JP2010103673A - 情報処理装置およびプログラム - Google Patents

情報処理装置およびプログラム Download PDF

Info

Publication number
JP2010103673A
JP2010103673A JP2008271830A JP2008271830A JP2010103673A JP 2010103673 A JP2010103673 A JP 2010103673A JP 2008271830 A JP2008271830 A JP 2008271830A JP 2008271830 A JP2008271830 A JP 2008271830A JP 2010103673 A JP2010103673 A JP 2010103673A
Authority
JP
Japan
Prior art keywords
address
communication
address value
state
counting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008271830A
Other languages
English (en)
Other versions
JP5135163B2 (ja
Inventor
Takamasa Isohara
隆将 磯原
Keisuke Takemori
敬祐 竹森
Masaru Miyake
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2008271830A priority Critical patent/JP5135163B2/ja
Publication of JP2010103673A publication Critical patent/JP2010103673A/ja
Application granted granted Critical
Publication of JP5135163B2 publication Critical patent/JP5135163B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク上で実行された通信の所定の状態に係る通信結果を抽出する処理において、所定の状態の出現数を効率的に管理することができる情報処理装置およびプログラムを提供する。
【解決手段】通信情報記憶部2は、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する。カウンタ32は、通信情報記憶部32によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする。アドレス選択部33は、各アドレス値に対応した出現数に基づいてアドレス値を選択する。通信情報抽出部34は、通信情報記憶部2によって記憶されている通信結果から、アドレス選択部33によって選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する。
【選択図】図2

Description

本発明は、ネットワーク上で実行された通信の結果に関する情報を処理する情報処理装置に関する。また、本発明は、本情報処理装置としてコンピュータを機能させるためのプログラムにも関する。
近年、コンピュータウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるコンピュータウィルスによる被害が拡大している。ボットは、ハーダと呼ばれる外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。
ボットに感染したホスト(以下、ボット感染ホストと記載する)は、指令サーバの命令に応じて、攻撃対象のホストへのDDoS(Distributed Denial of Service)攻撃や、不特定多数の相手へのスパムメールの送信などを行う。現状、これらの攻撃に対しては、ファイアウォールや、侵入検知システム、迷惑メール検知フィルタなど、受信側における対策が主として用いられている。しかし、ボットによる被害を根本的に解決するためには、ネットワークを流れるトラヒックを収集して、そのログから、ボット感染ホストを特定し、その活動を止めることで、ボットの機能を無力化することが有効である。
ボット感染ホストの検知手法として、ボット感染ホストに特有のネットワーク通信の挙動を解析する手法が提案されている(例えば非特許文献1,2参照)。非特許文献1は、ボットがDNSサーバに指令サーバのFQDN(Fully Qualified Domain Name)のクエリを送信する挙動を観測することでボットを検出する方法を提案している。非特許文献2は、ボット感染ホストがIRC(Internet Relay Chat)を利用してIRCサーバに接続する際の動作の特徴を、IRC通信で用いられるポート番号に着目して調べる方法を提案している。
朝長秀誠、田中英彦、"Botnetの命令サーバドメインネームを用いたBot感染検出方法"、情処、CSEC-35、2007 釘崎裕司、笠原義晃、堀良彰、櫻井幸一、"トラフィック解析に基づくボット検知手法"、情処、CSEC-37、2007
しかし、上記のようなネットワーク型の監視を行う場合、ゲートウェイで収集するトラヒックのログには、多量のSource/Destination IPアドレスのペアが含まれるため、個別のIPアドレス毎にコネクション状態を監視するためのメモリ量や処理負荷が膨大となる。例えば、IPアドレスを32ビットで表現するIPv4プロトコルでは、約43億個のIPアドレスが存在するため、コネクション状態を監視するためのメモリをIPアドレス毎に設けた場合、最大で約43億個のメモリが必要となり、各メモリにアクセスするための処理負荷も膨大となる。
本発明は、上述した課題に鑑みてなされたものであって、ネットワーク上で実行された通信の所定の状態に係る通信結果を抽出する処理において、所定の状態の出現数を効率的に管理することができる情報処理装置およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントするカウント手段と、各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、前記記憶手段によって記憶されている通信結果から、前記選択手段によって選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
例えばIPv4プロトコルでは、IPアドレス毎に所定の状態数をカウントすると、送信元のIPアドレスだけでも最大で約43億個分のカウント値の管理が必要となる。これに対して、本発明のようにIPアドレスを構成する各ブロックのアドレス値毎に所定の状態の出現数をカウントすると、IPv4プロトコルでは、送信元および送信先のIPアドレスのうち一方だけなら256アドレス×4ブロック分のカウント値の管理だけで済み、送信元および送信先のIPアドレスの両方でも256アドレス×8ブロック分のカウント値の管理だけで済む。したがって、所定の状態の出現数を効率的に管理することができる。
また、ボットなどのコンピュータウィルスに感染した装置が異常な通信を行う場合、その装置の通信量が増大するので、コンピュータウィルスに係る所定の状態が特定のIPアドレスに集中して発生する。このような状況において、本発明のようにIPアドレスを構成する各ブロックのアドレス値毎に所定の状態の出現数をカウントすると、いずれかのブロックで所定の状態の出現数が特定のアドレス値に偏ることになる。したがって、所定の状態の出現数が高いアドレス値を有するIPアドレスを含む通信結果を抽出することによって、ボットなどのコンピュータウィルスに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
本発明において、所定の状態とは、例えば送受信関係の確立に失敗したという状態である。また、所定の状態とは、例えば送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態であってもよい。また、所定の状態とは、例えば送信先のPortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態であってもよい。
また、所定の状態とは、例えばDNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態であってもよい。また、所定の状態とは、例えばDNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態であってもよい。また、所定の状態とは、例えばHTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態であってもよい。また、所定の状態とは、例えばユーザ名が不明であることを知らせるSMTP Responseがあったという状態であってもよい。
上記の所定の状態は、ボットに感染した装置が通信を行うことにより発生する、ボットに特有の状態である。したがって、上記の所定の状態の出現数をカウントすることによって、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
また、本発明は、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第1のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする第1のカウント手段と、前記第1のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第1の選択手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第2のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る前記所定の状態の出現数をカウントする第2のカウント手段と、前記第2のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第2の選択手段と、前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択された前記第1のブロックのアドレス値と、前記第2の選択手段によって選択された前記第2のブロックのアドレス値とを有するIPアドレスを含む通信結果を抽出する第2の抽出手段と、を備えたことを特徴とする情報処理装置である。
また、本発明は、ネットワーク上で実行された通信の送信元または送信先のIPアドレスを含む通信結果を記憶する記憶手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第1のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする第1のカウント手段と、前記第1のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第1の選択手段と、前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択された前記第1のブロックのアドレス値を有するIPアドレスを含む通信結果を抽出する第1の抽出手段と、前記第1の抽出手段によって抽出された通信結果に基づいて、IPアドレスを構成する第2のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る前記所定の状態の出現数をカウントする第2のカウント手段と、前記第2のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第2の選択手段と、前記第1の抽出手段によって抽出された通信結果から、前記第2の選択手段によって選択された前記第2のブロックのアドレス値を有するIPアドレスを含む通信結果を抽出する第2の抽出手段と、を備えたことを特徴とする情報処理装置である。
また、本発明は、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る、ボットに感染した装置が行う通信に見られる第1の状態の出現数をカウントする第1のカウント手段と、各アドレス値に対応した前記第1の状態の出現数に基づいてアドレス値を選択する第1の選択手段と、前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信先とする通信に係る、ボットの指令サーバが行う通信に見られる第2の状態の出現数をカウントする第2のカウント手段と、各アドレス値に対応した前記第2の状態の出現数に基づいてアドレス値を選択する第2の選択手段と、前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択されたアドレス値を有する送信元のIPアドレスと、前記第2の選択手段によって選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
ボットに感染した装置が行う通信に見られる第1の状態の出現数に基づいて選択されたアドレス値を有する送信元のIPアドレスは、ボットに感染した装置のIPアドレスである可能性が高い。一方、ボットの指令サーバに見られる第2の状態の出現数に基づいて選択されたアドレス値を有する送信先のIPアドレスは、指令サーバのIPアドレスである可能性が高い。したがって、本発明によれば、ボットに感染した装置が指令サーバと行った通信に係る通信結果をより高精度に抽出することができる。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
本発明によれば、所定の状態の出現数を効率的に管理することができる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による通信解析システムの構成を示している。通信監視部1は、監視対象のネットワーク上で実行される通信を監視する機能を有しており、ネットワーク上を伝送するパケットを、ゲートウェイ4を介して取得し、取得したパケットから通信情報を抽出する。通信情報記憶部2は、通信監視部1によって抽出された通信情報を記憶する。通信解析部3は、通信情報記憶部2に記録されている通信情報に基づいて通信内容を解析する。解析結果は、ネットワーク管理者5に通知されると共に、ゲートウェイ4におけるパケットフィルタリングの設定等に利用される。
通信情報は、通信の実行に係る送信側と受信側の関係を把握するのに必要な情報である。また、通信情報は、ネットワーク上で実行された通信の特徴を示す情報でもあり、この通信情報に基づいて異常な通信を検知することが可能である。本実施形態の通信情報は、時刻(Start Time,End Time)、通信プロトコル(ICMP,TCP,UDP等)、IPアドレス(Source IP,Destination IP)、Port番号(Source Port,Destination Port)、各種通信内容、および通信毎に付与される通信IDで構成されている。トラヒックログのフォーマットであるpcapフォーマットのデータを通信情報として利用してもよい。
IPアドレスに関して、本実施形態ではIPv4アドレスを用いて説明を行うが、IPv6アドレスについても同様である。以下では、IPv4アドレスをA.B.C.Dとしたときに、アドレス値Aを有するブロックを第1オクテット(最上位オクテット)、アドレス値Bを有するブロックを第2オクテット、アドレス値Cを有するブロックを第3オクテット、アドレス値Dを有するブロックを第4オクテット(最下位オクテット)と表現する。各オクテットは0〜255のアドレス値を有する。
図2は通信解析部3の構成を示している。解析制御部31は、通信情報記憶部2に記録されている所定時間内の通信結果に関する通信情報に基づいて通信内容を解析し、後述する所定の状態が発生したか否かを判定する。また、解析制御部31は、この判定結果に基づいてカウンタ32の動作を制御する。カウンタ32は、オクテット毎(第1オクテット〜第4オクテット)かつアドレス値毎(0〜255)に用意されたカウンタの集合である。カウンタ32を構成する各カウンタは、対応するオクテットのアドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする。
IPv4プロトコルでは、IPアドレス毎に所定の状態数をカウントすると、送信元のIPアドレスだけでも最大で約43億個分のカウント値の管理が必要となる。これに対して、本実施形態のようにIPアドレスを構成するオクテット毎かつアドレス値毎に所定の状態の出現数をカウントすると、Source IP(送信元IP)およびDestination IP(送信先IP)のうち一方だけなら256アドレス×4オクテット分のカウント値の管理だけで済み、Source IPおよびDestination IPの両方でも256アドレス×8オクテット分のカウント値の管理だけで済む。したがって、所定の状態の出現数を効率的に管理することができる。
アドレス選択部33は、カウンタ32がカウントした所定の状態の出現数に基づいてオクテット毎にアドレス値を選択する。通信情報抽出部34は、通信情報記憶部2に記憶されている通信情報から、選択されたアドレス値を有する送信元または送信先のIPアドレスを含む通信情報を抽出する。
表示制御部35は、通信情報抽出部34によって抽出された通信情報を表示するためのグラフィック画像データを生成し、表示部36へ出力する。表示部36は、表示制御部35から出力されたグラフィック画像データに基づいて、通信情報を視覚化する。
次に、本実施形態で検出対象とする7種類の状態を説明する。これら7種類の状態は、いずれもボットに感染した装置が行う通信に見られる状態である。
第1の状態は、送受信関係の確立に失敗したという状態である。ボットに感染した装置は、感染を拡大するために、多数のDestination IPを探索するが、送受信関係の確立に失敗する場合が多い。このため、ボットに感染した装置が行う通信では、送受信関係の確立の成功率が低いという特徴的なパターンが現れる。
ボットに感染した装置による送受信関係の確立が失敗する理由として、感染先のホストの探索を目的に、ネットマスク長が16ビットもしくは24ビットの規模のネットワーク中の全ホストを対象として探索を行うことが挙げられる。この場合、大量のホストによる単一のホストに対する1ないし低頻度の確立失敗が観測される。また、他の理由として、既に機能を停止しているなどの理由から通信不能となっているホストとの通信を繰り返し行うことが挙げられる。この場合、単一のホストに対する高頻度の確立失敗が観測される。
第1の状態は、ICMP Echoパケットに対するICMP Replyパケットの有無を監視することによって検出可能である。ICMP EchoパケットとICMP Replyパケットは対になっており、正常時にはICMP Echoパケットに対してICMP Replyパケットが返信されるが、ボットに感染した装置ではICMP Replyパケットの返信率が低い。したがって、ICMP EchoパケットとICMP Replyパケットの数をカウントすることによって第1の状態の出現数をカウントすることが可能となる。
第1の状態は、TCP-SYNパケットに対するTCP-SYN-ACKパケットの有無を監視することによっても検出可能である。TCP-SYNパケットとTCP-SYN-ACKパケットは対になっており、正常時にはTCP-SYNパケットに対してTCP-SYN-ACKパケットが返信されるが、ボットに感染した装置ではTCP-SYN-ACKパケットの返信率が低い。したがって、TCP-SYNパケットとTCP-SYN-ACKパケットの数をカウントすることによって第1の状態の出現数をカウントすることが可能となる。
第1の状態は、接続の拒否を示すICMP Unreachableパケットの有無を監視することによっても検出可能である。正常時にはICMP Unreachableパケットが返信されることは少ないが、ボットに感染した装置ではICMP Unreachableパケットの返信率が高い。したがって、ICMP Unreachableパケットの数をカウントすることによって第1の状態の出現数をカウントすることが可能となる。
第2の状態は、Destination Port(送信先Port)としてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態である。ボットに感染した装置が他の装置に対して感染を拡大するとき、上記のPortに向かうパケットが観測されるという特徴的なパターンが現れる。したがって、上記のPortがDestination Portに使用されているパケットの数をカウントすることによって、第2の状態の出現数をカウントすることが可能となる。
第3の状態は、Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態である。ボットに感染した装置が指令サーバと通信を行うとき、上記のPortに向かうパケットが観測されるという特徴的なパターンが現れる。したがって、上記のPortがDestination Portに使用されているパケットの数をカウントすることによって、第3の状態の出現数をカウントすることが可能となる。TCPの1433,1434のPortは第2の状態として検出することにしているので、第3の状態ではこれらのPortを検出対象から除いている。
第4の状態は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態である。指令サーバのIPアドレスが頻繁に変化するため、ボットに感染した装置は、指令サーバのドメイン名の名前解決をDNSサーバに要求し、ドメイン名に対応したIPアドレスをDNSサーバから取得する。
しかし、異常な文字列から構成されるFQDN(Fully Qualified Domain Name)の名前解決が要求されて名前解決に失敗することにより、検索エラーが頻発するという特徴的なパターンが現れる。このとき、DNSサーバから返信されるDNS Recursive ResponseパケットにはErrorが記録される。また、名前解決を要求されたドメイン名が既に存在しなくなっており、IPアドレスが見つからないことが頻発するという特徴的なパターンも現れる。このとき、DNSサーバから返信されるDNS Recursive ResponseパケットにはNo such Nameが記録される。したがって、Errorが記録されたDNS Recursive ResponseパケットまたはNo such Nameが記録されたDNS Recursive Responseパケット(もしくはその両方)の数をカウントすることによって、第4の状態の出現数をカウントすることが可能となる。
第5の状態は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態である。指令サーバは、グローバルIPアドレスを持ち、インターネット上に広く分布して存在する。このため、指令サーバは様々な国に分布して存在することになり、DNSサーバに名前解決を要求する対象のドメイン名として、様々な国名コードを含むドメイン名が現れるという特徴的なパターンが現れる。したがって、DNSサーバから返信されるDNS Recursive Responseパケットとして、.jpドメイン以外のドメインを含むドメイン名が記録されたパケットの数をカウントすることによって、第5の状態の出現数をカウントすることが可能となる。
第6の状態は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態である。ボットに感染した装置が指令サーバから新たなコードを取得するときには、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得するという特徴的なパターンが現れる。通常、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得することは稀である。したがって、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットの数をカウントすることによって、第6の状態の出現数をカウントすることが可能となる。
第7の状態は、ユーザ名が不明であることを知らせるSMTP Responseパケットがあったという状態である。ボットに感染した装置がスパムメールを送信する場合に、スパムメールを受け取るユーザ名をランダムに指定することが多い。このため、ユーザ名が不明であることを示すUser Unknownが記録された多くのSMTP Responseパケットがメールサーバから返信されるという特徴的なパターンが現れる。したがって、User Unknownが記録されたSMTP Responseパケットの数をカウントすることによって、第7の状態の出現数をカウントすることが可能となる。
次に、本実施形態における通信解析処理の内容を説明する。以下では、3種類の通信解析処理(第1の通信解析処理、第2の通信解析処理、第3の通信解析処理)の内容を説明するが、これら3種類の通信解析処理のうちのどれを使用してもよい。まず、第1の通信解析処理を説明する。図3は第1の通信解析処理の手順を示している。
通信情報記憶部2に記録されている通信情報のうち、所定の単位時間内に行われた通信に係る通信情報が処理対象となる。解析制御部31は処理対象の通信情報を通信情報記憶部2から読み出し、各通信情報に基づいて通信内容を解析する。解析制御部31は、通信内容の解析により、検出対象としている所定の状態(上記第1〜第7の状態のいずれか)が発生したか否かを判定し、判定結果に基づいてカウンタ32を制御する。カウンタ32は、解析制御部31による制御に従って、所定の状態の出現数をオクテット毎かつアドレス値毎にカウントする(ステップS100)。
以下、ステップS100の処理の具体例を説明する。前述したように、カウンタ32は、オクテット毎かつアドレス値毎に用意されたカウンタの集合である。図4〜図6は、カウンタ32が有する各カウンタによるカウントの一例を示している。以下では、第1の状態(送受信関係の確立に失敗したという状態)を検出対象とする。
図4〜図6では、192.168.0.20というIPアドレスに注目している。軸40aは第1オクテットに対応し、軸40bは第2オクテットに対応し、軸40cは第3オクテットに対応し、軸40dは第4オクテットに対応している。各軸の上端は、8bitで表されるアドレス値の000に対応し、各軸の下端はアドレス値の255に対応している。カウンタ32aは第1オクテットのアドレス値192に対応している。カウンタ32bは第2オクテットのアドレス値168に対応している。カウンタ32cは第3オクテットのアドレス値0に対応している。カウンタ32dは第4オクテットのアドレス値20に対応している。
図4はカウンタ32a,32b,32c,32dの初期状態を示している。解析制御部31は、ICMP Echoパケットに対応する通信情報を検出した場合、通信情報に含まれるSource IP に対応するカウンタ32のカウント値を1増加させる。例えば、192.168.0.20をSource IPとするICMP Echoパケットに対応する通信情報が検出された場合、カウンタ32a,32b,32c,32dのカウント値がそれぞれ1増加する。図5はこのときのカウンタ32a,32b,32c,32dの状態を示している。
また、解析制御部31は、ICMP Replyパケットに対応する通信情報を検出した場合、通信情報に含まれるDestination IP に対応するカウンタ32のカウント値を1減少させる。例えば、192.168.0.20をDestination IPとするICMP Replyパケットに対応する通信情報が検出された場合、カウンタ32a,32b,32c,32dのカウント値がそれぞれ1減少する。図5に示した状態からカウンタ32a,32b,32c,32dのカウント値が1減少した場合、カウンタ32a,32b,32c,32dの状態は図4に示す状態に戻る。
正常な通信では、ICMP Echoパケットに対してICMP Replyパケットが返信されるため、カウント値は増加しない。しかし、ボットに感染した装置が通信を行うと、ICMP Replyパケットの返信率が低下するため、カウント値が増加するようになる。図6は、ICMP Replyパケットの返信率の低下により、カウント値が増加した状態を示している。
上記では、各アドレス値に対して1個のカウンタを用意しているが、各アドレス値に対して、ICMP Echoパケットの数をカウントするためのカウンタ(第1のカウンタ)と、ICMP Replyパケットの数をカウントするためのカウンタ(第2のカウンタ)とを用意してもよい。この場合、第1の状態の出現数は、第1のカウンタがカウントした値から第2のカウンタがカウントした値を減算した数となる。これに対して、上記のように各アドレス値に対して1個のカウンタのみで第1の状態の出現数をカウントすることによって、カウンタ32の回路規模やカウント値の管理負荷を抑えることができる。
TCP-SYNパケットに対するTCP-SYN-ACKパケットの有無を監視することによって第1の状態を検出する場合には次のようにすればよい。すなわち、TCP-SYNパケットに対応する通信情報の検出に伴って、通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させ、TCP-SYN-ACKパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1減少させればよい。
ICMP Unreachableパケットの有無を監視することによって第1の状態を検出する場合には、ICMP Unreachableパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第2の状態(Destination PortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態)を検出する場合には、これら特定のDestination Portを含む通信情報の検出に伴って、その通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させればよい。
第3の状態(Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態)を検出する場合には、1024以上(1433,1434を除く)のDestination Portを含む通信情報の検出に伴って、その通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させればよい。
第4の状態(DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態)を検出する場合には、Errorが記録されたDNS Recursive ResponseパケットまたはNo such Nameが記録されたDNS Recursive Responseパケット(もしくはその両方)に対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第5の状態(DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態)を検出する場合には、.jpドメイン以外のドメインを含むドメイン名が記録されたDNS Recursive Responseパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第6の状態(HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態)を検出する場合には、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットに対応する通信情報の検出に伴って、その通信情報に含まれるSource IP またはDestination IP に対応するカウンタのカウント値を1増加させればよい。
第7の状態(ユーザ名が不明であることを知らせるSMTP Responseパケットがあったという状態)を検出する場合には、User Unknownが記録されたSMTP Responseパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
以下、第1の通信解析処理の説明に戻る。ステップS100に続いて、解析制御部31は、オクテットの番号を示す変数N(1≦N≦4)に1を設定し、アドレス選択部33に変数Nを通知する(ステップS101)。続いて、アドレス選択部33は、第Nオクテットを処理対象のオクテットとして選択し、第Nオクテットの各アドレス値に対応した所定の状態の出現数(カウンタ32がカウントした値)を比較し、出現数が上位M位(M≧1)までのアドレス値を選択する(ステップS102)。
ボットに感染した装置が異常な通信を行うと、本実施形態で注目している所定の状態が特定のIPアドレスに偏って出現する。したがって、所定の状態の出現数が多いアドレス値を選択することによって、ボットに感染した装置のIPアドレスをより高精度に特定することができる。
続いて、解析制御部31は変数Nが4であるか否かを判定する(ステップS103)。変数Nが4となっていれば、第1オクテットから第4オクテットまでの全てのオクテットについてステップS102の処理が行われたことになる。変数Nが4でない場合(ステップS103でNOの場合)には、解析制御部31は変数Nの値を1増加させ(ステップS104)、アドレス選択部33に再度ステップS102の処理を実行させる。
また、変数Nが4であった場合(ステップS103でYESの場合)、解析制御部31は通信情報抽出部34に通信情報の抽出処理を実行させる。通信情報抽出部34は、通信情報記憶部2に記憶されている通信情報から、ステップS102で選択された各オクテットのアドレス値を有するSource IPまたはDestination IPを含む通信情報を抽出する(ステップS105)。
図7は、第1オクテットから第4オクテットまでの全てのオクテットについてステップS102の処理を行ったときに選択された各オクテットのアドレス値の一例を示している。各オクテットについてM個のアドレス値が選択されている。これらのアドレス値を組み合わせたIPアドレスのうちのいずれかが、ボットに感染した装置のIPアドレスとなる。したがって、ボットに感染した装置のIPアドレスの候補数はMとなる。
ステップS106に続いて、通信情報抽出部34は、抽出した通信情報を表示制御部35へ出力する。表示制御部35は、通信情報抽出部34によって抽出された通信情報を表示するためのグラフィック画像データを生成し、表示部36へ出力する。表示部36は、表示制御部35から出力されたグラフィック画像データに基づいて、通信情報を視覚化する(ステップS106)。このとき、例えば抽出された通信情報に含まれるSource IP とDestination IPの組合せが表示される。このような視覚化によって、ボットに感染した装置による通信の状況を把握することができる。
上記のように、ステップS102で選択したアドレス値の組合せからなるIPアドレスを含む通信情報を抽出することによって、ボットに感染した装置が行った通信に係る通信情報をより高精度に抽出することができる。また、ネットワーク管理者などは、ステップS106で表示された情報に基づいて、ボットに感染した装置を特定するための検査を行うが、検査すべきIPアドレスの候補数は上記のようにMとなる。このため、監視対象のネットワーク内の全てのIPアドレスよりも少ないIPアドレスを対象に検査を行うことができ、検査効率を向上することができる。
次に、第2の通信解析処理を説明する。図8は第2の通信解析処理の手順を示している。通信情報記憶部2に記録されている通信情報のうち、所定の単位時間内に行われた通信に係る通信情報が最初の処理対象となる。まず、解析制御部31は、オクテットの番号を示す変数N(1≦N≦4)に4を設定し、アドレス選択部33に変数Nを通知する(ステップS200)。
続いて、解析制御部31は処理対象の通信情報に基づいて通信内容を解析する。解析制御部31は、通信内容の解析により、検出対象としている所定の状態(上記第1〜第7の状態のいずれか)が発生したか否かを判定し、判定結果に基づいてカウンタ32を制御する。カウンタ32は、解析制御部31による制御に従って、所定の状態の出現数を第Nオクテットのアドレス値毎にカウントする(ステップS201)。カウントの方法は、前述した方法と同様である。
続いて、アドレス選択部33は、第Nオクテットの各アドレス値に対応した所定の状態の出現数(カウンタ32がカウントした値)を比較し、出現数が上位M位(M≧1)までのアドレス値を選択する(ステップS202)。続いて、解析制御部31は通信情報抽出部34に通信情報の抽出処理を実行させる。通信情報抽出部34は、処理対象の通信情報から、ステップS102で選択された第Nオクテットのアドレス値を有するSource IPまたはDestination IPを含む通信情報を抽出する(ステップS203)。
続いて、解析制御部31は変数Nが1であるか否かを判定する(ステップS204)。変数Nが1となっていれば、第1オクテットから第4オクテットまでの全てのオクテットについてステップS201〜S203の処理が行われたことになる。変数Nが1でない場合(ステップS204でNOの場合)には、解析制御部31は変数Nの値を1減少させ(ステップS205)、アドレス選択部33に再度ステップS201の処理を実行させる。
第4オクテットについての処理に関しては、通信情報記憶部2に記録されている通信情報のうち、所定の単位時間内に行われた通信に係る通信情報が処理対象の通信情報となる。また、第3オクテットについての処理に関しては、第4オクテットについての処理中にステップS203で抽出された通信情報が処理対象の通信情報となる。同様に、第2オクテット、第1オクテットについての処理に関しては、それぞれ第3オクテット、第2オクテットについての処理中にステップS203で抽出された通信情報が処理対象の通信情報となる。
したがって、第nオクテット(1≦n≦3)についての処理対象となる通信情報の個数は、第n+1オクテットについての処理対象となる通信情報の個数以下となる。これによって、処理対象となる通信情報が絞り込まれていくことになる。
図9は、第2の通信解析処理による通信情報の抽出の様子を示している。図9において、xは0〜9の任意の数字を示し、A〜Aは第1オクテットのアドレス値を示し、B〜Bは第2オクテットのアドレス値を示し、C〜Cは第3オクテットのアドレス値を示し、D〜Dは第4オクテットのアドレス値を示している。
第4オクテットについてのステップS203の処理により、所定の単位時間に対応した通信情報900から、第4オクテットのアドレス値D〜Dを有するIPアドレスを含む通信情報910が抽出される。続いて、第3オクテットについてのステップS203の処理により、通信情報910から、第3オクテットのアドレス値C〜Cを有するIPアドレスを含む通信情報920が抽出される。続いて、第2オクテットについてのステップS203の処理により、通信情報920から、第2オクテットのアドレス値B〜Bを有するIPアドレスを含む通信情報930が抽出される。続いて、第1オクテットについてのステップS203の処理により、通信情報930から、第1オクテットのアドレス値A〜Aを有するIPアドレスを含む通信情報940が抽出される。以上のようにして、処理対象となる通信情報が絞り込まれていく。
以下、第1の通信解析処理の説明に戻る。変数Nが4であった場合(ステップS204でYESの場合)、通信情報抽出部34は、抽出した通信情報を表示制御部35へ出力する。表示制御部35は、通信情報抽出部34によって抽出された通信情報を表示するためのグラフィック画像データを生成し、表示部36へ出力する。表示部36は、表示制御部35から出力されたグラフィック画像データに基づいて、通信情報を視覚化する(ステップS205)。
上記では、第4オクテットから第1オクテットへ向かって処理対象のオクテットが切り替わるが、逆に第1オクテットから第4オクテットへ向かって処理対象のオクテットが切り替わるようにしてもよい。また、第1オクテットのアドレス値は、ネットワークを提供するISP(Internet Services Provider)などの事業者毎に決まっているため、監視対象とするネットワークに対応した第1オクテットのアドレス値を有する通信情報を最初に抽出しておき、その通信情報に対して、第2の通信解析処理を行ってもよい。
上記の第2の通信解析処理を第1の通信解析処理と比較すると以下のようになる。第1の通信解析処理では、例えばA.B.C.D(A〜Dは0〜255のいずれか)というIPアドレスについては所定の状態の出現数が多く、E.F.G.D(E〜Gは0〜255のいずれか)というIPアドレスについては所定の状態の出現数が少ない場合でも、第4オクテットのアドレス値Dについての所定の状態の出現数が多いことにより、A.B.C.DだけでなくE.F.G.DというIPアドレスも、ボットに感染した装置のIPアドレスの候補となる。このため、オクテット単位で見ると所定の状態の出現数が多いアドレス値が選択されるのだが、各オクテットのアドレス値を組み合わせたIPアドレス単位で見ると必ずしも所定の状態の出現数が多いとは限らない。
これに対して、第2の通信解析処理では、処理対象のオクテット毎に所定の状態の出現数が多いアドレス値が選択されて通信情報が絞り込まれ、その通信情報に対して、次のオクテットについての処理が行われる。このため、オクテット単位だけでなく、IPアドレス単位で見ても所定の状態の出現数の多いIPアドレスが、ボットに感染した装置のIPアドレスの候補となる。したがって、ボットに感染した装置が行った通信に係る通信情報をより高精度に抽出することができる。
次に、第3の通信解析処理を説明する。第3の通信解析処理は、ボットに感染した可能性がある装置のIPアドレスをSource IPに含み、指令サーバの可能性がある装置のIPアドレスをDestination IPに含む通信情報を抽出するというものである。第3の通信解析処理では、所定の状態(第1〜第7の状態のいずれか)に関して第1の通信解析処理または第2の通信解析処理が実行され、選択されたアドレス値を有するIPアドレスをSource IPに含む通信情報が抽出される。このSource IPと同じIPアドレスを有する装置はボットに感染している可能性が高い。
また、所定の状態(第3の状態)に関して第1の通信解析処理または第2の通信解析処理が実行され、選択されたアドレス値を有するIPアドレスをDestination IPに含む通信情報が抽出される。このDestination IPと同じIPアドレスを有する装置は指令サーバである可能性が高い。第3の状態(Destination PortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態)は指令サーバにも見られるので、指令サーバのIPアドレスを含む通信情報を抽出する際には、第3の状態が検出対象となる。
最終的に通信情報抽出部34は、ボットに感染した可能性がある装置が行った通信に係る通信情報に含まれるSource IPと同じIPアドレスをSource IPに含み、指令サーバの可能性がある装置が行った通信に係る通信情報に含まれるDestination IPと同じIPアドレスをDestination IPに含む通信情報を抽出する。この通信情報は、ボットに感染した可能性がある装置と、指令サーバの可能性がある装置との間で行われた通信に関係する。このように、ボットに感染した可能性がある装置のIPアドレスをSource IPに含み、指令サーバの可能性がある装置のIPアドレスをDestination IPに含む通信情報を抽出することによって、ボットに感染した装置が指令サーバと行った通信に係る通信結果をより高精度に抽出することができる。
上述したように、本実施形態によれば、IPアドレスを構成する各オクテット(ブロック)のアドレス値毎に所定の状態の出現数をカウントすることによって、所定の状態の出現数を効率的に管理することができる。また、所定の状態の出現数が高いアドレス値を有するIPアドレスを含む通信結果を抽出することによって、ボットなどのコンピュータウィルスに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
本実施形態で検出対象とする状態は、ボットに感染した装置が通信を行うことにより発生する、ボットに特有の状態である。したがって、本実施形態によれば、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による通信情報記憶部2および通信解析部3の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本発明の一実施形態による通信解析システムの構成を示す構成図である。 本発明の一実施形態による通信解析システムが備える通信解析部の構成を示すブロック図である。 本発明の一実施形態における第1の通信解析処理の手順を示すフローチャートである。 本発明の一実施形態による通信解析システムが備えるカウンタの動作を説明するための参考図である。 本発明の一実施形態による通信解析システムが備えるカウンタの動作を説明するための参考図である。 本発明の一実施形態による通信解析システムが備えるカウンタの動作を説明するための参考図である。 本発明の一実施形態における第1の通信解析処理で選択されるオクテット毎のアドレス値を示す参考図である。 本発明の一実施形態における第2の通信解析処理の手順を示すフローチャートである。 本発明の一実施形態における第2の通信解析処理を説明するための参考図である。
符号の説明
1・・・通信監視部、2・・・通信情報記憶部(記憶手段)、3・・・通信解析部、4・・・ゲートウェイ、31・・・解析制御部、32・・・カウンタ(カウント手段)、33・・・アドレス選択部(選択手段)、34・・・通信情報抽出部(抽出手段)、35・・・表示制御部、36・・・表示部

Claims (5)

  1. ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントするカウント手段と、
    各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、
    前記記憶手段によって記憶されている通信結果から、前記選択手段によって選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、
    を備えたことを特徴とする情報処理装置。
  2. ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第1のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする第1のカウント手段と、
    前記第1のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第1の選択手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第2のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る前記所定の状態の出現数をカウントする第2のカウント手段と、
    前記第2のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第2の選択手段と、
    前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択された前記第1のブロックのアドレス値と、前記第2の選択手段によって選択された前記第2のブロックのアドレス値とを有するIPアドレスを含む通信結果を抽出する第2の抽出手段と、
    を備えたことを特徴とする情報処理装置。
  3. ネットワーク上で実行された通信の送信元または送信先のIPアドレスを含む通信結果を記憶する記憶手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する第1のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする第1のカウント手段と、
    前記第1のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第1の選択手段と、
    前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択された前記第1のブロックのアドレス値を有するIPアドレスを含む通信結果を抽出する第1の抽出手段と、
    前記第1の抽出手段によって抽出された通信結果に基づいて、IPアドレスを構成する第2のブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る前記所定の状態の出現数をカウントする第2のカウント手段と、
    前記第2のブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する第2の選択手段と、
    前記第1の抽出手段によって抽出された通信結果から、前記第2の選択手段によって選択された前記第2のブロックのアドレス値を有するIPアドレスを含む通信結果を抽出する第2の抽出手段と、
    を備えたことを特徴とする情報処理装置。
  4. ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る、ボットに感染した装置が行う通信に見られる第1の状態の出現数をカウントする第1のカウント手段と、
    各アドレス値に対応した前記第1の状態の出現数に基づいてアドレス値を選択する第1の選択手段と、
    前記記憶手段によって記憶されている通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信先とする通信に係る、ボットの指令サーバが行う通信に見られる第2の状態の出現数をカウントする第2のカウント手段と、
    各アドレス値に対応した前記第2の状態の出現数に基づいてアドレス値を選択する第2の選択手段と、
    前記記憶手段によって記憶されている通信結果から、前記第1の選択手段によって選択されたアドレス値を有する送信元のIPアドレスと、前記第2の選択手段によって選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出する抽出手段と、
    を備えたことを特徴とする情報処理装置。
  5. 請求項1〜請求項4のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
JP2008271830A 2008-10-22 2008-10-22 情報処理装置およびプログラム Active JP5135163B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008271830A JP5135163B2 (ja) 2008-10-22 2008-10-22 情報処理装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008271830A JP5135163B2 (ja) 2008-10-22 2008-10-22 情報処理装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2010103673A true JP2010103673A (ja) 2010-05-06
JP5135163B2 JP5135163B2 (ja) 2013-01-30

Family

ID=42293928

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008271830A Active JP5135163B2 (ja) 2008-10-22 2008-10-22 情報処理装置およびプログラム

Country Status (1)

Country Link
JP (1) JP5135163B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012253735A (ja) * 2011-06-03 2012-12-20 Fluke Corp 効率的なネットフローデータ解析のための方法及び装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143226A (ja) * 2001-10-30 2003-05-16 Ando Electric Co Ltd Ipネットワーク用プローブ装置及びトラフィック統計方法
JP2005210601A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置
JP2007300263A (ja) * 2006-04-28 2007-11-15 Yokogawa Electric Corp ネットワーク異常検出装置およびネットワーク異常検出方法
JP2008167484A (ja) * 2008-03-13 2008-07-17 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143226A (ja) * 2001-10-30 2003-05-16 Ando Electric Co Ltd Ipネットワーク用プローブ装置及びトラフィック統計方法
JP2005210601A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置
JP2007300263A (ja) * 2006-04-28 2007-11-15 Yokogawa Electric Corp ネットワーク異常検出装置およびネットワーク異常検出方法
JP2008167484A (ja) * 2008-03-13 2008-07-17 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012253735A (ja) * 2011-06-03 2012-12-20 Fluke Corp 効率的なネットフローデータ解析のための方法及び装置

Also Published As

Publication number Publication date
JP5135163B2 (ja) 2013-01-30

Similar Documents

Publication Publication Date Title
US11722509B2 (en) Malware detection for proxy server networks
Binkley et al. An algorithm for anomaly-based botnet detection.
US8261351B1 (en) DNS flood protection platform for a network
US7936682B2 (en) Detecting malicious attacks using network behavior and header analysis
Leonard et al. Demystifying service discovery: implementing an internet-wide scanner
Moore et al. Inferring internet denial-of-service activity
US7711800B2 (en) Network connectivity determination
Sieklik et al. Evaluation of TFTP DDoS amplification attack
JP5286018B2 (ja) 情報処理装置、プログラム、および記録媒体
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
CN111835708A (zh) 一种特征信息分析方法及装置
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
de Vries et al. Global-scale anycast network management with verfploeter
Leonard et al. Demystifying internet-wide service discovery
WO2005111805A1 (en) Method of network traffic signature detection
JP5135163B2 (ja) 情報処理装置およびプログラム
JP5328283B2 (ja) 情報処理装置、プログラム、および記録媒体
Eimann Network event detection with entropy measures
Zou et al. Advanced routing worm and its security challenges
Griffioen et al. Quantifying TCP SYN DDoS resilience: A longitudinal study of Internet services
Roolvink Detecting attacks involving DNS servers: a netflow data based approach
de Vries Improving anycast with measurements
Nosyk et al. The Closed Resolver Project: Measuring the Deployment of Inbound Source Address Validation
Ammann Network forensic readiness: a bottom-up approach for IPv6 networks
Zhou et al. Limiting Self-Propagating Malware Based on Connection Failure Behavior through Hyper-Compact Estimators

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110819

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120731

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120926

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121016

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5135163

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150