JP4877145B2 - 通信装置を制御するプログラム及び通信装置 - Google Patents
通信装置を制御するプログラム及び通信装置 Download PDFInfo
- Publication number
- JP4877145B2 JP4877145B2 JP2007210019A JP2007210019A JP4877145B2 JP 4877145 B2 JP4877145 B2 JP 4877145B2 JP 2007210019 A JP2007210019 A JP 2007210019A JP 2007210019 A JP2007210019 A JP 2007210019A JP 4877145 B2 JP4877145 B2 JP 4877145B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- user agent
- client
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Description
本発明は、不正な通信(以下、不正通信と呼ぶ。)を検知する技術に関する。
不正通信を実現する技術として、ウェブサーバーとクライアントの間でデータをやり取りする際に使われるハイパーテキスト トランスファー プロトコル(HTTP)を利用する方法がある。HTTPは、クライアントがウェブサーバーにアクセスするときに使用するものであるため、不正通信を防ぐシステムであるファイアウォールにおいても通信が許容されている。このため、HTTPを利用することでファイアウォールを越えて不正通信が実現されるという問題がある。不正通信の手順は公開されていないため、その手順は不明である。しかし、HTTPに含まれるユーザエージェント(User−Agent)の特徴に着目して不正通信かどうかを類推することができる。ユーザエージェントは、クライアントがウェブページを閲覧するときに使用するソフトウェアであるブラウザの種類を表す。ユーザエージェントは、クライアントが任意に設定できる。しかし、多くの場合、ユーザエージェントにはクライアントが生成した以下の情報が設定されている。それらは、偽装するブラウザの名称と偽装するブラウザとの関係、本物のブラウザの名称、オペレーティングシステム(OS)の名称である。このため、ユーザエージェントは、何百種類もあり、同じブラウザであっても異なる場合がある。以下にHTTPを利用した正当な通信と不正な通信におけるユーザエージェントの特徴を説明する。これらの特徴は、受信したパケットや受信したパケットを記憶した通信ログから類推したものである。
HTTPを利用した正当な通信の場合、同じウェブサーバーに複数のクライアントがアクセスする。このため、ウェブサーバーを表すユニフォーム リソース ロケーター(URL)毎にユーザエージェントの種類を数えた場合、その数は自然と増えていくという特徴がある。
一方、HTTPを利用した不正な通信の場合、特定のウェブサーバーに特定のクライアントがアクセスする。このため、URL毎にユーザエージェントの種類を数えても、その数は増えないという特徴がある。
また、不正通信を検知する技術として下記のものがある。
特開2006−279930号公報
受信したパケットから類推される特徴に基づいて不正通信を検知する。
上記の課題を解決するための第一の手段として、データを提供する複数の第一装置とデータを取得する複数の第二装置の間をネットワークを介して接続された通信装置を制御するプログラムにおいて、通信装置に、複数の第二装置からのパケットから宛先情報と第二装置で使用されるソフトウェアのソフトウェア情報を抽出し、宛先情報に基づいて第一装置毎に第二装置で使用されるソフトウェア情報を記録する手順を実行させるプログラムを提供する。
上記の課題を解決するための第二の手段として、データを提供する複数の第一装置とデータを取得する複数の第二装置の間をネットワークを介して接続された通信装置を制御するプログラムにおいて、通信装置に、複数の第二装置からのパケットから宛先情報と第二装置で使用されるソフトウェアのソフトウェア情報を抽出し、第二装置で使用されるソフトウェア情報に基づいて第二装置毎に宛先情報を記録する手順を実行させるプログラムを提供する。
上記の課題を解決するための第三の手段として、宛先情報とソフトウェア情報は、第一装置と第二装置がネットワーク上の仮想通信路上で交換するデータを制御する制御情報上に存在し、制御情報はパケットに含まれるものであることを特徴する上記のプログラムを提供する。
上記の課題を解決するための第四の手段として、記録する手順により記録した情報を宛先情報の数又はソフトウェア情報の数に基づいて通信装置に接続された装置に送信することを特徴とするプログラムを提供する。
上記の課題を解決するための第五の手段として、データを提供する複数の第一装置とデータを取得する複数の第二装置の間をネットワークを介して接続された通信装置において、複数の第二装置からのパケットから宛先情報と第二装置で使用されるソフトウェアのソフトウェア情報を抽出し、宛先情報に基づいて第一装置毎に第二装置で使用されるソフトウェア情報を記録する制御部を備えたことを特徴とする通信装置を提供する。
上記の課題を解決するための第六の手段として、データを提供する複数の第一装置とデータを取得する複数の第二装置の間をネットワークを介して接続された通信装置において、複数の第二装置からのパケットから宛先情報と第二装置で使用されるソフトウェアのソフトウェア情報を抽出し、第二装置で使用されるソフトウェア情報に基づいて第二装置毎に宛先情報を記録する制御部を備えたことを特徴とする通信装置を提供する。
受信したパケットや受信したパケットを記憶した通信ログから類推される特徴に基づいて不正通信を検知できる効果がある。また、検知した不正通信に係る情報をネットワークの管理者に通知できる効果がある。
以下に図面を用いて本発明の実施形態を説明する。先ず、本実施例が対象とする不正通信の例を説明し、その後、その不正通信を検知する方法を具体的に説明する。
[1.不正通信の例]
図1は、本実施形態が対象とする不正通信の例である。Aクライアント20、Bクライアント21、Cクライアント22、Dクライアント23は、いずれも不正な通信を行うクライアントである。また、それぞれのクライアントにインストールされているブラウザが持つユーザエージェントは、全て同じである。サーバー1は、不正な通信を行うウェブサーバーである。サーバー1がクライアントから受信したHTTPパケット30に基づいてユーザエージェントの種類を数えた場合、ユーザエージェントの種類は全て同じであるため、その数は増えないという特徴がある。この特徴は、不正通信は、特定のクライアントと特定のサーバー間で行われるために表れるものである。また、この特徴は、上述の説明の通り、正当な通信では表れない。図2において、不正通信は、HTTPに係る領域に不正通信を行うための不正通信情報を設定したパケットをクライアント6とサーバー1間でやり取りすることにより実現していると類推される。この類推は、受信したパケットや受信したパケットを記憶した通信ログに基づいて行ったものである。また、先に説明したユーザエージェントやURLもパケット中のHTTPに係る領域に含まれる情報である。また、クライアント6とサーバー1の間に位置するファイアウォール3やプロクシ5は、正規のクライアントのウェブアクセスを許容するためにHTTPを許容する設定になっている。このため、クライアント6とサーバー1は不正通信情報を含むパケットを自由にやり取りすることができる。従って、上述の不正通信の特徴を検出できる通信装置をクライアント1とサーバー6の間に設置することで不正通信を見つけることができる。
図1は、本実施形態が対象とする不正通信の例である。Aクライアント20、Bクライアント21、Cクライアント22、Dクライアント23は、いずれも不正な通信を行うクライアントである。また、それぞれのクライアントにインストールされているブラウザが持つユーザエージェントは、全て同じである。サーバー1は、不正な通信を行うウェブサーバーである。サーバー1がクライアントから受信したHTTPパケット30に基づいてユーザエージェントの種類を数えた場合、ユーザエージェントの種類は全て同じであるため、その数は増えないという特徴がある。この特徴は、不正通信は、特定のクライアントと特定のサーバー間で行われるために表れるものである。また、この特徴は、上述の説明の通り、正当な通信では表れない。図2において、不正通信は、HTTPに係る領域に不正通信を行うための不正通信情報を設定したパケットをクライアント6とサーバー1間でやり取りすることにより実現していると類推される。この類推は、受信したパケットや受信したパケットを記憶した通信ログに基づいて行ったものである。また、先に説明したユーザエージェントやURLもパケット中のHTTPに係る領域に含まれる情報である。また、クライアント6とサーバー1の間に位置するファイアウォール3やプロクシ5は、正規のクライアントのウェブアクセスを許容するためにHTTPを許容する設定になっている。このため、クライアント6とサーバー1は不正通信情報を含むパケットを自由にやり取りすることができる。従って、上述の不正通信の特徴を検出できる通信装置をクライアント1とサーバー6の間に設置することで不正通信を見つけることができる。
[2.全体構成図]
図2は、本発明の実施形態に係る通信システムの全体構成図である。実施形態に係る通信システムは、サーバー1とインターネット2、ファイアウォール3、イントラネット4、プロクシ5、クライアント6、通信装置7、通信監視装置8で構成される。
図2は、本発明の実施形態に係る通信システムの全体構成図である。実施形態に係る通信システムは、サーバー1とインターネット2、ファイアウォール3、イントラネット4、プロクシ5、クライアント6、通信装置7、通信監視装置8で構成される。
サーバー1は、HTTPに対応した情報処理装置であり、不正通信を試みる利用者が操作するクライアント6の通信先となる装置である。サーバー1は、第一装置と称することもある。インターネット2は、個々の情報処理装置を結んで情報をやり取りする世界的規模のネットワークシステムである。ファイアウォール3は、不正なパケットがイントラネット4に侵入することを防ぐシステムである。イントラネット4は、インターネット2の標準技術を用いて企業内に構築されたネットワークである。プロクシ5は、直接インターネット2に接続できないイントラネット4に接続されている情報処理装置に代わって、「代理」としてインターネット2との接続を行なう情報処理装置である。クライアント6は、HTTPに対応した情報処理装置であり、不正通信を試みる利用者が操作する装置である。クライアント6は、第二装置と称することもある。通信装置7は、サーバー1とクライアント6の間で行われる不正通信を検知するための装置である。通信装置7は、不正通信を検知した場合、その旨を表す検知情報を通信監視装置8に通知する。通信監視装置8は、通信装置7が送信した検知情報を受信するための装置である。
[3.通信装置のハードウェア構成図]
図3は、通信装置7のハードウェア構成の一例を示すブロック図である。通信装置7は、セントラル プロセッシング ユニット(CPU)71とランダム アクセス メモリー(RAM)72、リード オンリー メモリー(ROM)73、通信部74、記憶領域75で構成される。
図3は、通信装置7のハードウェア構成の一例を示すブロック図である。通信装置7は、セントラル プロセッシング ユニット(CPU)71とランダム アクセス メモリー(RAM)72、リード オンリー メモリー(ROM)73、通信部74、記憶領域75で構成される。
CPU71は、通信プログラム751を実行する装置である。RAM72は、通信プログラム751を実行するためのデータや通信プログラム751が一時的に必要とするデータを記憶する装置である。上述の一時的に必要とするデータを記憶する領域は、一時記憶領域と称することがある。ROM73は、一度書き込まれたデータを記憶する装置である。ROM73は、通信プログラム751を記憶している場合もある。通信部74は、サーバー1やファイアウォール3、プロクシ5、クライアント6、通信監視装置8との通信を担当する装置である。通信部74は、インターネット2の標準技術であるトランスミッション コントロール プロトコル(TCP)/インターネット プロトコル(IP)やHTTPなどのプロトコルに対応したものである。記憶領域75は、通信プログラム751と不正サーバー検知用データ752、不正クライアント検知用データ753を記憶する領域である。記憶領域75は、図示していないハードディスクなどの外部記憶装置の中に存在する領域である。通信プログラム751は、通信ログから不正通信に係るパケットを検知するように通信装置7を動作させる命令を記述したものである。不正サーバー検知用データ752は、不正な通信を行うサーバーを検知するために通信プログラム751が使用するデータである。不正クライアント検知用データ753は、不正な通信を行うクライアントを検知するために通信プログラム751が使用するデータである。
[4.不正サーバー検知用データの構成図]
図4は、図3の不正サーバー検知用データ752を表す。不正サーバー検知用データ752は、CPU71が通信プログラム751を実行するときにRAM72上に生成する。不正サーバー検知用データ752の構成要素は、アクセス先7521とユーザエージェント7522である。アクセス先7521は、クライアントがアクセスする先であるサーバーを表す。アクセス先7521は、インターネット上に存在するリソースの場所を指し示す記述方式であるURLで表現される。ユーザエージェント7522は、クライアントにインストールされているブサウザのブラウザの種類を表す。ユーザエージェントは、クライアントが任意に設定できる。しかし、多くの場合、ユーザエージェントにはクライアントが生成した以下の情報が設定されている。それらは、偽装するブラウザの名称と偽装するブラウザとの関係、本物のブラウザの名称、OSの名称である。ユーザエージェント7522は、ソフトウェア情報と称することもある。
図4は、図3の不正サーバー検知用データ752を表す。不正サーバー検知用データ752は、CPU71が通信プログラム751を実行するときにRAM72上に生成する。不正サーバー検知用データ752の構成要素は、アクセス先7521とユーザエージェント7522である。アクセス先7521は、クライアントがアクセスする先であるサーバーを表す。アクセス先7521は、インターネット上に存在するリソースの場所を指し示す記述方式であるURLで表現される。ユーザエージェント7522は、クライアントにインストールされているブサウザのブラウザの種類を表す。ユーザエージェントは、クライアントが任意に設定できる。しかし、多くの場合、ユーザエージェントにはクライアントが生成した以下の情報が設定されている。それらは、偽装するブラウザの名称と偽装するブラウザとの関係、本物のブラウザの名称、OSの名称である。ユーザエージェント7522は、ソフトウェア情報と称することもある。
[5.不正クライアント検知用データの構成図]
図5は、図3の不正クライアント検知用データ753を表す。不正クライアント検知用データ753は、CPU71が通信プログラム751を実行するときにRAM72上に生成する。不正クライアント検知用データ753の構成要素は、ユーザエージェント7531とアクセス先7532である。ユーザエージェント7531は、図4のユーザエージェント7522と同じものである。アクセス先7532は、図4のアクセス先7521と同じものである。
図5は、図3の不正クライアント検知用データ753を表す。不正クライアント検知用データ753は、CPU71が通信プログラム751を実行するときにRAM72上に生成する。不正クライアント検知用データ753の構成要素は、ユーザエージェント7531とアクセス先7532である。ユーザエージェント7531は、図4のユーザエージェント7522と同じものである。アクセス先7532は、図4のアクセス先7521と同じものである。
[6.パケット構成図]
図6は、通信装置7がサーバー1又はファイアウォール3、プロクシ5、クライアント6から受信するパケットを表す。その情報要素は、ディーエスティ マック41とエスアールシー マック42、タイプ43、バージョン+ヘッダーレングス44、テーオーエス45、データレングス46、アイディー47、フラグメント48、ティーティーエル49、プロトコル50、ヘッダーチェックサム51、エスアールシーアイピー52、ディーエスティーアイピー53、エスアールシーポート54、ディーエスティーポート55、シーケンスナンバー56、アックナンバー57、データオフセット+テーシーピーフラグ58、ウィンドウサイズ59、チェックサム60、アージェントポインター61、HTTPメッセージ62である。ディーエスティ マック41からタイプ43は、MACヘッダーを表す。バージョン+ヘッダーレングス44からディーエスティーアイピー53は、IPヘッダーを表す。エスアールシーポート54からアージェントポインター61は、TCPヘッダーを表す。
図6は、通信装置7がサーバー1又はファイアウォール3、プロクシ5、クライアント6から受信するパケットを表す。その情報要素は、ディーエスティ マック41とエスアールシー マック42、タイプ43、バージョン+ヘッダーレングス44、テーオーエス45、データレングス46、アイディー47、フラグメント48、ティーティーエル49、プロトコル50、ヘッダーチェックサム51、エスアールシーアイピー52、ディーエスティーアイピー53、エスアールシーポート54、ディーエスティーポート55、シーケンスナンバー56、アックナンバー57、データオフセット+テーシーピーフラグ58、ウィンドウサイズ59、チェックサム60、アージェントポインター61、HTTPメッセージ62である。ディーエスティ マック41からタイプ43は、MACヘッダーを表す。バージョン+ヘッダーレングス44からディーエスティーアイピー53は、IPヘッダーを表す。エスアールシーポート54からアージェントポインター61は、TCPヘッダーを表す。
ディーエスティ マック41は、このパケットの宛先のMACアドレスを表す。ここでいうMACとは、メディア アクセス コントロールを指す。エスアールシー マック42は、このパケットの送信元のMACアドレスを表す。タイプ43は、プロトコルの種類を表す。バージョン+ヘッダーレングス44は、IPプロトコルのバージョンとIPヘッダーの長さを表す。テーオーエス45は、パケット送信時の優先度を表す。データレングス46は、パケット全体の長さを表す。データレングス46は、パケットの長さを表す長さ情報である。アイディー47は、個々のパケットを識別する番号を表す。フラグメント48は、パケットが分割されたものかどうかを表す。ティーティーエル49は、パケットの生存時間を表す。プロトコル50は、プロトコルの番号を表す。ヘッダーチェックサム51は、誤り検出用のデータを表す。但し、ヘッダーチェックサム51は現在使用されていない。エスアールシーアイピー52は、このパケットの送信元のIPアドレスを表す。ディーエスティーアイピー53は、このパケットの宛先のIPアドレスを表す。エスアールシーポート54は、このパケットの送信元のポート番号を表す。ディーエスティーポート55は、このパケットの宛先のポート番号を表す。エスアールシーアイピー52及びディーエスティーアイピー53、エスアールシーポート54、ディーエスティーポート55は、識別情報になる。シーケンスナンバー56は、受信側が送信データを識別する番号を表す。アックナンバー57は、送信側が受信データを識別する番号を表す。データオフセット+テーシーピーフラグ58は、データが格納されている位置と通信制御情報(テーシーピーフラグ)を表す。通信制御情報は、セッションを確立する確立情報又はセッションを切断する切断情報になる。ここでいうデータとは、HTTPメッセージ62を指す。また、通信制御情報とは、通信確立を表す確立情報「SYN」や受信側からの応答を表す応答情報「ACK」、強制終了を表す強制終了情報「RST」、切断を表す切断情報「FIN」などを指す。ウィンドウサイズ59は、受信確認を待たずにまとめて送信可能なデータ量を表す。チェックサム60は、誤りの有無を検査するためのデータを表す。アージェントポインター61は、緊急に処理すべきデータの位置を表す。HTTPメッセージ62は、HTTPで使用するデータを表す。HTTPメッセージ62は、制御情報になる。メソッド情報63は、HTTP通信で行う処理を表す。URL64は、宛先となるサーバーを表す。ユーアールエル64は、宛先情報と称する場合もある。ポート番号65は、複数の相手と同時に接続を行なうためにIPアドレスの下に設けられたサブアドレスを表す。HTTPのバージョン66は、HTTPの型を表す。ユーザエージェント67は、クライアントにインストールされているブラウザの種類を表す。ユーザエージェント67は、ソフトウェア情報になる。
[7.不正通信検知処理のフローチャート(その1)]
図7は、通信装置7が不正通信を行うサーバーを検知する際に使用する際の手順を表したフローチャートである。通信装置7のCPU71は、通信プログラム751を実行することにより、不正通信を行うサーバーを検知する処理を実現する。
図7は、通信装置7が不正通信を行うサーバーを検知する際に使用する際の手順を表したフローチャートである。通信装置7のCPU71は、通信プログラム751を実行することにより、不正通信を行うサーバーを検知する処理を実現する。
S301において、CPU71は、通信ログを取得する。ここでいう通信ログとは、通信装置7がサーバー1又はファイアウォール3、プロクシ5、クライアント6のいずれかから受信したパケットをそのパケットを受信した日時と共に記憶領域75に蓄積したものである。パケットは、図6で説明したものと同じである。上述の日時は、図示していないが通信装置7が持つ時計管理機能から取得する。この通信ログの取得契機は、通信装置7の製造元又は利用者が任意に設定できる。CPU71は、記憶領域75から通信ログを取得し、取得した通信ログを一時記憶領域に格納する。
S304において、CPU71は、S301で取得した通信ログに関係するパケットからHTTPメッセージを抽出する。この抽出は、CPU71が、HTTPメッセージ62の開始アドレスと最終アドレスを算出し、開始アドレスから終了アドレスの間のデータを抜き出す。開始アドレスは、14バイトにバージョン+ヘッダーレングス44とデータオフセット+テーシーピーフラグ58と1バイトを加えて算出する。終了アドレスは、14バイトにデータレングス46を加えて算出する。14バイトは、ディーエスティ マック41とエスアールシー マック42、タイプ43を合計した長さである。そして、CPU71は、抜き出したHTTPメッセージを一時記憶領域に格納する。また、抜き出したHTTPメッセージの数をHTTPメッセージ数として一時記憶領域に格納する。
S305において、CPU71は、S304で抽出したHTTPメッセージ62中のユーアールエル64を抽出する。その方法は、以下の通りである。第一に、CPU71は、上述のパケットから、パケットの先頭が「ゲット(GET)」、「ポスト(POST)」、「ヘッド(HEAD)」のいずれかで始まるパケットを抽出する。GETは、クライアントがサーバーの持つ情報を取り出すための命令である。POSTは、クライアントからサーバーに情報を送信するための命令である。HEADは、クライアントがサーバーの持つ情報が持つ属性情報を取り出すための命令である。第二に、第一の処理で抽出したHTTPメッセージ62からユーアールエル64を抽出する。ユーアールエル64はアクセス先と称することもある。そして、CPU71は、抽出したユーアールエル64を一時記憶領域に格納する。
S306において、CPU71は、S304で抽出したHTTPメッセージ62中のユーザエージェント67を抽出する。そして、CPU71は、抽出したユーザエージェント67を一時記憶領域に格納する。
S307において、CPU71は、ユーアールエル64とユーザエージェント67を図4の不正サーバー検知用データ752に記録する。ユーアールエル64は、S305で抽出したものである。ユーザエージェント67は、S306で抽出したものである。CPU71は、ユーアールエル64毎にユーザエージェント67を記録する。この記録は、ユーアールエル64毎にユーザエージェント67の種類を数えるものである。この記録は、具体的には以下のように行う。ユーアールエル64がアクセス先7521に存在しない場合、CPU71は、ユーアールエル64をアクセス先7521に格納する。そして、CPU71は、ユーザエージェント67をそのアクセス先7521に対応するユーザエージェント7522に格納する。ユーアールエル64がアクセス先752に存在する場合、CPU71は、ユーアールエル64をアクセス先7521に格納しない。そして、ユーザエージェント67がそのユーアールエル64に対応するユーザエージェント7522に存在しない場合、CPU71は、ユーザエージェント67をユーザエージェント7522に格納する。ユーザエージェント67がそのユーアールエル64に対応するユーザエージェント7522に存在する場合、CPU71は、ユーザエージェント67をユーザエージェント7522に格納しない。最後に、CPU71はS303で格納したHTTPメッセージ数を一つ減算する。
S308において、CPU71は、未処理のHTTPメッセージがあるかどうかを判別する。この判別は、CPU71が一時記憶領域中のHTTPメッセージ数が0かどうかを判別する。この判別の結果、HTTPメッセージ数が0の場合、CPU71はS310の処理を行う。この判別の結果、HTTPメッセージ数が0でない場合、S305の処理を行う。
S310において、CPU71は、記録データを含むパケットを生成し、そのパケットを通信監視装置8に送信する。記録データは、不正サーバー検知用データ752である。CPU71は、記憶領域75から不正サーバー検知用データ752を抽出する。CPU71は、記憶領域75に格納されている通信監視装置8のIPアドレスを抽出する。CPU71は、不正サーバー検知用データ752と通信監視装置8のIPアドレスを含むパケットを生成する。CPU71は、生成したパケットを通信監視装置8に向けて送信する。監視装置8の利用者は、通知された不正サーバー検知用データ752から不正通信に関連するサーバーの候補を見つける。不正通信に関連するサーバーは、他のものに比較してユーザエージェントの種類の数が少ないURLで特定されるサーバーである。
また、記録データの出力は、CPU71がユーザエージェントの種類の数が閾値以下のURLに関連する不正通信を意味するメッセージを生成し、通信監視装置8に送信しても良い。ここでいう閾値は、通信装置7の製造元又は利用者が任意に設定したものである。閾値は、例えば1である。この値は、記録した情報の中で不正な通信を行っている可能性の一番高いURLを区別するために採用したものである。CPU71は、通信ログからセッション開始時間と、URL、クライアントIPアドレスを抽出する。セッション開始時間は、閾値以下の出現回数を検知したパケットのセッションを確立した日時である。この日時は、閾値以下の出現回数を検知したパケットの直前のテーシーピーフラグに確立情報「SYN」が設定されたパケットを受信した日時である。URLとクライアントIPアドレスは、閾値以下の出現回数を検知したパケットのHTTPメッセージ62の中に存在する。CPU71は、検知理由として設定する「サイトにアクセスするUser−Agentが特殊である」というデータを生成する。CPU71は、記憶領域75に格納されている通信監視装置8のIPアドレスを抽出する。CPU71は、セッション開始時間と、URL、クライアントIPアドレス、検知理由を含むパケットを生成する。CPU71は、生成したパケットを通信監視装置8に向けて送信する。
図9は、不正な通信を意味するメッセージの例を表す。セッション開始時間41は、閾値以下の出現回数を検知したパケットの直前に存在するテーシーピーフラグに確立情報「SYN」が設定されたパケットを受信した日時である。ユーアールエル64は、閾値以下の出現回数を検知したパケットのHTTPメッセージ62の中に存在するURLを表す。クライアントIPアドレス43は、閾値以上の出現回数を検知したパケットのHTTPメッセージ62の中に存在するクライアントIPアドレスを表す。検知理由44は、不正な通信として検知した理由を表す。
[8.不正通信検知処理のフローチャート(その2)]
図8は、通信装置7が不正通信を行うクライアントを検知する際に使用する際の手順を表したフローチャートである。通信装置7のCPU71は、通信プログラム751を実行することにより、不正通信を行うクライアントを検知する処理を実現する。
図8は、通信装置7が不正通信を行うクライアントを検知する際に使用する際の手順を表したフローチャートである。通信装置7のCPU71は、通信プログラム751を実行することにより、不正通信を行うクライアントを検知する処理を実現する。
S311からS316処理は、図7のS301からS306の処理と同じである。
S317において、CPU71は、ユーアールエル64とユーザエージェント67を図5の不正クライアント検知用データ753に記録する。ユーアールエル64は、S305で抽出したものである。ユーザエージェント67は、S306で抽出したものである。ユーザエージェント67毎にユーアールエル64を記録する。ユーザエージェント67毎にユーアールエル64の種類を数えるものである。この記録は、具体的には以下のように行う。ユーザエージェント67がユーザエージェント7531に存在しない場合、CPU71は、ユーザエージェント67をユーザエージェント7531に格納する。そして、CPU71は、ユーアールエル64をそのユーザエージェント67に対応するアクセス先7532に格納する。ユーザエージェント67がユーザエージェント7531に存在する場合、CPU71は、ユーザエージェント67をユーザエージェント7531に格納しない。そして、ユーアールエル64がそのユーザエージェント67に対応するアクセス先7532に存在した場合、CPU71は、ユーアールエル64をアクセス先7532に格納する。ユーアールエル64がそのユーザエージェント67に対応するアクセス先7532に存在する場合、CPU71は、ユーアールエル64をアクセス先7532に格納しない。最後に、CPU71はS313で格納したHTTPメッセージ数を一つ減算する。
S318の処理は、図7のS308の処理と同じである。
S320において、CPU71は、記録データを含むパケットを生成し、そのパケットを通信監視装置8に送信する。記録データは、不正クライアント検知用データ753である。CPU71は、記憶領域75から不正クライアント検知用データ753を抽出する。CPU71は、記憶領域75に格納されている通信監視装置8のIPアドレスを抽出する。CPU71は、不正クライアント検知用データ753と通信監視装置8のIPアドレスを含むパケットを生成する。CPU71は、生成したパケットを通信監視装置8に向けて送信する。監視装置8の利用者は、通知された不正クライアント検知用データ753から不正通信に関連するクライアントの候補を見つける。不正通信に関連するクライアントは、他のものに比較してユーザエージェントの種類の数が少ないURLで特定されるクライアントである。
また、記録データの出力は、URLの数が閾値以下のユーザエージェントに関連する不正通信を意味するメッセージを生成し、通信監視装置8に通知しても良い。ここでいう閾値は、通信装置7の製造元又は利用者が任意に設定したものである。閾値は、例えば1である。この値は、記録した情報の中で不正な通信を行っている可能性の一番高いユーザエージェントを区別するために採用したものである。このメッセージは、図7のS310のメッセージと同等のものである。異なるのは、検知理由の内容だけである。ここでいう検知理由は、アクセスするクライアントのUser−Agentが特殊であるというものである。
以上、本発明を実施例に基づいて説明したが、本発明は前記の実施例に限定されるものではなく、特許請求の範囲に記載した構成を変更しない限りどのようにでも実施することができる。
1 サーバー
2 インターネット
3 FireWall(ファイアウォール)
4 イントラネット
5 Proxy(プロクシ)
6 クライアント
7 通信装置
8 通信監視装置
2 インターネット
3 FireWall(ファイアウォール)
4 イントラネット
5 Proxy(プロクシ)
6 クライアント
7 通信装置
8 通信監視装置
Claims (2)
- データを提供する複数の第一装置と該データを取得する複数の第二装置にネットワークを介して接続し、該複数の第二装置から送信された複数のパケットを、該パケットのアクセス先情報に関連付けて記憶する記憶部を有する通信装置を制御するプログラムにおいて、該通信装置に、
記憶された該複数の第二装置から送信された該複数のパケットを読み出し、
読み出した該それぞれのパケットに含まれているHTTPメッセージをそれぞれ抽出し、
抽出したそれぞれの該HTTPメッセージに含まれているアクセス先情報とユーザエージェントをそれぞれ抽出し、
抽出した該アクセス先情報毎に、対応する該ユーザエージェントの種類の数を計数し、
該ユーザエージェントの種類の数が一となる該アクセス先情報を含むパケットを不正通信であると決定する
処理を実行させるプログラム。 - データを提供する複数の第一装置と該データを取得する複数の第二装置にネットワークを介して接続された通信装置であって、
該複数の該第二装置から送信された複数のパケットに含まれるアクセス先情報を、該複数のパケットにそれぞれ関連づけて記憶する記憶部と、
記憶された該複数の該第二装置から送信された該複数のパケットを読み出し、読み出した該複数のパケットに含まれるHTTPメッセージをそれぞれ抽出し、抽出したそれぞれの該HTTPメッセージに含まれるアクセス先情報とユーザエージェントをそれぞれ抽出し、抽出した該アクセス先情報毎に、対応する該ユーザエージェントの種類の数を計数し、該ユーザエージェントの種類の数が一となる該アクセス先情報を含むパケットを不正通信であると決定する制御部
とを有することを特徴とする通信装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007210019A JP4877145B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置を制御するプログラム及び通信装置 |
| US12/222,114 US8490173B2 (en) | 2007-08-10 | 2008-08-01 | Unauthorized communication detection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007210019A JP4877145B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置を制御するプログラム及び通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009044665A JP2009044665A (ja) | 2009-02-26 |
| JP4877145B2 true JP4877145B2 (ja) | 2012-02-15 |
Family
ID=40383406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007210019A Active JP4877145B2 (ja) | 2007-08-10 | 2007-08-10 | 通信装置を制御するプログラム及び通信装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8490173B2 (ja) |
| JP (1) | JP4877145B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2506184A1 (en) * | 2006-03-29 | 2012-10-03 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
| EP2104261B1 (en) * | 2008-03-17 | 2020-10-07 | III Holdings 11, LLC | Improved HARQ process management |
| JP5509796B2 (ja) * | 2009-11-02 | 2014-06-04 | コニカミノルタ株式会社 | 通信システム、通信装置、通信制御方法および通信制御プログラム |
| WO2014129587A1 (ja) * | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| US9356953B2 (en) * | 2013-10-24 | 2016-05-31 | Vonage Network Llc | System and method to prevent spoofed communication through out-of-band verification |
| JP6421436B2 (ja) * | 2014-04-11 | 2018-11-14 | 富士ゼロックス株式会社 | 不正通信検知装置及びプログラム |
| US9591021B2 (en) * | 2014-08-20 | 2017-03-07 | Mcafee, Inc. | Zero day threat detection using host application/program to user agent mapping |
| CN114006832B (zh) * | 2021-10-08 | 2023-03-21 | 福建天泉教育科技有限公司 | 一种检测客户端与服务端之间存在代理服务的方法及终端 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5351231A (en) * | 1992-04-13 | 1994-09-27 | Cirrus Logic, Inc. | Programmable mark detection and windowing for optical disk controllers |
| US7337910B2 (en) * | 2000-10-04 | 2008-03-04 | Verisign, Inc. | Methods and devices for responding to request for unregistered domain name to indicate a predefined type of service |
| US7363278B2 (en) * | 2001-04-05 | 2008-04-22 | Audible Magic Corporation | Copyright detection and protection system and method |
| US7246376B2 (en) * | 2001-05-03 | 2007-07-17 | Nortel Networks Limited | Method and apparatus for security management in a networked environment |
| JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
| US7525919B2 (en) * | 2003-09-01 | 2009-04-28 | Nippon Telegraph And Telephone Corporation | Packet communication method with increased traffic engineering efficiency |
| JP4484663B2 (ja) * | 2004-02-02 | 2010-06-16 | 株式会社サイバー・ソリューションズ | 不正情報検知システム及び不正攻撃元探索システム |
| US7590290B2 (en) * | 2004-07-21 | 2009-09-15 | Canon Kabushiki Kaisha | Fail safe image processing apparatus |
| JP2006279930A (ja) * | 2005-03-01 | 2006-10-12 | Nec Corp | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 |
| JP4161989B2 (ja) * | 2005-07-08 | 2008-10-08 | 沖電気工業株式会社 | ネットワーク監視システム |
| US8689326B2 (en) * | 2006-01-16 | 2014-04-01 | Cyber Solutions Inc. | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic |
| EP2506184A1 (en) * | 2006-03-29 | 2012-10-03 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
-
2007
- 2007-08-10 JP JP2007210019A patent/JP4877145B2/ja active Active
-
2008
- 2008-08-01 US US12/222,114 patent/US8490173B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US8490173B2 (en) | 2013-07-16 |
| US20090055919A1 (en) | 2009-02-26 |
| JP2009044665A (ja) | 2009-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5018329B2 (ja) | 通信装置を制御するプログラム及び通信装置 | |
| JP4877145B2 (ja) | 通信装置を制御するプログラム及び通信装置 | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| JP5003556B2 (ja) | 通信検知装置、通信検知方法、及び通信検知プログラム | |
| WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| US8543807B2 (en) | Method and apparatus for protecting application layer in computer network system | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| CN103401836A (zh) | 一种用于判断网页是否被isp劫持的方法与设备 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| KR101463873B1 (ko) | 정보 유출 차단 장치 및 방법 | |
| CN108418844A (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| JP2008205954A (ja) | 通信情報監査装置、方法及びプログラム | |
| CN105812324A (zh) | Idc信息安全管理的方法、装置及系统 | |
| JP5035006B2 (ja) | 通信装置の制御方法及び通信装置 | |
| JP2011138189A (ja) | 通信装置及びプログラム | |
| CN108551461A (zh) | 一种检测waf部署的方法、计算waf支持ipv6程度的方法 | |
| CN113922992A (zh) | 一种基于http会话的攻击检测方法 | |
| JP4662150B2 (ja) | ファイアウォール装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| KR100647274B1 (ko) | 트래픽 제어를 수행하는 방화벽 시스템 및 상기 시스템의동작 방법 | |
| CN107257327B (zh) | 一种高并发ssl会话管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100517 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110712 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110912 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111101 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111114 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4877145 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |