JP4670690B2 - アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム - Google Patents
アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム Download PDFInfo
- Publication number
- JP4670690B2 JP4670690B2 JP2006068963A JP2006068963A JP4670690B2 JP 4670690 B2 JP4670690 B2 JP 4670690B2 JP 2006068963 A JP2006068963 A JP 2006068963A JP 2006068963 A JP2006068963 A JP 2006068963A JP 4670690 B2 JP4670690 B2 JP 4670690B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- application
- data collection
- data
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ネットワーク上のサイバー攻撃の発信源を探索するアプリケーショントレースバックにおけるデータ収集装置に関する。
近年、インターネットの急速な拡大と重要性が向上していることに伴い、インターネットに対する攻撃・脅威により引き起こされ得るインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。
一般に、企業内におけるコンピュータシステムは、LAN(Local Area Network)又はWAN(Wide Area Network)等のコンピュータネットワーク網を介して複数のクライアントコンピュータとクライアントコンピュータを管理するサーバコンピュータとをネットワーク接続し、各クライアントコンピュータ間でのデータの転送及び共有などが行われている。
このように構成されたコンピュータシステムは、例えば外部からのメールにコンピュータウィルスが添付され、そのメールを受信したクライアントコンピュータがまずウィルスに感染し、次いで当該ウィルスの他への感染プログラムによってLAN等を介して他の多数のクライアントコンピュータに増殖することがある。
従来技術によるコンピュータシステムは、コンピュータウィルス対策として、例えば複数のクライアントコンピュータ及びサーバコンピュータにウィルス対策ソフトをインストールし、ウィルス感染を検知したクライアントコンピュータがサーバコンピュータに当該感染を報告するものや、新たに不正侵入検知コンピュータをLAN上に用意し、この不正侵入検知コンピュータが検知対象の不正パターンとしてウィルス情報を登録しておき、LAN上を伝送するデータを監視してウィルスを検知し、サーバコンピュータに報告することが行われている。
また、不正アクセス、DoS攻撃、ウィルス発信などのサイバー攻撃は、攻撃パケットのソースアドレスを詐称していることが多いため、攻撃の発信源を把握することは困難である。このためパケットのソースアドレスが詐称されているサイバー攻撃であっても、その発信源を把握し得るトレースバック技術が求められ、十数年に渡り研究が進められてきた。
これらは、IPアドレスレベルでのトレースバック技術により追跡を行っているが、その仕組みからスパイウェア/ボットネット/ウィルス/ワーム等などのアプリケーションに依存したトレースバックを実現するのは、困難であった。
例えば、ホストベースやネットワークベースのアンチウイルス製品が普及してきており、多くの既知の攻撃に対して対応する仕組みになっているが、それらはウィルスの検知を目的としており、ウィルス発信元を特定することはできない。
また、IPネットワークにおけるDoS攻撃判定の精度を高めることで、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減するネットワーク管理装置があるが(例えば、特許文献1参照)、アプリケーションに依存したウィルス発信元の特定までは行っていない。
あるいは、クライアントコンピュータに専用のソフトウェアを導入することによってLANシステム内におけるウィルス感染源を検知するウィルス感染元検知システムがあるが、(例えば、特許文献2参照)、ソフトウェアを導入していないクライアントコンピュータへのウィルス感染を検出することはできない。
従来のアプリケーションに依存した処理を行うシステムにおいては、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、さらに目的のセッションを識別した上で、当該パケットの内容の解析を行うことで必要な処理を行っていた。これらの例として、ファイアウオールのアプリケーションゲートウェイやネットワーク型のウィルス検知システムが挙げられる。
特開2005−130121号公報
特開2004−086241号公報
しかしながら、これらの既存システムは、アプリケーショントレースバックを行う上で必要となる特定アプリケーションを選別する機能、および、アプリケーショントレースバックに必要な情報を抽出する機能を十分に考慮されたものではなかった。そのため、アプリケーショントレースバックを実現するためのデータ収集装置として利用できなかった。
また、これらの既存システムでは、ユーザのプライバシ保護を実現する匿名化機能がないため、通信におけるプライバシ保護を実現することができなかった。
そこで本発明は、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別し、アプリケーショントレースバックに必要な情報を抽出し、さらに、これらの内容に含まれるユーザのプライバシ情報を匿名化するアプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラムを提供することを目的とする。
上述の課題を解決するための、本発明の解決手段を、図1を参照して説明する。パケットキャプチャハードウェア1は、LANなどのネットワークから受信したパケットをキャプチャするハードウェアである。パケットキャプチャドライバ2は、パケットキャプチャハードウェア1がキャプチャしたデータを取得するソフトウェアである。アプリケーション選別機能3は、パケットキャプチャドライバ2が取得したパケットからデータを再構成し、プロトコルの判定を行う。アプリケーション個別処理・秘匿化機能4は、各プロトコルに応じた処理を行うため、入力をチェックし、各プロトコルに応じてアプリケーショントレースバックに必要な情報を抽出する。さらに、個人を特定できる個人情報については、秘匿化を行う。フォーマット共通化機能5は、プロトコルごとの処理データを統一したフォーマットに整形する。アプリケーショントレースバック検知機能6は、フォーマット共通化機能5およびログ7のデータから発信元をトレースバックする機能を実現する。ログ7は、ファイアウオール、侵入検知システム(IDS:Intrusion Detection System)、Webサーバ、メールサーバなどのネットワーク上の通信記録を格納する記録媒体である。
以上の構成によって、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となり、かつ、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる。
本発明による第一の効果は、アプリケーショントレースバックを検知するために必要な情報を取得することが可能となる点である。これは、ネットワークを流れるトラフィックの中から特定のアプリケーションを選別する機能、目的のセッションを識別した上で当該パケットの内容の解析を行うためである。
第二の効果は、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避することが可能となる点である。これは、トレースバックに用いる情報に対してユーザを特定できるといったプライバシ問題を回避する匿名化機能を持たせているためである。
次に、本発明の最良の形態について図面を参照して説明する。
図2は、本発明の構成例を示す図である。本発明のアプリケーショントレースバックにおけるデータ収集装置は、プログラム制御による情報処理装置であり、パケットキャプチャハードウェア10、パケットキャプチャドライバ20、共通ルール35、メモリ36、アプリケーション選別機能30、個別ルール47、メモリ48、SMTP(Simple Mail Transfer Protocol)処理40、プロトコルA処理40A、プロトコルB処理40B、共通化フォーマット出力50、ログ70、アプリケーショントレースバック検知機能60から構成される。
アプリケーション選別機能30は、メモリ31、パケット/ストリーム収集32、パケット/ストリーム再構築33、プロトコル判定34を含む。
SMTP処理40は、SMTPデータチェック41、SMTP個別処理42、添付ファイルデコード43、ハッシュ計算44、プライバシ秘匿化45、SMTP情報集約46を含む。
これらはそれぞれ概略つぎのように動作する。パケットキャプチャハードウェア10は、ネットワークからのパケットをキャプチャする。パケットキャプチャドライバ20は、パケットキャプチャハードウェア10の制御を行い、ハードウェアがキャプチャしたパケットを取得する。共通ルール35は、本発明のシステム全体で利用する設定情報である。例えば、ネットワーク上を流れるパケットについてどのような情報を取得して、ログとして記録するか等である。メモリ36は、共通ルール35から読み出した情報で動作させるための情報を格納する。
アプリケーション選別機能30は、パケットキャプチャドライバ20から受信したパケットやストリームの情報を判別し、アプリケーションに応じて、個別処理を行うためのSMTP処理40、プロトコルA処理40A、プロトコルB処理40Bなどにデータを受け渡すものである。なお、対応するプロトコルがなければ、データは破棄される。パケット/ストリーム収集32は、パケットキャプチャドライバ20からデータを収集する機能である。対応しているプロトコルでなければ、データは破棄される。キャプチャしたデータは、メモリ31に保存される。パケット/ストリーム再構築33は、パケット/ストリーム収集32からのデータを受信し、かつ、メモリ31からデータを読み出すことで、1つのストリームとして再構成し、メモリ31に格納する。プロトコル判定34は、メモリ31からデータを読み出し、個別処理を行うためのプロトコル判定を実施し、次に渡すプロトコル個別処理を決定する。
SMTP処理40、プロトコルA処理40A、プロトコルB処理40Bは、それぞれ対応するプロトコル単位で処理を行う。個別ルール47は、プロトコルごとに動作を制御するための情報がハードディスクなどの記録媒体に記録されている。メモリ48は、個別ルール47から読み出した情報で動作させるための情報を格納する。
SMTP処理40は、SMTPプロトコルに応じた処理を実施する機能ブロックである。SMTPデータチェック41は、受け取ったデータがSMTPプロトコルデータであるか否かを確認する。SMTP個別処理42は、SMTPプロトコルデータにおいて、アプリケーショントレースバックに必要な情報を取り出す機能である。添付ファイルデコード43は、SMTPプロトコルデータから取り出した添付ファイルに関する情報をデコードする機能である。ハッシュ計算44は、添付ファイルデコード43で取り出したファイルの内容に関し、ハッシュ値を計算するものである。プライバシ秘匿化45は、電子メールに含まれる個人情報などの秘匿化を行う。SMTP情報集約46は、SMTP個別処理42で取り出したアプリケーショントレースバックで攻撃者を特定するために用いられる情報を集約する。
共通化フォーマット出力50は、各プロトコルの個別処理で生成した情報を共通化されたフォーマットで出力する。
ログ70は、本データ収集装置で収集したデータ以外に、メールサーバのログなどネットワーク上の通信記録が格納されている。
アプリケーショントレースバック検知機能60は、共通化フォーマット出力50から渡された各プロトコルで処理したデータとログ70との相関に基づき、攻撃元を特定するアプリケーショントレースバックを行うものである。
次に、図3を参照して、本発明の処理の流れを、SMTPプロトコルでのアプリケーショントレースバックを例に説明する。
まず、ネットワークを流れるパケットをパケットキャプチャハードウェア10にてキャプチャし、パケットキャプチャドライバ20で受信する(S1)。受信できなかった場合は、受信待ちの状態となる。次に、パケット/ストリーム収集32において、パケットキャプチャドライバ20からデータを収集し、メモリ31にその状態を保存する(S2)。パケット/ストリーム再構築33において、メモリ31に格納されたデータが1つの完全なデータとして完了しているか否かを確認する。完了していない場合、パケット/ストリーム受信に戻り、完了している場合、次のステップへ進む(S3)。メモリ31に格納されたデータのプロトコル情報を確認し、対応可能プロトコルか否かを確認する。対応可能プロトコルでない場合、メモリ31のデータを破棄し、完了する。対応可能プロトコルである場合、その該当プロトコル(SMTP)の処理に移る(S4)。
SMTPデータチェック41において、受信したデータのチェックを行い(S5)、SMTPプロトコル独自の個別処理を行う(S6)。例えば、電子メールとして、図4に示すようなデータとなっていた場合に、アプリケーショントレースバック検知機能60が、「送信先ユーザ名」、「メッセージID」、「攻撃者が偽装したメールアドレス」、「年月日時分秒」、「添付ファイル名」を必要としている場合、SMTP個別処理42は、図5に下線で示す項目を取り出し、添付ファイル名の内容について、添付ファイルデコード43がファイルのデコードを行う。なお、エンコード方式には、BASE64などいくつかの方式があるが、添付ファイルデコード43で対応した方式であればデコードを行う。また、圧縮されている場合には、その圧縮を展開する処理を含んでも良い。デコード後のデータにハッシュ計算44でハッシュ値の計算を行う。ハッシュ値のアルゴリズムとしてしては、MD5やSHA−1などがあるが、いずれの方式でも良い。このとき、デコードできない方式であった場合には、デコードせず、添付ファイルのハッシュ値の計算を行う。これにより、情報として、図6に示すように共通フォーマット化する。
次に、秘匿化において、例えば、宛先のみを秘匿化する場合には、宛先のハッシュ値を計算する(S7)。この結果が、図7に示すようになるように、SMTP情報集約46は、アプリケーショントレースバック検知機能60に渡すデータ形式を共通化したフォーマットに変換し(S8)、その結果を共通化フォーマット出力50を介してアプリケーショントレースバック検知機能60に出力する(S9)。例えば、syslogなどのインタフェースとして出力する。
第2の実施例として、対応するプロトコルがHTTP(Hyper Text Transfer Protocol)の場合がある。この場合には、第1の実施例のSMTPが、HTTPに対応した形態となる。プロトコル依存となるため、取得できる情報は異なるが、ファイルのダウンロード時に「ファイル名」「ファイルサイズ」「ファイルのハッシュ値」を取得することは同一である。
インターネットの急速な拡大と重要性の向上は、改めていうまでもないところである。また、インターネットに対する攻撃・脅威により引き起こされうるインシデントの大きさについても年々増大の一途を辿っており、大規模インシデントに対する早期警戒態勢の整備が急務となっている。ウィルス発信等のサイバー攻撃は、攻撃パケットのソースアドレスを詐称しているなどにより、攻撃の発信源を把握することは困難となっている。
このようなパケットのソースアドレスが詐称されているサイバー攻撃であっても、本発明によって、その発信源を把握することができるので、当該ソースアドレス(またはISP)からの攻撃であることを検知でき、インシデントに対する警戒が可能となる。一例として、攻撃発信元のISPをネットワークから隔離するなどの対策も可能となる。
1 パケットキャプチャハードウェア
2 パケットキャプチャドライバ
3 アプリケーション選別機能
4 アプリケーション個別処理・秘匿化機能
5 フォーマット共通化機能
6 アプリケーショントレースバック検知機能
7 ログ
2 パケットキャプチャドライバ
3 アプリケーション選別機能
4 アプリケーション個別処理・秘匿化機能
5 フォーマット共通化機能
6 アプリケーショントレースバック検知機能
7 ログ
Claims (6)
- ネットワークに接続され、ネットワークを流れるデータを収集する装置であって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別手段と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理手段と、
前記アプリケーション個別処理手段により取り出された情報に含まれている個人を特定できる個人情報について、秘匿化を行う秘匿化手段と、
少なくとも、前記秘匿化後の個人情報及び前記取り出された情報に含まれている個人情報以外の情報をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、
前記共通フォーマットに変換した前記情報を出力する出力手段と、
を備えることを特徴とするデータ収集装置。 - 請求項1に記載のデータ収集装置であって、
前記アプリケーション個別処理手段により取り出された情報にデコード可能なファイルが含まれている場合、当該ファイルをデコードするファイルデコード手段と、
前記デコード後のデータ又は前記アプリケーション個別処理手段により取り出された情報に含まれている前記デコードが不可能なファイルを入力として任意のハッシュ関数を用いてハッシュ値を出力するハッシュ計算手段と、を更に備え、
前記共通フォーマットに変換した前記情報には、前記ハッシュ値が含まれていることを特徴とするデータ収集装置。 - ネットワークに接続され、ネットワークを流れるデータを収集する装置であるデータ収集装置が行うデータ収集方法であって、
前記データ収集装置が、ネットワークを流れるパケットをキャプチャするパケットキャプチャ・ステップと、
前記データ収集装置が、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別ステップと、
前記データ収集装置が、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理ステップと、
前記データ収集装置が、前記アプリケーション個別処理ステップにより取り出された情報に含まれている個人を特定できる個人情報について、秘匿化を行う秘匿化ステップと、
前記データ収集装置が、少なくとも、前記秘匿化後の個人情報及び前記取り出された情報に含まれている個人情報以外の情報をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、
前記データ収集装置が、前記共通フォーマットに変換した前記情報を出力する出力ステップと、
を備えることを特徴とするデータ収集方法。 - 請求項3に記載のデータ収集方法であって、
前記データ収集装置が、前記アプリケーション個別処理ステップにより取り出された情報にデコード可能なファイルが含まれている場合、当該ファイルをデコードするファイルデコードステップと、
前記データ収集装置が、前記デコード後のデータ又は前記アプリケーション個別処理ステップにより取り出された情報に含まれている前記デコードが不可能なファイルを入力として任意のハッシュ関数を用いてハッシュ値を出力するハッシュ計算ステップと、を更に備え、
前記共通フォーマットに変換した前記情報には、前記ハッシュ値が含まれていることを特徴とするデータ収集方法。 - ネットワークを流れるデータを収集するプログラムであって、
ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、
キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか否か判別するアプリケーション選別機能と、
対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当プロトコルによる処理を行うアプリケーション個別処理機能と、
前記アプリケーション個別処理機能により取り出された情報に含まれている個人を特定できる個人情報について、秘匿化を行う秘匿化機能と、
少なくとも、前記秘匿化後の個人情報及び前記取り出された情報に含まれている個人情報以外の情報をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、
前記共通フォーマットに変換した前記情報を出力する出力機能と、
をコンピュータに実現させることを特徴とするデータ収集プログラム。 - 請求項5に記載のデータ収集プログラムであって、
前記アプリケーション個別処理機能により取り出された情報にデコード可能なファイルが含まれている場合、当該ファイルをデコードするファイルデコード機能と、
前記デコード後のデータ又は前記アプリケーション個別処理機能により取り出された情報に含まれている前記デコードが不可能なファイルを入力として任意のハッシュ関数を用いてハッシュ値を出力するハッシュ計算機能と、を更に備え、
前記共通フォーマットに変換した前記情報には、前記ハッシュ値が含まれていることを特徴とするデータ収集プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006068963A JP4670690B2 (ja) | 2006-03-14 | 2006-03-14 | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006068963A JP4670690B2 (ja) | 2006-03-14 | 2006-03-14 | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007249348A JP2007249348A (ja) | 2007-09-27 |
| JP4670690B2 true JP4670690B2 (ja) | 2011-04-13 |
Family
ID=38593612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006068963A Active JP4670690B2 (ja) | 2006-03-14 | 2006-03-14 | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4670690B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008084729A1 (ja) | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| JP2010034721A (ja) | 2008-07-28 | 2010-02-12 | Fujitsu Ltd | パケットキャプチャ装置,パケットキャプチャ方法およびパケットキャプチャプログラム |
| WO2013121572A1 (ja) * | 2012-02-17 | 2013-08-22 | 株式会社日立製作所 | 分散システムにおける異種システムデータ提供方法 |
| JP6081386B2 (ja) * | 2014-01-30 | 2017-02-15 | 日本電信電話株式会社 | 情報共有装置、情報共有方法、および、情報共有プログラム |
| JP2018516398A (ja) * | 2015-03-26 | 2018-06-21 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 通信におけるデータ検出の最適化 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000090031A (ja) * | 1998-09-11 | 2000-03-31 | Takeshi Ishii | ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2005130121A (ja) * | 2003-10-22 | 2005-05-19 | Japan Telecom Co Ltd | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
-
2006
- 2006-03-14 JP JP2006068963A patent/JP4670690B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000090031A (ja) * | 1998-09-11 | 2000-03-31 | Takeshi Ishii | ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2005130121A (ja) * | 2003-10-22 | 2005-05-19 | Japan Telecom Co Ltd | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007249348A (ja) | 2007-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9374225B2 (en) | Document de-registration | |
| US9584535B2 (en) | System and method for real time data awareness | |
| US8762386B2 (en) | Method and apparatus for data capture and analysis system | |
| US9001661B2 (en) | Packet classification in a network security device | |
| Casey | Network traffic as a source of evidence: tool strengths, weaknesses, and future needs | |
| EP2633646B1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
| US7644283B2 (en) | Media analysis method and system for locating and reporting the presence of steganographic activity | |
| Hunt et al. | Network forensics: an analysis of techniques, tools, and trends | |
| JP2016513944A (ja) | ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| JP4670690B2 (ja) | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム | |
| Qureshi et al. | Network Forensics: A Comprehensive Review of Tools and Techniques | |
| Girija Devi et al. | Security breach and forensics in intelligent systems | |
| Shyry | Efficient identification of bots by K-means clustering | |
| JP5966076B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| Ghosh et al. | Research on packet inspection techniques | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| JP6105792B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP2017118484A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| Treurniet | Detecting low-profile scans in tcp anomaly event data | |
| JP6063593B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| Hesse et al. | Network based intrusion detection to detect steganographic communication channels-on the example of images | |
| CN114969739A (zh) | 一种基于时间线的网络攻击溯源分析方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080310 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080603 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100421 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100621 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100621 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100621 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100812 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101221 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110103 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4670690 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140128 Year of fee payment: 3 |