JP2015075808A - ネットワークフィルタリング装置及びネットワークフィルタリング方法 - Google Patents

ネットワークフィルタリング装置及びネットワークフィルタリング方法 Download PDF

Info

Publication number
JP2015075808A
JP2015075808A JP2013209909A JP2013209909A JP2015075808A JP 2015075808 A JP2015075808 A JP 2015075808A JP 2013209909 A JP2013209909 A JP 2013209909A JP 2013209909 A JP2013209909 A JP 2013209909A JP 2015075808 A JP2015075808 A JP 2015075808A
Authority
JP
Japan
Prior art keywords
packet
data
unit
network
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2013209909A
Other languages
English (en)
Inventor
尚 兒島
Takashi Kojima
尚 兒島
中田 正弘
Masahiro Nakada
正弘 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013209909A priority Critical patent/JP2015075808A/ja
Priority to US14/498,150 priority patent/US20150101036A1/en
Publication of JP2015075808A publication Critical patent/JP2015075808A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

【課題】ネットワークに接続された機器の効果的な保護を提供する。
【解決手段】ネットワークを介してデータパケットを受信する機器を監視する監視部14と、機器の異常を検出すると、異常を発生させた第1のデータパケットを保持する保持部12と、機器が受信した第2のデータパケットと第1のデータパケットとを比較する比較部11と、第1のデータパケット中の、第2のデータパケットに対して閾値以上に変異する箇所を特定する特定部11と、特定した箇所のデータを登録する登録部11とを備える。
【選択図】図1

Description

本発明は、ネットワークフィルタリング装置及びネットワークフィルタリング方法に関する。
近年、ファジングとよばれるブラックボックスセキュリティテストの手法が広く利用されつつある。ファジングのためのツールは、脆弱性の検出に有効と考えられるテストデータを何種類も大量にテスト対象製品に試行することにより、脆弱性を検出する。例えば、ファジングツールにより、バッファオーバーフローや整数オーバーフローなどの未知の脆弱性を発見することが行なわれている。なお、近年では、誰でもがファジングツールを利用できる状況となっており、悪意のある者によって製品の未知の脆弱性を容易に発見されてしまうおそれがある。
ネットワークと接続される製品は、販売時点において、ネットワークからの攻撃に対して強固なセキュリティ対策が施されていることが理想である。
特開2004−334607号公報
しかしながら、上述した製品が販売され、消費者に渡った後に、この製品の脆弱性が新たに発見されることも多い。
また、ファジングの手法は自由度が高く、あるファジングツールでは脆弱性が検出されなかったとしても、別のファジングツールでは検出されるということがある。従って、攻撃者が、製品・システム開発において使用されたファジング手法・ファジングツールとは異なる手法やツールを用いて攻撃してくる可能性があり、未知の脆弱性が発見され、悪用されるおそれがある。
1つの側面では、本発明は、ネットワークに接続された機器を効果的に保護することを目的とする。
なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の1つとして位置付けることができる。
このため、このネットワークフィルタリング装置は、ネットワークを介してデータパケットを受信する機器を監視する監視部と、前記機器の異常を検出すると、該異常を発生させた第1のデータパケットを保持する保持部と、前記機器が受信した第2のデータパケットと前記第1のデータパケットとを比較する比較部と、前記第1のデータパケット中の、前記第2のデータパケットに対して閾値以上に変異する箇所を特定する特定部と、前記特定した箇所のデータを登録する登録部とを備える。
また、このネットワークフィルタリング方法は、ネットワークを介してデータパケットを受信する機器を監視する処理と、前記機器の異常を検出すると、該異常を発生させた第1のデータパケットを保持する処理と、前記機器が受信した第2のデータパケットと前記第1のデータパケットとを比較する処理と、前記第1のデータパケット中の、前記第2のデータパケットに対して閾値以上に変異する箇所を特定する処理と、前記特定した箇所のデータを登録する処理とを備える。
一実施形態によれば、ネットワークに接続された機器を効果的に保護することができる。
第1実施形態の一例としてのネットワークフィルタリング装置の機能構成を示す図である。 第1実施形態の一例としてのネットワークフィルタリング装置のハードウェア構成を例示する図である。 第1実施形態の一例としてのネットワークフィルタリング装置におけるパケット保存部に保存される受信パケットを例示する図である。 第1実施形態の一例としてのネットワークフィルタリング装置における判断基準情報の作成方法を説明する図である。 第1実施形態の一例としてのネットワークフィルタリング装置における防止対象リストを例示する図である。 第1実施形態の一例としてのネットワークフィルタリング装置における更新後の防止対象リストを例示する図である。 第1実施形態の一例としてのネットワークフィルタリング装置における処理を説明するフローチャートである。 本発明の第2実施形態としてのネットワークフィルタリング装置における判断基準情報の作成方法を説明する図である。
以下、図面を参照して本ネットワークフィルタリング装置及びネットワークフィルタリング方法に係る実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形(各実施形態を組み合わせる等)して実施することができる。又、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。
(A)第1実施形態の説明
図1は、第1実施形態の一例としてのネットワークフィルタリング装置10の機能構成を示す図、図2はそのハードウェア構成を例示する図である。
ネットワークフィルタリング装置10は、図2に示すように、ネットワーク150と保護対象機器110との間に介在し、保護対象機器(機器)110に対して、ネットワーク150から伝達されるデータをフィルタリングする。このフィルタリングにより、保護対象機器110の脆弱性に対して脅威を及ぼすデータを遮断する。
保護対象機器110は、ネットワーク150に接続され得る、いかなる機器であってもよい。保護対象機器110の具体例としては、サーバ、パーソナルコンピュータ、ハンドヘルドコンピュータ、ゲーム機器、テレビ、家電製品、ナビゲーションシステム、携帯電話などがあげられる。
ネットワークフィルタリング装置10は、図1に示すように、防止対象リスト作成部11,パケット保存部12,防止対象リスト保存部13,保護対象監視部14,パケット受信部15,フィルタリング部16及びパケット送信部17を備える。
パケット受信部15は、ネットワーク150から保護対象機器110に対して送信されたパケットを受信する。パケット受信部15は、受信したパケットを、後述するフィルタリング部16に順次送出する。又、パケット受信部15は、受信したパケットの複写をパケット保存部(保持部)12に順次格納させる。
パケット保存部(保持部)12は、パケット受信部15が受信したパケット(受信パケット)を保存する。このパケット保存部12には、後述の如く、保護対象機器110に不具合を発生させたパケット(原因パケット;第1のデータパケット)や、この原因パケットの前に保護対象機器110が受信したパケット(第2のデータパケット)が格納される。
図3は第1実施形態の一例としてのネットワークフィルタリング装置10におけるパケット保存部12に保存される受信パケットを例示する図である。この図3に示す例においては、受信パケットがその種類(パケット種類)を示す情報と関係付けて保存されている。又、パケット保存部12においては、複数のパケットに対して、各受信順序(番号)も管理されている。図3に示す例においては、パケット種類がHTTP(HyperText Transfer Protocol)リクエストの2つのパケットが保存されている例を示す。
なお、図3に示す例においては、便宜上、受信パケットをテーブル状に示しているが、データの保存形式はこれに限定されるものではなく、種々変形して実施することができる。
パケット送信部17は、ネットワーク150から保護対象機器110に対して送信され、保護対象機器110に到達する前に本ネットワークフィルタリング装置10が受信したパケットを保護対象機器110に対して送信する。このパケット送信部17は、ネットワーク150から保護対象機器110に対して送信されたパケットのうち、後述するフィルタリング部16によってフィルタリングされた後のデータを保護対象機器110に送信する。
保護対象監視部(監視部)14は、保護対象機器110を監視するものであり、保護対象機器110の挙動を監視し、保護対象機器110における不具合(異常)の発生を検知する。具体的には、保護対象監視部14は、保護対象機器110において、ファジング攻撃により発生すると考えられる所定の不具合(異常)の発生を検知する。
ファジング攻撃により発生する不具合としては、例えば、保護対象機器110の再起動や無応答状態への移行(フリーズ,ハングアップ,ストール,システムダウン)、電源断状態への移行等である。なお、保護対象監視部14は、これに限定されるものではなく、これら以外の挙動を保護対象機器110の不具合として検知してもよい。
また、保護対象監視部14は、保護対象機器110がサーバ等のコンピュータである場合には、その図示しないコンソールポートの出力を解析することによって、保護対象機器110の異常の有無を調べることができる。通常、サーバ等のコンソールポートからの出力には、サーバの異常を知らせる種々の情報が出力されるからである。又、保護対象監視部14は、保護対象機器110に対してping等の死活確認用の信号を送信し、一定時間経過後に、その応答があるか否かを確認してもよい。返信が確認できない場合には、保護対象機器110がシステムダウンを起こしていたり、ハングアップしていたりする可能性が非常に高いことが分かる。従って、死活確認用のパケットの送信により、保護対象機器110の異常の発生を確認することができる。或いは、保護対象監視部14から、保護対象機器110に対してステータス確認用のコマンドを送信し、保護対象機器110の種々のステータスを確認して、異常の有無を検知する等、種々変形して実施することができる。
保護対象監視部14は、保護対象機器110において不具合の発生を検知すると、防止対象リスト作成部11に通知を行なう。
防止対象リスト作成部11は、保護対象機器110において受信すると不具合が発生するおそれがあるパケットを検出するための判断基準として用いられる判断基準情報を作成し、この判断基準情報を防止対象リストL1に登録する。
防止対象リスト作成部11は、保護対象監視部14から保護対象機器110において不具合の発生を検知した旨の通知を受けると、判断基準情報の作成及び防止対象リストL1への登録を行なう。
図4は第1実施形態の一例としてのネットワークフィルタリング装置10における判断基準情報の作成方法を説明する図である。
一般にファジング攻撃においては、パケット(正常パケット)の一部(変異パケット項目)を、そのデータ長を変更させる等、特定の法則に従って連続的に変異させた複数の攻撃パケットを作成して送信する。すなわち、これらの連続して送信される複数の攻撃パケットにおいては、前後して送信される攻撃パケット間において、変異パケット項目の値が変異している。
図4においては、正常パケットAに基づいて複数の攻撃パケットを作成する例を示している。この図4に示す例においては、正常パケットAのヘッダについて、そのデータ項目「Host」に登録されているIP(Internet Protocol)アドレスの値“192.168.1.10”を種々変更した複数の攻撃パケットAP1〜APn(nは自然数)が示されている。
なお、この図4においては、保護対象機器110がWebサーバであるとして、HTTP(HyperText Transfer Protocol)リクエストとしてパケットを受信する例を示している。
HTTPリクエストにはテキストのみが含まれるため、一般的なテキスト比較手法によって変異箇所を特定できる。
ここで、正常パケットAは、HTTPプロトコルの各種ヘッダ部分であり、GETメソッドのパケットである。この正常パケットAに示されるような情報が1つのパケットに含まれる。攻撃パケットAP1〜APnは、攻撃者30が既知のファジング手法を用いて作成するパターンの例を示している。これらの攻撃パケットAP1〜APnは、主としてバッファオーバーフローをチェックするためのパターンである。
本第1実施形態においては、ファジング攻撃により、データ項目「Host」を構成する文字‘x’の個数を変異させることにより、データ項目「Host」に含まれる文字列の数を変異させた複数の攻撃パケットが作成されている。
具体的には、攻撃パケットAP1においては、データ項目「Host」として1個の‘x’が設定されており、攻撃パケットAP2においては、データ項目「Host」として64個の‘x’が連続するデータ設定されている。又、攻撃パケットAPnにおいては、データ項目「Host」として4096個の‘x’が連続するデータ設定されている。
そして、例えば、保護対象機器110において、攻撃パケットAP1,AP2を受信した際には不具合は検出されず、その後、攻撃パケットAPnを受信した際に不具合が検出されたものとする。
このような場合には、保護対象機器110において不具合が検出される直前に受信した攻撃パケットAPnが、保護対象機器110に不具合を発生させる原因である原因パケット(第1のデータパケット)と推定される。
そして、この原因パケットにおいて、その前に受信した他のパケット(攻撃パケット)AP1,AP2との間で変異している箇所(変異箇所)が、保護対象機器110に不具合を発生させた要因(異常原因)と推定される。
そこで、防止対象リスト作成部11は、この原因パケットにおいて、その前に受信した他の攻撃パケットAP1,AP2との間で変異している箇所を特定する。
ここでは例として、パケットがHTTPリクエストであることを利用し、変異箇所を個々のヘッダ、さらにヘッダのデータ項目と値(「:」で分割)に分離し、同じデータ項目の値をそれぞれ比較する。ここで、比較方法としては単純な文字列比較ではなく、何らかの尺度を用いるものとし、ここでは例として文字列の長さを比較の尺度とする。
図4に示す例においては、攻撃パケットAP1〜APnの間において、データ項目「Host」の値とデータ項目「Date」の値とがそれぞれ変異している。
従って、防止対象リスト作成部11は、原因パケットにおいて、その前に受信した他の攻撃パケットAP1,AP2との間で変異している箇所として、データ項目「Host」の値とデータ項目「Date」の値とを特定する。
このように、データ項目「Date」とデータ項目「Host」とが変異箇所に含まれているが、データ項目「Date」は、パケットの受信時刻を示す情報であるので、攻撃パケットAP1〜APnの間で数値に差異があって当然である。
ここで、データ項目「Date」の値は各パケットで異なるものの、そのデータ長は全て同じである。
一方、上述の如く、ファジングにより、攻撃パケットAP1〜APnの間でデータ項目「Host」の値において、‘x’の数が異なる。すなわち、データ項目「Host」の値は文字列の長さ(文字数,データ長)が各パケットで著しく異なっている。
本第1実施形態においては、防止対象リスト作成部11は、複数のパケット間において、データ項目の値の文字数に基づいて、異常原因パケット項目を特定する。具体的には、複数のパケット間においてデータ項目の値の文字列の長さ(文字数)が例えば256以上違っていれば「著しく変異している」とみなす。
受信パケットにおける各データ項目「Host」の長さは“1”,“64”, …, “4096”となっており、データ項目「Host」に設定されている文字‘x’の個数について、その最大値は攻撃パケットAPnの“4096”であり、最小値は攻撃パケットAP1の“1”である。これらの最大値と最小値との差(差分値)は4096−1=4095として算出される。防止対象リスト作成部11は、この算出された差分値“4095”を予め設定された閾値(例えば、“256”)と比較する。防止対象リスト作成部11は、算出した差分値がこの閾値よりも大きい場合に、著しく変異している箇所はデータ項目「Host」の値の長さであり、当該データ項目「Host」を異常原因パケット項目と判断する。
このように、データ項目「Host」の値の文字数は、最小値の“1”と最大値の“4096”とでは256以上の違いがあるため、データ項目「Host」の値の文字数は著しく変異しているとみなすことができる。
すなわち、防止対象リスト作成部(特定部)11は、原因パケット中の、他の受信パケットに対して閾値以上に変異する箇所(異常原因パケット項目)を特定する。
一方、データ項目「Date」に設定されている文字数は、各攻撃パケットAP1〜APnにおいて同じである。従って、これらの最大値と最小値との差(差分値)は“0”として算出される。
防止対象リスト作成部11は、この算出された差分値“0”を予め設定された閾値(例えば、“30”)と比較する。算出した差分値“0”はこの閾値よりも小さいので、当該データ項目「Date」は異常原因パケット項目から除外される。
すなわち、本第1実施形態においては、原因パケットにおいて、不具合が検出されていない他のパケットとの間で、構成する文字数が閾値以上変化している項目を異常原因パケット項目として特定する。これにより、パケットの受信日時や送信日時のように、複数のパケット間で数値に差異があって当然のデータ項目を以上原因パケット項目から除外させることができ、効率的に処理を行なうことができる。
上述の如く、実際に保護対象機器110において脆弱性による不具合を引き起こした可能性の高い、直前に受信したパケットと、その前に受信したパケットとを用いることにより、異常原因パケット項目が特定される。そして、原因パケットである攻撃パケットAPnにおける、この異常原因パケット項目(本例ではデータ項目「Host」)のデータ(異常原因データ;本例ではxx・・・xx(‘x’が4096個))を参照することで、『データ項目「Host」の長さが4096以上の場合に脆弱性が発生する』と解釈することができる。よって、この結果を到達防止リストL1に追加することで、今後の攻撃パケットでデータ項目「Host」の長さが“4096”以上のものが保護対象機器110に到達することを阻止できるようになる。
防止対象リスト作成部11は、攻撃パケットAPnにおける、上述の如く特定した異常原因パケット項目のデータを判断基準情報として決定し、この判断基準情報として特定した異常原因データを、防止対象リストL1へ登録する。すなわち、防止対象リスト作成部11は、保護対象機器110において不具合を発生させた原因である攻撃パケットAPnから、異常原因パケット項目の値を抽出して、防止対象リストL1の項目「閾値」として登録する。
すなわち、防止対象リスト作成部(登録部)11は、原因パケット中の、他の受信パケットに対して閾値以上に変異する箇所(異常原因パケット項目)を特定し、原因パケット中における異常原因パケット項目のデータを防止対象リストL1に登録する。
防止対象リストL1は、保護対象機器110が受信すると、この保護対象機器110において不具合が発生するおそれがあるパケット(危険パケット)を特定するための判断基準として用いられる判断基準情報を格納する。後述するフィルタリング部16が、この防止対象リストL1を用いて、ネットワーク150から伝達されるデータのフィルタリングを行なう。
図5は第1実施形態の一例としてのネットワークフィルタリング装置10における防止対象リストL1を例示する図である。
この図5に例示する防止対象リストL1は、項目として、リスト通し番号,種類,ヘッダ及び大きさ閾値が備えられている。
リスト通し番号は、防止対象リストL1に登録されるエントリに一意に設定される番号であり、エントリの識別子として機能する。種類はパケットの種類を示す。
ヘッダは、パケットのヘッダにおける異常原因パケット項目を示す。閾値は、後述するフィルタリング部16がネットワーク150から伝達されるデータをフィルタリングする際に用いる閾値であり、上述した防止対象リスト作成部11が攻撃パケットAPnから抽出した異常原因パケット項目の値が格納される。
後述するフィルタリング部16において、受信したパケットのヘッダにおける異常原因パケット項目の値が、この防止対象リストL1の閾値よりも大きい場合には、この受信したパケットが危険パケットであると判断される。
また、防止対象リスト作成部11が、攻撃パケットAPnから異常原因パケット項目の値を抽出して防止対象リストL1の項目「閾値」として登録する際に、防止対象リストL1に既に同一の異常原因パケット項目が登録されている場合が考えられる。
このような場合においては、防止対象リスト作成部11は、先に防止対象リストL1に格納されている閾値の値と、新たに攻撃パケットAPnから抽出した異常原因パケット項目の値とを比較する。そして、防止対象リスト作成部11は、新たに攻撃パケットAPnから抽出した異常原因パケット項目の値が、先に防止対象リストL1に格納されている閾値の値よりも小さい場合には、防止対象リストL1の閾値の値を、新たに攻撃パケットAPnから抽出した異常原因パケット項目の値で置換(更新)する。
図6は第1実施形態の一例としてのネットワークフィルタリング装置10における更新後の防止対象リストL1を例示する図である。この図6に示す防止対象リストL1においては、図5に示す防止対象リストL1の閾値“65536”が、新たに攻撃パケットAPnから抽出した異常原因パケット項目の値“4096”によって更新されている。
防止対象リスト保存部13は、防止対象リスト作成部11が作成した防止対象リストL1を保存する。後述するフィルタリング部16が、この防止対象リスト保存部13から防止対象リストL1を読み出し、ネットワーク150から伝達されるデータのフィルタリングに用いる。
フィルタリング部16は、保護対象機器110に対して、ネットワーク150から伝達されるデータをフィルタリングする。このフィルタリングによって、保護対象機器110の脆弱性に対して脅威を及ぼすデータ(危険パケット)を遮断することができる。
フィルタリング部16においては、パケット受信部15がネットワーク150から受信したパケットの各々を、防止対象リスト保存部13に保存されている防止対象リストL1と比較する。具体的には、フィルタリング部16は、防止対象リストL1に登録されている変異パケット項目の閾値と、受信したパケットのヘッダにおける該当するデータ項目の値をと比較する。
また、防止対象リストL1に複数の閾値が登録されている場合には、フィルタリング部16は、これらの複数の閾値について受信したパケットのヘッダにおける該当するデータ項目の値と比較する。
受信したパケットにおけるデータ項目の値が、防止対象リストL1に登録されている閾値以上の場合には、この受信したパケットは保護対象機器110に不具合を発生させるおそれがある危険パケットであると判断される。
フィルタリング部16は、この危険パケットの伝送を遮断し、保護対象機器110への到達を阻止する。すなわち、フィルタリング部16は危険パケットの保護対象機器110への伝送を遮断する遮断部として機能する。
フィルタリング部16において遮断した危険パケットは、破棄してもよく、又、後に管理者等が当該危険パケットの分析等を行なうことができるように、後述するメモリ102や記憶装置103等に格納(隔離)してもよい。
一方、フィルタリング部16は、受信したパケットにおけるデータ項目の値が、防止対象リストL1に登録されている閾値よりも小さい場合には、この受信したパケットは保護対象機器110に不具合を発生させるおそれがない安全パケットと判断して、当該パケットをパケット送信部17に送信する。
なお、フィルタリング部16は、ネットワーク150から受信したデータが圧縮等で変換されている場合には、逆変換したデータをフィルタリングの対象としてもよい。
また、フィルタリング部16は、受信したパケットにおけるデータ項目の値と、防止対象リストL1に登録されている閾値との比較の結果として肯定的な結果又は否定的な結果を、パケット送信部17に出力してもよい。
なお、本明細書において、フィルタリング部16の肯定的な結果とは、受信したパケットにおけるデータ項目の値が、防止対象リストL1に登録されている閾値以上であることを意味し、そのデータは保護対象機器110に到達させずに遮断されるべきことを意味する。フィルタリング部16における否定的な結果とは、その逆を意味し、保護対象機器110にデータを到達させるべきことを意味する。
なお、ネットワークフィルタリング装置10においては、保護対象機器110からネットワーク150へ出力されるデータは、そのまま通過させてもよい。
また、フィルタリング部16は、パケット受信部15が受信したパケットのそれぞれを、図示しないパターン保存部に予め格納されたパターンと比較してもよい。この比較の結果、受信したパケットの少なくとも一部が、パターンと一致もしくは略一致した場合に、フィルタリング部16は、そのパケットを危険パケットと判断して、この危険パケットの伝送を遮断し、保護対象機器110への到達を阻止することができる。
本ネットワークフィルタリング装置10は、図2に示すように、CPU(Central Processing Unit)101,メモリ102,記憶装置103,媒体読取装置106及びネットワークインタフェース(I/F)104,105を備える。
ネットワークインタフェース104は、本ネットワークフィルタリング装置10をネットワーク150と通信可能に接続するインタフェース装置であり、例えば、LAN(Local Area Network)アダプタである。そして、このネットワークインタフェース104が、上述したパケット受信部15として機能する。
ネットワークインタフェース105は、本ネットワークフィルタリング装置10を保護対象機器110と通信可能に接続するインタフェース装置であり、例えば、LANアダプタである。そして、このネットワークインタフェース105が、上述したパケット送信部17として機能する。
なお、ネットワークインタフェース104,105は、LANアダプタに限定されるものではなく、例えば、光通信用アダプタ等、種々変形して実施することができる。
メモリ102はROM(Read Only Memory)及びRAM(Random Access Memory)を含む記憶装置である。メモリ102のROMには、ネットワークフィルタリング制御に係るソフトウェアプログラムやこのプログラム用のデータ類が書き込まれている。メモリ102上のソフトウェアプログラムは、CPU101に適宜読み込まれて実行される。又、メモリ102のRAMは、一次記憶メモリあるいはワーキングメモリとして利用される。
記憶装置103は、例えば、HDD(Hard disk drive)や不揮発性メモリ等のデータを格納可能な記憶装置であって、OS(Operating System)や各種プログラム,このプログラム用のデータ類を格納する。
また、これらのメモリ102や記憶装置103には、パケット受信部15が受信したパケットや防止対象リストL1が格納される。すなわち、メモリ102や記憶装置103が、上述した、パケット保存部12や防止対象リスト保存部13として機能する。
CPU101は、種々の制御や演算を行なう処理装置であり、メモリ102や記憶装置103に格納されたOSやプログラムを実行することにより、種々の機能を実現する。すなわち、CPU101は、上述した、防止対象リスト作成部11,保護対象監視部14及びフィルタリング部16として機能する。
媒体読取装置106は、記録媒体RMが装着可能に構成される。媒体読取装置106は、記録媒体RMが装着された状態において、記録媒体RMに記録されている情報を読み取り可能に構成される。本例では、記録媒体RMは可搬性を有する。記録媒体RMは、コンピュータ読取可能な記録媒体であって、例えば、フレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク、又は、半導体メモリである。
なお、上述した防止対象リスト作成部11,保護対象監視部14及びフィルタリング部16としての機能を実現するためのプログラム(ネットワークフィルタリングプログラム)は、例えば前述した記録媒体RMに記録された形態で提供される。そして、コンピュータはその記録媒体RMからプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
防止対象リスト作成部11,保護対象監視部14及びフィルタリング部16としての機能を実現する際には、内部記憶装置(本実施形態ではメモリ102)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU101)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。
上述の如く構成された第1実施形態の一例としてのネットワークフィルタリング装置10における処理を、図7に示すフローチャート(ステップS1〜S9)に従って説明する。
攻撃者30がファジングによる攻撃パケットを保護対象機器110に対して送信すると、ステップS1において、パケット受信部15がこのパケットを受信する。
ステップS2において、パケット受信部15は、受信したパケット(受信パケット)の複写をパケット保存部12に保存する。ここで、パケット保存部12には、予め保存する受信パケット数の上限(例えば10パケット)を設けておき、この上限を超える場合は、パケット保存部12に格納された最も古い受信パケットを捨てて、新しい受信パケットを追加する。又、パケット受信部15は、受信パケットをフィルタリング部16に送信する。
ステップS3において、フィルタリング部16がパケットの危険性を判定する。判定は防止対象リストL1に基づいて行なわれる。例えば、受信パケットがHTTPリクエストである場合において、ヘッダの特定の値のデータ長(文字数)が防止対象リストL1の閾値に設定された長さ以上になっている場合には、その受信パケットを危険パケットと判定する。例えば図5に示す例においては、受信パケットのHostヘッダの値が65536以上になっている場合に、この受信パケットが危険パケットとみなされる。
受信パケットが危険パケットであると判定された場合には(ステップS3の“危険”ルート参照)、ステップS9において、フィルタリング部16は、当該受信パケットを破棄し、保護対象機器110への到達を阻止する。これにより、保護対象機器110が危険パケットを受信することを阻止することができ、保護対象機器110を保護することができる。その後、ステップS1に戻って次の受信パケットに備える。
一方、受信パケットが安全パケットであると判定された場合には(ステップS3の“安全”ルート参照)、ステップS4において、パケット送信部17がこのパケットを保護対象機器110に対して送信する。
その後、ステップS5において、保護対象監視部14が保護対象機器110の挙動を監視する。保護対象機器110の挙動に不具合が検知されない場合には(ステップS5の“問題なし”ルート参照)、ステップS1に戻る。
一方、保護対象機器110の挙動に不具合が検知された場合には(ステップS5の“例外発生”ルート参照)、ステップS6において、防止対象リスト作成部11が、不具合発生の直前にパケット送信部17から送信したパケットが保護対象機器110に異常をもたらした原因パケットであると判断する。防止対象リスト作成部11は、この原因パケットに基づく防止対象リストL1への追加作業を開始する。
先ず、防止対象リスト作成部11は、パケット保存部12に保存された全パケットを参照し、各パケットが他パケットに比べて変異している箇所を特定する。図4に示した例においては、攻撃パケットAP1〜APnの間において、データ項目「Host」の値とデータ項目「Date」の値とがそれぞれ変異している。
次に、ステップS7において、防止対象リスト作成部11は、ステップS6において特定した変異箇所のうち、著しく変異している箇所である異常原因パケット項目を特定する。図4に示した例においては、防止対象リスト作成部11は、攻撃パケットAPnと、不具合を発生させなかった攻撃パケットAP1,AP2とを比較することにより、攻撃パケットAPn中の、攻撃パケットAP1,AP2に対して著しく変異している箇所(異常原因パケット項目)を特定する。詳細には、防止対象リスト作成部11は、攻撃パケットAPn中の、攻撃パケットAP1,AP2に対して閾値以上に変異する箇所を特定することにより、攻撃パケットAPnにおける異常原因パケット項目を特定する。
防止対象リスト作成部11は、複数の攻撃パケットAP1〜APnの各データ項目に設定されている文字の個数について、その最大値と最小値とを抽出し、これらの最大値と最小値との差(差分値)を算出する。
そして、防止対象リスト作成部11は、この算出された差分値を予め設定された閾値と比較し、算出した差分値がこの閾値よりも大きい場合に、当該データ項目を異常原因パケット項目と判断する。
すなわち、本第1実施形態においては、原因パケットにおいて、不具合が検出されていない他のパケットとの間で、構成する文字数が閾値以上変化している項目を異常原因パケット項目として特定する。
ステップS8において、防止対象リスト作成部11は、攻撃パケットAPnにおける、上述の如く特定した異常原因パケット項目のデータ(異常原因データ)を抽出して、防止対象リストL1の項目「閾値」として登録する。これにより、保護対象機器110に不具合を発生させた異常原因データが防止対象リストL1に登録され、以後、同様の危険パケットから保護対象機器110を保護することができるようになる。その後、ステップS1に戻る。
また、この際、防止対象リストL1に既に同一の異常原因パケット項目が登録されている場合には、防止対象リスト作成部11は、先に防止対象リストL1に格納されている閾値の値と、新たに原因パケットから抽出した異常原因パケット項目の値とを比較する。そして、原因パケットから抽出した異常原因パケット項目の値が、先に防止対象リストL1に格納されている閾値の値よりも小さい場合には、防止対象リストL1の閾値の値を、原因パケットから抽出した異常原因パケット項目の値で置換(更新)する。
これにより、保護対象機器110において検知された不具合に基づき、当該不具合を発生させた異常原因データにより防止対象リストL1を更新することができ、以後、同様の危険パケットから保護対象機器110を保護することができるようになる。
このように、第1実施形態の一例としてのネットワークフィルタリング装置10によれば、ファジング攻撃により保護対象機器110において不具合が発生した場合に、原因パケットを特定する。そして、パケット保存部12に保存された複数のパケットを比較することで、これらのパケット間で変異している変異箇所を特定する。そして、この変異箇所のうち、閾値以上に変異する箇所を特定することで異常原因パケット項目を特定し、原因パケットからこの異常原因パケット項目のデータを抽出し、防止対象リストL1に閾値として登録する。
これにより、保護対象機器110に不具合を生じさせた攻撃パケットに基づいて、防止対象リストL1を自動的に作成・更新することができる。すなわち、保護対象機器110の製品出荷後においても、防止対象リストL1を更新することができ信頼性を向上させることができる。すなわち、保護対象機器110の脆弱性に対して効果的に保護することができる。
また、この作成・更新した防止対象リストL1を用いてフィルタリング部16がパケット受信部15によって受信するパケットのフィルタリングを行なうことで、同様の攻撃パケットから保護対象機器110を保護することができ、強固なセキュリティを実現することができる。
(B)第2実施形態の説明
本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した第1実施形態の一例としてのネットワークフィルタリング装置10においては、防止対象リスト作成部11が、複数のパケット間において、データ項目の値の文字数に基づいて、異常原因パケット項目を特定しているが、これに限定されるものではない。
本第2実施形態においては、防止対象リスト作成部11は、複数のパケット間において、データ項目の値の大きさに基づいて異常原因パケット項目を特定するものであり、その他の部分は第1実施形態のネットワークフィルタリング装置10と同様に構成されている。
図8は本発明の第2実施形態としてのネットワークフィルタリング装置10における判断基準情報の作成方法を説明する図である。
図8においては、正常パケットBに基づいて複数の攻撃パケットを作成する例を示している。この図8に示す例においては、正常パケットBのヘッダについて、そのデータ項目「Content-Length」の値“6”を種々変更した複数の攻撃パケットAP11〜AP1n(nは自然数)が作成されている。
この図8においても、保護対象機器110がWebサーバであるとして、HTTPリクエストとしてパケットを受信する例を示している。
ここで、正常パケットBは、HTTPプロトコルの各種ヘッダ部分であり、POSTメソッドのパケットである。この情報が1つのパケットに含まれる。攻撃パケットAP11〜AP1nは、攻撃者30が既知のファジング手法を用いて作成するパケットの例を示している。これらの攻撃パケットAP11〜AP1nは、主としてバッファオーバーフローをチェックするためのパターンである。
本第2実施形態においては、ファジング攻撃により、データ項目「Content-Length」を構成する値を変異させることにより、データ項目「Content-Length」に含まれる文字の値を変異させた複数の攻撃パケットが作成されている。
具体的には、攻撃パケットAP11においては、データ項目「Content-Length」として ‘1’が設定されており、攻撃パケットAP12においては、データ項目「Content-Length」として ‘64’が設定されている。又、攻撃パケットAPnにおいては、データ項目「Content-Length」として“4096”が設定されている。
そして、例えば、保護対象機器110において、攻撃パケットAP11,AP12を受信した際には不具合は検出されず、その後、攻撃パケットAP1nを受信した際に不具合が検出されたものとする。
このような場合には、第1実施形態と同様に、保護対象機器110において不具合が検出される直前に受信した攻撃パケットAP1nが、保護対象機器110に不具合を発生させる原因である原因パケット(第1のデータパケット)と推定される。
そして、この原因パケットにおいて、その前に受信した他の攻撃パケットAP11,AP12との間で変異している箇所(変異箇所)が、保護対象機器110に不具合を発生させた要因(異常原因)と推定される。
そこで、防止対象リスト作成部11は、この原因パケットにおいて、その前に受信した他の攻撃パケットAP11,AP12との間で変異している箇所を特定する。
本第2実施形態においても、第1実施形態と同様にパケットがHTTPリクエストであることを利用し、変異箇所を個々のヘッダ、さらにヘッダのデータ項目と値(「:」で分割)に分離し、同じデータ項目の値をそれぞれ比較する。
そして、本第2実施形態においては、比較方法として、数値の大きさを比較の尺度とする。
図8に示す例においては、攻撃パケットAP11〜AP1nの間において、データ項目「Content-Length」の値とデータ項目「Date」の値とがそれぞれ変異している。
ここで、POSTのパケットにおいては、ヘッダの後にボディが続き、その長さが「Content-Length」で指定される。
防止対象リスト作成部11は、原因パケットにおいて、その前に受信した他の攻撃パケットAP11,AP12との間で変異している箇所として、データ項目「Content-Length」の値とデータ項目「Date」の値とを特定する。
このように、データ項目「Date」とデータ項目「Content-Length」とが変異箇所に含まれているが、第1実施形態でも示したように、データ項目「Date」は、パケットの受信時刻を示す情報であり、攻撃パケットAP11〜AP1nの間で数値に差異があって当然である。
データ項目「Date」の値は各パケットで異なるものの、その数値の大きさの変異は日時を示す値として妥当な範囲内に収まるべきものである。
一方、上述の如く、ファジング攻撃により、攻撃パケットAP11〜AP1nの間でデータ項目「Content-Length」の数値が異なる。すなわち、データ項目「Content-Length」の数値の大きさが各パケットで著しく異なっている。
本第2実施形態においては、防止対象リスト作成部11は、複数のパケット間において、データ項目の各値に基づいて、異常原因パケット項目を特定する。具体的には、複数のパケット間においてデータ項目の値の大きさが例えば256以上違っていれば「著しく変異している」とみなす。
受信パケットにおける各データ項目「Content-Length」の長さは“1”,“64”, …, “4096”となっており、データ項目「Content-Length」に設定されている各値について、その最大値は攻撃パケットAP1nの “4096”であり、最小値は攻撃パケットAP1の “1”である。これらの最大値と最小値との差(差分値)は4096−1=4095として算出される。
最小値の“1”と最大値の“4096”とでは256以上の違いがあるため、著しく変異しているとみなすことができる。防止対象リスト作成部11は、この算出された差分値“4095”を予め設定された閾値(例えば、“256”)と比較する。防止対象リスト作成部11は、算出した差分値がこの閾値よりも大きい場合に、著しく変異している箇所はデータ項目「Content-Length」の値の長さであり、当該データ項目「Content-Length」を異常原因パケット項目と判断する。
一方、データ項目「Date」に設定されている文字数は、各攻撃パケットAP11〜AP1nにおいて同じである。従って、これらの最大値と最小値との差(差分値)は“0”として算出される。
防止対象リスト作成部11は、この算出された差分値“0”を予め設定された閾値(例えば、“30”)と比較する。算出した差分値“0”はこの閾値よりも小さいので、当該データ項目「Date」は異常原因パケット項目から除外される。
すなわち、本第2実施形態においては、原因パケットにおいて、不具合が検出されていない他のパケットとの間で、その数値が閾値以上変化している項目を異常原因パケット項目として特定する。これにより、パケットの受信日時や送信日時のように、複数のパケット間で数値に差異があって当然のデータ項目を以上原因パケット項目から除外させることができ、効率的に処理を行なうことができる。
上述の如く、実際に保護対象機器110において脆弱性による不具合を引き起こした可能性の高い、直前に受信したパケットを組み合わせることにより、異常原因パケット項目が特定される。そして、原因パケットである攻撃パケットAP1nにおける、この異常原因パケット項目(本例ではデータ項目「Content-Length」)の数値の大きさを参照することで、『データ項目「Content-Length」の長さが256以上の場合に脆弱性が発生する』と解釈することができる。よって、この結果を防止対象リストL1に追加すれば、今後の攻撃パケットでデータ項目「Content-Length」の長さが“4096”以上のものを拒絶することができるようになる。
防止対象リスト作成部11は、攻撃パケットAP1nにおける、上述の如く特定した異常原因パケット項目のデータを判断基準情報として決定し、この判断基準情報として特定した異常原因データを、防止対象リストL1へ登録する。すなわち、防止対象リスト作成部11は、保護対象機器110において不具合を発生させた原因である攻撃パケットAP1nから、異常原因パケット項目の値を抽出して、防止対象リストL1の項目「閾値」として登録する。
このように、本発明の第2実施形態としてのネットワークフィルタリング装置10によっても、上述した第1実施形態と同様の作用効果を得ることができる。
(C)その他
そして、開示の技術は上述した実施形態に限定されるものではなく、本実施形態の趣旨を逸脱しない範囲で種々変形して実施することができる。本実施形態の各構成及び各処理は、必要に応じて取捨選択することができ、あるいは適宜組み合わせてもよい。
例えば、第1実施形態と第2実施形態とを組み合わせることにより、防止対象リスト作成部11が、複数のパケット間において、データ項目の値の文字数に基づいて、異常原因パケット項目を特定するとともに、複数のパケット間において、データ項目の値の大きさに基づいて異常原因パケット項目を特定してもよい。
この場合、防止対象リストL1には、データ項目「Host」に関する文字数の閾値と、データ項目「Content-Length」に関する数値の大きさの閾値とが登録される。フィルタリング部16は、これらの複数の閾値について、それぞれ受信したパケットのヘッダにおける該当するデータ項目の値と比較する。
また、上述した実施形態においては、ネットワークフィルタリング装置10がネットワーク150から受信したパケット単位で上記各処理を行なっているが、処理の単位はパケットに限定されるものではない。ネットワーク150から受信するデータの形式は、パケット以外のいかなる形式であってもよい。
さらに、上述した実施形態においては、フィルタリング部16が、受信したパケットにおけるデータ項目の値が防止対象リストL1に登録されている閾値よりも大きい場合に、この受信したパケットを危険パケットであると判断しているが、これに限定されるものではない。例えば、受信したパケットにおけるデータ項目の値が、防止対象リストL1に登録されている閾値よりも小さい場合には、受信したパケットを危険パケットであると判断してもよい。又、受信したパケットにおけるデータ項目の値が、防止対象リストL1に登録されている閾値と一致もしくは略一致した場合に、この受信したパケットを危険パケットであると判断してもよく、種々変形して実施することができる。
また、上述した開示により本実施形態を当業者によって実施・製造することが可能である。
10 ネットワークフィルタリング装置
11 防止対象リスト作成部
12 パケット保存部
13 防止対象リスト保存部
14 保護対象監視部
15 パケット受信部
16 フィルタリング部
17 パケット送信部
30 攻撃者
101 CPU
102 メモリ
103 記憶装置
104,105 ネットワークインタフェース
106 媒体読取装置
110 保護対象機器
150 ネットワーク
L1 防止対象リスト
RM 記録媒体

Claims (4)

  1. ネットワークを介してデータパケットを受信する機器を監視する監視部と、
    前記機器の異常を検出すると、該異常を発生させた第1のデータパケットを保持する保持部と、
    前記機器が受信した第2のデータパケットと前記第1のデータパケットとを比較する比較部と、
    前記第1のデータパケット中の、前記第2のデータパケットに対して閾値以上に変異する箇所を特定する特定部と、
    前記特定した箇所のデータを登録する登録部と
    を備えることを特徴とする、ネットワークフィルタリング装置。
  2. 前記ネットワークを介して受信したデータパケットにおける、前記特定部により特定された箇所に対応するデータに対して、前記登録部に登録された前記データを閾値として比較し、前記受信したデータパケットの前記データが、前記登録部に登録された前記データを超える場合に、当該受信したデータパケットの伝送を抑止するフィルタリング部を備えることを特徴とする、請求項1記載のネットワークフィルタリング装置。
  3. ネットワークを介してデータパケットを受信する機器を監視する処理と、
    前記機器の異常を検出すると、該異常を発生させた第1のデータパケットを保持する処理と、
    前記機器が受信した第2のデータパケットと前記第1のデータパケットとを比較する処理と、
    前記第1のデータパケット中の、前記第2のデータパケットに対して閾値以上に変異する箇所を特定する処理と、
    前記特定した箇所のデータを登録する処理と
    を備えることを特徴とする、ネットワークフィルタリング方法。
  4. 前記ネットワークを介して受信したデータパケットにおける、前記特定された箇所に対応するデータに対して、前記登録されたデータを閾値として比較し、前記受信したデータパケットの前記データが、前記登録された前記データを超える場合に、当該受信したデータパケットの伝送を抑止する処理を備えることを特徴とする、請求項3記載のネットワークフィルタリング方法。
JP2013209909A 2013-10-07 2013-10-07 ネットワークフィルタリング装置及びネットワークフィルタリング方法 Withdrawn JP2015075808A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013209909A JP2015075808A (ja) 2013-10-07 2013-10-07 ネットワークフィルタリング装置及びネットワークフィルタリング方法
US14/498,150 US20150101036A1 (en) 2013-10-07 2014-09-26 Network filtering device, network filtering method and computer-readable recording medium having stored therein a program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013209909A JP2015075808A (ja) 2013-10-07 2013-10-07 ネットワークフィルタリング装置及びネットワークフィルタリング方法

Publications (1)

Publication Number Publication Date
JP2015075808A true JP2015075808A (ja) 2015-04-20

Family

ID=52778068

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013209909A Withdrawn JP2015075808A (ja) 2013-10-07 2013-10-07 ネットワークフィルタリング装置及びネットワークフィルタリング方法

Country Status (2)

Country Link
US (1) US20150101036A1 (ja)
JP (1) JP2015075808A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184383B2 (en) 2016-05-27 2021-11-23 Etas Gmbh Security test system, security test method, function evaluation device, and program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7003864B2 (ja) * 2018-07-24 2022-02-10 日本電信電話株式会社 振分装置、通信システムおよび振分方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
CA2313908A1 (en) * 2000-07-14 2002-01-14 David B. Skillicorn Intrusion detection in networks using singular value decomposition
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
JP4582682B2 (ja) * 2002-07-08 2010-11-17 株式会社日立製作所 セキュリティウォールシステム
EP1665715B1 (en) * 2003-09-11 2019-05-22 Bae Systems Plc Real-time network monitoring and security
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7421737B1 (en) * 2004-05-04 2008-09-02 Symantec Corporation Evasion detection
US20080098476A1 (en) * 2005-04-04 2008-04-24 Bae Systems Information And Electronic Systems Integration Inc. Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks
US8416814B2 (en) * 2005-06-28 2013-04-09 Axerra Networks, Ltd. System and method for high precision clock recovery over packet networks
US7757283B2 (en) * 2005-07-08 2010-07-13 Alcatel Lucent System and method for detecting abnormal traffic based on early notification
JP4232828B2 (ja) * 2007-02-01 2009-03-04 沖電気工業株式会社 アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
US20080196103A1 (en) * 2007-02-09 2008-08-14 Chao-Yu Lin Method for analyzing abnormal network behaviors and isolating computer virus attacks
US8037532B2 (en) * 2007-12-11 2011-10-11 International Business Machines Corporation Application protection from malicious network traffic
US20090217382A1 (en) * 2008-02-25 2009-08-27 Alcatel-Lucent Method and procedure to automatically detect router security configuration changes and optionally apply corrections based on a target configuration
JP4983671B2 (ja) * 2008-03-19 2012-07-25 沖電気工業株式会社 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US8934582B2 (en) * 2008-05-19 2015-01-13 Freescale Semiconductor, Inc. Method and apparatus for detecting a set up signal used for data communication over a communication network
TWI515600B (zh) * 2013-10-25 2016-01-01 緯創資通股份有限公司 惡意程式防護方法與系統及其過濾表格更新方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184383B2 (en) 2016-05-27 2021-11-23 Etas Gmbh Security test system, security test method, function evaluation device, and program

Also Published As

Publication number Publication date
US20150101036A1 (en) 2015-04-09

Similar Documents

Publication Publication Date Title
US10291630B2 (en) Monitoring apparatus and method
JP6432210B2 (ja) セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
KR101380908B1 (ko) 해커 바이러스 보안통합관리기기
WO2018218537A1 (zh) 工业控制系统及其网络安全的监视方法
US9497212B2 (en) Detecting malicious resources in a network based upon active client reputation monitoring
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
JP2006119754A (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP6052297B2 (ja) ネットワークのフィルタリング装置、及びフィルタリング方法
JP2008278272A (ja) 電子システム、電子機器、中央装置、プログラム、および記録媒体
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
US10171492B2 (en) Denial-of-service (DoS) mitigation based on health of protected network device
JP2015075808A (ja) ネットワークフィルタリング装置及びネットワークフィルタリング方法
JP2007188437A (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
KR101047382B1 (ko) 악성코드를 역이용한 파일 탈취 방지 방법 및 시스템, 및 기록 매체
KR101551537B1 (ko) 정보유출방지장치
KR101606090B1 (ko) 네트워크 보호 장치 및 방법
US11503060B2 (en) Information processing apparatus, information processing system, security assessment method, and security assessment program
JP5957593B2 (ja) データ中継装置、ネットワークシステム、および、データ中継方法
JP6851211B2 (ja) ネットワーク監視システム
KR20180059611A (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
JPWO2020195229A1 (ja) 分析システム、方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160606

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20170130