JP4985503B2 - Communication monitoring device, communication monitoring program, and communication monitoring method - Google Patents
Communication monitoring device, communication monitoring program, and communication monitoring method Download PDFInfo
- Publication number
- JP4985503B2 JP4985503B2 JP2008074343A JP2008074343A JP4985503B2 JP 4985503 B2 JP4985503 B2 JP 4985503B2 JP 2008074343 A JP2008074343 A JP 2008074343A JP 2008074343 A JP2008074343 A JP 2008074343A JP 4985503 B2 JP4985503 B2 JP 4985503B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- access destination
- conversion
- communication
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、通信監視装置、通信監視プログラム、および通信監視方法に関し、特に、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる通信監視装置、通信監視プログラム、および通信監視方法に関する。 The present invention relates to a communication monitoring apparatus, a communication monitoring program, and a communication monitoring method, and in particular, a communication monitoring apparatus, a communication monitoring program, and a communication that can reliably detect unauthorized communication using a protocol that allows communication. It relates to the monitoring method.
従来、インターネットなどのネットワークを介したサーバとクライアントの間の通信においては、例えば正当なアクセス権がない不正なクライアントによるサーバへのアクセスなどの不正な通信を防止することが重要となっている。具体的には、例えば企業などの組織内のLAN(Local Area Network)とインターネットなどの外部ネットワークとの境界にファイアウォールが設けられ、外部とLANの通信を制限するなどの対策が一般的である。 Conventionally, in communication between a server and a client via a network such as the Internet, it has been important to prevent unauthorized communication such as access to the server by an unauthorized client having no legitimate access right. Specifically, for example, a countermeasure is generally provided such that a firewall is provided at the boundary between a LAN (Local Area Network) in an organization such as a company and an external network such as the Internet, and communication between the outside and the LAN is restricted.
ところで、インターネットを介したサーバとクライアント間のデータの送受信には、HTTP(Hyper Text Transfer Protocol)と呼ばれるプロトコルが用いられることがある。HTTPは、主にクライアントがウェブサーバからウェブページのデータを取得する際などに用いられる。HTTPとして伝送されるデータは、個別に設定されなければ、上述したファイアウォールによっても遮断されることがなく、サーバとクライアント間で自由に送受信される。したがって、悪意があるユーザが不正な伝送路を確立するための制御データをHTTPとして送信することにより、サーバとクライアント間で不正な通信のための伝送路が容易に確立され、不正な通信が行われる危険性がある。このように、遮断されることがないプロトコル(例えばHTTP)を利用した不正な通信のための伝送路の確立は、一般にトンネリングと呼ばれる。 By the way, a protocol called HTTP (Hyper Text Transfer Protocol) may be used for data transmission / reception between a server and a client via the Internet. HTTP is mainly used when a client acquires web page data from a web server. If the data transmitted as HTTP is not set individually, it is not blocked by the firewall described above, and can be freely transmitted and received between the server and the client. Therefore, when a malicious user transmits control data for establishing an unauthorized transmission path as HTTP, a transmission path for unauthorized communication is easily established between the server and the client, and unauthorized communication is performed. There is a risk of being caught. Thus, establishment of a transmission path for unauthorized communication using a protocol that is not blocked (for example, HTTP) is generally referred to as tunneling.
このようなトンネリングを防止するためには、例えば特許文献1および特許文献2などに開示された技術を用いることができる。すなわち、トンネリングの際には、不正な伝送路を確立するための制御データは特定のパターンを含んでいることから、このデータパターンをシグネチャとしてあらかじめ記憶しておき、記憶されたシグネチャと実際に送受信されるパケットとを照合することにより、パケットがトンネリングに利用されているか否かを判断することが可能となる。換言すれば、送受信されるパケットにシグネチャが含まれている場合には、トンネリングが行われていると判断することができる。
In order to prevent such tunneling, for example, techniques disclosed in
しかしながら、一般に、トンネリングなどの不正な通信の具体的な手法は明らかではないため、あらかじめ記憶されたシグネチャとパケットとの照合では、すべての不正な通信を確実に検出しきれないという問題がある。具体的には、悪意があるユーザがトンネリングのためにHTTPとして伝送する制御データのすべてのデータパターンをあらかじめ記憶することは不可能であるため、不正な通信に特徴的なシグネチャが記憶されてパケットとの照合が行われるが、不正な通信の手法によっては、記憶された特徴的なシグネチャが必ずしもパケットに含まれるとは限らない。 However, in general, a specific method of unauthorized communication such as tunneling is not clear, and there is a problem that it is not possible to reliably detect all unauthorized communications by collating a previously stored signature with a packet. Specifically, since it is impossible for a malicious user to store in advance all data patterns of control data transmitted as HTTP for tunneling, a signature characteristic to unauthorized communication is stored in the packet. However, depending on the method of unauthorized communication, the stored characteristic signature is not always included in the packet.
また、トンネリングの手法が変われば、そのプロトコルによって送受信される制御データも変化するが、変化し得るすべての制御データに対応するシグネチャをあらかじめ記憶しておくのは現実的ではない。したがって、パケットとシグネチャの照合によって検出可能であるのは、不正な通信の一部に過ぎない。 If the tunneling technique changes, the control data transmitted and received by the protocol also changes. However, it is not realistic to store in advance signatures corresponding to all control data that can change. Therefore, it is only a part of unauthorized communication that can be detected by matching a packet with a signature.
本発明はかかる点に鑑みてなされたものであり、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる通信監視装置、通信監視プログラム、および通信監視方法を提供することを目的とする。 The present invention has been made in view of the above points, and provides a communication monitoring device, a communication monitoring program, and a communication monitoring method capable of reliably detecting unauthorized communication using a protocol that allows communication. With the goal.
上記課題を解決するために、通信監視装置は、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段とを有する構成を採る。 In order to solve the above-mentioned problem, the communication monitoring apparatus extracts packets transmitted / received in a session established between a pair of transmission / reception apparatuses from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication. Session extraction means, access destination extraction means for extracting an access destination specified by control information from a packet in the session extracted by the session extraction means, and characters representing the access destination extracted by the access destination extraction means A conversion unit that performs conversion according to the protocol for the column; an access unit that accesses a conversion access destination obtained by conversion by the conversion unit to obtain page information; and that is acquired from the conversion access destination by the access unit On the basis of the obtained page information by the session extraction means. Extracted Te session adopts a configuration having a determination means for determining whether an unauthorized communication.
また、通信監視プログラムは、コンピュータによって実行される通信監視プログラムであって、前記コンピュータに、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップとを実行させるようにした。 The communication monitoring program is a communication monitoring program executed by a computer, and is established between a pair of transmission / reception devices from a plurality of packets transmitted and received by a protocol capable of transmitting control information for communication to the computer. A session extraction step for extracting packets transmitted and received in the session; an access destination extraction step for extracting an access destination specified by control information from the packets in the session extracted in the session extraction step; and the access destination A conversion step for converting the character string representing the access destination extracted in the extraction step according to the protocol, and accessing the conversion access destination obtained by conversion in the conversion step to obtain page information Access step and said access step Based on the obtained page information from the conversion accessed Te, the session extracted in the session extracting step is to be executed and determining whether or not an unauthorized communication.
また、通信監視方法は、通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップとを有するようにした。 Further, the communication monitoring method includes a session extraction step of extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting communication control information; From the packet in the session extracted in the session extraction step, an access destination extraction step for extracting the access destination specified by the control information, and a character string representing the access destination extracted in the access destination extraction step A conversion step for performing conversion according to the protocol, an access step for obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step, and acquired from the conversion access destination in the access step Based on the page information, in the session extraction step Issued session is to have a determining step of determining whether or not an unauthorized communication.
これらによれば、セッション内でやり取りされる制御情報によって指定されるアクセス先を含めた複数のアクセス先からページ情報を取得し、取得されたページ情報に基づいてセッションが不正な通信であるか否かを判定する。このため、過去に得られた不正シグネチャなどが制御情報に含まれていない場合でも、制御情報によって指定されるアクセス先および周辺のアクセス先が不正であるか否かを判定することができ、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。 According to these, page information is acquired from a plurality of access destinations including the access destination specified by the control information exchanged within the session, and whether or not the session is unauthorized communication based on the acquired page information. Determine whether. For this reason, even when an illegal signature obtained in the past is not included in the control information, it is possible to determine whether the access destination specified by the control information and the peripheral access destination are illegal. Thus, it is possible to reliably detect unauthorized communication using a protocol that is allowed.
本明細書に開示された通信監視装置、通信監視プログラム、および通信監視方法によれば、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。 According to the communication monitoring apparatus, the communication monitoring program, and the communication monitoring method disclosed in this specification, it is possible to reliably detect unauthorized communication using a protocol that allows communication.
本発明の骨子は、同一のデータパターンを含むパケットが繰り返し送受信されるセッションが検出された場合に、このセッション内のパケットによって指定されるアクセス先から実際にページ情報を取得し、取得されたページ情報にトンネリングを示唆する不正ワードが含まれていれば、セッションが不正な通信であると判定することである。以下、本発明の一実施の形態について、図面を参照しながら詳細に説明する。 The gist of the present invention is that when a session in which packets containing the same data pattern are repeatedly transmitted and received is detected, the page information is actually acquired from the access destination specified by the packet in this session, and the acquired page If the information includes an illegal word indicating tunneling, the session is determined to be unauthorized communication. Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
図1は、本発明の一実施の形態に係る通信システムの概略構成を示すブロック図である。同図に示す通信システムは、サーバ10、クライアント20、中継装置30、および通信監視装置100を有している。
FIG. 1 is a block diagram showing a schematic configuration of a communication system according to an embodiment of the present invention. The communication system shown in the figure includes a
サーバ10は、ネットワークNに接続されており、ネットワークNを介して複数のクライアント20との間でパケットを送受信する。また、複数のクライアント20は、中継装置30を介してネットワークNに接続されており、サーバ10との間でパケットを送受信する。中継装置30は、例えばルータ、スイッチ、またはファイアウォールなどを含み、サーバ10とクライアント20間で送受信されるパケットを中継する。
The
ここで、サーバ10およびクライアント20は、互いにアプリケーション層のメッセージを生成してデータを要求したり応答したりするが、このメッセージは、サイズが一定ではないため、このメッセージをTCP/IP(Transmission Control Protocol/Internet Protocol)層の所定サイズのパケットとして送受信している。すなわち、サーバ10およびクライアント20は、通信プロトコルの制御情報を含む制御データと制御情報によって制御する対象となる情報データとからなるメッセージを生成し、生成されたメッセージを1パケットに対応する所定サイズに分割して送信する。
Here, the
また、本実施の形態に係るパケット構成は、例えば図2のようになっている。すなわち、例えばウェブページのデータの送信を要求するためのHTTPメッセージが制御データおよび情報データから構成され、このHTTPメッセージにパケットの送信元アドレスや宛先アドレスなどを格納するTCP/IPヘッダが付加されている。そして、制御データは、パケットの宛先との間の通信を制御する制御情報、パケットの宛先に対して指定するアクセス先、およびアクセス先に関するポート番号を含んでいる。これらのうち、アクセス先およびポート番号は、図2下段に示すように、例えば「CONNECT」などの制御情報の後方に格納されている。すなわち、図2に示す例では、アクセス先およびポート番号は「192.168.XXX.XXX:PP」であり、「192.168.XXX.XXX」は、アクセス先のIPアドレスを示し、「PP」は、アクセス先に関するポート番号を示している。なお、アクセス先としては、IPアドレスの代わりにドメイン名が格納されていても良い。また、制御情報としては、「CONNECT」の他にも「GET」や「POST」など様々なものがある。 Further, the packet configuration according to the present embodiment is as shown in FIG. 2, for example. That is, for example, an HTTP message for requesting transmission of web page data is composed of control data and information data, and a TCP / IP header for storing a packet transmission source address, a destination address, and the like is added to the HTTP message. Yes. The control data includes control information for controlling communication with the packet destination, an access destination designated for the packet destination, and a port number related to the access destination. Among these, the access destination and the port number are stored behind the control information such as “CONNECT” as shown in the lower part of FIG. That is, in the example shown in FIG. 2, the access destination and the port number are “192.168..XXX.XXX: PP”, “192.168..XXX.XXX” indicates the IP address of the access destination, and “PP "Indicates the port number related to the access destination. As an access destination, a domain name may be stored instead of the IP address. In addition to “CONNECT”, there are various types of control information such as “GET” and “POST”.
図1に戻って、通信監視装置100は、サーバ10とクライアント20間で送受信されるパケットを取得し、サーバ10とクライアント20間で確立されるそれぞれのセッションごとに不正なメッセージが送受信されているか否かを監視する。このとき、通信監視装置100は、セッションの最初に送受信されたメッセージの制御データからアクセス先を抽出し、抽出されたアクセス先の周辺に実際にアクセスし、アクセス結果に基づいてセッションがトンネリングを実行する不正な通信であるか否かを判定する。なお、通信監視装置100による通信の監視については、後に詳述する。また、セッションの最初に送受信されたメッセージは、たとえセッションが不正な通信であってもHTTPメッセージなどの正当なプロトコルによるメッセージである。したがって、通信監視装置100は、セッションの最初に送受信されたメッセージ(例えばHTTPメッセージ)からアクセス先を抽出することが可能である。
Returning to FIG. 1, the
図3は、本実施の形態に係る通信監視装置100の要部構成を示すブロック図である。同図に示す通信監視装置100は、パケット受信部101、パケット蓄積部102、セッション抽出部103、不正シグネチャ記憶部104、セッション判定部105、アクセス先抽出部106、変換部107、ウェブアクセス部108、不正ワード記憶部109、トンネリング判定部110、監視結果出力部111、および不正シグネチャ生成部112を有している。
FIG. 3 is a block diagram showing a main configuration of
パケット受信部101は、サーバ10およびクライアント20の間で送受信されるすべてのパケットを受信する。パケット蓄積部102は、パケット受信部101によって受信されたパケットを蓄積する。なお、パケット蓄積部102は、後述する処理において不正な通信と判定されないセッションのパケットについては、宛先アドレスによって指定されるサーバ10またはクライアント20へ送信するものとしても良い。また、パケット蓄積部102は、パケット受信部101によって受信されたパケットの複製を蓄積し、元のパケットをサーバ10またはクライアント20へ送信するものとしても良い。
The packet receiving unit 101 receives all packets transmitted and received between the
セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、1つのセッションに相当するパケット群を抽出する。具体的には、セッション抽出部103は、パケット蓄積部102によって蓄積されたパケットの中から、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとを検索して抽出するとともに、これらのSYNパケットおよびFINパケットの間に同一のサーバ10とクライアント20間で送受信されたパケットをすべて抽出する。また、セッション抽出部103は、セッションが強制終了される場合に送受信されるRSTパケットを検索したり、セッションのタイムアウトを検出したりすることも併せて実行し、セッションを抽出しても良い。
The
不正シグネチャ記憶部104は、トンネリングなどの不正な通信時に送受信されるパケットに頻繁に含まれるデータパターンを不正シグネチャとして記憶する。具体的には、不正シグネチャ記憶部104は、例えば図4に示すように、それぞれ数バイトのデータパターンからなる複数の不正シグネチャを記憶している。また、図4では省略したが、不正シグネチャ記憶部104は、それぞれの不正シグネチャがパケットのメッセージ部分に配置される位置をデータパターンとともに記憶している。すなわち、不正シグネチャ記憶部104は、例えば図4に示す各データパターンがメッセージ部分の先頭から何バイト目に配置されるかを記憶している。 The illegal signature storage unit 104 stores data patterns frequently included in packets transmitted and received during illegal communication such as tunneling as illegal signatures. Specifically, the illegal signature storage unit 104 stores a plurality of illegal signatures each having a data pattern of several bytes, as shown in FIG. 4, for example. Although omitted in FIG. 4, the illegal signature storage unit 104 stores a position where each illegal signature is arranged in the message part of the packet together with the data pattern. That is, the illegal signature storage unit 104 stores, for example, how many bytes from the head of the message part each data pattern shown in FIG. 4 is arranged.
セッション判定部105は、セッション抽出部103によって抽出されたセッション内のパケットと不正シグネチャ記憶部104によって記憶された不正シグネチャとを照合し、セッションが不正な通信であるか否かを判定する。そして、セッション判定部105は、パケットのメッセージ部分に不正シグネチャと一致するデータパターンが含まれていれば、現在抽出されているセッションが不正な通信であることを監視結果出力部111へ通知する。
The
また、セッション判定部105は、パケットのメッセージ部分に不正なシグネチャと一致するデータパターンが含まれていなければ、さらにセッション内のメッセージ部分に同一のデータパターンが繰り返し出現するか否かを判定する。そして、セッション判定部105は、同一のデータパターンが繰り返し出現する場合には、現在抽出されているセッションを不正セッション候補と判断する。これは、トンネリングなどの不正な通信においては、不正な伝送路の確立のために同一のデータパターンがメッセージ部分の特に制御データに含まれることが多いため、同一のデータパターンの出現頻度によって、不正シグネチャとの照合では検出されない不正セッション候補を検出することを意味している。同様に、セッション判定部105は、メッセージ部分における制御データのサイズが等しいパケットが所定数以上ある場合には、現在抽出されているセッションを不正セッション候補と判断しても良い。
In addition, if the message part of the packet does not include a data pattern that matches the illegal signature, the
アクセス先抽出部106は、現在抽出されているセッションがセッション判定部105によって不正セッション候補であると判断されると、セッション抽出部103によって抽出されたパケットの制御データを確認し、指定されているアクセス先を抽出する。具体的には、アクセス先抽出部106は、セッションがセッション判定部105によって不正セッション候補であると判断される契機となったパケットの制御データにおいて、例えば図2に示した「CONNECT」などの制御情報の後方からアクセス先およびポート番号を抽出する。
When the
変換部107は、アクセス先抽出部106によって抽出されたアクセス先およびポート番号を複数のパターンで変換し、元のアクセス先の周辺を含めた複数のアクセス先を生成する。具体的には、変換部107は、アクセス先またはポート番号の文字列に例えば「https://」や「http://www.」などのプロトコルに固有の文字列を付加し、制御データによって示されたアクセス先の周辺のアクセス先を生成する。なお、変換部107は、アクセス先抽出部106によって抽出されたアクセス先およびポート番号の全体の文字列を変換しても良く、一部の文字列を変換しても良い。また、変換部107は、アクセス先がIPアドレスである場合、図示しないDNS(Domain Name System)サーバなどを検索してIPアドレスに対応するドメイン名を取得し、ドメイン名を構成する文字を一部変換するなどの変換を行った上でプロトコルに固有の文字列を付加しても良い。
The conversion unit 107 converts the access destination and the port number extracted by the access
ウェブアクセス部108は、変換部107によって生成された複数のアクセス先に対して、実際にウェブアクセスを実行する。そして、ウェブアクセス部108は、アクセス先のそれぞれからウェブページなどのページ情報を取得し、トンネリング判定部110へ出力する。ここで、ウェブアクセス部108がアクセスした際に接続不可能であったアクセス先は、存在していないと考えられるため、変換部107によって生成されたすべてのアクセス先が接続不可能であれば、現在抽出されているセッションは有害なものではなく、不正な通信ではないと考えられる。また、ウェブアクセス部108は、アクセス先から例えばエラーページなどが取得された場合も、アクセス先への接続が可能であったものとし、エラーページのページ情報をトンネリング判定部110へ出力する。
The
不正ワード記憶部109は、トンネリングが行われる際のアクセス先のページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶している。具体的には、不正ワード記憶部109は、例えば「VPN」、「Share」、または「Storage」などの文字列を不正ワードとして記憶している。これらの不正ワードは、ウェブページを参照する以外の動作を指定する場合に用いられる傾向がある文字列であり、アクセス先のウェブページが正当なものであれば、通常はページ情報に不正ワードが含まれることはない。
The illegal
トンネリング判定部110は、ウェブアクセス部108によって取得されたページ情報内に不正ワード記憶部109によって記憶された不正ワードが含まれるか否かを判定し、ページ情報内に不正ワードが含まれる場合は、現在抽出されているセッションがトンネリングを実行するものであると判定する。そして、トンネリング判定部110は、セッションがトンネリングであることを監視結果出力部111および不正シグネチャ生成部112へ通知する。また、トンネリング判定部110は、ページ情報内に不正ワードが含まれない場合は、セッションが不正なセッションではないと判定する。
The
監視結果出力部111は、現在抽出されているセッションが不正な通信であることがセッション判定部105から通知されたり、セッションがトンネリングを実行するものであることがトンネリング判定部110から通知されたりした場合に、その旨を監視結果として出力する。
The monitoring result output unit 111 is notified from the
不正シグネチャ生成部112は、トンネリングを実行するものであると判定されたセッション内において繰り返し出現するデータパターンから不正シグネチャを生成する。すなわち、不正シグネチャ生成部112は、セッション判定部105がセッションを不正セッション候補と判断する根拠となったデータパターンを用いて不正シグネチャを生成する。そして、不正シグネチャ生成部112は、生成した不正シグネチャを不正シグネチャ記憶部104に記憶させる。したがって、トンネリング判定部110によってセッションがトンネリングを実行するものであると判定されると、不正シグネチャ生成部112によって生成された新たな不正シグネチャが不正シグネチャ記憶部104によって学習されることになる。
The illegal
次いで、上記のように構成された通信監視装置100の動作について、具体的に例を挙げながら図5に示すフロー図を参照して説明する。
Next, the operation of the
サーバ10およびクライアント20の間で送受信されるパケットは、常時通信監視装置100のパケット受信部101によって受信されており、パケット蓄積部102によって蓄積される。そして、セッション抽出部103によって、蓄積されたパケットの中から1つのセッションに相当するパケット群が抽出される(ステップS101)。すなわち、セッション抽出部103によって、セッション確立時に送受信されるSYNパケットとセッション切断時に送受信されるFINパケットとが検出され、SYNパケットの送受信時からFINパケットの送受信時までの間に送受信されたパケット群が1つのセッションのパケットとして抽出される。なお、上述したように、セッションの抽出に際しては、セッション抽出部103によって、RSTパケットが検索されたり、セッションのタイムアウトが検出されたりするようにしても良い。
Packets transmitted and received between the
そして、セッション判定部105によって、セッション内のパケットのメッセージ部分と不正シグネチャ記憶部104によって記憶された不正シグネチャとが照合され(ステップS102)、メッセージ部分に不正シグネチャとの一致部分があれば(ステップS102Yes)、現在抽出されているセッションは不正な通信であると考えられるため、その旨の監視結果が通知される(ステップS112)。
Then, the
一方、メッセージ部分に不正シグネチャとの一致部分がなければ(ステップS102No)、引き続きセッション判定部105によって、トンネリングなどの不正な通信を示唆するメッセージ部分を含む問題パケットがセッション内にあるか否かが判定される(ステップS103)。
On the other hand, if there is no matching part with the illegal signature in the message part (No in step S102), the
ここで、メッセージは、制御の内容や情報の内容によってデータのサイズが異なる。すなわち、個々のメッセージに含まれる制御データおよび情報データのサイズは、通常、すべて異なっている。しかし、メッセージがトンネリングを実行する制御データを含む場合には、同一セッション内で送受信される複数のメッセージの制御データのサイズが同一となったり、制御データに同一のデータパターンが含まれたりする。 Here, the data size of the message differs depending on the contents of control and information. That is, the sizes of control data and information data included in each message are usually all different. However, when the message includes control data for performing tunneling, the size of the control data of a plurality of messages transmitted and received within the same session is the same, or the same data pattern is included in the control data.
具体的には、例えば図6に示すように、制御データ#1、制御データ#3、および制御データ#5のサイズが同一である場合には、これらのメッセージが送受信されるセッションは、トンネリングなどの不正な通信である可能性がある。そこで、現在抽出されているセッションが不正な通信である可能性がある場合には、セッション判定部105によって、セッション内で繰り返し出現するデータパターンを含んだり、同一サイズの制御データを含んだりする問題パケットがセッション内で送受信されたか否かが判定される。
Specifically, for example, as shown in FIG. 6, when the sizes of the
この判定の結果、セッション内に問題パケットがなければ(ステップS103No)、現在抽出されているセッションは、トンネリングなどの不正な通信を実行しない正規のセッションであると判断され(ステップS113)、処理が終了する。これに対して、セッション内に問題パケットがあれば(ステップS103Yes)、現在抽出されているセッションは、トンネリングなどの不正な通信を実行する可能性がある不正セッション候補であると判断され(ステップS104)、その旨がアクセス先抽出部106へ通知される。
If there is no problem packet in the session as a result of this determination (No in step S103), the currently extracted session is determined to be a regular session that does not execute unauthorized communication such as tunneling (step S113), and the process is performed. finish. On the other hand, if there is a problem packet in the session (Yes in step S103), the currently extracted session is determined to be an unauthorized session candidate that may execute unauthorized communication such as tunneling (step S104). ) Is notified to the access
そして、アクセス先抽出部106によって、セッション抽出部103によって抽出されたセッションに含まれるHTTPメッセージ部分から、制御データが指定するアクセス先が抽出される(ステップS105)。具体的には、アクセス先抽出部106によって、制御データに格納された「CONNECT」などの制御情報が検出され、この文字列の後方に配置されたアクセス先を示す文字列が抽出される。抽出される文字列は、アクセス先のIPアドレスやドメイン名を示している。
Then, the access
アクセス先抽出部106によって抽出されたアクセス先の文字列は、変換部107へ出力され、変換部107によって、所定の規則に応じた変換が施される(ステップS106)。すなわち、変換部107によって、例えば図7に示すように、アクセス先の文字列全体または一部にHTTPのプロトコルにおいて使用される文字列が付加され、複数のアクセス先を示す文字列が生成される。
The access destination character string extracted by the access
図7においては、上段がアクセス先としてIPアドレスとポート番号が抽出された場合のアクセス先変換の例を示しており、下段がアクセス先としてドメイン名とポート番号が抽出された場合のアクセス先変換の例を示している。アクセス先としてIPアドレスとポート番号が抽出された場合には、例えば図7上段に示すように、IPアドレスとポート番号を表す文字列に「https://」が付加されたり、IPアドレスのみを表す文字列に「http://」が付加されたりする。また、アクセス先としてドメイン名とポート番号が抽出された場合には、上記の例のほかにも例えば図7下段に示すように、ホスト名ありのドメイン名(例えば「host.domain」)とホスト名なしのドメイン名(例えば「domain」)とに対して、それぞれ「http://www.」や「http://web.」などの文字列が付加される。 FIG. 7 shows an example of access destination conversion when an IP address and a port number are extracted as the access destination in the upper row, and an access destination conversion when the domain name and the port number are extracted as the access destination in the lower row. An example is shown. When the IP address and port number are extracted as the access destination, for example, as shown in the upper part of FIG. 7, “https: //” is added to the character string representing the IP address and port number, or only the IP address is changed. “Http: //” is added to the character string to be represented. When the domain name and port number are extracted as the access destination, in addition to the above example, as shown in the lower part of FIG. 7, for example, the domain name with the host name (for example, “host.domain”) and the host A character string such as “http: // www.” Or “http: // web.” Is added to an unnamed domain name (for example, “domain”).
なお、本実施の形態においては、図7に示す例以外にも、アクセス先の文字列に対して様々な変換を施しても良い。例えば、変換部107によって、図示しないDNSサーバからIPアドレスに対応するドメイン名が検索され、ドメイン名の文字を入れ替えたり変更したりする変換が行われても良い。 In this embodiment, in addition to the example shown in FIG. 7, various conversions may be performed on the character string to be accessed. For example, the conversion unit 107 may search for a domain name corresponding to the IP address from a DNS server (not shown), and may perform conversion for replacing or changing the characters of the domain name.
このような変換により得られたすべてのアクセス先は、変換部107からウェブアクセス部108へ通知され、ウェブアクセス部108によって、すべてのアクセス先に対するウェブアクセスが実行される(ステップS107)。ここでは、変換部107によって変換されて得られた複数のアクセス先すべてがアクセスされるため、制御データによって指定されるアクセス先のみではなく、周辺のサーバなどのアクセス先に対してもウェブアクセスが試みられる。そして、ウェブアクセス部108によって、それぞれのアクセス先に対する接続が可能であるか否かが判断され(ステップS108)、すべてのアクセス先に対する接続が不可能であった場合には(ステップS108No)、現在抽出されているセッションがトンネリングなどの不正な通信を実行するものと断定することはできないため、処理が終了する。
All access destinations obtained by such conversion are notified from the conversion unit 107 to the
一方、1つでも接続が可能なアクセス先があった場合には(ステップS108Yes)、接続可能なアクセス先からウェブページなどのページ情報が取得される(ステップS109)。ここで、アクセス先からエラーページなどが取得された場合には、ウェブアクセス部108によって、接続が可能であったものと判断され、取得されたエラーページがページ情報となる。接続可能なアクセス先から取得されたすべてのページ情報は、ウェブアクセス部108からトンネリング判定部110へ出力される。
On the other hand, if there is one access destination that can be connected (step S108 Yes), page information such as a web page is acquired from the connectable access destination (step S109). Here, when an error page or the like is acquired from the access destination, the
そして、トンネリング判定部110によって、すべてのページ情報と不正ワード記憶部109によって記憶された不正ワードとが照合され、ページ情報内に不正ワードが含まれているか否かが判定される(ステップS110)。この不正ワードは、セッションがトンネリングなどの不正な通信であることを示唆する単語であるため、ページ情報内に不正ワードが含まれていなければ(ステップS110No)、トンネリング判定部110によって、現在抽出されているセッションはトンネリングを実行するものではないと判定される。そして、この場合には、セッション内において、不正シグネチャとの一致部分を有するパケットが送受信されていないとともに、不正ワードを含むページ情報へのアクセスを促すパケットも送受信されていないことから、現在抽出されているセッションはトンネリングなどの不正な通信を実行するものではないと判断され、処理が終了する。
Then, all the page information and the illegal word stored by the illegal
また、ページ情報内に不正ワードが含まれていれば(ステップS110Yes)、トンネリング判定部110によって、現在抽出されているセッションはトンネリングを実行するものであると判定される。そして、この場合には、不正シグネチャ生成部112によって、セッション内において繰り返し出現するデータパターンから不正シグネチャが生成され(ステップS111)、不正シグネチャ記憶部104に記憶される。同時に、セッションがトンネリングを実行するものであることから、その旨の監視結果が通知される(ステップS112)。
If an illegal word is included in the page information (Yes in step S110), the
以上のように、本実施の形態によれば、セッション内のパケットに不正シグネチャとの一致部分がない場合でも、パケットに含まれる制御データによって指定されるアクセス先を抽出し、抽出されたアクセス先の周辺のサーバなども含めた複数のアクセス先に実際にアクセスし、アクセス先から得られるページ情報に不正ワードが含まれるか否かによってセッションが不正な通信を実行するものであるか否かを判定する。このため、不正な通信を実行する場合に出現することが既に確認されている不正シグネチャが制御データに含まれていなくても、通信が許容されるプロトコルを利用した不正な通信を確実に検出することができる。 As described above, according to the present embodiment, the access destination specified by the control data included in the packet is extracted even when the packet in the session does not have a matching portion with the illegal signature, and the extracted access destination Whether or not the session is to execute unauthorized communication depending on whether or not an illegal word is included in the page information obtained from the access destination, actually accessing multiple access destinations including servers around judge. For this reason, even if the control data does not contain an illegal signature that has already been confirmed to appear when executing unauthorized communication, it is possible to reliably detect unauthorized communication using a protocol that allows communication. be able to.
なお、上記一実施の形態においては、通信監視装置100によって、セッションがトンネリングを実行するものであるか否かの判定が行われることとしたが、上述した処理をコンピュータが読み取り可能なプログラムとして記述し、このプログラムをコンピュータに実行させることにより、本発明を実施することも可能である。
In the above embodiment, the
以上の実施の形態に関して、さらに以下の付記を開示する。 Regarding the above embodiment, the following additional notes are disclosed.
(付記1)通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出手段と、
前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、
前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、
前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、
前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と
を有することを特徴とする通信監視装置。
(Supplementary note 1) Session extraction means for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting communication control information;
An access destination extracting means for extracting an access destination designated by the control information from the packet in the session extracted by the session extracting means;
Conversion means for performing conversion according to the protocol on the character string representing the access destination extracted by the access destination extraction means;
Access means for obtaining page information by accessing a conversion access destination obtained by conversion by the conversion means;
A communication unit comprising: a determination unit configured to determine whether or not the session extracted by the session extraction unit is an unauthorized communication based on page information acquired from the conversion access destination by the access unit; apparatus.
(付記2)前記変換手段は、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記1記載の通信監視装置。
(Appendix 2) The conversion means includes
The communication monitoring apparatus according to
(付記3)前記判定手段は、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶する不正ワード記憶手段を含み、
前記不正ワード記憶手段によって記憶された不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であると判定することを特徴とする付記1記載の通信監視装置。
(Supplementary Note 3) The determination means includes
Including illegal word storage means for preliminarily storing illegal words characteristic as character strings included in page information exchanged in illegal communication,
Determining that the session extracted by the session extraction unit is an unauthorized communication when the illegal word stored by the illegal word storage unit is included in the page information acquired from the conversion access destination. The communication monitoring apparatus according to
(付記4)前記判定手段によって不正な通信であると判定された場合に、セッション内において繰り返し出現するデータパターンから不正な通信検出用の不正シグネチャを生成する生成手段と、
前記生成手段によって生成された不正シグネチャを記憶する不正シグネチャ記憶手段とをさらに有し、
前記アクセス先抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットが前記不正シグネチャ記憶手段によって記憶された不正シグネチャとの一致部分を含まない場合に、当該セッション内のパケットからアクセス先を抽出することを特徴とする付記1記載の通信監視装置。
(Supplementary Note 4) Generation means for generating an unauthorized signature for detecting unauthorized communication from a data pattern that repeatedly appears in a session when the determination means determines that the communication is unauthorized,
An unauthorized signature storage means for storing the unauthorized signature generated by the generating means;
The access destination extracting means includes
The access destination is extracted from the packet in the session when the packet in the session extracted by the session extraction unit does not include a matching portion with the illegal signature stored in the illegal signature storage unit. The communication monitoring device according to
(付記5)コンピュータによって実行される通信監視プログラムであって、前記コンピュータに、
通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を実行させることを特徴とする通信監視プログラム。
(Supplementary Note 5) A communication monitoring program executed by a computer,
A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is an unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring program.
(付記6)前記変換ステップは、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記5記載の通信監視プログラム。
(Appendix 6) The conversion step includes
6. The communication monitoring program according to
(付記7)前記判定ステップは、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であると判定することを特徴とする付記5記載の通信監視プログラム。
(Appendix 7) The determination step includes:
The session extracted in the session extraction step is invalid when an illegal word characteristic as a character string included in the page information exchanged in illegal communication is included in the page information acquired from the conversion access destination. The communication monitoring program according to
(付記8)前記アクセス先抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットが、過去に不正な通信であると判定されたセッション内において繰り返し出現するデータパターンから生成された不正な通信検出用の不正シグネチャとの一致部分を含まない場合に、セッション内のパケットからアクセス先を抽出することを特徴とする付記5記載の通信監視プログラム。
(Supplementary Note 8) The access destination extraction step includes:
A portion in which a packet in the session extracted in the session extraction step matches an unauthorized signature for detecting unauthorized communication generated from a data pattern that repeatedly appears in a session that has been determined to be unauthorized communication in the past. 6. The communication monitoring program according to
(付記9)通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を有することを特徴とする通信監視方法。
(Additional remark 9) The session extraction step which extracts the packet transmitted / received within the session established between a pair of transmission / reception apparatuses from the some packet transmitted / received by the protocol which can transmit the control information for communication,
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring method.
(付記10)前記変換ステップは、
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする付記9記載の通信監視方法。
(Supplementary Note 10) The conversion step includes:
The communication monitoring method according to appendix 9, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination.
(付記11)前記判定ステップは、
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出ステップにて抽出されたセッションが不正な通信であると判定することを特徴とする付記9記載の通信監視方法。
(Supplementary Note 11) The determination step includes:
The session extracted in the session extraction step is invalid when an illegal word characteristic as a character string included in the page information exchanged in illegal communication is included in the page information acquired from the conversion access destination. 10. The communication monitoring method according to appendix 9, wherein it is determined that the communication is correct.
(付記12)前記アクセス先抽出ステップは、
前記セッション抽出ステップにて抽出されたセッション内のパケットが、過去に不正な通信であると判定されたセッション内において繰り返し出現するデータパターンから生成された不正な通信検出用の不正シグネチャとの一致部分を含まない場合に、セッション内のパケットからアクセス先を抽出することを特徴とする付記9記載の通信監視方法。
(Supplementary Note 12) The access destination extraction step includes:
A portion in which a packet in the session extracted in the session extraction step matches an unauthorized signature for detecting unauthorized communication generated from a data pattern that repeatedly appears in a session that has been determined to be unauthorized communication in the past. 10. The communication monitoring method according to appendix 9, wherein an access destination is extracted from a packet in a session when it is not included.
101 パケット受信部
102 パケット蓄積部
103 セッション抽出部
104 不正シグネチャ記憶部
105 セッション判定部
106 アクセス先抽出部
107 変換部
108 ウェブアクセス部
109 不正ワード記憶部
110 トンネリング判定部
111 監視結果出力部
112 不正シグネチャ生成部
DESCRIPTION OF SYMBOLS 101
Claims (6)
前記セッション抽出手段によって抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出手段と、
前記アクセス先抽出手段によって抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換手段と、
前記変換手段によって変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセス手段と、
前記アクセス手段によって変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出手段によって抽出されたセッションが不正な通信であるか否かを判定する判定手段と
を有することを特徴とする通信監視装置。 Session extraction means for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extracting means for extracting an access destination designated by the control information from the packet in the session extracted by the session extracting means;
Conversion means for performing conversion according to the protocol on the character string representing the access destination extracted by the access destination extraction means;
Access means for obtaining page information by accessing a conversion access destination obtained by conversion by the conversion means;
A communication unit comprising: a determination unit configured to determine whether or not the session extracted by the session extraction unit is an unauthorized communication based on page information acquired from the conversion access destination by the access unit; apparatus.
前記プロトコルに応じた文字列をアクセス先を表す文字列の一部または全部に付加することを特徴とする請求項1記載の通信監視装置。 The converting means includes
The communication monitoring apparatus according to claim 1, wherein a character string corresponding to the protocol is added to a part or all of a character string representing an access destination.
不正な通信においてやり取りされるページ情報内に含まれる文字列として特徴的な不正ワードをあらかじめ記憶する不正ワード記憶手段を含み、
前記不正ワード記憶手段によって記憶された不正ワードが変換アクセス先から取得されたページ情報内に含まれる場合に、前記セッション抽出手段によって抽出されたセッションが不正な通信であると判定することを特徴とする請求項1記載の通信監視装置。 The determination means includes
Including illegal word storage means for preliminarily storing illegal words characteristic as character strings included in page information exchanged in illegal communication,
Determining that the session extracted by the session extraction unit is an unauthorized communication when the illegal word stored by the illegal word storage unit is included in the page information acquired from the conversion access destination. The communication monitoring apparatus according to claim 1.
前記生成手段によって生成された不正シグネチャを記憶する不正シグネチャ記憶手段とをさらに有し、
前記アクセス先抽出手段は、
前記セッション抽出手段によって抽出されたセッション内のパケットが前記不正シグネチャ記憶手段によって記憶された不正シグネチャとの一致部分を含まない場合に、当該セッション内のパケットからアクセス先を抽出することを特徴とする請求項1記載の通信監視装置。 Generating means for generating an unauthorized signature for detecting unauthorized communication from a data pattern that repeatedly appears in a session when the determining means determines that the communication is unauthorized;
An unauthorized signature storage means for storing the unauthorized signature generated by the generating means;
The access destination extracting means includes
The access destination is extracted from the packet in the session when the packet in the session extracted by the session extraction unit does not include a matching portion with the illegal signature stored in the illegal signature storage unit. The communication monitoring apparatus according to claim 1.
通信用の制御情報を伝送可能なプロトコルによって送受信される複数のパケットから一対の送受信装置間で確立されたセッション内で送受信されるパケットを抽出するセッション抽出ステップと、
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を実行させることを特徴とする通信監視プログラム。 A communication monitoring program executed by a computer, wherein the computer
A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is an unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring program.
前記セッション抽出ステップにて抽出されたセッション内のパケットから、制御情報によって指定されるアクセス先を抽出するアクセス先抽出ステップと、
前記アクセス先抽出ステップにて抽出されたアクセス先を表す文字列に対して前記プロトコルに応じた変換を施す変換ステップと、
前記変換ステップにて変換されて得られる変換アクセス先にアクセスしてページ情報を取得するアクセスステップと、
前記アクセスステップにて変換アクセス先から取得されたページ情報に基づいて、前記セッション抽出ステップにて抽出されたセッションが不正な通信であるか否かを判定する判定ステップと
を有することを特徴とする通信監視方法。 A session extraction step for extracting packets transmitted / received in a session established between a pair of transmission / reception devices from a plurality of packets transmitted / received by a protocol capable of transmitting control information for communication;
An access destination extraction step for extracting an access destination designated by the control information from the packet in the session extracted in the session extraction step;
A conversion step of performing conversion according to the protocol on the character string representing the access destination extracted in the access destination extraction step;
An access step of obtaining page information by accessing a conversion access destination obtained by conversion in the conversion step;
A determination step of determining whether or not the session extracted in the session extraction step is unauthorized communication based on the page information acquired from the conversion access destination in the access step. Communication monitoring method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008074343A JP4985503B2 (en) | 2008-03-21 | 2008-03-21 | Communication monitoring device, communication monitoring program, and communication monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008074343A JP4985503B2 (en) | 2008-03-21 | 2008-03-21 | Communication monitoring device, communication monitoring program, and communication monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009230418A JP2009230418A (en) | 2009-10-08 |
JP4985503B2 true JP4985503B2 (en) | 2012-07-25 |
Family
ID=41245731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008074343A Active JP4985503B2 (en) | 2008-03-21 | 2008-03-21 | Communication monitoring device, communication monitoring program, and communication monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4985503B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5294098B2 (en) * | 2010-12-24 | 2013-09-18 | キヤノンマーケティングジャパン株式会社 | Relay processing device, control method therefor, and program |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002199025A (en) * | 2000-12-26 | 2002-07-12 | Mitsubishi Electric Corp | Device for protecting network |
JP2003218949A (en) * | 2002-01-22 | 2003-07-31 | Nakagawa Metal:Kk | Supervisory method for illegitimate use of network |
JP2004140618A (en) * | 2002-10-18 | 2004-05-13 | Yokogawa Electric Corp | Packet filter device and illegal access detection device |
JP4260658B2 (en) * | 2004-03-12 | 2009-04-30 | 三菱電機株式会社 | VPN device and fraud detection system |
JP2007334759A (en) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | Information leakage prevention device, method, and program |
-
2008
- 2008-03-21 JP JP2008074343A patent/JP4985503B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009230418A (en) | 2009-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4905395B2 (en) | Communication monitoring device, communication monitoring program, and communication monitoring method | |
JP5966406B2 (en) | Data relay system, apparatus and program | |
CN106603491B (en) | Portal authentication method based on https protocol and router | |
JP4410791B2 (en) | Address spoofing check device and network system | |
CN101068142B (en) | Communication structure and its intermediate routing node and method | |
JP5532458B2 (en) | Computer system, controller, and network monitoring method | |
US8191119B2 (en) | Method for protecting against denial of service attacks | |
JP5375156B2 (en) | Communication system, relay device, terminal device, and program | |
US7630364B2 (en) | Securely managing network element state information in transport-layer associations | |
JP2003046533A (en) | Network system, authentication method therefor and program thereof | |
US9515926B2 (en) | Communication system, upper layer switch, control apparatus, switch control method, and program | |
JP2009044664A (en) | Program for controlling communication device, and communication device | |
JP2020017809A (en) | Communication apparatus and communication system | |
WO2013091407A1 (en) | Telnet command filter method and network security device and system | |
JP2013070325A (en) | Communication system, communication apparatus, server, and communication method | |
JP2006185194A (en) | Server device, communication control method, and program | |
JP4985503B2 (en) | Communication monitoring device, communication monitoring program, and communication monitoring method | |
CN101662357A (en) | Method for accessing secure gateway client | |
EP3414877B1 (en) | Technique for transport protocol selection and setup of a connection between a client and a server | |
JP4285225B2 (en) | Relay device, network system, network access method, and program | |
KR101211147B1 (en) | System for network inspection and providing method thereof | |
CN101938428B (en) | Message transmission method and equipment | |
JP4992780B2 (en) | Communication monitoring device, communication monitoring program, and communication monitoring method | |
JP4557026B2 (en) | Terminal device and program | |
JP2008199420A (en) | Gateway device and authentication processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101119 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120326 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120403 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120416 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4985503 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |