JP2024009217A - ネットワークフォレンジック方法 - Google Patents
ネットワークフォレンジック方法 Download PDFInfo
- Publication number
- JP2024009217A JP2024009217A JP2023198504A JP2023198504A JP2024009217A JP 2024009217 A JP2024009217 A JP 2024009217A JP 2023198504 A JP2023198504 A JP 2023198504A JP 2023198504 A JP2023198504 A JP 2023198504A JP 2024009217 A JP2024009217 A JP 2024009217A
- Authority
- JP
- Japan
- Prior art keywords
- scenario
- packet data
- metadata
- real
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000001514 detection method Methods 0.000 claims description 55
- 238000004458 analytical method Methods 0.000 claims description 28
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 16
- 238000013500 data storage Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 26
- 238000012545 processing Methods 0.000 description 25
- 238000003672 processing method Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 18
- 238000013523 data management Methods 0.000 description 10
- 238000000605 extraction Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 239000000284 extract Substances 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006798 recombination Effects 0.000 description 3
- 238000005215 recombination Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0866—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches for peripheral storage systems, e.g. disk cache
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/9042—Separate storage for different parts of the packet, e.g. header and payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Environmental & Geological Engineering (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】超高速大容量のデータに基づいて、ハッキング事故に対する迅速な分析及び対応を行うための高速データ格納技術を持つ高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法を提供する。【解決手段】高性能パケットストリームの格納システムによる高性能パケットストリームの格納方法は、(a)ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集するステップと、(b)前記収集された原パケットデータをメモリに記録するステップと、(c)前記収集された原パケットデータからメタデータを抽出してメモリに記録するステップと、(d)前記原パケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含む。【選択図】図1
Description
本発明は、ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法に関し、詳しくは、ネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び方法、パターンに基づく索引の処理システム及び方法、並びにシナリオ中心のリアルタイム攻撃感知システム及び方法に関する。
情報通信(IT)機器だけでなく家、車、都市、工場などすべてのものが超高速ネットワークで接続される時代にハッキングやサイバーテロが起これば、その波及力は想像を超越する。これにより、多くの企業がネットワークのセキュリティ強化に多くの努力を傾けている。
しかし、ハッキング攻撃は日々多様化し、攻撃認知の難易度も徐々に高まっているのが現状である。これにより、ハッキング攻撃の全体の流れを把握し、迅速なパケット分析を行ってハッカーの攻撃を迅速に認知できる技術が求められている。
99%ハッキングの試みが数日以内に侵害事故を発生させ、このうち85%はデータの流出を引き起こす。この85%のハッキング事故を見つけるまで数週間以上の時間がかかるので、迅速なパケット分析によるハッカーの攻撃認知時間の短縮についての多くの研究がなされてきた。
また、超高速大容量トラフィックを格納し分析するためには、高速なI/O性能が必要で、そのために高速ストレージを使用すると、製品のコストが上昇するという問題が発生する。高速ストレージを使用しなくても、超高速大容量トラフィックにおいてデータの損失なしにパケットを収集して格納し、さまざまな攻撃シナリオ及び環境に対応するためのデータを分析できる技術もまた必要とされている。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法が解決しようとする技術的課題は、超高速大容量のデータに基づいて、ハッキング事故に対する迅速な分析及び対応を行うための高速データ格納技術を持つ高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようとする技術的課題は、リアルタイムで索引処理できるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようする他の技術的課題は、さまざまな攻撃シナリオ及び環境に対応するためにユーザ定義の索引データを生成できるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようするまた他の技術的課題は、問題となる時点のデータをユーザが指定して再索引できるようにするパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法が解決しようするまた他の技術的課題は、シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法が解決しようとする技術的課題は、索引統合の過程によるハッキングのシナリオ別データを分類して迅速にハッキング事故を分析できるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法が解決しようとする他の技術的課題は、シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法を提供することである。
本発明の技術的思想によるネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法が解決しようとする技術的課題は、上述した技術的課題に何ら制限されるものではなく、未言及の他の技術的課題は、次の記載から当業者にとって明らかに理解できる筈である。
本発明の技術的思想による一実施形態に係る、高性能パケットストリームの格納システムによる高性能パケットストリームの格納方法は、(a)ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集するステップと、(b)前記収集された原パケットデータをメモリに記録するステップと、(c)前記収集された原パケットデータからメタデータを抽出してメモリに記録するステップと、(d)前記原パケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含んでもよい。
前記高性能パケットストリームの格納方法は、前記収集された原パケットデータから例外情報をフィルタリングしてメモリ記録対象から除外させるステップをさらに含んでもよい。
前記格納部は、ローカルディスクを含み、前記ステップ(d)は、ネットワーク速度が所定の基準以下である場合に、前記原パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
前記格納部は、複数の拡張ノードを含み、前記ステップ(d)は、ネットワーク速度が所定の基準を超える場合に、前記原パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
前記高性能パケットストリームの格納方法は、前記ステップ(d)後に、前記原パケットデータと前記メタデータとが記録されたメモリが返却されるステップをさらに含んでもよい。
前記ステップ(a)は、パケットの収集量が収集設定値を超えた場合に、超えた量の原パケットデータのための追加メモリを確保するステップを含んでもよい。
前記ステップ(c)は、前記収集された原パケットデータと前記抽出されたメタデータとが所定の記録周期の間に前記メモリに記録された後に、前記メモリから前記格納部へと格納されるステップを含んでもよい。
本発明の技術的思想による一実施形態に係る、高性能パケットストリームの格納システムは、ネットワークを介して伝送されるデータトラフィックから原パケットデータを収集し、前記収集された原パケットデータからメタデータを抽出するデータ管理モジュールと、前記原パケットデータと前記メタデータとが記録されるメモリ部と、前記原パケットデータと前記メタデータとが格納されてデータベース化される格納部と、前記原パケットデータと前記メタデータとを前記メモリ部から前記格納部へと格納する格納管理モジュールと、前記原パケットデータと前記メタデータとが前記メモリ部から前記格納部へと格納された後に、前記原パケットデータと前記メタデータとが記録されていた前記メモリ部のメモリ領域を返却するメモリ管理モジュールと、を含んでもよい。
前記格納部は、ローカルディスクを含み、格納管理モジュールは、ディスク管理モジュールを含み、ネットワーク速度が所定の基準以下である場合に、前記ディスク管理モジュールは、前記原パケットデータと前記メタデータとを前記メモリ部から前記ローカルディスクへと直接的に格納することができる。
前記格納部は、複数の拡張ノードを含み、格納管理モジュールは、データ分散管理モジュールを含み、ネットワーク速度が所定の基準を超える場合に、前記データ分散管理モジュールは、前記原パケットデータと前記メタデータとを前記メモリ部から前記拡張ノードへと分散格納することができる。
本発明の技術的思想による一実施形態に係る、パターンに基づく索引の処理システムを用いたパターンに基づく索引の処理方法は、(a)パケットデータを組み換えるステップと、(b)組み換えられたパケットデータに対してアプリケーション分析を行うステップと、(c)前記組み換えられたパケットデータのメタデータを抽出して索引化するステップと、を含んでもよい。
前記ステップ(a)は、TCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいてパケットデータを組み換えるステップを含んでもよい。
前記ステップ(b)において、前記組み換えられたパケットデータに対して、RFC(リクエストフォーコメンツ)規格を基準としてアプリケーションを判断するステップを含んでもよい。
前記組み換えられたパケットデータがRFC規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、前記組み換えられたパケットデータから、RFC規格を基準としてメタデータを抽出するステップ
を含んでもよい。
を含んでもよい。
前記ステップ(b)において、前記組み換えられたパケットデータに対して、ユーザ定義の規格を基準としてアプリケーションを判断するステップを含んでもよい。
前記組み換えられたパケットデータがユーザ定義の規格のアプリケーションにより生成されたデータである場合に、前記ステップ(c)において、前記組み換えられたパケットデータから、ユーザ定義の規格を基準としてメタデータを抽出するステップを含んでもよい。
前記パターンに基づく索引の処理方法において、前記ステップ(a)は、ネットワークを介して伝送されるデータトラフィックからパケットデータを収集するステップと、前記収集されたパケットデータを所定の記録周期の間にメモリに記録するステップと、前記収集されたパケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、前記所定の記録周期が経過すると、前記記録されたパケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、前記所定の記録周期単位で格納されたパケットデータを組み換えるステップと、を含んでもよい。
前記ステップ(a)は、前記格納部の格納ステップ後に、前記パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含んでもよい。
前記格納部は、ローカルディスクを含み、前記ステップ(a)は、ネットワーク速度が所定の基準以下である場合に、前記パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
前記格納部は、複数の拡張ノードを含み、前記ステップ(a)は、ネットワーク速度が所定の基準を超える場合に、前記パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
本発明の技術的思想による一実施形態に係る、シナリオ中心のリアルタイム攻撃感知システムを用いたシナリオ中心のリアルタイム攻撃感知方法は、(a)索引化されたメタデータに適用されるシナリオを形成するステップと、(b)パケットデータからメタデータを抽出して索引化するステップと、(c)前記シナリオに対応する索引化されたメタデータを検知するステップと、を含んでもよい。
前記ステップ(a)は、索引化されたメタデータに適用される単一検知シナリオを形成するステップと、複数の単一検知シナリオを組み合わせた多重検知シナリオを形成するステップと、を含んでもよい。
単一検知シナリオは、1つ以上の成立条件を含み、成立条件がすべて満たされる場合にシナリオが成立したと判断し、成立条件は、索引タイプ及びパターン情報を含んでもよい。
多重検知シナリオは、二つ以上の単一検知シナリオがすべて成立し、共通の条件が成立する場合にシナリオが成立したと判断することができる。
前記ステップ(b)は、所定の記録周期単位で格納されたパケットデータをTCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて組み換えるステップと、前記組み換えられたパケットデータからメタデータを抽出して索引化するステップと、を含んでもよい。
前記ステップ(b)は、前記パケットデータを組み換えるステップ前に、ネットワークを介して伝送されるデータトラフィックからパケットデータを収集するステップと、前記収集されたパケットデータを所定の記録周期の間にメモリに記録するステップと、前記収集されたパケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、前記所定の記録周期が経過すると、前記記録されたパケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含んでもよい。
前記ステップ(b)は、前記格納部の格納ステップ後に、前記パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含んでもよい。
前記格納部は、ローカルディスクを含み、前記ステップ(b)は、ネットワーク速度が所定の基準以下である場合に、前記パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含んでもよい。
前記格納部は、複数の拡張ノードを含み、前記ステップ(b)は、ネットワーク速度が所定の基準を超える場合に、前記パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含んでもよい。
前記シナリオ中心のリアルタイム攻撃感知方法は、前記ステップ(b)前に、パケットデータに対してアプリケーション分析を行うステップをさらに含んでもよい。
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現される高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法は、下記のような効果を有する。
(1)ハッキング事故に対する迅速な分析及び対応のための高性能パケットストリームの格納技術として、パーティションキーに基づく順次格納データベースを提供することができる。
(2)超高速ネットワーク網においてデータの損失なしにパケットストリームを格納し、これを要約したデータを抽出してデータベース化できる技術を提供することができる。
(3)高速ストレージを使用しなくても超高速大容量のトラフィックを格納できるようにする、パケットを分散格納処理する技術を提供することができる。
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現されるパターンに基づく索引の処理システム及びパターンに基づく索引の処理方法は、下記のような効果を有する。
(1)リアルタイムで索引処理できるパターンに基づく索引の処理技術を提供することができる。
(2)様々な攻撃シナリオ及び環境に対応するためにユーザ定義の索引データを生成できる技術を提供することができる。
(3)問題となる時点のデータをユーザが指定して再索引できるようにする技術を提供することができる。
(4)シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行える技術を提供することができる。
本発明の技術的思想による実施形態に係るネットワークフォレンジックシステム及び方法により実現されるシナリオ中心のリアルタイム攻撃感知システム及びシナリオ中心のリアルタイム攻撃感知方法は、下記のような効果を有する。
(1)索引統合の過程によるハッキングのシナリオ別データを分類してハッキング事故を迅速に分析できるシナリオ中心のリアルタイム攻撃の感知技術を提供することができる。
(2)シナリオ分析のためのアプリケーション、メタデータ、ユーザ定義パターンの分類を行えるシナリオ中心のリアルタイム攻撃の感知技術を提供することができる。
ただし、本発明の一実施形態に係る高性能パケットストリームの格納システム及び高性能パケットストリームの格納方法が達成できる効果は、上述した効果に何ら制限されるものではなく、未言及の他の効果は、次の記載から当業者にとって明らかに理解できる筈である。
本明細書で引用される図面をより十分に理解するために、各図面の簡単な説明が提供される。
本発明は、多様な変更を加えることができ、様々な実施形態を有することができるが、ここでは、特定の実施形態を図示し、これらについて詳述する。しかしながら、これは、本発明を特定の実施形態に限定するためのものではなく、本発明は、本発明の思想及び技術範囲に含まれる全ての変更、均等物ないし代替物を含むものと理解されるべきである。
本発明を説明するにあたって、関連する公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると判断される場合にその詳細な説明は省く。なお、本明細書において用いられる数字(例えば、第1、第2など)は、ある構成要素を他の構成要素と区別するための識別記号に過ぎない。
また、本明細書において、ある構成要素が他の構成要素と「連結される」または「接続される」などと言及されたときには、前記ある構成要素が前記他の構成要素と直接的に連結されてもよく、または、直接的に接続されてもよいが、特に反対の記載がない限り、これらが他の構成要素を介して連結されてもよく、または、接続されてもよいと理解されるべきである。
また、本明細書で「~部」として表現される構成要素は、2つ以上の構成要素が一つの構成要素に合わせられるか、または一つの構成要素がさらに細分化された機能別に2つ以上に分化して備えられてもよい。そして、以下で説明する構成要素のそれぞれは、自分の担当する主機能以外にも他の構成要素の担当する機能のうち一部またはすべての機能をさらに行ってもよく、また構成要素のそれぞれが担当する主機能のうち一部の機能が他の構成要素によって行われてもよいということは言うまでもない。
以下、本発明の技術的思想による実施形態を順次詳細に説明する。
図1は、本発明の一実施形態に係るネットワークフォレンジックシステム及び方法によるハッキング攻撃認知及び原因分析性能の向上方法の概略的なフローチャートである。
ハッキングの攻撃方法が多様化・複雑化しており、このため、パケット分析及び認知に多くの時間と費用がかかる。これを解決するための方案として、3つの問題の解決が必要である。
第一に、攻撃の複雑さが高まるにつれて、パケット分析の難易度も増大する。第二に、事件発生時のイベントログだけではなく、攻撃のための事前行為から攻撃までの全体的な大容量パケットの分析が必要である。第三に、超高速ネットワーク網の収集及び分析の難しさが解決されるべきである。
このため、図1に示すような高性能パケットストリームの格納技術、パターンに基づく索引の処理技術及びシナリオ中心のリアルタイム攻撃の感知技術が開発された。
図2は、本発明の一実施形態に係る高性能パケットストリームの格納方法を、従来のパケットストリームの格納方法と比較して概略的に示す図である。
従来のパケット格納方式では、単にリアルタイムでパケットを収集して、ローカルディスクに直接的に格納する技術であって、10Gbpsのような超高速大容量のトラフィックを格納するために、高速なI/O性能が必須となり、高速ストレージを使わざるを得ない。これにより、セキュリティシステムの製品コストが増加するという問題を有する。
このような問題を解決するために、本発明の一実施形態に係る高性能パケットストリームの格納システム及びこれを用いた高性能パケットストリームの格納方法では、分散格納処理を行ってデータの損失のない超高速パケット格納及び大容量データ処理を実現する。
図3は、本発明の一実施形態に係る高性能パケットストリームの格納システムを概略的に示す図である。図4は、本発明の一実施形態に係る高性能パケットストリームの格納方法を具体的に示す図である。
本発明の一実施形態に係る高性能パケットストリームの格納システム100は、データ管理モジュール(DAM;Data Access Module)110、メモリ部120、格納部130、格納管理モジュール140及びメモリ管理モジュール(DMM;Data Memory Module)150を含んでもよい。
格納部130は、ローカルディスク132及び/または遠隔地の複数の拡張ノード134を含んでもよく、格納管理モジュール140は、ディスク管理モジュール(DIM;Disk Interface Module)142及び/またはデータ分散管理モジュール(DDM;Data Distributed Module)144を含んでもよい。
ネットワークはイントラネットとインターネットとを接続し、ネットワークを介して大容量のデータが超高速に伝送される。データ管理モジュール110は、ネットワークパケットデータの収集、解析(parsing)及びメモリ記録を行う装置であって、ネットワークを介して伝送されるデータトラフィックから原パケットデータをリアルタイムで収集することができる(S1110)。
データ管理モジュール110は、パケットの収集量が収集設定値を超えるかどうかをチェックして(S1120)、パケットの収集量が収集設定値以下である場合には、リアルタイムで収集された原パケットデータをメモリ部120に確保されたメモリ領域に直ぐ記録することができる(S1130)。
万一、データ管理モジュール110のパケットの収集量が収集設定値を超える場合には、データ管理モジュール110は、超過した量の原パケットデータのための追加メモリをメモリ部120で先行して確保し、収集設定値を再調整することができる(S1140)。
これと共に、データ管理モジュール110は、収集された原パケットデータからメタデータを抽出し、メモリ部120に確保されたメモリ領域に記録することができる。メタデータは、出発地IP、出発地ポート、目的地IP、目的地ポート、プロトコルなどを含んでもよい。
データ管理モジュール110は、パケットIP/ポート分析を行い(S1150)、TCP/UDPパケット分析(S1160)を行うことができるが、これに限定されるものではなく、パケットIP/ポート分析及びTCP/UDPパケット分析のうちいずれか一つのみを行ってもよい。
データ管理モジュール110は、抽出されたメタデータから例外情報をフィルタリングして、例外情報に対応する原パケットデータをメモリ記録対象から除外することができる(S1170)。ここで、例外情報は、個人情報、特定人が伝送する情報、特定のIPに関する情報などであってもよい。
収集された原パケットデータと抽出されたメタデータとは、所定の記録周期の間にメモリ部120のメモリ領域に記録された後に(S1180)、格納管理モジュール140により格納部130に格納されてもよい。例えば、収集された原パケットデータと抽出されたメタデータとは、メモリ部120のメモリに1分間記録されてもよく、このように1分間記録された原パケットデータとメタデータとは取り合わせられて、1分単位で格納部130にデータベース化されて格納される準備ができる(S1190)。格納管理モジュール140は、原パケットデータとメタデータとをメモリ部120から格納部130へと格納してデータベース化することができる。
格納管理モジュール140は、原パケットデータとメタデータとをローカルディスク132に格納するか、拡張ノード134に分散格納するかを選択する(S1200)。
ネットワーク速度が所定の基準以下である場合に、ディスク管理モジュール142は、原パケットデータとメタデータとをメモリ部120からローカルディスク132へと直接的に格納することができる(S1210)。ディスク管理モジュール142は、OSを経由せずにローカルディスク132に直接アクセスするので、最も急速に原パケットデータとメタデータとをローカルディスク142に格納することができる。原パケットデータとメタデータとは、所定の記録周期単位(例えば、1分単位)でローカルディスク132に記録される。
ネットワーク速度が所定の基準を超える場合に、データ分散管理モジュール144は、原パケットデータとメタデータとをメモリ部120から拡張ノード134へと分散格納することができる(S1220)。分散格納方式は、大規模な構造化されたデータを複数の部分に分割した後、分散して格納及び管理する方式であり、公知の分散格納方式が使用されてもよい。
このような構成により、ネットワーク速度が超高速になっても、格納部のハードウェアの性能を高めることなくデータの損失なしで全て格納可能になる。
図4に示すように、原パケットデータとメタデータとは、データベース化されて格納部130に格納され、メタデータは、パケットデータを要約した情報として、データに対する迅速な情報検索のために使用され、原パケットデータは、ハッキングの有無を調べるための原データとして使用される。
メモリ管理モジュール150は、パケットの格納及び分析に使用されたメモリ領域を管理し、原パケットデータとメタデータとがメモリ部120から格納部130へと格納された後に、メモリ管理モジュール150が、原パケットデータとメタデータとが記録されていたメモリ部120のメモリ領域を返却することができる(S1230)。
図5は、本発明の一実施形態に係るパターンに基づく索引の処理方法を、従来のパターンに基づく索引の処理方法と比較して概略的に示す図である。
従来の索引方式は、大容量のパケットデータに対して、決められた時間に決められたパターンを索引処理する方法であった。すなわち、アプリケーション分析基本モジュールが大容量のパケットデータを分析し、これに基づいて、メタデータ抽出モジュールがメタデータを抽出する構成であった。
これに対し、本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、様々な攻撃シナリオ及び環境に対応するために、ユーザ定義の索引データを生成することができ、索引処理は、リアルタイムの索引処理だけでなく、問題となる時点のデータをユーザが指定して再索引する機能を提供することができる。
すなわち、本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、パターンに基づくユーザ定義の索引管理インタフェースが、原パケットデータにユーザパターンの索引処理を行うことができ、アプリケーション基本モジュールにアプリケーションのパターンを追加することもでき、メタデータ抽出モジュールにメタデータのパターンを追加することもできる。本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、格納部に格納された原パケットデータを分析するため、従来の決められた時間に決められたパターンを索引処理する方式に加えて、必要な時間に必要なパターンを索引処理することができる。
図6は、本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示す図である。図7は、本発明の一実施形態に係るパターンに基づく索引の処理方法を概略的に示すフローチャートである。
本発明の一実施形態に係るパターンに基づく索引の処理方法によれば、シナリオに基づく様々なパターンを定義し、セッション(session)に基づくパケットをパターンに合わせて分類及び再定義して様々なハッキングの試みを分析することができる。
本発明の一実施形態に係るパターンに基づく索引の処理システムは、データ組み換えモジュール、アプリケーション分析モジュール及びメタデータ抽出モジュールを含んでもよい。
格納部130に所定の記録周期単位で格納された原パケットデータは、索引化作業のために、組み換えモジュールにより組み換えられてもよい。組み換えモジュールは、格納部130に格納された原パケットデータのTCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて、格納部130に格納されていた原パケットデータを組み換える(S2110)。
このように組み換えられた原パケットデータに基づき、アプリケーション分析モジュールは、アプリケーションの分析を開始する(S2120)。アプリケーション分析モジュールは、原パケットデータがどのような種類のアプリケーションにより生成されたデータであるかを判断する。
アプリケーション分析モジュールは、組み換えられた原パケットデータに対して、RFC規格を基準としてアプリケーションを判断することができ(S2130)、RFC規格で定義されていないアプリケーションを判断するために、ユーザが定義したルールを使用することができる(S2140)。
このような方式により、組み換えられた原パケットデータを生成したアプリケーションが確認されると(S2150)、メタデータ抽出モジュールは、組み換えられた原パケットデータからメタデータを抽出することができる(S2160)。原パケットデータがRFC規格で定義されたアプリケーションにより生成された場合には、RFC標準規格に基づいてメタデータを抽出することができ(S2170)、原パケットデータがRFC規格で定義されていないアプリケーションにより生成された場合には、ユーザが定義したルールに従ってメタデータを抽出することができる(S2180)。
アプリケーション分析モジュールがアプリケーションを判断するために使用するユーザ定義ルールと、メタデータ抽出モジュールがメタデータを抽出するために使用するユーザ定義ルールとは、パターンに基づくユーザ定義の索引管理インタフェースにより定義されてもよい。
メタデータ抽出モジュールは、このように抽出されたメタデータを索引化作業により最終的に索引化する(S2180)。
図6に示すように、メタデータは、アプリケーション別に抽出され、索引化されてもよい。例えば、アプリケーションがHTTPであることが確認されると、抽出されたメタデータは、URL、Web情報、添付ファイルなどとして索引化され、アプリケーションがFTPであることが確認されると、抽出されたメタデータは、ログインID、サーバID、添付ファイルなどとして索引化され、アプリケーションがSMTPであることが確認されると、抽出されたメタデータは、送信者、受信者、添付ファイルなどとして索引化され、アプリケーションがDNSであることが確認されると、抽出されたメタデータは、ドメインのクエリ、サーバのクエリなどとして索引化され、アプリケーションがSSLであることが確認されると、抽出されたメタデータは、サーバ証明書、URL、サービス情報などとして索引化されてもよい。また、アプリケーションがユーザ定義のルールにより定義されたアプリケーションであることが確認されると、抽出されたメタデータは、それに合わせて定義された形態として索引化されてもよい。
メタデータ抽出モジュールは、一つのアプリケーションの索引ごとに様々なメタデータの索引を組み合わせることができる。
図8は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を、従来の攻撃感知方法と比較して概略的に示す図である。
従来は、状況及び条件別に繰り返し検索を行ってデータ分析を実施した。例えば、出発地/目的地情報は、Webホストアドレス、アプリケーション、出発地/目的地の国、Webメタ-Method、Webメタ-Return code、Webメタ-Path、Webメタ-X forwarded、接続持続時間、アップロード/ダウンロードファイル、パケット数、プロトコルの種類などの108種の条件を繰り返し検索する方法を使用していた。
これに対し、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法によれば、索引統合過程によりハッキングのシナリオ別データを分類して迅速にハッキング事故を分析することができる。すなわち、パターンに基づく索引データ(例えば、出発地/目的地、国家情報、接続持続時間、添付ファイルの種類、Eメールの差出人など)を統合して、継続的に発生するハッキング事故パターンに対するパターンモデリングを行うことで複数のシナリオを予め作成し、シナリオが成立するようにする原パケットデータのみを確認する方法を使用する。
図9は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知方法を概略的に示す図である。
本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムを用いたシナリオ中心のリアルタイム攻撃感知方法によれば、まず、シナリオ生成モジュールは、索引化されたメタデータに適用されるシナリオを形成するステップを行い、メタデータ抽出モジュールは、原パケットデータからメタデータを抽出して索引化するステップを行い、メタデータ検知モジュールは、シナリオに対応する索引化されたメタデータを検知するステップを行うことができる。
ここで、シナリオは、索引化されたメタデータに適用される単一検知シナリオと、複数の単一検知シナリオを組み合わせた多重検知シナリオとを含んでもよい。また、メタデータ抽出モジュールが、パケットデータからメタデータを抽出して索引化するステップにおいて、アプリケーションの分析及びそれに基づいたメタデータの抽出及び索引化について前述したが、必ずしもアプリケーションの分析に基づいてメタデータを抽出及び索引化することが必要であるとは言えず、アプリケーションの分析を行わなくてもよい。
単一検知シナリオは1つ以上の成立条件を含み、成立条件がすべて満たされる場合に、当該メタデータ及びこれに対応するパケットデータは、シナリオが成立したと判断する。成立条件は、索引タイプ及びパターン情報を含んでもよい。索引タイプ及びパターン情報の例については、図10及び図11を参照して後述する。
図9に示すように、シナリオ中心のリアルタイム攻撃感知システムは、生成された索引のメタデータ(例えば、サーバ国家情報、接続持続時間、Web添付ファイルの種類、Web添付ファイルの方向、アプリケーションの種類、Eメールの差出人、Eメールの本文、出発地IP、目的地IP、WebのURLアドレスなど)を統合して単一検知シナリオを生成するために使用することができる。
例えば、単一検知シナリオは、データ流出シナリオ、ウイルスダウンロードシナリオ、C&C接続シナリオ、インサイダー情報漏洩シナリオなどを含んでもよい。
データ流出シナリオは、Web添付ファイルの種類、Web添付ファイルの方向という索引から構成されてもよい。Web添付ファイルの種類としては、pdf、hwp、docxなどを定義し、Web添付ファイルの方向としては、アップロードを定義してもよい。
ウイルスダウンロードシナリオは、Web添付ファイルの種類、Web添付ファイルの方向という索引から構成されてもよい。Web添付ファイルの種類としては、exe、dllなどを定義し、Web添付ファイルの方向としては、ダウンロードを定義してもよい。
C&C接続シナリオは、アプリケーションの種類、サーバ国家情報という索引から構成されてもよい。アプリケーションの種類としては、IRC、HTTPなどを定義し、サーバ国家情報としては、中国、ロシアなどを定義してもよい。
インサイダー情報漏洩シナリオは、Eメールの差出人、Eメールの本文という索引から構成されてもよい。Eメールの差出人としては、特定のドメインのサーバを定義し、Eメールの本文としては、「機密」、「社外秘」という単語を含む内容を定義してもよい。
シナリオ生成モジュールは、このように生成された単一検知シナリオの複数個を組み合わせて多重検知シナリオを生成することができる。たとえば、多重検知シナリオは、APT攻撃シナリオ、機密情報漏洩シナリオなどを含んでもよい。
APT攻撃シナリオは、ウイルスダウンロードシナリオ、C&C接続シナリオ及びデータ流出シナリオをすべて成立させた場合に成立し、機密情報漏洩シナリオは、インサイダー情報漏洩シナリ及びデータ流出シナリオの両方を成立させた場合に成立することができる。
図10は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて、単一検知シナリオが使用されるステップを示す図である。図11は、本発明の一実施形態に係るシナリオ中心のリアルタイム攻撃感知システムにおいて多重検知シナリオが使用されるステップを示す図である。
例えば、図10に示すように、単一検知シナリオのルールID1は、2つの条件を有することができる。条件1の場合、索引タイプ(Index Type)はHTTP URLとして設定され、パターン情報(Rule Pattern)はwww.dropbox.comとして設定されてもよい。条件2の場合、索引タイプはHTTP Upload Typeとして設定され、パターン情報はdocxとして設定されてもよい。このような場合、www.dropbox.comに接続し(条件1満足)、docx拡張子のファイルをアップロードする際(条件2満足)に、Webハードに添付ファイルのアップロード行為が行われたと検知することができる。
また、単一検知シナリオのルールID2は、1つの条件だけを有することができる。条件1の場合、索引タイプ(Index Type)はSSL(Secure Sockets Layer)ドメインとして設定され、パターン情報(Rule Pattern)はsaramin.co.krとして設定されてもよい。このような場合、SSL ドメインとしての転職サイトsaramin.co.krに接続する際に、転職サイトに接続する行為が行われたと検知することができる。
多重検知シナリオは、二つ以上の単一検知シナリオがすべて成立し、多重検知シナリオの共通条件が成立した場合にシナリオが成立したと判断することができる。
例えば、図11に示すように、多重検知シナリオのルールID3は、単一検知シナリオのルールID1とルールID2とを満足させるが、共通の条件としてルールID1とルールID2とを満足させるパケットデータのソースIP(SIP;Source IP)が同一である場合(図11では、192.168.10.147)にシナリオが成立したと判断し、この場合、機密情報漏洩行為が行われたと検知することができる。
このような方式により、さまざまなシナリオを形成して、ハッキングの疑いのあるデータをより速く、より正確に見つけて分析を行うことができ、攻撃を迅速に感知することができる。
以上、本明細書で説明した機能的動作と本主題に関する実施形態は、本明細書で開示された構造及びその構造的等価物を含めて、ディジタル電子回路網で、又はコンピュータソフトウェア、ファームウェア、若しくはハードウェア、或いはこれらのうちの一つ以上の組み合わせで実施可能である。
本明細書で述べる主題の実施形態は、1つ以上のコンピュータプログラム製品、すなわち、データ処理装置による実行のために、またはその動作を制御するために有形のプログラム媒体上に符号化されるコンピュータプログラム命令に関する1つ以上のモジュールとして実施されてもよい。有形のプログラム媒体は、電波形信号またはコンピュータ可読媒体であってもよい。電波形信号は、コンピュータによる実行のために適切な受信機装置に伝送するための情報を符号化するために生成される、例えば機械が生成した電気的、光学的、あるいは電磁信号のような人工的に生成された信号である。コンピュータ可読媒体は、機械可読記憶装置、機械可読記憶基板、メモリ装置、機械可読電波形信号に影響を与える物質の組み合わせ、あるいはこれらのうちのいずれか1つ以上の組み合わせであってもよい。
コンピュータプログラム(プログラム、ソフトウェア、アプリケーション、ソフトウェアアプリケーション、スクリプト、又はコードとも称する)を、コンパイルされる言語又は解釈される言語や先験的または手続き的言語を含む任意の形のプログラミング言語で記述することができ、独立型プログラムとして、又はモジュール、コンポーネント、サブルーチン、若しくはコンピューティング環境内での使用に適する他のユニットとしてを含めて、任意の形で展開することができる。
コンピュータプログラムは、必ずしも、ファイルシステム内のファイルに対応するものであるとは言えない。プログラムを、要求されたプログラムに提供される単一のファイル内に、あるいは多重の相互作用するファイル(例えば、1つ以上のモジュール、サブプログラム、又はコードの一部を格納するファイル)内に、あるいは他のプログラムやデータを保持するファイルの一部(例えば、マークアップ言語文書内に格納される1つ以上のスクリプト)内に格納することができる。
コンピュータプログラムは、1つのサイトに配置されるか、または複数のサイトにまたがって分散されて、通信ネットワークにより相互接続される多重コンピュータまたは1つのコンピュータ上で実行されるように展開されてもよい。
さらに、本明細書で述べる論理の流れ及び構造的なブロック図は、開示される構造的な手段の支援を受ける対応機能と、ステップの支援を受ける対応行為及び/または特定の方法について述べるものであって、対応ソフトウェア構造とアルゴリズムとその等価物を構築するためにも使用可能である。
本明細書で述べるプロセス及び論理の流れは、入力データ上で動作し出力を生成することによって機能を実行するために、一つ以上のコンピュータプログラムを実行する一つ以上のプログラム可能なプロセッサにより実行可能である。
コンピュータプログラムの実行に適するプロセッサは、たとえば、汎用と特殊目的との両方のマイクロプロセッサ、並びにすべての種類のディジタルコンピュータの任意の1つ以上のプロセッサを含む。一般に、プロセッサは、読取り専用メモリ又はランダムアクセスメモリ或いはその両方から命令及びデータを受信する。
コンピュータの必須の要素は、命令語及びデータを格納するための1つ以上のメモリ装置、及び命令を実行するためのプロセッサである。また、コンピュータは、一般に、データを格納するための1つ以上の大容量記憶装置、たとえば磁気ディスク、光磁気ディスクもしくは光ディスクも含み、当該1つ以上の大容量記憶装置からデータを受信したり、当該1つ以上の大容量記憶装置にデータを送信したり、もしくは当該1つ以上の大容量記憶装置との間でデータを送受信したりするように動作可能に結合される。しかし、コンピュータは、そのような装置を持つ必要がない。
本技術の説明では、本発明の最良のモードを提示しており、本発明を説明するための、さらに本発明を製作及び利用するための例を当業者に提供している。このように作成された明細書は、その提示された具体的な用語により本発明を制限するものではない。
したがって、上述した例を参照して本発明を詳細に説明したが、当業者であれば、本発明の範囲を逸脱しない限り、本例に対する改造、変更及び変形が可能である。要するに、本発明が意図する効果を得るために図面に示される全ての機能ブロックを別途に含めたり、図面に示されるすべての順序をそのとおりに行ったりするわけではなく、それとは関係なくいかなる方法でも請求項に記載の本発明の技術的範囲に属することができるということを明らかにする。
110 データ管理モジュール
120 メモリ部
130 格納部
140 格納管理モジュール
150 メモリ管理モジュール
120 メモリ部
130 格納部
140 格納管理モジュール
150 メモリ管理モジュール
Claims (10)
- シナリオ中心のリアルタイム攻撃感知システムを用いたシナリオ中心のリアルタイム攻撃感知方法において、
(a)索引化されたメタデータに適用されるシナリオを形成するステップと、
(b)パケットデータからメタデータを抽出して索引化するステップと、
(c)前記シナリオに対応する、索引化されたメタデータを検知するステップと、を含むことを特徴とするシナリオ中心のリアルタイム攻撃感知方法。 - 前記ステップ(a)は、
索引化されたメタデータに適用される単一検知シナリオを形成するステップと、
複数の単一検知シナリオを組み合わせた多重検知シナリオを形成するステップと、を含むことを特徴とする請求項1に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 単一検知シナリオは、
1つ以上の成立条件を含み、成立条件がすべて満たされる場合にシナリオが成立したと判断され、
成立条件は、索引タイプ及びパターン情報を含むことを特徴とする請求項2に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 多重検知シナリオは、
二つ以上の単一検知シナリオがすべて成立し、共通の条件が成立する場合にシナリオが成立したと判断することを特徴とする請求項3に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記ステップ(b)は、
所定の記録周期単位で格納されたパケットデータをTCP(トランスミッションコントロールプロトコル)ヘッダ情報に基づいて組み換えるステップと、
前記組み換えられたパケットデータからメタデータを抽出して索引化するステップと、を含むことを特徴とする請求項1に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記ステップ(b)は、前記パケットデータを組み換えるステップ前に、
ネットワークを介して伝送されるデータトラフィックからパケットデータを収集するステップと、
前記収集されたパケットデータを所定の記録周期の間にメモリに記録するステップと、
前記収集されたパケットデータからメタデータを抽出して前記所定の記録周期の間にメモリに記録するステップと、
前記所定の記録周期が経過すると、前記記録されたパケットデータと前記メタデータとを前記メモリから格納部へと格納するステップと、を含むことを特徴とする請求項5に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記ステップ(b)は、
前記格納部の格納ステップ後に、前記パケットデータと前記メタデータとが記録されたメモリが返却されるステップを含むことを特徴とする請求項6に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記格納部は、ローカルディスクを含み、
前記ステップ(b)は、
ネットワーク速度が所定の基準以下である場合に、前記パケットデータと前記メタデータとを前記メモリから前記ローカルディスクへと直接的に格納するステップを含むことを特徴とする請求項6に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記格納部は、複数の拡張ノードを含み、
前記ステップ(b)は、
ネットワーク速度が所定の基準を超える場合に、前記パケットデータと前記メタデータとを前記メモリから複数の拡張ノードへと分散格納するステップを含むことを特徴とする請求項6に記載のシナリオ中心のリアルタイム攻撃感知方法。 - 前記シナリオ中心のリアルタイム攻撃感知方法は、前記ステップ(b)前に、
パケットデータに対してアプリケーション分析を行うステップをさらに含むことを特徴とする請求項1に記載のシナリオ中心のリアルタイム攻撃感知方法。
Applications Claiming Priority (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2019-0073260 | 2019-06-20 | ||
KR1020190073262A KR102080479B1 (ko) | 2019-06-20 | 2019-06-20 | 시나리오 중심 실시간 공격 감지 시스템 및 이를 이용한 시나리오 중심 실시간 공격 감지 방법 |
KR1020190073260A KR102080477B1 (ko) | 2019-06-20 | 2019-06-20 | 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법 |
KR1020190073261A KR102080478B1 (ko) | 2019-06-20 | 2019-06-20 | 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 |
KR10-2019-0073261 | 2019-06-20 | ||
KR10-2019-0073262 | 2019-06-20 | ||
PCT/KR2019/008860 WO2020256210A1 (ko) | 2019-06-20 | 2019-07-18 | 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법 |
JP2020530464A JP7391847B2 (ja) | 2019-06-20 | 2019-07-18 | ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020530464A Division JP7391847B2 (ja) | 2019-06-20 | 2019-07-18 | ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024009217A true JP2024009217A (ja) | 2024-01-19 |
Family
ID=74037277
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020530464A Active JP7391847B2 (ja) | 2019-06-20 | 2019-07-18 | ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法 |
JP2023198503A Pending JP2024023381A (ja) | 2019-06-20 | 2023-11-22 | ネットワークフォレンジック方法 |
JP2023198504A Pending JP2024009217A (ja) | 2019-06-20 | 2023-11-22 | ネットワークフォレンジック方法 |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020530464A Active JP7391847B2 (ja) | 2019-06-20 | 2019-07-18 | ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法 |
JP2023198503A Pending JP2024023381A (ja) | 2019-06-20 | 2023-11-22 | ネットワークフォレンジック方法 |
Country Status (3)
Country | Link |
---|---|
US (3) | US11838196B2 (ja) |
JP (3) | JP7391847B2 (ja) |
WO (1) | WO2020256210A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230336574A1 (en) * | 2022-04-13 | 2023-10-19 | Mellanox Technologies, Ltd. | Accelerated data movement between data processing unit (dpu) and graphics processing unit (gpu) to address real-time cybersecurity requirements |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2550239B2 (ja) * | 1991-09-12 | 1996-11-06 | 株式会社日立製作所 | 外部記憶装置システム |
US7460531B2 (en) * | 2003-10-27 | 2008-12-02 | Intel Corporation | Method, system, and program for constructing a packet |
US9218689B1 (en) * | 2003-12-31 | 2015-12-22 | Zilabs Inc., Ltd. | Multi-sample antialiasing optimization via edge tracking |
JP2008112293A (ja) * | 2006-10-30 | 2008-05-15 | Hitachi Ltd | 管理計算機及び電源制御方法並びに計算機システム |
US20100143249A1 (en) | 2007-04-11 | 2010-06-10 | Merck Eprova Ag | Folate-conjugates and corresponding metal-chelate complexes for use in diagnostic imaging and radiotherapy |
JP4983671B2 (ja) * | 2008-03-19 | 2012-07-25 | 沖電気工業株式会社 | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
JP2010178299A (ja) * | 2009-02-02 | 2010-08-12 | Hitachi Ltd | フレームキャプチャシステムおよびフレームキャプチャ方法 |
KR101057432B1 (ko) * | 2010-02-23 | 2011-08-22 | 주식회사 이세정보 | 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체 |
FR2979214B1 (fr) | 2011-08-26 | 2014-04-25 | Seb Sa | Article comportant un revetement antiadhesif presentant des proprietes ameliorees d'adherence au support |
CN102705729A (zh) | 2012-05-10 | 2012-10-03 | 上海三思电子工程有限公司 | 一种方便装卸的led灯具 |
US9229657B1 (en) * | 2012-11-01 | 2016-01-05 | Quantcast Corporation | Redistributing data in a distributed storage system based on attributes of the data |
US9961095B2 (en) * | 2013-03-14 | 2018-05-01 | Fidelis Cybersecurity, Inc. | System and method for extracting and preserving metadata for analyzing network communications |
KR101559559B1 (ko) | 2014-02-10 | 2015-10-15 | 주식회사 액트파트너 | 래티스근 자동 연속 성형장치 및 이에 의해 제작된 래티스 연속 성형체 |
US10095866B2 (en) * | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
KR101626279B1 (ko) * | 2014-06-18 | 2016-06-13 | 주식회사 지아이비코리아 | 트래픽 저장 장치 및 방법, 그리고 컴퓨터로 판독 가능한 기록 매체 |
US10659478B2 (en) * | 2014-07-21 | 2020-05-19 | David Paul Heilig | Identifying stealth packets in network communications through use of packet headers |
US9608879B2 (en) * | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
US10075455B2 (en) * | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
KR101671268B1 (ko) * | 2015-01-08 | 2016-11-01 | 주식회사 윈스 | 시그니처 기반 네트워크 보안 장비의 프로파일링 서비스 방법 및 장치 |
US20160378344A1 (en) * | 2015-06-24 | 2016-12-29 | Intel Corporation | Processor and platform assisted nvdimm solution using standard dram and consolidated storage |
KR101688635B1 (ko) * | 2015-07-01 | 2016-12-21 | 한국전자통신연구원 | 플로우 기반 트래픽 저장 장치 및 방법 |
US10291632B2 (en) * | 2016-03-31 | 2019-05-14 | Fortinet, Inc. | Filtering of metadata signatures |
KR102610846B1 (ko) * | 2016-05-13 | 2023-12-07 | 한국전자통신연구원 | 고속 분산 저장 장치 및 방법 |
US10051142B1 (en) * | 2016-05-20 | 2018-08-14 | Google Llc | Adaptive display of image capacity for a camera |
US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
JP6972714B2 (ja) * | 2017-07-04 | 2021-11-24 | 富士通株式会社 | データ取得プログラム、装置、及び方法 |
WO2019111303A1 (ja) * | 2017-12-04 | 2019-06-13 | 株式会社東陽テクニカ | データ書き込み装置及び方法 |
US11196555B1 (en) * | 2018-08-02 | 2021-12-07 | Timofei A Mouraveiko | System and method for capturing, recording, monitoring, examining, filtering, processing, limiting and controlling intra-network and extra-network data communications |
US10437572B1 (en) * | 2018-08-03 | 2019-10-08 | King Fahd University Of Petroleum And Minerals | Methods, computer readable media, and systems for compiling concise expressive design pattern source code |
US11758513B2 (en) * | 2020-04-20 | 2023-09-12 | Qualcomm Incorporated | Physical uplink control channel with uplink message short data field |
-
2019
- 2019-07-18 JP JP2020530464A patent/JP7391847B2/ja active Active
- 2019-07-18 WO PCT/KR2019/008860 patent/WO2020256210A1/ko active Application Filing
-
2020
- 2020-05-12 US US15/930,177 patent/US11838196B2/en active Active
-
2023
- 2023-10-04 US US18/481,100 patent/US20240031270A1/en active Pending
- 2023-10-04 US US18/481,079 patent/US20240106730A1/en active Pending
- 2023-11-22 JP JP2023198503A patent/JP2024023381A/ja active Pending
- 2023-11-22 JP JP2023198504A patent/JP2024009217A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2022546879A (ja) | 2022-11-10 |
US11838196B2 (en) | 2023-12-05 |
US20240031270A1 (en) | 2024-01-25 |
JP2024023381A (ja) | 2024-02-21 |
WO2020256210A1 (ko) | 2020-12-24 |
US20200412634A1 (en) | 2020-12-31 |
US20240106730A1 (en) | 2024-03-28 |
JP7391847B2 (ja) | 2023-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
JP5813252B2 (ja) | ポリシー処理方法およびネットワークデバイス | |
Lee et al. | An internet traffic analysis method with mapreduce | |
Lee et al. | A hadoop-based packet trace processing tool | |
Miller et al. | Multilayer perceptron neural network for detection of encrypted VPN network traffic | |
JP2024009217A (ja) | ネットワークフォレンジック方法 | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
Patil et al. | S-DDoS: Apache spark based real-time DDoS detection system | |
CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
CN105827629A (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
EP3063643A1 (en) | Data processing | |
Salman et al. | Data representation for CNN based internet traffic classification: a comparative study | |
Gómez Sena et al. | Early traffic classification using support vector machines | |
CN115766258A (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
KR102080478B1 (ko) | 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 | |
CN103490944A (zh) | 一种基于bp神经网络的混合式p2p流量监测系统 | |
Oudah et al. | A novel features set for internet traffic classification using burstiness | |
KR102080479B1 (ko) | 시나리오 중심 실시간 공격 감지 시스템 및 이를 이용한 시나리오 중심 실시간 공격 감지 방법 | |
Lukashin et al. | Distributed packet trace processing method for information security analysis | |
He et al. | Fine-grained P2P traffic classification by simply counting flows | |
Filasiak et al. | On the testing of network cyber threat detection methods on spam example | |
Wei et al. | Design of the web log analysis system based on hadoop | |
Boonyopakorn | Applying Data Analytics to Findings of User Behaviour Usage in Network Systems | |
Adamova | Anomaly detection with virtual service migration in cloud infrastructures | |
KR101886526B1 (ko) | 응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231122 |