JP5531064B2 - 通信装置、通信システム、通信方法、および、通信プログラム - Google Patents
通信装置、通信システム、通信方法、および、通信プログラム Download PDFInfo
- Publication number
- JP5531064B2 JP5531064B2 JP2012178175A JP2012178175A JP5531064B2 JP 5531064 B2 JP5531064 B2 JP 5531064B2 JP 2012178175 A JP2012178175 A JP 2012178175A JP 2012178175 A JP2012178175 A JP 2012178175A JP 5531064 B2 JP5531064 B2 JP 5531064B2
- Authority
- JP
- Japan
- Prior art keywords
- log information
- communication
- storage unit
- analysis
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 143
- 238000000034 method Methods 0.000 title claims description 18
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000001514 detection method Methods 0.000 claims description 23
- 230000005856 abnormality Effects 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 18
- 238000012790 confirmation Methods 0.000 claims description 10
- 238000012546 transfer Methods 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 13
- 230000036541 health Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Description
本発明は、ネットワークを介した攻撃を防御する通信装置、通信システム、通信方法、および、通信プログラムに関する。
ネットワークには、様々な脅威が潜んでおり、ネットワーク管理においては、セキュリティ対策が必須となっている。例えば、特許文献1には、複数のネットワークが相互に接続されたシステムにおいて、各ネットワークの境界に設けられたファイアフォール等で、所定のアクセスルールに基づいて通信の許否制御を行うことが記載されている。また、特許文献2には、攻撃等の妨害アクセスを防止するために、有害パケットを除去する技術が記載されている。
外部からの攻撃が既知の攻撃手法の場合は、あらかじめネットワーク機器で通信をブロックすることができるが、新しい手法の攻撃の場合は、当該未知の攻撃を検知することができず、ネットワーク内のサーバ等が攻撃を受けてしまう。
また、攻撃されたサーバ等のログから解析を行い、攻撃パターンを特定することができればネットワーク機器に対して攻撃をブロックするよう指示できるが、攻撃対象がユーザ機器等である場合は、必要なログの入手ができず、十分な解析が行えないために攻撃パターンが特定できない場合もある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、攻撃対象の機器がユーザ所有の機器であって、ログの入手が難しい場合であっても、未知の攻撃の疑いがある通信データを特定し、攻撃パターンの解析に必要な情報を取得可能な通信装置、通信システム、通信方法、および、通信プログラムを提供することにある。
上記目的を達成するため、本発明は、少なくとも1つの機器をネットワークに接続する通信装置であって、前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶手段と、前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶手段から抽出し、グレーリスト記憶手段に登録する異常検知手段と、前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶手段に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別手段と、前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶手段から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶手段から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶手段に登録する更新手段と、を備える。
本発明は、少なくとも1つの機器をネットワークに接続する通信装置と、解析装置とを備える通信システムであって、前記通信装置は、前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶手段と、前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶手段から抽出し、グレーリスト記憶手段に登録する異常検知手段と、前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶手段に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別手段と、前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶手段から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶手段から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶手段に登録する更新手段と、を備え、前記解析装置は、前記通信装置から送信された通信データを、前記機器と同じアプリケーションで実行し、デバッグモードでの実行結果のログ情報を取得する。
本発明は、少なくとも1つの機器をネットワークに接続する通信装置が行う通信方法であって、前記通信装置は、前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶部を備え、前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶部から抽出し、グレーリスト記憶部に登録する異常検知ステップと、前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶部に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別ステップと、前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶部から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶部から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶部に登録する更新ステップと、を行う。
本発明は、通信装置が実行する通信プログラムであって、前記通信装置は、前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶部を備え、前記通信装置に、前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶部から抽出し、グレーリスト記憶部に登録する異常検知ステップと、前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶部に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別ステップと、前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶部から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶部から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶部に登録する更新ステップと、を実行させる。
本発明によれば、攻撃対象の機器がユーザ所有の機器であって、ログの入手が難しい場合であっても、未知の攻撃の疑いがある通信データを特定し、攻撃パターンの解析に必要な情報を取得可能な通信装置、通信システム、通信方法、および、通信プログラムを提供することができる。
以下、本発明の実施形態について説明する。
図1は、本発明の実施形態に係る通信システムの全体構成を示す構成図である。本実施形態の通信システムは、ネットワークを介した外部からの攻撃を段階的に防御するものである。本実施形態の通信システムは、ネットワーク機器(通信装置)1と、当該ネットワーク機器1に接続された解析サーバ2(解析装置)と、を備える。
ネットワーク機器1には、少なくとも1つのサービス提供サーバ3(機器)が接続されるとともに、インターネットなどのネットワークに接続される。ネットワーク機器1は、サービス提供サーバ3をネットワークと接続するための機器であって、例えば、ルータ、ロードバランサなどを用いることができる。解析サーバ2は、ネットワーク機器1から送信された通信パケット(通信データ)を解析するサーバである。
サービス提供サーバ3は、ネットワークに接続された各端末4(PC、スマートフォンなど)に、所定のサービスを提供するサーバであって、例えば、Webサーバ、メールサーバなどを用いることができる。端末4は、ネットワークおよびネットワーク機器1を介して所望のサービス提供サーバ3にアクセスし、サービス提供サーバ3が提供するサービスを利用する。
図2は、ネットワーク機器1および解析サーバ2の構成を示すブロック図である。図示するネットワーク機器1は、転送部11(判別手段)と、異常検知部12と、リスト更新部13と、ログ情報記憶部14と、グレーリスト15と、ブラックリスト16とを備える。転送部11は、端末4とサービス提供サーバ3との間で送受信される通信パケットを受け付け、当該通信パケットで指定された宛先のサービス提供サーバ3または端末4に通信パケットを転送する。
また、本実施形態の転送部11は、ネットワークを介してサービス提供サーバ3に送信される通信パケットの一部が、グレーリスト15に記憶されたいずれかの通信ログの少なくとも1つのパラメータに一致する場合、当該通信パケットを解析サーバ2に送信する。また、転送部11は、通信パケットがブラックリスト16に記憶されたいずれかの攻撃パターンに一致する場合、当該通信パケットを指定された宛先のサービス提供サーバ3に転送しない。また、転送部11は、ネットワークを介してサービス提供サーバ3に送信される通信パケットの所定のパラメータを、ログ情報としてログ情報記憶部14に記憶する。なお、ログ情報は、サービス提供サーバ3と端末4との間の通信ログである。
図3は、ログ情報記憶部14に記憶されるログ情報の一例を示すものである。本実施形態では、通信パケットのプロトコル毎に、ログ情報をログ情報記憶部14に格納するものとする。図3(a)は、宛先となるサービス提供サーバ3がWebサーバの場合のHTTPプロトコルの通信パケットのログ情報の一例を示すものである。図3(a)に示すログ情報テーブルは、通信パケットを受け付けた時刻、送信先IPアドレス、送信元IPアドレス、受信インタフェース、送信インタフェース、送信先ポート、送信元ポート、HTTPメソッド、引数などを、通信パケットの所定のパラメータとして記憶する。
図3(b)は、宛先となるサービス提供サーバ3がメールサーバの場合のSMTPプロトコルの通信パケットのログ情報の一例を示すものである。図3(b)に示すログ情報テーブルは、通信パケットを受け付けた時刻、送信先IPアドレス、送信元IPアドレス、受信インタフェース、送信インタフェース、送信先ポート、送信元ポート、コマンド、引数などを、通信パケットの所定のパラメータとして記憶する。
異常検知部12は、各サービス提供サーバ3に対して、所定のタイミングで定期的に状態確認を行い、状態確認に対する応答がないサービス提供サーバ3については、サービス提供サーバ3がダウン(異常が発生)していると検知する。そして、応答がないサービス提供サーバ3に対して、ダウンする直前に送信された通信パケットが新たな攻撃パターンの疑いのある通信パケットであるとみなし、当該サービス提供サーバ3を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報をログ情報記憶部14から抽出し、疑わしい通信パケットのログ情報であるとして、グレーリスト15に登録する。
本実施形態では、異常検知部12は、状態確認として、ヘルスチェックを行うものとし、各レイヤでの稼動状態をチェックするものとする。例えば、各レイヤに応じて、pingコマンド、TCPコネクションのリクエスト、HEADメソッドのリクエストなどを用いるものとする。なお、異常検知部12は、所定のレイヤ(例えば、アプリケーションレイヤ)のみのヘルスチェックを行うこととしてもよい。
リスト更新部13は、解析サーバ2から解析結果を受信し、解析結果が正常な場合は、グレーリスト15から対応するログ情報を削除し、解析結果が正常でない場合は、グレーリスト15から対応するログ情報を削除するとともに、解析サーバ2に送信した通信パケットを、新たな攻撃であるとみなしてブラックリスト16に登録する。グレーリスト15には、新たな攻撃の疑いがある通信パケットのログ情報が登録される。ブラックリスト16には、攻撃パターンが登録される。
解析サーバ2は、ネットワーク機器1から送信された疑わしい通信パケットを解析するサーバである。本実施形態の解析サーバ2は、アプリケーション実行部21と、解析部22と、通知部23と、デバッグログ記憶部24とを備える。アプリケーション実行部21は、ネットワーク機器1から送信された通信パケットを受け付けて、サービス提供サーバ3と同じアプリケーションをデバッグモードで実行し、デバッグログをデバッグログ記憶部24に出力する。解析部22は、デバッグログ記憶部24に出力されたデバッグログを解析し、当該通信パケットが新たな攻撃パターンか否かを解析する。通知部23は、解析部22が解析した解析結果をネットワーク機器1に送信する。
上記説明したネットワーク機器1および解析サーバ2は、例えば、少なくともCPUと、メモリと、HDDなどの記憶装置とを備えたコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各システムの各機能が実現される。例えば、ネットワーク機器1用のプログラムの場合はネットワーク機器1のCPUが、そして、解析サーバ2用のプログラムの場合は解析サーバ2のCPUが実行することにより実現される。また、ネットワーク機器1用のプログラム、および解析サーバ2用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。なお、ネットワーク機器1と解析サーバ2は、1つのコンピュータシステムで実現されるものであってもよい。
次に、本実施形態の処理について説明する。
図4は、本実施形態におけるヘルスチェックの処理を示すフローチャートである。ネットワーク機器1の異常検知部12は、当該ネットワーク機器1に接続された配下の全てのサービス提供サーバ3に対して、アプリケーション(サービス)の稼動状況をチェックするためのヘルスチェック要求を、各サービス提供サーバ3に送信する(S11)。なお、異常検知部12は、アプリケーションレイヤでのヘルスチェックについては、例えば、Webサーバのサービス提供サーバ3には、HEADメソッドのリクエストを送信し、メールサーバのサービス提供サーバ3には、HELOコマンドを送信することなどが考えられる。
そして、異常検知部12は、S11で送信したヘルスチェック要求に対する正常な応答を受信した場合(S12:YES)、当該応答を送信したサービス提供サーバ3のアプリケーションは正常に動作し、端末4にサービスを提供していると判別する。
一方、S11で送信したヘルスチェック要求に対する正常な応答がない場合(S12:NO)、当該応答がないサービス提供サーバ3は、アプリケーションに異常が発生し、サービスの提供が行われていない(サーバダウン)と判別し、ログ情報記憶部14から所定のログ情報を抽出する(S13)。ここでは、異常検知部12は、ログ情報記憶部14の対応するプロトコルのログ情報テーブルから、応答のないサービス提供サーバ3を宛先(送信先)とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を抽出し、グレーリスト15に登録する。なお、応答のないサービス提供サーバ3を宛先とするログ情報か否かについては、例えば、ログ情報に含まれる送信先IPアドレス、送信インタフェース、送信先ポート番号などのパラメータを用いて判別する(図3参照)。また、ログ情報の時刻を用いて、応答がなくなる直前までの一定時間のログ情報を抽出する。すなわち、異常検知部12により応答がないと判別した現時点から所定の時間さかのぼった時点までの間の、直近のログ情報を抽出する。
そして、異常検知部12は、S13で抽出したログ情報を、メモリなどの記憶装置に記憶されたグレーリスト15に登録する(S14)。このようにグレーリスト15には、サービス提供サーバ3のダウンに関連する新たな攻撃の疑いがある通信パケットのログ情報が登録される。その際に、異常検知部12は、抽出した各ログ情報に、グループIDのパラメータを付加してグレーリスト15に登録する。グループIDは、同じタイミングでグレーリスト15に登録されたログ情報をグループ化し、同じタイミングで登録されたログ情報を特定するための識別情報である。異常検知部12は、S14で抽出した全てのログ情報に、同一のグループIDを設定してグレーリスト15に登録する。図5は、グレーリスト15の一例を示す図であって、図3に示すログ情報にグループIDが付加されている。
異常検知部12は、図4に示すヘルスチェック処理を、サービス提供サーバ3毎に所定のタイミングで定期的に繰り返し行うことで、各サービス提供サーバ3に発生したアプリケーションレベルでの異常を検知する。
図6は、ネットワーク機器1が通信パケットを受け付けたときの処理を示すフローチャートである。
ネットワーク機器1の転送部11は、ネットワークを介して端末4からいずれかのサービス提供サーバ3宛の通信パケットを受け付けると(S21)、受け付けた通信パケットが、ブラックリスト16に登録されたいずれかの攻撃パターンに一致するか否かを判別し(S22)、一致する場合は(S22:YES)、当該通信パケットを破棄するなどして、当該通信パケットを宛先とするサービス提供サーバ3に接続(転送)しない(S23)。
通信パケットがブラックリスト16のいずれの攻撃パターンにも一致しない場合(S22:NO)、転送部11は、グレーリスト15に登録されたいずれかのログ情報の少なくとも1つのパラメータに一致するか否かを判別する(S24)。グレーリスト15のいずれかのログ情報の少なくとも1つのパラメータに一致しない場合(S24:NO)、転送部11は、当該通信パケットは、新しい手法の攻撃パターンに一致しない安全な通信パケットであると判別する。そして、転送部11は、当該通信パケットを指定された宛先のサービス提供サーバ3に転送し(S25)、当該通信パケットのログ情報をログ情報記憶部14に記憶する(S26)。
一方、通信パケットがグレーリスト15のいずれかのログ情報の少なくとも1つのパラメータに一致する場合(S24:YES)、転送部11は、当該通信パケットは、新しい手法の攻撃パターンの可能性のある疑わしい通信パケットであると判別し、当該通信パケットを解析サーバ2に送信する(S27)。なお、転送部11は、通信パケットの宛先を解析サーバ2に変更することで、当該通信パケットを解析サーバ2に送信してもよく、あるいは、ミラーリングにより宛先として指定されたサービス提供サーバ3に通信パケットを送信するとともに、解析サーバ2にも当該通信パケットを送信することとしてもよい。そして、転送部11は、当該通信パケットのログ情報をログ情報記憶部14に記憶する(S28)。
次に、ネットワーク機器1から通信パケットが送信された解析サーバ2の処理について説明する。解析サーバ2のアプリケーション実行部21は、ネットワーク機器1から送信された通信パケット受け付けると、サービス提供サーバ3と同じアプリケーションを実行する。このとき、アプリケーション実行部21は、デバッグモードでアプリケーションを実行することで、詳細な実行ログであるデバッグログをデバッグログ記憶部24に出力する。
解析部22は、デバッグログ記憶部24に出力されたデバッグログを用いて、当該通信パケットが新たな攻撃パターンの通信パケットであるか、あるいは、攻撃とは関係のない安全な通信パケットであるかを判別する。例えば、解析部22は、アプリケーションが異常終了した場合は、新たな攻撃パターンの通信パケットであると判別し、正常終了した場合は安全な通信パケットであると判別する。
そして、解析部22は、当該通信パケットが新たな攻撃パターンであると判別した場合、当該通信パケットに基づいてネットワーク機器1のブラックリスト16に登録する攻撃パターンを生成する。ブラックリスト16に登録する攻撃パターンとしては、例えば、以下のものなどが挙げられる。
・攻撃パターン1:送信元IPアドレス=198.51.100.2
・攻撃パターン2:送信元IPアドレス=2001:DB8::2かつ送信先ポート=587かつコマンド=RSET
そして、通知部23は、解析部22が解析した解析結果(正常または異常)と、解析結果が異常の場合はブラックリスト16に登録する攻撃パターンとを、ネットワーク機器1に送信する。
・攻撃パターン2:送信元IPアドレス=2001:DB8::2かつ送信先ポート=587かつコマンド=RSET
そして、通知部23は、解析部22が解析した解析結果(正常または異常)と、解析結果が異常の場合はブラックリスト16に登録する攻撃パターンとを、ネットワーク機器1に送信する。
ネットワーク機器1のリスト更新部13は、解析サーバ2から解析結果を受信すると、グレーリスト15およびブラックリスト16を更新する。すなわち、リスト更新部13は、正常の解析結果を受信した場合、グレーリスト15から対応するログ情報を削除する。例えば、リスト更新部13は、図6のS27で解析サーバ2に送信した通信パケットと、少なくとも1つのパラメータが一致したログ情報をグレーリスト15から削除する。
また、リスト更新部13は、異常の解析結果を受信した場合、グレーリスト15から対応するログ情報を削除するとともに、解析サーバ2から受信した攻撃パターンをブラックリスト16に登録する。例えば、リスト更新部13は、図6のS27で解析サーバ2に送信した通信パケットと、少なくとも1つのパラメータが一致したログ情報については、ブラックリスト16に登録するためグレーリスト15から削除するとともに、当該削除したログ情報と同一グループIDを有する残りのログ情報については安全な通信パケットのログ情報であるとみなし、グレーリスト15から削除する。そして、リスト更新部13は、解析サーバ2から受信した攻撃パターンをブラックリスト16に登録する。
以上説明した本実施形態では、サービス提供サーバ3のダウン(ヘルスチェックに対する無応答)を契機に、ダウン直前までの通信パケットのログ情報を、攻撃の疑いのある通信としてみなし、グレーリスト15に登録し、グレーリスト15に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する通信パケットを受信した場合は、当該通信パケットを、解析サーバ2にも送信する。これにより、本実施形態では、攻撃対象の機器がユーザ所有の機器であって、ログの入手が難しい場合であっても、未知の攻撃の疑いがある通信パケットを特定し、攻撃パターンの解析に必要な情報を取得することができる。
また、本実施形態では、解析サーバ2での解析結果により、新たな攻撃であると特定された通信パケットについては、ブラックリスト16に登録することで、次回以降の同様の攻撃を確実に防御することができる。
また、本実施形態では、アプリケーションレイヤでのヘルスチェックを行うことで、サービス提供サーバ3におけるアプリケーションの稼動状態を的確に把握することができる。
また、本実施形態の解析サーバ2は、サービス提供サーバ3と同じアプリケーションをデバッグモードで実行することで詳細なログ情報であるデバッグログを取得し、攻撃パターンの解析に用いることができる。
なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
1 :ネットワーク機器
11:転送部
12:異常検知部
13:リスト更新部
14:ログ情報記憶部
15:グレーリスト
16:ブラックリスト
2 :解析サーバ
21:アプリケーション実行部
22:解析部
23:通知部
3 :サービス提供サーバ
4 :端末
11:転送部
12:異常検知部
13:リスト更新部
14:ログ情報記憶部
15:グレーリスト
16:ブラックリスト
2 :解析サーバ
21:アプリケーション実行部
22:解析部
23:通知部
3 :サービス提供サーバ
4 :端末
Claims (5)
- 少なくとも1つの機器をネットワークに接続する通信装置であって、
前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶手段と、
前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶手段から抽出し、グレーリスト記憶手段に登録する異常検知手段と、
前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶手段に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別手段と、
前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶手段から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶手段から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶手段に登録する更新手段と、を備えること
を特徴とする通信装置。 - 請求項1に記載の通信装置であって、
前記異常検出手段は、アプリケーションレイヤでの状態確認を行うこと
を特徴とする通信装置。 - 少なくとも1つの機器をネットワークに接続する通信装置と、解析装置とを備える通信システムであって、
前記通信装置は、
前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶手段と、
前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶手段から抽出し、グレーリスト記憶手段に登録する異常検知手段と、
前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶手段に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別手段と、
前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶手段から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶手段から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶手段に登録する更新手段と、を備え、
前記解析装置は、
前記通信装置から送信された通信データを、前記機器と同じアプリケーションで実行し、デバッグモードでの実行結果のログ情報を取得すること
を特徴とする通信システム。 - 少なくとも1つの機器をネットワークに接続する通信装置が行う通信方法であって、
前記通信装置は、
前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶部を備え、
前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶部から抽出し、グレーリスト記憶部に登録する異常検知ステップと、
前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶部に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別ステップと、
前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶部から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶部から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶部に登録する更新ステップと、を行うこと
を特徴とする通信方法。 - 通信装置が実行する通信プログラムであって、
前記通信装置は、前記ネットワークを介して前記機器に送信される通信データのログ情報を記憶するログ情報記憶部を備え、
前記通信装置に、
前記機器に対して状態確認を行うとともに、前記状態確認に対する応答がない機器について、当該機器を宛先とするログ情報のうち、応答がなくなる直前までの一定時間のログ情報を前記ログ情報記憶部から抽出し、グレーリスト記憶部に登録する異常検知ステップと、
前記ネットワークを介して前記機器に送信される通信データの一部が、前記グレーリスト記憶部に記憶されたいずれかのログ情報の少なくとも1つのパラメータに一致する場合、当該通信データを、解析装置に送信する判別ステップと、
前記解析装置から解析結果を受信し、前記解析結果が正常な場合は、前記グレーリスト記憶部から対応するログ情報を削除し、前記解析結果が正常でない場合は、前記グレーリスト記憶部から対応するログ情報を削除するとともに、前記解析装置に送信した通信データに基づいて生成された攻撃パターンをブラックリスト記憶部に登録する更新ステップと、
を実行させるための通信プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012178175A JP5531064B2 (ja) | 2012-08-10 | 2012-08-10 | 通信装置、通信システム、通信方法、および、通信プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012178175A JP5531064B2 (ja) | 2012-08-10 | 2012-08-10 | 通信装置、通信システム、通信方法、および、通信プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014036408A JP2014036408A (ja) | 2014-02-24 |
| JP5531064B2 true JP5531064B2 (ja) | 2014-06-25 |
Family
ID=50285117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012178175A Active JP5531064B2 (ja) | 2012-08-10 | 2012-08-10 | 通信装置、通信システム、通信方法、および、通信プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5531064B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6724583B2 (ja) * | 2016-06-15 | 2020-07-15 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラム及び情報処理システム |
| JP7005278B2 (ja) * | 2017-10-27 | 2022-01-21 | 株式会社エヌ・ティ・ティ・データ | 異常ログ検出装置、異常ログの検出方法およびプログラム |
| JP7067187B2 (ja) * | 2018-03-27 | 2022-05-16 | 日本電気株式会社 | 通信制御装置、通信制御方法、及びプログラム |
| JP6984551B2 (ja) * | 2018-06-27 | 2021-12-22 | 日本電信電話株式会社 | 異常検知装置、および、異常検知方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3790750B2 (ja) * | 2003-06-20 | 2006-06-28 | 株式会社東芝 | 不正アクセス検出装置、不正アクセス検出方法およびプログラム |
| JP3822588B2 (ja) * | 2003-09-10 | 2006-09-20 | 株式会社東芝 | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
| JP2006107524A (ja) * | 2005-11-11 | 2006-04-20 | Yafoo Japan Corp | Wwwサーバー、及び、該wwwサーバーと通信回線を介して接続された利用者端末、を有するシステム |
-
2012
- 2012-08-10 JP JP2012178175A patent/JP5531064B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014036408A (ja) | 2014-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| JP4051020B2 (ja) | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
| JP2016146114A (ja) | ブラックリストの管理方法 | |
| EP2845349B1 (en) | Network access apparatus having a control module and a network access module | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| JP4303741B2 (ja) | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| US20180041531A1 (en) | Log analysis system, analysis device, analysis method, and storage medium on which analysis program is stored | |
| US20170085586A1 (en) | Information processing device, communication history analysis method, and medium | |
| KR101236129B1 (ko) | 비정상 트래픽 제어 장치 및 방법 | |
| Kondakci | Intelligent network security assessment with modeling and analysis of attack patterns | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| JP2018093383A (ja) | 通信監視装置、通信監視方法及び通信監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140421 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5531064 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |