JP4626811B2 - ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム - Google Patents

ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム Download PDF

Info

Publication number
JP4626811B2
JP4626811B2 JP2005283320A JP2005283320A JP4626811B2 JP 4626811 B2 JP4626811 B2 JP 4626811B2 JP 2005283320 A JP2005283320 A JP 2005283320A JP 2005283320 A JP2005283320 A JP 2005283320A JP 4626811 B2 JP4626811 B2 JP 4626811B2
Authority
JP
Japan
Prior art keywords
flow
port
information
hopping
port hopping
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005283320A
Other languages
English (en)
Other versions
JP2007096741A (ja
Inventor
隆之 静野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005283320A priority Critical patent/JP4626811B2/ja
Priority to US11/528,362 priority patent/US7937489B2/en
Publication of JP2007096741A publication Critical patent/JP2007096741A/ja
Application granted granted Critical
Publication of JP4626811B2 publication Critical patent/JP4626811B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/901Buffering arrangements using storage descriptor, e.g. read or write pointers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/61Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、ポートホッピング識別装置、ポートホッピング識別方法、及びプログラムに関し、特にポートホッピングを多用しながらネットワーク内を通過するフローを検出し、ポートの移動を追従、及び監視するポートホッピング識別装置、ポートホッピング識別方法、及びプログラムに関する。
インターネット上には、P2P技術を用いて可能な限り多くの帯域を使用し、かつポート番号を詐称して大きなデータを転送するアプリケーションが多数存在する。このようなアプリケーションを使用されたISPは、提供可能な帯域の大部分を一部のユーザに使われてしまう。ISPは通過するフローのうち長時間大容量のフローを発生させるものがあれば、ネットワーク管理ポリシーに従いそのフローのみを帯域制限した。この時、特定用途のポートを使用できる正規のフローか、又は不正なフローかを識別するためにアプリケーション識別が必要となる。
アプリケーション識別方法に関連する技術として、特開2004−38557号公報(特許文献1)に「不正アクセス遮断システム」が開示されている。
この不正アクセス遮断システムでは、正規のフローの送受信IPアドレスの組み合わせと、そのフローを構成するパケットの中身を正規フローのパターンとして予め保存しておき、受信したパケットが前記正規フローのパターンと一致するかでアプリケーション識別を行っている。これを従来技術1とする。
また、特開2004−140618号公報(特許文献2)に開示されている「パケットフィルタ装置及び不正アクセス検知装置」のように、不正なフローを構成するパケットのビットパターンを予め保存しておき、受信したパケットが前記ビットパターンに一致するかでアプリケーション識別を行う技術もある。これを従来技術2とする。
また、電子情報通信学会2005総合大会B−6−43(非特許文献1)に開示されている「トラフィック挙動監視による不正トラフィック検出手法」のように、フローのパケット長平均値、パケット長分散値、パケットの到着間隔平均値、パケットの到着間隔分散値で表される統計的特徴で定義されるフローの特徴を予め保存しておき、受信したフローが前記フローの統計的特徴と一致するかでアプリケーション識別を行う技術もある。この方法によりポート番号を詐称していてもアプリケーションの識別が可能となる。これを従来技術3とする。
特開2004−38557号公報 特開2004−140618号公報 電子情報通信学会2005総合大会B−6−43
第1の問題は、最近登場した、ISPによる帯域制限を逃れるため短時間の間に使用するポートを移動していく「ポートホッピング」を多用するアプリケーションの検出ができないということである。その理由は、従来技術1と従来技術2、及び従来技術3は、このポートホッピングを多用するアプリケーションを考慮しておらず、実際は1つのアプリケーションが発生させる複数のフローをポート毎に個別に識別するためである。
第2の問題は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができないということである。その理由は、従来技術1と従来技術2、及び従来技術3は、ポートホッピングを多用するアプリケーションが発生させる複数のフローをそれぞれ独立に識別し、識別されたフロー相互の関連性については考慮していないからである。
第3の問題は、ポートホッピングを多用するアプリケーションの識別精度が低いことである。その理由は、従来技術1と従来技術2、及び従来技術3では観察時間が長いほどアプリケーション識別精度が向上するが、ポートホッピングを多用するアプリケーションの識別においてはフローの観察時間は短くなり、信頼度が低くなるためである。特に従来技術3ではフローの統計的特徴で定義されるフローの特徴は、観察時間が短ければ精度が大きく低下するため問題になる。
本発明の目的は、ポートホッピングを多用するアプリケーションの検出ができるシステムを提供することにある。
本発明の他の目的は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができるシステムを提供することにある。
本発明の更に他の目的は、ポートホッピングを多用するアプリケーションのアプリケーション識別精度を向上させることができるシステムを提供することにある。
以下に、[発明を実施するための最良の形態]で使用される番号を括弧付きで用いて、課題を解決するための手段を説明する。これらの番号は、[特許請求の範囲]の記載と[発明を実施するための最良の形態]との対応関係を明らかにするために付加されたものである。但し、それらの番号を、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
本発明のポートホッピング検出システムは、ポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉えポートホッピングを検出するポートホッピング検出システムにおいて、受信した複数のデータフローの各々に関するデータフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られたポート移動時間差、データフロー継続時間、ポート番号関係、及びアプリケーション種別と、前記アプリケーションプログラムに関するアプリケーション情報とを比較してポートホッピングの有無を検出するポートホッピングフロー検出装置(2)を有する。
前記データフロー情報は、データフローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号と、同一の前記送信元IPアドレス、前記送信先IPアドレス、前記送信元ポート番号、前記送信先ポート番号、前記プロトコル番号を持つパケット群のうち最初に前記ポートホッピングフロー検出装置(2)が受信したパケットの受信時刻を示すデータフロー発生時刻と、前記パケット群のうち最後に前記ポートホッピングフロー検出装置(2)が受信したパケットの受信時刻を示す最終パケット受信時刻と、前記データフローのアプリケーション種別を識別するためのデータフロー特徴と、記ポートホッピング検出の結果を示すポートホッピング検出結果とを含む。
前記アプリケーション情報は、ポートホッピングする前後の前記データフロー間のポート移動時間差と、前記ポートを移るまでのデータフロー継続時間と、前記データフロー間のポート番号関係と、前記データフローの特徴から識別されたアプリケーション種別と
を含む。
前記ポートホッピングフロー検出装置(2)は、前記複数のデータフローを個々のデータフローに分離し、個々のデータフロー毎に前記データフロー情報を抽出するデータフロー分離部(21)と、前記データフロー情報に基づいて、前記ポート移動時間差を演算するポート移動時間差演算部(22)と、前記データフロー情報に基づいて、ポートを移るまでの前記データフロー継続時間を演算するデータフロー継続時間演算部(23)と、前記データフロー情報に基づいて、前記データフロー間の前記ポート番号関係を演算するポート移動関係演算部(24)と、前記データフロー情報に基づいて、受信したデータフローの特徴を演算し前記アプリケーション種別を識別するデータフロー特徴演算部(25)と、前記ポート移動時間差、前記データフロー継続時間、前記ポート番号関係、及び前記アプリケーション種別と、前記アプリケーション情報とを比較することによりポートホッピングを検出するポートホッピング検出部(26)とを具備する。
前記ポート移動時間差演算部(22)は、前記データフロー情報に基づいて、新規に発生したデータフローのデータフロー発生時刻と他の既存のデータフローの最終パケット受信時刻との差を演算することにより前記ポート移動時間差を演算する。
前記データフロー継続時間演算部(23)は、前記データフロー情報に基づいて、新規に発生したデータフローのデータフロー発生時刻と他の既存のデータフローの発生時刻との差を演算することにより前記データフロー継続時間を演算する。
前記ポート移動関係演算部(24)は、前記データフロー情報に基づいて、新規に発生したデータフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較することにより前記ポート番号関係を演算する。
前記データフロー特徴演算部(25)は、入力された個々のデータフローについてデータフローの特徴を演算し前記アプリケーション種別の識別を行う。
前記データフロー分離部(21)は、データフローを構成するパケットのヘッダの情報毎に入力されたデータフローを分離し、受信したデータフローの前記データフロー情報を保存し、保存している前記データフロー情報を参照して前記データフロー情報の最終パケット受信時刻を更新し、保存している前記データフロー情報を決められた条件に従い削除する。
本発明の帯域制御システムは、ポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉えポートホッピングを検出し、前記アプリケーションに対して保存されている帯域制御ポリシーに従い継続的に帯域制御する帯域制御システムにおいて、受信した複数のデータフローの各々に関するデータフロー情報に基づいてポートホッピングに関する情報を演算し、前記演算の結果として得られたポート移動時間差、データフロー継続時間、ポート番号関係、及びアプリケーション種別と、前記アプリケーションプログラムに関するアプリケーション情報とを比較してポートホッピングの有無を検出するポートホッピングフロー検出装置(2)と、前記帯域制御ポリシーを参照して前記データフローの使用帯域を制限する帯域制御装置(5)とを有する。
前記ポートホッピングフロー検出装置(2)は、前記複数のデータフローを個々のデータフローに分離し、個々のデータフロー毎に前記データフロー情報を抽出するデータフロー分離部(21)と、前記データフロー情報に基づいて、前記ポート移動時間差を演算するポート移動時間差演算部(22)と、前記データフロー情報に基づいて、ポートを移るまでの前記データフロー継続時間を演算するデータフロー継続時間演算部(23)と、前記データフロー情報に基づいて、前記データフロー間の前記ポート番号関係を演算するポート移動関係演算部(24)と、前記データフロー情報に基づいて、受信したデータフローの特徴を演算し前記アプリケーション種別を識別するデータフロー特徴演算部(25)と、前記ポート移動時間差、前記データフロー継続時間、前記ポート番号関係、及び前記アプリケーション種別と、前記アプリケーション情報とを比較することによりポートホッピングを検出するポートホッピング検出部(26)と、受信したそれぞれのデータフローの前記データフロー情報を保存する前記データフロー情報格納部と、前記アプリケーションプログラムの前記アプリケーション情報を保存するアプリケーション情報格納部と、帯域制御ポリシーを保存する帯域制御ポリシー格納部(33)とを有する。
本発明のポートホッピング検出方法は、(a)受信した複数のデータフローの各々に関するデータフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られるポート移動時間差、データフロー継続時間、ポート番号関係、及びアプリケーション種別と、前記アプリケーションプログラムに関するアプリケーション情報とを比較してポートホッピングの有無を検出するステップと、(b)前記データフロー情報、及び前記アプリケーション情報を保存するステップとを具備する。
前記(a)ステップは、(a1)前記複数のデータフローを個々のデータフローに分離し、個々のデータフローの前記データフロー情報を抽出するステップと、(a2)前記ポート移動時間差を演算するステップと、(a3)前記データフロー継続時間を演算するステップと、(a4)前記ポート番号関係を演算するステップと、(a5)受信したデータフローの特徴を演算し前記アプリケーション種別を識別するステップと、(a6)前記ポート移動時間差、前記データフロー継続時間、前記ポート番号関係、及び前記アプリケーション種別と、前記アプリケーションプログラムの情報とを比較することによりポートホッピングを検出するステップとを具備する。
前記(a2)ステップは、(a21)前記データフロー情報に基づいて、新規に発生したデータフローのデータフロー発生時刻と他の既存のデータフローの最終パケット受信時刻との差を演算することにより前記ポート移動時間差を演算するステップを具備する。
前記(a3)ステップは、(a31)前記データフロー情報に基づいて、新規に発生したデータフローのデータフロー発生時刻と他の既存のデータフローの発生時刻との差を演算することにより前記データフロー継続時間を演算するステップを具備する。
前記(a4)ステップは、(a41)前記データフロー情報に基づいて、新規に発生したデータフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較することにより前記ポート番号関係を演算するステップを具備する。
前記(a3)ステップは、前記データフローについてデータフローの特徴を演算し前記アプリケーション種別の識別を行うステップを具備する。
前記(a2)ステップは、(a22)データフローを構成するパケットのヘッダの情報毎に前記データフローを分離するステップと、(a23)分離した個々のデータフローの前記データフロー情報を保存するステップと、(a24)保存している前記データフロー情報を参照し前記データフロー情報の最終パケット受信時刻を更新するステップと、(a25)保存している前記データフロー情報を決められた条件に従い削除するステップとを更に具備する。
本発明のポートホッピング検出方法は、(c)帯域制御ポリシーを保存するステップと、(d)前記帯域制御ポリシーを参照して前記データフローの使用帯域を制限するステップとを更に具備する。
本発明のポートホッピング検出用プログラムは、上記のいずれかのポートホッピング検出方法を、コンピュータに実行させるためのプログラムである。
第1の効果は、ポートホッピングを多用するアプリケーションの検出ができることにある。その理由は、ポートホッピングするアプリケーションはポートホップする前後のフロー間にポート移動時間差、フロー継続時間、ポート番号関係、フロー特徴と相関があるため、受信した複数のフローのポート移動時間差、フロー継続時間、ポート番号関係、フロー特徴とポートホッピングするアプリケーションの情報とを比較することによりポートホッピングを多用するアプリケーションの特徴を捉えるためである。
第2の効果は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができることにある。その理由は、第1の効果によりポートホッピングを検出した場合ポートホッピングしたフローのフロー情報を関連付けして保存しておくためである。
第3の効果は、ポートホッピングを多用するアプリケーションのアプリケーション識別精度を向上させることができることにある。その理由は、第2の効果によりポートホッピングしたフローのフロー情報を参照することによりポートホッピングした前後のフローを1つのフローとして扱うことができる。このため前記アプリケーションを長時間観察できるためである。
以下に本発明の第1実施形態について添付図面を参照して説明する。
図1を参照すると、本発明のポートホッピング検出システムは、受信装置1と、ポートホッピングフロー検出装置2と、記憶装置3と、フロー情報表示装置4とを有する。
受信装置1は、複数のフローを受信する。ポートホッピングフロー検出装置2は、受信したフロー個々に対しポートホッピングの有無を検出する。記憶装置3は、フロー情報、及びポートホッピングを多用するアプリケーションの情報を保存する。フロー情報表示装置4は、記憶装置3に保存されたフロー情報を表示する。
ここで、フロー情報とは、フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号と、フロー発生時刻、最終パケット受信時刻、フロー特徴、ポートホッピング検出結果を含む、フローを一意に特定しその特徴を示す情報である。
同一の送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号を持つパケット群のうち一番最初に受信したパケットの受信時刻をフロー発生時刻とし、一番最後に受信したパケットの受信時刻を最終パケット受信時刻とする。これらのフロー情報はフロー情報格納部31にフロー毎に保存される。
受信装置1は、装置に入力されるフローを受信し、ポートホッピングフロー検出装置2へフローを送る。
ポートホッピングフロー検出装置2は、フロー分離部21と、ポート移動時間差演算部22と、フロー継続時間演算部23と、ポート移動関係演算部24と、フロー特徴演算部25と、ポートホッピング検出部26とを有する。
フロー分離部21は、受信した複数のフローを個々のフローに分離し、個々のフローのフロー情報を抽出する。ポート移動時間差演算部22は、ポート移動時間差を演算する。フロー継続時間演算部23は、ポートを移るまでの時間を演算する。ポート移動関係演算部24は、フロー間のポート番号関係を演算する。フロー特徴演算部25は、受信したフローの特徴を演算しアプリケーション種別を識別する。ポートホッピング検出部26は、受信した複数のフローのポートホッピングに関する情報の演算結果とポートホッピングするアプリケーションの情報とを比較することによりポートホッピングを検出する。
また、記憶装置3は、フロー情報格納部31と、アプリケーション情報格納部32とを有する。
フロー情報格納部31は、受信したそれぞれのフローの情報を保存する。アプリケーション情報格納部32は、ポートホッピングを多用するアプリケーションの情報を保存する。
フロー分離部21は入力されたフローを、各フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の組み合わせ毎に分離する。この時、フロー分離部21はフロー情報格納部31に保存してあるフロー情報を参照しフロー情報の最終パケット受信時刻を更新する。
また、フロー分離部21は、フロー情報格納部31に保存してあるフロー情報を参照した時、現在時刻と最終パケット受信時刻の関係がある条件に当てはまる場合、そのフローのフロー情報を削除する。ここで、ある条件とは、例えば「現在時刻と最終パケット受信時刻の差に一定以上の開きがある」などである。
更に、フロー分離部21はフロー情報格納部31にフロー情報が保存されていない新規のフローを受信した場合、新規に受信したフロー用のフロー情報をフロー情報格納部31へ保存し、新規に発生したフローと送信元IPアドレス、及び送信先IPアドレスの組み合わせが一致するすべてのフローのフロー情報をポート移動時間差演算部22、フロー継続時間差演算部23、ポート番号関係演算部24、フロー特徴演算部25に送信する。
但し、フロー特徴演算部25に実パケットを入力する必要がある場合には、フロー分離部21はフロー特徴演算部25に対して新規に発生したフローと送信元IPアドレス、及び送信先IPアドレスの組み合わせが一致するすべてのフローの実パケットを送信する。
フロー情報格納部31は本発明のポートホッピングフロー検出装置2が受信したフローのフロー情報を保存する。フロー情報格納部31はフロー情報をフロー分離部21、及びポートホッピング検出部24により更新される。
ポート移動時間差演算部22は、フロー情報から新規に発生したフローと既存のフロー間のポート移動時間差を演算する。ポート移動時間差とは、例えば、あるフローAからフローBにポートホッピングする場合の移動にかかる時間を指す。フロー情報には各フローのフロー発生時刻と最終パケット受信時刻が保存されているため、新規に発生したフローのフロー発生時刻と他の既存のフローの最終パケット受信時刻との差を演算することによりポート移動時間差を演算する。ポート移動時間差演算部22は、演算結果をポートホッピング検出部26へ送信する。
フロー継続時間演算部23は、フロー情報から新規に発生したフローと既存のフロー間のフロー継続時間を演算する。フロー継続時間とは、例えば、フローAからフローBにポートホッピングする場合のフローAが発生してからフローBが発生するまでの時間を指す。フロー情報には各フローのフロー発生時刻が保存されているため、新規に発生したフローのフロー発生時刻と他の既存のフローの発生時刻との差を演算することによりフロー継続時間を演算する。フロー継続時間演算部23は、演算結果をポートホッピング検出部26へ送信する。
ポート番号関係演算部24は、フロー情報から新規に発生したフローと既存フロー間のポート番号関係を演算する。ポート番号関係とは、2つのフローの使用するポート番号の関係を示す情報で、例えば、フローAからフローBにポートホッピングする場合、フローAの送信元ポート番号、送信先ポート番号とフローBの送信元ポート番号、送信先ポート番号の差などがある。但し、演算すべきポート番号関係は検出するアプリケーションの特徴に依存するため、ポート番号関係とは前記の例に限らない。フロー情報には各フローの送信元ポート番号、及び送信先ポート番号が保存されているため、新規に発生したフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較することによりポート番号関係を演算する。ポート番号関係演算部24は、演算結果をポートホッピング検出部26へ送信する。
フロー特徴演算部25は、入力された個々のフローについてフローの特徴を演算しアプリケーション種別の識別を行う。アプリケーション種別の識別手段としては、従来方式1又は従来技術2がある。フロー特報演算部25は、フローのアプリケーション種別の識別結果をポートホッピング検出部26に送る。
ポートホッピング検出部26は、ポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別と、アプリケーション情報格納部32が保存しているアプリケーション情報とを比較することによりポートホッピングを検出する。ポートホッピングするアプリケーションはポートホップする前後のフロー間でポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別に特徴があるため、その特徴をアプリケーション情報格納部32に保存しておくことでポートホッピングを検出することができる。ポートホッピング検出部26はポートホッピング検出結果をポートホッピングの前後のフローのフロー情報を関連付けすることによりフロー情報へ反映し、フロー情報をフロー情報格納部31に保存する。
アプリケーション情報格納部32はポートホッピングするアプリケーションのアプリケーション情報を保存する。アプリケーション情報とは、ポートホップする前後のフロー間のポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別といった、1つのポートホッピングを行うアプリケーションの特徴情報である。アプリケーション種別としては、例えば「各フローともファイル転送系アプリケーションである」などがある。
フロー情報表示装置4はフロー情報格納部31に保存されているフロー情報を表示する。
次に、図2を参照して本発明の第1実施形態の動作について詳細に説明する。
(1)ステップS1
本発明のポートホッピング検出システムは、フローを受信する。
(2)ステップS2
入力されたフローの、各フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の組み合わせを確認し、前記フローのフロー情報を保存しているか確認する。ステップS2の結果、入力されたフローのフロー情報が保存されていなかった場合ステップS3−1に移行し、入力されたフローのフロー情報が保存されていた場合ステップS3−2に移行する。
(3)ステップS3−1
ステップS2において入力されたフローのフロー情報が保存されていなかった場合、前記フローのフロー情報を保存する。
(4)ステップS4
更に、入力されたフローを送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の組み合わせ毎に分離する。
(5)ステップS5−1
次に、フロー情報から新規に発生したフローと既存のフロー間のポート移動時間差を演算する。
(6)ステップS5−2
また、フロー情報から新規に発生したフローと既存のフロー間のフロー継続時間を演算する。
(7)ステップS5−3
また、フロー情報から新規に発生したフローと既存フロー間のポート番号関係を演算する。
(8)ステップS5−4
また、入力された個々のフローについてフローの特徴を演算しアプリケーション種別の識別を行う。
(9)ステップS6
次に、ポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別と、保存していたアプリケーション情報とを比較することによりポートホッピングを検出する。ステップS6の結果、ポートホッピングを検出した場合ステップS7へ移行し、ポートホッピングを検出しなかった場合ステップS8へ移行する。
(10)ステップS7
ステップS6の結果、ポートホッピングを検出した場合、ポートホッピングした前後のフローのフロー情報を関連付けし、フロー情報を保存する。
(11)ステップS3−2
なお、ステップS2において入力されたフローが新規フローでなかった場合、入力されたフローのフロー情報のうち最終パケット受信時刻を更新し、保存する。
(12)ステップS8
最後に、保存しているフロー情報を表示する。
次に、本発明の第1実施形態の効果について説明する。
本実施形態では、新規に発生したフローと他の既存フロー間のポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別と、アプリケーション情報格納部32が保存しているアプリケーション情報とを比較することによりポートホッピングを検出することができる。また、ポートホッピングしたフローのフロー情報を関連付けし保存しておくことにより、継続的にポートの移動を追従することができる。更に、検出結果をアプリケーション識別部が参照することによりポートホッピングしたフローを1つのフローとして扱うことができる。このため、フロー特徴演算部25は長時間フローを観察できるためアプリケーション種別の識別精度が向上する。
次に、本発明の第2実施形態について図面を参照して詳細に説明する。
図3を参照すると、本発明のポートホッピング検出システムは、受信装置1と、ポートホッピングフロー検出装置2と、記憶装置3と、帯域制御装置5と、送信装置6とを有する。
本発明の第2実施形態は、図1におけるフロー情報表示装置4に代わり、帯域制御装置5と、送信装置6とを有し、記憶装置3に帯域制御ポリシー格納部33が加えられ、フロー分離部21bにより分離されたフローが帯域制御装置5に入力され、帯域制御システムとして動作する点で異なる。
帯域制御ポリシー格納部33は、装置管理者の帯域制御ポリシーを格納する。帯域制御ポリシーとしては、従来のアプリケーション毎の帯域制御ポリシーの他に、例えば、「ポートホッピングしたフローに対しては使用帯域をある一定の帯域に制限する」、あるいは「帯域の使用を禁止する」などがある。また、アプリケーション種別の識別結果と連携して、アプリケーション種別の識別結果が出ていないフローに対して使用できる帯域を制限するというポリシーもある。但し、アプリケーション識別結果が出ていないフローに対する帯域制限は一時的なもので、IP電話などのリアルタイム通信のフローに影響が出ない程度に制限することが望ましく、またアプリケーション種別の識別結果が出次第各アプリケーション毎の帯域制御ポリシーを使用することが望ましい。
帯域制御装置5は帯域制御ポリシー格納手段33が保存している帯域制御ポリシーに従い入力されるフローに対し帯域制限する。
送信装置6は帯域制御装置5により帯域制限を受けたフローを送出する。
次に、図4を参照して本発明の第2実施形態の動作について詳細に説明する。
図4のステップS1からS7までに示される本実施形態における受信装置1、ポートホッピングフロー検出装置2b、及び記憶装置3bの動作は、第1実施形態の各装置1、2、及び3の動作と同一のため、説明は省略する。本実施形態では、ステップS8の代わりに、以下に示すステップS9,S10を実施する。
(1)ステップS9
第1実施形態では、ポートホッピングの検出結果を表示するのみであった。本実施形態では、ポートホッピング検出の結果を含んだフロー情報を用いて帯域制御ポリシー格納部に保存されている帯域制御ポリシーに従い帯域制御を実施する。
(2)ステップS10
次に、帯域制限を受けたフローを送信する。
この時、予め設定により又は帯域制御ポリシーの有無により、第1実施形態のステップS8を実施するか、第2実施形態のステップS9,S10を実施するかを選択するようにしても良い。また、ステップS8と同時に又は連続して、ステップS9,S10を実施するようにしても良い。
次に、本発明の第2実施形態の効果について説明する。
本実施形態では、アプリケーション識別結果、及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従し帯域制御ポリシーに従い帯域制限できる。更に、アプリケーション識別が出ていないフローに対しても使用帯域を一時的に制限することにより、アプリケーション識別前にポートホッピングをされたとしてもそれらのフローに対し継続的に帯域制限することができる。
次に、本発明の第3実施形態について図面を参照して詳細に説明する。
図5を参照すると、本発明の第3実施形態は、本発明の第2実施形態と同様に、受信装置1、ポートホッピングフロー検出装置2c、記憶装置3c、帯域制御装置5c、送信装置6を備える。
更に、本発明の第3実施形態は、ポートホッピング検出用プログラム7、帯域制御用プログラム8を有する。
ポートホッピング検出用プログラム7は、ポートホッピングフロー検出装置2cに読み込まれポートホッピングフロー検出装置2cの動作を制御し、記憶装置3cにフロー情報格納部31、フロー間関係情報格納部32を生成する。ポートホッピングフロー検出装置2cはポートホッピング検出用プログラム7の制御により第2の実施の形態におけるポートホッピングフロー検出装置による処理と同一の処理を実行する。
帯域制御用プログラム8は、帯域制御装置5cに読み込まれ帯域制御装置5cの動作を制御し、記憶装置3c帯域制御ポリシー格納部33を生成する。帯域制御装置5cは、帯域制御用プログラム8の制御により第2の実施の形態における帯域制御装置による処理と同一の処理を実行する。
次に、本発明の第3実施形態の効果について説明する。
本実施形態では、本発明の第1、及び第2実施形態の効果と同様の効果を得るために、ポートホッピング検出用プログラム、及び帯域制御用プログラムを用いることによりコンピュータをポートホッピング検出装置、及び帯域制御装置として動作させることができる。
以上のように、本発明のポートホッピング検出システムは、複数のフローを受信する受信装置(図1の1)と、受信したフロー個々に対しポートホッピングの有無を検出するポートホッピングフロー検出装置(図1の2)と、フロー情報、及びアプリケーション情報を保存する記憶装置(図1の3)と、記憶装置に保存されたフロー情報を表示するフロー情報表示装置(図1の4)とを有する。なお、フロー情報は1つのフローについての情報であり、アプリケーション情報は2つのフロー間の関係を示す情報である。
また、ポートホッピングフロー検出装置は、受信した複数のフローを個々のフローに分離し、個々のフローのフロー情報を抽出するフロー分離手段(図1の21)と、ポート移動時間差を演算するポート移動時間差演算手段(図1の22)と、ポートを移るまでの時間を演算するフロー継続時間演算手段(図1の23)と、フロー間のポート番号関係を演算するポート移動関係演算手段(図1の24)と、受信したフローの特徴を演算するフロー特徴演算手段(図1の25)と、受信した複数のフローのポートホッピングに関する情報の演算結果とポートホッピングするアプリケーションの情報とを比較することによりポートホッピングを検出するポートホッピング検出手段(図1の26)とを有する。
また記憶装置は受信したそれぞれのフローのフロー情報を保存するフロー情報格納部(図1の31)と、ポートホッピングするアプリケーションの情報を保存するアプリケーション情報格納部(図1の32)とを有する。
ポートホッピングするアプリケーションはポートホップする前後のフロー間にポート移動時間差、フロー継続時間、ポート番号関係、フロー特徴と相関があるため、このような構成を採用し、受信した複数のフローのポート移動時間差、フロー継続時間、ポート番号関係、フロー特徴とポートホッピングするアプリケーションの情報とを比較することによりポートホッピングを検出できることから、本発明の第1、及び第2、及び第3の目的を達成することができる。
図1は、本発明の第1実施形態の構成を示す図である。 図2は、本発明の第1実施形態の動作を示す流れ図である。 図3は、本発明の第2実施形態の構成を示す図である。 図4は、本発明の第2実施形態の動作を示す流れ図である。 図5は、本発明の第3実施形態の構成を示す図である。
符号の説明
1 受信装置
2、2b、2c ポートホッピングフロー検出装置
3、3b、3c 記憶装置
4 フロー情報表示装置
5 帯域制御装置
6 送信装置
7 ポートホッピング検出用プログラム
8 帯域制御用プログラム
21、21b フロー分離部
22 ポート移動時間差演算部
23 フロー継続時間演算部
24 ポート番号関係演算部
25 フロー特徴演算部
26 ポートホッピング検出部
31 フロー情報格納部
32 アプリケーション情報格納部
33 帯域制御ポリシー格納部

Claims (20)

  1. 複数のフローを受信する受信装置と、
    受信した複数のフローの各々に対するポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉えポートホッピングを検出するポートホッピングフロー検出装置と
    を含み
    前記ポートホッピングフロー検出装置は、前記複数のフローの各々に関するフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られたポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較してポートホッピングの有無を検出す
    ポートホッピング検出システム。
  2. 請求項1に記載のポートホッピング検出システムであって
    前記フロー情報は、
    フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号と、
    同一の前記送信元IPアドレス、前記送信先IPアドレス、前記送信元ポート番号、前記送信先ポート番号、前記プロトコル番号を持つパケット群のうち最初に前記ポートホッピングフロー検出装置が受信したパケットの受信時刻を示すフロー発生時刻と、
    前記パケット群のうち最後に前記ポートホッピングフロー検出装置が受信したパケットの受信時刻を示す最終パケット受信時刻と、
    プリケーション種別を識別するためのフロー特徴と、
    前記ポートホッピング検出の結果を示すポートホッピング検出結果と
    を含む
    ポートホッピング検出システム。
  3. 請求項1又は2に記載のポートホッピング検出システムであって
    前記アプリケーション情報は、
    ポートホッピングする前後のフロー間のポート移動時間差と、
    フロー間のポートを移るまでのフロー継続時間と、
    フロー間のポート番号関係と、
    フロー特徴から識別されアプリケーション種別と
    を含む
    ポートホッピング検出システム。
  4. 請求項1乃至3のいずれか一項に記載のポートホッピング検出システムであって
    前記ポートホッピングフロー検出装置は、
    前記複数のフローを個々のフローに分離し、個々のフロー毎にフロー情報を抽出するフロー分離部と、
    前記フロー情報に基づいて、ポートホッピングする前後のフロー間のポート移動時間差を演算するポート移動時間差演算部と、
    前記フロー情報に基づいて、ポートを移るまでのフロー継続時間を演算するフロー継続時間演算部と、
    前記フロー情報に基づいて、前記フロー間の前記ポート番号関係を演算するポート移動関係演算部と、
    前記フロー情報に基づいて、フロー特徴を演算し前記アプリケーション種別を識別するフロー特徴演算部と、
    前記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングを検出するポートホッピング検出部と
    を具備する
    ポートホッピング検出システム。
  5. 請求項4に記載のポートホッピング検出システムであって
    前記ポート移動時間差演算部は、前記フロー情報に基づいて、新規に発生したフローフロー発生時刻と他の既存のフローの最終パケット受信時刻との差を演算して、前記ポート移動時間差を演算する
    ポートホッピング検出システム。
  6. 請求項4又は5に記載のポートホッピング検出システムであって
    前記フロー継続時間演算部は、前記フロー情報に基づいて、新規に発生したフローフロー発生時刻と他の既存のフローの発生時刻との差を演算して、前記フロー継続時間を演算する
    ポートホッピング検出システム。
  7. 請求項4乃至6のいずれか一項に記載のポートホッピング検出システムであって
    前記ポート移動関係演算部は、前記フロー情報に基づいて、新規に発生したフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較して、前記ポート番号関係を演算する
    ポートホッピング検出システム。
  8. 請求項4乃至7のいずれか一項に記載のポートホッピング検出システムであって
    前記フロー特徴演算部は、入力された個々のフローについてフロー特徴を演算し、前記フロー特徴に基づいて、前記アプリケーション種別の識別を行う
    ポートホッピング検出システム。
  9. 請求項4乃至8のいずれか一項に記載のポートホッピング検出システムであって
    前記フロー分離部は、フローを構成するパケットのヘッダの情報毎にフローを分離し、フロー毎にフロー情報を保存し、前記フロー情報を参照して前記フロー情報の最終パケット受信時刻を更新し、前記フロー情報を決められた条件に従い削除する
    ポートホッピング検出システム。
  10. 請求項1乃至9のいずれか一項に記載のポートホッピング検出システムであって、
    前記フロー情報及び帯域制御ポリシーを参照し、アプリケーション識別結果及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従し、前記帯域制御ポリシーに従い帯域制御を実施して、アプリケーション識別結果が出ていないフローの使用帯域を一時的に制限する帯域制御装置と、
    前記帯域制御の結果に応じたフローを送信する送信装置と
    を更に含む
    ポートホッピング検出システム。
  11. ポートホッピングを使用するアプリケーションプログラムに特有のポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を、アプリケーション情報として保存する手段と、
    パケットのヘッダに含まれる複数の情報のうち少なくとも1つの情報を、フローを特定するためのフロー情報として保存する手段と、
    受信した複数のパケットの各々のヘッダからフロー情報として使用される情報を抽出し、前記各パケット毎に、前記抽出された情報と前記保存されているフロー情報とを比較して、前記抽出された情報をフロー情報として保存しているか確認する手段と、
    前記抽出された情報をフロー情報として保存している場合、前記保存されているフロー情報に対して、該当するパケットのうち最終のパケットの受信時刻を更新する手段と、
    前記抽出された情報をフロー情報として保存していない場合、前記抽出された情報を新規のフロー情報として保存し、前記新規のフロー情報に対して、該当するパケットのうち最初のパケットの受信時刻と最終のパケットの受信時刻とを記録する手段と、
    前記抽出された情報に基づいて、前記複数のパケットをフロー毎に分離する手段と、
    前記新規のフロー情報の最初のパケットの受信時刻と、他の既存のフロー情報の最終のパケットの受信時刻との差を演算し、ポート移動時間差を求める手段と、
    前記新規のフロー情報の最初のパケットの受信時刻と、他の既存のフロー情報の最初のパケットの受信時刻との差を演算し、フロー継続時間を求める手段と、
    パケットのヘッダに含まれるポート番号をフロー情報として使用している場合、前記新規のフロー情報のポート番号と、他の既存のフロー情報のポート番号との差を演算し、ポート番号関係を求める手段と、
    フロー特徴に基づいてアプリケーション種別を識別する手段と、
    前記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別と、前記保存されているアプリケーション情報とを比較して、ポートホッピングを検出する手段と、
    前記ポートホッピングを検出した際、前記ポートホッピングの前後のフローのフロー情報を関連付けして保存する手段と
    を具備する
    ポートホッピング検出装置。
  12. 複数のフローを受信することと、
    受信した複数のフローの各々に対するポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉え、ポートホッピングを検出することと、
    ポートホッピングを検出する際、前記複数のフローの各々に関するフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られるポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングの有無を検出することと
    を含む
    ポートホッピング検出方法。
  13. 請求項12に記載のポートホッピング検出方法であって、
    記複数のフローを個々のフローに分離し、個々のフローフロー情報を抽出することと、
    前記フロー情報に基づいて、前記ポート移動時間差を演算することと、
    前記フロー情報に基づいて、前記ポート継続時間を演算することと、
    前記フロー情報に基づいて、前記ポート番号関係を演算することと、
    前記フロー情報に基づいて、フロー特徴を演算し前記アプリケーション種別を識別することと、
    記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングを検出すること
    更に含む
    ポートホッピング検出方法。
  14. 請求項13に記載のポートホッピング検出方法であって、
    前記ポート移動時間差を演算する際、前記フロー情報に基づいて、新規に発生したフローフロー発生時刻と他の既存のフローの最終パケット受信時刻との差を演算して、前記ポート移動時間差を演算すること
    更に含む
    ポートホッピング検出方法。
  15. 請求項13又は14に記載のポートホッピング検出方法であって、
    前記ポート継続時間を演算する際、前記フロー情報に基づいて、新規に発生したフローフロー発生時刻と他の既存のフローの発生時刻との差を演算して、前記フロー継続時間を演算すること
    更に含む
    ポートホッピング検出方法。
  16. 請求項13乃至15のいずれか一項に記載のポートホッピング検出方法であって、
    前記ポート番号関係を演算する際、前記フロー情報に基づいて、新規に発生したフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較して、前記ポート番号関係を演算すること
    更に含む
    ポートホッピング検出方法。
  17. 請求項13乃至16のいずれか一項に記載のポートホッピング検出方法であって、
    前記アプリケーション種別を識別する際、フローについてフロー特徴を演算し、前記フロー特徴に基づいて、前記アプリケーション種別の識別を行うこと
    更に含む
    ポートホッピング検出方法。
  18. 請求項13乃至17のいずれか一項に記載のポートホッピング検出方法であって、
    フローを構成するパケットのヘッダの情報毎にフローを分離することと、
    離した個々のフロー毎にフロー情報を保存することと、
    前記フロー情報を参照し前記フロー情報の最終パケット受信時刻を更新することと、
    前記フロー情報を決められた条件に従い削除すること
    を更に含む
    ポートホッピング検出方法。
  19. 請求項12乃至18のいずれか一項に記載のポートホッピング検出方法であって、
    前記フロー情報及び帯域制御ポリシーを参照し、アプリケーション識別結果及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従することと、
    前記帯域制御ポリシーに従い帯域制御を実施して、アプリケーション識別結果が出ていないフローの使用帯域を一時的に制限することと、
    前記帯域制御の結果に応じたフローを送信することと
    を更に含む
    ポートホッピング検出方法。
  20. 請求項12乃至19のいずれか一項に記載のポートホッピング検出方法を、コンピュータに実行させるためのプログラム。
JP2005283320A 2005-09-29 2005-09-29 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム Expired - Fee Related JP4626811B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005283320A JP4626811B2 (ja) 2005-09-29 2005-09-29 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US11/528,362 US7937489B2 (en) 2005-09-29 2006-09-28 System and method for detecting port hopping

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005283320A JP4626811B2 (ja) 2005-09-29 2005-09-29 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2007096741A JP2007096741A (ja) 2007-04-12
JP4626811B2 true JP4626811B2 (ja) 2011-02-09

Family

ID=37895464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005283320A Expired - Fee Related JP4626811B2 (ja) 2005-09-29 2005-09-29 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム

Country Status (2)

Country Link
US (1) US7937489B2 (ja)
JP (1) JP4626811B2 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7804787B2 (en) * 2005-07-08 2010-09-28 Fluke Corporation Methods and apparatus for analyzing and management of application traffic on networks
US8301789B2 (en) * 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
JP5234391B2 (ja) * 2007-08-14 2013-07-10 日本電気株式会社 通信装置およびプログラム、並びに、ネットワーク選択方法
US8971339B2 (en) 2009-09-25 2015-03-03 Nec Corporation Contents base switching system and contents base switching method
JP5300076B2 (ja) * 2009-10-07 2013-09-25 日本電気株式会社 コンピュータシステム、及びコンピュータシステムの監視方法
US8898795B2 (en) 2012-02-09 2014-11-25 Harris Corporation Bridge for communicating with a dynamic computer network
US8935780B2 (en) 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8819818B2 (en) 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US8935786B2 (en) 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US9154458B2 (en) * 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US8898782B2 (en) 2012-05-01 2014-11-25 Harris Corporation Systems and methods for spontaneously configuring a computer network
US8966626B2 (en) 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) * 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
WO2016144217A1 (en) * 2015-03-09 2016-09-15 Saab Ab Secure data transfer
CN112153044B (zh) * 2020-09-23 2021-11-12 腾讯科技(深圳)有限公司 流量数据的检测方法及相关设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6356951B1 (en) * 1999-03-01 2002-03-12 Sun Microsystems, Inc. System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction
JP2003008636A (ja) 2001-06-27 2003-01-10 Matsushita Electric Ind Co Ltd サービス品質コンテンツ転送におけるネットワーク資源を構成及び制御する方法及び装置
US7305492B2 (en) * 2001-07-06 2007-12-04 Juniper Networks, Inc. Content service aggregation system
JP4650716B2 (ja) 2001-07-20 2011-03-16 トムソン ライセンシング 通信ネットワーク用の動的トラフィック帯域幅管理システム
JP2004038557A (ja) 2002-07-03 2004-02-05 Oki Electric Ind Co Ltd 不正アクセス遮断システム
JP2004140618A (ja) 2002-10-18 2004-05-13 Yokogawa Electric Corp パケットフィルタ装置および不正アクセス検知装置
JP2004236258A (ja) 2003-02-03 2004-08-19 Nippon Telegr & Teleph Corp <Ntt> 専用回線サービスシステムと専用回線設定方法およびそのプログラム
US7804787B2 (en) * 2005-07-08 2010-09-28 Fluke Corporation Methods and apparatus for analyzing and management of application traffic on networks
US20070070996A1 (en) * 2005-09-26 2007-03-29 Oran David R Port hopping scheme for peer-to-peer connections

Also Published As

Publication number Publication date
US20070073838A1 (en) 2007-03-29
US7937489B2 (en) 2011-05-03
JP2007096741A (ja) 2007-04-12

Similar Documents

Publication Publication Date Title
JP4626811B2 (ja) ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
TWI729320B (zh) 可疑封包偵測裝置及其可疑封包偵測方法
EP2434689B1 (en) Method and apparatus for detecting message
JP4759389B2 (ja) パケット通信装置
KR101409563B1 (ko) 애플리케이션 프로토콜 식별 방법 및 장치
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
CN106790170B (zh) 一种数据包过滤方法及装置
CN107968791B (zh) 一种攻击报文的检测方法及装置
US10264004B2 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
CN105743732B (zh) 一种记录局域网文件传输路径和分布情况的方法及系统
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
TWI717831B (zh) 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
WO2019240054A1 (ja) 通信装置、パケット処理方法及びプログラム
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN109361658A (zh) 基于工控行业的异常流量信息存储方法、装置及电子设备
JP6476853B2 (ja) ネットワーク監視システム及び方法
CN114244610A (zh) 一种文件传输方法、装置,网络安全设备及存储介质
CN109936551B (zh) 域名系统攻击的防御方法、防御装置以及控制器
WO2015165229A1 (zh) 一种识别异常ip数据流的方法、装置和系统
JP7359299B2 (ja) パケット識別装置、パケット識別方法およびパケット識別プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101014

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101027

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees