JP2009238065A - 通信検知装置、通信検知方法、及び通信検知プログラム - Google Patents

通信検知装置、通信検知方法、及び通信検知プログラム Download PDF

Info

Publication number
JP2009238065A
JP2009238065A JP2008085353A JP2008085353A JP2009238065A JP 2009238065 A JP2009238065 A JP 2009238065A JP 2008085353 A JP2008085353 A JP 2008085353A JP 2008085353 A JP2008085353 A JP 2008085353A JP 2009238065 A JP2009238065 A JP 2009238065A
Authority
JP
Japan
Prior art keywords
communication
log
response
failure table
peer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008085353A
Other languages
English (en)
Other versions
JP5003556B2 (ja
Inventor
Hitoshi Mitomo
仁史 三友
Masahiro Komura
昌弘 小村
Satoru Torii
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2008085353A priority Critical patent/JP5003556B2/ja
Priority to US12/412,309 priority patent/US8266250B2/en
Priority to US12/454,049 priority patent/US20090247136A1/en
Publication of JP2009238065A publication Critical patent/JP2009238065A/ja
Application granted granted Critical
Publication of JP5003556B2 publication Critical patent/JP5003556B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/50Centralised arrangements for answering calls; Centralised arrangements for recording messages for absent or busy subscribers ; Centralised arrangements for recording messages
    • H04M3/51Centralised call answering arrangements requiring operator intervention, e.g. call or contact centers for telemarketing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/131Protocols for games, networked simulations or virtual reality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/0024Services and arrangements where telephone services are combined with data services
    • H04M7/0027Collaboration services where a computer is used for data transfer and the telephone is used for telephonic communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2207/00Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
    • H04M2207/18Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/50Centralised arrangements for answering calls; Centralised arrangements for recording messages for absent or busy subscribers ; Centralised arrangements for recording messages
    • H04M3/51Centralised call answering arrangements requiring operator intervention, e.g. call or contact centers for telemarketing
    • H04M3/523Centralised call answering arrangements requiring operator intervention, e.g. call or contact centers for telemarketing with call distribution or queueing

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】ピアツーピア通信の特徴に基づいて通信を検出する。
【解決手段】通信ログ記憶手段1aには、装置間でやり取りされた通信データに関する情報が記録される。ログ分割手段1bは、通信ログ記憶手段1aに格納される通信ログを、通信ログに記録される発信元と宛先に基づいて対象の装置ごとに分割する。分割ログ解析手段1cは、対象装置ごとに分割された通信ログを解析し、対象装置への接続要求に対する応答有無を検出し、応答成否テーブルを作成する。判定手段1eは、応答成否テーブルに基づいて装置から応答が得られなかった期間が判定条件を満たしたとき、ピアツーピア通信が行われたと判定する。
【選択図】図1

Description

本発明は通信検知装置、通信検知方法、及び通信検知プログラムに関し、特にネットワークに接続する装置間でやり取りされている通信を検知する通信検知装置、通信検知方法、及び通信検知プログラムに関する。
コンピュータネットワークの一形態であるピアツーピア(Peer to Peer)通信は、定まったクライアント、サーバを持たず、各ホスト間で直接データをやり取りする通信方式である。サーバへの負荷が集中しやすいクライアント・サーバ通信に比べて負荷が分散されやすいというメリットがある。このため、ネットワークを介したファイルの交換や流通に広く用いられている。ピアツーピア通信自体は優れた技術であるが、いわゆるファイル交換ソフトに利用され、著作権侵害をはじめとする違法なコンテンツ流通の温床となっていると指摘されている。また、ピアツーピア通信を通じてウィルス感染が広がったり、情報暴露型のウィルスによる機密情報や個人情報が漏洩するなどの問題も続発し、その対策が急務となっている。
従来、ネットワーク上においてピアツーピア通信を監視・制御する仕組みがいくつかある。これらは、既知のピアツーピア通信に特有のパターン(シグニチャ)を用いて検出を行う。しかし、こういったパターンはスキルを有する専門家が解析を行って一つ一つ作成しなければならず、日々新たに登場するピアツーピア通信のソフトウェアに対応できていないのが現状である。
また、一般に、コンピュータウィルスの検出についても、ウィルスに感染したファイルなどの特徴を定義したパターンを用いた検出方法が用いられている。しかし、日々新たなウィルスが登場しており、パターン作成とのいたちごっことなっている。そこで、パターンを用いない検出方法として、通信の接続に失敗した回数がある閾値を超えたホストを検出し、検出されたホストがワームに感染していると判定するワーム検出方法がある(例えば、特許文献1参照)。
米国特許第7,159,149号明細書
上記のように、ピアツーピア通信の検出に用いる新規パターンの作成が新たなソフトウェアの登場に追いつかない現状を踏まえ、パターンに依らずにピアツーピア通信を検出する技術が求められている。しかし、パターンに依らずにピアツーピア通信を検出することは容易ではないという問題点がある。
例えば、ピアツーピア通信の実体は、HTTP(HyperText Transfer Protocol)などのプロトコルを用いた通信であることが多い。これは、HTTPなどの許可されたプロトコル以外の通信は、ネットワーク上のファイアウォールなどによってフィルタリングされてしまい、宛先に届かないためである。ここで、HTTPは、通常のウェブブラウザがウェブサイトのアクセスに用いるプロトコルそのものである。すなわち、プロトコルレベルでは、通常のウェブサイトへのアクセスと、ピアツーピア通信との見分けがつかない。このため、単純にネットワーク上で通信を監視していても、大量のウェブサイトへのアクセスの中からピアツーピア通信を検出するのは困難である。
また、ワームのように短時間に送信を大量に行って多くの接続エラーを発生させるものは、接続エラーの回数が閾値を超えたことにより、検出することができる。しかしながら、ピアツーピア通信は、ホスト間における情報交換であり、動作が静かに進行するため、同じような手法で検出することは難しい。
本発明はこのような点に鑑みてなされたものであり、個々のソフトウェアに依存するパターンなどの情報ではなく、ピアツーピア通信の特徴に基づいて通信を検出する通信検知装置、通信検知方法、及び通信検知プログラムを提供することを目的とする。
上記課題を解決するために、ログ分割手段と、分割ログ解析手段と、判定手段と、を有し、ネットワークに接続する装置間で行われている通信を検知する通信検知装置が提供される。ログ分割手段は、装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から通信ログを読み出す。そして、通信ログに記録されている通信データの発信元と宛先とに基づいて通信ログを対象の装置ごとに分割する。分割ログ解析手段は、ログ分割手段によって装置ごとに分割された通信ログを解析する。装置に対する接続要求が行われた通信データを抽出するとともに、接続要求に対する装置からの応答を検索する。そして、応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する。判定手段は、応答成否テーブル記憶手段に格納される応答成否テーブルに基づいて、装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する。
このような通信検知装置によれば、ログ分割手段は、通信ログ記憶手段に格納される通信ログを、対象の装置ごとに分割する。分割ログ解析手段は、対象装置ごとに分割された通信ログを解析し、対象装置への接続要求に対する応答有無に応じて応答成否テーブルを作成する。判定手段は、応答成否テーブルに基づいて装置から応答が得られなかった期間が判定条件を満たしたとき、ピアツーピア通信が行われたと判定する。
また、上記課題を解決するために、上記通信検知装置と同様の処理手順が実行される通信検知方法、及びコンピュータを上記通信検知装置と同様に機能させる通信検知プログラム、が提供される。
開示の通信検知装置、通信検知方法、及び通信検知プログラムによれば、通信ログに記録された対象装置への接続要求に対する応答の成否に基づいてピアツーピア通信を検出する。これにより、個々のソフトウェアに依存するパターンなどの情報を用いることなく、ピアツーピア通信を検出することが可能となる。
以下、本発明の実施の形態を図面を参照して説明する。図1は、実施の形態に適用される発明の概念図である。
通信検知装置1は、通信データのやり取りが記録された通信ログを格納する通信ログ記憶手段1a、通信ログを装置ごとに分割するログ分割手段1b、分割された通信ログを解析して装置ごとに応答成否テーブルを作成する分割ログ解析手段1c、応答成否テーブルが格納される応答成否テーブル記憶手段1d、及びピアツーピア通信が行われたかどうかを判定する判定手段1eを有する。なお、このような各処理手段は、コンピュータが通知検知プログラムを実行することにより、その処理機能が実現される。
通信ログ記憶手段1aには、ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される。通信ログには、通信データの発信元の通信アドレス(以下、発信元アドレスとする)、宛先の通信アドレス(以下、宛先アドレスとする)、通信データの検出時刻、通信データの種別、などの情報が記録されている。
ログ分割手段1bは、通信ログ記憶手段1aから所定の期間の通信ログを読み出す。そして、読み出した通信ログに記録されている通信データの発信元アドレスと宛先アドレスとに基づいて通信ログを対象の装置ごとに分割する。例えば、外部ネットワークに接続する外部装置を対象装置として、または、内部ネットワークに接続する内部装置を対象装置として、装置ごとに通信ログを分割する。内部ネットワークは、社内ネットワークなどであり、通常、社内ネットワークに接続する内部装置の通信アドレスまたは通信アドレスの一部は既知である。これに対し、外部ネットワークに接続する外部装置の通信アドレスは未知である。例えば、発信元アドレスが内部装置の通信アドレスであり、宛先が未知であれば、内部装置から外部装置へ送られた通信データだとわかる。こうして、内部装置の通信アドレスが発信元または宛先に記録される通信ログを、当該内部装置に関する分割ログとする。同様に他の内部装置について通信ログを分割し、内部装置ごとに通信ログを分割する。対象装置が外部装置の場合についても同様の手順で、外部装置の通信アドレス(通信アドレスが未知のもの)ごとに通信ログを分割することができる。
分割ログ解析手段1cは、装置ごとに分割された通信ログを解析する。この装置に対する接続要求が行われた通信データを抽出するとともに、この接続要求に対する装置からの応答有無を検出して応答成否テーブルを作成する。応答成否テーブルは、接続要求の発信元アドレス、宛先アドレス、発信時刻、及び応答成否などが登録される。応答成否には、接続要求に対する応答が検出されたときは「成功」、検出されなかったときは「失敗」が設定される。応答成否テーブルは、応答成否テーブル記憶手段1dに格納される。
応答成否テーブル記憶手段1dには、対象装置ごとに生成された応答成否テーブルが格納される。
判定手段1eは、応答成否テーブル記憶手段1dに格納される装置ごとの応答成否テーブルを読み出し、装置から応答が得られなかった、すなわち、応答成否が「失敗」の期間を把握する。応答なしの期間の他、必要であれば、応答なしの時間帯などが把握される。把握された期間と、予め決められた判定条件を照合し、判定条件が満たされたときは、ピアツーピア通信が行われたと判定する。判定条件には、ピアツーピア通信の通信上の振る舞いの特徴に基づいて、ピアツーピア通信と推定できる条件が設定される。例えば、「指定時間以上連続して応答がないとき」、「指定時間帯に一定時間以上連続して応答がないとき」などが設定される。
このような構成の通信検知装置1の動作について説明する前に、ピアツーピア通信の特徴、すなわち、通信上の振る舞いの特徴について説明する。なお、通信上の振る舞いは、通信ログに記録される通信データのやり取りに基づいて把握する。図2は、ホストの状態に応じた通信上の振る舞いを示した図である。[A]は、ホストの電源がオンの場合、[B]は、ホストの電源がオフの場合のやり取りを示している。なお、図の例は、TCP(Transmission Control Protocol)で接続を確立するためのスリーウェイハンドシェイクが行われるときのやり取りを示している。このやり取りは、通信ログに記録される。
[A]ホストの電源がオンの場合について、接続要求以降の通信ログに記録される通信データの一例を示した図である。TCPのスリーウェイハンドシェイク手順(以下、TCPハンドシェイクとする)では、まず接続する側(クライアント2)から、接続される側(ホスト3)に対し、接続要求を意味するSYNパケット(4a)が送られる。ホスト3は、接続許可を意味するACKとパケット接続要求のSYNパケットとを組み合わせたSYN ACK(以下、SYN/ACKとする)パケット(4b)をクライアント2に送る。最後に、クライアント2からACKパケット(4c)を送り、接続が確立される。ホスト3の電源がオンの場合は、一連のTCPハンドシェイクが行われ、やり取りされたパケットが通信ログに記録される。
[B]ホストの電源がオフの場合について、接続要求以降の通信ログに記録される通信データの一例を示した図である。[A]と同様に、まず、クライアント2からホスト3に対し、SYNパケット(4d)が送られる。しかし、ホスト3は電源がオフしているため、応答を返すことができない。クライアント2は、SYN/ACKパケットが得られないので接続をあきらめる。このように、ホスト3の電源がオフの場合は、通信ログにSYNパケットは記録されるが、その後にSYN/ACKパケットは記録されない。
以上より、クライアント2からホスト3に送信されるSYNパケットに対し、ホスト3が電源オンであればSYN/ACKパケットが応答として返されるが、ホスト3が電源オフであれば応答は返されない。このように、接続先のホスト3が稼働しているか否かにより通信上の振る舞いが異なってくる。
ここで、ホスト3が、HTTPプロトコルを用いて何らかのサービスを提供するウェブ(Web)サーバであるとする。例えば、インターネットショッピング、インターネットバンキング、各種情報の提供などの様々なサービスを提供するサーバあり、通常、インターネット上のユーザに広くサービスを提供することを目的としている。このため、ウェブサーバ、言い換えればウェブサーバとして機能するホストは、一時的なメンテナンス時を除いては、常時稼働している可能性が非常に高い。これに対し、ピアツーピアを用いたソフトウェアは、私的な目的で使用されるケースがほとんどである。検出目標とするファイル交換ソフトなどで用いられるピアツーピアソフトウェアは、通常、個人所有のパーソナルコンピュータなどにインストールされる。個人所有のパーソナルコンピュータは、ウェブサーバのように常時稼働しておく必要はなく、個人が利用するときのみ電源がオンされる可能性が高い。したがって、接続要求先が通常のウェブサイトであれば常時稼働しているが、ピアツーピア通信による接続要求先はそうではないという差異がある。
以上より、通信上の振る舞いには、次の性質が経験則的に成り立つと想定できる。
(1)SYNパケットに対して常にSYN/ACKを返すホスト3は、通常のウェブサーバである。
(2)SYNパケットに対してSYN/ACKを返さない場合もあるホスト3は、ピアツーピアソフトウェアがインストールされた個人所有のパーソナルコンピュータである。
通信検知装置1では、通信ログを解析し、接続要求を検出するとともに、接続要求に対する応答が検出されれば、(1)のケースであると判定する。一定期間応答無しなど、応答が検出されない状態が判定条件に合致すれば、(2)のケース、すなわち、ピアツーピア通信が行われたと判定する。
なお、インターネット上でのピアツーピア通信を調査した結果についての報告がコリンズらによってなされている(Michael P. Collins and Michael K. Reiter 著、"Finding Peer-to-Peer File-Sharing Using Coarse Network Behaviors", "Computer Security ? ESORICS2006, Springer Berlin/Heidelberg,2006年9月21日, p.1-17)。この報告では、通常のHTTP通信では、「接続失敗(Failed Connection)」だったものが1パーセントであったが、ピアツーピア通信を用いたソフトウェアとして著名なBitTorrentによる通信では、「接続失敗」だったものが68パーセントもあったことが述べられている。
図1に戻って説明する。通信検知装置1では、このような通信上の特徴に基づいてピアツーピア通信を検出する。ログ分割手段1bでは、通信ログ記憶手段1aに格納される所定期間の通信ログを読み出し、通信ログを対象装置ごとに分割する。対象装置を外部装置とするときは、外部装置の通信アドレスごとに通信ログが分割される。対象装置を内部装置とするときは、内部装置の通信アドレスごとに通信ログが分割される。分割ログ解析手段1cは、対象装置ごとに分割された通信ログを解析し、対象装置に対する接続要求が行われた通信データを抽出し、その応答の通信データを探す。発信元や宛先などの関連情報とともに、応答が検出できたときは「成功」、検出できなかったときは「失敗」を登録した応答成否テーブルを作成し、応答成否テーブル記憶手段1dに格納する。判定手段1eは、応答成否テーブルを参照し、判定条件と照合することによって、対象装置でピアツーピア通信が行われたかどうかを判定する。
以上の処理が実行されることにより、ピアツーピア通信を行っていた装置が把握される。
このように、ピアツーピア通信を行うソフトウェアがインストールされた個人が所有するパーソナルコンピュータなどと、ウェブサーバなどのサーバとは、パーソナルコンピュータの電源がオンされているときは、ネットワーク上の振る舞いに基づいて見分けることは困難である。しかし、個人のパーソナルコンピュータは常時稼働されていないのが普通であるのに対し、サーバは常時稼働されていることが普通である。したがって、応答が得られないホストを特定すれば、ピアツーピアソフトウェアがインストールされたパーソナルコンピュータを特定することができる。さらに、通常のサーバから応答を得られない可能性は非常に低いので、通常のサーバをピアツーピアソフトウェアがインストールされたパーソナルコンピュータであると誤認知する可能性は低い。すなわち、高い精度でピアツーピア通信を検出することができる。
以下、実施の形態を、企業内ネットワークに配備されるログ解析サーバに適用した場合を例に図面を参照して詳細に説明する。ここでは、HTTPリクエストを検出してピアツーピア(以下、P2Pと略記する)通信を検出する場合を例に説明する。また、通信ログを取得するサーバのネットワーク上の位置に応じて、同じ動作について取得される通信ログが異なる。そこで、第1の実施の形態として通信ログがプロキシサーバの外側で収集される場合について説明し、第2の実施の形態として通信ログがプロキシサーバの内側で収集される場合について説明する。
第1の実施の形態として、ログ解析サーバに通信ログを提供するネットワーク監視装置がプロキシサーバの外側(プロキシサーバよりも外部ネットワークにより近い側)に配置されたときについて説明する。図3は、第1の実施の形態のシステム構成例を示した図である。
企業内ネットワーク10は、ファイアウォール12を介して外部のインターネット30に接続されている。企業内ネットワーク10には、ログ解析サーバ(P2P通信検知装置)11、ネットワーク監視装置13、プロキシサーバ14、レイヤ3スイッチ(L3SW)15、及び巻末16a,16b,16c,16dが接続されている。また、外部ネットワークであるインターネット30には、企業内ネットワーク10内の端末16a,16b,16c,16dと必要に応じてやり取りを行うパーソナルコンピュータ(以下、PCとする)41a,41b,41cが接続されている。
ファイアウォール12は、インターネット30と企業内ネットワーク10の境界を流れる通信データを監視し、パケットフィルタリングを行う。ネットワーク監視装置13は、インターネット30を介して行われた通信を監視し、通過した通信データを漏れなく捕捉する。捕捉された通信データに基づいて通信ログを作成し、所定の記憶装置に蓄積する。プロキシサーバ14は、企業内ネットワーク10に出入りするアクセスを一元管理する。例えば、HTTPによる接続を中継する中継サーバである。L3SW15は、レイヤ3(ネットワーク層)のデータでパケットの行き先を判断して転送を行う。サブネットに接続する端末16a,16b,16c,16dに送受信されるパケットを転送する。ログ解析サーバ11は、通信検知装置1として機能し、ネットワーク監視装置13から通信ログを取得し、P2P通信を検知する。なお、ログ解析サーバ11を別途用意せず、ネットワーク監視装置13上に通信検知装置1の機能を組み込むとしてもよい。また、プロキシサーバ14が置かれていない場合は、プロキシサーバ14の外側にネットワーク監視装置13が置かれた第1の実施の形態と同様の状態となる。
ここで、ログ解析サーバのハードウェア構成について説明する。図4は、P2P通信検知装置のハードウェア構成例を示すブロック図である。
ログ解析サーバ11は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションのプログラムが格納される。グラフィック処理装置104には、モニタ108が接続されており、CPU101からの命令に従って画像をモニタ108の画面に表示させる。入力インタフェース105には、キーボード109aやマウス109bが接続されており、キーボード109aやマウス109bから送られてくる信号を、バス107を介してCPU101に送信する。通信インタフェース106は、企業内ネットワーク10に接続されており、企業内ネットワーク10を介して他装置との間でデータ交換を行う。
このようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図4には、ログ解析サーバのハードウェア構成を示したが、他の装置のハードウェア構成も同様である。
次に、ログ解析サーバ11の主要部であるP2P通信検知部のソフトウェア構成について説明する。図5は、P2P通信検知部のソフトウェア構成例を示したブロック図である。
P2P通信検知部11−1は、各種情報を記憶する記憶部110、ログ読込み部120、ログ分割部130、分割ログ解析部140、判定部150、及び出力部160を有し、通信ログ記憶装置170に格納される通信ログを解析してP2P通信を検知する。
記憶部110には、通信ログ111、分割ログ112、応答成否テーブル113、及び判定結果114が格納される。各情報の詳細は後述する。
ログ読込み部120は、通信ログ記憶装置170に格納される所定の期間の通信ログを読み込み、通信ログ111として記憶部110に格納する。ログ分割部130は、ログ分割手段1bとして機能し、通信ログ111を装置(以下、ホストとする)ごとに分割する。ここでは、インターネット30に接続する外部ホストごとに通信ログ111を分割する。外部ホストごとに分割された通信ログは、分割ログ112として記憶部110に格納される。分割ログ解析部140は、分割ログ解析手段1cとして機能し、HTTP要求検索部141と、テーブル作成部142とを有する。HTTP要求検索部141は、分割ログ112を解析し、HTTP要求(リクエスト)を検索する。テーブル作成部142は、外部ホストに向けたHTTPリクエストが検出できたとき、この外部ホストに関する応答成否テーブル113を作成する。応答成否テーブル113は、記憶部110に格納される。判定部150は、判定手段1eとして機能し、応答成否テーブル113に基づいて外部ホストにP2Pソフトウェアがインストールされているかどうかを判定する。判定の結果は、判定結果114として記憶部110に格納される。出力部160は、判定結果114に基づいて、判定結果をユーザに提供する。
以下、各処理手段の動作及び処理によって生成されるデータについて詳細に説明する。
通信ログ記憶装置170には、ネットワーク監視装置13によって取得された、監視地点(プロキシサーバ14とファイアウォール12との間)を通過した全てのIPパケットに関する情報が蓄積されている。ここでは、フィルタリングは行わず、全てのパケットが取得できるとする。なお、通信ログに記録される情報は、パケットのペイロード全てを残す必要はない。どのような情報が通信ログとして残るかは、ネットワーク監視ソフトウェアの種類によって異なるが、少なくとも発信元IPアドレス、宛先IPアドレス、検出の日時、プロトコル、パケット種別などは記録される。また、所定の期間は、例えば、1日、一週間などの期間である。なお、通信ログは、通信ログ記憶装置170にアクセスできるのであれば、直接読み込んでも良い。また、ネットワーク経由でネットワーク監視装置13から取得してもよい。あるいは、記録媒体に記録された通信ログを読み込むとしてもよい。
P2P通信検知処理が開始されると、ログ読込み部120は、通信ログ記憶装置170から所定の期間の通信ログを読み込み、通信ログ111として記憶部110に格納する。
図6は、通信ログの一例を示した図である。
通信ログ1110は、識別番号(No.)1111、時刻1112、発信元IP(アドレス)1113、宛先IP(アドレス)1114、プロトコル1115、及び情報1116の情報項目を有する。識別番号1111は、通信ログの各行を識別する番号である。時刻1112は、パケットが検出された時刻である。発信元IP1113は、検出されたパケットを発信した発信元のIPアドレスである。宛先IP1114は、検出されたパケットを受け取る宛先のIPアドレスである。プロトコル1115は、検出されたパケットのプロトコルである。情報1116は、パケットに関し、発信元ポート、宛先ポート、パケットの種別などの情報である。例えば、>で示された左側は、発信元のポート、右側は宛先のポートになる。また、[ ]内の文字列は、パケットの種別を表す。例えば、No.1の情報「2520 > http [SYN]・・・」には、発信元ポートが2520、宛先ポートがhttpであり、SYNパケットが送られたことが記載されている。
ログ分割部130は、通信ログ111を外部ホストごとに分割する。ここで、企業内ネットワーク10の出入り口における通信ログに記録されるのは、一部の制御通信を除いては、社内の内部ホスト(端末16a,16b,16c,16d)と、社外、すなわち、インターネット30に接続する外部ホスト(PC41a、41b、41c)との間の通信である。すなわち、宛先IPアドレスと発信元IPアドレスのうち、いずれか一方が社内で使用しているIPアドレスであり、他方が社外のIPアドレスである。社内で使用しているIPアドレスの範囲は、当然に掌握されているため、どちらが社外のホストに該当するかは判別することができる。ここでは、簡単のため、1.2.0.0〜1.2.255.255までを社内アドレスとして用いているとする。通信ログ111に記録された発信元IPアドレス及び宛先IPアドレスが、社内アドレスの範囲に含まれているかどうかを照合し、範囲内に含まれていれば、内部ホストのIPアドレスと判定する。また、含まれていなければ、外部ホストのIPアドレスと判定する。たとえば、通信ログ1110のNo.1の発信元IPは1.2.3.4であるので、社内の内部ホストのIPアドレスであると判定される。また、宛先IPは、100.1.2.3であるので、社外の外部ホストのIPアドレスであると判定される。すなわち、No.1の通信は、社内の内部ホストから社外の外部ホストに向けて送られたSYNパケットであることがわかる。なお、図6は、ネットワーク監視ソフトウェアとして著名なWireSharkの例である。もちろん、それ以外のネットワーク監視ソフトウェアによって取得された通信ログを用いるとしてもよい。
こうして検出された外部ホストのIPアドレスごとに通信ログを分割する。
図7は、通信ログの分割処理を説明するための図である。図では、簡単のため、識別番号、発信元IP、及び宛先IPを抜き出している。
通信ログ1110aは、分割前の通信ログである。なお、社内のIPアドレスの範囲は、1.2.0.0〜1.2.255.255とすることは同様である。
ここで、通信ログ1110aのNo.1について着目すると、前述の処理と同様にして、発信元IPは1.2.3.4の内部ホストのIPアドレスであり、宛先IPは100.1.2.3の外部ホストのIPアドレスであることがわかる。ログ分割部130では、外部ホストについて通信ログを分割するので、外部ホスト100.1.2.3に関し、通信ログ1110aから、発信元IP及び宛先IPに100.1.2.3が検出される通信ログを全て抽出し、分割ログ1120aを作成する。図の例では、通信ログ1110aのNo.1,3,4,9が抽出され、外部ホスト100.1.2.3に関する分割ログ1120aが作成されている。同様にして、通信ログ1110aのNo.2,5,8,10が抽出され、外部ホスト110.10.20.30に関する分割ログ1120bが作成されている。また、通信ログ1110aのNo.6,7が抽出され、外部ホスト120.100.10.1に関する分割ログ1120cが作成されている。作成された分割ログ1120a,1120b,1120cは、記憶部110に格納される。
なお、図7では、外部ホストごとに通信ログを分割することを説明するために、発信元IPと宛先IPとを抜き出したが、ログ分割部130によって、図6に示した通信ログ1110の各情報項目を全て転記されるとする。ここで、通信ログ1110の各行は、全て外部ホスト100.1.2.3に関する通信ログである。したがって、以下の説明では、外部ホスト100.1.2.3に関する分割ログとして、図6に示した通信ログ1110の内容が転記されているとする。
続いて、分割ログ解析部140が、分割ログを順に解析する。
まず、HTTP要求検索部141は、分割ログ1120a,1120b,1120cにHTTPリクエストが検出されるか否かを判定する。HTTP/1.1を例にとれば、HTTPリクエストには、「HTTP GET」「HTTP HEAD」「HTTP POST」「HTTP PUT」「HTTP DELETE」「HTTP OPTIONS」「HTTP TRACE」「HTTP CONNECT」「HTTP PATCH」「HTTP LINK」「HTTP UNLINK」がある。HTTP要求検索部141では、分割ログの該当行と、HTTPリクエストの全ての文字列を照合し、リクエストを検索する。通信ログ1110の例では、No.4の「HTTP GET」が検出される。
次に、検索に該当した各行に対し、宛先IPアドレスが外部ホストであるかどうかを判定する。宛先IPアドレスが外部ホストのものであれば、「外部ホストに向けたHTTPリクエスト」であると判定できる。宛先IPアドレスが内部であれば、「内部ホストに向けたHTTPリクエスト」であると判定できる。外部ホストに向けたHTTPリクエストが検出できれば、処理をテーブル作成部142へ引き渡す。図の例では、No.4の「HTTP GET」の宛先IPは、外部ホストのIPアドレスであるので、外部ホストに向けたHTTPリクエストと判定され、テーブル作成部142によって応答成否テーブルが作成される。
テーブル作成部142は、外部ホストに向けたHTTPリクエストが検出できた外部ホストに関する応答成否テーブルを作成する。前述のように、プロキシサーバ14の外側で監視する場合、「応答」は、TCPハンドシェイクのSYNパケットに対してSYN/ACKパケットが返ってきたかによって判定する。まず、分割ログを検索し、SYNパケットを検索する。図6のような通信ログの場合、[SYN]の文字列を検索すればよい。SYNパケットが検索された場合は、検索されたパケットに関する検出時刻、発信元IP、宛先IP、発信元ポート、宛先ポートを抽出し、応答成否テーブル113に登録する。図6の場合、No.1が検出され、時刻「2007−12−21 18:57:02.307646」、発信元IP「1.2.3.4」、宛先IP「100.1.2.3」、発信元ポート「2520」、及び宛先ポート「http」が登録される。
次に、同じ分割ログからSYN/ACKパケットを検出する。検出方法は、SYNパケットと同様である。そして、検出されたパケットと、登録されたSYNパケットに関する情報とを照合し、登録されたSYNパケットに対する応答であるかどうかを判定する。SYNパケットに対応付けられる応答であれば、以下の条件を満たす。
・SYN/ACKパケットの宛先IPアドレス=SYNパケットの発信元IPアドレス
・SYN/ACKパケットの発信元IPアドレス=SYNパケットの宛先IPアドレス
・SYN/ACKパケットの宛先ポート=SYNパケットの発信元ポート
・SYN/ACKパケットの発信元ポート=SYNパケットの宛先ポート
・SYN/ACKパケットの検出時刻がSYNパケットの時刻よりも後であり、該当するSYNパケットが複数ある場合には時刻の差が最も小さい
SYNパケットに対してこれらの条件に該当するSYN/ACKパケットが検出されれば、TCPハンドシェイクの応答があったものと解釈される。よって、応答成否テーブル113における当該SYNパケットのエントリーを「成功」とする。当然であるが、一つのSYN/ACKパケットに対応するのは、一つのSYNパケットである。条件に合致するSYN/ACKパケットが検出できない場合、TCPハンドシェイクの応答がなかったものと解釈される。よって、応答成否テーブル113における当該SYNパケットのエントリーを「失敗」とする。このようにして、応答成否テーブル113の全てのエントリーを「成功」「失敗」のいずれかで埋める。
図6の例では、No.1のSYNパケットに対し、No.2のSYN/ACKパケットが条件を満たす。したがって、No.1のSYNパケットに対応する応答成否テーブル113には、「成功」が設定される。
図8は、応答成否テーブルの一例を示した図である。
応答成否テーブル1130は、識別番号(No.)1131、時刻1132、発信元IP(アドレス)1133、宛先IP(アドレス)1134、発信元ポート1135、宛先ポート1136、及び成否1137の情報項目を有する。
識別番号1131、時刻1132、発信元IP1133、及び宛先IP1134は、図6の同じ名称の情報項目と同じであるので説明は省略する。発信元ポート1135は、このパケットの発信元のポートを示している。宛先ポート1136は、このパケットを受け取る宛先のポートを示している。時刻1132、発信元IP1133、宛先IP1134、発信元ポート1135、及び宛先ポート1136は、HTTP要求検索部141が検出したリクエストパケットの情報が登録される。例えば、応答成否テーブル1130のNo.1には、HTTP要求検索部141によって検出された図6の通信ログ1110のNo.1のSYNパケットに関する情報が転記されている。
成否1137には、当該パケットに対する応答が検出されたか否かを示す情報がテーブル作成部142によって登録される。応答が検出されたときは「成功」が登録され、応答が検出されなかったときは「失敗」が登録される。応答成否テーブル1130のNo.1に登録されるSYNパケットは応答を得られたので、「成功」が登録される。
また、応答成否テーブル1130のNo.2に登録されているのは、図6の通信ログ1110のNo.21のSYNパケットである。ここでは、No.21のSYNパケットに対応するSYN/ACKパケットは検出されなかったとする。この場合、成否1137には、「失敗」が登録される。ここで、成否1137の「・・・」で表記された区間は、前行と同じ値が登録されているとする。
以上の手順が、応答成否テーブル1130に登録されたリクエスト(ここでは、SYNパケット)全てに対して行われる。そして、応答成否テーブル1130の全項目が登録される。
次に、判定部150が、作成された応答成否テーブル113に基づいて、ピアツーピア通信が行われているかどうかを判定する。ここでは、「連続して5時間以上応答がなければ、ピアツーピア通信が行われている」という判定条件を用いて、図8の応答成否テーブル1130を判定するとして説明する。図8では、No.3からNo.100までの各行には「成功」、No.103からNo.311までの各行には「失敗」、No.312以降の行には「成功」が登録されているとする。
判定部150は各行の成否1137の項目が「失敗」となっているところを検索する。識別番号順に検索を行うと、No.2の「失敗」が検出されるが、続くNo.3は「成功」であり、その時間差は判定条件の「連続して5時間以上」を満たしていない。したがって、No.2からはP2P通信が行われているという判定はできない。次に、No.101の「失敗」が検出される。さらに、No.311まで連続して「失敗」が検出される。その時間差は、約11時間30分あり、判定条件の「連続して5時間以上」を満たしている。したがって、この結果に基づいて、P2P通信が行われていたと判定する。こうして、P2P通信が行われていたと判定された外部ホストのIPアドレスを、「P2P通信が疑われるIPアドレス」として判定結果114に登録する。このとき、必要であれば、リクエストを発信した相手のIPアドレスなども判定結果に設定する。また、応答が検出されなかった時間帯など、判定部150が統計処理した情報を登録するとしてもよい。判定の結果が登録された判定結果114は、記憶部110に格納される。
出力部160は、表示装置に表示するなどして、判定結果114を利用者に提供する。
図9は、判定結果表示画面の一例を示した図である。
判定結果表示画面1600は、ログ解析サーバ11のモニタ108、あるいは、企業内ネットワーク10を介して接続する利用者端末のモニタに表示される。判定結果114に格納される「P2P通信が疑われるIPアドレス一覧」を読み出し、そのIPアドレスを一覧表示させる(1601)。また、該当する行の「詳細」1602が操作されたときは、P2P通信を行った相手先のIPアドレスや、応答が検出されなかった時間帯などの統計情報などが表示される。また、このIPアドレスの外部ホストに関する通信ログなどの情報を表示するとしてもよい。
なお、出力部160は、判定結果114を表示装置に表示するばかりでなく、P2P通信が疑われるIPアドレスの一覧情報を、ファイルとして外部に出力するとしてもよい。
次に、第1の実施の形態のログ解析サーバ11において実行される通信検知方法の処理手順について説明する。
図10は、第1の実施の形態の通信検知方法の処理手順を示したフローチャートである。利用者によって処理開始要求が行われて、あるいは、予め決められた所定のタイミングで処理が開始される。
[ステップS01] 通信ログ記憶装置170から所定の期間の通信ログを読込み、通信ログ111として記憶部110に格納する。
[ステップS02] 通信ログ111に格納される通信ログを、外部ホストごとに分割して、分割ログ112を生成する。外部ホストごとに分割された分割ログ112は、記憶部110に格納する。
[ステップS03] 分割ログ112のうち、1つの外部ホストに関する分割ログを読み出し、HTTPリクエストがあるかどうかを検索する。検索対象とするのは、内部ホストから当該外部ホストに向けたHTTPリクエストである。
[ステップS04] ステップS03において、分割ログに対応する外部ホストへのHTTPリクエストが検出されたか否かを判定する。検出されたときは、ステップS05へ処理を進める。検出されないときは、処理をステップS09に進める。
[ステップS05] 当該外部ホストに向けたHTTPリクエストが検出されたときは、この外部ホストに関する応答成否テーブルを作成する。応答成否テーブル作成処理の詳細は後述する。
[ステップS06] ステップS05において作成された応答成否テーブルの内容と、判定条件とを照合する。例えば、判定条件が「連続で5時間以上成功が出現しない時間帯があるか」であれば、成功が検出されない時間帯を応答成否テーブルから算出する。そして、算出された時間と判定条件とを比較する。
[ステップS07] 応答成否テーブルに登録された登録内容が、判定条件に合致しているか否かを判定する。合致していれば、処理をステップS08へ進める。合致していなければ、処理をステップS09へ進める。
[ステップS08] 応答成否テーブルの内容が判定条件に合致していれば、この外部ホストを、P2P通信を行っている疑いがあると判定する。そしてそのIPアドレスを、「P2P通信を行っている疑いのあるIPアドレス一覧」に出力する。
[ステップS09] 全分割ログについて、すなわち、検出された全ての外部ホストについての処理が終了したかどうかを判定する。終了していなければ、ステップS03に戻って、次の分割ログに対する処理を行う。全分割ログについて終了していれば、処理を終了する。
以上の処理手順が実行されることにより、P2P通信の通信上の振る舞いの特徴に基づいて、P2P通信を行った外部ホストが特定される。
次に、第1の実施の形態における応答成否テーブル作成処理ついて説明する。図11は、第1の実施の形態における応答成否テーブル作成処理の手順を示したフローチャートである。
[ステップS51] 分割ログから、TCPハンドシェイクのSYNパケットを検索する。
[ステップS52] ステップS51においてSYNパケットを検出できたかどうかを判定する。検出できたときは、処理をステップS53へ進める。検出できなかったときは、処理を終了する。
[ステップS53] SYNパケットが検出できたときは、このSYNパケットに対応すると見なすことのできる条件に合致するSYN/ACKパケットを検索する。条件は、SYNパケットの発信元IPアドレスと宛先IPアドレス、及び発信元ポートと宛先ポートが入れ替わっており、SYNパケットより後の時刻に検出されたSYN/ACKパケットである。
[ステップS54] 条件に合致するSYN/ACKパケットが検出されたかどうかを判定する。検出されたときは、処理をステップS55に進める。検出されなかったときは、処理をステップS56に進める。
[ステップS55] SYNパケットに対応するSYN/ACKパケットが検出されたときは、このSYNパケットに関する情報項目を応答成否テーブルに登録し、成否の項に「成功」を登録する。応答成否テーブル登録後、処理をステップS51に戻し、次のSYNパケットの検索を行う。
[ステップS56]SYNパケットに対応するSYN/ACKパケットが検出されなかったときは、このSYNパケットに関する情報項目を応答成否テーブルに登録し、成否の項に「失敗」を登録する。応答成否テーブル登録後、処理をステップS51に戻し、次のSYNパケットの検索を行う。
以上の処理手順が実行されることにより、TCPのハンドシェイクが行われたか否かに応じて、応答成否が判定され、応答成否テーブルが作成される。なお、上記のフローチャートの説明では、SYNパケットを検出するごとにSYN/ACKパケットを検出するとしたが、はじめにSYNパケットを全て検出して応答成否テーブルに登録しておき、続いてSYN/ACKパケットを全て抽出し、登録されているSYNパケットに対応付けられるかに応じて、応答の成否を登録する、としてもよい。
次に、第2の実施の形態として、ログ解析サーバに通信ログを提供するネットワーク監視装置がプロキシサーバの内側(外部ネットワークにより遠い側)に配置されたときについて説明する。
図12は、第2の実施の形態のシステム構成例を示した図である。図3に示した第1の実施の形態の構成と同じものには同じ番号を付し、説明は省略する。
第1の実施の形態では、ネットワーク監視装置13がプロキシサーバ14の外側(インターネット30に近い側)であったのに対し、第2の実施の形態では、ネットワーク監視装置23は、プロキシサーバ14の内側、すなわち、インターネット30から遠い側であり、プロキシサーバ14とL3SW15との間に配置される。ログ解析サーバ21は、ネットワーク監視装置23から通信ログを取得し、P2P通信を検知する処理を行う。
なお、第2の実施の形態におけるログ解析サーバ21が有する処理機能の構成要素は、図5に示した第1の実施の形態の構成要素と同様である。そこで、図5に示した構成要素の符号を用いて、第2の実施の形態における機能を説明する。また、ログ解析サーバ21は、図4に示したものと同様のハードウェア構成のコンピュータで実現することができる。
ここで、ネットワーク監視装置23がプロキシサーバ14の内側の配置されたときの通信上の振る舞い(検出される通信データ)について説明する。
図13は、第2の実施の形態におけるホストの電源がオンの場合の通信上の振る舞いを説明する図である。
まず、クライアント2からプロキシサーバ5との間での接続を確立するため、TCPハンドシェイク(601)が開始される。TCPハンドシェイク(601)では、図2で説明したスリーウェイハンドシェイクの処理手順が行われる。プロキシサーバ5は、常に電源オンと見なすことができるので、TCPハンドシェイク(601)は、正常に完了されるとする。TCPハンドシェイク(601)の後、クライアント2からは、ホストへの接続を要求する「HTTP CONNECT req(リクエスト)」に対応するパケット(602)がプロキシサーバ5に対して送信される。これを受け取ったプロキシサーバ5は、クライアント2に対し、TCP ACKパケット(603)をクライアント2に返す。さらに、要求先のホスト3とTCPハンドシェイク(604)を行って、接続を確立する。続いて、HTTP GETリクエストに対応するパケット(605)をホスト3に送信し、TCP ACKパケット(606)と、「HTTP res(レスポンス)200 OK」に対応するパケット(607)を得る。なお、「200 OK」の応答は、RFC2616などによって定められており、「正常応答」を意味する。
プロキシサーバ5からは、ホスト3からの応答「HTTP res 200 OK」に対応するパケット(608)がクライアント2に送られる。
図14は、第2の実施の形態におけるホストの電源がオフの場合の通信上の振る舞いを説明する図である。図13と同じものには同じ番号を付す。
図13と同様に、まず、クライアント2からプロキシサーバ5との間での接続を確立するため、TCPハンドシェイク(601)が開始される。プロキシサーバ5は、常に電源オンと見なすことができるので、TCPハンドシェイク(601)は、正常に完了されるとする。TCPハンドシェイク(601)の後、クライアント2からは、ホストへの接続を要求する「HTTP CONNECT req(リクエスト)」に対応するパケット(602)がプロキシサーバ5に対して送信される。これを受け取ったプロキシサーバ5は、クライアント2に対し、TCP ACKパケット(603)をクライアント2に返す。さらに、要求先のホスト3とTCPハンドシェイクを行うため、ホスト3に対し、TCP SYN パケット(610)を送信する。しかし、ホスト3は、電源オフであるため、応答は返らない。そこで、プロキシサーバ5は、クライアント2に対し、「HTTP res 504 Gateway Timeout」に対応するパケット(611)を送信する。なお、「504 Gateway Timeout」も、RFC2616などによって定められており、「応答が返らずタイムアウトとなったこと」を意味する。なお、以下の説明では、簡単のため、HTTPリクエストに対応するパケットを単にHTTPリクエスト、HTTPレスポンスに対応するパケットを単にHTTPレスポンスと表記する。
以上より、第1の実施の形態では、応答の成否をSYN/ACKパケットの有無で検出していたが、第2の実施の形態では、HTTPレスポンス(res)のステータスコードが、Gateway Timeoutであるか、それ以外であるかによって検出する。すなわち、図5に示した機能処理のうち、テーブル作成部142の処理が異なる。
第2の実施の形態のテーブル作成部142では、分割ログを検索し、HTTP CONNECTリクエストを検出する。図6に示した通信ログの場合、[HTTP CONNECT]を検索すればよい。検索されたパケットから、時刻、発信元IPアドレス、宛先IPアドレスを抽出し、応答成否テーブル113の該当項目に登録する。なお、発信元ポート及び宛先ポートが通信ログに記録されている場合には、これらも登録される。
次に同じ分割ログを検索し、HTTPレスポンスを見つける。図6に支援した通信ログの場合、[HTTP HTTP]を検索すればよい。次に、応答成否テーブル中の各HTTPリクエストの応答に該当するHTTPレスポンスを、検索されたHTTPレスポンスから見つける。HTTPリクエストに対応付けられる応答であれば、以下の条件を満たす。
・HTTPレスポンスの宛先IPアドレス=HTTP CONNECTリクエストの発信元IPアドレス
・HTTPレスポンスの発信元IPアドレス=HTTP CONNECTリクエストの宛先IPアドレス
・HTTPレスポンスの検出時刻がHTTP CONNECTリクエストの時刻よりも後であり、該当するHTTP CONNECTリクエストが複数ある場合には時刻の差が最も小さい
通常、全てのHTTP CONNECTリクエストに対してこれらの条件に該当するHTTPレスポンスが一つずつ見つかる。なお、もしHTTPレスポンスが見つからないHTTP CONNECTリクエストがあった場合、そのときプロキシサーバ14などに異常が発生していたと考えられる。かなり例外的なケースだが、対応としては、(a)そのようなリクエストは無視して処理する、(b)検知処理そのものを無効とする、のいずれかを採ればよい。
最後に、HTTPレスポンスのステータスコードの種類にしたがって、応答成否テーブルを埋める。ここで、HTTPレスポンスのステータスコードは、「HTTP HTTP/1.1(1.1はHTTPのバージョンなので、1.0や0.9などの場合もある)」の直後から抽出できる。ステータスコードは、3桁の数字とその名称(英語)で表記される。代表的なものに、正常応答を示す「200 OK」、宛先が検出されない「404 Not Found」などがある。第2の実施の形態のテーブル作成部142では、各HTTP CONNECTリクエストに対し、対応するHTTPレスポンスが、「504 Gateway timeout」以外であれば、「成功」、「504 Gateway timeout」であれば、「失敗」を該当するエントリーに登録する。このようにして、応答成否テーブル113の全てのエントリーを「成功」「失敗」のいずれかで埋める。
次に、第2の実施の形態のログ解析サーバ21において実行される通信検知方法の処理手順について説明する。
全体の処理手順は、図10に示した第1の実施の形態の処理手順と同じであるが、応答成否テーブル作成処理(ステップS5)が異なる。以下では、ログ解析サーバ21における応答成否テーブル作成処理の処理手順について説明する。
図15は、第2の実施の形態における応答成否テーブル作成処理の手順を示したフローチャートである。
[ステップS501] 分割ログから、HTTP CONNECTリクエストを検索する。
[ステップS502] ステップS501においてHTTP CONNECTリクエストを検出できたかどうかを判定する。検出できたときは、処理をステップS503へ進める。検出できなかったときは、処理を終了する。
[ステップS503] HTTP CONNECTリクエストが検出できたときは、このHTTP CONNECTリクエストに対応すると見なすことのできる条件に合致するHTTPレスポンスを検索する。条件は、HTTP CONNECTリクエストの発信元IPアドレスと宛先IPアドレスが入れ替わっており、HTTP CONNECTリクエストより後の時刻に検出されたHTTPレスポンスである。
[ステップS504] 検出されたHTTPレスポンスからステータスコードを読み出す。
[ステップS505] ステップS504で読み出されたHTTPレスポンスのステータスコードが、「504 Gateway timeout」であるかどうかを判定する。「504 Gateway timeout」でなかったときは、処理をステップS506に進める。「504 Gateway timeout」であったときは、処理をステップS507に進める。
[ステップS506] HTTPレスポンスのステータスコードが「504 Gateway timeout」でなかったときは、このHTTP CONNECTリクエストに関する情報項目を応答成否テーブルに登録し、成否の項に「成功」を登録する。応答成否テーブル登録後、処理をステップS501に戻し、次のHTTP CONNECTリクエストの検索を行う。
[ステップS507] HTTPレスポンスのステータスコードが「504 Gateway timeout」であったときは、このHTTP CONNECTリクエストに関する情報項目を応答成否テーブルに登録し、成否の項に「失敗」を登録する。応答成否テーブル登録後、処理をステップS501に戻し、次のHTTP CONNECTリクエストの検索を行う。
以上の処理手順が実行されることにより、HTTP CONNECTリクエストに対応するHTTPレスポンスのステータスコードに応じて、応答成否が判定され、応答成否テーブルが作成される。
なお、上記のフローチャートの説明では、HTTP CONNECTリクエストを検出するごとにHTTPレスポンスを検出するとしたが、第2の実施の形態のテーブル作成部142の説明でしたような手順で行うとしてもよい。すなわち、はじめにHTTP CONNECTリクエストを全て検出して応答成否テーブルに登録しておく。続いて、HTTPレスポンスを全て抽出し、登録されているHTTP CONNECTリクエストに対応付け、そのステータスコードに応じて応答の成否を登録する、としてもよい。
以上のように、ネットワーク監視装置23がプロキシサーバ14の内側に配置されている場合であっても、プロキシサーバ14から得られるレスポンスのステータスコードに応じて外部ホストが応答を返さなかった期間を特定することができる。
なお、上記の実施の形態では、HTTP通信を利用したP2P通信の検知方法について説明したが、これに限定されることはない。他のインターネットプロトコル、例えば、SMTP(Simple mail Transfer Protocol),FTP(File Transfer Protocol)においても適用可能である。すなわち、ホストの電源がオンのときの通信上の振る舞いと、ホストが電源オフのときの通信上の振る舞いとに基づいて、ホストが電源をオフしていた期間を特定する。これにより、ホストが常時オンしているサーバであるか、個人所有のパーソナルコンピュータなどであるか、を特定し、P2P通信を検知することができる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、通信検知装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割するログ分割手段と、
前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する分割ログ解析手段と、
前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する判定手段と、
を有することを特徴とする通信検知装置。
(付記2) 前記ログ分割手段は、外部ネットワークに接続する通信アドレスが未知の外部装置を前記対象の装置として、内部ネットワークに接続する通信アドレスまたは通信アドレスの一部が既知の内部装置の通信アドレスと、前記通信ログに記録される前記発信元の通信アドレス及び前記宛先の通信アドレスとを照合し、前記発信元の通信アドレスまたは前記宛先の通信アドレスが前記内部装置の通信アドレスと一致しない前記外部装置の通信アドレスごとに前記通信ログを分割する、
ことを特徴とする付記1記載の通信検知装置。
(付記3) 前記ログ分割手段は、内部ネットワークに接続する通信アドレスまたは通信アドレスの一部が既知の内部装置を前記対象の装置として、前記内部装置の通信アドレスと、前記通信ログに記録される前記発信元の通信アドレス及び前記宛先の通信アドレスとを照合し、前記発信元の通信アドレスまたは前記宛先の通信アドレスが一致する前記内部装置の通信アドレスごとに前記通信ログを分割する、
ことを特徴とする付記1記載の通信検知装置。
(付記4) 前記判定手段は、電源がオンのときに接続要求を受けたときのホストの通信上の振る舞いに応じて取得される前記通信ログと、電源がオフのときに接続要求を受けたときの前記ホストの通信情報の振る舞いに応じて取得される前記通信ログとの差異に基づいて、前記ホストが常時稼働しているサーバであるか、使用時以外は電源がオフされている個人所有のコンピュータであるかを特定して、前記ピアツーピア通信が行われたか否かを判定する、
ことを特徴とする付記1記載の通信検知装置。
(付記5) 前記通信ログは、外部ネットワークと、内部ネットワークとの境界に設置されるファイアウォールを介して前記内部ネットワークに出入りされる前記通信データを直接監視できる地点に配置されるネットワーク監視装置によって取得され、
前記分割ログ解析手段は、分割された前記通信ログから前記宛先の通信アドレスが前記対象の装置のものである前記接続要求を検索し、検索された前記接続要求に対応付けられる応答が前記通信ログから検出されたときは、前記応答成否テーブルに成功を登録し、該応答が前記通信ログから検出できなかったときは前記応答成否テーブルに失敗を登録する、
ことを特徴とする付記4記載の通信検知装置。
(付記6) 前記分割ログ解析手段は、前記通信ログからTCPプロトコルに基づくTCP接続要求パケットを検索して検出できたときは、前記TCP接続要求パケットに対応するTCP接続確認応答を検索し、前記TCP接続確認応答の有無に基づいて前記応答成否テーブルの登録を行う、
ことを特徴とする付記5記載の通信検知装置。
(付記7) 前記通信ログは、外部ネットワークと、内部ネットワークとの境界に設置されるファイアウォールと、前記通信データの中継を行う中継サーバを介して接続し、前記外部ネットワークに接続する装置からの応答を前記中継サーバからのステータス情報として取得するネットワーク監視装置によって取得され、
前記分割ログ解析手段は、分割された前記通信ログから前記宛先の通信アドレスが前記対象の装置のものである前記接続要求を検索し、検索された前記接続要求に対応付けられるステータス情報を前記中継サーバから取得し、前記ステータス情報に応じて前記応答成否テーブルに成功または失敗を登録する、
ことを特徴とする付記4記載の通信検知装置。
(付記8) 前記分割ログ解析手段は、前記通信ログからHTTPプロトコルに基づくHTTPリクエストに対応するHTTPレスポンスを検索し、前記HTTPレスポンスのステータスコードに基づいて前記応答成否テーブルの登録を行う、
ことを特徴とする付記7記載の通信検知装置。
(付記9) ログ分割手段が、ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割する手順と、
分割ログ解析手段が、前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する手順と、
判定手段が、前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する手順と、
を有することを特徴とする通信検知方法。
(付記10) コンピュータを、
ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割するログ分割手段、
前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する分割ログ解析手段、
前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する判定手段、
として機能させることを特徴とする通信検知プログラム。
実施の形態に適用される発明の概念図である。 ホストの状態に応じた通信上の振る舞いを示した図である。 第1の実施の形態のシステム構成例を示した図である。 ログ解析サーバのハードウェア構成例を示すブロック図である。 P2P通信検知部のソフトウェア構成例を示したブロック図である。 通信ログの一例を示した図である。 通信ログの分割処理を説明するための図である。 応答成否テーブルの一例を示した図である。 判定結果表示画面の一例を示した図である。 第1の実施の形態の通信検知方法の処理手順を示したフローチャートである。 第1の実施の形態における応答成否テーブル作成処理の手順を示したフローチャートである。 第2の実施の形態のシステム構成例を示した図である。 第2の実施の形態におけるホストの電源がオンの場合の通信上の振る舞いを説明する図である。 第2の実施の形態におけるホストの電源がオフの場合の通信上の振る舞いを説明する図である。 第2の実施の形態における応答成否テーブル作成処理の手順を示したフローチャートである。
符号の説明
1 通信検知装置
1a 通信ログ記憶手段
1b ログ分割手段
1c 分割ログ解析手段
1d 応答成否テーブル記憶手段
1e 判定手段

Claims (6)

  1. ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割するログ分割手段と、
    前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する分割ログ解析手段と、
    前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する判定手段と、
    を有することを特徴とする通信検知装置。
  2. 前記判定手段は、電源がオンのときに接続要求を受けたときのホストの通信上の振る舞いに応じて取得される前記通信ログと、電源がオフのときに接続要求を受けたときの前記ホストの通信情報の振る舞いに応じて取得される前記通信ログとの差異に基づいて、前記ホストが常時稼働しているサーバであるか、使用時以外は電源がオフされている個人所有のコンピュータであるかを特定して、前記ピアツーピア通信が行われたか否かを判定する、
    ことを特徴とする請求項1記載の通信検知装置。
  3. 前記通信ログは、外部ネットワークと、内部ネットワークとの境界に設置されるファイアウォールを介して前記内部ネットワークに出入りされる前記通信データを直接監視できる地点に配置されるネットワーク監視装置によって取得され、
    前記分割ログ解析手段は、分割された前記通信ログから前記宛先の通信アドレスが前記対象の装置のものである前記接続要求を検索し、検索された前記接続要求に対応付けられる応答が前記通信ログから検出されたときは、前記応答成否テーブルに成功を登録し、該応答が前記通信ログから検出できなかったときは前記応答成否テーブルに失敗を登録する、
    ことを特徴とする請求項2記載の通信検知装置。
  4. 前記通信ログは、外部ネットワークと、内部ネットワークとの境界に設置されるファイアウォールと、前記通信データの中継を行う中継サーバを介して接続し、前記外部ネットワークに接続する装置からの応答を前記中継サーバからのステータス情報として取得するネットワーク監視装置によって取得され、
    前記分割ログ解析手段は、分割された前記通信ログから前記宛先の通信アドレスが前記対象の装置のものである前記接続要求を検索し、検索された前記接続要求に対応付けられるステータス情報を前記中継サーバから取得し、前記ステータス情報に応じて前記応答成否テーブルに成功または失敗を登録する、
    ことを特徴とする請求項2記載の通信検知装置。
  5. ログ分割手段が、ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割する手順と、
    分割ログ解析手段が、前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する手順と、
    判定手段が、前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する手順と、
    を有することを特徴とする通信検知方法。
  6. コンピュータを、
    ネットワークに接続する装置間でやり取りされた通信データに関する情報を記録した通信ログが格納される通信ログ記憶手段から前記通信ログを読み出し、前記通信ログに記録されている前記通信データの発信元と宛先とに基づいて前記通信ログを対象の装置ごとに分割するログ分割手段、
    前記ログ分割手段によって前記装置ごとに分割された前記通信ログを解析し、前記装置に対する接続要求が行われた前記通信データを抽出するとともに、前記接続要求に対する前記装置からの応答が検出されたか否かに応じて応答成否テーブルを作成して応答成否テーブル記憶手段に格納する分割ログ解析手段、
    前記応答成否テーブル記憶手段に格納される前記応答成否テーブルに基づいて、前記装置から応答が得られなかった期間が予め決められた判定条件を満たしたときは、ピアツーピア通信が行われたと判定する判定手段、
    として機能させることを特徴とする通信検知プログラム。
JP2008085353A 2008-03-28 2008-03-28 通信検知装置、通信検知方法、及び通信検知プログラム Active JP5003556B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2008085353A JP5003556B2 (ja) 2008-03-28 2008-03-28 通信検知装置、通信検知方法、及び通信検知プログラム
US12/412,309 US8266250B2 (en) 2008-03-28 2009-03-26 Communication detection device, method, and program for peer-to-peer communication
US12/454,049 US20090247136A1 (en) 2008-03-28 2009-05-11 Assisted application operation service for mobile devices using screen sharing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008085353A JP5003556B2 (ja) 2008-03-28 2008-03-28 通信検知装置、通信検知方法、及び通信検知プログラム

Publications (2)

Publication Number Publication Date
JP2009238065A true JP2009238065A (ja) 2009-10-15
JP5003556B2 JP5003556B2 (ja) 2012-08-15

Family

ID=41117985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008085353A Active JP5003556B2 (ja) 2008-03-28 2008-03-28 通信検知装置、通信検知方法、及び通信検知プログラム

Country Status (2)

Country Link
US (2) US8266250B2 (ja)
JP (1) JP5003556B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012157044A1 (ja) * 2011-05-13 2012-11-22 株式会社日立製作所 業務フロー管理方法、装置及びプログラム
JP5565511B1 (ja) * 2013-08-09 2014-08-06 富士ゼロックス株式会社 情報処理システム及び情報処理プログラム
KR101439130B1 (ko) * 2013-03-05 2014-09-15 유넷시스템주식회사 장애 구간 탐지 시스템
JP2016146114A (ja) * 2015-02-09 2016-08-12 株式会社日立システムズ ブラックリストの管理方法
JP2019164419A (ja) * 2018-03-19 2019-09-26 株式会社リコー 情報処理装置、情報処理システム及び情報処理方法

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8959624B2 (en) * 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
US10875182B2 (en) 2008-03-20 2020-12-29 Teladoc Health, Inc. Remote presence system mounted to operating room hardware
US7975047B2 (en) * 2008-12-19 2011-07-05 Oracle International Corporation Reliable processing of HTTP requests
JP5316259B2 (ja) * 2009-06-25 2013-10-16 富士通株式会社 データ処理装置、データ処理プログラムおよびデータ処理方法
CN101997673B (zh) * 2009-08-17 2012-11-21 成都市华为赛门铁克科技有限公司 网络代理实现方法及装置
US8384755B2 (en) 2009-08-26 2013-02-26 Intouch Technologies, Inc. Portable remote presence robot
US9535651B2 (en) 2009-12-18 2017-01-03 Oracle International Corporation Co-browsing systems and methods
US9038187B2 (en) * 2010-01-26 2015-05-19 Bank Of America Corporation Insider threat correlation tool
US8782209B2 (en) 2010-01-26 2014-07-15 Bank Of America Corporation Insider threat correlation tool
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US8670017B2 (en) 2010-03-04 2014-03-11 Intouch Technologies, Inc. Remote presence system including a cart that supports a robot face and an overhead camera
US8544100B2 (en) 2010-04-16 2013-09-24 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8782794B2 (en) 2010-04-16 2014-07-15 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
JP5998383B2 (ja) * 2010-07-28 2016-09-28 株式会社リコー 伝送管理システム、伝送システム、伝送管理方法、及びプログラム
US8910049B2 (en) 2010-08-20 2014-12-09 Hewlett-Packard Development Company, L.P. User-initiated mode for remote support
US9110581B2 (en) * 2010-10-05 2015-08-18 Citrix Systems, Inc. Touch support for remoted applications
US8433808B1 (en) * 2011-02-01 2013-04-30 Juniper Networks, Inc. Learning values of transmission control protocol (TCP) options
JP5683998B2 (ja) * 2011-02-28 2015-03-11 オリンパス株式会社 サーバシステム及びクライアント装置の制御方法
US8836751B2 (en) * 2011-11-08 2014-09-16 Intouch Technologies, Inc. Tele-presence system with a user interface that displays different communication links
US8965349B2 (en) * 2012-01-26 2015-02-24 Apple Inc. Interactive application sharing
US9874990B2 (en) 2012-02-10 2018-01-23 Oracle International Corporation System and method of concurrent unobstructed co-browsing and chat messaging
US9414184B2 (en) 2012-02-15 2016-08-09 Maxlinear Inc. Method and system for broadband near-field communication (BNC) utilizing full spectrum capture (FSC) supporting bridging across wall
JP5777553B2 (ja) * 2012-03-29 2015-09-09 Kddi株式会社 セッションの同期を制御するWebサーバ、システム及び方法
JP5620434B2 (ja) * 2012-05-02 2014-11-05 株式会社オプティム オペレータシステム、オペレータサーバ、リモートサポート方法、オペレータサーバ用プログラム、サポート対象電化製品、及び、サポート作業画面表示装置
US9436428B2 (en) 2012-11-08 2016-09-06 Ebay Inc. Methods, apparatus, and system for mobile piggybacking
US20140327599A1 (en) * 2013-05-03 2014-11-06 Salman Khezae ABU AWAD Method and system of sharing screen data with a remote station
JP6366239B2 (ja) * 2013-08-14 2018-08-01 キヤノン株式会社 画像形成装置及びその制御方法、並びにプログラム
US20150244600A1 (en) * 2014-02-26 2015-08-27 Microsoft Corporation Structured logging schema of usage data
CN103973785B (zh) * 2014-05-07 2018-06-19 Tcl集团股份有限公司 一种基于p2p的日志读取系统及其方法
US9584551B2 (en) * 2014-10-03 2017-02-28 Oracle International Corporation SIP user release
US9967399B2 (en) * 2014-12-19 2018-05-08 Oracle International Corporation Co-browsing preview of queued customer contacts
US11516338B2 (en) 2015-07-14 2022-11-29 Ujet, Inc. Communication channel enhancement
US10671337B2 (en) 2015-09-25 2020-06-02 Oracle International Corporation Automatic sizing of agent's screen for html co-browsing applications
US9741257B1 (en) * 2016-03-30 2017-08-22 Avaya Inc. System and method for coordinated learning and teaching using a videoconference system
EP3491883B1 (en) * 2016-07-26 2021-10-20 Ujet, Inc. Communication channel enhancement
US10984411B1 (en) 2016-12-16 2021-04-20 Wells Fargo Bank, N.A. Sending secure proxy elements with mobile wallets
US10038788B1 (en) 2017-05-09 2018-07-31 Oracle International Corporation Self-learning adaptive routing system
CN107426828B (zh) * 2017-07-03 2021-01-08 Oppo广东移动通信有限公司 数据传输方法、装置及移动终端
US10771579B2 (en) * 2017-09-25 2020-09-08 Verizon Patent And Licensing, Inc. Redirection of data flows from an end device
US10298611B1 (en) * 2018-12-10 2019-05-21 Securitymetrics, Inc. Network vulnerability assessment
CN115865734A (zh) * 2022-12-02 2023-03-28 上海浦东发展银行股份有限公司 一种故障检测方法、数据生成方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1098468A (ja) * 1996-09-19 1998-04-14 Hitachi Ltd ネットワーク検証システム
JP2003134194A (ja) * 2001-10-22 2003-05-09 Fujitsu Ltd 通信端末装置および通信情報提示方法
WO2007069576A1 (ja) * 2005-12-16 2007-06-21 International Business Machines Corporation ネットワークファイルシステム
JP2008052340A (ja) * 2006-08-22 2008-03-06 Nomura Research Institute Ltd オーバーレイネットワークでピア・ツー・ピアのファイル送受信を行うコンピュータプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594030B2 (en) * 2000-11-22 2009-09-22 Microsoft Corporation Locator and tracking service for peer to peer resources
US6973482B2 (en) * 2001-10-01 2005-12-06 Microsoft Corporation Remote assistance
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7194690B2 (en) * 2003-04-17 2007-03-20 Lenovo (Singapore) Pte. Ltd. Remote support for computer or other electronic device
US20090149158A1 (en) * 2005-07-29 2009-06-11 Goldfarb David E Synchronized voice and data system
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1098468A (ja) * 1996-09-19 1998-04-14 Hitachi Ltd ネットワーク検証システム
JP2003134194A (ja) * 2001-10-22 2003-05-09 Fujitsu Ltd 通信端末装置および通信情報提示方法
WO2007069576A1 (ja) * 2005-12-16 2007-06-21 International Business Machines Corporation ネットワークファイルシステム
JP2008052340A (ja) * 2006-08-22 2008-03-06 Nomura Research Institute Ltd オーバーレイネットワークでピア・ツー・ピアのファイル送受信を行うコンピュータプログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012157044A1 (ja) * 2011-05-13 2012-11-22 株式会社日立製作所 業務フロー管理方法、装置及びプログラム
KR101439130B1 (ko) * 2013-03-05 2014-09-15 유넷시스템주식회사 장애 구간 탐지 시스템
JP5565511B1 (ja) * 2013-08-09 2014-08-06 富士ゼロックス株式会社 情報処理システム及び情報処理プログラム
JP2015035125A (ja) * 2013-08-09 2015-02-19 富士ゼロックス株式会社 情報処理システム及び情報処理プログラム
US9473564B2 (en) 2013-08-09 2016-10-18 Fuji Xerox Co., Ltd. Information processing system, information processing method, and non-transitory computer readable medium for specifying installed software application
JP2016146114A (ja) * 2015-02-09 2016-08-12 株式会社日立システムズ ブラックリストの管理方法
JP2019164419A (ja) * 2018-03-19 2019-09-26 株式会社リコー 情報処理装置、情報処理システム及び情報処理方法
JP7087503B2 (ja) 2018-03-19 2022-06-21 株式会社リコー 情報処理装置、情報処理システム及び情報処理方法

Also Published As

Publication number Publication date
JP5003556B2 (ja) 2012-08-15
US20090247136A1 (en) 2009-10-01
US20090249131A1 (en) 2009-10-01
US8266250B2 (en) 2012-09-11

Similar Documents

Publication Publication Date Title
JP5003556B2 (ja) 通信検知装置、通信検知方法、及び通信検知プログラム
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP5917573B2 (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
WO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
US10581880B2 (en) System and method for generating rules for attack detection feedback system
RU2677361C1 (ru) Способ и система децентрализованной идентификации вредоносных программ
US10091225B2 (en) Network monitoring method and network monitoring device
WO2015001970A1 (ja) 不正アクセス検知システム及び不正アクセス検知方法
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN103428195A (zh) 一种未知病毒检测方法
JP6783261B2 (ja) 脅威情報抽出装置及び脅威情報抽出システム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
KR102125966B1 (ko) 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템
JP2005323322A (ja) ログ情報の蓄積および解析システム
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
WO2015097889A1 (ja) 情報処理装置及び情報処理方法及びプログラム
Calzarossa et al. Analysis of header usage patterns of HTTP request messages
Karapoola et al. Towards identifying early indicators of a malware infection
Victor Technical Report: PC Browser and Android Applications Fingerprinting
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP6055726B2 (ja) ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム
US20230318956A1 (en) Testing device, testing method, and testing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120424

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120507

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150601

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5003556

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150