JP4170299B2 - 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 - Google Patents
通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 Download PDFInfo
- Publication number
- JP4170299B2 JP4170299B2 JP2005024502A JP2005024502A JP4170299B2 JP 4170299 B2 JP4170299 B2 JP 4170299B2 JP 2005024502 A JP2005024502 A JP 2005024502A JP 2005024502 A JP2005024502 A JP 2005024502A JP 4170299 B2 JP4170299 B2 JP 4170299B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- data
- caps
- packet
- state transition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークを利用した通信システムにおける不正アクセスを検知する通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置、更には通信状態遷移モニタプログラムとそのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
インターネット利用時のセキュリティ確保が重要な課題であるという認識は既に一般社会まで浸透している。物理的な被害を受けなくても、情報の流出、破壊は社会や組織に大きなダメージを与えることがある。計算機を接続する手段としてインターネットが一般的となった現在、インターネット経由での情報伝達あるいは情報管理に関して最大限の注意が払われるべきであろう。現在、安全性向上の一つの手段としてファイヤーウォールと共に、侵入検知システム(以下、IDS:Intrusion Detection System)が利用されている。
このIDSはネットワークを流れるパケットや計算機のファイルの状況をチェックすることにより、侵入やその前兆が発生していないかチェックするシステムである。一部に侵入を検知した場合、その通信を遮断する機能を持つものもあり、これをIPS,IDP等と呼んで区別することもあるが、本明細書では、防御機能まで含めてIDSと呼ぶものとする。既存のIDSでは、侵入行為ではないものを侵入行為として認識してしまう誤検知や膨大なログが生成され、これがIDS利用における大きな課題となっている。侵入検知精度を高めるために、IDSにログ分析機能が付加されてきたが、その背景には、この膨大なログ生成の問題がある。本発明者は、この膨大なログ生成の原因が侵入検知ポリシの設定の難しさにあると考えている。つまり、検知したい事象を絞り込んでポリシ記述することが難しいため、ポリシの記述が部分的/断片的なものになり、その結果、本来検知したい事象を抽出する役割を、ログ分析機能に委ねているためと考えられる。
本発明の基本的な目的は、ポリシの記述性を向上させることにより検知したい事象を正確にポリシとして記述し、その結果、検知漏れを増加させることなくログ出力量を低減させ、侵入検知精度を高めることのできるIDSシステムを実現することにある。現在、侵入検知ポリシの設定は、TCPやIPのOSIの第4層以下(以下、下位層と呼ぶ)の知識を持つパケット解析に熟練したスキルを持つ者(以下、ネットワーク専門家と呼ぶ)が、ソフトウェアベンダ等が配布するポリシを利用したり、また、自ら記述したりして行うことが一般的である。しかし、この方法では、ネットワーク専門家等、一部の専門家のみがポリシ設定や監視を行うこととなり、セキュリティツールとしてのIDSの利用者層を広げることが難しい。また、ポリシの設定内容も、下位層の監視のみならず、OSIの第5層以上(以下、上位層と呼ぶ)の上でのコマンド利用の監視を行うことで、高精度な、つまり、検知したい不正行為をより正確に定義できることになると考えられるが、ネットワーク専門家は必ずしもアプリケーションコマンドの体系やその正しい利用法を熟知しているわけではない。一方、下位層の知識は少なくても、各々のアプリケーション等上位層に対して深い解析能力を持つ者(以下、アプリケーション熟練者と呼ぶ)もいる。アプリケーション熟練者が侵入検知ポリシを記述できるようになれば、上位層でより正確なポリシ記述が可能となる。つまり、侵入検知精度を高くするには、下位層から上位層までポリシ全体を正確に記述することが必要で、そのためには、ネットワーク専門家は下位層のポリシを、アプリケーション熟練者は上位層でのポリシを、それぞれ分担して記述するという、ポリシ記述の分業を可能とする構造がIDSに求められていると考える。
既存システムの現状に触れる前に、IDSを構成する機能について定義しておく。非特許文献1にリファレンスモデルCIDF(Common Intrusion Detection Framework)が提案されている。これは、Event Generators, Event Analyzers, Response Units, Event DatabasesをIDS構成機能として提案している。本明細書では、このEvent Generators機能の部分を、データ収集機能とデータ作成機能に分割し、また、ログ分析機能を追加した次の6つの機能:データ収集機能(Data Collection)、データ作成機能(Data Generation)、データ解析機能(Data Analysis)、アクション機能(Action)、記録機能(Record)、ログ分析機能(Log Analysis)で構成されるモデルで話を進める(図11参照)。なお、以下簡単化のために、不正アクセス処理システム(Cracking Analyzer)をCAと呼び、そのCAにおけるデータ収集機能とデータ作成機能をまとめてCAPS(Cracking Analysis Protocol Stack)と、データ解析機能とアクション機能をまとめてAA(Application Analyzer)と呼ぶこととする。
IDSの開発は、商用・フリーウェアを問わず積極的に行われ、RealSecure Network Sensor,Dragon Host Sensor, Cisco IDS, Snort(非特許文献2)やTripwire等が開発されている。前者3つは商用、後者2つはフリーウェアである。本出願人等も情報通信ステーションの間で階層化されたプロトコルにより通信を行うように構築されたネットワークにおける不正を解析する方法であって、前記ネットワーク上で伝送されているパケットを取り込むデータ収集工程と、階層化されたプロトコルに応じた階層化モジュールのパラメータを予め読み込んでおいたコンフィグレーションファイルで指定された情報に基づいて設定し、前記データ収集工程からのパケットを前記各階層化モジュールでフィルタリングして前記パケットの細分化されたデータを予め設定した階層にまで再構築することにより解析データを作成するデータ作成工程と、予め読み込んでおいたコンフィグレーションファイルで指定された内容を基に前記データ作成工程からの解析データに不正が発生しているか判定するデータ解析工程とを備えたネットワーク不正解析方法(特許文献1)を提示している。
既存システムは適材適所で有効に利用されているが、実用においては、いくつかの問題点が指摘されている。それらの指摘を整理すると、IDSの解決すべき課題を以下のようにまとめることができる。
(1)侵入検知ポリシの設定が難しい。(2)対応OSが限定される。(3)パフォーマンスが不足している。(4)暗号通信を解析できない。(5)導入コストが高い。(6)既存アプリケーション環境を変更しなければならない。
特開平10−313341号公報 「ネットワーク不正解析方法及びこれを利用したネットワーク不正解析装置並びにネットワーク不正解析プログラムを記録したコンピュータ読み取り可能な記録媒体」 平成10年11月24日公開
Internet Security Systems. Real Secure Network Sensor Policy Guide Version7.0,http://www.isskk.co.jp/manual/RS_NetSensor_PG_7.0j_pdf,2002
B. Caswell, J. Beale, J.C. Foster, J. Posluns, R. Russell, 渡辺勝弘, 鹿田幸治, Snort 翻訳プロジェクト訳「Snort 2.0 侵入検知」 ソフトバンクパブリッシング 2004年
(1)侵入検知ポリシの設定が難しい。(2)対応OSが限定される。(3)パフォーマンスが不足している。(4)暗号通信を解析できない。(5)導入コストが高い。(6)既存アプリケーション環境を変更しなければならない。
本発明は、上記したIDSの解決すべき課題のうち指摘の多い"侵入検知ポリシの設定が難しい"ことを解決するために、侵入検知ポリシの設定を簡便に行える解析対象データを作成する仕組みを提案することにある。これは、図11に示すIDSの機能においてはデータ作成機能の改善と言える。
本発明の課題を明確にするために、ここではまず、侵入検知ポリシ設定に関する現状を整理しておく。検知対象例として著名な"Nimda"ワームを取り上げる。"Nimda"ワームは、TCP25,TCP80,TCP139,TCP445等、多数のポートを使用してワームとしての活動を行う。ここで、"Nimda"ワームからの攻撃を受けているホストを検知することを考える。図12に著名なIDSであるSnortでの検出シグネチャを示す。このシグネチャではTCP139番を用いたワーム活動を記述している。上記に示したポートはごく標準的に使用されるポートであるため、このポートヘの接続活動を個々に検知するだけでは、例えば正しいWindows(登録商標)ネットワーク通信もワーム活動として誤検知してしまう。ワーム活動を検知するには、上記多数のポートが関連性を持って利用されていることを確認する必要がある。この問題点の解決方法として、関連する複数のシグネチャをひとつにまとめて利用者に提供するシステム[Real Secure Network Sensor]や、個々の検知結果が出力するログの関連性を分析するツールを利用する方法などが研究されている。しかし、ソフトウエアベンダ等が提供するシグネチャ群は一般的な記述であるため、個別サイトに実際に適用する場合には修正は免れない。例えば、個別サイトの実情に合わせるため、シグネチャの中に埋め込まれているホスト情報をポリシ全体にわたってネットワーク専門家が一つ一つ変更したり、ポリシに含まれるアプリケーションの通信パターンが正しい利用状況下でも発生する場合は、アプリケーション熟練者の助言のもとでネットワーク専門家が、そのパターンを含むシグネチャを削除または修正する必要があったりする。つまり、誤検知を防ぐ目的で改善がなされているが、依然としてポリシ設定には高度な能力が必要になる状況は改善されていないことになる。
また、個々のシグネチャ検知時にも課題がある。例えば"Nimda"ワーム活動の特徴的な文字列である"GET/scripts/root.exe?/c+dir"を検知する場合を考える。ワーム活動が成功するのは、この文字列がhttpのGETコマンドとして出現し、かつ、コマンドが成功した場合であり、コマンドとして意味を持たない文脈の中でこの文字列が検知されたり、コマンドが成功しなかったりした場合は、実害は発生しないがログに記録されることになる。このログ蓄積について、有用なログと見るか誤検知と見るかは監視の目的により見解が分かれる。管理しているネットワークで日々何が起こっているのかを把握したいのであれば攻撃の試みのログは有用であり、一方、攻撃が成功したことを検知したいのであれば誤検知となる。ネットワークセキュリティの観点からは、攻撃の試みを検知することは重要な機能のひとつである一方、迅速な対応を迫られるインシデント発生時においては、実際に攻撃の被害を受けてしまったホストを特定し記録しているIDSのログは、被害拡大の防止作業に役立つ。コマンドとして意味を持たない文脈の中でパターンが検知されないようにする方法として、文脈フィルターを用いるシステムがある[Real Secure Network Sensor]。しかし、この方法で保証するのは、パターンマッチ対象をhttpのGETコマンドに限定することだけで、このGETコマンドが成功したことを含めて侵入行為が発生したと検出するには至っていない。
以上より、本発明による侵入検知ポリシ設定における課題をまとめると、以下の2点になる。
(課題1) 複数シグネチャの簡便な関連性設定、すなわち、複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチするポリシ設定ができること。
(課題2) 攻撃とレスポンスのペア化による文脈設定、すなわち、攻撃とそれに対するレスポンスという文脈をパターンマッチするポリシ設定ができること。
すなわち、本発明の目的は、侵入検知ポリシの設定を簡便に行える解析対象データを作成する仕組みを提案することにあり、具体的には複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチするポリシ設定ができるようにすること、および、攻撃とそれに対するレスポンスという文脈をパターンマッチするポリシ設定ができるようにすることにある。
以上より、本発明による侵入検知ポリシ設定における課題をまとめると、以下の2点になる。
(課題1) 複数シグネチャの簡便な関連性設定、すなわち、複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチするポリシ設定ができること。
(課題2) 攻撃とレスポンスのペア化による文脈設定、すなわち、攻撃とそれに対するレスポンスという文脈をパターンマッチするポリシ設定ができること。
すなわち、本発明の目的は、侵入検知ポリシの設定を簡便に行える解析対象データを作成する仕組みを提案することにあり、具体的には複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチするポリシ設定ができるようにすること、および、攻撃とそれに対するレスポンスという文脈をパターンマッチするポリシ設定ができるようにすることにある。
本発明は、提示した2つの課題を解決するために、以下の2つの方法を提案する。
すなわち、上記の課題1を解決する手段として、複数ストリームからの解析データ取得機能を提示する。これは複数の通信をひとつの視点から解析できるようになれば、パターン設定の困難さが軽減されるであろうという考え方に基づく機能実現である。例えば、著名なIDSソフトのSnortでは、複数のシグネチャのうち少なくともひとつがマッチするパケットが観測された場合に検知したと判定する。しかし、例えば、複数あるシグネチャのうち一番目のものは、TCP139番ポートに対して、特定の文字列が送信されたら検知せよというものであるが、着目しているワーム以外にもこの特定文字列を送信する通信は存在し、このシグネチャのみをもって当該ワームを検知したとすることは早計であるため、これらのシグネチャをもとに出力されたログを分析することが必要になっている。つまり、本来当該ワームのシグネチャとして記述したい内容を正確に記述できていないことになる。当該ワームの場合、TCP139番ポートだけでなく、例えば、TCP80番を利用してワームソフトを送りつける動作をする。そこで、TCP139とTCP80番の両方を用いて特定文字列を送信する通信を検知するようにシグネチャ記述できれば、その結果検知した通信は当該ワームである確率が高くなる。そこで、本発明の不正アクセス検知システムは、図1に模式的に示したように複数ストリームからの解析データを取得できるようにすること、例えば、SMBを用いたシグネチャ1の通信と、httpを用いたシグネチャ2の通信が特定のソース(情報源)とディスティネーション(到達先)の間で観測された場合を当該ワームの検知であるとポリシ設定可能とするものである。
すなわち、上記の課題1を解決する手段として、複数ストリームからの解析データ取得機能を提示する。これは複数の通信をひとつの視点から解析できるようになれば、パターン設定の困難さが軽減されるであろうという考え方に基づく機能実現である。例えば、著名なIDSソフトのSnortでは、複数のシグネチャのうち少なくともひとつがマッチするパケットが観測された場合に検知したと判定する。しかし、例えば、複数あるシグネチャのうち一番目のものは、TCP139番ポートに対して、特定の文字列が送信されたら検知せよというものであるが、着目しているワーム以外にもこの特定文字列を送信する通信は存在し、このシグネチャのみをもって当該ワームを検知したとすることは早計であるため、これらのシグネチャをもとに出力されたログを分析することが必要になっている。つまり、本来当該ワームのシグネチャとして記述したい内容を正確に記述できていないことになる。当該ワームの場合、TCP139番ポートだけでなく、例えば、TCP80番を利用してワームソフトを送りつける動作をする。そこで、TCP139とTCP80番の両方を用いて特定文字列を送信する通信を検知するようにシグネチャ記述できれば、その結果検知した通信は当該ワームである確率が高くなる。そこで、本発明の不正アクセス検知システムは、図1に模式的に示したように複数ストリームからの解析データを取得できるようにすること、例えば、SMBを用いたシグネチャ1の通信と、httpを用いたシグネチャ2の通信が特定のソース(情報源)とディスティネーション(到達先)の間で観測された場合を当該ワームの検知であるとポリシ設定可能とするものである。
本発明の不正アクセス処理システム(CA)では、この機能を、
(1) CAソケットライブラリによるデータ収集機能とデータ作成機能を備えた通信処理機能部(CAPS)とデータ解析機能とアクション機能を備えた解析機能部(AA)との完全な分離構造化
(2) CAPSのISO7層モデル(図13参照)に従った完全なモジュール構造化
という2つの構造化により具体化している。
前者は、CA全体のモジュール化に関することである。複数の通信をひとつの視点から解析することを考えた場合、この複数の通信がISO7層モデルのどの層のものであるのか、また、何種類の通信をまとめて解析するのかは、解析対象毎に異なる。従って、解析対象の層や数を限定しないために、解析機能側から通信処理機能に対して、必要な解析データの要求を出す構造が必要となる。これを実現するために、解析機能(AA)を通信処理機能(CAPS)とは完全に分離した構造を採用した。これにより、解析機能がどのようなデータを要求しても通信処理機能を実現するソフトウェアに変更を発生させることが無くなった。また、「IDSのような不正アクセス処理システムの基本ソフトウェアはプロトコルスタックであり、解析等を行う応用ソフトウェアとは区別すべきである」という思想のもと、基本ソフトウェア機能部(CAPS)と応用ソフトウェア機能部(AA)を明確に区別し、この2つの機能部をCAソケットライブラリで結合するというモデルを示しているものでもある。
(1) CAソケットライブラリによるデータ収集機能とデータ作成機能を備えた通信処理機能部(CAPS)とデータ解析機能とアクション機能を備えた解析機能部(AA)との完全な分離構造化
(2) CAPSのISO7層モデル(図13参照)に従った完全なモジュール構造化
という2つの構造化により具体化している。
前者は、CA全体のモジュール化に関することである。複数の通信をひとつの視点から解析することを考えた場合、この複数の通信がISO7層モデルのどの層のものであるのか、また、何種類の通信をまとめて解析するのかは、解析対象毎に異なる。従って、解析対象の層や数を限定しないために、解析機能側から通信処理機能に対して、必要な解析データの要求を出す構造が必要となる。これを実現するために、解析機能(AA)を通信処理機能(CAPS)とは完全に分離した構造を採用した。これにより、解析機能がどのようなデータを要求しても通信処理機能を実現するソフトウェアに変更を発生させることが無くなった。また、「IDSのような不正アクセス処理システムの基本ソフトウェアはプロトコルスタックであり、解析等を行う応用ソフトウェアとは区別すべきである」という思想のもと、基本ソフトウェア機能部(CAPS)と応用ソフトウェア機能部(AA)を明確に区別し、この2つの機能部をCAソケットライブラリで結合するというモデルを示しているものでもある。
後者は、CAPSのモジュール化に関することである。CAPSはISO7層モデルに従った各層が独立した構造を持ち、かつ、各層のモジュール内には、それぞれフィルターモジュールと再構築モジュールが配置されており、各層それぞれがAAヘデータを渡すインターフェースを持っている。このCAPSの構造により、AAは同時に複数の通信パスを監視できるようになっている。
本発明では、前記の課題2を解決するため手段としてストリームペア化機能を提示する。IDSにおけるパターンマッチの対象はパケット単位となることが多い。これに加え、IPフラグメントの再結合処理や、TCPストリームの再構築処理後のデータを対象とすること(特許文献1参照)も可能になってきた。本発明のCAは、これに加え、図2に模式的に示すようにストリームのペア化機能を実現した。以下、パケットにおけるソース、ディスティネーションという概念と、ユニキャスト通信における2つの通信主体を明確に区別するために、2つの通信主体をクライアントとサーバと呼ぶことにするが、これは、ここでの議論に一般性を失わせるものではない。ユニキャスト通信は、クライアントとサーバの間でデータの交換が行われるが、このとき通信は、クライアントからサーバヘの通信(以下、クライアント通信と呼ぶ)と、サーバからクライアントヘの通信(以下、サーバ通信と呼ぶ)の、2つの通信が存在する。この時、非特許文献1,2に示される既存のIDSでは、このクライアント通信とサーバ通信の関連性は保持されておらず、それぞれが関連性の無い通信として取り扱われている。しかし、課題2にある"攻撃とそれに対するレスポンスという文脈"をAAが理解するためには、CAPSが2つの通信の関連性を確保しAAに伝達する必要がある。この文脈が理解できることにより、着目するワームの攻撃が成功したか失敗したかを含めての、侵入検知が可能となる。
本発明の通信状態遷移モニタ手法は、階層化された通信内容のシーケンス番号とアクノリッジ番号の両方を用いて、ストリームペアとして連続した通信となっていることを確認し、上位層へデータを転送するようにしているので、コマンドとレスポンスの様なストリームペアから解析データを取得する機能を備えており、確率の高い侵入検知が出来る。また、階層化された通信内容のシーケンス番号とアクノリッジ番号の両方を用いて、ストリームペアを一元的に再構築するだけでなく、各一方向通信のみの再構築が、適宜可能である。
本発明の通信状態遷移モニタシステムは、階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとを完全に分離されたシステムにおいて、パラメータ指定により解析対象に応じて必要となる解析データをAAからCAPSに対して要求するものであるから、解析対象の層や数を限定することなく再構築アルゴリズムを可変化した。
本発明の通信状態遷移モニタシステムは、階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとを完全に分離されたシステムにおいて、パラメータ指定により解析対象に応じて必要となる解析データをAAからCAPSに対して要求するものであるから、解析対象の層や数を限定することなく再構築アルゴリズムを可変化した。
本発明の通信状態遷移モニタ手法は、パケット情報における各データ部の最初と最後の接続情報を書き込んだパケット構造体を、ヘッダ部を付けたまま各パケットに付加するようにしたので、再構築データ及びパケットヘッダの両方を同時に評価することができる。
本発明の通信状態遷移モニタシステムは、一つの解析データを対象に、パケット単位とセッション単位を同時に評価を行う機能を備えているので、巧妙な不正アクセスに対して多様な解析が可能であり、個々の端末に対してもその状態に応じた多様な対応が可能である。
総括すると、本発明のCAは、IDSにおける侵入検知精度を高めるという課題を解決するシステムであって、複数シグネチャの簡便な関連性設定と攻撃・レスポンスのペア化による文脈設定を記述できる環境を提供することにより、セキュリティツールの利用者層を広げ、上位層に対して深い解析能力を持つ者が直接不正アクセス処理に携ることができるようにし、その結果、下位層から上位層までポリシ全体を正確に記述することが可能となり、IDSログ出力量を、検知漏れを増加させることなく低減させることが出来る。
本発明の通信状態遷移モニタシステムは、一つの解析データを対象に、パケット単位とセッション単位を同時に評価を行う機能を備えているので、巧妙な不正アクセスに対して多様な解析が可能であり、個々の端末に対してもその状態に応じた多様な対応が可能である。
総括すると、本発明のCAは、IDSにおける侵入検知精度を高めるという課題を解決するシステムであって、複数シグネチャの簡便な関連性設定と攻撃・レスポンスのペア化による文脈設定を記述できる環境を提供することにより、セキュリティツールの利用者層を広げ、上位層に対して深い解析能力を持つ者が直接不正アクセス処理に携ることができるようにし、その結果、下位層から上位層までポリシ全体を正確に記述することが可能となり、IDSログ出力量を、検知漏れを増加させることなく低減させることが出来る。
本発明におけるCAの主要構成要素とその機能について説明する。まず、CAの主要構成要素であり、前記課題解決を実現するCAPSを構成する2つの要素、すなわち、データ収集機能とデータ作成機能について述べる。
本発明のCAのデータ収集モジュールは、ネットワークインターフェースが1個の場合と2個の場合がある。2個の場合は、パケットのブリッジを行い、セッションのハイジャック機能を有効にすることができる。1個の場合はセッションの監視、切断等が行えるがこれは2個の場合でも可能である。図3にクライアント〜サーバ間の通信をCAで監視する場合の形態を示す。
次ぎに本発明のCAのデータ作成モジュールであるが、図4にCAの構成要素とその関係図を示す。複数ストリームからの解析データ取得機能は、データ作成モジュール(図中のデータ作成)にある。データ作成モジュールの中を完全な層構造にし、全ての層からデータ解析モジュールヘ直接データを渡せる構造としている。階層化されたプロトコルの各層は、フィルターモジュール(Layer-n Filter)と再構築モジュール(Layer-n Reassemble)で構成されている。このデータ作成部の構成は先の特許文献1にも示されているところであるが、本発明におけるCAPSは取り込むパケットの指示だけでなく、取り込んだパケットの再構築処理をどう行うかまで、AAが必要とするデータの指定をAAから受ける機能が加えられており、このデータ指定に基づいて、各層のフィルターモジュール及び再構築モジュールの動作が決定され、AAが必要とするデータ形式を作成することが可能となっている。
この再構築モジュールに、通常のIDSには無いCA特有の課題が存在する。それは以下に示すセッションペア化の問題である。CAにおいて、TCP等コネクション指向プロトコル処理における再構築処理は必須のものとなるが、これは通常のTCP処理アルゴリズムに通信端点という条件を設けないことにより実現可能である。図5にCAのプロトコルスタックの動作位置を示す。通常のソケットライブラリは、そのライブラリが動作しているノード(ノード2)と他のノード(ノード1)が通信することを前提に設計されているが、CAのライブラリは、ライブラリが動作していないノード同士(ノード1とノード2)が通信することを前提に設計されており、自ホストが必ず通信に関与することを条件としていない。図5からも分かるように、CAのプロトコルスタックはルータやスイッチ等のネットワーク機器のそれと同等な機能を果たすように設計した。これにより、任意の通信を取り扱うことができるプロトコルスタックとなった。
次に、CAの再構築処理について考える。図6(a)のような時間順序でクライアントとサーバ間でパケットが交換されたとする。ここで、パケットIDの"C番号"はクライアント通信のパケット、"S番号"はサーバ通信のパケットを指す、通常のTCP再構築処理を実現することにより、パケット到着順に乱れが生じたり、再送要求等による重複パケットが発生したりしても、クライアント通信とサーバ通信はそれぞれ図6(b)のように正確に再現できる。この時、再構築にはシーケンス番号(seq)とデータ長(len)が使われる。ここで、CAでの再構築処理について考える。CAへのパケット到着順に関しても、クライアントやサーバと同様その順序が入れ替わることがあり得る。例えば、図6(c)に示すように、CO,C1,S1,SO,C2,S2の順でパケットが到着したとする。この時、通常のTCP再構築処理をした場合、CAPSからAAへ送信されるパケットは、図6(d)に示す順番となる。上段がクライアント通信、下段がサーバ通信である。ここで(d)と(b)を比較すると、どちらもクライアント通信及びサーバ通信だけに注目すると正しい順序でパケットがAAへ渡される。しかし、(d)の場合、C1がAAに早く渡されすぎている。図6(a)にあるように、文脈からすると、C1はS1の後にAAに渡されなければならない。本発明のCAでは、この問題を遅延再構築アルゴリズムにより解決するようにしている。これは、要約すると、「シーケンス番号とアクノリッジ番号の両方を用いて、ストリームペアとして連続した通信となっているか確認しながら、上位層ヘデータを転送する。」というアルゴリズムである。
遅延再構築アルゴリズムでC1の上位層への転送が遅延する様子を図6,表1,及び表2を用いて説明する。
到着順である図6(c)のクライアント通信及びサーバ通信それぞれについて通常のTCP再構築処理によって並べ替えられたパケットのシーケンス番号及びアクノリッジ番号を整理すると表1及び表2になる。パケットID CO,C1は、表1よりクライアント通信としてはシーケンス番号が連続していること、図6(c)より連続して到着していることより、連続して上位層へ送ることが可能であり、通常のTCP再構築はそのように動作する(図6(d)上段CO,C1の連続送出)。これを上位層から見た場合、COとC1が連続した文脈を持つかのように下位層からデータを渡されることになる。しかし、実際はCOに対してSO,Slという反対向きの通信が存在しているため、本発明のCAでは、C1を送出する前に、SO,S1を送出できるように遅延再構築アルゴリズムでデータの送出タイミングを決定している。C1を送出しようとする時、既に送出したCOのアクノリッジ番号2000とC1のアクノリッジ番号2020を比較する。ここで、両者が異なる場合、このギャップ分だけ、2つのパケットの間に反対向きの通信が発生していることになるので、その通信を上位層に送出するまで、C1の送出を遅延させる。ここで、反対向きの通信とは、表2のSO,S1になる。SO,S1の送出後は、サーバ通信のシーケンス番号が2020になっているため、C1送出のための条件であるクライアント通信のアクノリッジ番号とサーバ通信のシーケンス番号(表1,表2の下線部)が一致することになり、C1を送出できる(図6(e)上段C1)。SO,S1等サーバ通信のパケット送出時も、上記の例と全く同じ確認を行う。
これを遅延再構築と呼ぶのは、「上位層に渡そうとするパケットのアクノリッジ番号と反対向きの通信のシーケンス番号が同じになるまで待つ」ことにより、上位層へのデータ伝達が遅延することがあることに由来する。この遅延を認めることにより、パケットの到着順に乱れが生じても、クライアント通信とサーバ通信の正しい対応を保持したデータを上位層へ供給することが可能となる。この機能は転送されてきたパケット情報を情報源における時系列情報に揃えるだけでなく、要求に沿った時系列に揃えることに敷衍される。
これを遅延再構築と呼ぶのは、「上位層に渡そうとするパケットのアクノリッジ番号と反対向きの通信のシーケンス番号が同じになるまで待つ」ことにより、上位層へのデータ伝達が遅延することがあることに由来する。この遅延を認めることにより、パケットの到着順に乱れが生じても、クライアント通信とサーバ通信の正しい対応を保持したデータを上位層へ供給することが可能となる。この機能は転送されてきたパケット情報を情報源における時系列情報に揃えるだけでなく、要求に沿った時系列に揃えることに敷衍される。
今、本発明にはパケット再構築の際に、"到着済みパケット"と"新規到着パケット"の間にデータの重なり部分が存在した場合の処理方法の柔軟性が有ることを具体的に説明する。
パケット情報においてデータの重なりとは、以下の様な状況でセキュリティの脅威となる。例えば以下の条件(図7の(1)参照)の時を考える。
(a) パケットA(到着済みパケット)が先に、パケットB(新規到着パケット)が後に到着し
(b) 二つのパケット間で、データの重なり部分が存在し
(c) 更に、そのデータの重なり部分の片方(この例の場合は後着パケットの方)に不正データが埋め込まれていたとする。
通常は、データの重なり部分について、到着済みパケットか新規到着パケットかどちらか一方の重なり部分を採用しデータの再構築を行う。例えば到着済みパケットAを採用する場合、図7の(2)のような再構築結果となり、新規到着パケットBを採用する場合、図7の(3)のような再構築結果となる。データの重なり部分の内容が同一の場合、(2)と(3)の再構築結果は同一となるが、上述(c)の条件が存在すると、(2)と(3)の再構築結果は異なるものとなる。
パケット情報においてデータの重なりとは、以下の様な状況でセキュリティの脅威となる。例えば以下の条件(図7の(1)参照)の時を考える。
(a) パケットA(到着済みパケット)が先に、パケットB(新規到着パケット)が後に到着し
(b) 二つのパケット間で、データの重なり部分が存在し
(c) 更に、そのデータの重なり部分の片方(この例の場合は後着パケットの方)に不正データが埋め込まれていたとする。
通常は、データの重なり部分について、到着済みパケットか新規到着パケットかどちらか一方の重なり部分を採用しデータの再構築を行う。例えば到着済みパケットAを採用する場合、図7の(2)のような再構築結果となり、新規到着パケットBを採用する場合、図7の(3)のような再構築結果となる。データの重なり部分の内容が同一の場合、(2)と(3)の再構築結果は同一となるが、上述(c)の条件が存在すると、(2)と(3)の再構築結果は異なるものとなる。
ここで、データの重なり部分のどちらかに不正データが埋め込まれていたとすると、再構築の仕方によって不正行為が発症したり、しなかったりする。不正行為を行おうとするものは、この動作を利用する。つまり、不正行為検査時には(2)のように正常なデータとして再構築され、なおかつ、実際のノードに到着した時には(3)のように不正行為が発症するようにデータを複数のパケットに分割し重なり部分を持たせたものを攻撃対象に対して送信する。これが可能な理由は、データの重なり部分が存在する場合、不正行為検査時に到着済みパケットAと新規到着パケットBのどちらのデータを採用するかを攻撃対象ホストに対応して設定できないことが原因である。本発明のCAではこの再構築アルゴリズムを可変とすることにより、この攻撃を検知できるようにしている。
到着済みパケットAと新規到着パケットBのデータの重なり部分の重なり方も以下に例示するように種々有るところで、本発明はその形態毎に、その対応処理をとることができる。
例1:到着済みパケットの後ろ部分と新規到着バケットの前部分が重なっている場合。
例2:到着済みパケットの前部分と新規到着パケットの後ろ部分が重なっている場合。
例3:到着済みパケットの中に新規到着パケットが包含される場合のうち、新規到着パケットの最初及び最後が到着済みパケットと一致しない場合。
例4:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最初及び最後が新規到着パケットと一致しない場合。
例5:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最初だけが新規到着パケットと一致する場合。
例6:新規到着パケットが到着済みパケットの中に包含される場合のうち、新規到着パケットの最初だけが到着済みパケットと一致する場合。
例7:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最後だけが新規到着パケットと一致する場合。
例8:新規到着パケットが到着済みパケットの中に包含される場合のうち、新規到着パケットの最後だけが到着済みパケットと一致する場合。
例9:到着済みパケットと新規到着パケットが一致する場合。
これらの形態においても本発明では、いずれかのパケットに埋め込まれている不正データを検出することが可能となる。
例1:到着済みパケットの後ろ部分と新規到着バケットの前部分が重なっている場合。
例2:到着済みパケットの前部分と新規到着パケットの後ろ部分が重なっている場合。
例3:到着済みパケットの中に新規到着パケットが包含される場合のうち、新規到着パケットの最初及び最後が到着済みパケットと一致しない場合。
例4:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最初及び最後が新規到着パケットと一致しない場合。
例5:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最初だけが新規到着パケットと一致する場合。
例6:新規到着パケットが到着済みパケットの中に包含される場合のうち、新規到着パケットの最初だけが到着済みパケットと一致する場合。
例7:到着済みパケットが新規到着パケットの中に包含される場合のうち、到着済みパケットの最後だけが新規到着パケットと一致する場合。
例8:新規到着パケットが到着済みパケットの中に包含される場合のうち、新規到着パケットの最後だけが到着済みパケットと一致する場合。
例9:到着済みパケットと新規到着パケットが一致する場合。
これらの形態においても本発明では、いずれかのパケットに埋め込まれている不正データを検出することが可能となる。
ヘッダ部とデータ部とかならなるパケットデータは従来手法で再構築されると連続するデータ部情報が接続されてヘッダ部データは残らない。そこで次ぎに、パケットヘッダを失わない再構築処理方法に関する本発明技術について説明する。
従来手法の例として、パケットA,B,Cをこの順番で再構築する場合を図8の(1)に示している。図で示されるように、再構築後は、パケットA,B,Cに含まれていた情報のうち、データ部だけが存在し、再構築をすることによって、ヘッダ部の情報が削除されている。この状態では、再構築後のデータ部A,B,Cに跨ったデータ解析は可能となるものの、ヘッダ部の解析をすることができなくなってしまう。
図8の(2)は本発明の技術について説明している。3つのデータ部を直接連結するのではなく、パケット構造体というものを3つのパケットに付加し、このパケット構造体の中で、例えば、「データ部Aの最後はデータ部Bの最初に接続」し、また、「データ部Bの最後はデータ部Cの最初に接続」する、という再構築情報を表現するようにしている。これにより、図8を参照しつつ前述した手法で可能となった再構築後のデータ部A,B,Cに跨ったデータ解析と共に、パケット単位のヘッダ部も含めた解析が同時に可能となる。
従来手法の例として、パケットA,B,Cをこの順番で再構築する場合を図8の(1)に示している。図で示されるように、再構築後は、パケットA,B,Cに含まれていた情報のうち、データ部だけが存在し、再構築をすることによって、ヘッダ部の情報が削除されている。この状態では、再構築後のデータ部A,B,Cに跨ったデータ解析は可能となるものの、ヘッダ部の解析をすることができなくなってしまう。
図8の(2)は本発明の技術について説明している。3つのデータ部を直接連結するのではなく、パケット構造体というものを3つのパケットに付加し、このパケット構造体の中で、例えば、「データ部Aの最後はデータ部Bの最初に接続」し、また、「データ部Bの最後はデータ部Cの最初に接続」する、という再構築情報を表現するようにしている。これにより、図8を参照しつつ前述した手法で可能となった再構築後のデータ部A,B,Cに跨ったデータ解析と共に、パケット単位のヘッダ部も含めた解析が同時に可能となる。
図4には示していないが、本発明のCAにおいて、データ作成モジュールの中に、ca_muxと呼ぶモジュールを備えている実施例について説明する。muxとはマルチプレクサを指しており、関連するストリームペアをひとまとまりの解析対象として管理し、AAとインターフェースを保つ機能を提供するものである。この実施例ではAAの取得する一つのファイル記述子に対応して一つのca_muxが割り当てられる。また、図9に示すように一つのAAが複数のca_muxを保持することが可能である。つまり、一つのAAが複数のストリームや、一つのストリーム内での複数プロトコル層の解析を行うことが可能となっている。通常のソケットライブラリは、特定のストリームのデータのみを送受信するが、本発明に係るCAのライブラリはストリームペアのデータを同時に送受信できる構造となっている。これは、通常のソケットライブラリインターフェースをグループ化して、メタソケットライブラリ的に動作しているが故に可能となっているものである。
以上、AAが複数のca_mux を保持することが可能になっていることにより、課題1の複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチすることが可能となり、また、ca_muxによるストリームペアの管理により、課題2の攻撃とレスポンスのペア化を実現している。
以上、AAが複数のca_mux を保持することが可能になっていることにより、課題1の複数のシグネチャをひとつの侵入検知ポリシとしてまとめてパターンマッチすることが可能となり、また、ca_muxによるストリームペアの管理により、課題2の攻撃とレスポンスのペア化を実現している。
本発明のCAに装備されるCAPSプラットフォームの実装においては、オペレーティングシステムや、不正アクセス処理が実行される空間がカーネル空間なのかユーザ空間なのか(以下、このオペレーティングシステムと実行空間を合わせて環境と呼ぶ。)に依存したコードと、環境に依存しないコードを明確に分離したプログラム構造とした。実装は以下の5つの環境において実施した。
(1) Windows(登録商標)カーネル空間
(2) NetBSDカーネル空間
(3) Linuxカーネル空間
(4) Solarisカーネル空間
(5) Linuxユーザ空間
参考までに、それぞれの実装における環境依存部と非依存部のコードの割合を表3に示す。行数は、プログラムのコメント部も含めてソースコードの行数をカウントしたものである。
(1) Windows(登録商標)カーネル空間
(2) NetBSDカーネル空間
(3) Linuxカーネル空間
(4) Solarisカーネル空間
(5) Linuxユーザ空間
参考までに、それぞれの実装における環境依存部と非依存部のコードの割合を表3に示す。行数は、プログラムのコメント部も含めてソースコードの行数をカウントしたものである。
CAPSとAAの通信についてであるが、このCAPSとAAの通信は、CAPSおよびAAがどの空間に実装されるかによって異なってくるので、ここではその通信インターフェースについて実施形態例を表4に示しておく。実際の通信プログラムは、環境依存コードにおいて、システムコールの実装またはソケット通信の実装を行うことになる。
前述した2つの課題について、本発明に係るCAの侵入検知ポリシの記述例に基づいて評価を行う。本発明のCAは、図10に例示する侵入検知ポリシーで動作する。以下、図10の記載内容を簡単に説明する。(01)〜(05)は、ホスト情報の定義であり、IPアドレス(04)、IPパケットデフラグメンテーションアルゴリズム(02)やTCP再構築アルゴリズム(03)の指定を行っている。(06)〜(09)は、アクション機能の定義であり、ログファイルヘの書き出し(07)とsyslogへの書き出し(08)をファイル名やパラメータと共に指定している。(10)〜(24)は、侵入検知ポリシの定義である。(11)と(18)はループ範囲の指定であり、ループ内の評価が真になると抜ける。ループ内は、デリミターまでの通信読み込み指示(12)、読み込んだデータがソースからディスティネーション(到達先)ヘのコマンド送信であったか(13)等をチェックしている。(14)と(17)で囲まれるループは、中にある評価式のどれかひとつでも真になれば抜けることを指示している。(15)と(16)は"Nimda"ワームのシグネチャーの一部であり、実際の記述では、この部分が全体の記述の大半を占める。(19)と(23)で囲まれる行は、(15)または(16)に対するレスポンスのチェック、(25)〜(32)はデータ解析機能の定義であり、(24)までで定義した内容などを用いて記述されている。
まず、課題1に対応する複数シグネチャの簡便な関連性設定であるが、(14)〜(17)の部分は、(14)の「attr="or"」で「(14)と(17)で囲まれたシグネチャのうちどれか1つでも発生したら検知せよ」というポリシを定義しており、複数のシグネチャをひとつのポリシとして定義しパターンマッチさせることが可能であることがわかる。シグネチャ記述の分業化という点については、シグネチャの設定部である(14)〜(17)には下位層の知識を必須とする設定内容は含まれていないことを考えると、達成できたと言える。下位層の知識が必要なシグネチャ記述は(02)〜(04)、(26)〜(28)にまとめられている。ここで重要なのは、下位層の知識を必要とするシグネチャ設定と上位層の知識を必要とするシグネチャ設定を分離して行えることである。下位層の知識が必要な設定はネットワーク専門家が、上位層の知識が必要な設定はアプリケーション熟練者が、それぞれ分担してひとつのポリシを作成することが可能である。これは、下位層から上位層までの全ての知識が無ければひとつのシグネチャの記述すら難しかった図12のような既存のシグネチャと比較した場合、シグネチャの記述性向上に寄与していると考えられる。また、図12では、監視対象ホストの情報を、複数あるシグネチャの先頭にそれぞれ記述せねばならず、ポリシ全体としては同じ記述を3回行わなくてはならないのに対し、図10では、(04),(26),(27)で一度定義するだけで済んでいる。
次ぎに、課題2に関する攻撃とレスポンスのペア化による文脈設定であるが、(11)〜(18)が攻撃、(19)〜(23)がそれに対するレスポンスのパターンマッチをしている設定である。攻撃とレスポンスの時間的順序関係を設定の記述順で、サーバ通信とクライアント通信の区別を(13)と(21)で設定できていることがわかる。従来の方法であれば、侵入検知のシグネチャとして(15),(16)や(22)が個々に登録されていて、それぞれがログを出力し、更に、そのログを、タイムスタンプ等の付加的情報も利用しながらログ解析機能を用いて、時間的順序関係の推測や、多数の攻撃ログとレスポンスログの中からペアとなるログを探し出す等の処理が必要であったが、本発明の方法では、検知された時点でこれらの処理が完了しており、ログも攻撃とレスポンスという一連の事象についてまとめて1回出力されるのみとなる。このように、複数のシグネチャ間の関連性や、個別アプリケーションのコマンドとそのレスポンスの関係をシグネチャの中で記述できることにより、IDSから出力されるログの量を、検知漏れを増加させることなく低減することが可能となり、攻撃を受けてしまったホストの特定等、インシデント発生時の早急な対応に対してIDSが効果を発揮できることになる。
また、侵入検知の質について、従来装置の図12と本発明に係るCAの図10を比較した場合、図12はいくつかの特定のパターンがサーバに対して送信されたことを検知するに過ぎないのに対し、図10は複数プロトコルに跨るパターンをワームソフトの送り込みの成否も含めて検知できるものである。これより、本手法はより高度な検知内容を記述可能であることがわかる。
また、侵入検知の質について、従来装置の図12と本発明に係るCAの図10を比較した場合、図12はいくつかの特定のパターンがサーバに対して送信されたことを検知するに過ぎないのに対し、図10は複数プロトコルに跨るパターンをワームソフトの送り込みの成否も含めて検知できるものである。これより、本手法はより高度な検知内容を記述可能であることがわかる。
Claims (12)
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求に応じ、CAPSは階層化された通信内容のシーケンス番号とアクノリッジ番号の両方を用いてストリームペアを一元的に/各一方向通信のみ再構築することが可能であることを特徴とする通信状態遷移モニタ方法。
- シーケンス番号とアクノリッジ番号の両方を用いてストリームペアとして連続した通信となっていることを確認し、上位層へデータを転送することにより、パケット情報を要求に沿った時系列にそろえることを特徴とする請求項1に記載の通信状態遷移モニタ方法。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求はパラメータ指定により解析対象に応じて必要となる解析データであり、解析対象の層や数を限定することなく再構築アルゴリズムを可変化可能とすることにより、不正行為検査時にデータの重なり部分が存在する到着済みパケットと新規到着パケットのどちらのデータを採用するかを攻撃対象ホストに対応して設定できることを特徴とする通信状態遷移モニタ方法。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、パケット情報における各データ部の最初と最後の接続情報を書き込んだパケット構造体を、ヘッダ部を付けたまま各パケットに付加することにより、再構築データ及びパケットヘッダの両方を同時に評価することができることを特徴とする通信状態遷移モニタ方法。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出す手段を備え、複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求に応じ、階層化された通信内容のシーケンス番号とアクノリッジ番号の両方を用いてストリームペアを一元的に/各一方向通信のみ再構築することが適宜可能である手段をCAPSに備えたことを特徴とする通信状態遷移モニタ装置。
- パケット情報のシーケンス番号とアクノリッジ番号の両方を用いて、ストリームペアとして連続した通信となっていることを確認する手段と、該確認情報と共に上位層へデータを転送する遅延再構築機能部とを備え、転送はパケット情報を要求に沿った時系列にそろえることを特徴とする請求項5に記載の通信状態遷移モニタ装置。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求はパラメータ指定により解析対象に応じて必要となる解析データであり、解析対象の層や数を限定することなく再構築アルゴリズムを可変化可能とすることにより、不正行為検査時にデータの重なり部分が存在する到着済みパケットと新規到着パケットのどちらのデータを採用するかを攻撃対象ホストに対応して設定できる手段を前記CAPSに備えたことを特徴とする通信状態遷移モニタ装置。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出す手段を備え、複数の通信パスを1つの視点から同時に監視するものであって、パケット情報における各データ部の最初と最後の接続情報をパケット構造体に書き込む手段と、ヘッダ部を付けたまま該パケット構造体を各パケットに付加する手段とを備え、再構築データ及びパケットヘッダの両方を同時に評価する機能を備えたことを特徴とする通信状態遷移モニタ装置。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された形態の通信の状態遷移をモニタするシステム用のものであって、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求に応じ、CAPSにおいて階層化された通信内容のシーケンス番号とアクノリッジ番号の両方を用いてストリームペアを一元的に/各一方向通信のみ再構築することが適宜可能であることを特徴とするプログラムが記録されたコンピュータ読み取り可能な記録媒体。
- シーケンス番号とアクノリッジ番号の両方を用いてストリームペアとして連続した通信となっていることを確認し、上位層へデータを転送することにより、パケット情報を要求に沿った時系列にそろえることを特徴とするプログラムが記録された請求項9に記載のコンピュータ読み取り可能な記録媒体。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された通信状態遷移を推測するシステムにおいて、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視するものであって、前記必要データの要求はパラメータ指定により解析対象に応じて必要となる解析データであり、解析対象の層や数を限定することなく再構築アルゴリズムを可変化可能とすることにより、不正行為検査時にデータの重なり部分が存在する到着済みパケットと新規到着パケットのどちらのデータを採用するかを攻撃対象ホストに対応して設定できる手段を前記CAPSに備えたことを特徴とするプログラムが記録されたコンピュータ読み取り可能な記録媒体。
- 階層化された通信内容を解析する機能部AAと解析結果対応する通信処理機能部CAPSとが完全に分離された形態の通信の状態遷移をモニタするシステム用のものであって、前記AAから前記CAPSへ解析対象の層や数について必要データの要求を出して複数の通信パスを1つの視点から同時に監視すると共に、パケット情報における各データ部の最初と最後の接続情報をパケット構造体に書き込むと共に、該パケット構造体を、ヘッダ部を付けたまま各パケットに付加することにより、再構築データ及びパケットヘッダの両方を同時に評価できることを特徴とするプログラムが記録されたコンピュータ読み取り可能な記録媒体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005024502A JP4170299B2 (ja) | 2005-01-31 | 2005-01-31 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
| US11/334,562 US7793093B2 (en) | 2005-01-31 | 2006-01-19 | Communications state transition monitoring method and communications state transition monitoring device utilizing the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005024502A JP4170299B2 (ja) | 2005-01-31 | 2005-01-31 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006211609A JP2006211609A (ja) | 2006-08-10 |
| JP4170299B2 true JP4170299B2 (ja) | 2008-10-22 |
Family
ID=36914135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005024502A Expired - Fee Related JP4170299B2 (ja) | 2005-01-31 | 2005-01-31 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7793093B2 (ja) |
| JP (1) | JP4170299B2 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407662B2 (en) | 2005-12-29 | 2016-08-02 | Nextlabs, Inc. | Analyzing activity data of an information management system |
| US8150816B2 (en) * | 2005-12-29 | 2012-04-03 | Nextlabs, Inc. | Techniques of optimizing policies in an information management system |
| US20070282891A1 (en) * | 2006-04-30 | 2007-12-06 | Vladimir Avdonin | Hierarchical protocol representation for data acquisition and control system |
| US8166156B2 (en) * | 2006-11-30 | 2012-04-24 | Nokia Corporation | Failure differentiation and recovery in distributed systems |
| US7941526B1 (en) | 2007-04-19 | 2011-05-10 | Owl Computing Technologies, Inc. | Transmission of syslog messages over a one-way data link |
| US8631235B2 (en) * | 2007-08-08 | 2014-01-14 | Oracle America, Inc. | System and method for storing data using a virtual worm file system |
| US9438641B2 (en) * | 2007-09-12 | 2016-09-06 | Avaya Inc. | State machine profiling for voice over IP calls |
| US9736172B2 (en) * | 2007-09-12 | 2017-08-15 | Avaya Inc. | Signature-free intrusion detection |
| US9178898B2 (en) * | 2007-09-12 | 2015-11-03 | Avaya Inc. | Distributed stateful intrusion detection for voice over IP |
| US9100417B2 (en) * | 2007-09-12 | 2015-08-04 | Avaya Inc. | Multi-node and multi-call state machine profiling for detecting SPIT |
| US8027267B2 (en) * | 2007-11-06 | 2011-09-27 | Avaya Inc | Network condition capture and reproduction |
| JP5229455B2 (ja) * | 2008-03-07 | 2013-07-03 | 日本電気株式会社 | モニター用ソケットライブラリを搭載するゲートウェイ装置、モニター用ソケットライブラリを搭載するゲートウェイ装置の通信方法、モニター用ソケットライブラリを搭載するゲートウェイ装置の通信プログラム |
| JP5286018B2 (ja) * | 2008-10-07 | 2013-09-11 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
| JP5328283B2 (ja) * | 2008-10-07 | 2013-10-30 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
| US10057333B2 (en) * | 2009-12-10 | 2018-08-21 | Royal Bank Of Canada | Coordinated processing of data by networked computing resources |
| WO2015128896A1 (ja) | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
| KR101594701B1 (ko) * | 2014-10-20 | 2016-02-16 | 삼성에스디에스 주식회사 | 이상 접속 검출 장치 및 방법 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2578471B2 (ja) * | 1988-04-27 | 1997-02-05 | 日本電信電話株式会社 | マルチ・レイヤ・トレーサ |
| US6263444B1 (en) * | 1997-03-11 | 2001-07-17 | National Aerospace Laboratory Of Science & Technology Agency | Network unauthorized access analysis method, network unauthorized access analysis apparatus utilizing the method, and computer-readable recording medium having network unauthorized access analysis program recorded thereon |
| JP2945938B2 (ja) * | 1997-03-11 | 1999-09-06 | 科学技術庁航空宇宙技術研究所長 | ネットワーク不正解析方法及びこれを利用したネットワーク不正解析装置並びにネットワーク不正解析プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
| EP1338130B1 (en) * | 2000-11-30 | 2006-11-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| AUPR464601A0 (en) * | 2001-04-30 | 2001-05-24 | Commonwealth Of Australia, The | Shapes vector |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| JP2003050752A (ja) * | 2001-08-06 | 2003-02-21 | Fujitsu Ltd | サーバ障害復旧通知方法及び装置 |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
-
2005
- 2005-01-31 JP JP2005024502A patent/JP4170299B2/ja not_active Expired - Fee Related
-
2006
- 2006-01-19 US US11/334,562 patent/US7793093B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7793093B2 (en) | 2010-09-07 |
| US20060190592A1 (en) | 2006-08-24 |
| JP2006211609A (ja) | 2006-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4170299B2 (ja) | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 | |
| Paxson | Bro: a system for detecting network intruders in real-time | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| Dreger et al. | Dynamic application-layer protocol analysis for network intrusion detection | |
| Watson et al. | Protocol scrubbing: network security through transparent flow modification | |
| Zhang et al. | Detecting backdoors | |
| US8352450B1 (en) | Database update through a one-way data link | |
| JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| Malan et al. | Transport and application protocol scrubbing | |
| US20030084329A1 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| US20030084318A1 (en) | System and method of graphically correlating data for an intrusion protection system | |
| US7742415B1 (en) | Non-intrusive knowledge suite for evaluation of latencies in IP networks | |
| WO2009132047A2 (en) | Collaborative and proactive defense of networks and information systems | |
| CN1761240A (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
| Hofstede et al. | Flow-based compromise detection: Lessons learned | |
| Duan et al. | ByzID: Byzantine fault tolerance from intrusion detection | |
| Yang et al. | Modelling Network Traffic and Exploiting Encrypted Packets to Detect Stepping-stone Intrusions. | |
| Agarwal et al. | An infrastructure for passive network monitoring of application data streams | |
| Trimintzios et al. | DiMAPI: An application programming interface for distributed network monitoring | |
| JP2008205954A (ja) | 通信情報監査装置、方法及びプログラム | |
| WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
| Das | Attack development for intrusion detector evaluation | |
| EP3767882A1 (en) | Network traffic monitoring device | |
| Ling et al. | DDoSMiner: An Automated Framework for DDoS Attack Characterization and Vulnerability Mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070821 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071015 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080730 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080806 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140815 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |