JP2012014437A - データ転送装置及びアクセス解析方法 - Google Patents
データ転送装置及びアクセス解析方法 Download PDFInfo
- Publication number
- JP2012014437A JP2012014437A JP2010150357A JP2010150357A JP2012014437A JP 2012014437 A JP2012014437 A JP 2012014437A JP 2010150357 A JP2010150357 A JP 2010150357A JP 2010150357 A JP2010150357 A JP 2010150357A JP 2012014437 A JP2012014437 A JP 2012014437A
- Authority
- JP
- Japan
- Prior art keywords
- data
- data transfer
- transfer
- path information
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】データ転送装置は、ファイルが格納された場所を示すパス情報と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルを有する。また、データ転送装置は、データの転送先となる装置に対して送信される転送データに含まれるURLを抽出し、抽出されたURLに対応するパス情報がデータ転送テーブルに記憶されているか否かを判定する。また、データ転送装置は、パス情報がデータ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に転送データを転送する。また、データ転送装置は、パス情報がデータ転送テーブルに記憶されていないと判定された場合に、予め決定された装置に転送データを転送する。
【選択図】図4
Description
最初に、図1を用いて、本願に係るデータ転送装置を適用するネットワークモデルを説明する。図1は、データ転送装置を適用するネットワークモデルの例を示す図である。
次に、図4を用いて、実施例1に係るデータ転送装置100の構成を説明する。図4は、実施例1に係るデータ転送装置100の構成例を示す図である。例えば、図4に示すように、データ転送装置100は、記憶部110と、制御部120とを有し、ハイパーテキスト転送プロトコルによるデータを転送する。
次に、図8を用いて、実施例1に係るデータ転送処理を説明する。図8は、実施例1に係るデータ転送処理の流れの例を示すフローチャートである。
上述したように、データ転送装置100は、URLに含まれるホスト名に関係なく、攻撃対象となるプログラムが配置されたホストに対してアクセスを転送する。この結果、データ転送装置100は、攻撃を受け付けない旨のメッセージを攻撃者側に送信したり、攻撃を故意に成功させたりする従来技術と比較して、本来失敗する攻撃を成功させて該攻撃に関する多くの情報を獲得させることができるので、攻撃対象への攻撃に関する検知精度を向上させることができる。
図9を用いて、実施例2に係るデータ転送テーブル111を説明する。図9は、実施例2に係るデータ転送テーブル111に記憶される情報の例を示す図である。
次に、図11を用いて、実施例2に係るデータ転送処理を説明する。図11は、実施例2に係るデータ転送処理の流れの例を示すフローチャートである。
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、前方最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、同一のアプリケーションであっても、攻撃対象となるプログラムが具備されているか否かでアクセスの転送先を変更する。この結果、データ転送装置100は、アプリケーションのバージョンやインストール済みのプラグインの環境の違いに対しても、攻撃対象となるプログラムが配備されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
図12を用いて、実施例3に係るデータ転送テーブル111を説明する。図12は、実施例3に係るデータ転送テーブル111に記憶される情報の例を示す図である。
次に、図14を用いて、実施例3に係るデータ転送処理を説明する。図14は、実施例3に係るデータ転送処理の流れの例を示すフローチャートである。
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、後方最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、複数のホストのパス構造が類似していても、攻撃対象となるプログラムが配置されている可能性がより高いホストにアクセスを転送できる。この結果、データ転送装置100は、類似するプログラム名が複数存在する環境において、攻撃対象となるプログラムが配置されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
図15を用いて、実施例4に係るデータ転送テーブル111を説明する。図15は、実施例4に係るデータ転送テーブル111に記憶される情報の例を示す図である。
次に、図17を用いて、実施例4に係るデータ転送処理を説明する。図17は、実施例4に係るデータ転送処理の流れの例を示すフローチャートである。
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、攻撃者が攻撃対象としている可能性が最も高い宛先にアクセスを転送できる。この結果、データ転送装置100は、アプリケーションのバージョンの微小な変化に伴い、攻撃対象となるプログラム名が変更されている場合であっても、攻撃対象となるプログラムが配置されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
図18を用いて、実施例5に係るデータ転送テーブル111を説明する。図18は、実施例5に係るデータ転送テーブル111に記憶される情報の例を示す図である。
次に、図19を用いて、実施例5に係るデータ転送処理を説明する。図19は、実施例5に係るデータ転送処理の流れの例を示すフローチャートである。
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応するホスト名がURLに含まれるホスト名と一致する場合に、該パス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、管理対象外となるホスト宛てへの通信をフィルタして、不自然な挙動の発生を防止する。この結果、データ転送装置100は、攻撃者に攻撃を収集する機構が発見され、以後の攻撃対象から除外されるような事態を回避し、継続的に攻撃に関する情報を獲得させることができるので、攻撃対象への攻撃に関する検知精度を向上させることができる。
図20を用いて、上記実施例を用いたアクセス解析方法の動作を説明する。図20は、アクセス解析方法の動作例を説明するためのネットワークモデル例を示す図である。
また、本願では、データ転送時にホスト名を抽出しておき、データ応答時に抽出されたホスト名を適用(ホスト名を変換)することもできる。具体的には、転送部123は、上記実施例1〜5等のデータ転送処理時に、転送データを識別する転送データ識別情報と、URLに含まれるホスト名とを抽出する。転送データ識別情報は、例えば、転送データのセッションID等が挙げられる。
また、上記文書中や図面中などで示した処理手順、制御手順、具体的名称、各種のデータやパラメータなどを含む情報(例えば、上記実施例で記載した各ディレクトリ構成等)については、特記する場合を除いて任意に変更することができる。
110 記憶部
111 データ転送テーブル
120 制御部
121 宛先URL抽出部
122 転送先特定部
123 転送部
Claims (7)
- データを転送するデータ転送装置であって、
ファイルが格納された場所を示すパス情報と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルと、
データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出し、抽出された統一資源位置指定子に対応するパス情報が前記データ転送テーブルに記憶されているか否かを判定する判定部と、
前記判定部によってパス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合に、予め決定された装置に前記転送データを転送する転送部と
を有することを特徴とするデータ転送装置。 - 前記データ転送テーブルは、ディレクトリ単位に分解され、上位のディレクトリのみの情報としてのパス情報を記憶し、
前記判定部は、前記統一資源位置指定子に対応するパス情報として、全一致又は部分一致するパス情報が前記データ転送テーブルに記憶されているか否かを判定し、
前記転送部は、前記パス情報が前記データ転送テーブルに記憶されていると判定された場合に、データ転送先装置情報の数が単数であれば該当する装置に前記転送データを転送し、データ転送先装置情報の数が複数であれば前方最長一致するパス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送することを特徴とする請求項1に記載のデータ転送装置。 - 前記データ転送テーブルは、ディレクトリ単位に分解され、上位のディレクトリのみの情報としてのパス情報を記憶し、
前記判定部は、前記統一資源位置指定子に対応するパス情報として、全一致又は部分一致するパス情報が前記データ転送テーブルに記憶されているか否かを判定し、
前記転送部は、前記パス情報が前記データ転送テーブルに記憶されていると判定された場合に、データ転送先装置情報の数が単数であれば該当する装置に前記転送データを転送し、データ転送先装置情報の数が複数であれば後方最長一致するパス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送することを特徴とする請求項1に記載のデータ転送装置。 - 前記データ転送テーブルは、ディレクトリ単位に分解され、上位のディレクトリのみの情報としてのパス情報を記憶し、
前記判定部は、前記統一資源位置指定子に対応するパス情報として、全一致又は部分一致するパス情報が前記データ転送テーブルに記憶されているか否かを判定し、
前記転送部は、前記パス情報が前記データ転送テーブルに記憶されていると判定された場合に、データ転送先装置情報の数が単数であれば該当する装置に前記転送データを転送し、データ転送先装置情報の数が複数であれば最長一致するパス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送することを特徴とする請求項1に記載のデータ転送装置。 - 前記データ転送テーブルは、前記データの転送先となる装置を識別するホスト名をさらに対応付けて記憶し、
前記転送部は、前記パス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致するか否かをさらに判定し、一致しないと判定された場合に、前記予め決定された装置に前記転送データを転送することを特徴とする請求項1に記載のデータ転送装置。 - 前記転送部は、さらに、前記転送データを識別する転送データ識別情報と、前記統一資源位置指定子に含まれるホスト名とを抽出し、
前記転送部によって転送された転送データの転送データ識別情報と一致する応答データに、送信元のホスト名が含まれている場合に、該送信元のホスト名を前記転送部によって抽出されたホスト名に変換するホスト名変換部をさらに有することを特徴とする請求項1〜5のいずれか一つに記載のデータ転送装置。 - データを転送するデータ転送装置で実行されるアクセス解析方法であって、
データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出する抽出ステップと、
前記抽出ステップによって抽出された統一資源位置指定子に対応するパス情報が、ファイルが格納された場所を示すパス情報と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルに記憶されているか否かを判定する判定ステップと、
前記判定ステップによってパス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合に、予め決定された装置に前記転送データを転送する転送ステップと
を含んだことを特徴とするアクセス解析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010150357A JP5385867B2 (ja) | 2010-06-30 | 2010-06-30 | データ転送装置及びアクセス解析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010150357A JP5385867B2 (ja) | 2010-06-30 | 2010-06-30 | データ転送装置及びアクセス解析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012014437A true JP2012014437A (ja) | 2012-01-19 |
JP5385867B2 JP5385867B2 (ja) | 2014-01-08 |
Family
ID=45600785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010150357A Active JP5385867B2 (ja) | 2010-06-30 | 2010-06-30 | データ転送装置及びアクセス解析方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5385867B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107403013A (zh) * | 2017-08-01 | 2017-11-28 | 杭州安恒信息技术有限公司 | Web业务行为的识别方法及装置 |
US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
JPWO2020054818A1 (ja) * | 2018-09-14 | 2021-04-30 | 株式会社東芝 | 通信制御装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
JP2005004617A (ja) * | 2003-06-13 | 2005-01-06 | Mitsubishi Electric Corp | 不正侵入対策処理システム、攻撃分析・応答装置およびネットワーク遮断・模擬装置並びに不正侵入対策処理方法 |
JP2009223608A (ja) * | 2008-03-17 | 2009-10-01 | Osaka Gas Co Ltd | リバースプロキシシステム |
-
2010
- 2010-06-30 JP JP2010150357A patent/JP5385867B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
JP2005004617A (ja) * | 2003-06-13 | 2005-01-06 | Mitsubishi Electric Corp | 不正侵入対策処理システム、攻撃分析・応答装置およびネットワーク遮断・模擬装置並びに不正侵入対策処理方法 |
JP2009223608A (ja) * | 2008-03-17 | 2009-10-01 | Osaka Gas Co Ltd | リバースプロキシシステム |
Non-Patent Citations (2)
Title |
---|
CSNG201000073071; 八木 毅, 谷本 直人, 針生 剛男, 伊藤光恭: ''高対話型Webハニーポットにおける攻撃情報収集方式の改善'' コンピュータセキュリティシンポジウム2009 論文集[第二分冊] , 20091019, 1051頁-1056頁, 社団法人情報処理学会 * |
JPN6013032957; 八木 毅, 谷本 直人, 針生 剛男, 伊藤光恭: ''高対話型Webハニーポットにおける攻撃情報収集方式の改善'' コンピュータセキュリティシンポジウム2009 論文集[第二分冊] , 20091019, 1051頁-1056頁, 社団法人情報処理学会 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
CN107403013A (zh) * | 2017-08-01 | 2017-11-28 | 杭州安恒信息技术有限公司 | Web业务行为的识别方法及装置 |
JPWO2020054818A1 (ja) * | 2018-09-14 | 2021-04-30 | 株式会社東芝 | 通信制御装置 |
JP7068482B2 (ja) | 2018-09-14 | 2022-05-16 | 株式会社東芝 | 通信制御システム |
Also Published As
Publication number | Publication date |
---|---|
JP5385867B2 (ja) | 2014-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8561188B1 (en) | Command and control channel detection with query string signature | |
JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
Ndatinya et al. | Network forensics analysis using Wireshark | |
US9762543B2 (en) | Using DNS communications to filter domain names | |
Rieck et al. | Botzilla: detecting the" phoning home" of malicious software | |
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
EP2156361B1 (en) | Reduction of false positive reputations through collection of overrides from customer deployments | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US20100162399A1 (en) | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity | |
US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
JP2010050939A (ja) | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム | |
JP2014524169A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法 | |
Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
WO2013097600A1 (zh) | 签名库的匹配路径生成方法及相关装置 | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
JP5345500B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
JP5313104B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
Binsalleeh | Design and implementation of a worm detection and mitigation system | |
TW201123776A (en) | Method of detecting network communication behavior and system thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120928 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130709 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130906 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131001 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5385867 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |