JP4626811B2 - ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム - Google Patents
ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム Download PDFInfo
- Publication number
- JP4626811B2 JP4626811B2 JP2005283320A JP2005283320A JP4626811B2 JP 4626811 B2 JP4626811 B2 JP 4626811B2 JP 2005283320 A JP2005283320 A JP 2005283320A JP 2005283320 A JP2005283320 A JP 2005283320A JP 4626811 B2 JP4626811 B2 JP 4626811B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- port
- information
- hopping
- port hopping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/901—Buffering arrangements using storage descriptor, e.g. read or write pointers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/61—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
この不正アクセス遮断システムでは、正規のフローの送受信IPアドレスの組み合わせと、そのフローを構成するパケットの中身を正規フローのパターンとして予め保存しておき、受信したパケットが前記正規フローのパターンと一致するかでアプリケーション識別を行っている。これを従来技術1とする。
第2の問題は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができないということである。その理由は、従来技術1と従来技術2、及び従来技術3は、ポートホッピングを多用するアプリケーションが発生させる複数のフローをそれぞれ独立に識別し、識別されたフロー相互の関連性については考慮していないからである。
第3の問題は、ポートホッピングを多用するアプリケーションの識別精度が低いことである。その理由は、従来技術1と従来技術2、及び従来技術3では観察時間が長いほどアプリケーション識別精度が向上するが、ポートホッピングを多用するアプリケーションの識別においてはフローの観察時間は短くなり、信頼度が低くなるためである。特に従来技術3ではフローの統計的特徴で定義されるフローの特徴は、観察時間が短ければ精度が大きく低下するため問題になる。
本発明の目的は、ポートホッピングを多用するアプリケーションの検出ができるシステムを提供することにある。
本発明の他の目的は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができるシステムを提供することにある。
本発明の更に他の目的は、ポートホッピングを多用するアプリケーションのアプリケーション識別精度を向上させることができるシステムを提供することにある。
を含む。
第2の効果は、ポートホッピングを多用するアプリケーションが発生させるフローのポートの移動を継続的に追従することができることにある。その理由は、第1の効果によりポートホッピングを検出した場合ポートホッピングしたフローのフロー情報を関連付けして保存しておくためである。
第3の効果は、ポートホッピングを多用するアプリケーションのアプリケーション識別精度を向上させることができることにある。その理由は、第2の効果によりポートホッピングしたフローのフロー情報を参照することによりポートホッピングした前後のフローを1つのフローとして扱うことができる。このため前記アプリケーションを長時間観察できるためである。
図1を参照すると、本発明のポートホッピング検出システムは、受信装置1と、ポートホッピングフロー検出装置2と、記憶装置3と、フロー情報表示装置4とを有する。
フロー情報格納部31は、受信したそれぞれのフローの情報を保存する。アプリケーション情報格納部32は、ポートホッピングを多用するアプリケーションの情報を保存する。
(1)ステップS1
本発明のポートホッピング検出システムは、フローを受信する。
(2)ステップS2
入力されたフローの、各フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の組み合わせを確認し、前記フローのフロー情報を保存しているか確認する。ステップS2の結果、入力されたフローのフロー情報が保存されていなかった場合ステップS3−1に移行し、入力されたフローのフロー情報が保存されていた場合ステップS3−2に移行する。
(3)ステップS3−1
ステップS2において入力されたフローのフロー情報が保存されていなかった場合、前記フローのフロー情報を保存する。
(4)ステップS4
更に、入力されたフローを送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の組み合わせ毎に分離する。
(5)ステップS5−1
次に、フロー情報から新規に発生したフローと既存のフロー間のポート移動時間差を演算する。
(6)ステップS5−2
また、フロー情報から新規に発生したフローと既存のフロー間のフロー継続時間を演算する。
(7)ステップS5−3
また、フロー情報から新規に発生したフローと既存フロー間のポート番号関係を演算する。
(8)ステップS5−4
また、入力された個々のフローについてフローの特徴を演算しアプリケーション種別の識別を行う。
(9)ステップS6
次に、ポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別と、保存していたアプリケーション情報とを比較することによりポートホッピングを検出する。ステップS6の結果、ポートホッピングを検出した場合ステップS7へ移行し、ポートホッピングを検出しなかった場合ステップS8へ移行する。
(10)ステップS7
ステップS6の結果、ポートホッピングを検出した場合、ポートホッピングした前後のフローのフロー情報を関連付けし、フロー情報を保存する。
(11)ステップS3−2
なお、ステップS2において入力されたフローが新規フローでなかった場合、入力されたフローのフロー情報のうち最終パケット受信時刻を更新し、保存する。
(12)ステップS8
最後に、保存しているフロー情報を表示する。
本実施形態では、新規に発生したフローと他の既存フロー間のポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別と、アプリケーション情報格納部32が保存しているアプリケーション情報とを比較することによりポートホッピングを検出することができる。また、ポートホッピングしたフローのフロー情報を関連付けし保存しておくことにより、継続的にポートの移動を追従することができる。更に、検出結果をアプリケーション識別部が参照することによりポートホッピングしたフローを1つのフローとして扱うことができる。このため、フロー特徴演算部25は長時間フローを観察できるためアプリケーション種別の識別精度が向上する。
図3を参照すると、本発明のポートホッピング検出システムは、受信装置1と、ポートホッピングフロー検出装置2と、記憶装置3と、帯域制御装置5と、送信装置6とを有する。
送信装置6は帯域制御装置5により帯域制限を受けたフローを送出する。
図4のステップS1からS7までに示される本実施形態における受信装置1、ポートホッピングフロー検出装置2b、及び記憶装置3bの動作は、第1実施形態の各装置1、2、及び3の動作と同一のため、説明は省略する。本実施形態では、ステップS8の代わりに、以下に示すステップS9,S10を実施する。
(1)ステップS9
第1実施形態では、ポートホッピングの検出結果を表示するのみであった。本実施形態では、ポートホッピング検出の結果を含んだフロー情報を用いて帯域制御ポリシー格納部に保存されている帯域制御ポリシーに従い帯域制御を実施する。
(2)ステップS10
次に、帯域制限を受けたフローを送信する。
本実施形態では、アプリケーション識別結果、及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従し帯域制御ポリシーに従い帯域制限できる。更に、アプリケーション識別が出ていないフローに対しても使用帯域を一時的に制限することにより、アプリケーション識別前にポートホッピングをされたとしてもそれらのフローに対し継続的に帯域制限することができる。
図5を参照すると、本発明の第3実施形態は、本発明の第2実施形態と同様に、受信装置1、ポートホッピングフロー検出装置2c、記憶装置3c、帯域制御装置5c、送信装置6を備える。
本実施形態では、本発明の第1、及び第2実施形態の効果と同様の効果を得るために、ポートホッピング検出用プログラム、及び帯域制御用プログラムを用いることによりコンピュータをポートホッピング検出装置、及び帯域制御装置として動作させることができる。
2、2b、2c ポートホッピングフロー検出装置
3、3b、3c 記憶装置
4 フロー情報表示装置
5 帯域制御装置
6 送信装置
7 ポートホッピング検出用プログラム
8 帯域制御用プログラム
21、21b フロー分離部
22 ポート移動時間差演算部
23 フロー継続時間演算部
24 ポート番号関係演算部
25 フロー特徴演算部
26 ポートホッピング検出部
31 フロー情報格納部
32 アプリケーション情報格納部
33 帯域制御ポリシー格納部
Claims (20)
- 複数のフローを受信する受信装置と、
受信した複数のフローの各々に対するポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉え、ポートホッピングを検出するポートホッピングフロー検出装置と
を含み、
前記ポートホッピングフロー検出装置は、前記複数のフローの各々に関するフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られたポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングの有無を検出する
ポートホッピング検出システム。 - 請求項1に記載のポートホッピング検出システムであって、
前記フロー情報は、
フローを構成するパケットのヘッダに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号と、
同一の前記送信元IPアドレス、前記送信先IPアドレス、前記送信元ポート番号、前記送信先ポート番号、前記プロトコル番号を持つパケット群のうち最初に前記ポートホッピングフロー検出装置が受信したパケットの受信時刻を示すフロー発生時刻と、
前記パケット群のうち最後に前記ポートホッピングフロー検出装置が受信したパケットの受信時刻を示す最終パケット受信時刻と、
アプリケーション種別を識別するためのフロー特徴と、
前記ポートホッピング検出の結果を示すポートホッピング検出結果と
を含む
ポートホッピング検出システム。 - 請求項1又は2に記載のポートホッピング検出システムであって、
前記アプリケーション情報は、
ポートホッピングする前後のフロー間のポート移動時間差と、
フロー間のポートを移るまでのフロー継続時間と、
フロー間のポート番号関係と、
フロー特徴から識別されるアプリケーション種別と
を含む
ポートホッピング検出システム。 - 請求項1乃至3のいずれか一項に記載のポートホッピング検出システムであって、
前記ポートホッピングフロー検出装置は、
前記複数のフローを個々のフローに分離し、個々のフロー毎にフロー情報を抽出するフロー分離部と、
前記フロー情報に基づいて、ポートホッピングする前後のフロー間のポート移動時間差を演算するポート移動時間差演算部と、
前記フロー情報に基づいて、ポートを移るまでのフロー継続時間を演算するフロー継続時間演算部と、
前記フロー情報に基づいて、前記フロー間の前記ポート番号関係を演算するポート移動関係演算部と、
前記フロー情報に基づいて、フロー特徴を演算し、前記アプリケーション種別を識別するフロー特徴演算部と、
前記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングを検出するポートホッピング検出部と
を具備する
ポートホッピング検出システム。 - 請求項4に記載のポートホッピング検出システムであって、
前記ポート移動時間差演算部は、前記フロー情報に基づいて、新規に発生したフローのフロー発生時刻と他の既存のフローの最終パケット受信時刻との差を演算して、前記ポート移動時間差を演算する
ポートホッピング検出システム。 - 請求項4又は5に記載のポートホッピング検出システムであって、
前記フロー継続時間演算部は、前記フロー情報に基づいて、新規に発生したフローのフロー発生時刻と他の既存のフローの発生時刻との差を演算して、前記フロー継続時間を演算する
ポートホッピング検出システム。 - 請求項4乃至6のいずれか一項に記載のポートホッピング検出システムであって、
前記ポート移動関係演算部は、前記フロー情報に基づいて、新規に発生したフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較して、前記ポート番号関係を演算する
ポートホッピング検出システム。 - 請求項4乃至7のいずれか一項に記載のポートホッピング検出システムであって、
前記フロー特徴演算部は、入力された個々のフローについてフロー特徴を演算し、前記フロー特徴に基づいて、前記アプリケーション種別の識別を行う
ポートホッピング検出システム。 - 請求項4乃至8のいずれか一項に記載のポートホッピング検出システムであって、
前記フロー分離部は、フローを構成するパケットのヘッダの情報毎にフローを分離し、フロー毎にフロー情報を保存し、前記フロー情報を参照して前記フロー情報の最終パケット受信時刻を更新し、前記フロー情報を決められた条件に従い削除する
ポートホッピング検出システム。 - 請求項1乃至9のいずれか一項に記載のポートホッピング検出システムであって、
前記フロー情報及び帯域制御ポリシーを参照し、アプリケーション識別結果及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従し、前記帯域制御ポリシーに従い帯域制御を実施して、アプリケーション識別結果が出ていないフローの使用帯域を一時的に制限する帯域制御装置と、
前記帯域制御の結果に応じたフローを送信する送信装置と
を更に含む
ポートホッピング検出システム。 - ポートホッピングを使用するアプリケーションプログラムに特有のポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を、アプリケーション情報として保存する手段と、
パケットのヘッダに含まれる複数の情報のうち少なくとも1つの情報を、フローを特定するためのフロー情報として保存する手段と、
受信した複数のパケットの各々のヘッダからフロー情報として使用される情報を抽出し、前記各パケット毎に、前記抽出された情報と前記保存されているフロー情報とを比較して、前記抽出された情報をフロー情報として保存しているか確認する手段と、
前記抽出された情報をフロー情報として保存している場合、前記保存されているフロー情報に対して、該当するパケットのうち最終のパケットの受信時刻を更新する手段と、
前記抽出された情報をフロー情報として保存していない場合、前記抽出された情報を新規のフロー情報として保存し、前記新規のフロー情報に対して、該当するパケットのうち最初のパケットの受信時刻と最終のパケットの受信時刻とを記録する手段と、
前記抽出された情報に基づいて、前記複数のパケットをフロー毎に分離する手段と、
前記新規のフロー情報の最初のパケットの受信時刻と、他の既存のフロー情報の最終のパケットの受信時刻との差を演算し、ポート移動時間差を求める手段と、
前記新規のフロー情報の最初のパケットの受信時刻と、他の既存のフロー情報の最初のパケットの受信時刻との差を演算し、フロー継続時間を求める手段と、
パケットのヘッダに含まれるポート番号をフロー情報として使用している場合、前記新規のフロー情報のポート番号と、他の既存のフロー情報のポート番号との差を演算し、ポート番号関係を求める手段と、
フロー特徴に基づいてアプリケーション種別を識別する手段と、
前記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別と、前記保存されているアプリケーション情報とを比較して、ポートホッピングを検出する手段と、
前記ポートホッピングを検出した際、前記ポートホッピングの前後のフローのフロー情報を関連付けして保存する手段と
を具備する
ポートホッピング検出装置。 - 複数のフローを受信することと、
受信した複数のフローの各々に対するポートホッピングの実行に関与するアプリケーションプログラムの特徴を捉え、ポートホッピングを検出することと、
ポートホッピングを検出する際、前記複数のフローの各々に関するフロー情報に基づいて、ポートホッピングに関する情報を演算し、前記演算の結果として得られるポート移動時間差、フロー継続時間、ポート番号関係、及びアプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングの有無を検出することと
を含む
ポートホッピング検出方法。 - 請求項12に記載のポートホッピング検出方法であって、
前記複数のフローを個々のフローに分離し、個々のフローのフロー情報を抽出することと、
前記フロー情報に基づいて、前記ポート移動時間差を演算することと、
前記フロー情報に基づいて、前記ポート継続時間を演算することと、
前記フロー情報に基づいて、前記ポート番号関係を演算することと、
前記フロー情報に基づいて、フロー特徴を演算し、前記アプリケーション種別を識別することと、
前記ポート移動時間差、前記フロー継続時間、前記ポート番号関係、及び前記アプリケーション種別を示す各パラメータと、前記各パラメータに対応し前記アプリケーションプログラムの特徴を示すパラメータに関するアプリケーション情報とを比較して、ポートホッピングを検出することと
を更に含む
ポートホッピング検出方法。 - 請求項13に記載のポートホッピング検出方法であって、
前記ポート移動時間差を演算する際、前記フロー情報に基づいて、新規に発生したフローのフロー発生時刻と他の既存のフローの最終パケット受信時刻との差を演算して、前記ポート移動時間差を演算すること
を更に含む
ポートホッピング検出方法。 - 請求項13又は14に記載のポートホッピング検出方法であって、
前記ポート継続時間を演算する際、前記フロー情報に基づいて、新規に発生したフローのフロー発生時刻と他の既存のフローの発生時刻との差を演算して、前記フロー継続時間を演算すること
を更に含む
ポートホッピング検出方法。 - 請求項13乃至15のいずれか一項に記載のポートホッピング検出方法であって、
前記ポート番号関係を演算する際、前記フロー情報に基づいて、新規に発生したフローの送信元ポート番号、及び送信先ポート番号と他の既存の送信元ポート番号、及び送信先ポート番号を比較して、前記ポート番号関係を演算すること
を更に含む
ポートホッピング検出方法。 - 請求項13乃至16のいずれか一項に記載のポートホッピング検出方法であって、
前記アプリケーション種別を識別する際、フローについてフロー特徴を演算し、前記フロー特徴に基づいて、前記アプリケーション種別の識別を行うこと
を更に含む
ポートホッピング検出方法。 - 請求項13乃至17のいずれか一項に記載のポートホッピング検出方法であって、
フローを構成するパケットのヘッダの情報毎にフローを分離することと、
分離した個々のフロー毎にフロー情報を保存することと、
前記フロー情報を参照し、前記フロー情報の最終パケット受信時刻を更新することと、
前記フロー情報を決められた条件に従い削除することと
を更に含む
ポートホッピング検出方法。 - 請求項12乃至18のいずれか一項に記載のポートホッピング検出方法であって、
前記フロー情報及び帯域制御ポリシーを参照し、アプリケーション識別結果及びポートホッピング検出結果を用いて、継続的にポートホッピングするフローのポートの移動を追従することと、
前記帯域制御ポリシーに従い帯域制御を実施して、アプリケーション識別結果が出ていないフローの使用帯域を一時的に制限することと、
前記帯域制御の結果に応じたフローを送信することと
を更に含む
ポートホッピング検出方法。 - 請求項12乃至19のいずれか一項に記載のポートホッピング検出方法を、コンピュータに実行させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005283320A JP4626811B2 (ja) | 2005-09-29 | 2005-09-29 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
US11/528,362 US7937489B2 (en) | 2005-09-29 | 2006-09-28 | System and method for detecting port hopping |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005283320A JP4626811B2 (ja) | 2005-09-29 | 2005-09-29 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007096741A JP2007096741A (ja) | 2007-04-12 |
JP4626811B2 true JP4626811B2 (ja) | 2011-02-09 |
Family
ID=37895464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005283320A Expired - Fee Related JP4626811B2 (ja) | 2005-09-29 | 2005-09-29 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US7937489B2 (ja) |
JP (1) | JP4626811B2 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7804787B2 (en) * | 2005-07-08 | 2010-09-28 | Fluke Corporation | Methods and apparatus for analyzing and management of application traffic on networks |
US8301789B2 (en) * | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
JP5234391B2 (ja) * | 2007-08-14 | 2013-07-10 | 日本電気株式会社 | 通信装置およびプログラム、並びに、ネットワーク選択方法 |
US8971339B2 (en) | 2009-09-25 | 2015-03-03 | Nec Corporation | Contents base switching system and contents base switching method |
JP5300076B2 (ja) * | 2009-10-07 | 2013-09-25 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムの監視方法 |
US8898795B2 (en) | 2012-02-09 | 2014-11-25 | Harris Corporation | Bridge for communicating with a dynamic computer network |
US8935780B2 (en) | 2012-02-09 | 2015-01-13 | Harris Corporation | Mission management for dynamic computer networks |
US8819818B2 (en) | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
US8959573B2 (en) | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
US8935786B2 (en) | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
US9130907B2 (en) | 2012-05-01 | 2015-09-08 | Harris Corporation | Switch for communicating data in a dynamic computer network |
US9154458B2 (en) * | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
US9075992B2 (en) * | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
US8898782B2 (en) | 2012-05-01 | 2014-11-25 | Harris Corporation | Systems and methods for spontaneously configuring a computer network |
US8966626B2 (en) | 2012-05-01 | 2015-02-24 | Harris Corporation | Router for communicating data in a dynamic computer network |
US9503324B2 (en) | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
US9338183B2 (en) | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
US10122708B2 (en) * | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
WO2016144217A1 (en) * | 2015-03-09 | 2016-09-15 | Saab Ab | Secure data transfer |
CN112153044B (zh) * | 2020-09-23 | 2021-11-12 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6356951B1 (en) * | 1999-03-01 | 2002-03-12 | Sun Microsystems, Inc. | System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction |
JP2003008636A (ja) | 2001-06-27 | 2003-01-10 | Matsushita Electric Ind Co Ltd | サービス品質コンテンツ転送におけるネットワーク資源を構成及び制御する方法及び装置 |
US7305492B2 (en) * | 2001-07-06 | 2007-12-04 | Juniper Networks, Inc. | Content service aggregation system |
JP4650716B2 (ja) | 2001-07-20 | 2011-03-16 | トムソン ライセンシング | 通信ネットワーク用の動的トラフィック帯域幅管理システム |
JP2004038557A (ja) | 2002-07-03 | 2004-02-05 | Oki Electric Ind Co Ltd | 不正アクセス遮断システム |
JP2004140618A (ja) | 2002-10-18 | 2004-05-13 | Yokogawa Electric Corp | パケットフィルタ装置および不正アクセス検知装置 |
JP2004236258A (ja) | 2003-02-03 | 2004-08-19 | Nippon Telegr & Teleph Corp <Ntt> | 専用回線サービスシステムと専用回線設定方法およびそのプログラム |
US7804787B2 (en) * | 2005-07-08 | 2010-09-28 | Fluke Corporation | Methods and apparatus for analyzing and management of application traffic on networks |
US20070070996A1 (en) * | 2005-09-26 | 2007-03-29 | Oran David R | Port hopping scheme for peer-to-peer connections |
-
2005
- 2005-09-29 JP JP2005283320A patent/JP4626811B2/ja not_active Expired - Fee Related
-
2006
- 2006-09-28 US US11/528,362 patent/US7937489B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US20070073838A1 (en) | 2007-03-29 |
US7937489B2 (en) | 2011-05-03 |
JP2007096741A (ja) | 2007-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4626811B2 (ja) | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム | |
JP4547342B2 (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
TWI729320B (zh) | 可疑封包偵測裝置及其可疑封包偵測方法 | |
EP2434689B1 (en) | Method and apparatus for detecting message | |
JP4759389B2 (ja) | パケット通信装置 | |
KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
CN106790170B (zh) | 一种数据包过滤方法及装置 | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
TWI717831B (zh) | 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 | |
WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
KR20170054215A (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN109361658A (zh) | 基于工控行业的异常流量信息存储方法、装置及电子设备 | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
CN114244610A (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
CN109936551B (zh) | 域名系统攻击的防御方法、防御装置以及控制器 | |
WO2015165229A1 (zh) | 一种识别异常ip数据流的方法、装置和系统 | |
JP7359299B2 (ja) | パケット識別装置、パケット識別方法およびパケット識別プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080818 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101014 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101027 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |