JP4416630B2 - 監視装置、通信システム、監視方法、および監視プログラム - Google Patents
監視装置、通信システム、監視方法、および監視プログラム Download PDFInfo
- Publication number
- JP4416630B2 JP4416630B2 JP2004340656A JP2004340656A JP4416630B2 JP 4416630 B2 JP4416630 B2 JP 4416630B2 JP 2004340656 A JP2004340656 A JP 2004340656A JP 2004340656 A JP2004340656 A JP 2004340656A JP 4416630 B2 JP4416630 B2 JP 4416630B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- feature information
- packet
- worm
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
北條 孝佳、外2名、"シェルコード解析による不正アクセス検出手法"社団法人情報処理学会研究報告、2003年12月19日、2003−CSEC−23、p.1−6
以下、本発明にかかる監視装置、通信システム、監視方法、および監視プログラムを、インターネットを含む通信システムに適用した場合を例に、第1の実施形態について説明する。
本実施形態にかかる通信システム10の全体構成例を図2に示す。
図1において、当該管理ノード13は、ネットワーク入出力部(NW入出力部)20と、振分部21と、特徴抽出部22と、近似判定部23と、データベース制御部(DB制御部)24、25と、特徴情報データベース部26と、ワームデータベース(ワームDB)部27と、設定情報保持部28とを備えている。
前記外部ノード15がワームWM1に感染し、当該ワームWM1の機能に応じて、自己の複製を含む前記パケットPK1をIPアドレスIA4に宛てて送信したものとする。このパケットPK1は、インターネット11経由で伝送され、前記管理ノード13による受信を経て管理ネットワーク12内の内部ノード14に到達することになる。
本実施形態によれば、未知のワーム(WM1)を検出することや、未知のワームの検出を支援することが可能となるので、セキュリティ性が高まる。
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
本実施形態にかかる通信システム30の全体構成例を図6に示す。
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
上記第1、第2の実施形態において、1つのノード(1つの通信装置)上に配置した機能は別な通信装置に分けて配置することができ、別なノード上に配置した機能は1つの通信装置上にまとめて配置することができる。
Claims (5)
- 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視装置において、
前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段と、
前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段と、
ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段と、
前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段と、
前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段と
を備えたことを特徴とする監視装置。 - 前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、所定の変換方法により変換し、この変換後の変換特徴情報を前記ワームデータベース手段に保持させることを特徴とする請求項1に記載の監視装置。
- 請求項1に記載の複数の監視装置と、センタノードとを有する通信システムであって、
前記センタノードが、
前記各監視装置のワームデータベース手段に保持されているワームに関連する特徴情報を収集して保持する情報収集保持手段と、
前記情報収集保持手段に保持されているワームに関連する特徴情報に対して統計的な解析を実行する統計解析手段とを有する
ことを特徴とする通信システム。 - 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視方法において、
特徴情報抽出手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出工程と、
特徴情報記憶手段が、前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶工程と、
監視対象特定情報保持手段が、ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持工程と、
情報近似判定手段が、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定工程と、
ワームデータベース手段が、前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース保持工程と
を含むことを特徴とする監視方法。 - 第1の通信ネットワークと第2の通信ネットワークのあいだに配置され、前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットを監視し、ワームに関連するパケットを検出する監視プログラムにおいて、
コンピュータに、
前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのヘッダから、所定の特徴情報を抽出する特徴情報抽出手段、
前記特徴情報抽出手段により抽出された各パケットの特徴情報を所定時間記憶する特徴情報記憶手段、
ネットワークアドレス単位で監視対象を特定する1又は複数の監視対象特定情報を保持する監視対象特定情報保持手段、
前記第1の通信ネットワークと前記第2の通信ネットワークとの間でやり取りされるパケットのうち、前記各監視対象特定情報に該当するパケットの特徴情報を抽出し、この抽出した特徴情報と、前記特徴情報記憶手段に記憶されている所定時間内の過去にやり取りされた当該監視対象特定情報に対応するパケットの特徴情報とが近似しているか否かを判定する情報近似判定手段、
前記情報近似判定手段が、前記特徴情報記憶手段の特徴情報と近似する判定した当該パケットの特徴情報を、ワームに関連する特徴情報として保持させるワームデータベース手段
として機能させる監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004340656A JP4416630B2 (ja) | 2004-11-25 | 2004-11-25 | 監視装置、通信システム、監視方法、および監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004340656A JP4416630B2 (ja) | 2004-11-25 | 2004-11-25 | 監視装置、通信システム、監視方法、および監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006157144A JP2006157144A (ja) | 2006-06-15 |
JP4416630B2 true JP4416630B2 (ja) | 2010-02-17 |
Family
ID=36634945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004340656A Expired - Fee Related JP4416630B2 (ja) | 2004-11-25 | 2004-11-25 | 監視装置、通信システム、監視方法、および監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4416630B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6142702B2 (ja) | 2013-07-04 | 2017-06-07 | 富士通株式会社 | 監視装置、監視方法及びプログラム |
WO2015015572A1 (ja) | 2013-07-30 | 2015-02-05 | 三菱電機株式会社 | データ処理装置及びデータ通信装置及び通信システム及びデータ処理方法及びデータ通信方法及びプログラム |
-
2004
- 2004-11-25 JP JP2004340656A patent/JP4416630B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006157144A (ja) | 2006-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
US8156541B1 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
US11290484B2 (en) | Bot characteristic detection method and apparatus | |
CN112039904A (zh) | 一种网络流量分析与文件提取系统及方法 | |
CN104378283A (zh) | 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 | |
KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN106815511B (zh) | 信息处理装置和方法 | |
CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
US10999304B2 (en) | Bind shell attack detection | |
CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
JP4416630B2 (ja) | 監視装置、通信システム、監視方法、および監視プログラム | |
KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
WO2022156293A1 (zh) | 处理告警日志的方法、装置及存储介质 | |
JP4321375B2 (ja) | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム | |
JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070315 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070508 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070705 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070807 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071003 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071016 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20071109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091021 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091124 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131204 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |