて、オペレータや管理機構等、外部へ所定の通報を行う通報手段をさらに備える。
【0010】
ここで、2つのパケットストリームの外形的な類似度とは、データの内容を問わず、データ量や個々のパケットの通信間隔の類似度を意味し、2つのパケットストリームを構成する各通信パケットのうち、対応するものどうしの時間的なずれに基づいて判断される。さらに具体的には、この2つのパケットストリームを時間経過における各パケットストリームの通信パケットのデータ量を記述したグラフで表し、各パケットストリームのグラフを交差することなく近づけるように移動した場合に当該2つのグラフで囲まれる領域の大きさに基づいて、当該2つのパケットストリームの類似度を計算することができる。
【0011】
また、本発明は、コンピュータを用いてネットワーク上のデータ通信を監視する、次のような通信監視方法として実現される。すなわち、この通信監視方法は、ネットワーク上の任意の地点から通信パケットを順次取得し、この通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納するステップと、所定の通信パケットを取得した場合に、この通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを記憶手段から取り出すステップと、取得した通信パケットまでを含む第1のパケットストリームと記憶手段から取り出された他の通信パケットの属する第2のパケットストリームとの外形的な類似度を判断するステップと、類似度の判断結果に応じて、外部へ所定の通報を行うステップとを含むことを特徴とする。
さらに好ましくは、この通信監視方法は、第1のパケットストリームに対して最も類似すると判断された第2のパケットストリームを除く他の第2のパケットストリームに対する類似度の判断に用いた情報を棄却するステップをさらに含む。これにより、コンピュータにおけるメモリ使用量や、CPUの負荷を軽減することができる。
【0012】
また、本発明は、ネットワーク上を流れる2つのパケットストリームを比較する、次のような情報処理方法として実現される。すなわち、この情報処理方法は、ネットワーク上の任意の地点から通信パケットを順次取得し、この通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納するステップと、所定の通信パケットを取得した場合に、この通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを記憶手段から取り出すステップと、取得した通信パケットまでを含む第1のパケットストリームと記憶手段から取り出された他の通信パケットの属する第2のパケットストリームとのマッチングを行うステップとを含むことを特徴とする。
さらに好ましくは、この情報処理方法は、パケットストリームの類似度を計算するステップにおいて、2つのグラフで囲まれる領域の時間軸方向の長さが予め設定された特定の範囲にある場合、パケットストリームの類似度の計算のために用いた情報を棄却する。これにより、コンピュータにおけるメモリ使用量や、CPUの負荷を軽減することができる。
【0013】
さらにまた、上記の目的を達成する本発明は、コンピュータを制御して上述した通信監視方法や情報処理方法の各ステップに対応する処理を実行させるプログラム、あるいは上述した通信監視システムの機能をコンピュータに実現させるプログラムとして実現することができる。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより、提供することができる。
【0014】
【発明の実施の形態】
以下、添付図面に示す実施の形態に基づいて、この発明を詳細に説明する。
なお、本実施の形態では、ネットワークにおける通信プロトコルとしてTCP(Transmission Control Protocol)を用いた場合について説明する。
図1は、本実施の形態による通信監視システムを実現するコンピュータの構成を示す図である。
図1に示すように本実施の形態を実現するコンピュータは、各種の処理を実行するCPU101と、CPU101を制御するプログラム及びCPU101にて処理されるデータを保持するメモリ102と、ネットワークにおいて送受信されるパケットを入力するためのネットワークインターフェイス103とを備える。また、コンピュータは磁気ディスク装置104を備え、メモリ102に保持されているプログラムやデータを適宜磁気ディスク装置104へ退避させる。
【0015】
図2は、図1に示したコンピュータ等で実現される本実施の形態による通信監視システムの機能構成を説明する図である。
図2を参照すると、本実施の形態による通信監視システムは、通信センサ部10と、パケットデータベース(DB)20と、マッチング候補データベース(DB)30と、類似度計算部40と、候補棄却部50とを備える。これらの構成要素のうち、通信センサ部10、類似度計算部40及び候補棄却部50は、図1のコンピュータにおけるプログラム制御されたCPU101にて実現される。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより提供することができ、図1の例では、磁気ディスク装置104に格納され、メモリ102に読み込まれてCPU101を制御し、これら構成要素の機能を実現する。また、パケットデータベース20及びマッチング候補データベース30は、メモリ102及び磁気ディスク装置104にて実現される。
【0016】
図2に示した構成において、通信センサ部10は、図1のネットワークインターフェイス103を介してネットワーク上のパケットを監視しようとする所定の地点(ポイント)に接続して流れるパケットを入力し、パケットデータベース20に格納する。接続地点の数は任意であるが、通信の監視は、そのうちの2地点を流れるパケットに関して行う。また、入力パケットがTCP通信の開始パケットである場合は、後述するマッチング候補を作成してマッチング候補データベース30に格納する。そして、入力したパケットが不正な侵入や攻撃である可能性がある場合に、外部(オペレータや所定の管理機構等)へ通報する。すなわち、通信センサ部10は、パケット入力手段、マッチング候補作成手段および通報手段として機能する。通信センサ部10の動作の詳細については後述する。
【0017】
パケットデータベース20は、通信センサ部10にて取得されたパケットに関する情報(以下、パケット情報)を保管する。パケット情報は、当該パケットの到着時刻、シーケンス番号、パケットストリーム情報である。ここで、パケットストリームとは、1つのTCP通信における1方向だけのパケットを取り出したものである。また、パケットストリーム情報とは、TCPコネクションを表す四つ組み<発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号>及びTCPコネクションに対する向き(コネクションと同じ向きのパケットストリームか反対向きのパケットストリームかを表す)である。これらのパケット情報は、取得されたパケット自身及びそのヘッダ情報等から得られる。また、パケットデータベース20は、データベースへのアクセス機能として、
1.パケットストリーム情報をインデックスにして関連するパケットのリストが取り出せる。
2.パケットを時刻順に取り出せる。
という機能を持っている。
【0018】
マッチング候補データベース30は、後述するパケットストリームのマッチングに用いるため、マッチング候補を格納する。マッチング候補とは、2つのTCP通信間の類似度計算(後述)の途中経過を保持するためのデータ構造であり、
<2つのパケットストリーム、マッチングのずれ(シーケンス番号)、類似度>
からなるデータ構造である。すなわち、マッチング候補データベース30は、
・検査対象のパケットストリーム
・比較用パケットストリーム
・マッチングのずれ情報
・類似度を表す情報(面積、最大長、最小長、これらの詳細は後述)
を情報として持つ。また、マッチング候補データベース30は、データベースへのアクセス機能として、比較用パケットストリームをインデックスとしてマッチング候補を取り出せるという機能を持っている。
【0019】
類似度計算部40は、通信センサ部10からの指示にしたがって、マッチング候補データベース30からマッチング候補のパケットストリームを取得して、通信センサ部10が取得したパケットストリームと比較し、両パケットストリームの外形的な類似度(データの内容を問わず、データ量や個々のパケットの通信間隔の類似度)を計算するマッチング手段である。類似度の概念及びその計算方法の詳細については後述する。
候補棄却部50は、所定のパケットストリームに対するマッチング候補の数が爆発的に増大するのを避けるため、必要に応じてマッチング候補データベース30に蓄積されたマッチング候補を消去(棄却)する。
【0020】
次に、本実施の形態によるネットワーク通信の監視が必要となる具体的な状況を想定して、本実施の形態の動作について説明する。
図8は、DMZ(非武装地帯)の構成例を示す図である。
図8に示すように、DMZ810は、インターネット820側からもイントラネット830側からも、ファイア・ウォール811、812を経由しないと内部のサーバ(ウェブサーバ813、DNSサーバ814、メールサーバ815)に到達できないように構成されている。このDMZ810を介在させることにより、HTTP(Hypertext Transfer Protocol)やSMTP(Simple Mail Transfer Protocol)などの必要な通信プロトコル以外は遮断することができる。図8において、ファイア・ウォール811にはインターネット820からウェブサーバ813へアクセスするためのルールが設定されており、ファイア・ウォール812にはウェブサーバ813からイントラネット830へアクセスするためのルールが設定されている。これは、例えば電子メールをインターネット820からイントラネット830内に配送するためである。
この場合、上記の電子メールの配信経路と同様に、まずインターネット820からDMZ810内のサーバ(例えば図8に示すようにウェブサーバ813)にTCP通信を行い、次にDMZ810内のサーバからイントラネット830にTCP通信を行うような侵入経路(図中の矢印参照)は、上記ファイア・ウォール811、812のルールに適応しているため、ファイア・ウォール811、812やその他の侵入検知ツールで検出することは困難である。
【0021】
また、同様の通信の侵入は、サービスプロバイダ(ISP:Internet ServiceProvider)によって提供されているネットワークを使用するコンピュータが踏み台として利用されている状況でも生じ得る。そして、ルータのフィルタ設定では、かかるコンピュータの踏み台として利用を防ぐことはできない。
【0022】
これらのような、ネットワーク上のセキュリティ管理のなされたホストコンピュータを中継点として利用する侵入や攻撃を防止するため、本実施の形態を用いて、このような中継地点として利用され得るポイントの通信を監視する。
そのために、図2に示した通信監視システムにおいて、ネットワークインターフェイス103を介して通信センサ部10を所望のポイントに接続する。具体的には、図8に示したDMZ810を経由したTCP通信の監視では、ファイア・ウォール811のDMZ810側のインターフェイスと、ファイア・ウォール812のイントラネット830側のインターフェイスとに接続する。また、ホストコンピュータの踏み台としての利用を監視する場合は、ルータのインターネット側の各インターフェイスに接続する。なお、通信センサ部10は、監視しようとするポイントの数に応じて任意の本数の接続を行うことができるが、検出結果は2つのポイントにおけるパケットストリームの類似度として与えられる。
【0023】
これら2つのポイントにおいて、僅かな時間間隔を置いて、極めて類似したパケットストリームが送信された(TCP通信が行われた)ことを検出した場合に、ネットワークまたはネットワークに接続されたシステムへの侵入が行われた可能性があると考えることができる。そこで、本実施の形態では、このような場合に警報を発し、オペレータ等に対し必要な措置を講ずるように促す。
【0024】
ここで、2つのパケットストリームの類似度について説明する。
図3は、通信センサ部10で観測された2つのパケットストリームを、時刻ごとのシーケンス番号の変化として表した図表である。
ここで、シーケンス番号とは、TCP通信でどこまでのデータを送ったのか示すための値である。初期値に乱数を採り、送信したデータ量分だけシーケンス番号を増加させる。図3では、時間経過におけるシーケンス番号の増分(すなわち送信されたデータ量)をグラフ化している。
図3に示すグラフの形状は、当該パケットストリームの外形的な特徴を示していると考えられる。そこで、本実施の形態において2つのパケットストリームの類似度とは、2つのグラフを交差することなく近づけるように移動し、当該2つのグラフで囲まれる、X軸(時間軸)方向の領域(時間的なずれ)が最小になるとき、その領域をY軸の高さ(シーケンス番号にて示される送信されたデータ量)で割ったものと定義する。すなわち、各パケットストリームを構成するパケットのうち、対応するものどうしの時間的なずれに基づいて、当該2つのパケットストリームの類似度が判断されることとなる。このことに基づき、マッチング候補データベース30に格納されるマッチング候補における類似度を表す情報は、当該2つのパケットストリームを表すグラフによって囲まれる領域の面積の総和、当該領域におけるX軸方向の長さの最大長および最小長とする(以下、これら領域の大きさを示すパラメータを単に面積、最大長、最小長と呼ぶ)。
【0025】
このように2つのパケットストリームの類似度を定義すると、一方の通信が終了するまで類似度は算出されないこととなる。しかし、実時間で2つのパケットストリームのマッチングを取るためには、通信の終了時に負荷が集中することは都合が悪い。そこで本実施の形態では、パケットを受信するたびに少しずつ類似度の候補を計算するという方式を採る。
図4は、かかる本実施の形態によるパケットストリームのマッチング方法を説明する図である。
上述したように、シーケンス番号は初期値を乱数としているので、比較が可能となるように、まず、比較用のパケットストリームの開始時に、検索対象となる全てのパケットストリームに対して、マッチングのずれ(シーケンス番号のずれ)を求めておく。そして、得られた検索対照のパケットストリーム、マッチングのずれ情報を含むマッチング候補を作成する。なお、パケットストリームの開始時点であるので、比較用のパケットストリームは最初のパケットのみ、類似度を表す情報は初期値(後述)が登録される。
【0026】
以下、順次パケットを受信することで発生する比較用パケットストリームの伸びに応じて、個々のマッチング候補の類似度を変更分だけ計算する。変更分の計算とは、グラフの伸びに応じて新たに囲まれた領域の面積、当該領域のX軸方向の最大長および最小長の算出である。各マッチング候補の類似度は、次の計算式で求められる。この方式によれば、グラフの伸び分だけを対象にして計算できるため、計算負荷を分散できる。
類似度=min[|面積−最小長*高さ|,|面積−最大長*高さ|]/高さ
【0027】
ところで、通信監視システムにおける処理時間およびメモリ使用量は、マッチング候補の数に比例する。マッチング候補の数は、
O(パケットストリームの数*パケットストリーム中のパケット数)
となることから、実時間処理を行うためには、類似度を計算する過程でマッチング候補を適宜削減することが必須となる。そのために本実施の形態では、2つのTCP通信の時間差を利用する。
【0028】
本実施の形態でマッチングを行う2つのTCP通信の時間差について考えると、例えば、図8のDMZ810内のサーバを経由したインターネットからイントラネット内への通信では、1〜2個のホストコンピュータを経由した通信の時間差である。また、ISPの提供するネットワークを踏み台にした通信では、当該ISPの管理する小規模なネットワークを経由する時間差である。これらの時間差は、攻撃者の端末上のコマンドレスポンス時間と関係があり、レスポンス時間の半分以下である。以上のことから、マッチングを行う2つのTCP通信の時間差は1〜2秒程度で抑えられると想定される(以下、この時間差を、最大パケット遅延時間と称す)。
したがって、マッチング候補の作成処理において、2つのパケットストリームにおける対応パケットの到着時刻が最大パケット遅延時間以上離れていた場合は、候補を作成しない。また、パケット受信時のマッチング候補の更新において、所定のマッチング候補に関して、図4に示したグラフのX軸方向の最大長が最大パケット遅延時間を超えていた場合および最小長が最大パケット遅延時間の符号を負にした値(−最大パケット遅延時間)よりも小さかった場合は、候補棄却部50によって、当該マッチング候補をマッチング候補データベース30から消去する。以上の処理により、通信監視システムにおけるメモリ使用量の削減と計算時間の短縮とを実現することができる。
【0029】
図5は、かかる状況における通信センサ部10の動作を説明するフローチャートである。
図5に示すように、通信センサ部10は、まず、ネットワークインターフェイス103を介して到着したパケットをパケットデータベース20に格納する(ステップ501)。そして、到着したパケットがパケットストリームの開始パケットであった場合(TCP通信の開始であった場合)は、後述の手順にてマッチング候補を作成し、マッチング候補データベース30に格納する(ステップ502、503)。
【0030】
一方、到着したパケットがパケットストリームの開始パケットでない場合は、パケットストリームのマッチングを行う。すなわち、まず当該パケットが含まれるパケットストリーム(比較用パケットストリーム)をインデックスとして、マッチング候補データベース30からマッチング候補を取り出す(ステップ502、504)。そして、取り出されたマッチング候補のそれぞれに対し、類似度計算部40により類似度計算処理を実施させる(ステップ505)。類似度計算部40の処理については後述する。
【0031】
次に、通信センサ部10は、類似度計算部40の処理結果に基づき、各マッチング候補の類似度の中で最も小さい値を類似度Mとする(ステップ506)。そして、比較用パケットストリームのパケット数が予め設定された閾値よりも大きく(すなわち当該比較用パケットストリームが一定以上の長さを持つ)、かつ類似度Mが予め設定された閾値よりも小さいとき、通信センサ部10は、侵入を検出したと判断する(ステップ507、508)。そして、マッチング候補の情報を警報情報として外部に通報する(ステップ509)。
また、ステップ506の処理を行った場合に、通信センサ部10は、候補棄却部50に指示して、類似度Mとした最小の類似度を持ったマッチング候補以外のマッチング候補をマッチング候補データベース30から消去させる(マッチング候補の削減処理)。
【0032】
図6は、ステップ503のマッチング候補の作成処理を説明するフローチャートである。
図6に示すように、通信センサ部10は、到着したパケットストリーム開始時のパケット(開始パケット)を比較用のパケットストリームとする(ステップ601)。次に、パケットデータベース20からパケットを新しい順に取り出す(ステップ602)。パケットデータベース20から取り出したパケットと比較用のパケットストリーム(到着したパケット)との時間差が最大パケット遅延時間よりも大きい場合は、処理を終了する(ステップ603)。
【0033】
一方、パケットデータベース20から取り出したパケットと比較用のパケットストリームとの時間差が最大パケット遅延時間以下である場合は、当該取り出したパケットが属しているパケットストリームをパケットデータベース20から取り出し、検査対象のパケットストリームとする(ステップ603、604)。そして、当該取り出したパケットの開始シーケンス番号をずれ情報とし(ステップ605)、類似度を表す情報の初期値として、面積=0、最大長=0、最小長=∞に設定する(ステップ606)。
この後、類似度計算部40にて類似度計算処理を実施し(ステップ607)、ステップ602へ戻って、比較用のパケットストリームとの時間差が最大パケット遅延時間以下であるパケットが無くなるまで以上の処理を繰り返す。
【0034】
以上により、比較用のパケットストリームとの時間差が最大パケット遅延時間以下であるパケットの数分のマッチング候補が作成される。
なお、以上の処理において、比較用のパケットストリーム及び検索対象のパケットストリームに関して、通信センサ部10がネットワークに接続する2つのポイントのどちらから入力したかを区別していない。また、通信の向きも区別していない。したがって、本実施の形態では、これらの区別無く2つのパケットストリームが得られたならば、マッチングを行い、類似度を計算することとなる。これにより、1つの通信経路を通って所定のネットワークに出入りする攻撃を検出することが可能となる。
【0035】
図7は、類似度計算部40による類似度計算処理の動作を説明するフローチャートである。この処理は、通信センサ部10の指示により(ステップ505参照)、図3に示したようなグラフを用いて、比較用パケットストリームが1パケット分だけ伸びるたびに実行される。
まず、追加された1パケットによりグラフが伸びた分で新たに囲われる領域を領域Bとし、当該領域Bの面積、最大長、最小長、高さを求める(ステップ701)。そして、ここまでの2つのパケットストリームの類似度を表す情報(面積、最大長、最小長)を適宜更新する(ステップ702)。具体的には、
面積=直前の面積+領域Bの面積
である。また、直前の最大長よりも領域Bの最大長の方が大きいならば、
最大長=Bの最大長
とする。また、直前の最小長よりも領域Bの最小長の方が小さいならば、
最小長=Bの最小長
とする。
【0036】
次に、類似度計算部40は、これらのパラメータから類似度を計算し、通信センサ部10に渡す(ステップ703)。
また、ステップ701で得られた、領域Bの最大長が最大パケット遅延時間よりも大きいか、または領域Bの最小長が最大パケット遅延時間の符号を負にした値よりも小さい場合は、候補棄却部50に指示して、当該マッチング候補をマッチング候補データベース30から消去させる(マッチング候補の削減処理)。
【0037】
次に、本実施の形態を具体的なネットワークシステムに適用した場合の適用例を説明する。
図9は、複数のネットワーク間の通信において本実施の形態による通信の監視を行う場合の構成例を示す図である。
図9に示すように、複数のネットワーク910、920、930がルータ901、902を介して接続されているものとする。これを図8と対比すると、ネットワーク910がインターネット820、ネットワーク920がDMZ810、ネットワーク930がイントラネット830、ルータ901がファイア・ウォール811、ルータ902がファイア・ウォール812にそれぞれ対応すると想定することができる。また、ホストコンピュータの踏み台としての利用を監視する場合は、ネットワーク920内のコンピュータ921がホストコンピュータであるものと想定することができる。
【0038】
図9のように構成されたネットワークシステムにおいて、攻撃者は、ネットワーク910を通過して、まずネットワーク920内のコンピュータ921を攻撃する。さらに、コンピュータ921のセキュリティホールを攻撃することによって、ネットワーク930内のコンピュータ931に対する攻撃も成功したものとする。ここで、攻撃者が図9の実線の矢印に示す経路で通信を行ったとすると、この通信に関連するパケットがルータ901及びルータ902を通過する。
本実施の形態の通信監視システムは、常時、ルータ901及びルータ902を流れる通信を監視しており、上記の通信を即座に検出する。そして、外部の管理機構に対し、攻撃検出を報告する。
【0039】
図9に示した例では、本実施の形態により通信を監視するポイントが2箇所であったが、3箇所以上を設定して監視することもできる。この場合は、任意の2箇所の通信の関連性を実時間で検出する。また、特殊な事例として、ネットワーク910及びネットワーク930が同一のネットワークを構成している場合も有る。その場合、通信センサ部10が接続されるポイントは1つとなり、本実施の形態は、1つのネットワーク920を利用して出入りする攻撃を検出するシステムとして働くこととなる。
【0040】
なお、上記実施の形態では、ネットワークにおける通信プロトコルとしてTCPを用いることとして説明したが、本実施の形態を適用できる通信プロトコルはTCPに限定されない。UDP、その他の通信プロトコルによるネットワーク通信においても適宜、適用することができる。他の通信プロトコルで本実施の形態を用いる場合、各通信プロトコルにおけるパケットの形式に基づいて、パケットデータベース20を検索するためのパケットストリーム情報や類似度計算に用いるパラメータを設定する。
例えば、通信プロトコルがUDPである場合、パケットストリーム情報は、<ソースIPアドレス、デスティネーションIPアドレス、ソースポート、デスティネーションポート>の四つ組みで分け、各パケットストリームの<到着時刻、UDPデータサイズ>を時刻順に並べたものとなる。また、UDPを用いる場合、TCPにおけるシーケンス番号のように、各ストリームに関して所定の時点までに流れたデータの総量(バイト)を計算できる情報がない。そこで、例えばUDPヘッダの中の「UDPデータサイズ」を利用し、類似判断の際にグラフのY軸(縦軸)として用いる送信されたデータの総量を計算して用いる。各ストリームについて所定の時点までに流れたデータの総量は、過去のUDPデータサイズの合計を計算することで求めることができる。
【0041】
【発明の効果】
以上説明したように、本発明によれば、ホストコンピュータを経由した通信や直接的な通信を監視することが可能となる。
また、本発明によれば、かかる通信の監視により不正なアクセスによる侵入や攻撃を、不正なアクセスであることが判明している通信ログを必要とせず、かつ実時間(リアルタイム)で検出することが可能となる。
【図面の簡単な説明】
【図1】本実施の形態による通信監視システムを実現するコンピュータの構成を示す図である。
【図2】図1に示したコンピュータ等で実現される本実施の形態による通信監視システムの機能構成を説明する図である。
【図3】本実施の形態における通信センサ部で観測された2つのパケットストリームを、時刻ごとのシーケンス番号の変化として表した図表である。
【図4】本実施の形態によるパケットストリームのマッチング方法を説明する図である。
【図5】本実施の形態における通信センサ部の動作を説明するフローチャートである。
【図6】図5におけるステップ503のマッチング候補の作成処理を説明するフローチャートである。
【図7】本実施の形態における類似度計算部による類似度計算処理の動作を説明するフローチャートである。
【図8】DMZ(非武装地帯)の構成例を示す図である。
【図9】複数のネットワーク間の通信において本実施の形態による通信の監視を行う場合の構成例である。
【符号の説明】
10…通信センサ部、20…パケットデータベース(DB)、30…マッチング候補データベース(DB)、40…類似度計算部、50…候補棄却部、101…CPU、102…メモリ、103…ネットワークインターフェイス、104…磁気ディスク装置

Claims (17)

  1. ネットワーク上の任意の地点を流れる通信パケットを入力する通信センサ部と、
    前記通信センサ部にて入力された通信パケットにて構成される2つのパケットストリームの外形的な類似度を当該通信パケットの到着に応じて計算する類似度計算部と
    を備えることを特徴とする通信監視システム。
  2. 前記類似度計算部は、前記2つのパケットストリームを時間経過における各パケットストリームの通信パケットのデータ量を記述したグラフで表し、各パケットストリームのグラフを交差することなく近づけるように移動した場合に当該2つのグラフで囲まれる領域の大きさに基づいて、当該2つのパケットストリームの類似度を計算することを特徴とする請求項1に記載の通信監視システム。
  3. 前記通信センサ部は、前記類似度計算部により計算された類似度の値に応じて、外部へ所定の通報を行うことを特徴とする請求項1に記載の通信監視システム。
  4. ネットワーク上の任意の地点を流れる通信パケットを入力するパケット入力手段と、
    前記パケット入力手段にて入力された通信パケットにてそれぞれ構成される2つのパケットストリームのマッチングを実時間で実行するマッチング手段と
    を備えることを特徴とする通信監視システム。
  5. 前記マッチング手段は、前記2つのパケットストリームを構成する各通信パケットのうち、対応するものどうしの時間的なずれに基づいて、当該2つのパケットストリームの外形的な類似度を判断することを特徴とする請求項4に記載の通信監視システム。
  6. 前記マッチング手段による前記2つのパケットストリームの外形的な類似度の判断結果に応じて、外部へ所定の通報を行う通報手段をさらに備えることを特徴とする請求項5に記載の通信監視システム。
  7. コンピュータを用いて、ネットワーク上のデータ通信を監視する通信監視方法であって、
    前記ネットワーク上の任意の地点から通信パケットを順次取得し、当該通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納するステップと、
    所定の通信パケットを取得した場合に、当該通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを前記記憶手段から取り出すステップと、
    取得した前記通信パケットまでを含む第1のパケットストリームと前記記憶手段から取り出された前記他の通信パケットの属する第2のパケットストリームとの外形的な類似度を判断するステップと、
    前記類似度の判断結果に応じて、外部へ所定の通報を行うステップと
    を含むことを特徴とする通信監視方法。
  8. 前記パケットストリームの外形的な類似度を判断するステップでは、前記2つのパケットストリームを構成する各通信パケットのうち、対応するものどうしの時間的なずれに基づいて、当該2つのパケットストリームの外形的な類似度を判断することを特徴とする請求項7に記載の通信監視方法。
  9. 前記第1のパケットストリームに対して最も類似すると判断された前記第2のパケットストリームを除く他の前記第2のパケットストリームに対する前記類似度の判断に用いた情報を棄却するステップをさらに含むことを特徴とする請求項7に記載の通信監視方法。
  10. ネットワーク上を流れる2つのパケットストリームを比較する情報処理方法であって、
    前記ネットワーク上の任意の地点から通信パケットを順次取得し、当該通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納するステップと、
    所定の通信パケットを取得した場合に、当該通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを前記記憶手段から取り出すステップと、
    取得した前記通信パケットまでを含む第1のパケットストリームと前記記憶手段から取り出された前記他の通信パケットの属する第2のパケットストリームとのマッチングを行うステップと
    を含むことを特徴とする情報処理方法。
  11. 前記パケットストリームのマッチングを行うステップは、前記第1、第2のパケットストリームを時間経過における各パケットストリームの通信パケットのシーケンス番号の増分を表したグラフで表し、各パケットストリームのグラフを交差することなく近づけるように移動した場合に当該2つのグラフで囲まれる領域の大きさに基づいて、当該2つのパケットストリームの類似度を計算するステップを含むことを特徴とする請求項10に記載の情報処理方法。
  12. 前記パケットストリームの類似度を計算するステップで、前記2つのグラフで囲まれる領域の時間軸方向の長さに応じて、前記類似度の計算のために用いた情報を棄却することを特徴とする請求項11に記載の情報処理方法。
  13. ネットワークに接続されたコンピュータを制御して、当該ネットワーク上のデータ通信を監視するプログラムであって、
    前記ネットワーク上の任意の地点から通信パケットを順次取得し、当該通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納する処理と、
    所定の通信パケットを取得した場合に、当該通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを前記記憶手段から取り出す処理と、取得した前記通信パケットまでを含む第1のパケットストリームと前記記憶手段から取り出された前記他の通信パケットの属する第2のパケットストリームとの外形的な類似度を計算する処理と、
    前記類似度の計算結果に応じて、外部へ所定の通報を行う処理と
    を前記コンピュータに実行させることを特徴とするプログラム。
  14. 前記プログラムによる前記パケットストリームの類似度を計算する処理では、
    前記第1、第2のパケットストリームを時間経過における各パケットストリームの通信パケットのシーケンス番号の増分を表したグラフで表し、各パケットストリームのグラフを交差することなく近づけるように移動した場合に当該2つのグラフで囲まれる領域の大きさに基づいて、当該2つのパケットストリームの類似度を計算することを特徴とする請求項13に記載のプログラム。
  15. ネットワークに接続されたコンピュータを制御して、当該ネットワーク上を流れるデータ通信を監視するプログラムであって、
    前記ネットワーク上の任意の地点を流れる通信パケットを入力するパケット入力手段と、
    前記パケット入力手段にて入力された通信パケットにてそれぞれ構成される2つのパケットストリームのマッチングを実時間で実行するマッチング手段として前記コンピュータを機能させることを特徴とするプログラム。
  16. ネットワークに接続されたコンピュータを制御して、当該ネットワーク上を流れるデータ通信を監視するプログラムを格納した記録媒体であって、
    前記プログラムは、
    前記ネットワーク上の任意の地点から通信パケットを順次取得し、当該通信パケットが属するパケットストリームに関する情報と共に所定の記憶手段に格納する処理と、
    所定の通信パケットを取得した場合に、当該通信パケットの取得時刻から一定の時間以内に取得された他の通信パケットを前記記憶手段から取り出す処理と、取得した前記通信パケットまでを含む第1のパケットストリームと前記記憶手段から取り出された前記他の通信パケットの属する第2のパケットストリームとの外形的な類似度を計算する処理と、
    前記類似度の計算結果に応じて、外部へ所定の通報を行う処理と
    を前記コンピュータに実行させることを特徴とする記録媒体。
  17. ネットワークに接続されたコンピュータを制御して、当該ネットワーク上を流れるデータ通信を監視するプログラムを格納した記録媒体であって、
    前記プログラムは、
    前記ネットワーク上の任意の地点を流れる通信パケットを入力するパケット入力手段と、
    前記パケット入力手段にて入力された通信パケットにてそれぞれ構成される2つのパケットストリームのマッチングを実時間で実行するマッチング手段として前記コンピュータを機能させることを特徴とする記録媒体。
JP2002287758A 2002-09-30 2002-09-30 通信監視システム及びその方法、情報処理方法並びにプログラム Expired - Fee Related JP3773194B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002287758A JP3773194B2 (ja) 2002-09-30 2002-09-30 通信監視システム及びその方法、情報処理方法並びにプログラム
US10/672,342 US7360246B2 (en) 2002-09-30 2003-09-26 Communications monitoring, processing and intrusion detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002287758A JP3773194B2 (ja) 2002-09-30 2002-09-30 通信監視システム及びその方法、情報処理方法並びにプログラム

Publications (2)

Publication Number Publication Date
JP2004128733A true JP2004128733A (ja) 2004-04-22
JP3773194B2 JP3773194B2 (ja) 2006-05-10

Family

ID=32280451

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002287758A Expired - Fee Related JP3773194B2 (ja) 2002-09-30 2002-09-30 通信監視システム及びその方法、情報処理方法並びにプログラム

Country Status (2)

Country Link
US (1) US7360246B2 (ja)
JP (1) JP3773194B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009539271A (ja) * 2005-06-06 2009-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・ネットワーク侵入検出のシステムおよび方法
JP2015011695A (ja) * 2013-07-02 2015-01-19 セコム株式会社 通信照合装置及びアプリケーション検査装置
JP2020195141A (ja) * 2015-01-26 2020-12-03 リスタット リミテッド セキュア動的通信ネットワーク及びプロトコル
JP2023008135A (ja) * 2021-07-05 2023-01-19 エヌ・ティ・ティ・コムウェア株式会社 端末装置、データ転送システム、データ転送方法、およびプログラム

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539580B2 (en) * 2002-06-19 2013-09-17 International Business Machines Corporation Method, system and program product for detecting intrusion of a wireless network
US20050157662A1 (en) * 2004-01-20 2005-07-21 Justin Bingham Systems and methods for detecting a compromised network
US8125898B1 (en) * 2004-03-19 2012-02-28 Verizon Corporate Services Group Inc. Method and system for detecting attack path connections in a computer network using state-space correlation
US7779463B2 (en) * 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
US9154511B1 (en) 2004-07-13 2015-10-06 Dell Software Inc. Time zero detection of infectious messages
US7343624B1 (en) 2004-07-13 2008-03-11 Sonicwall, Inc. Managing infectious messages as identified by an attachment
US7729256B2 (en) * 2004-07-14 2010-06-01 Opnet Technologies, Inc. Correlating packets
US7600257B2 (en) 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
US7835361B1 (en) 2004-10-13 2010-11-16 Sonicwall, Inc. Method and apparatus for identifying data patterns in a file
US7765183B2 (en) * 2005-04-23 2010-07-27 Cisco Technology, Inc Hierarchical tree of deterministic finite automata
US8863286B1 (en) 2007-06-05 2014-10-14 Sonicwall, Inc. Notification for reassembly-free file scanning
US7991723B1 (en) 2007-07-16 2011-08-02 Sonicwall, Inc. Data pattern analysis using optimized deterministic finite automaton
US7903566B2 (en) * 2008-08-20 2011-03-08 The Boeing Company Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8726382B2 (en) * 2008-08-20 2014-05-13 The Boeing Company Methods and systems for automated detection and tracking of network attacks
US7995496B2 (en) * 2008-08-20 2011-08-09 The Boeing Company Methods and systems for internet protocol (IP) traffic conversation detection and storage
US8813220B2 (en) * 2008-08-20 2014-08-19 The Boeing Company Methods and systems for internet protocol (IP) packet header collection and storage
US8762515B2 (en) * 2008-08-20 2014-06-24 The Boeing Company Methods and systems for collection, tracking, and display of near real time multicast data
US8040798B2 (en) * 2008-09-25 2011-10-18 Microsoft Corporation Discovering communication rules in a network trace
US8813221B1 (en) 2008-09-25 2014-08-19 Sonicwall, Inc. Reassembly-free deep packet inspection on multi-core hardware
US9769149B1 (en) 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
US9112949B2 (en) * 2011-06-29 2015-08-18 Broadcom Corporation Mapping an application session to a compatible multiple grants per interval service flow
JP5920169B2 (ja) * 2012-10-22 2016-05-18 富士通株式会社 不正コネクション検出方法、ネットワーク監視装置及びプログラム
EP4155998B1 (en) * 2017-08-18 2023-10-11 Nippon Telegraph And Telephone Corporation Intrusion prevention device, intrusion prevention method, and program
JP2019165301A (ja) * 2018-03-19 2019-09-26 富士通株式会社 パケット検出プログラム、パケット検出装置及びパケット検出方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
EP1338130B1 (en) * 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US7124438B2 (en) * 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009539271A (ja) * 2005-06-06 2009-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・ネットワーク侵入検出のシステムおよび方法
JP4742144B2 (ja) * 2005-06-06 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
JP2015011695A (ja) * 2013-07-02 2015-01-19 セコム株式会社 通信照合装置及びアプリケーション検査装置
JP2020195141A (ja) * 2015-01-26 2020-12-03 リスタット リミテッド セキュア動的通信ネットワーク及びプロトコル
JP7042875B2 (ja) 2015-01-26 2022-03-28 リスタット リミテッド セキュア動的通信ネットワーク及びプロトコル
JP2023008135A (ja) * 2021-07-05 2023-01-19 エヌ・ティ・ティ・コムウェア株式会社 端末装置、データ転送システム、データ転送方法、およびプログラム
JP7225322B2 (ja) 2021-07-05 2023-02-20 エヌ・ティ・ティ・コムウェア株式会社 端末装置、データ転送システム、データ転送方法、およびプログラム

Also Published As

Publication number Publication date
JP3773194B2 (ja) 2006-05-10
US20040123155A1 (en) 2004-06-24
US7360246B2 (en) 2008-04-15

Similar Documents

Publication Publication Date Title
JP3773194B2 (ja) 通信監視システム及びその方法、情報処理方法並びにプログラム
US11349854B1 (en) Efficient threat context-aware packet filtering for network protection
US8248946B2 (en) Providing a high-speed defense against distributed denial of service (DDoS) attacks
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
CN114221804B (zh) 一种基于特征识别和交互验证的蜜罐识别方法
Siregar et al. Intrusion prevention system against denial of service attacks using genetic algorithm
JP2004356915A (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Wibowo et al. Smart Home Security Analysis Using Arduino Based Virtual Private Network
JP2005130121A (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
JP2003258910A (ja) 不正アクセス経路解析システム及び不正アクセス経路解析方法
Rostami et al. Botnet evolution: Network traffic indicators
Satyanarayana et al. Detection and mitigation of DDOS based attacks using machine learning algorithm
Xiong An SDN-based IPS development framework in cloud networking environment
Kim et al. Ddos analysis using correlation coefficient based on kolmogorov complexity
Nayak et al. Ways for protection against various attacks in the Internet
EP4080822B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
Wei On a network forensics model for information security
Shetty Detection of DDoS attack in SDN network using Entropy in Pox controller
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Jia et al. Research and Design of NIDS Based on Linux Firewall
WO2022225951A1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
JP2007512745A (ja) 合法的な使用を損なわない、幾つかのネットワークプロトコルの不正使用の検出並びに防止方法
Bivens II Distributed framework for deploying machine learning in network management and security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050125

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050823

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060124

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20060126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060210

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100224

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110224

Year of fee payment: 5

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120224

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130224

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130224

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees