JP4985503B2 - Communication monitoring device, communication monitoring program, and communication monitoring method - Google Patents

Communication monitoring device, communication monitoring program, and communication monitoring method Download PDF

Info

Publication number
JP4985503B2
JP4985503B2 JP2008074343A JP2008074343A JP4985503B2 JP 4985503 B2 JP4985503 B2 JP 4985503B2 JP 2008074343 A JP2008074343 A JP 2008074343A JP 2008074343 A JP2008074343 A JP 2008074343A JP 4985503 B2 JP4985503 B2 JP 4985503B2
Authority
JP
Japan
Prior art keywords
session
access destination
conversion
communication
extracted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008074343A
Other languages
Japanese (ja)
Other versions
JP2009230418A (en
Inventor
昌弘 小村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2008074343A priority Critical patent/JP4985503B2/en
Publication of JP2009230418A publication Critical patent/JP2009230418A/en
Application granted granted Critical
Publication of JP4985503B2 publication Critical patent/JP4985503B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、通信監視装置、通信監視プログラム、および通信監視方法に関し、特に、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる通信監視装置、通信監視プログラム、および通信監視方法に関する。   The present invention relates to a communication monitoring apparatus, a communication monitoring program, and a communication monitoring method, and in particular, a communication monitoring apparatus, a communication monitoring program, and a communication that can reliably detect unauthorized communication using a protocol that allows communication. It relates to the monitoring method.

従来、インターネットなどのネットワークを介したサーバとクライアントの間の通信においては、例えば正当なアクセス権がない不正なクライアントによるサーバへのアクセスなどの不正な通信を防止することが重要となっている。具体的には、例えば企業などの組織内のLAN(Local Area Network)とインターネットなどの外部ネットワークとの境界にファイアウォールが設けられ、外部とLANの通信を制限するなどの対策が一般的である。   Conventionally, in communication between a server and a client via a network such as the Internet, it has been important to prevent unauthorized communication such as access to the server by an unauthorized client having no legitimate access right. Specifically, for example, a countermeasure is generally provided such that a firewall is provided at the boundary between a LAN (Local Area Network) in an organization such as a company and an external network such as the Internet, and communication between the outside and the LAN is restricted.

ところで、インターネットを介したサーバとクライアント間のデータの送受信には、HTTP(Hyper Text Transfer Protocol)と呼ばれるプロトコルが用いられることがある。HTTPは、主にクライアントがウェブサーバからウェブページのデータを取得する際などに用いられる。HTTPとして伝送されるデータは、個別に設定されなければ、上述したファイアウォールによっても遮断されることがなく、サーバとクライアント間で自由に送受信される。したがって、悪意があるユーザが不正な伝送路を確立するための制御データをHTTPとして送信することにより、サーバとクライアント間で不正な通信のための伝送路が容易に確立され、不正な通信が行われる危険性がある。このように、遮断されることがないプロトコル(例えばHTTP)を利用した不正な通信のための伝送路の確立は、一般にトンネリングと呼ばれる。   By the way, a protocol called HTTP (Hyper Text Transfer Protocol) may be used for data transmission / reception between a server and a client via the Internet. HTTP is mainly used when a client acquires web page data from a web server. If the data transmitted as HTTP is not set individually, it is not blocked by the firewall described above, and can be freely transmitted and received between the server and the client. Therefore, when a malicious user transmits control data for establishing an unauthorized transmission path as HTTP, a transmission path for unauthorized communication is easily established between the server and the client, and unauthorized communication is performed. There is a risk of being caught. Thus, establishment of a transmission path for unauthorized communication using a protocol that is not blocked (for example, HTTP) is generally referred to as tunneling.

このようなトンネリングを防止するためには、例えば特許文献1および特許文献2などに開示された技術を用いることができる。すなわち、トンネリングの際には、不正な伝送路を確立するための制御データは特定のパターンを含んでいることから、このデータパターンをシグネチャとしてあらかじめ記憶しておき、記憶されたシグネチャと実際に送受信されるパケットとを照合することにより、パケットがトンネリングに利用されているか否かを判断することが可能となる。換言すれば、送受信されるパケットにシグネチャが含まれている場合には、トンネリングが行われていると判断することができる。   In order to prevent such tunneling, for example, techniques disclosed in Patent Document 1 and Patent Document 2 can be used. In other words, when tunneling, the control data for establishing an unauthorized transmission path includes a specific pattern. Therefore, this data pattern is stored in advance as a signature, and is actually transmitted and received with the stored signature. It is possible to determine whether or not the packet is used for tunneling by collating it with the packet to be transmitted. In other words, when a signature is included in a transmitted / received packet, it can be determined that tunneling is performed.

特開2003−218949号公報JP 2003-218949 A 特開2004−140618号公報Japanese Patent Laid-Open No. 2004-140618

しかしながら、一般に、トンネリングなどの不正な通信の具体的な手法は明らかではないため、あらかじめ記憶されたシグネチャとパケットとの照合では、すべての不正な通信を確実に検出しきれないという問題がある。具体的には、悪意があるユーザがトンネリングのためにHTTPとして伝送する制御データのすべてのデータパターンをあらかじめ記憶することは不可能であるため、不正な通信に特徴的なシグネチャが記憶されてパケットとの照合が行われるが、不正な通信の手法によっては、記憶された特徴的なシグネチャが必ずしもパケットに含まれるとは限らない。   However, in general, a specific method of unauthorized communication such as tunneling is not clear, and there is a problem that it is not possible to reliably detect all unauthorized communications by collating a previously stored signature with a packet. Specifically, since it is impossible for a malicious user to store in advance all data patterns of control data transmitted as HTTP for tunneling, a signature characteristic to unauthorized communication is stored in the packet. However, depending on the method of unauthorized communication, the stored characteristic signature is not always included in the packet.

また、トンネリングの手法が変われば、そのプロトコルによって送受信される制御データも変化するが、変化し得るすべての制御データに対応するシグネチャをあらかじめ記憶しておくのは現実的ではない。したがって、パケットとシグネチャの照合によって検出可能であるのは、不正な通信の一部に過ぎない。   If the tunneling technique changes, the control data transmitted and received by the protocol also changes. However, it is not realistic to store in advance signatures corresponding to all control data that can change. Therefore, it is only a part of unauthorized communication that can be detected by matching a packet with a signature.

本発明はかかる点に鑑みてなされたものであり、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる通信監視装置、通信監視プログラム、および通信監視方法を提供することを目的とする。   The present invention has been made in view of the above points, and provides a communication monitoring device, a communication monitoring program, and a communication monitoring method capable of reliably detecting unauthorized communication using a protocol that allows communication. With the goal.

上記課題を解決するために、通信監視装置は、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段とを有する構成を採る。   In order to solve the above-mentioned problem, the communication monitoring apparatus extracts packets transmitted / received in a session established between a pair of transmission / reception apparatuses from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication. Session extraction means, access destination extraction means for extracting an access destination specified by control information from a packet in the session extracted by the session extraction means, and characters representing the access destination extracted by the access destination extraction means A conversion unit that performs conversion according to the protocol for the column; an access unit that accesses a conversion access destination obtained by conversion by the conversion unit to obtain page information; and that is acquired from the conversion access destination by the access unit On the basis of the obtained page information by the session extraction means. Extracted Te session adopts a configuration having a determination means for determining whether an unauthorized communication.

また、通信監視プログラムは、コンピュータによって実行される通信監視プログラムであって、前記コンピュータに、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップとを実行させるようにした。   The communication monitoring program is a communication monitoring program executed by a computer, and is established between a pair of transmission / reception devices from a plurality of packets transmitted and received by a protocol capable of transmitting control information for communication to the computer. A session extraction step for extracting packets transmitted and received in the session; an access destination extraction step for extracting an access destination specified by control information from the packets in the session extracted in the session extraction step; and the access destination A conversion step for converting the character string representing the access destination extracted in the extraction step according to the protocol, and accessing the conversion access destination obtained by conversion in the conversion step to obtain page information Access step and said access step Based on the obtained page information from the conversion accessed Te, the session extracted in the session extracting step is to be executed and determining whether or not an unauthorized communication.

また、通信監視方法は、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップとを有するようにした。   Further, the communication monitoring method includes a session extraction step of extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting communication control information; From the packet in the session extracted in the session extraction step, an access destination extraction step for extracting the access destination specified by the control information, and a character string representing the access destination extracted in the access destination extraction step A conversion step for performing conversion according to the protocol, an access step for obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step, and acquired from the conversion access destination in the access step Based on the page information, in the session extraction step Issued session is to have a determining step of determining whether or not an unauthorized communication.

これらによれば、セッション内でやり取りされる制御情報によって指定されるアクセス先を含めた複数のアクセス先からページ情報を取得し、取得されたページ情報に基づいてセッションが不正な通信であるか否かを判定する。このため、過去に得られた不正シグネチャなどが制御情報に含まれていない場合でも、制御情報によって指定されるアクセス先および周辺のアクセス先が不正であるか否かを判定することができ、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。   According to these, page information is acquired from a plurality of access destinations including the access destination specified by the control information exchanged within the session, and whether or not the session is unauthorized communication based on the acquired page information. Determine whether. For this reason, even when an illegal signature obtained in the past is not included in the control information, it is possible to determine whether the access destination specified by the control information and the peripheral access destination are illegal. Thus, it is possible to reliably detect unauthorized communication using a protocol that is allowed.

本明細書に開示された通信監視装置、通信監視プログラム、および通信監視方法によれば、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。   According to the communication monitoring apparatus, the communication monitoring program, and the communication monitoring method disclosed in this specification, it is possible to reliably detect unauthorized communication using a protocol that allows communication.

本発明の骨子は、同一のデータパターンを含むパケットが繰り返し送受信されるセッションが検出された場合に、このセッション内のパケットによって指定されるアクセス先から実際にページ情報を取得し、取得されたページ情報にトンネリングを示唆する不正ワードが含まれていれば、セッションが不正な通信であると判定することである。以下、本発明の一実施の形態について、図面を参照しながら詳細に説明する。   The gist of the present invention is that when a session in which packets containing the same data pattern are repeatedly transmitted and received is detected, the page information is actually acquired from the access destination specified by the packet in this session, and the acquired page If the information includes an illegal word indicating tunneling, the session is determined to be unauthorized communication. Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

図1は、本発明の一実施の形態に係る通信システムの概略構成を示すブロック図である。同図に示す通信システムは、サーバ10、クライアント20、中継装置30、および通信監視装置100を有している。   FIG. 1 is a block diagram showing a schematic configuration of a communication system according to an embodiment of the present invention. The communication system shown in the figure includes a server 10, a client 20, a relay device 30, and a communication monitoring device 100.

サーバ10は、ネットワークNに接続されており、ネットワークNを介して複数のクライアント20との間でパケットを送受信する。また、複数のクライアント20は、中継装置30を介してネットワークNに接続されており、サーバ10との間でパケットを送受信する。中継装置30は、例えばルータ、スイッチ、またはファイアウォールなどを含み、サーバ10とクライアント20間で送受信されるパケットを中継する。   The server 10 is connected to the network N, and transmits and receives packets to and from the plurality of clients 20 via the network N. The plurality of clients 20 are connected to the network N via the relay device 30 and transmit / receive packets to / from the server 10. The relay device 30 includes, for example, a router, a switch, or a firewall, and relays packets transmitted and received between the server 10 and the client 20.

ここで、サーバ10およびクライアント20は、互いにアプリケーション層のメッセージを生成してデータを要求したり応答したりするが、このメッセージは、サイズが一定ではないため、このメッセージをTCP/IP(Transmission Control Protocol/Internet Protocol)層の所定サイズのパケットとして送受信している。すなわち、サーバ10およびクライアント20は、通信プロトコルの制御情報を含む制御データと制御情報によって制御する対象となる情報データとからなるメッセージを生成し、生成されたメッセージを1パケットに対応する所定サイズに分割して送信する。   Here, the server 10 and the client 20 mutually generate an application layer message to request or respond to data. However, since this message is not constant in size, this message is sent to the TCP / IP (Transmission Control). It is transmitted and received as a packet of a predetermined size in the (Protocol / Internet Protocol) layer. That is, the server 10 and the client 20 generate a message composed of control data including communication protocol control information and information data to be controlled by the control information, and the generated message is set to a predetermined size corresponding to one packet. Divide and send.

また、本実施の形態に係るパケット構成は、例えば図2のようになっている。すなわち、例えばウェブページのデータの送信を要求するためのHTTPメッセージが制御データおよび情報データから構成され、このHTTPメッセージにパケットの送信元アドレスや宛先アドレスなどを格納するTCP/IPヘッダが付加されている。そして、制御データは、パケットの宛先との間の通信を制御する制御情報、パケットの宛先に対して指定するアクセス先、およびアクセス先に関するポート番号を含んでいる。これらのうち、アクセス先およびポート番号は、図2下段に示すように、例えば「CONNECT」などの制御情報の後方に格納されている。すなわち、図2に示す例では、アクセス先およびポート番号は「192.168.XXX.XXX:PP」であり、「192.168.XXX.XXX」は、アクセス先のIPアドレスを示し、「PP」は、アクセス先に関するポート番号を示している。なお、アクセス先としては、IPアドレスの代わりにドメイン名が格納されていても良い。また、制御情報としては、「CONNECT」の他にも「GET」や「POST」など様々なものがある。   Further, the packet configuration according to the present embodiment is as shown in FIG. 2, for example. That is, for example, an HTTP message for requesting transmission of web page data is composed of control data and information data, and a TCP / IP header for storing a packet transmission source address, a destination address, and the like is added to the HTTP message. Yes. The control data includes control information for controlling communication with the packet destination, an access destination designated for the packet destination, and a port number related to the access destination. Among these, the access destination and the port number are stored behind the control information such as “CONNECT” as shown in the lower part of FIG. That is, in the example shown in FIG. 2, the access destination and the port number are “192.168..XXX.XXX: PP”, “192.168..XXX.XXX” indicates the IP address of the access destination, and “PP "Indicates the port number related to the access destination. As an access destination, a domain name may be stored instead of the IP address. In addition to “CONNECT”, there are various types of control information such as “GET” and “POST”.

図1に戻って、通信監視装置100は、サーバ10とクライアント20間で送受信されるパケットを取得し、サーバ10とクライアント20間で確立されるそれぞれのセッションごとに不正なメッセージが送受信されているか否かを監視する。このとき、通信監視装置100は、セッションの最初に送受信されたメッセージの制御データからアクセス先を抽出し、抽出されたアクセス先の周辺に実際にアクセスし、アクセス結果に基づいてセッションがトンネリングを実行する不正な通信であるか否かを判定する。なお、通信監視装置100による通信の監視については、後に詳述する。また、セッションの最初に送受信されたメッセージは、たとえセッションが不正な通信であってもHTTPメッセージなどの正当なプロトコルによるメッセージである。したがって、通信監視装置100は、セッションの最初に送受信されたメッセージ(例えばHTTPメッセージ)からアクセス先を抽出することが可能である。   Returning to FIG. 1, the communication monitoring apparatus 100 acquires a packet transmitted / received between the server 10 and the client 20, and whether an invalid message is transmitted / received for each session established between the server 10 and the client 20. Monitor whether or not. At this time, the communication monitoring apparatus 100 extracts the access destination from the control data of the message transmitted / received at the beginning of the session, actually accesses the periphery of the extracted access destination, and the session executes tunneling based on the access result It is determined whether or not the communication is unauthorized. Note that communication monitoring by the communication monitoring apparatus 100 will be described in detail later. The message transmitted / received at the beginning of the session is a message based on a legitimate protocol such as an HTTP message even if the session is unauthorized communication. Therefore, the communication monitoring apparatus 100 can extract the access destination from the message (for example, HTTP message) transmitted / received at the beginning of the session.

図3は、本実施の形態に係る通信監視装置100の要部構成を示すブロック図である。同図に示す通信監視装置100は、パケット受信部101、パケット蓄積部102、セッション抽出部103、不正シグネチャ記憶部104、セッション判定部105、アクセス先抽出部106、変換部107、ウェブアクセス部108、不正ワード記憶部109、トンネリング判定部110、監視結果出力部111、および不正シグネチャ生成部112を有している。   FIG. 3 is a block diagram showing a main configuration of communication monitoring apparatus 100 according to the present embodiment. The communication monitoring apparatus 100 shown in FIG. 1 includes a packet reception unit 101, a packet storage unit 102, a session extraction unit 103, an illegal signature storage unit 104, a session determination unit 105, an access destination extraction unit 106, a conversion unit 107, and a web access unit 108. The unauthorized word storage unit 109, the tunneling determination unit 110, the monitoring result output unit 111, and the unauthorized signature generation unit 112.

パケット受信部101は、サーバ10およびクライアント20の間で送受信されるすべてのパケットを受信する。パケット蓄積部102は、パケット受信部101によって受信されたパケットを蓄積する。なお、パケット蓄積部102は、後述する処理において不正な通信と判定されないセッションのパケットについては、宛先アドレスによって指定されるサーバ10またはクライアント20へ送信するものとしても良い。また、パケット蓄積部102は、パケット受信部101によって受信されたパケットの複製を蓄積し、元のパケットをサーバ10またはクライアント20へ送信するものとしても良い。   The packet receiving unit 101 receives all packets transmitted and received between the server 10 and the client 20. The packet accumulating unit 102 accumulates the packet received by the packet receiving unit 101. Note that the packet storage unit 102 may transmit a packet of a session that is not determined to be unauthorized communication in the process described later to the server 10 or the client 20 specified by the destination address. The packet storage unit 102 may store a copy of the packet received by the packet reception unit 101 and transmit the original packet to the server 10 or the client 20.

セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、1つのセッションに相当するパケット群を抽出する。具体的には、セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとを検索して抽出するとともに、これらのSYNパケットおよびFINパケットの間に同一のサーバ10とクライアント20間で送受信されたパケットをすべて抽出する。また、セッション抽出部103は、セッションが強制終了される場合に送受信されるRSTパケットを検索したり、セッションのタイムアウトを検出したりすることも併せて実行し、セッションを抽出しても良い。   The session extraction unit 103 extracts a packet group corresponding to one session from the packets stored by the packet storage unit 102. Specifically, the session extraction unit 103 searches and extracts, from the packets stored by the packet storage unit 102, a SYN packet that is transmitted and received when the session is established and a FIN packet that is transmitted and received when the session is disconnected. All packets transmitted and received between the same server 10 and client 20 are extracted between these SYN packets and FIN packets. In addition, the session extraction unit 103 may extract a session by searching for an RST packet transmitted / received when the session is forcibly terminated or detecting a session timeout.

不正シグネチャ記憶部104は、トンネリングなどの不正な通信時に送受信されるパケットに頻繁に含まれるデータパターンを不正シグネチャとして記憶する。具体的には、不正シグネチャ記憶部104は、例えば図4に示すように、それぞれ数バイトのデータパターンからなる複数の不正シグネチャを記憶している。また、図4では省略したが、不正シグネチャ記憶部104は、それぞれの不正シグネチャがパケットのメッセージ部分に配置される位置をデータパターンとともに記憶している。すなわち、不正シグネチャ記憶部104は、例えば図4に示す各データパターンがメッセージ部分の先頭から何バイト目に配置されるかを記憶している。   The illegal signature storage unit 104 stores data patterns frequently included in packets transmitted and received during illegal communication such as tunneling as illegal signatures. Specifically, the illegal signature storage unit 104 stores a plurality of illegal signatures each having a data pattern of several bytes, as shown in FIG. 4, for example. Although omitted in FIG. 4, the illegal signature storage unit 104 stores a position where each illegal signature is arranged in the message part of the packet together with the data pattern. That is, the illegal signature storage unit 104 stores, for example, how many bytes from the head of the message part each data pattern shown in FIG. 4 is arranged.

セッション判定部105は、セッション抽出部103によって抽出されたセッション内のパケットと不正シグネチャ記憶部104によって記憶された不正シグネチャとを照合し、セッションが不正な通信であるか否かを判定する。そして、セッション判定部105は、パケットのメッセージ部分に不正シグネチャと一致するデータパターンが含まれていれば、現在抽出されているセッションが不正な通信であることを監視結果出力部111へ通知する。   The session determination unit 105 collates the packet in the session extracted by the session extraction unit 103 with the unauthorized signature stored by the unauthorized signature storage unit 104, and determines whether the session is unauthorized communication. If the message part of the packet includes a data pattern that matches the illegal signature, the session determination unit 105 notifies the monitoring result output unit 111 that the currently extracted session is an illegal communication.

また、セッション判定部105は、パケットのメッセージ部分に不正なシグネチャと一致するデータパターンが含まれていなければ、さらにセッション内のメッセージ部分に同一のデータパターンが繰り返し出現するか否かを判定する。そして、セッション判定部105は、同一のデータパターンが繰り返し出現する場合には、現在抽出されているセッションを不正セッション候補と判断する。これは、トンネリングなどの不正な通信においては、不正な伝送路の確立のために同一のデータパターンがメッセージ部分の特に制御データに含まれることが多いため、同一のデータパターンの出現頻度によって、不正シグネチャとの照合では検出されない不正セッション候補を検出することを意味している。同様に、セッション判定部105は、メッセージ部分における制御データのサイズが等しいパケットが所定数以上ある場合には、現在抽出されているセッションを不正セッション候補と判断しても良い。   In addition, if the message part of the packet does not include a data pattern that matches the illegal signature, the session determination unit 105 further determines whether or not the same data pattern repeatedly appears in the message part in the session. If the same data pattern repeatedly appears, the session determination unit 105 determines that the currently extracted session is an illegal session candidate. This is because in unauthorized communication such as tunneling, the same data pattern is often included in the control data in the message part in order to establish an unauthorized transmission path. This means that a fraudulent session candidate that is not detected by matching with the signature is detected. Similarly, when there are a predetermined number or more of packets having the same control data size in the message part, the session determination unit 105 may determine that the currently extracted session is an illegal session candidate.

アクセス先抽出部106は、現在抽出されているセッションがセッション判定部105によって不正セッション候補であると判断されると、セッション抽出部103によって抽出されたパケットの制御データを確認し、指定されているアクセス先を抽出する。具体的には、アクセス先抽出部106は、セッションがセッション判定部105によって不正セッション候補であると判断される契機となったパケットの制御データにおいて、例えば図2に示した「CONNECT」などの制御情報の後方からアクセス先およびポート番号を抽出する。   When the session extraction unit 105 determines that the currently extracted session is an illegal session candidate, the access destination extraction unit 106 checks the control data of the packet extracted by the session extraction unit 103 and is designated. Extract the access destination. Specifically, the access destination extraction unit 106 controls, for example, “CONNECT” shown in FIG. 2 in the control data of the packet that triggers the session determination unit 105 to determine that the session is an invalid session candidate. The access destination and port number are extracted from the back of the information.

変換部107は、アクセス先抽出部106によって抽出されたアクセス先およびポート番号を複数のパターンで変換し、元のアクセス先の周辺を含めた複数のアクセス先を生成する。具体的には、変換部107は、アクセス先またはポート番号の文字列に例えば「https://」や「http://www.」などのプロトコルに固有の文字列を付加し、制御データによって示されたアクセス先の周辺のアクセス先を生成する。なお、変換部107は、アクセス先抽出部106によって抽出されたアクセス先およびポート番号の全体の文字列を変換しても良く、一部の文字列を変換しても良い。また、変換部107は、アクセス先がIPアドレスである場合、図示しないDNS(Domain Name System)サーバなどを検索してIPアドレスに対応するドメイン名を取得し、ドメイン名を構成する文字を一部変換するなどの変換を行った上でプロトコルに固有の文字列を付加しても良い。   The conversion unit 107 converts the access destination and the port number extracted by the access destination extraction unit 106 with a plurality of patterns, and generates a plurality of access destinations including the periphery of the original access destination. Specifically, the conversion unit 107 adds a character string specific to a protocol such as “https: //” or “http: // www.” To the character string of the access destination or port number, and uses the control data. An access destination around the indicated access destination is generated. Note that the conversion unit 107 may convert the entire character string of the access destination and the port number extracted by the access destination extraction unit 106, or may convert a part of the character string. Further, when the access destination is an IP address, the conversion unit 107 searches a DNS (Domain Name System) server (not shown) to obtain a domain name corresponding to the IP address, and partially converts characters constituting the domain name. A character string specific to the protocol may be added after performing conversion such as conversion.

ウェブアクセス部108は、変換部107によって生成された複数のアクセス先に対して、実際にウェブアクセスを実行する。そして、ウェブアクセス部108は、アクセス先のそれぞれからウェブページなどのページ情報を取得し、トンネリング判定部110へ出力する。ここで、ウェブアクセス部108がアクセスした際に接続不可能であったアクセス先は、存在していないと考えられるため、変換部107によって生成されたすべてのアクセス先が接続不可能であれば、現在抽出されているセッションは有害なものではなく、不正な通信ではないと考えられる。また、ウェブアクセス部108は、アクセス先から例えばエラーページなどが取得された場合も、アクセス先への接続が可能であったものとし、エラーページのページ情報をトンネリング判定部110へ出力する。   The web access unit 108 actually performs web access to the plurality of access destinations generated by the conversion unit 107. Then, the web access unit 108 acquires page information such as a web page from each access destination, and outputs the page information to the tunneling determination unit 110. Here, since it is considered that there is no access destination that cannot be connected when the web access unit 108 accesses, if all the access destinations generated by the conversion unit 107 are not connectable, Currently extracted sessions are not harmful and are not considered to be unauthorized communications. Further, even when an error page or the like is acquired from the access destination, the web access unit 108 assumes that the connection to the access destination is possible and outputs the page information of the error page to the tunneling determination unit 110.

不正ワード記憶部109は、トンネリングが行われる際のアクセス先のページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶している。具体的には、不正ワード記憶部109は、例えば「VPN」、「Share」、または「Storage」などの文字列を不正ワードとして記憶している。これらの不正ワードは、ウェブページを参照する以外の動作を指定する場合に用いられる傾向がある文字列であり、アクセス先のウェブページが正当なものであれば、通常はページ情報に不正ワードが含まれることはない。   The illegal word storage unit 109 stores in advance an illegal word characteristic as a character string included in the page information of the access destination when tunneling is performed. Specifically, the illegal word storage unit 109 stores a character string such as “VPN”, “Share”, or “Storage” as an illegal word. These illegal words are strings that tend to be used when specifying actions other than referring to a web page. If the accessed web page is valid, the illegal word is usually included in the page information. It is never included.

トンネリング判定部110は、ウェブアクセス部108によって取得されたページ情報内に不正ワード記憶部109によって記憶された不正ワードが含まれるか否かを判定し、ページ情報内に不正ワードが含まれる場合は、現在抽出されているセッションがトンネリングを実行するものであると判定する。そして、トンネリング判定部110は、セッションがトンネリングであることを監視結果出力部111および不正シグネチャ生成部112へ通知する。また、トンネリング判定部110は、ページ情報内に不正ワードが含まれない場合は、セッションが不正なセッションではないと判定する。   The tunneling determination unit 110 determines whether or not an illegal word stored by the illegal word storage unit 109 is included in the page information acquired by the web access unit 108, and when the illegal word is included in the page information. It is determined that the currently extracted session is to perform tunneling. Then, the tunneling determination unit 110 notifies the monitoring result output unit 111 and the unauthorized signature generation unit 112 that the session is tunneling. Further, the tunneling determination unit 110 determines that the session is not an unauthorized session when an invalid word is not included in the page information.

監視結果出力部111は、現在抽出されているセッションが不正な通信であることがセッション判定部105から通知されたり、セッションがトンネリングを実行するものであることがトンネリング判定部110から通知されたりした場合に、その旨を監視結果として出力する。   The monitoring result output unit 111 is notified from the session determination unit 105 that the currently extracted session is an unauthorized communication, or notified from the tunneling determination unit 110 that the session is to be tunneled. In that case, the fact is output as a monitoring result.

不正シグネチャ生成部112は、トンネリングを実行するものであると判定されたセッション内において繰り返し出現するデータパターンから不正シグネチャを生成する。すなわち、不正シグネチャ生成部112は、セッション判定部105がセッションを不正セッション候補と判断する根拠となったデータパターンを用いて不正シグネチャを生成する。そして、不正シグネチャ生成部112は、生成した不正シグネチャを不正シグネチャ記憶部104に記憶させる。したがって、トンネリング判定部110によってセッションがトンネリングを実行するものであると判定されると、不正シグネチャ生成部112によって生成された新たな不正シグネチャが不正シグネチャ記憶部104によって学習されることになる。   The illegal signature generation unit 112 generates an illegal signature from a data pattern that repeatedly appears in a session that is determined to execute tunneling. That is, the unauthorized signature generation unit 112 generates an unauthorized signature using a data pattern that is a basis for the session determination unit 105 to determine a session as an unauthorized session candidate. Then, the unauthorized signature generation unit 112 stores the generated unauthorized signature in the unauthorized signature storage unit 104. Therefore, when the tunneling determination unit 110 determines that the session is to perform tunneling, a new unauthorized signature generated by the unauthorized signature generation unit 112 is learned by the unauthorized signature storage unit 104.

次いで、上記のように構成された通信監視装置100の動作について、具体的に例を挙げながら図5に示すフロー図を参照して説明する。   Next, the operation of the communication monitoring apparatus 100 configured as described above will be described with reference to the flowchart shown in FIG.

サーバ10およびクライアント20の間で送受信されるパケットは、常時通信監視装置100のパケット受信部101によって受信されており、パケット蓄積部102によって蓄積される。そして、セッション抽出部103によって、蓄積されたパケットの中から1つのセッションに相当するパケット群が抽出される(ステップS101)。すなわち、セッション抽出部103によって、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとが検出され、SYNパケットの送受信時からFINパケットの送受信時までの間に送受信されたパケット群が1つのセッションのパケットとして抽出される。なお、上述したように、セッションの抽出に際しては、セッション抽出部103によって、RSTパケットが検索されたり、セッションのタイムアウトが検出されたりするようにしても良い。   Packets transmitted and received between the server 10 and the client 20 are always received by the packet receiving unit 101 of the communication monitoring apparatus 100 and accumulated by the packet accumulating unit 102. Then, the session extraction unit 103 extracts a packet group corresponding to one session from the accumulated packets (step S101). That is, the packet group transmitted / received between the transmission / reception of the SYN packet and the transmission / reception of the FIN packet is detected by the session extraction unit 103 by detecting the SYN packet transmitted / received when the session is established and the FIN packet transmitted / received when the session is disconnected. Are extracted as packets of one session. As described above, when a session is extracted, the session extraction unit 103 may search for an RST packet or detect a session timeout.

そして、セッション判定部105によって、セッション内のパケットのメッセージ部分と不正シグネチャ記憶部104によって記憶された不正シグネチャとが照合され(ステップS102)、メッセージ部分に不正シグネチャとの一致部分があれば(ステップS102Yes)、現在抽出されているセッションは不正な通信であると考えられるため、その旨の監視結果が通知される(ステップS112)。   Then, the session determination unit 105 collates the message part of the packet in the session with the illegal signature stored by the illegal signature storage unit 104 (step S102), and if the message part has a matching part with the illegal signature (step S102). S102 Yes) Since the currently extracted session is considered to be unauthorized communication, a monitoring result to that effect is notified (step S112).

一方、メッセージ部分に不正シグネチャとの一致部分がなければ(ステップS102No)、引き続きセッション判定部105によって、トンネリングなどの不正な通信を示唆するメッセージ部分を含む問題パケットがセッション内にあるか否かが判定される(ステップS103)。   On the other hand, if there is no matching part with the illegal signature in the message part (No in step S102), the session determination unit 105 continues to determine whether or not there is a problem packet including a message part suggesting illegal communication such as tunneling in the session. Determination is made (step S103).

ここで、メッセージは、制御の内容や情報の内容によってデータのサイズが異なる。すなわち、個々のメッセージに含まれる制御データおよび情報データのサイズは、通常、すべて異なっている。しかし、メッセージがトンネリングを実行する制御データを含む場合には、同一セッション内で送受信される複数のメッセージの制御データのサイズが同一となったり、制御データに同一のデータパターンが含まれたりする。   Here, the data size of the message differs depending on the contents of control and information. That is, the sizes of control data and information data included in each message are usually all different. However, when the message includes control data for performing tunneling, the size of the control data of a plurality of messages transmitted and received within the same session is the same, or the same data pattern is included in the control data.

具体的には、例えば図6に示すように、制御データ#1、制御データ#3、および制御データ#5のサイズが同一である場合には、これらのメッセージが送受信されるセッションは、トンネリングなどの不正な通信である可能性がある。そこで、現在抽出されているセッションが不正な通信である可能性がある場合には、セッション判定部105によって、セッション内で繰り返し出現するデータパターンを含んだり、同一サイズの制御データを含んだりする問題パケットがセッション内で送受信されたか否かが判定される。   Specifically, for example, as shown in FIG. 6, when the sizes of the control data # 1, the control data # 3, and the control data # 5 are the same, a session in which these messages are transmitted and received is tunneling or the like. There is a possibility of unauthorized communication. Therefore, when there is a possibility that the currently extracted session is an unauthorized communication, the session determination unit 105 includes a data pattern that repeatedly appears in the session or includes control data of the same size. It is determined whether a packet has been transmitted / received within the session.

この判定の結果、セッション内に問題パケットがなければ(ステップS103No)、現在抽出されているセッションは、トンネリングなどの不正な通信を実行しない正規のセッションであると判断され(ステップS113)、処理が終了する。これに対して、セッション内に問題パケットがあれば(ステップS103Yes)、現在抽出されているセッションは、トンネリングなどの不正な通信を実行する可能性がある不正セッション候補であると判断され(ステップS104)、その旨がアクセス先抽出部106へ通知される。   If there is no problem packet in the session as a result of this determination (No in step S103), the currently extracted session is determined to be a regular session that does not execute unauthorized communication such as tunneling (step S113), and the process is performed. finish. On the other hand, if there is a problem packet in the session (Yes in step S103), the currently extracted session is determined to be an unauthorized session candidate that may execute unauthorized communication such as tunneling (step S104). ) Is notified to the access destination extraction unit 106.

そして、アクセス先抽出部106によって、セッション抽出部103によって抽出されたセッションに含まれるHTTPメッセージ部分から、制御データが指定するアクセス先が抽出される(ステップS105)。具体的には、アクセス先抽出部106によって、制御データに格納された「CONNECT」などの制御情報が検出され、この文字列の後方に配置されたアクセス先を示す文字列が抽出される。抽出される文字列は、アクセス先のIPアドレスやドメイン名を示している。   Then, the access destination extraction unit 106 extracts the access destination specified by the control data from the HTTP message part included in the session extracted by the session extraction unit 103 (step S105). Specifically, the access destination extraction unit 106 detects control information such as “CONNECT” stored in the control data, and extracts a character string indicating an access destination arranged behind this character string. The extracted character string indicates the IP address or domain name of the access destination.

アクセス先抽出部106によって抽出されたアクセス先の文字列は、変換部107へ出力され、変換部107によって、所定の規則に応じた変換が施される(ステップS106)。すなわち、変換部107によって、例えば図7に示すように、アクセス先の文字列全体または一部にHTTPのプロトコルにおいて使用される文字列が付加され、複数のアクセス先を示す文字列が生成される。   The access destination character string extracted by the access destination extraction unit 106 is output to the conversion unit 107, and the conversion unit 107 performs conversion according to a predetermined rule (step S106). That is, for example, as shown in FIG. 7, the conversion unit 107 adds character strings used in the HTTP protocol to all or part of the access destination character string, and generates character strings indicating a plurality of access destinations. .

図7においては、上段がアクセス先としてIPアドレスとポート番号が抽出された場合のアクセス先変換の例を示しており、下段がアクセス先としてドメイン名とポート番号が抽出された場合のアクセス先変換の例を示している。アクセス先としてIPアドレスとポート番号が抽出された場合には、例えば図7上段に示すように、IPアドレスとポート番号を表す文字列に「https://」が付加されたり、IPアドレスのみを表す文字列に「http://」が付加されたりする。また、アクセス先としてドメイン名とポート番号が抽出された場合には、上記の例のほかにも例えば図7下段に示すように、ホスト名ありのドメイン名(例えば「host.domain」)とホスト名なしのドメイン名(例えば「domain」)とに対して、それぞれ「http://www.」や「http://web.」などの文字列が付加される。   FIG. 7 shows an example of access destination conversion when an IP address and a port number are extracted as the access destination in the upper row, and an access destination conversion when the domain name and the port number are extracted as the access destination in the lower row. An example is shown. When the IP address and port number are extracted as the access destination, for example, as shown in the upper part of FIG. 7, “https: //” is added to the character string representing the IP address and port number, or only the IP address is changed. “Http: //” is added to the character string to be represented. When the domain name and port number are extracted as the access destination, in addition to the above example, as shown in the lower part of FIG. 7, for example, the domain name with the host name (for example, “host.domain”) and the host A character string such as “http: // www.” Or “http: // web.” Is added to an unnamed domain name (for example, “domain”).

なお、本実施の形態においては、図7に示す例以外にも、アクセス先の文字列に対して様々な変換を施しても良い。例えば、変換部107によって、図示しないDNSサーバからIPアドレスに対応するドメイン名が検索され、ドメイン名の文字を入れ替えたり変更したりする変換が行われても良い。   In this embodiment, in addition to the example shown in FIG. 7, various conversions may be performed on the character string to be accessed. For example, the conversion unit 107 may search for a domain name corresponding to the IP address from a DNS server (not shown), and may perform conversion for replacing or changing the characters of the domain name.

このような変換により得られたすべてのアクセス先は、変換部107からウェブアクセス部108へ通知され、ウェブアクセス部108によって、すべてのアクセス先に対するウェブアクセスが実行される(ステップS107)。ここでは、変換部107によって変換されて得られた複数のアクセス先すべてがアクセスされるため、制御データによって指定されるアクセス先のみではなく、周辺のサーバなどのアクセス先に対してもウェブアクセスが試みられる。そして、ウェブアクセス部108によって、それぞれのアクセス先に対する接続が可能であるか否かが判断され(ステップS108)、すべてのアクセス先に対する接続が不可能であった場合には(ステップS108No)、現在抽出されているセッションがトンネリングなどの不正な通信を実行するものと断定することはできないため、処理が終了する。   All access destinations obtained by such conversion are notified from the conversion unit 107 to the web access unit 108, and the web access unit 108 performs web access to all access destinations (step S107). Here, since all of a plurality of access destinations obtained by conversion by the conversion unit 107 are accessed, not only access destinations specified by the control data but also access destinations such as peripheral servers can be accessed by the web. Tried. Then, the web access unit 108 determines whether or not connection to each access destination is possible (step S108). If connection to all access destinations is impossible (No in step S108), Since it cannot be determined that the extracted session performs illegal communication such as tunneling, the process ends.

一方、1つでも接続が可能なアクセス先があった場合には(ステップS108Yes)、接続可能なアクセス先からウェブページなどのページ情報が取得される(ステップS109)。ここで、アクセス先からエラーページなどが取得された場合には、ウェブアクセス部108によって、接続が可能であったものと判断され、取得されたエラーページがページ情報となる。接続可能なアクセス先から取得されたすべてのページ情報は、ウェブアクセス部108からトンネリング判定部110へ出力される。   On the other hand, if there is one access destination that can be connected (step S108 Yes), page information such as a web page is acquired from the connectable access destination (step S109). Here, when an error page or the like is acquired from the access destination, the web access unit 108 determines that the connection is possible, and the acquired error page becomes page information. All the page information acquired from the connectable access destination is output from the web access unit 108 to the tunneling determination unit 110.

そして、トンネリング判定部110によって、すべてのページ情報と不正ワード記憶部109によって記憶された不正ワードとが照合され、ページ情報内に不正ワードが含まれているか否かが判定される(ステップS110)。この不正ワードは、セッションがトンネリングなどの不正な通信であることを示唆する単語であるため、ページ情報内に不正ワードが含まれていなければ(ステップS110No)、トンネリング判定部110によって、現在抽出されているセッションはトンネリングを実行するものではないと判定される。そして、この場合には、セッション内において、不正シグネチャとの一致部分を有するパケットが送受信されていないとともに、不正ワードを含むページ情報へのアクセスを促すパケットも送受信されていないことから、現在抽出されているセッションはトンネリングなどの不正な通信を実行するものではないと判断され、処理が終了する。   Then, all the page information and the illegal word stored by the illegal word storage unit 109 are collated by the tunneling determination unit 110, and it is determined whether or not an illegal word is included in the page information (step S110). . Since this illegal word is a word that suggests that the session is an illegal communication such as tunneling, if the illegal word is not included in the page information (No in step S110), the illegal word is currently extracted by the tunneling determination unit 110. Is determined not to perform tunneling. In this case, a packet having a matching portion with an illegal signature is not transmitted / received in the session, and a packet for prompting access to page information including an illegal word is not transmitted / received. Is determined not to execute unauthorized communication such as tunneling, and the process ends.

また、ページ情報内に不正ワードが含まれていれば(ステップS110Yes)、トンネリング判定部110によって、現在抽出されているセッションはトンネリングを実行するものであると判定される。そして、この場合には、不正シグネチャ生成部112によって、セッション内において繰り返し出現するデータパターンから不正シグネチャが生成され(ステップS111)、不正シグネチャ記憶部104に記憶される。同時に、セッションがトンネリングを実行するものであることから、その旨の監視結果が通知される(ステップS112)。   If an illegal word is included in the page information (Yes in step S110), the tunneling determination unit 110 determines that the currently extracted session is to perform tunneling. In this case, the unauthorized signature generation unit 112 generates an unauthorized signature from the data pattern that repeatedly appears in the session (step S111), and stores it in the unauthorized signature storage unit 104. At the same time, since the session executes tunneling, a monitoring result to that effect is notified (step S112).

以上のように、本実施の形態によれば、セッション内のパケットに不正シグネチャとの一致部分がない場合でも、パケットに含まれる制御データによって指定されるアクセス先を抽出し、抽出されたアクセス先の周辺のサーバなども含めた複数のアクセス先に実際にアクセスし、アクセス先から得られるページ情報に不正ワードが含まれるか否かによってセッションが不正な通信を実行するものであるか否かを判定する。このため、不正な通信を実行する場合に出現することが既に確認されている不正シグネチャが制御データに含まれていなくても、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。   As described above, according to the present embodiment, the access destination specified by the control data included in the packet is extracted even when the packet in the session does not have a matching portion with the illegal signature, and the extracted access destination Whether or not the session is to execute unauthorized communication depending on whether or not an illegal word is included in the page information obtained from the access destination, actually accessing multiple access destinations including servers around judge. For this reason, even if the control data does not contain an illegal signature that has already been confirmed to appear when executing unauthorized communication, it is possible to reliably detect unauthorized communication using a protocol that allows communication. be able to.

なお、上記一実施の形態においては、通信監視装置100によって、セッションがトンネリングを実行するものであるか否かの判定が行われることとしたが、上述した処理をコンピュータが読み取り可能なプログラムとして記述し、このプログラムをコンピュータに実行させることにより、本発明を実施することも可能である。   In the above embodiment, the communication monitoring apparatus 100 determines whether or not the session is to perform tunneling. However, the above-described processing is described as a computer-readable program. The present invention can also be implemented by causing a computer to execute this program.

以上の実施の形態に関して、さらに以下の付記を開示する。   Regarding the above embodiment, the following additional notes are disclosed.

(付記1)通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、
前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、
前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、
前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、
前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と
を有することを特徴とする通信監視装置。 (Supplementary note 1) Session extraction means for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting communication control information;
An access destination extracting means for extracting an access destination designated by the control information from the packet in the session extracted by the session extracting means;
Conversion means for performing conversion according to the protocol on the character string representing the access destination extracted by the access destination extraction means;
Access means for obtaining page information by accessing a conversion access destination obtained by conversion by the conversion means;
A communication unit comprising: a determination unit configured to determine whether or not the session extracted by the session extraction unit is an unauthorized communication based on page information acquired from the conversion access destination by the access unit; apparatus.

(付記2)前記変換手段は、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記1記載の通信監視装置。 (Appendix 2) The conversion means includes
The communication monitoring apparatus according to appendix 1, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination.

(付記3)前記判定手段は、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶する不正ワード記憶手段を含み、
前記不正ワード記憶手段によって記憶された不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であると判定することを特徴とする付記1記載の通信監視装置。 (Supplementary Note 3) The determination means includes
Including illegal word storage means for preliminarily storing illegal words characteristic as character strings included in page information exchanged in illegal communication,
Determining that the session extracted by the session extraction unit is an unauthorized communication when the illegal word stored by the illegal word storage unit is included in the page information acquired from the conversion access destination. The communication monitoring apparatus according to appendix 1.

(付記4)前記判定手段によって不正な通信であると判定された場合に、セッション内において繰り返し出現するデータパターンから不正な通信検出用の不正シグネチャを生成する生成手段と、
前記生成手段によって生成された不正シグネチャを記憶する不正シグネチャ記憶手段とをさらに有し、
前記アクセス先抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットが前記不正シグネチャ記憶手段によって記憶された不正シグネチャとの一致部分を含まない場合に、当該セッション内のパケットからアクセス先を抽出することを特徴とする付記1記載の通信監視装置。 (Supplementary Note 4) Generation means for generating an unauthorized signature for detecting unauthorized communication from a data pattern that repeatedly appears in a session when the determination means determines that the communication is unauthorized,
An unauthorized signature storage means for storing the unauthorized signature generated by the generating means;
The access destination extracting means includes
The access destination is extracted from the packet in the session when the packet in the session extracted by the session extraction unit does not include a matching portion with the illegal signature stored in the illegal signature storage unit. The communication monitoring device according to attachment 1.

(付記5)コンピュータによって実行される通信監視プログラムであって、前記コンピュータに、
通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を実行させることを特徴とする通信監視プログラム。 (Supplementary Note 5) A communication monitoring program executed by a computer,
A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is an unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring program.

(付記6)前記変換ステップは、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記5記載の通信監視プログラム。 (Appendix 6) The conversion step includes
6. The communication monitoring program according to appendix 5, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination.

(付記7)前記判定ステップは、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であると判定することを特徴とする付記5記載の通信監視プログラム。 (Appendix 7) The determination step includes:
The session extracted in the session extraction step is invalid when an illegal word characteristic as a character string included in the page information exchanged in illegal communication is included in the page information acquired from the conversion access destination. The communication monitoring program according to appendix 5, characterized in that it is determined that the communication is inconsistent.

(付記8)前記アクセス先抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットが、過去に不正な通信であると判定されたセッション内において繰り返し出現するデータパターンから生成された不正な通信検出用の不正シグネチャとの一致部分を含まない場合に、セッション内のパケットからアクセス先を抽出することを特徴とする付記5記載の通信監視プログラム。 (Supplementary Note 8) The access destination extraction step includes:
A portion in which a packet in the session extracted in the session extraction step matches an unauthorized signature for detecting unauthorized communication generated from a data pattern that repeatedly appears in a session that has been determined to be unauthorized communication in the past. 6. The communication monitoring program according to appendix 5, wherein an access destination is extracted from a packet in a session when it is not included.

(付記9)通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を有することを特徴とする通信監視方法。 (Additional remark 9) The session extraction step which extracts the packet transmitted / received within the session established between a pair of transmission / reception apparatuses from the some packet transmitted / received by the protocol which can transmit the control information for communication,
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring method.

(付記10)前記変換ステップは、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記9記載の通信監視方法。 (Supplementary Note 10) The conversion step includes:
The communication monitoring method according to appendix 9, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination.

(付記11)前記判定ステップは、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であると判定することを特徴とする付記9記載の通信監視方法。 (Supplementary Note 11) The determination step includes:
The session extracted in the session extraction step is invalid when an illegal word characteristic as a character string included in the page information exchanged in illegal communication is included in the page information acquired from the conversion access destination. 10. The communication monitoring method according to appendix 9, wherein it is determined that the communication is correct.

(付記12)前記アクセス先抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットが、過去に不正な通信であると判定されたセッション内において繰り返し出現するデータパターンから生成された不正な通信検出用の不正シグネチャとの一致部分を含まない場合に、セッション内のパケットからアクセス先を抽出することを特徴とする付記9記載の通信監視方法。 (Supplementary Note 12) The access destination extraction step includes:
A portion in which a packet in the session extracted in the session extraction step matches an unauthorized signature for detecting unauthorized communication generated from a data pattern that repeatedly appears in a session that has been determined to be unauthorized communication in the past. 10. The communication monitoring method according to appendix 9, wherein an access destination is extracted from a packet in a session when it is not included.

一実施の形態に係る通信システムの概略構成を示すブロック図である。1 is a block diagram showing a schematic configuration of a communication system according to an embodiment. 一実施の形態に係るパケット構成の具体例を示す図である。It is a figure which shows the specific example of the packet structure which concerns on one embodiment. 一実施の形態に係る通信監視装置の要部構成を示すブロック図である。It is a block diagram which shows the principal part structure of the communication monitoring apparatus which concerns on one embodiment. 一実施の形態に係る不正シグネチャの具体例を示す図である。It is a figure which shows the specific example of the unauthorized signature which concerns on one embodiment. 一実施の形態に係る通信監視装置の動作を示すフロー図である。It is a flowchart which shows operation | movement of the communication monitoring apparatus which concerns on one embodiment. 一実施の形態に係るメッセージの具体例を示す図である。It is a figure which shows the specific example of the message which concerns on one Embodiment. 一実施の形態に係るアクセス先変換の具体例を示す図である。It is a figure which shows the specific example of the access destination conversion which concerns on one embodiment.

符号の説明Explanation of symbols

101 パケット受信部
102 パケット蓄積部
103 セッション抽出部
104 不正シグネチャ記憶部
105 セッション判定部
106 アクセス先抽出部
107 変換部
108 ウェブアクセス部
109 不正ワード記憶部
110 トンネリング判定部
111 監視結果出力部
112 不正シグネチャ生成部 DESCRIPTION OF SYMBOLS 101 Packet receiving part 102 Packet storage part 103 Session extraction part 104 Fraud signature storage part 105 Session determination part 106 Access destination extraction part 107 Conversion part 108 Web access part 109 Invalid word storage part 110 Tunneling determination part 111 Monitoring result output part 112 Unauthorized signature Generator

Claims (6)

通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、
前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、
前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、
前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、
前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と
を有することを特徴とする通信監視装置。 Session extraction means for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extracting means for extracting an access destination designated by the control information from the packet in the session extracted by the session extracting means;
Conversion means for performing conversion according to the protocol on the character string representing the access destination extracted by the access destination extraction means;
Access means for obtaining page information by accessing a conversion access destination obtained by conversion by the conversion means;
A communication unit comprising: a determination unit configured to determine whether or not the session extracted by the session extraction unit is an unauthorized communication based on page information acquired from the conversion access destination by the access unit; apparatus. 前記変換手段は、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする請求項1記載の通信監視装置。 The converting means includes
The communication monitoring apparatus according to claim 1, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination. 前記判定手段は、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶する不正ワード記憶手段を含み、
前記不正ワード記憶手段によって記憶された不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であると判定することを特徴とする請求項1記載の通信監視装置。 The determination means includes
Including illegal word storage means for preliminarily storing illegal words characteristic as character strings included in page information exchanged in illegal communication,
Determining that the session extracted by the session extraction unit is an unauthorized communication when the illegal word stored by the illegal word storage unit is included in the page information acquired from the conversion access destination. The communication monitoring apparatus according to claim 1. 前記判定手段によって不正な通信であると判定された場合に、セッション内において繰り返し出現するデータパターンから不正な通信検出用の不正シグネチャを生成する生成手段と、
前記生成手段によって生成された不正シグネチャを記憶する不正シグネチャ記憶手段とをさらに有し、
前記アクセス先抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットが前記不正シグネチャ記憶手段によって記憶された不正シグネチャとの一致部分を含まない場合に、当該セッション内のパケットからアクセス先を抽出することを特徴とする請求項1記載の通信監視装置。 Generating means for generating an unauthorized signature for detecting unauthorized communication from a data pattern that repeatedly appears in a session when the determining means determines that the communication is unauthorized;
An unauthorized signature storage means for storing the unauthorized signature generated by the generating means;
The access destination extracting means includes
The access destination is extracted from the packet in the session when the packet in the session extracted by the session extraction unit does not include a matching portion with the illegal signature stored in the illegal signature storage unit. The communication monitoring apparatus according to claim 1. コンピュータによって実行される通信監視プログラムであって、前記コンピュータに、
通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を実行させることを特徴とする通信監視プログラム。 A communication monitoring program executed by a computer, wherein the computer
A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is an unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring program. 通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を有することを特徴とする通信監視方法。 A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring method.
JP2008074343A 2008-03-21 2008-03-21 Communication monitoring device, communication monitoring program, and communication monitoring method Active JP4985503B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008074343A JP4985503B2 (en) 2008-03-21 2008-03-21 Communication monitoring device, communication monitoring program, and communication monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008074343A JP4985503B2 (en) 2008-03-21 2008-03-21 Communication monitoring device, communication monitoring program, and communication monitoring method

Publications (2)

Publication Number Publication Date
JP2009230418A JP2009230418A (en) 2009-10-08
JP4985503B2 true JP4985503B2 (en) 2012-07-25

Family

ID=41245731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008074343A Active JP4985503B2 (en) 2008-03-21 2008-03-21 Communication monitoring device, communication monitoring program, and communication monitoring method

Country Status (1)

Country Link
JP (1) JP4985503B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5294098B2 (en) * 2010-12-24 2013-09-18 キヤノンマーケティングジャパン株式会社 Relay processing device, control method therefor, and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002199025A (en) * 2000-12-26 2002-07-12 Mitsubishi Electric Corp Device for protecting network
JP2003218949A (en) * 2002-01-22 2003-07-31 Nakagawa Metal:Kk Supervisory method for illegitimate use of network
JP2004140618A (en) * 2002-10-18 2004-05-13 Yokogawa Electric Corp Packet filter device and illegal access detection device
JP4260658B2 (en) * 2004-03-12 2009-04-30 三菱電機株式会社 VPN device and fraud detection system
JP2007334759A (en) * 2006-06-16 2007-12-27 Oki Electric Ind Co Ltd Information leakage prevention device, method, and program

Also Published As

Publication number Publication date
JP2009230418A (en) 2009-10-08

Similar Documents

Publication Publication Date Title
JP4905395B2 (en) Communication monitoring device, communication monitoring program, and communication monitoring method
JP5966406B2 (en) Data relay system, apparatus and program
CN106603491B (en) Portal authentication method based on https protocol and router
JP4410791B2 (en) Address spoofing check device and network system
CN101068142B (en) Communication structure and its intermediate routing node and method
JP5532458B2 (en) Computer system, controller, and network monitoring method
US8191119B2 (en) Method for protecting against denial of service attacks
JP5375156B2 (en) Communication system, relay device, terminal device, and program
US7630364B2 (en) Securely managing network element state information in transport-layer associations
JP2003046533A (en) Network system, authentication method therefor and program thereof
US9515926B2 (en) Communication system, upper layer switch, control apparatus, switch control method, and program
JP2009044664A (en) Program for controlling communication device, and communication device
JP2020017809A (en) Communication apparatus and communication system
WO2013091407A1 (en) Telnet command filter method and network security device and system
JP2013070325A (en) Communication system, communication apparatus, server, and communication method
JP2006185194A (en) Server device, communication control method, and program
JP4985503B2 (en) Communication monitoring device, communication monitoring program, and communication monitoring method
CN101662357A (en) Method for accessing secure gateway client
EP3414877B1 (en) Technique for transport protocol selection and setup of a connection between a client and a server
JP4285225B2 (en) Relay device, network system, network access method, and program
KR101211147B1 (en) System for network inspection and providing method thereof
CN101938428B (en) Message transmission method and equipment
JP4992780B2 (en) Communication monitoring device, communication monitoring program, and communication monitoring method
JP4557026B2 (en) Terminal device and program
JP2008199420A (en) Gateway device and authentication processing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120403

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120416

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4985503

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3