JP4905395B2 - 通信監視装置、通信監視プログラム、および通信監視方法 - Google Patents
通信監視装置、通信監視プログラム、および通信監視方法 Download PDFInfo
- Publication number
- JP4905395B2 JP4905395B2 JP2008074342A JP2008074342A JP4905395B2 JP 4905395 B2 JP4905395 B2 JP 4905395B2 JP 2008074342 A JP2008074342 A JP 2008074342A JP 2008074342 A JP2008074342 A JP 2008074342A JP 4905395 B2 JP4905395 B2 JP 4905395B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- session
- communication
- extracted
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信監視装置、通信監視プログラム、および通信監視方法に関し、特に、不正な通信の検出精度を劣化させることなく、処理負荷を低減することができる通信監視装置、通信監視プログラム、および通信監視方法に関する。
従来、インターネットなどのネットワークを介したサーバとクライアントの間の通信においては、例えば正当なアクセス権がない不正なクライアントによるサーバへのアクセスなどの不正な通信を防止することが重要となっている。具体的には、例えば企業などの組織内のLAN(Local Area Network)とインターネットなどの外部ネットワークとの境界にファイアウォールが設けられ、外部とLANの通信を制限するなどの対策が一般的である。
ところで、インターネットを介したサーバとクライアント間のデータの送受信には、HTTP(Hyper Text Transfer Protocol)と呼ばれるプロトコルが用いられることがある。HTTPは、主にクライアントがウェブサーバからウェブページのデータを取得する際などに用いられる。HTTPとして伝送されるデータは、個別に設定されなければ、上述したファイアウォールによっても遮断されることがなく、サーバとクライアント間で自由に送受信される。したがって、悪意があるユーザが不正な伝送路を確立するための制御データをHTTPとして送信することにより、サーバとクライアント間で不正な通信のための伝送路が容易に確立され、不正な通信が行われる危険性がある。このように、遮断されることがないプロトコル(例えばHTTP)を利用した不正な通信のための伝送路の確立は、一般にトンネリングと呼ばれる。
このようなトンネリングを防止するためには、例えば特許文献1および特許文献2などに開示された技術を用いることができる。すなわち、トンネリングの際には、不正な伝送路を確立するための制御データは特定のパターンを含んでいることから、このデータパターンをシグネチャとしてあらかじめ記憶しておき、記憶されたシグネチャと実際に送受信されるパケットとを照合することにより、パケットがトンネリングに利用されているか否かを判断することが可能となる。換言すれば、送受信されるパケットにシグネチャが含まれている場合には、トンネリングが行われていると判断することができる。
しかしながら、上述したシグネチャを用いるトンネリングの検出では、サーバとクライアント間で送受信されるすべてのパケットとシグネチャとの照合を実行する必要があり、不正な通信の有無を監視するための処理負荷が非常に大きいという問題がある。すなわち、サーバとクライアント間で送受信される大部分のパケットは、正当な通信のためのパケットであり、トンネリングなどの不正な通信のためのパケットはごく一部であるにも拘らず、すべてのパケットを監視しなくては不正な通信を検出することができない。したがって、サーバとクライアント間で送受信されるパケットと、あらかじめ記憶されたシグネチャとを照合する処理がすべてのパケットに関して繰り返され、効率の向上には一定の限界がある。
また、一部のパケットをサンプルとして無作為に抽出し、シグネチャとの照合を行うこととすれば、処理負荷を低減することは可能であるものの、不正な通信のためのパケットがサンプルとならなかった場合には、シグネチャと一致する部分がパケットに含まれていないため、不正な通信の検出精度が劣化してしまう。
本発明はかかる点に鑑みてなされたものであり、不正な通信の検出精度を劣化させることなく、処理負荷を低減することができる通信監視装置、通信監視プログラム、および通信監視方法を提供することを目的とする。
上記課題を解決するために、本発明に係る通信監視装置は、所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、前記セッション抽出手段によって抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出手段と、不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段と、前記先頭パケット抽出手段によって抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合手段と、前記照合手段による照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であることを示す監視結果を出力する出力手段とを有する構成を採る。
また、本発明に係る通信監視プログラムは、不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶するメモリを備えたコンピュータによって実行される通信監視プログラムであって、前記コンピュータに、所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、前記先頭パケット抽出ステップにて抽出された先頭パケットと前記メモリによって記憶された不正シグネチャとを照合する照合ステップと、前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップとを実行させるようにした。
また、本発明に係る通信監視方法は、不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段を備えた通信監視装置における通信監視方法であって、所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、前記先頭パケット抽出ステップにて抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合ステップと、前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップとを有するようにした。
これらによれば、セッション内のパケットから制御情報を含む先頭パケットを抽出し、先頭パケットのみに対して不正シグネチャとの照合を実行するため、セッション内のすべてのパケットと不正シグネチャとの照合を実行する必要がなく、処理負荷を低減することができる。また、制御情報を含む先頭パケットに関しては、すべて不正シグネチャとの照合が実行されるため、不正な通信の検出精度を劣化させることがない。
本明細書に開示された通信監視装置、通信監視プログラム、および通信監視方法によれば、不正な通信の検出精度を劣化させることなく、処理負荷を低減することができる。
本発明の骨子は、制御データと情報データからなるメッセージが複数のパケットに分割されて伝送される場合において、制御データを含む先頭パケットを抽出し、抽出された先頭パケットのみに対して不正な通信のデータパターンを示す不正シグネチャとの照合を実行することである。以下、本発明の一実施の形態について、図面を参照しながら詳細に説明する。
図1は、本発明の一実施の形態に係る通信システムの概略構成を示すブロック図である。同図に示す通信システムは、サーバ10、クライアント20、中継装置30、および通信監視装置100を有している。
サーバ10は、ネットワークNに接続されており、ネットワークNを介して複数のクライアント20との間でパケットを送受信する。また、複数のクライアント20は、中継装置30を介してネットワークNに接続されており、サーバ10との間でパケットを送受信する。中継装置30は、例えばルータ、スイッチ、またはファイアウォールなどを含み、サーバ10とクライアント20間で送受信されるパケットを中継する。
ここで、サーバ10およびクライアント20は、互いにアプリケーション層のメッセージを生成してデータを要求したり応答したりするが、このメッセージは、サイズが一定ではないため、このメッセージをTCP/IP(Transmission Control Protocol/Internet Protocol)層の所定サイズのパケットとして送受信している。すなわち、サーバ10およびクライアント20は、通信プロトコルの制御情報を含む制御データと制御情報によって制御する対象となる情報データとからなるメッセージを生成し、生成されたメッセージを1パケットに対応する所定サイズに分割して送信する。
具体的には、図2に示すように、サーバ10およびクライアント20は、それぞれサイズが異なるメッセージを生成し、各メッセージをパケットに分割した上で送信する。図2に示す例では、例えば制御データ#1および情報データ#1からなるメッセージは2パケットに分割して送信されるのに対し、例えば制御データ#4および情報データ#4からなるメッセージは1パケットで送信される。そして、メッセージが複数のパケットに分割して送信される場合には、最初に送信されるパケットにのみ制御データが含まれることになる。以下においては、制御データを含むパケットを先頭パケットという。トンネリングでは、制御データを含む先頭パケットがサーバ10とクライアント20間でやり取りされることにより、不正な伝送路が確立される。
また、本実施の形態に係るパケット構成は、例えば図3のようになっている。すなわち、メッセージを構成する制御データ43および情報データ44に、これらのデータの暗号化に関するSSL(Secure Socket Layer)ヘッダ42が付加され、さらにTCP/IPヘッダ41が付加されている。なお、SSLヘッダ42は暗号化に関するヘッダであるため、データの暗号化が行われない場合には、SSLヘッダ42が付加されていなくても良い。
TCP/IPヘッダ41は、インターネットを介してパケットを送受信するために付加されており、宛先アドレス、送信元アドレス、データ長、Seq番号、Ack番号、および種別などのフィールドを含んでいる。これらのうち、宛先アドレスおよび送信元アドレスは、パケットの宛先および送信元のアドレスを格納するフィールドであり、ここでは、サーバ10またはクライアント20のアドレスが格納されることになる。また、データ長は、パケットに含まれるデータのサイズに関するフィールドであり、SSLヘッダ42、制御データ43、および情報データ44のサイズが格納される。
Seq番号は、サーバ10およびクライアント20の間で確立されるセッションにおいて、送信側から送信された合計のデータ量を示す数値を格納するフィールドである。したがって、サーバ10から送信されたパケットにおいては、Seq番号として、セッション内でサーバ10から送信された合計のデータ量を示す数値が格納され、クライアント20から送信されたパケットにおいては、Seq番号として、セッション内でクライアント20から送信された合計のデータ量を示す数値が格納される。
一方、Ack番号は、サーバ10およびクライアント20の間で確立されるセッションにおいて、受信側から送信された合計のデータ量を示す数値を格納するフィールドである。したがって、サーバ10から送信されたパケットにおいては、Ack番号として、セッション内でクライアント20から送信された合計のデータ量を示す数値が格納され、クライアント20から送信されたパケットにおいては、Ack番号として、セッション内でサーバ10から送信された合計のデータ量を示す数値が格納される。なお、Seq番号およびAck番号のいずれについても、初期値は例外的な数値となる。
種別は、パケットの種別を格納するフィールドであり、セッションの確立を要求するSYNパケット、セッションの切断を要求するFINパケット、またはパケットの受信確認応答であるACKパケットなどのパケットの種別が格納される。
図1に戻って、通信監視装置100は、サーバ10とクライアント20間で送受信されるパケットを取得し、サーバ10とクライアント20間で確立されるそれぞれのセッションごとに不正なメッセージが送受信されているか否かを監視する。このとき、通信監視装置100は、パケットのTCP/IPヘッダ41に含まれるAck番号およびデータ長のフィールドに基づいて先頭パケットを抽出し、抽出された先頭パケットのみに対して不正シグネチャとの照合を実行する。なお、通信監視装置100による通信の監視については、後に詳述する。
次に、本実施の形態に係るサーバ10およびクライアント20の間の通信手順について、具体的に例を挙げながら図4を参照して説明する。図4は、クライアント20がサーバ10に対してセッションの確立を要求し、メッセージを含むパケットを送受信する場合のシーケンス図である。
まず、クライアント20は、サーバ10との間でセッションの確立を要求する際、SYNパケットをサーバ10に対して送信する(ステップS51)。このSYNパケットは、メッセージを含まないため、主にTCP/IPヘッダ41のみから構成されている。そして、SYNパケットは、セッションの最初に送信されるパケットであるため、TCP/IPヘッダ41のSeq番号には初期値が格納されており、Ack番号には数値が格納されていない。ここでは、Seq番号の初期値を0とするが、Seq番号の初期値は、乱数によって設定されても良い。
SYNパケットがサーバ10によって受信されると、サーバ10は、SYNパケットの受信確認応答としてSYN/ACKパケットをクライアント20へ送信する(ステップS61)。このSYN/ACKパケットは、メッセージを含まないため、主にTCP/IPヘッダ41のみから構成されている。そして、SYN/ACKパケットは、セッションにおいてサーバ10から最初に送信されるパケットであるため、TCP/IPヘッダ41のSeq番号には、初期値0が格納されており、Ack番号にはSYNパケットのSeq番号に1を加算した1が格納されている。ここでは、Seq番号の初期値を0とするが、Seq番号の初期値は、乱数によって設定されても良い。
SYN/ACKパケットがクライアント20によって受信されると、クライアント20は、SYN/ACKパケットの受信確認応答としてACKパケットをサーバ10へ送信する(ステップS52)。このACKパケットのSeq番号には、SYN/ACKパケットのAck番号に等しい1が格納されている。また、Ack番号には、SYN/ACKパケットのSeq番号に1を加算した1が格納されている。
ACKパケットの送信後、クライアント20は、メッセージを含むDATAパケットをサーバ10へ送信するが、ここでは、メッセージのサイズが大きいため、メッセージを2つのDATAパケットに分割して送信する(ステップS53、S54)。最初のDATAパケット送信時までは、まだセッション内においてメッセージが送受信されていないため、最初のDATAパケットのSeq番号およびAck番号は、1のままとなる。一方、2つ目のDATAパケットの送信時には、最初のDATAパケットによってデータ長が2のメッセージが送信されているため、Seq番号が2増加して3となる。
2つのDATAパケットがサーバ10によって受信されると、サーバ10は、2つのDATAパケットの受信確認応答としてACKパケットをクライアント20へ送信する(ステップS62)。このACKパケットの送信時までは、まだセッション内においてサーバ10からメッセージが送信されていないため、ACKパケットのSeq番号は、1のままとなる。一方、クライアント20からは、最初のDATAパケットおよび2つ目のDATAパケットによってそれぞれデータ長が2および1のメッセージが送信されているため、ACKパケットのAck番号が3増加して4となる。
ACKパケットの送信後、サーバ10は、例えばウェブページのデータを含むDATAパケットをクライアント20へ送信する(ステップS63)。ここでは、1つのDATAパケットによってデータ長が1のメッセージが送信されており、このDATAパケットの送信時までは、まだセッション内においてサーバ10からメッセージが送信されておらず、クライアント20から送信されたデータ量も変化していないため、DATAパケットのSeq番号は1、Ack番号は4のままとなる。
DATAパケットがクライアント20によって受信されると、クライアント20は、DATAパケットの受信確認応答としてACKパケットをサーバ10へ送信する(ステップS55)。このACKパケット送信時においては、クライアント20から既にデータ長が2および1のメッセージが送信されているとともに、サーバ10から既にデータ長が1のメッセージが送信されているため、ACKパケットのSeq番号は4となり、Ack番号は2となる。
ACKパケットの送信後、クライアント20は、上記と同様なDATAパケットをサーバ10へ送信する(ステップS56)。ここでは、このDATAパケットのデータ長を1とする。DATAパケットがサーバ10によって受信されると、サーバ10は、ACKパケットをクライアント20へ送信する(ステップS64)。ここでは、DATAパケットにより、サーバ10およびクライアント20から送信されたデータ量が前回のパケット送信時よりも増加したため、ACKパケットのSeq番号は2となり、Ack番号は5となる。
このようにサーバ10およびクライアント20は、確立されたセッションを用いてDATAパケットおよびACKパケットを送受信し、セッション内で送受信されたメッセージのデータ量を示すSeq番号およびAck番号が増加していく。そして、クライアント20は、セッションを切断する際には、FINパケットをサーバ10に対して送信する(ステップS57)。FINパケットを受信したサーバ10は、ACKパケットをクライアント20へ送信し(ステップS65)、クライアント20と同様にFINパケットも送信する(ステップS66)。クライアント20は、サーバ10からのFINパケットに対してACKパケットを送信し(ステップS58)、セッションを切断する。このセッション切断処理の間は、メッセージが送受信されることがないため、各パケットのSeq番号およびAck番号は変化しない。
本実施の形態に係る通信監視装置100は、上記のようにサーバ10とクライアント20間のセッション内で送受信されるパケットを取得し、このセッションがトンネリングなどの不正な通信に関するものであるか否かを判定することになる。図5は、本実施の形態に係る通信監視装置100の要部構成を示すブロック図である。同図に示す通信監視装置100は、パケット受信部101、パケット蓄積部102、セッション抽出部103、番号情報取得部104、先頭パケット抽出部105、不要部分除去部106、不正シグネチャ記憶部107、不正シグネチャ照合部108、監視結果出力部109、不正通信検出部110、および不正シグネチャ生成部111を有している。
パケット受信部101は、サーバ10およびクライアント20の間で送受信されるすべてのパケットを受信する。パケット蓄積部102は、パケット受信部101によって受信されたパケットを蓄積する。なお、パケット蓄積部102は、後述する処理において不正な通信が検出されないセッションのパケットについては、宛先アドレスによって指定されるサーバ10またはクライアント20へ送信するものとしても良い。また、パケット蓄積部102は、パケット受信部101によって受信されたパケットの複製を蓄積し、元のパケットをサーバ10またはクライアント20へ送信するものとしても良い。
セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、1つのセッションに相当するパケット群を抽出する。具体的には、セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとを検索して抽出するとともに、これらのSYNパケットおよびFINパケットの間に同一のサーバ10とクライアント20間で送受信されたパケットをすべて抽出する。また、セッション抽出部103は、セッションが強制終了される場合に送受信されるRSTパケットを検索したり、セッションのタイムアウトを検出したりすることも併せて実行し、セッションを抽出しても良い。
番号情報取得部104は、セッション抽出部103によって抽出された1セッション分の各パケットのTCP/IPヘッダからSeq番号、Ack番号、およびデータ長を含む番号情報を取得する。
先頭パケット抽出部105は、番号情報取得部104によって取得されたSeq番号、Ack番号、およびデータ長に基づいて、メッセージの制御データを含む先頭パケットを抽出する。具体的には、先頭パケット抽出部105は、まず、番号情報取得部104によって取得されたデータ長が0のパケットはSYNパケットやACKパケットなどのメッセージを含まないパケットであるため、先頭パケットではないと判断する。そして、先頭パケット抽出部105は、データ長が0のパケットを除外した残りのパケットをSeq番号順に並べる。さらに、先頭パケット抽出部105は、時系列に並べられたパケットのAck番号を参照し、直前のパケットからAck番号が増加したパケットを先頭パケットとして抽出する。
これらの番号情報取得部104および先頭パケット抽出部105は、後述する不正シグネチャとの照合の対象パケットを選択する対象パケット選択部として機能する。このように、セッション内のすべてのパケットの中から対象パケットを絞り込むことにより、不正シグネチャとの照合による処理負荷を低減することが可能となる。
不要部分除去部106は、セッション内のパケットからトンネリングなどの不正な通信を検出するのに不要な部分を除去する。具体的には、不要部分除去部106は、パケットに付加されたTCP/IPヘッダやメッセージの暗号化に関するSSLヘッダなどを除去し、メッセージ部分のみを取得する。そして、不要部分除去部106は、先頭パケット抽出部105によって抽出された先頭パケットのメッセージ部分を不正シグネチャ照合部108へ出力する。また、不要部分除去部106は、不正通信検出部110から要求がある場合に、すべてのパケットのメッセージ部分を不正通信検出部110へ出力する。
不正シグネチャ記憶部107は、トンネリングなどの不正な通信時に送受信されるパケットに頻繁に含まれるデータパターンを不正シグネチャとして記憶する。具体的には、不正シグネチャ記憶部107は、例えば図6に示すように、それぞれ数バイトのデータパターンからなる複数の不正シグネチャを記憶している。また、図6では省略したが、不正シグネチャ記憶部107は、それぞれの不正シグネチャがパケットのメッセージ部分に配置される位置をデータパターンとともに記憶している。すなわち、不正シグネチャ記憶部107は、例えば図6に示す各データパターンがメッセージ部分の先頭から何バイト目に配置されるかを記憶している。
不正シグネチャ照合部108は、不要部分除去部106によって不要部分が除去されて得られた先頭パケットのメッセージ部分と不正シグネチャ記憶部107によって記憶された不正シグネチャとを照合する。すなわち、不正シグネチャ照合部108は、先頭パケットのメッセージ部分に不正シグネチャと一致するデータパターンが含まれているか否かを判定する。そして、不正シグネチャ照合部108は、先頭パケットのメッセージ部分に不正シグネチャと一致するデータパターンが含まれていれば、現在抽出されているセッションが不正な通信であることを監視結果出力部109へ通知する。また、不正シグネチャ照合部108は、先頭パケットのメッセージ部分に不正シグネチャと一致するデータパターンが含まれていなければ、不正シグネチャを利用せずに不正な通信を検出する必要があることを監視結果出力部109へ通知する。
監視結果出力部109は、不正シグネチャ照合部108から現在抽出されているセッションが不正な通信であることが通知されると、その旨を監視結果として出力する。また、監視結果出力部109は、不正シグネチャ照合部108から不正シグネチャを利用せずに不正な通信を検出する必要があることが通知されると、不正通信検出部110に対して不正な通信を検出するように指示する。
不正通信検出部110は、監視結果出力部109からの指示があると、不要部分除去部106によって不要部分が除去されたすべてのパケットのメッセージ部分を取得し、メッセージ部分が不正な通信を実行するものであるか否かを判定する。具体的には、不正通信検出部110は、例えばセッション内のメッセージ部分に同一のデータパターンが繰り返し出現するか否かを判定し、同一のデータパターンが繰り返し出現する場合には、セッションが不正な通信であると判断する。これは、トンネリングなどの不正な通信においては、不正な伝送路の確立のために同一のデータパターンがメッセージ部分の特に制御データに含まれることが多いため、同一のデータパターンの出現頻度によって不正な通信を検出することに他ならない。
なお、不正通信検出部110は、例えば不正と判定されたメッセージ部分において指定されているアクセス先に実際にアクセスし、アクセス先から取得されるウェブページなどに不正な通信を特徴付ける単語が含まれているか否かを判定することにより、さらに確実に不正な通信を検出するようにしても良い。そして、不正通信検出部110は、セッションが不正な通信であると判定した場合には、その旨を監視結果出力部109から出力させる。
不正シグネチャ生成部111は、不正通信検出部110によってセッションが不正な通信であると判定された場合、メッセージ部分に繰り返し出現している同一のデータパターンから不正シグネチャを生成する。すなわち、同一のデータパターンが繰り返し出現するセッションは、不正通信検出部110によって不正な通信であると判定されるため、不正シグネチャ生成部111は、セッション内で繰り返し出現する一連のデータパターンを不正な通信の特徴となる不正シグネチャとする。そして、不正シグネチャ生成部111は、生成した不正シグネチャを不正シグネチャ記憶部107に記憶させる。したがって、不正通信検出部110によって不正な通信が検出されると、不正シグネチャ生成部111によって生成された新たな不正シグネチャが不正シグネチャ記憶部107によって学習されることになる。
次いで、上記のように構成された通信監視装置100の動作について、図7に示すフロー図を参照しながら説明する。
サーバ10およびクライアント20の間で送受信されるパケットは、常時通信監視装置100のパケット受信部101によって受信されており、パケット蓄積部102によって蓄積される。そして、セッション抽出部103によって、蓄積されたパケットの中から1つのセッションに相当するパケット群が抽出される(ステップS101)。すなわち、セッション抽出部103によって、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとが検出され、SYNパケットの送受信時からFINパケットの送受信時までの間に送受信されたパケット群が1つのセッションのパケットとして抽出される。なお、上述したように、セッションの抽出に際しては、セッション抽出部103によって、RSTパケットが検索されたり、セッションのタイムアウトが検出されたりするようにしても良い。
そして、番号情報取得部104によって、セッション内のパケットのTCP/IPヘッダからSeq番号、Ack番号、およびデータ長を含む番号情報が取得される。取得された番号情報は、先頭パケット抽出部105へ通知され、先頭パケット抽出部105によって、メッセージの制御データを含む先頭パケットが抽出される(ステップS102)。先頭パケット抽出部105による先頭パケットの抽出については、後に詳述する。
セッション内の先頭パケットが抽出された後、不要部分除去部106によって、セッション内のすべてのパケットからメッセージ部分以外の不要部分が除去される(ステップS103)。すなわち、例えば図3に示したパケット構成においては、TCP/IPヘッダ41およびSSLヘッダ42が除去される。このように、本実施の形態においては、TCP/IPヘッダのみならず、SSLヘッダなどのメッセージ部分以外の不要部分をパケットから除去するため、不正シグネチャに一致するデータパターンが例えばSSLヘッダに含まれるような場合に、セッションが不正な通信であると誤検出されることを防止することができる。
セッション内のすべてのパケットからメッセージ部分が取得されると、先頭パケットのメッセージ部分が不正シグネチャ照合部108へ出力され、不正シグネチャ照合部108によって、不正シグネチャ記憶部107に既に記憶されている不正シグネチャとの照合が実行される(ステップS104)。ここで、本実施の形態においては、先頭パケット抽出部105によって先頭パケットが抽出され、抽出された先頭パケットのメッセージ部分のみに対して不正シグネチャとの照合が実行されるため、セッション内のすべてのパケットについての照合が不要となる。結果として、不正シグネチャ照合部108における照合の処理負荷を低減することができる。また、先頭パケットは、メッセージのうち特に制御データを含んでいるため、先頭パケットのみに対して不正シグネチャとの照合を実行すれば、不正な伝送路を確立するための制御情報を遺漏なくメッセージから検出することができ、トンネリングなどの不正な通信を確実に検出することができる。
先頭パケットのメッセージ部分に対する照合の結果、不正シグネチャと一致する部分が含まれるか否かが不正シグネチャ照合部108によって判定され(ステップS105)、一致する部分が含まれる場合には(ステップS105Yes)、現在抽出されているセッションが不正な通信である旨の監視結果が監視結果出力部109から通知される(ステップS106)。なお、この場合には、パケット蓄積部102に蓄積されたセッション内のパケットが破棄されるようにしても良く、宛先となっているサーバ10またはクライアント20へ送信されるようにしても良い。
一方、先頭パケットのメッセージ部分に不正シグネチャと一致する部分が含まれていない場合には(ステップS105No)、監視結果出力部109から不正通信検出部110に対して、不正シグネチャを利用せずに不正な通信を検出するように指示される。また、本実施の形態においては、不正シグネチャ照合部108による不正シグネチャとの照合により不正な通信であると判定されたセッションについても、新たな不正シグネチャの学習のために、不正シグネチャを利用しない不正な通信の検出が試みられる。
すなわち、不正通信検出部110によって、セッション内のすべてのパケットのメッセージ部分が不要部分除去部106から取得され、各メッセージ部分の特に制御データに繰り返し出現する同一のデータパターンがあるか否かが判定されることにより、不正な通信が検出される(ステップS107)。上述したように、トンネリングなどの不正な通信に該当するセッションにおいては、不正な伝送路を確立するために、同一のデータパターンがメッセージ部分の制御データに含まれることが多く、不正通信検出部110では、このデータパターンの繰り返しが検出されることにより、セッションが不正な通信であるか否かが判定されている(ステップS108)。
また、同一のデータパターンの繰り返しがメッセージ部分から検出された場合には、不正通信検出部110によって、メッセージ部分において指定されているアクセス先へのアクセスが実際に実行され、アクセス先から取得されるウェブページ内に不正な通信を特徴付ける単語などが配置されているか否かが確認され、より確実に不正な通信であるか否かが判断されるようにしても良い。
このような不正通信検出部110による不正通信の検出の結果、セッションが不正な通信と判定された場合には(ステップS108Yes)、不正シグネチャ生成部111によって、セッション内の制御データに繰り返し出現する同一のデータパターンから新たな不正シグネチャが生成され、不正シグネチャ記憶部107に登録される(ステップS109)。また、不正シグネチャ照合部108によってセッションが不正な通信であると判定された場合と同様に、現在抽出されているセッションが不正な通信である旨の監視結果が監視結果出力部109から通知される(ステップS110)。そして、この場合には、パケット蓄積部102に蓄積されたセッション内のパケットが破棄されたり、宛先となっているサーバ10またはクライアント20へ送信されたりして、処理が完了する。
一方、セッションが不正な通信と判定されない場合には(ステップS108No)、パケット蓄積部102に蓄積されたセッション内のパケットが、宛先となっているサーバ10またはクライアント20へ送信され、処理が完了する。なお、パケット蓄積部102にパケットの複製が蓄積されており、元のパケットが既にサーバ10またはクライアント20へ送信されている場合には、パケット蓄積部102に蓄積されたパケットの複製が破棄されるようにしても良い。
次に、本実施の形態に係る先頭パケット抽出処理について、具体的に例を挙げながら図8に示すフロー図を参照して説明する。
本実施の形態においては、パケット蓄積部102によって蓄積されたパケットの中から、セッション抽出部103によって1つのセッションのパケットが抽出される。そして、番号情報取得部104によって、各パケットのTCP/IPヘッダに格納されたSeq番号、Ack番号、およびデータ長が取得される(ステップS201)。ここでは、例えば図9上段に示すように、クライアント20から送信されたパケット#1、#3、#4、#5、#8、#9とサーバ10から送信されたパケット#2、#6、#7とが1つのセッションに相当するパケットとして抽出され、それぞれのパケットのSeq番号、Ack番号、およびデータ長は図示された通りであるものとする。
番号情報取得部104によって各パケットのSeq番号、Ack番号、およびデータ長が取得されると、先頭パケット抽出部105によって、セッション内で最初に送受信された最先パケットが選択される(ステップS202)。ここでは、クライアント20から送信されたパケット#1が最先パケットとして選択される。そして、先頭パケット抽出部105によって、最先パケットのデータ長が0であるか否かが判定され(ステップS203)、データ長が0である場合には(ステップS203Yes)、選択中の最先パケットは、SYNパケットやACKパケットなどのメッセージを含まないパケットであることから、不正シグネチャとの照合の対象外であると判断される(ステップS205)。ここでは、最先パケットであるパケット#1のデータ長が0であるため、パケット#1は対象外とされる。
一方、データ長が0でない場合には(ステップS203No)、選択中の最先パケットがメッセージを含むパケットであることから、制御データを含む先頭パケット候補であると判断される(ステップS204)。このように、選択中の最先パケットに対して、先頭パケット候補であるか対象外のパケットであるかの判断が実行されると、先頭パケット抽出部105によって、セッション内のすべてのパケットが先頭パケット候補または対象外のパケットに振り分けられたか否かが判断され(ステップS206)、全パケットについて振り分けが完了していれば(ステップS206Yes)、次の処理へ進む。ここでは、パケット#1が対象外のパケットに振り分けられたのみであるため、全パケットについての振り分けが完了しておらず(ステップS206No)、セッション内の残りのパケットから改めて最先パケットとしてパケット#2が選択され(ステップS202)、パケット#1と同様の振り分けが行われる。
以上のような振り分けが繰り返されることにより、図9上段に太枠で示すクライアント20から送信されたパケット#4、#5、#9とサーバ10から送信されたパケット#7とが、図9中段に示すように先頭パケット候補となる。これらのパケットは、いずれもデータ長が0とはなっていない。
先頭パケット抽出部105によって先頭パケット候補が抽出されると、先頭パケット候補の中で最初に送受信された先頭パケット候補が選択される(ステップS207)。ここでは、クライアント20から送信されたパケット#4が選択される。そして、先頭パケット抽出部105によって、選択された先頭パケット候補のAck番号が1つ前の先頭パケット候補のAck番号から増加しているか否かが判定される(ステップS208)。この判定においては、選択された先頭パケット候補がクライアント20から送信されたパケットである場合にはクライアント20から送信された1つ前の先頭パケット候補のAck番号との比較が行われ、選択された先頭パケット候補がサーバ10から送信されたパケットである場合にはサーバ10から送信された1つ前の先頭パケット候補のAck番号との比較が行われる。また、1つ前に送信された先頭パケット候補がない場合には、Ack番号が増加したものと判定される。
この判定の結果、Ack番号が増加していれば(ステップS208Yes)、選択された先頭パケット候補は、セッション開始後またはパケットの送信先からメッセージを含むパケット受信後に、初めて送信されるメッセージを含むパケットであることになるため、このパケットには制御データが含まれることから、選択された先頭パケット候補は先頭パケットであると判断される(ステップS209)。ここでは、選択されたパケット#4がセッション開始後に初めて送信されるメッセージを含むパケットであるため、パケット#4は、先頭パケットであると判断される。
一方、Ack番号が増加していなければ(ステップS208No)、選択された先頭パケット候補は、メッセージが分割された場合の情報データのみを含むパケットであることから、選択された先頭パケット候補は、不正シグネチャとの照合の対象外と判断される(ステップS210)。このように、選択中の先頭パケット候補に対して、先頭パケットであるか対象外のパケットであるかの判断が実行されると、先頭パケット抽出部105によって、セッション内のすべての先頭パケット候補が先頭パケットまたは対象外のパケットに振り分けられたか否かが判断され(ステップS211)、全パケットについて振り分けが完了していれば(ステップS211Yes)、先頭パケットの抽出が完了したことになる。ここでは、パケット#4が先頭パケットに振り分けられたのみであるため、全パケットについての振り分けが完了しておらず(ステップS211No)、セッション内の残りの先頭パケット候補から改めて最先のパケット#5が選択され(ステップS207)、パケット#4と同様の振り分けが行われる。
以上のような振り分けが繰り返されることにより、図9中段に太枠で示すクライアント20から送信されたパケット#4、#9とサーバ10から送信されたパケット#7とが、図9下段に示すように先頭パケットとなる。このうち、例えばパケット#5に関しては、データ長が1であるものの、Ack番号がパケット#4のAck番号と等しく1のままであるため、パケット#4の送信時からパケット#5の送信時までの間にパケット送信先からメッセージを含むパケットが受信されていないことがわかる。したがって、パケット#4およびパケット#5は、一連のメッセージを分割して伝送するパケットであることになり、パケット#5は、先頭パケットではないと判定される。
以上のように、本実施の形態によれば、パケットのTCP/IPヘッダに格納されるSeq番号、Ack番号、およびデータ長からメッセージの制御データを含む先頭パケットを抽出し、抽出された先頭パケットのみに対して不正シグネチャとの照合を実行するため、すべてのパケットに対する不正シグネチャとの照合が不要となり、処理負荷を低減することができる。また、トンネリングなどの不正な通信において利用されるメッセージの制御データに関しては、必ず不正シグネチャとの照合が実行されるため、不正な通信の検出精度を劣化させることがない。
なお、上記一実施の形態においては、不正シグネチャとの照合によりセッションが不正な通信ではないと判定された場合に、不正シグネチャを利用しない他の方法で不正な通信を検出し、新たな不正シグネチャを学習するものとしたが、必ずしも不正シグネチャの学習を実行する必要はない。すなわち、すべての不正シグネチャがあらかじめ不正シグネチャ記憶部107によって記憶されていれば、これらの不正シグネチャと先頭パケットの照合を実行することにより、不正な通信を確実に検出することができる。この場合には、不要部分除去部106は、先頭パケットについてのみTCP/IPヘッダなどの不要部分を除去すれば良く、さらに処理負荷を低減することができる。
また、上記一実施の形態においては、通信監視装置100によって先頭パケットの抽出および不正シグネチャとの照合が実行されるものとしたが、これらの処理をコンピュータが読み取り可能なプログラムとして記述し、このプログラムをコンピュータに実行させることにより、本発明を実施することも可能である。
以上の実施の形態に関して、さらに以下の付記を開示する。
(付記1)所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、
前記セッション抽出手段によって抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出手段と、
不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段と、
前記先頭パケット抽出手段によって抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合手段と、
前記照合手段による照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であることを示す監視結果を出力する出力手段と
を有することを特徴とする通信監視装置。
前記セッション抽出手段によって抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出手段と、
不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段と、
前記先頭パケット抽出手段によって抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合手段と、
前記照合手段による照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であることを示す監視結果を出力する出力手段と
を有することを特徴とする通信監視装置。
(付記2)前記先頭パケット抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記1記載の通信監視装置。
前記セッション抽出手段によって抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記1記載の通信監視装置。
(付記3)前記先頭パケット抽出手段は、
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記2記載の通信監視装置。
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記2記載の通信監視装置。
(付記4)前記先頭パケット抽出手段は、
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記2記載の通信監視装置。
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記2記載の通信監視装置。
(付記5)前記先頭パケット抽出手段は、
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記2記載の通信監視装置。
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記2記載の通信監視装置。
(付記6)前記照合手段は、
前記先頭パケット抽出手段によって抽出された先頭パケットからヘッダ部分を除去する除去手段を含み、
前記除去手段によってヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記1記載の通信監視装置。
前記先頭パケット抽出手段によって抽出された先頭パケットからヘッダ部分を除去する除去手段を含み、
前記除去手段によってヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記1記載の通信監視装置。
(付記7)前記照合手段による照合結果とは無関係に前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と、
前記判定手段によって不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成手段とをさらに有し、
前記記憶手段は、
前記生成手段によって生成された不正シグネチャを記憶することを特徴とする付記1記載の通信監視装置。
前記判定手段によって不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成手段とをさらに有し、
前記記憶手段は、
前記生成手段によって生成された不正シグネチャを記憶することを特徴とする付記1記載の通信監視装置。
(付記8)不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶するメモリを備えたコンピュータによって実行される通信監視プログラムであって、前記コンピュータに、
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記メモリによって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を実行させることを特徴とする通信監視プログラム。
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記メモリによって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を実行させることを特徴とする通信監視プログラム。
(付記9)前記先頭パケット抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記8記載の通信監視プログラム。
前記セッション抽出ステップにて抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記8記載の通信監視プログラム。
(付記10)前記先頭パケット抽出ステップは、
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記9記載の通信監視プログラム。
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記9記載の通信監視プログラム。
(付記11)前記先頭パケット抽出ステップは、
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記9記載の通信監視プログラム。
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記9記載の通信監視プログラム。
(付記12)前記先頭パケット抽出ステップは、
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記9記載の通信監視プログラム。
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記9記載の通信監視プログラム。
(付記13)前記照合ステップは、
前記先頭パケット抽出ステップにて抽出された先頭パケットからヘッダ部分を除去する除去ステップを含み、
前記除去ステップにてヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記8記載の通信監視プログラム。
前記先頭パケット抽出ステップにて抽出された先頭パケットからヘッダ部分を除去する除去ステップを含み、
前記除去ステップにてヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記8記載の通信監視プログラム。
(付記14)前記照合ステップにおける照合結果とは無関係に前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと、
前記判定ステップにて不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成ステップと、
前記生成ステップにて生成された不正シグネチャを前記メモリに登録する登録ステップとをさらに前記コンピュータに実行させることを特徴とする付記8記載の通信監視プログラム。
前記判定ステップにて不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成ステップと、
前記生成ステップにて生成された不正シグネチャを前記メモリに登録する登録ステップとをさらに前記コンピュータに実行させることを特徴とする付記8記載の通信監視プログラム。
(付記15)不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段を備えた通信監視装置における通信監視方法であって、
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を有することを特徴とする通信監視方法。
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を有することを特徴とする通信監視方法。
(付記16)前記先頭パケット抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記15記載の通信監視方法。
前記セッション抽出ステップにて抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする付記15記載の通信監視方法。
(付記17)前記先頭パケット抽出ステップは、
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記16記載の通信監視方法。
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記16記載の通信監視方法。
(付記18)前記先頭パケット抽出ステップは、
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記16記載の通信監視方法。
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする付記16記載の通信監視方法。
(付記19)前記先頭パケット抽出ステップは、
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記16記載の通信監視方法。
前記送受信装置の一方の装置から送信された候補パケットのヘッダ部分であって、前記送受信装置の他方の装置が送信済みのデータ量を示すヘッダ部分に基づいて先頭パケットを抽出することを特徴とする付記16記載の通信監視方法。
(付記20)前記照合ステップは、
前記先頭パケット抽出ステップにて抽出された先頭パケットからヘッダ部分を除去する除去ステップを含み、
前記除去ステップにてヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記15記載の通信監視方法。
前記先頭パケット抽出ステップにて抽出された先頭パケットからヘッダ部分を除去する除去ステップを含み、
前記除去ステップにてヘッダ部分が除去されて得られたメッセージ部分と不正シグネチャとを照合することを特徴とする付記15記載の通信監視方法。
(付記21)前記照合ステップにおける照合結果とは無関係に前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと、
前記判定ステップにて不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成ステップと、
前記生成ステップにて生成された不正シグネチャを前記記憶手段に登録する登録ステップとをさらに有することを特徴とする付記15記載の通信監視方法。
前記判定ステップにて不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成ステップと、
前記生成ステップにて生成された不正シグネチャを前記記憶手段に登録する登録ステップとをさらに有することを特徴とする付記15記載の通信監視方法。
101 パケット受信部
102 パケット蓄積部
103 セッション抽出部
104 番号情報取得部
105 先頭パケット抽出部
106 不要部分除去部
107 不正シグネチャ記憶部
108 不正シグネチャ照合部
109 監視結果出力部
110 不正通信検出部
111 不正シグネチャ生成部
102 パケット蓄積部
103 セッション抽出部
104 番号情報取得部
105 先頭パケット抽出部
106 不要部分除去部
107 不正シグネチャ記憶部
108 不正シグネチャ照合部
109 監視結果出力部
110 不正通信検出部
111 不正シグネチャ生成部
Claims (7)
- 所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、
前記セッション抽出手段によって抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出手段と、
不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段と、
前記先頭パケット抽出手段によって抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合手段と、
前記照合手段による照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であることを示す監視結果を出力する出力手段と
を有することを特徴とする通信監視装置。 - 前記先頭パケット抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットのうち、ヘッダ部分以外に制御情報を格納するメッセージ部分を含む候補パケットから先頭パケットを抽出することを特徴とする請求項1記載の通信監視装置。 - 前記先頭パケット抽出手段は、
前記送受信装置の一方の装置から送信された候補パケットであって、当該一方の装置が前記送受信装置の他方の装置から候補パケットを受信した以後、最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする請求項2記載の通信監視装置。 - 前記先頭パケット抽出手段は、
前記送受信装置間でセッションが確立された以後、前記送受信装置の一方の装置から最初に送信された候補パケットを先頭パケットとして抽出することを特徴とする請求項2記載の通信監視装置。 - 前記照合手段による照合結果とは無関係に前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と、
前記判定手段によって不正な通信であると判定された場合に、セッション内のパケットに繰り返し出現するデータパターンから不正シグネチャを生成する生成手段とをさらに有し、
前記記憶手段は、
前記生成手段によって生成された不正シグネチャを記憶することを特徴とする請求項1記載の通信監視装置。 - 不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶するメモリを備えたコンピュータによって実行される通信監視プログラムであって、前記コンピュータに、
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記メモリによって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を実行させることを特徴とする通信監視プログラム。 - 不正な通信の制御情報に特徴的に出現するデータパターンからなる不正シグネチャを記憶する記憶手段を備えた通信監視装置における通信監視方法であって、
所定のプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、前記送受信装置間における通信の制御情報を含む先頭パケットを抽出する先頭パケット抽出ステップと、
前記先頭パケット抽出ステップにて抽出された先頭パケットと前記記憶手段によって記憶された不正シグネチャとを照合する照合ステップと、
前記照合ステップによる照合の結果、先頭パケットに不正シグネチャとの一致部分が含まれている場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であることを示す監視結果を出力する出力ステップと
を有することを特徴とする通信監視方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008074342A JP4905395B2 (ja) | 2008-03-21 | 2008-03-21 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| US12/408,717 US20090241188A1 (en) | 2008-03-21 | 2009-03-22 | Communication monitoring apparatus and communication monitoring method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008074342A JP4905395B2 (ja) | 2008-03-21 | 2008-03-21 | 通信監視装置、通信監視プログラム、および通信監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009232110A JP2009232110A (ja) | 2009-10-08 |
| JP4905395B2 true JP4905395B2 (ja) | 2012-03-28 |
Family
ID=41090197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008074342A Active JP4905395B2 (ja) | 2008-03-21 | 2008-03-21 | 通信監視装置、通信監視プログラム、および通信監視方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20090241188A1 (ja) |
| JP (1) | JP4905395B2 (ja) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8959624B2 (en) * | 2007-10-31 | 2015-02-17 | Bank Of America Corporation | Executable download tracking system |
| US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US8800034B2 (en) | 2010-01-26 | 2014-08-05 | Bank Of America Corporation | Insider threat correlation tool |
| US8782209B2 (en) | 2010-01-26 | 2014-07-15 | Bank Of America Corporation | Insider threat correlation tool |
| US9038187B2 (en) | 2010-01-26 | 2015-05-19 | Bank Of America Corporation | Insider threat correlation tool |
| US8782794B2 (en) | 2010-04-16 | 2014-07-15 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| FR2965997B1 (fr) * | 2010-10-07 | 2013-06-28 | Electricite De France | Procede et dispositif de transfert securise de donnees |
| US10404729B2 (en) | 2010-11-29 | 2019-09-03 | Biocatch Ltd. | Device, method, and system of generating fraud-alerts for cyber-attacks |
| US20190158535A1 (en) * | 2017-11-21 | 2019-05-23 | Biocatch Ltd. | Device, System, and Method of Detecting Vishing Attacks |
| US10069837B2 (en) * | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
| US10685355B2 (en) | 2016-12-04 | 2020-06-16 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
| US11223619B2 (en) | 2010-11-29 | 2022-01-11 | Biocatch Ltd. | Device, system, and method of user authentication based on user-specific characteristics of task performance |
| US10949514B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | Device, system, and method of differentiating among users based on detection of hardware components |
| US10298614B2 (en) * | 2010-11-29 | 2019-05-21 | Biocatch Ltd. | System, device, and method of generating and managing behavioral biometric cookies |
| US10621585B2 (en) | 2010-11-29 | 2020-04-14 | Biocatch Ltd. | Contextual mapping of web-pages, and generation of fraud-relatedness score-values |
| US10747305B2 (en) | 2010-11-29 | 2020-08-18 | Biocatch Ltd. | Method, system, and device of authenticating identity of a user of an electronic device |
| US10970394B2 (en) | 2017-11-21 | 2021-04-06 | Biocatch Ltd. | System, device, and method of detecting vishing attacks |
| US11269977B2 (en) | 2010-11-29 | 2022-03-08 | Biocatch Ltd. | System, apparatus, and method of collecting and processing data in electronic devices |
| US10262324B2 (en) | 2010-11-29 | 2019-04-16 | Biocatch Ltd. | System, device, and method of differentiating among users based on user-specific page navigation sequence |
| US10586036B2 (en) | 2010-11-29 | 2020-03-10 | Biocatch Ltd. | System, device, and method of recovery and resetting of user authentication factor |
| US10949757B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | System, device, and method of detecting user identity based on motor-control loop model |
| US10917431B2 (en) * | 2010-11-29 | 2021-02-09 | Biocatch Ltd. | System, method, and device of authenticating a user based on selfie image or selfie video |
| US10834590B2 (en) | 2010-11-29 | 2020-11-10 | Biocatch Ltd. | Method, device, and system of differentiating between a cyber-attacker and a legitimate user |
| US11210674B2 (en) * | 2010-11-29 | 2021-12-28 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
| US10776476B2 (en) | 2010-11-29 | 2020-09-15 | Biocatch Ltd. | System, device, and method of visual login |
| US12101354B2 (en) * | 2010-11-29 | 2024-09-24 | Biocatch Ltd. | Device, system, and method of detecting vishing attacks |
| US10728761B2 (en) | 2010-11-29 | 2020-07-28 | Biocatch Ltd. | Method, device, and system of detecting a lie of a user who inputs data |
| US10897482B2 (en) | 2010-11-29 | 2021-01-19 | Biocatch Ltd. | Method, device, and system of back-coloring, forward-coloring, and fraud detection |
| US10474815B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | System, device, and method of detecting malicious automatic script and code injection |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
| CN105704091B (zh) * | 2014-11-25 | 2018-12-04 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| GB2539705B (en) | 2015-06-25 | 2017-10-25 | Aimbrain Solutions Ltd | Conditional behavioural biometrics |
| US10366129B2 (en) | 2015-12-04 | 2019-07-30 | Bank Of America Corporation | Data security threat control monitoring system |
| GB2552032B (en) | 2016-07-08 | 2019-05-22 | Aimbrain Solutions Ltd | Step-up authentication |
| US10579784B2 (en) | 2016-11-02 | 2020-03-03 | Biocatch Ltd. | System, device, and method of secure utilization of fingerprints for user authentication |
| JP6891583B2 (ja) * | 2017-03-27 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
| US10397262B2 (en) | 2017-07-20 | 2019-08-27 | Biocatch Ltd. | Device, system, and method of detecting overlay malware |
| JP7167439B2 (ja) * | 2017-12-28 | 2022-11-09 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
| CN109120599A (zh) * | 2018-07-23 | 2019-01-01 | 国网河南省电力公司商丘供电公司 | 一种外联管控系统 |
| JP7252829B2 (ja) * | 2019-05-27 | 2023-04-05 | ローム株式会社 | 無線通信システム |
| CN112422242B (zh) * | 2020-11-15 | 2022-03-04 | 珠海一微半导体股份有限公司 | 一种提高发送数据安全性的方法和异构系统 |
| CN112422238B (zh) * | 2020-11-15 | 2022-08-05 | 珠海一微半导体股份有限公司 | 提高并行发送数据安全性的方法和异构系统 |
| US11606353B2 (en) | 2021-07-22 | 2023-03-14 | Biocatch Ltd. | System, device, and method of generating and utilizing one-time passwords |
| CN114356678B (zh) * | 2022-03-17 | 2022-06-14 | 北京奇立软件技术有限公司 | 获取设备硬件信息的方法及系统 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5935245A (en) * | 1996-12-13 | 1999-08-10 | 3Com Corporation | Method and apparatus for providing secure network communications |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| JP2002063084A (ja) * | 2000-08-21 | 2002-02-28 | Toshiba Corp | パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体 |
| US7171440B2 (en) * | 2001-07-17 | 2007-01-30 | The Boeing Company | System and method for virtual packet reassembly |
| US7260722B2 (en) * | 2001-12-28 | 2007-08-21 | Itt Manufacturing Enterprises, Inc. | Digital multimedia watermarking for source identification |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| JP2003223375A (ja) * | 2002-01-30 | 2003-08-08 | Toshiba Corp | 不正アクセス検知装置および不正アクセス検知方法 |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7006533B2 (en) * | 2002-02-19 | 2006-02-28 | Intel Corporation | Method and apparatus for hublink read return streaming |
| US7424744B1 (en) * | 2002-03-05 | 2008-09-09 | Mcafee, Inc. | Signature based network intrusion detection system and method |
| US20040083388A1 (en) * | 2002-10-25 | 2004-04-29 | Nguyen The Vinh | Method and apparatus for monitoring data packets in a packet-switched network |
| JP3935823B2 (ja) * | 2002-11-01 | 2007-06-27 | 株式会社インデックス | Httpセッション・トンネリング・システム、その方法、及びそのプログラム |
| US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
| JP3966231B2 (ja) * | 2003-06-11 | 2007-08-29 | 日本電信電話株式会社 | ネットワークシステムと不正アクセス制御方法およびプログラム |
| JP3790750B2 (ja) * | 2003-06-20 | 2006-06-28 | 株式会社東芝 | 不正アクセス検出装置、不正アクセス検出方法およびプログラム |
| US7620988B1 (en) * | 2003-07-25 | 2009-11-17 | Symantec Corporation | Protocol identification by heuristic content analysis |
| US7503071B1 (en) * | 2003-10-01 | 2009-03-10 | Symantec Corporation | Network traffic identification by waveform analysis |
| US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
| US7752662B2 (en) * | 2004-02-20 | 2010-07-06 | Imperva, Inc. | Method and apparatus for high-speed detection and blocking of zero day worm attacks |
| US7457870B1 (en) * | 2004-02-27 | 2008-11-25 | Packeteer, Inc. | Methods, apparatuses and systems facilitating classification of web services network traffic |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| JP4392294B2 (ja) * | 2004-06-15 | 2009-12-24 | 株式会社日立製作所 | 通信統計収集装置 |
| US20060031928A1 (en) * | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
| US7493388B2 (en) * | 2004-08-20 | 2009-02-17 | Bdna Corporation | Method and/or system for identifying information appliances |
| US20080189784A1 (en) * | 2004-09-10 | 2008-08-07 | The Regents Of The University Of California | Method and Apparatus for Deep Packet Inspection |
| JP2006186845A (ja) * | 2004-12-28 | 2006-07-13 | Nippon Telegr & Teleph Corp <Ntt> | アドレス特定装置、アドレス特定方法およびアドレス特定プログラム |
| JP2006279930A (ja) * | 2005-03-01 | 2006-10-12 | Nec Corp | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 |
| JP2006243878A (ja) * | 2005-03-01 | 2006-09-14 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| WO2006095334A2 (en) * | 2005-03-09 | 2006-09-14 | Beefence Ltd | Method, system and computer readable medium for intrusion control |
| WO2006105093A2 (en) * | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| US7624436B2 (en) * | 2005-06-30 | 2009-11-24 | Intel Corporation | Multi-pattern packet content inspection mechanisms employing tagged values |
| US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
| US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
| KR100818307B1 (ko) * | 2006-12-04 | 2008-04-01 | 한국전자통신연구원 | IPv6 공격 패킷 탐지장치 및 방법 |
| US20090013407A1 (en) * | 2007-02-14 | 2009-01-08 | Brad Doctor | Intrusion detection system/intrusion prevention system with enhanced performance |
| JP5018329B2 (ja) * | 2007-08-10 | 2012-09-05 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
-
2008
- 2008-03-21 JP JP2008074342A patent/JP4905395B2/ja active Active
-
2009
- 2009-03-22 US US12/408,717 patent/US20090241188A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20090241188A1 (en) | 2009-09-24 |
| JP2009232110A (ja) | 2009-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4905395B2 (ja) | 通信監視装置、通信監視プログラム、および通信監視方法 | |
| US7171683B2 (en) | Protecting against distributed denial of service attacks | |
| JP3794491B2 (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| US8706866B2 (en) | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information | |
| EP1751910B1 (en) | Preventing network reset denial of service attacks using embedded authentication information | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| JP6026789B2 (ja) | ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| US20150033343A1 (en) | Method, Apparatus, and Device for Detecting E-Mail Attack | |
| EP2434689A1 (en) | Method and apparatus for detecting message | |
| JP2008306706A (ja) | シグナリングフローの異常を検知する方法及び装置 | |
| JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
| CN106101161B (zh) | 一种用于处理伪造的tcp数据包的方法和系统 | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN108243115B (zh) | 报文处理方法及装置 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| KR101263381B1 (ko) | TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치 | |
| BR102020003105A2 (pt) | Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| KR101211147B1 (ko) | 네트워크 검사 시스템 및 그 제공방법 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
| JP4116920B2 (ja) | 分散型サービス不能攻撃を防ぐネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101119 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111213 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111226 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150120 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4905395 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |