JP2017054332A - 通信先判定装置、通信先判定方法、及び、通信先判定プログラム - Google Patents

通信先判定装置、通信先判定方法、及び、通信先判定プログラム Download PDF

Info

Publication number
JP2017054332A
JP2017054332A JP2015178305A JP2015178305A JP2017054332A JP 2017054332 A JP2017054332 A JP 2017054332A JP 2015178305 A JP2015178305 A JP 2015178305A JP 2015178305 A JP2015178305 A JP 2015178305A JP 2017054332 A JP2017054332 A JP 2017054332A
Authority
JP
Japan
Prior art keywords
signal
communication
communication destination
information
history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015178305A
Other languages
English (en)
Other versions
JP6098687B2 (ja
Inventor
匡人 山根
Masato Yamane
匡人 山根
佑樹 芦野
Yuuki Ashino
佑樹 芦野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015178305A priority Critical patent/JP6098687B2/ja
Priority to US15/753,620 priority patent/US10735440B2/en
Priority to PCT/JP2016/004069 priority patent/WO2017043073A1/ja
Priority to EP16843941.2A priority patent/EP3349138B1/en
Priority to SG11201801963YA priority patent/SG11201801963YA/en
Publication of JP2017054332A publication Critical patent/JP2017054332A/ja
Application granted granted Critical
Publication of JP6098687B2 publication Critical patent/JP6098687B2/ja
Priority to HK18111512.6A priority patent/HK1252122A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

【課題】脅威である可能性が高い通信先を検知することが可能な通信先判定装置等を提供する。
【解決手段】
通信先判定装置101は、通信ネットワークを介して通信先104から送信された第1信号を受信した場合に、該第1信号に呼応する第2信号を通信先104に送信する信号送信部102と、該第2信号を送信したタイミングからある時間内に通信先104から送信された第3信号を受信するか否かに基づいて、通信先104が脅威である可能性が高いか否かを分類する通信先判定部103とを有する。
【選択図】 図1

Description

本発明は、セキュリティを担保するのに有用な通信先判定装置等に関する。
ウェブ(Web)サーバやメールサーバ等のサーバは、イントラネット、または、インターネット等の通信ネットワークを介して、メールを取得する要求(リクエスト)等を、多数の通信先(通信装置)から受信する。
たとえば、特許文献1及び特許文献2は、通信ネットワークを介して受信したリクエスト信号を処理可能なサーバを管理する装置を開示している。該特許文献1、及び、該特許文献2に開示された技術について、それぞれ説明する。
特許文献1に開示された管理装置は、通信ネットワークを介して受信したリクエスト信号の回数が、所定の時間間隔、及び、該リクエストの種類ごとに分類されたリクエスト分類ログを作成する。該管理装置は、さらに、該所定の時間間隔ごとに、該リクエストを処理したサーバにおけるリソースの使用量が記録されたシステムログを生成する。該管理装置は、作成したリクエスト分類ログと、作成したシステムログとに基づいて、リクエストごとに、該リクエストを処理するのに要したリソースの使用量を算出する。
特許文献2に開示されたリクエスト制限装置は、サーバにおける処理負荷の状況に応じて、該負荷を低減する可能性が高いリクエストを制限することができる。該リクエスト制限装置は、リクエストを複数のリクエストパタンに分類し、リクエストに応じた処理を実行する場合の負荷を、分類したリクエストパタンごとに算出する。該リクエスト制限装置は、あるリクエストに対して、該あるリクエストが属するリクエストパタンを特定し、特定したリクエストパタンに属するリクエストを処理する場合の負荷に基づいて、該あるリクエストを制限するか否かを判定する。
上述した例のようなサーバを構築する場合には、該サーバにおける高いセキュリティを担保する必要があることに加え、さらに、悪意を有する通信先から、通信ネットワークを介して脅威(不正プログラム)を受けるリスクを低減する必要がある。たとえば、特許文献3は、ホスト装置が有する脆弱性を診断可能な脆弱性診断実施装置を開示している。
該脆弱性診断実施装置は、ホスト装置に対して脆弱性を診断する処理を実行した場合に、該処理を実行した時間を表す履歴情報を有している。該脆弱性診断実施装置は、あるホスト装置に関する脆弱性を診断する場合に、該履歴情報に基づいて、該あるホスト装置に関する脆弱性を診断するのに要する時間を推定し、推定した時間に基づいて、該あるホスト装置を診断するスケジュールを作成する。
国際公開第2008/007669号 特開2007−328417号公報 特開2009−237807号公報
悪意を有する通信先がある装置に攻撃する方法は多様化している。この結果、たとえ、特許文献3に開示された脆弱性診断実施装置を用いて、効率的にサーバに関する脆弱性を診断したとしても、必ずしも、すべての脆弱性を診断できるとは限らない。この理由は、該装置が、必ずしも、多様化している攻撃方法に従い攻撃する通信先を検知できるとは限らないからである。
そこで、本発明の主たる目的は、脅威である可能性が高い通信先を検知することが可能な通信先判定装置等を提供することである。
前述の目的を達成するために、本発明の一態様において、通信先判定装置は、
通信ネットワークを介して通信先から送信された第1信号を受信した場合に、前記第1信号に呼応する第2信号を前記通信先に送信する信号送信手段と、
前記第2信号を送信したタイミングからある時間内に前記通信先から送信された第3信号を受信するか否かに基づいて、前記通信先が脅威である可能性が高いか否かを分類する通信先判定手段と
を備える。
また、本発明の他の見地として、通信先判定方法は、
通信ネットワークを介して通信先から送信された第1信号を受信した場合に、前記第1信号に呼応する第2信号を前記通信先に送信し、前記第2信号を送信したタイミングからある時間内に前記通信先から送信された第3信号を受信するか否かに基づいて、前記通信先が脅威である可能性が高いか否かを分類する。
さらに、同目的は、係る通信先判定プログラム、及び、そのプログラムを記録するコンピュータが読み取り可能な記録媒体によっても実現される。
本発明に係る通信先判定装置等によれば、脅威である可能性が高い通信先を検知することができる。
本発明の第1の実施形態に係る通信先判定装置が有する構成を示すブロック図である。 第1の実施形態に係る通信先判定装置における処理の流れを示すフローチャートである。 リクエスト信号の一例を表す図である。 応答信号の一例を表す図である。 本発明の第2の実施形態に係る通信先判定装置が有する構成を示すブロック図である。 第2の実施形態に係る通信先判定装置における処理の流れを示すフローチャートである。 信号情報の一例を概念的に表す図である。 通信履歴情報の一例を概念的に表す図である。 本発明の第3の実施形態に係る通信先判定装置が有する構成を示すブロック図である。 第3の実施形態に係る通信先判定装置における処理の流れを示すフローチャートである。 通信履歴情報の一例を概念的に表す図である。 通信履歴情報の一例を概念的に表す図である。 通信履歴情報の一例を概念的に表す図である。 通信履歴情報の一例を概念的に表す図である。 通信履歴情報の一例を概念的に表す図である。 本発明の各実施形態に係る通信先判定装置を実現可能な計算処理装置のハードウェア構成例を、概略的に示すブロック図である。
次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。
<第1の実施形態>
図1を参照しながら、本発明の第1の実施形態に係る通信先判定装置101が有する構成について詳細に説明する。図1は、本発明の第1の実施形態に係る通信先判定装置101が有する構成を示すブロック図である。
第1の実施形態に係る通信先判定装置101は、信号送信部102と、通信先判定部103とを有する。
通信先判定装置101は、通信ネットワークを介して、通信先(通信装置)104に通信接続することができる。
以降、通信先判定装置における処理について説明するが、便宜上、通信ネットワークを介して送受信される情報は、HTTPに従って処理されるとする。HTTPは、Hypertext_Transfer_Protocolの略称を表す。尚、通信ネットワークを介して送受信される情報は、HTTPに従って処理されなくともよく、異なる通信プロトコルに従って処理されてもよい。
図2を参照しながら、第1の実施形態に係る通信先判定装置101における処理について詳細に説明する。図2は、第1の実施形態に係る通信先判定装置101における処理の流れを示すフローチャートである。
通信先104は、通信ネットワークを介して、通信先判定装置101にリクエスト信号(以降、「第1信号」とも表す)を送信する。リクエスト信号は、たとえば、あるファイルを要求する信号である。HTTPリクエストの場合、リクエスト信号は、たとえば、例1乃至例3に示すリクエストを含む信号である。
例1:GET / HTTP/1.1(HTTPバージョン1.1に従い記述された、ディレクトリ「/」におけるファイルをリクエストするリクエスト信号)、
例2:GET /rom−0 HTTP/1.1(HTTPバージョン1.1に従い記述された、ディレクトリ「/」におけるファイル「rom−0」をリクエストするリクエスト信号)、
例3:GET /nnnn/nnn/nn.php HTTP/1.1(HTTPバージョン1.1に従い記述された、ディレクトリ「/nnnn/nnn」におけるファイル「nn.php」をリクエストするリクエスト信号)。
図3を参照しながら、より具体的に、リクエスト信号(第1信号)について説明する。図3は、リクエスト信号の一例を表す図である。
たとえば、リクエスト信号は、例1乃至例3に示したリクエストの他に、通信先を表すアドレス(図3における「Host」の項目)が「www.xxx.zzz」であることを表す情報等を含むヘッダ(「Accept:」乃至「Keep−Alive」)を含んでいてもよい。ヘッダは、たとえば、通信先のオペレーティングシステムが「OS_10」であることを表す情報等を含んでもよい。尚、図3に例示されたリクエスト信号は、HTTPに従っているので、図3に関する各項目に関する詳細な説明を省略する。
図2を参照すると、信号送信部102は、通信先104が送信した第1信号(リクエスト信号)を受信する(ステップS101)。信号送信部102は、受信した第1信号に呼応する応答信号(以降、「第2信号」とも表す)を通信先104に送信する(ステップS102)。
HTTPバージョン1.1の場合に、応答信号は、図4に例示するような、たとえば、受信したリクエスト信号に対する処理を正常に実行できたことを表す「200_OK」なる応答(レスポンス)を含む信号である。図4は、応答信号(第2信号)の一例を表す図である。応答信号は、「200_OK」なる応答の他、日時等が記述されたヘッダ(「Date:」乃至「text/html」)、リクエスト信号に応じた情報(メッセージボディ)等を含んでいてもよい。尚、図4に例示された応答信号は、HTTPに従っているので、図4に関する各項目に関しては、詳細な説明を省略する。尚、信号送信部102が送信する応答信号は、必ずしも、リクエスト信号に対する処理を正常に実行できたことを表す信号でなくてもよい。
図2を参照すると、ステップS102の後に、通信先判定部103は、通信先104に第2信号(応答信号)を送信したタイミングから、ある時間内に通信先104から第3信号を受信することができるか否かに基づいて、通信先104が脅威である可能性が高いか否かを分類する(ステップS103)。通信先判定部103は、通信先104に第2信号を送信したタイミングから、ある時間内に第3信号を受信した場合に、通信先104が脅威である可能性が高いと分類する。通信先判定部103は、通信先104に第2信号を送信したタイミングから、ある時間内に第3信号を受信しなかった場合に、第2信号に関して通信先104が脅威である可能性が低いと分類する。
ステップS103において、第3信号は、たとえば、リクエスト信号である。この場合に、第3信号は、第1信号と同じファイルを要求する信号であってもよいし、異なるファイルを要求する信号であってもよい。
ステップS103において、ある時間は、たとえば、30分間である。この場合に、通信先判定部103は、通信先104に第2信号(応答信号)を送信したタイミングから30分以内に通信先104から第3信号が受信されるか否かに基づいて、通信先104が脅威である可能性が高いか否かを分類する。通信先判定部103は、通信先104に第2信号を送信したタイミングから30分以内に第3信号を受信した場合に、通信先104が脅威である可能性が高いと分類する。通信先判定部103は、通信先104に第2信号を送信したタイミングから、ある時間内に第3信号を受信しなかった場合に、第2信号に関して通信先104が脅威である可能性が低いと分類する。
通信先判定部103は、脅威である可能性が高いと分類した通信先104を表す情報(たとえば、アドレス)を、表示装置(不図示)、外部装置(不図示)等に出力してもよい。
通信ネットワークを介して実行される通信を監視する管理者は、たとえば、該表示装置に表示された情報を参照することにより、脅威である可能性が高い通信先を特定することができる。
次に、第1の実施形態に係る通信先判定装置101に関する効果について説明する。
通信先判定装置101によれば、脅威である可能性が高い通信先を検知することができる。この理由について詳細に説明する。
通信ネットワークを介して送受信される信号は、脅威である可能性の高い信号と、脅威である可能性の低い信号とに大別される。本願発明者は、ある通信先から第1信号を受信した場合に該第1信号に呼応して送信する第2信号に対して、ある通信先が、さらに、所定の時間内に第3信号を送信するか否かに基づいて、該ある通信先が脅威である可能性が高いか否かを分類できる傾向を見出した。この判定方法について、以下に詳細に説明する。
説明の便宜上、ある通信先は、通信ネットワークを介して第1信号をサーバに送信するとする。
本願発明者は、ある通信先を、該ある通信先が該第1信号に呼応する第2信号を受信することに応じて、さらに、所定の時間内に第3信号を該サーバに送信する第1通信装置と、どんな第2信号を受信したとしても第3信号を該サーバに送信しない第2通信装置とに大別できることを見出した。さらに、本願発明者は、このような場合において、該第1通信装置が脅威である可能性が高く、該第2通信装置が脅威である可能性が低いという傾向(特徴)を見出した。この結果、本願発明者は、該第1信号に呼応する第2信号を送信してから所定の時間内に第3信号を受信するか否かに基づいて、該ある通信先が脅威である可能性が高いか否かを分類できるという傾向を見出した。
上述したように、本実施形態に係る通信先判定装置101が、該傾向を利用することによって、通信先が脅威である可能性が高いか否かを分類するので、本実施形態に係る通信先判定装置101によれば、脅威である可能性が高い通信先を検知することができる。
これに対して、特許文献3に記載された脆弱性診断実施装置は、上述したような傾向を利用していないので、必ずしも、脅威である可能性が高い通信先を、検知できるとは限らない。
すなわち、第1の実施形態に係る通信先判定装置101によれば、脅威である可能性が高い通信先を検知することができる。
尚、通信先判定装置101は、通信先104が送信する第1信号を受信するのに応じて処理を開始したが、たとえば、通信先104に第4信号を送信し、通信先104が該第4信号に呼応して第1信号を送信する態様であってもよい。また、上述した例においては、通信先判定装置101が、第2信号を送信し、さらに、第3信号を受信するとしたが、必ずしも、第2信号を送信する処理と、第3信号を受信する処理とを1台の装置において実行する必要はない。通信判定装置101が複数台ある場合に、ある通信判定装置が第2信号を送信し、該ある通信判定装置と異なる通信判定装置が第3信号を受信するか否か判定してもよい。
さらに、上述した機能を、たとえば、通信ネットワークに通信接続可能なプロキシサーバを表すIPアドレスを探索するプロキシスキャナ(以降、「第2通信先」とも表す)を用いても実現することができる。この場合に、通信先判定装置101は、必ずしも、第2信号の送付先が、第1信号を送信した通信先である必要はない。該プロキシサーバを用いて、上述した機能を実現する処理態様について説明する。
プロキシスキャナは、特定の装置に第5信号を送信する。特定の装置は、プロキシスキャナが送信した第5信号を受信し、受信した第5信号に応じて、第6信号をサーバに送信する。サーバは、特定の装置が送信した第6信号を受信し、受信した第6信号に呼応する第7信号を特定の装置に送信する。特定の装置は、サーバが送信した第7信号を受信し、受信した第7信号に応じて、第8信号をプロキシスキャナに送信する。プロキシスキャナは、特定の装置が送信した第8信号を受信する。プロキシスキャナは、第5信号と第6信号とが一致するか否か、第7信号と第8信号とが一致するか否か、及び、第8信号が第5信号に呼応した信号であるか否かに基づいて、特定の装置がプロキシ機能を有しているか否かを判定する。この処理において、特定の装置が通信先判定装置101である場合に、通信先判定装置101は、プロキシスキャナによって送信された第5信号に呼応して、サーバに第6信号を送信し、該サーバが第6信号に応じて送信する第7信号を、該第6信号を送信したタイミングから所定の時間内に受信するか否かに基づいて、該サーバが脅威である可能性が高いか否かを分類する。
上述した例においては、第1信号を送信した通信先が第3信号を送信する例を参照しながら、該通信先が脅威である可能性が高いか否かを、通信先判定装置101が分類する処理の流れを説明したが、必ずしも、通信先は1つでなくてもよい。たとえば、第3の実施形態にて後述するように、通信先判定装置101は、信号(第1信号、または、第3信号)を受信するポート等に基づいて、通信先が脅威である可能性が高いか否かを判定してもよい。
<第2の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図5を参照しながら、本発明の第2の実施形態に係る通信先判定装置208が有する構成について詳細に説明する。図5は、本発明の第2の実施形態に係る通信先判定装置208が有する構成を示すブロック図である。
第2の実施形態に係る通信先判定装置208は、信号送信部102と、通信先判定部103と、履歴特定部205と、信号選択部206と、履歴更新部207とを有する。通信先判定装置208は、図7を参照しながら後述する信号情報209、及び、図8を参照しながら後述する通信履歴情報210を、参照、更新、または、格納することができる。
通信先判定装置208は、通信ネットワークを介して、通信先(通信装置)104に通信接続することができる。
図7を参照しながら信号情報209について説明する。図7は、信号情報209の一例を概念的に表す図である。
信号情報209は、通信先104からリクエスト信号(第1信号)を受信した場合に、受信したリクエスト信号に対して有効な応答信号(第2信号)を含む。信号情報209は、図7に示すように、応答信号と、該応答信号を識別可能な信号識別子とが関連付けされた情報であってもよい。
図7に例示された信号情報209においては、信号識別子「R1」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、リクエスト信号に対して有効な応答信号として「200_OK._Its_works!」を送信可能であることを表す。また、図7に例示された信号情報209においては、信号識別子「R2」と、応答信号「404_Not_Found」とが関連付けされている。これは、応答信号「404_Not_Found」を表す信号識別子が「R2」であり、リクエスト信号に対して有効な応答信号として「404_Not_Found」を送信可能であることを表す。
尚、信号情報209は、さらに多くの応答信号を含んでいてもよいし、図7に例示された項目(信号識別子、応答信号)とは異なる項目を含んでいてもよい。すなわち、信号情報209は、上述した例に限定されない。
次に、図8を参照しながら、通信履歴情報210について説明する。図8は、通信履歴情報210の一例を概念的に表す図である。
通信履歴情報210は、受信したリクエスト信号に呼応して、通信先104に送信した応答信号を含む。通信履歴情報210は、図8に示すように、応答信号と、該応答信号を識別可能な信号識別子とが関連付けされた情報であってもよい。
図8に例示された通信履歴情報210においては、信号識別子「R1」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、リクエスト信号(第1信号)に呼応して応答信号「200_OK._Its_works!」を送信した履歴を表す。
尚、通信履歴情報210は、さらに多くの応答信号を含んでいてもよいし、図8に例示された項目とは異なる項目を含んでいてもよい。すなわち、通信履歴情報210は、上述した例に限定されない。
次に、図6を参照しながら、第2の実施形態に係る通信先判定装置208における処理について詳細に説明する。図6は、第2の実施形態に係る通信先判定装置208における処理の流れを示すフローチャートである。
信号送信部102は、通信先104が送信した第1信号を受信する(ステップS101)。
履歴特定部205は、通信履歴情報210に含まれている応答信号を読み取る(ステップS201)。すなわち、ステップS201において、履歴特定部205は、通信履歴情報210から、通信先104に対して送信したことがある応答信号(第2信号)を読み取る。
信号選択部206は、信号情報209に含まれている応答信号のうち、履歴特定部205が読み取った応答信号と異なる1つの応答信号を選択する(ステップS202)。すなわち、ステップS202において、信号選択部206は、リクエスト信号に対する応答として有効な応答信号のうち、通信先104に対して送信したことがない応答信号を選択する。尚、通信履歴情報210が応答信号を含んでいない場合に、信号選択部206は、信号情報209に含まれている応答信号のうち、1つの応答信号を選択すればよい。あるいは、履歴特定部205が応答信号を含んでいない場合に、信号選択部206は、信号情報209に含まれている応答信号のうち、受信したリクエスト信号に対して所定の応答信号を選択してもよい。たとえば、リクエスト信号に呼応して送信される応答信号が、特定の応答信号に多く(または、少なく)偏っていることが分かっている場合には、該所定の応答信号として、該特定の応答信号が設定されていてもよい。
信号送信部102は、信号選択部206が選択した応答信号(すなわち、上述した第2信号)を、通信先104に送信する(ステップS102)。
履歴更新部207は、信号送信部102が送信した応答信号を通信履歴情報210に追加することにより、通信履歴情報210を更新する(ステップS203)。
但し、ステップS103、ステップS203の順に処理が実行されてもよい。
次に、第2の実施形態に係る通信先判定装置208に関する効果について説明する。
通信先判定装置208によれば、脅威である可能性が高い通信先104を検知することができる。この理由は、通信先判定装置208が有する構成が、第1の実施形態に係る通信先判定装置101が有する構成を含むからである。
本実施形態に係る通信先判定装置208によれば、脅威である可能性が高い通信先104を、効率的に検知することができる。この理由は、通信先104がリクエスト信号を送信する契機となる特定の応答信号を、通信先判定装置208が探索することができるからである。脅威である可能性が高い通信先104は、リクエスト信号に呼応して受信した応答信号が特定の応答信号である場合に、該応答信号を契機として、さらに、リクエスト信号を送信する可能性が高い。しかし、特定の応答信号は不明であるので、脅威である可能性が高い通信先を一層確実に検知する目的のためには、通信先104に応じた特定の応答信号を見つけ出すことが必要である。信号選択部206は、ある通信先104からリクエスト信号を受信した場合に、信号情報209に含まれている送信可能な応答信号のうち、通信履歴情報210に含まれている応答信号とは異なる応答信号を選択する。信号送信部102は、信号選択部206が選択した応答信号を送信するので、効率的に特定の応答信号を見つけ出す可能性が高い。
すなわち、本実施形態に係る通信先判定装置208によれば、脅威である可能性が高い通信先を、効率的に検知することができる。
尚、上述した処理において、通信先判定装置208は、通信履歴情報210に含まれている応答信号とは異なる応答信号を通信先104に送信したが、信号情報209に含まれている各応答信号を送信した場合には、応答信号を送信しない処理構成であってもよい。
また、通信先判定装置208は、複数であってもよい。この場合に、複数の通信先判定装置208は、1つの通信履歴情報210を参照する処理構成であってもよい。たとえば、通信先判定装置208が複数であり、各通信先判定装置208が1つの通信履歴情報210を参照する場合には、より一層効率的に、脅威である可能性が高い通信先を検知することができる。この理由は、通信先104が短期間に複数の通信先判定装置208に対してリクエスト信号を送信する場合に、各通信先判定装置208が通信履歴情報210を共有することによって、相互に異なる応答信号を通信先に送信することができるからである。
<第3の実施形態>
次に、本発明の第3の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第2の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図9を参照しながら、本発明の第3の実施形態に係る通信先判定装置311が有する構成について詳細に説明する。図9は、本発明の第3の実施形態に係る通信先判定装置311が有する構成を示すブロック図である。
第3の実施形態に係る通信先判定装置311は、信号送信部102と、通信先判定部103と、履歴特定部305と、信号選択部206と、履歴更新部307と、通信履歴情報格納部310を有する。通信先判定装置311は、図7を参照しながら説明したような信号情報209を参照することができる。
通信先判定装置311は、通信ネットワークを介して、通信先(通信装置)104に通信接続することができる。
次に、図10を参照しながら、第3の実施形態に係る通信先判定装置311における処理について詳細に説明する。図10は、第3の実施形態に係る通信先判定装置311における処理の流れを示すフローチャートである。尚、第3の実施形態は、第2の実施形態と比べて、たとえば、通信履歴情報格納部310に格納される通信履歴情報に関する処理等が第2の実施形態と異なる。
信号送信部102は、通信先104が送信した第1信号を受信する(ステップS101)。
履歴特定部205は、通信履歴情報格納部310に格納されている、図11乃至図15を参照しながら説明するような通信履歴情報に基づき、送信済みの応答信号を読み取る(ステップS301)。尚、ステップS301に関する処理については、図11乃至図15を参照しながら後述する。
信号選択部206は、信号情報209に含まれている応答信号のうち、履歴特定部205が読み取った応答信号と異なる1つの応答信号を選択する(ステップS202)。すなわち、ステップS202において、信号選択部206は、リクエスト信号に対する応答として有効な応答信号のうち、未送信の応答信号を選択する。尚、通信履歴情報格納部310が、受信したリクエスト信号に対する応答信号を含んでいない場合に、信号選択部206は、信号情報209に含まれている応答信号のうち、1つの応答信号を選択すればよい。
信号送信部102は、信号選択部206が選択した応答信号(すなわち、上述した第2信号)を、通信先104に送信する(ステップS102)。
履歴更新部307は、信号送信部102が送信した応答信号を通信履歴情報格納部310に追加することにより、通信履歴情報格納部310における通信履歴情報を更新する(ステップS303)。尚、ステップS303に関する処理については、図11乃至図15を参照しながら後述する。
但し、ステップS103、ステップS303の順に処理が実行されてもよい。また、ステップS103における処理については、図11乃至図15を参照しながら後述する分類(判定)処理であってもよい。
次に、図11乃至図15に示す各図を参照しながら、通信先判定装置311におけるステップS301及びステップS303の処理と、通信履歴情報格納部310に格納される通信履歴情報と、該処理によって奏する効果とについて説明する。
まず、図11を参照しながら、通信履歴情報格納部310に格納される通信履歴情報312と、ステップS301(図10)及びステップS303(図10)に示す処理と、通信履歴情報312の場合に奏する効果とについて説明する。図11は、通信履歴情報312の一例を概念的に表す図である。
通信履歴情報312について説明する。
通信履歴情報312は、ある通信先に送信した応答信号と、該ある通信先を識別可能な通信先識別子と、該応答信号を識別可能な信号識別子とが関連付けされた情報である。通信履歴情報312は、必ずしも、信号識別子を含んでいなくてもよい。
図11に例示された通信履歴情報312においては、信号識別子「R1」と、通信先識別子「10.11.12.13」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、リクエスト信号(第1信号)に呼応して応答信号「200_OK._Its_works!」を、通信先識別子「10.11.12.13」が表す通信先に送信した履歴を表す。
通信履歴情報312に関するステップS303における処理について説明する。
履歴更新部307は、たとえば、図3に例示されたリクエスト信号(第1信号)に基づき、通信先を表す通信先識別子を特定する。履歴更新部307は、特定した通信先識別子と、信号送信部102が該通信先に送信した応答信号と、該応答信号を表す信号識別子とが関連付けされた情報を作成し、作成した情報を通信履歴情報312として通信履歴情報格納部310に追加する。
通信履歴情報312に関するステップS301における処理について説明する。
履歴特定部305は、図3に例示されたリクエスト信号(第1信号)に基づき、通信先を表す通信先識別子を特定する。履歴特定部305は、通信履歴情報格納部310に格納されている通信履歴情報312において、特定した通信先識別子に関連付けされた応答信号を特定する。
通信履歴情報が通信履歴情報312である場合に、本実施形態に係る通信先判定装置311によって奏する効果について説明する。本実施形態に係る通信先判定装置311によれば、より早期に、脅威である可能性が高い通信先を検知することができる。この理由は、通信先104がリクエスト信号を送信する契機となる特定の応答信号を、通信先識別子に基づき通信先判定装置311が探索することができるからである。上述したように、脅威である可能性が高い通信先104は、リクエスト信号に呼応して受信した応答信号が特定の応答信号である場合に、該応答信号を契機として、リクエスト信号を送信する可能性が高い。しかし、特定の応答信号が通信先104によって異なっているので、脅威である可能性が高い通信先を早期に検知する目的のためには、通信先104に応じた特定の応答信号を見つけ出すことが必要である。信号選択部206は、ある通信先からリクエスト信号を受信した場合に、信号情報209に含まれている送信可能な応答信号のうち、ある通信先に対して送信した応答信号とは異なる応答信号を選択する。信号送信部102は、信号選択部206が選択した応答信号を送信するので、より早期に、特定の応答信号を見つけ出す可能性が高い。
次に、図12を参照しながら、通信履歴情報格納部310に格納される通信履歴情報313と、ステップS301(図10)及びステップS303(図10)に示す処理と、通信履歴情報313の場合に奏する効果とについて説明する。図12は、通信履歴情報313の一例を概念的に表す図である。
通信履歴情報313について説明する。
通信履歴情報313は、ある通信先に送信した応答信号と、該ある通信先が送信したリクエスト信号にて要求された情報を識別可能な情報識別子と、該応答信号を識別可能な信号識別子とが関連付けされた情報である。通信履歴情報313は、必ずしも、信号識別子を含んでいなくてもよい。
図12に例示された通信履歴情報313において、信号識別子「R1」と、情報識別子「xp.php」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、情報識別子「xp.php」が表す情報を要求するリクエスト信号(第1信号)に呼応して応答信号「200_OK._Its_works!」を送信した履歴を表す。
通信履歴情報313に関するステップS303における処理について説明する。
履歴更新部307は、図3に例示されたリクエスト信号(第1信号)に基づき、該リクエスト信号にて要求された情報識別子を特定する。履歴更新部307は、特定した情報識別子と、信号送信部102が通信先に送信した応答信号と、該応答信号を表す信号識別子とが関連付けされた情報を作成し、作成した情報を通信履歴情報313として、通信履歴情報格納部310に追加する。
通信履歴情報312に関するステップS301における処理について説明する。
履歴特定部305は、図3に例示されたリクエスト信号(第1信号)に基づき、該リクエスト信号にて要求されている情報を識別可能な情報識別子を特定する。履歴特定部305は、通信履歴情報格納部310に格納されている通信履歴情報312において、特定した情報識別子に関連付けされた応答信号を特定する。
図12を参照しながら説明した処理に関しては、通信先判定装置311が、信号送信部102と、通信先判定部103とを有する処理態様としてもよい。この場合、信号送信部102は、通信ネットワークを介して、ある情報を要求する第1信号を第1通信先から受信した場合に、該第1信号に呼応する第2信号を第1通信先に送信する。通信先判定部103は、第2信号を送信したタイミングからある時間内に、該ある情報を要求する第3信号を第2通信先から受信した場合には、該第1通信先及び該第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する。
通信履歴情報が通信履歴情報313である場合に、本実施形態に係る通信先判定装置311によって奏する効果について説明する。本実施形態に係る通信先判定装置311によれば、たとえ、通信先がIPアドレス等の通信先識別子を変更し、その後、リクエスト信号を送信した場合であっても、効率的に、脅威である可能性が高い通信先を検知することができる。この理由は、通信先判定装置311が、リクエスト信号において要求された情報に基づき、特定の応答信号を探索するからである。尚、IPは、Internet_Protocolの略称を表す。
上述した効果を奏する理由について、さらに詳細に説明する。通信先104は、必ずしも、1つのIPアドレス等の通信先識別子を用いて、リクエスト信号を送信するとは限らない。言い換えれば、通信先104は、複数のIPアドレスを用いて、リクエスト信号を送信する可能性がある。この場合、本実施形態に係る通信先判定装置311は、通信先識別子に基づいて応答信号を選択するのではなく、リクエスト信号において要求された情報に基づいて応答信号を選択する。したがって、本実施形態に係る通信先判定装置311によれば、たとえ、IPアドレスが変更された場合であっても、要求された情報に基づき、特定の応答信号を効率的に探索することができる。すなわち、たとえ、複数の通信先であっても、通信先が特定の情報をリクエストする処理を実行した場合には、本実施形態に係る通信先判定装置311によれば、効率的に、脅威である可能性が高い通信先を検知することができる。
次に、図13を参照しながら、通信履歴情報格納部310に格納される通信履歴情報314と、ステップS301(図10)及びステップS303(図10)に示す処理と、通信履歴情報314の場合に奏する効果とについて説明する。図13は、通信履歴情報314の一例を概念的に表す図である。
通信履歴情報314について説明する。
通信履歴情報314は、ある通信先に送信した応答信号と、該ある通信先が送信したリクエスト信号を受信したポート識別子(たとえば、ポート番号)と、該応答信号を識別可能な信号識別子とが関連付けされた情報である。通信履歴情報314は、必ずしも、信号識別子を含んでいなくてもよい。
図13に例示された通信履歴情報314においては、信号識別子「R1」と、ポート識別子「80」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、ポート識別子「80」を介して受信したリクエスト信号(第1信号)に呼応して、応答信号「200_OK._Its_works!」を通信先104に送信した履歴を表す。
通信履歴情報314に関するステップS303における処理について説明する。
履歴更新部307は、図3に例示されたリクエスト信号(第1信号)を受信したポート識別子を特定する。履歴更新部307は、特定したポート識別子と、信号送信部102が、通信先に送信した応答信号と、該応答信号を表す信号識別子とが関連付けされた情報を作成し、作成した情報を通信履歴情報314として通信履歴情報格納部310に追加する。
通信履歴情報314に関するステップS301における処理について説明する。
履歴特定部305は、リクエスト信号(第1信号)を受信したポート識別子を特定する。履歴特定部305は、通信履歴情報格納部310に格納されている通信履歴情報314において、特定したポート識別子に関連付けされた応答信号を特定する。
図13を参照しながら説明した処理に関しては、通信先判定装置311が、信号送信部102と、通信先判定部103とを有する処理態様としてもよい。この場合、信号送信部102は、通信ネットワークに通信接続しているポートを介して、第1信号を第1通信先から受信した場合に、該第1信号に呼応する第2信号を該第1通信先に送信する。通信先判定部103は、該第2信号を送信したタイミングからある時間内に、該ポートを介して第3信号を第2通信先から受信した場合には、該第1通信先及び該第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する。
通信履歴情報が通信履歴情報314である場合に、本実施形態に係る通信先判定装置311によって奏する効果について説明する。本実施形態に係る通信先判定装置311によれば、効率的に、脅威である可能性が高い通信先を検知することができる。この理由は、通信先104が、たとえば、複数のIPアドレスを用いて異なる情報を要求する場合であっても、該リクエスト信号を送信先のポート識別子が同じである場合には、ポート識別子に基づいて、未送信の応答信号を選択できるからである。すなわち、たとえ、複数の通信先であっても、通信先が特定のポート識別子が表すポートに対してリクエストを送信する処理を実行している場合には、本実施形態に係る通信先判定装置311によれば、ポート識別子に基づき、効率的に、脅威である可能性が高い通信先を検知することができる。
次に、図14を参照しながら、通信履歴情報格納部310に格納される通信履歴情報315と、ステップS301(図10)及びステップS303(図10)に示す処理と、通信履歴情報315の場合に奏する効果とについて説明する。図14は、通信履歴情報315の一例を概念的に表す図である。
通信履歴情報315について説明する。
通信履歴情報315は、ある通信先に送信した応答信号と、該ある通信先がリクエスト信号を送信する場合に経由した装置を識別可能な装置識別子(たとえば、AS番号)と、該応答信号を識別可能な信号識別子とが関連付けされた情報である。尚、ASは、Autonomous_Systemの略称を表す。通信履歴情報315は、必ずしも、信号識別子を含んでいなくてもよい。
図14に例示された通信履歴情報315においては、信号識別子「R1」と、装置識別子「1234」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、装置識別子「1234」を介して受信したリクエスト信号(第1信号)に呼応して、応答信号「200_OK._Its_works!」を通信先に送信した履歴を表す。
通信履歴情報315に関するステップS303における処理について説明する。
履歴更新部307は、図3に例示されたリクエスト信号(第1信号)に含まれている通信先識別子に基づき、該通信先識別子が表す通信先がリクエスト信号を送信する場合に経由した装置識別子(AS番号)を特定する。尚、通信先識別子からAS番号(装置識別子)を特定する方法については、説明を省略する。履歴更新部307は、特定した装置識別子と、信号送信部102が該通信先に送信した応答信号と、該応答信号を表す信号識別子とが関連付けされた情報を作成し、作成した情報を通信履歴情報315として通信履歴情報格納部310に追加する。
通信履歴情報315に関するステップS301における処理について説明する。
履歴特定部305は、リクエスト信号(第1信号)に含まれている通信先識別子に基づき、該通信先識別子が表す通信先がリクエスト信号を送信する場合に経由したAS番号を特定する。履歴特定部305は、通信履歴情報格納部310に格納されている通信履歴情報315において、特定した装置識別子に関連付けされた応答信号を特定する。
図14を参照しながら説明した処理に関しては、通信先判定装置311が、信号送信部102と、通信先判定部103とを有する処理態様であってもよい。この場合、信号送信部102は、通信ネットワークを介して、第1信号を第1通信先から受信した場合に、該第1信号に呼応する第2信号を該第1通信先に送信する。通信先判定部103は、該第2信号を送信したタイミングからある時間内に第3信号を第2通信先から受信した場合に、該第1通信先に通信する場合に経由する第1装置と、第2通信先に通信する場合に経由する第2装置とを特定する。通信先判定部103は、特定した第1装置及び特定した第2装置が一致する場合には、該第1通信先及び第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する。
通信履歴情報が通信履歴情報315である場合に、本実施形態に係る通信先判定装置311によって奏する効果について説明する。本実施形態に係る通信先判定装置311によれば、効率的に、脅威である可能性が高い通信先を検知することができる。この理由は、たとえば、通信先が特定の装置を経由してリクエスト信号を送信する場合には、該特定の装置を表す装置識別子に基づいて、未送信の応答信号を選択できるからである。すなわち、たとえ、複数の通信先であっても、通信先が特定の装置識別子が表す装置を経由することによってリクエストを送信する処理を実行した場合には、本実施形態に係る通信先判定装置311によれば、装置識別子に基づき、効率的に、脅威である可能性が高い通信先を検知することができる。
次に、図15を参照しながら、通信履歴情報格納部310に格納される通信履歴情報316と、ステップS301(図10)及びステップS303(図10)に示す処理と、通信履歴情報316の場合に奏する効果とについて説明する。図14は、通信履歴情報316の一例を概念的に表す図である。
通信履歴情報316について説明する。
通信履歴情報316は、ある通信先に送信した応答信号と、該ある通信先からリクエスト信号を受信した時間帯と、該応答信号を識別可能な信号識別子とが関連付けされた情報である。通信履歴情報316は、必ずしも、信号識別子を含んでいなくてもよい。
図15に例示された通信履歴情報316においては、信号識別子「R1」と、時間帯「10時〜11時」と、応答信号「200_OK._Its_works!」とが関連付けされている。これは、応答信号「200_OK._Its_works!」を表す信号識別子が「R1」であり、信号送信部102が、時間帯「10時〜11時」において受信したリクエスト信号(第1信号)に呼応して、応答信号「200_OK._Its_works!」を通信先104に送信した履歴を表す。
通信履歴情報316に関するステップS303における処理について説明する。
履歴更新部307は、図3に例示されたリクエスト信号(第1信号)を受信した時刻が含まれている時間帯を算出する。時間帯は、たとえば、1日(すなわち、24時間)が1時間ごとに区画された時間帯である。尚、時間帯は、あらかじめ決められている必要はなく、たとえば、リクエストを受信した時刻に基づいて算出されてもよい。履歴更新部307は、算出した時間帯と、信号送信部102が通信先に送信した応答信号と、該応答信号を表す信号識別子とが関連付けされた情報を作成し、作成した情報を通信履歴情報316として通信履歴情報格納部310に追加する。
通信履歴情報316に関するステップS301における処理について説明する。
履歴特定部305は、リクエスト信号(第1信号)を受信した時刻が含まれている時間帯を算出する。履歴特定部305は、通信履歴情報格納部310に格納される通信履歴情報312において、算出した時間帯に関連付けされた応答信号を特定する。
通信履歴情報316である場合に、本実施形態に係る通信先判定装置311によって奏する効果について説明する。本実施形態に係る通信先判定装置311によれば、効率的に、脅威である可能性が高い通信先104を検知することができる。この理由は、たとえば、通信先が特定の時間帯にリクエスト信号を送信する場合には、該時間帯に基づいて、未送信の応答信号を選択できるからである。すなわち、たとえ、複数の通信先であっても、通信先が特定の時間帯にリクエスト信号を送信する処理を実行した場合には、本実施形態に係る通信先判定装置311によれば、時間帯に基づき、効率的に、脅威である可能性が高い通信先を検知することができる。
尚、通信履歴情報は、図11乃至図15に示された通信履歴情報のうち、少なくとも2つの通信履歴情報が組み合わされた情報であってもよい。
通信先判定装置311によれば、上述した各効果に加えて、さらに、脅威である可能性が高い通信先104を検知することができる。この理由は、通信先判定装置311が有する構成が、第1の実施形態に係る通信先判定装置311が有する構成を含むからである。
(ハードウェア構成例)
上述した本発明の各実施形態における通信先判定装置を、1つの計算処理装置(情報処理装置、コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係る通信先判定装置は、物理的または機能的に少なくとも2つの計算処理装置を用いて実現してもよい。また、係る通信先判定装置は、専用の装置として実現してもよい。
図16は、第1の実施形態乃至第3の実施形態に係る通信先判定装置を実現可能な計算処理装置のハードウェア構成例を概略的に示す図である。計算処理装置20は、中央処理演算装置(Central_Processing_Unit、以降「CPU」と表す)21、メモリ22、ディスク23、不揮発性記録媒体24、通信インターフェース(以降、「通信IF」と表す)27、及び、ディスプレー28を有する。計算処理装置20は、入力装置25、出力装置26に接続可能であってもよい。計算処理装置20は、通信IF27を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。
不揮発性記録媒体24は、コンピュータが読み取り可能な、たとえば、コンパクトディスク(Compact_Disc)、デジタルバーサタイルディスク(Digital_Versatile_Disc)である。また、不揮発性記録媒体24は、ユニバーサルシリアルバスメモリ(USBメモリ)、ソリッドステートドライブ(Solid_State_Drive)等であってもよい。不揮発性記録媒体24は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体24は、上述した媒体に限定されない。また、不揮発性記録媒体24の代わりに、通信IF27、及び、通信ネットワークを介して、係るプログラムを持ち運びしてもよい。
すなわち、CPU21は、ディスク23に記憶されているソフトウェア・プログラム(コンピュータ・プログラム:以下、単に「プログラム」と称する)を、実行する際にメモリ22にコピーし、演算処理を実行する。CPU21は、プログラム実行に必要なデータをメモリ22から読み取る。表示が必要な場合には、CPU21は、ディスプレー28に出力結果を表示する。外部への出力が必要な場合には、CPU21は、出力装置26に出力結果を出力する。外部からプログラムを入力する場合、CPU21は、入力装置25からプログラムを読み取る。CPU21は、上述した図1、図5、または、図9に示す各部が表す機能(処理)に対応するところのメモリ22にある通信先判定プログラム(図2、図6、または、図10)を解釈し実行する。CPU21は、上述した本発明の各実施形態において説明した処理を順次実行する。
すなわち、このような場合、本発明は、係る通信先判定プログラムによっても成し得ると捉えることができる。さらに、係る通信先判定プログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明は成し得ると捉えることができる。
以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
101 通信先判定装置
102 信号送信部
103 通信先判定部
104 通信先
205 履歴特定部
206 信号選択部
207 履歴更新部
208 通信先判定装置
209 信号情報
210 通信履歴情報
305 履歴特定部
307 履歴更新部
310 通信履歴情報格納部
311 通信先判定装置
312 通信履歴情報
313 通信履歴情報
314 通信履歴情報
315 通信履歴情報
316 通信履歴情報
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF
28 ディスプレー

Claims (17)

  1. 通信ネットワークを介して通信先から送信された第1信号を受信した場合に、前記第1信号に呼応する第2信号を前記通信先に送信する信号送信手段と、
    前記第2信号を送信したタイミングからある時間内に前記通信先から送信された第3信号を受信するか否かに基づいて、前記通信先が脅威である可能性が高いか否かを分類する通信先判定手段と
    を備える通信先判定装置。
  2. 前記通信先から送信された前記第1信号を受信した場合に前記通信先に送信した前記第2信号を含む通信履歴情報から、信号を読み取る履歴特定手段と、
    前記通信先に送信可能な信号を含んでいる信号情報のうち、前記履歴特定手段が読み取った前記信号と異なる信号を選択する信号選択手段と、
    前記信号送信手段が送信した前記第2信号を前記通信履歴情報に追加する履歴更新手段と
    をさらに備え、
    前記信号送信手段は、前記第2信号として前記信号選択手段が選択した信号を前記通信先に送信する
    請求項1に記載の通信先判定装置。
  3. 前記通信先を識別可能な通信先識別子と、前記通信先に送信した前記第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、ある通信先から送信された第4信号を受信した場合に、前記通信履歴情報において、前記ある通信先を表す通信先識別子に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記信号送信手段が送信した前記通信先を表す通信先識別子と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項2に記載の通信先判定装置。
  4. 前記第1信号を受信した時間帯と、前記第1信号に対して送信した前記第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、ある時間帯にて第4信号を受信した場合に、前記通信履歴情報において、前記ある時間帯に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記ある時間帯と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項2に記載の通信先判定装置。
  5. 前記通信先から前記第1信号を受信した時間帯と、前記通信先を識別可能な通信先識別子と、前記第1信号に呼応して送信した前記第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、ある通信先識別子が表す通信先からある時間帯にて第4信号を受信した場合に、前記通信履歴情報において、前記ある通信先識別子及び前記ある時間帯に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記ある通信先識別子と、前記ある時間帯と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項2に記載の通信先判定装置。
  6. 通信ネットワークを介して、ある情報を要求する第1信号を第1通信先から受信した場合に、前記第1信号に呼応する第2信号を前記第1通信先に送信する信号送信手段と、
    前記第2信号を送信したタイミングからある時間内に、前記ある情報を要求する第3信号を第2通信先から受信した場合には、前記第1通信先及び前記第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する通信先判定手段と
    を備える通信先判定装置。
  7. 前記第1信号を受信した場合に送信した前記第2信号を含む通信履歴情報から、信号を読み取る履歴特定手段と、
    前記第1信号に呼応する信号を含んでいる信号情報のうち、前記履歴特定手段が読み取った信号と異なる信号を選択する信号選択手段と、
    前記信号送信手段が送信した前記第2信号を前記通信履歴情報に追加する履歴更新手段と
    をさらに備え、
    前記信号送信手段は、前記第2信号として前記信号選択手段が選択した信号を送信する
    請求項6に記載の通信先判定装置。
  8. 前記第1信号にて要求された前記ある情報を識別可能な情報識別子と、前記第1信号に呼応して送信した前記第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、特定の情報識別子が表す情報を要求する第4信号を受信した場合に、前記通信履歴情報において、前記特定の情報識別子に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記特定の情報識別子と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項7に記載の通信先判定装置。
  9. 通信ネットワークに通信接続しているポートを介して第1信号を第1通信先から受信した場合に、前記第1信号に呼応する第2信号を前記第1通信先に送信する信号送信手段と、
    前記第2信号を送信したタイミングからある時間内に、前記ポートを介して第3信号を第2通信先から受信した場合には、前記第1通信先及び第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する通信先判定手段と
    を備える通信先判定装置。
  10. 前記第1信号を受信した場合に送信した前記第2信号を含む通信履歴情報から、信号を読み取る履歴特定手段と、
    前記第1信号に呼応する信号を含んでいる信号情報のうち、前記履歴特定手段が読み取った前記信号と異なる信号を選択する信号選択手段と、
    前記信号送信手段が送信した前記第2信号を前記通信履歴情報に追加する履歴更新手段と
    をさらに備え、
    前記信号送信手段は、前記第2信号として前記信号選択手段が選択した信号を送信する
    請求項9に記載の通信先判定装置。
  11. 前記第1信号を受信した場合に経由した前記ポートを識別可能なポート識別子と、前記第1信号に対して送信した前記第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、第4信号をあるポート識別子が表すポートを経由して受信した場合に、前記通信履歴情報において、前記あるポート識別子に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記あるポート識別子と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項10に記載の通信先判定装置。
  12. 通信ネットワークを介して、第1信号を第1通信先から受信した場合に、前記第1信号に呼応する第2信号を前記第1通信先に送信する信号送信手段と、
    前記第2信号を送信したタイミングからある時間内に第3信号を第2通信先から受信した場合に、前記第1通信先に通信する場合に経由する第1装置と、第2通信先に通信する場合に経由する第2装置とを特定し、前記第1装置及び前記第2装置が一致する場合には、前記第1通信先及び第2通信先のうち少なくともいずれかが脅威である可能性が高いと判定する通信先判定手段と
    を備える通信先判定装置。
  13. 前記第1信号を受信した場合に送信した前記第2信号を含む通信履歴情報から、信号を読み取る履歴特定手段と、
    前記第1信号に呼応する信号を含んでいる信号情報のうち、前記履歴特定手段が読み取った信号と異なる信号を選択する信号選択手段と、
    前記信号送信手段が送信した前記第2信号を前記通信履歴情報に追加する履歴更新手段と
    をさらに備え、
    前記信号送信手段は、前記第2信号として前記信号選択手段が選択した信号を送信する
    請求項12に記載の通信先判定装置。
  14. 前記第1通信先に通信する場合に経由する前記第1装置を識別可能な装置識別子と、前記第1通信先に送信した第2信号とが関連付けされた通信情報を含む前記通信履歴情報を記憶可能な履歴情報格納手段
    をさらに備え、
    前記履歴特定手段は、前記通信履歴情報において、第4信号を受信した第3通信先に通信する場合に経由する装置を表すある装置識別子に関連付けされた信号を特定し、
    前記信号選択手段は、前記信号情報のうち、前記履歴特定手段が特定した信号と異なる信号を選択し、
    前記履歴更新手段は、前記ある装置識別子と、前記信号送信手段が送信した前記第2信号とが関連付けされた通信情報を作成し、作成した前記通信情報を前記通信履歴情報に追加する
    請求項13に記載の通信先判定装置。
  15. 前記信号送信手段は、前記履歴特定手段が特定した前記信号と異なる信号が前記信号情報に含まれていないと、前記信号選択手段が判定する場合には、前記第2信号を送信しない
    請求項2乃至請求項5のいずれか、請求項7、請求項8、請求項10、請求項11、請求項13、または、請求項14に記載の通信先判定装置。
  16. 通信ネットワークを介して通信先から送信された第1信号を受信した場合に、前記第1信号に呼応する第2信号を前記通信先に送信し、前記第2信号を送信したタイミングからある時間内に前記通信先から送信された第3信号を受信するか否かに基づいて、前記通信先が脅威である可能性が高いか否かを分類する通信先判定装置方法。
  17. 通信ネットワークを介して通信先から送信された第1信号を受信した場合に、前記第1信号に呼応する第2信号を前記通信先に送信する信号送信機能と、
    前記第2信号を送信したタイミングからある時間内に前記通信先から送信された第3信号を受信するか否かに基づいて、前記通信先が脅威である可能性が高いか否かを分類する通信先判定機能と
    をコンピュータに実現させる通信先判定プログラム。
JP2015178305A 2015-09-10 2015-09-10 通信先判定装置、通信先判定方法、及び、通信先判定プログラム Active JP6098687B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2015178305A JP6098687B2 (ja) 2015-09-10 2015-09-10 通信先判定装置、通信先判定方法、及び、通信先判定プログラム
US15/753,620 US10735440B2 (en) 2015-09-10 2016-09-07 Communication destination determination device, communication destination determination method, and recording medium
PCT/JP2016/004069 WO2017043073A1 (ja) 2015-09-10 2016-09-07 通信先判定装置、通信先判定方法、及び、記録媒体
EP16843941.2A EP3349138B1 (en) 2015-09-10 2016-09-07 Communication destination determination device, communication destination determination method, and recording medium
SG11201801963YA SG11201801963YA (en) 2015-09-10 2016-09-07 Communication destination determination device, communication destination determination method, and recording medium
HK18111512.6A HK1252122A1 (zh) 2015-09-10 2018-09-06 通信目的地確定裝置、通信目的地確定方法和記錄介質

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015178305A JP6098687B2 (ja) 2015-09-10 2015-09-10 通信先判定装置、通信先判定方法、及び、通信先判定プログラム

Publications (2)

Publication Number Publication Date
JP2017054332A true JP2017054332A (ja) 2017-03-16
JP6098687B2 JP6098687B2 (ja) 2017-03-22

Family

ID=58239436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015178305A Active JP6098687B2 (ja) 2015-09-10 2015-09-10 通信先判定装置、通信先判定方法、及び、通信先判定プログラム

Country Status (6)

Country Link
US (1) US10735440B2 (ja)
EP (1) EP3349138B1 (ja)
JP (1) JP6098687B2 (ja)
HK (1) HK1252122A1 (ja)
SG (1) SG11201801963YA (ja)
WO (1) WO2017043073A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10381008B1 (en) * 2017-11-18 2019-08-13 Tp Lab, Inc. Voice-based interactive network monitor
US11032762B1 (en) * 2018-09-18 2021-06-08 Amazon Technologies, Inc. Saving power by spoofing a device
KR102121390B1 (ko) * 2018-11-30 2020-06-11 주식회사 티에스시 식별자기반통신시스템

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2005535021A (ja) * 2002-07-29 2005-11-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散サービス妨害攻撃に対するコンテンツ配信ネットワークの回復力を向上させるための方法および装置
JP2007133872A (ja) * 2005-11-11 2007-05-31 Samsung Electronics Co Ltd ウェブサービス提供装置、ウェブサービス要請装置、ウェブサービス提供方法及びウェブサービス要請方法
JP2008146660A (ja) * 2001-03-13 2008-06-26 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2008177714A (ja) * 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2010267283A (ja) * 2010-06-25 2010-11-25 Nomura Research Institute Ltd ユーザ認証システム、ログイン要求判定装置および方法
JP2013009185A (ja) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US20130031626A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Methods of detecting dns flooding attack according to characteristics of type of attack traffic
US20130263268A1 (en) * 2010-12-14 2013-10-03 Electronics And Telecommunications Reasearch Institute Method for blocking a denial-of-service attack
JP2014002631A (ja) * 2012-06-20 2014-01-09 Konica Minolta Inc 画像形成装置、携帯端末、認証システムおよびプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7372804B2 (en) * 2002-01-11 2008-05-13 Nec Corporation Multiplex communication system and method
JP4411296B2 (ja) 2006-06-06 2010-02-10 Necビッグローブ株式会社 リクエスト制限装置、サーバ装置、リクエスト制限方法、リクエスト制限プログラム
US8171133B2 (en) 2006-07-10 2012-05-01 Nec Corporation Management apparatus and management method for computer system
JP2009237807A (ja) 2008-03-26 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> 脆弱性診断実施装置および診断スケジュール作成プログラム
US20100318681A1 (en) * 2009-06-12 2010-12-16 Barracuda Networks, Inc Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services
US20120278886A1 (en) * 2011-04-27 2012-11-01 Michael Luna Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008146660A (ja) * 2001-03-13 2008-06-26 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2005535021A (ja) * 2002-07-29 2005-11-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散サービス妨害攻撃に対するコンテンツ配信ネットワークの回復力を向上させるための方法および装置
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2007133872A (ja) * 2005-11-11 2007-05-31 Samsung Electronics Co Ltd ウェブサービス提供装置、ウェブサービス要請装置、ウェブサービス提供方法及びウェブサービス要請方法
JP2008177714A (ja) * 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2010267283A (ja) * 2010-06-25 2010-11-25 Nomura Research Institute Ltd ユーザ認証システム、ログイン要求判定装置および方法
US20130263268A1 (en) * 2010-12-14 2013-10-03 Electronics And Telecommunications Reasearch Institute Method for blocking a denial-of-service attack
JP2013009185A (ja) * 2011-06-24 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US20130031626A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Methods of detecting dns flooding attack according to characteristics of type of attack traffic
JP2014002631A (ja) * 2012-06-20 2014-01-09 Konica Minolta Inc 画像形成装置、携帯端末、認証システムおよびプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
茶間 康: "家電機器をネットワーク化するアーキテクチャ Universal Plug and Playの全貌 第", INTERFACE, vol. 第29巻,第7号, JPN6016044809, 1 July 2003 (2003-07-01), JP, pages 167, ISSN: 0003444580 *

Also Published As

Publication number Publication date
SG11201801963YA (en) 2018-04-27
US20180288075A1 (en) 2018-10-04
EP3349138A1 (en) 2018-07-18
EP3349138A4 (en) 2019-05-01
WO2017043073A1 (ja) 2017-03-16
JP6098687B2 (ja) 2017-03-22
EP3349138B1 (en) 2021-04-07
US10735440B2 (en) 2020-08-04
HK1252122A1 (zh) 2019-05-17

Similar Documents

Publication Publication Date Title
US11874921B2 (en) Digital protection that travels with data
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
KR102580898B1 (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
US9686303B2 (en) Web page vulnerability detection method and apparatus
JP2018005818A (ja) 異常検知システム及び異常検知方法
JP6098687B2 (ja) 通信先判定装置、通信先判定方法、及び、通信先判定プログラム
JP7115221B2 (ja) サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
JP2017068691A (ja) 診断プログラム、診断方法および診断装置
JP6070799B1 (ja) 通信情報算出装置、通信情報算出方法、通信情報算出プログラム、及び、通信管理システム
JP7074187B2 (ja) 監視装置、監視方法及びプログラム
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
AU2016253706A1 (en) Data structure and algorithm to track machines
US9609077B1 (en) Forwarding content on a client based on a request
JP2016192139A (ja) マルウェア解析装置およびマルウェア解析方法
JP6048555B1 (ja) 分類情報作成装置、分類情報作成方法、分類情報作成プログラム、検索装置、検索方法、及び、検索プログラム
JP6055726B2 (ja) ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム
JP2015210653A (ja) 管理システム、および、その制御方法
JP7120049B2 (ja) サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
KR101526326B1 (ko) 사용자 단말기와 인터넷 공유기 간 폴더 동기화 방법 및 이를 수행하는 인터넷 공유기
KR102535251B1 (ko) 전자 장치의 사이버 보안 리포트 생성 방법
RU2602372C2 (ru) Система и способ распределенного обнаружения вредоносных объектов
JP2016057767A (ja) 解析装置、解析方法およびコンピュータプログラム
US20200293673A1 (en) Assisting a scanning session
JP2007249279A (ja) サービス判定装置、脆弱性検査装置、攻撃検知装置、サービス判定方法、及びプログラム
JP2015056084A (ja) 情報システム、第一サーバ装置、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170206

R150 Certificate of patent or registration of utility model

Ref document number: 6098687

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150