JP5582499B2 - Network monitoring method, system, apparatus and program - Google Patents

Network monitoring method, system, apparatus and program Download PDF

Info

Publication number
JP5582499B2
JP5582499B2 JP2010162168A JP2010162168A JP5582499B2 JP 5582499 B2 JP5582499 B2 JP 5582499B2 JP 2010162168 A JP2010162168 A JP 2010162168A JP 2010162168 A JP2010162168 A JP 2010162168A JP 5582499 B2 JP5582499 B2 JP 5582499B2
Authority
JP
Japan
Prior art keywords
monitoring
internal
host
address
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010162168A
Other languages
Japanese (ja)
Other versions
JP2012023686A (en
Inventor
達哉 森
亮一 川原
治久 長谷川
晃弘 下田
滋樹 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Waseda University
Nippon Telegraph and Telephone Corp
Original Assignee
Waseda University
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Waseda University, Nippon Telegraph and Telephone Corp filed Critical Waseda University
Priority to JP2010162168A priority Critical patent/JP5582499B2/en
Publication of JP2012023686A publication Critical patent/JP2012023686A/en
Application granted granted Critical
Publication of JP5582499B2 publication Critical patent/JP5582499B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク監視方法及びシステム及び装置及びプログラムに係り、特に、未利用アドレス群を利用してネットワークを監視するためのネットワーク監視方法及びシステム及び装置及びプログラムに関する。   The present invention relates to a network monitoring method, system, apparatus, and program, and more particularly, to a network monitoring method, system, apparatus, and program for monitoring a network using an unused address group.

ワームやボットネットと呼ばれるマルウェア(悪意のあるソフトウェア)による被害が拡大・深刻化している。マルウェアの攻撃やエンドホストの感染拡大を意図した悪意のある通信を検出するためにはネットワーク監視技術が必要である。   The damage caused by malware (malicious software) called worms and botnets is spreading and becoming more serious. Network monitoring technology is required to detect malicious communications intended to spread malware attacks and end-host infections.

マルウェアと対象とした従来のネットワーク監視方法として、センサ・サーバをネットワーク上に分散配置する方法や、ダークネットと呼ばれる未利用のアドレス集合を用いる方法がある(例えば、非特許文献1参照)。しかし、これらの方法によって収集できる情報は攻撃元のIPアドレスや攻撃元あるいは攻撃先のポート番号等の情報に限られ、マルウェアの攻撃内容等の詳細に関する情報は得ることができない欠点がある。   As conventional network monitoring methods targeting malware, there are a method of distributing sensor servers on a network and a method of using an unused address set called a dark net (for example, see Non-Patent Document 1). However, the information that can be collected by these methods is limited to information such as the IP address of the attack source and the port number of the attack source or attack destination, and there is a drawback that it is not possible to obtain information related to details such as the attack contents of the malware.

上記の欠点を補うための試みとして、ハニーポットと呼ばれる囮(おとり)用のサーバを用いて、マルウェアの攻撃等の詳細情報を収集するアプローチが提案されている(例えば、非特許文献2参照)。   As an attempt to compensate for the above drawbacks, an approach has been proposed in which detailed information such as malware attacks is collected using a decoy server called a honeypot (see Non-Patent Document 2, for example). .

ハニーポットは、攻撃者からみると通常のホストと同様に動作する。ハニーポットの構成方法としては脆弱性のある実際のOSにマルウェアを感染させて活動を観察するケースや脆弱性をエミュレートし擬似的な応答を返すサービスを利用したケースが存在する。いずれのケースもハニーポットは監視者のコントロール下で動作するため、マルウェア情報を安全に収集することが可能な技術である。   Honeypots behave like regular hosts when viewed by an attacker. There are cases where honeypots are configured by infecting an actual vulnerable OS with malware and observing activity, or by using services that emulate vulnerabilities and return pseudo responses. In both cases, honeypots operate under the control of the supervisor, and are therefore capable of collecting malware information safely.

A。 Shimoda and S. Goto, "Flow-based Internet Threat Detec- tionwith Dark IP (in Japanese)、" IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences, vol. J92-B, no. 1, pp. 163173, 2009.A. Shimoda and S. Goto, "Flow-based Internet Threat Detection with Dark IP (in Japanese)," IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences, vol. J92-B, no. 1, pp. 163173, 2009 . L. Spitzner, "The honeynet project: Trapping the hackers," IEEE Security & Privacy Magazine, vol. 1, no. 2, pp. 1523, 2003.L. Spitzner, "The honeynet project: Trapping the hackers," IEEE Security & Privacy Magazine, vol. 1, no. 2, pp. 1523, 2003.

しかしながら、ハニーポットはマルウェアの詳細情報を得る手段として有効であるが、単一のアドレスを利用してハニーポットを運用している場合には限られた情報しか収集できない問題がある。複数のアドレス上でハニーポットを動作させる場合は前述のダークネットと同様に未利用の連続したアドレス集合(サブネット)を利用することが一般的である。連続した未利用アドレス集合は攻撃パケットを経路を設定する上で取り扱いが容易であること、攻撃者からハニーポットの存在を知られてしまうリスクが増える。また、複数アドレスをハニーポットに利用する場合もアドレスがサブネットに集中しているため、収集データに偏りが生じる問題が依然として存在する。   However, although a honeypot is effective as a means for obtaining detailed information on malware, there is a problem that only limited information can be collected when a honeypot is operated using a single address. When operating a honeypot on a plurality of addresses, it is common to use an unused set of consecutive addresses (subnets) as in the dark net described above. Consecutive unused address sets are easy to handle in setting the route of attack packets, and increase the risk that an attacker will know the existence of a honeypot. In addition, when a plurality of addresses are used for honeypots, there is still a problem that the collected data is biased because the addresses are concentrated in the subnet.

さらに、同時に複数種類のハニーポットやセンサー・サーバといった監視サーバを動作させ、それらの挙動の違いを見ることはマルウェアに関するより多くの情報を得ることや、あるいは監視サーバ間の性能を比較するうえで有効なアプローチであるが、そのような目的を達成するための技術はこれまでに存在しなかった。   Furthermore, operating multiple types of monitoring servers such as honeypots and sensor servers at the same time and seeing the difference in their behavior is useful for obtaining more information about malware or for comparing performance between monitoring servers. Although an effective approach, there has never been a technique to achieve such an objective.

本発明は上記の課題を鑑みてなされたものであり、実際に利用されているネットワークから監視の用途として利用が可能なアドレス群を動的に抽出し、取得したアドレス群で監視サーバを動作させることが可能なネットワーク監視方法及びシステム及び装置及びプログラムを提供することを目的とする。   The present invention has been made in view of the above problems, and dynamically extracts an address group that can be used for monitoring purposes from a network that is actually used, and operates the monitoring server with the acquired address group. An object of the present invention is to provide a network monitoring method, system, apparatus, and program that can be used.

上記の課題を解決するために、本発明(請求項1)は、ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホストを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加手段と、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、
有する。 In order to solve the above problems, the present invention (Claim 1) is a network monitoring system for monitoring network traffic,
At least one or more monitoring servers, a traffic analysis device for analyzing traffic on a network line or externally attached network, a traffic transfer device for transferring received packets to any monitoring server, and an internal host,
The traffic analyzer is
Analyzes the traffic from the external host of the external network to the internal host inside the network, and when there is a communication request from the external host to the internal host for a certain period of time, does not return any response, but requests communication to the external host by itself Monitoring address list generating means for extracting the internal hosts that did not transmit and registering the set of addresses assigned to each of the internal host sets and the identifier of the monitoring server in the storage means as a monitoring address list; ,
May be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and only one-way communication from the external host to the internal host is observed over a certain period with reference to the communication recording unit, or An additional means for adding the address of the internal host to the monitoring address list when no communication is observed;
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion means for deleting the address of the internal host from the monitoring address list;
Monitoring address list transfer means for transmitting the monitoring address list to the traffic transfer device at a predetermined cycle;
Have
The traffic forwarding device is:
Referring to the monitoring address list acquired from the traffic analysis device, the packet addressed to the internal server address is set to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. A transfer control means for transmitting to the server and not forwarding to the internal server of the destination address of the packet;
The monitoring server is
The packet transferred from the traffic transfer device is received, the packet is processed instead of the internal host of the original packet destination, and the processing result is directly or addressed to the address of the external host of the packet source, Proxy processing means for transmitting via the traffic transfer device,
Have.

また、本発明(請求項2)は、上記の請求項1のトラヒック分析装置において、
前記監視アドレスリストに含まれる内部ホストのみを対象として、または、該監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納する手段を更に有する。 The present invention (Claim 2) is the traffic analyzer according to Claim 1 described above,
There is further provided means for generating an address list for only an internal host included in the monitoring address list or for only an internal host not included in the monitoring address list and storing the address list in a storage unit .

また、本発明(請求項3)は、上記の請求項1の前記トラヒック分析装置の前記監視用アドレスリスト生成手段において、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む。 The present invention (Claim 3) provides the monitoring address list generating means of the traffic analysis device according to Claim 1,
The internal host addresses X included in the monitoring address list are classified into a plurality of groups at random or using a hash function H (X) having a characteristic of returning a unique value for the same address X Includes grouping means.

また、本発明(請求項4)は、上記の請求項1の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む。
また、本発明(請求項5)は、上記の請求項4のトラヒック分析装置において、
前記非監視アドレスリストに含まれる内部ホストのみを対象として、または、該非監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納する手段を更に有する。 The present invention (Claim 4) is the traffic analyzer according to Claim 1 described above,
Means for generating a non-monitoring address list comprising a set of addresses assigned to each of the internal host sets and a communication type classified by a protocol type;
In the traffic transfer device,
Means for transferring only packets that do not match the address of the internal host described in the non-monitoring address list and the communication type to the monitoring server.
Further, the present invention (Claim 5) is the traffic analyzer according to Claim 4 described above,
There is further provided means for generating an address list for only an internal host included in the non-monitoring address list or for only an internal host not included in the non-monitoring address list and storing the address list in a storage unit.

また、本発明(請求項6)は、ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホストを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加ステップと、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップと、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う。 The present invention (Claim 6) is a network monitoring method for monitoring network traffic,
In a system having at least one or more monitoring servers, a traffic analysis device that analyzes traffic on a network line or externally attached network, a traffic transfer device that transfers received packets to any monitoring server, and an internal host ,
The traffic analyzer is
Analyzes the traffic from the external host of the external network to the internal host inside the network, and when there is a communication request from the external host to the internal host for a certain period of time, does not return any response, but requests communication to the external host by itself A monitoring address list generating step for extracting an internal host that has not transmitted a message and associating a set of addresses assigned to each of the internal host sets with the identifier of the monitoring server and registering them in the storage means as a monitoring address list; may be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and the communication recording means is If only one-way communication from the external host to the internal host is observed over a certain period of time with reference, or if no communication is observed, the address of the internal host is added to the monitoring address list And additional steps to
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion step of deleting the address of the internal host from the monitoring address list;
A monitoring address list transfer step of transmitting the monitoring address list to the traffic transfer device at a predetermined period;
And
The traffic forwarding device is:
Referring to the monitoring address list acquired from the traffic analysis device, the packet addressed to the internal server address is set to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. A transfer control step that transmits to the server and does not forward to the internal server of the destination address of the packet,
The monitoring server is
The packet transferred from the traffic transfer device is received, the packet is processed instead of the internal host of the original traffic destination, and the processing result is directly or directly to the address of the external host that is the source of the packet, A proxy processing step of transmitting via the traffic transfer device is performed.

また、本発明(請求項)は、上記の請求項のネットワーク監視方法において、
前記監視アドレスリストに含まれる内部ホストのみを対象として、または、該監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納するステップを更に行う。 The present invention (Claim 7 ) is the network monitoring method according to Claim 6 ,
A step of generating an address list for only the internal hosts included in the monitoring address list or for only an internal host not included in the monitoring address list and storing it in the storage means is further performed.

また、本発明(請求項)は、上記の請求項の前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する。 Further, the present invention (invention 8 ) is the monitoring address list generation step of claim 6 described above,
The internal host addresses X included in the monitoring address list are classified into a plurality of groups at random or using a hash function H (X) having a characteristic of returning a unique value for the same address X .

また、本発明(請求項)は、上記の請求項において、前記アドレスXに対してハッシュ関数H(X)を適用する際に、前記アドレスXに対する任意の変換X’を適用してからハッシュ関数を適用したH(X)を利用する。 Further, the present invention (Claim 9 ) applies an arbitrary conversion X ′ to the address X when applying the hash function H (X) to the address X in the above Claim 8 . Use H (X) with hash function applied.

また、本発明(請求項10)は、上記の請求項の前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないトラヒックのみを前記監視サーバに転送する。
また、本発明(請求項11)は、上記の請求項10の前記トラヒック分析装置において、
前記非監視アドレスリストに含まれる内部ホストのみを対象として、または、該非監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納するステップを更に行う。 Further, the present invention (Claim 10 ) is the traffic analyzer according to Claim 6 ,
Generating a non-monitoring address list comprising a set of addresses assigned to each of the internal host sets and a communication type classified by a protocol type;
In the traffic transfer device,
Only the traffic that does not match the address of the internal host described in the non-monitoring address list and the communication type is transferred to the monitoring server.
Further, the present invention (invention 11) is the traffic analyzer according to claim 10, wherein
A step of generating an address list for only the internal hosts included in the non-monitoring address list or for only an internal host not included in the non-monitoring address list and storing it in the storage means is further performed.

また、本発明(請求項12)は、ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段、を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加手段と、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する。 The present invention (Claim 12) is a network monitoring device for monitoring network traffic,
Traffic analysis means for analyzing traffic on the network, traffic forwarding means for forwarding the received packet to any monitoring server,
The traffic analysis means includes:
Analyze the traffic from the external host of the external network to the internal host in the monitored network. If there is a communication request from the external host to the internal host for a certain period of time, no response will be returned to the external host. A means for extracting an internal host that has not transmitted a communication request, and storing a set of addresses assigned to each of the internal host sets and an identifier of a monitoring server connected to the traffic transfer means as a monitoring address list Monitoring address list generation means to be registered in
May be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and only one-way communication from the external host to the internal host is observed over a certain period with reference to the communication recording unit, or An additional means for adding the address of the internal host to the monitoring address list when no communication is observed;
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion means for deleting the address of the internal host from the monitoring address list;
Monitoring address list transfer means for transmitting the monitoring address list to the traffic transfer means at a predetermined cycle;
Have
The traffic transfer means includes:
Referring to the monitoring address list acquired from the traffic analysis means, the packet addressed to the internal server address is sent to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. Transfer control means for transmitting to the server and not transferring to the internal server at the destination address of the packet is provided.

また、本発明(請求項13)は、請求項12に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラムである。 The present invention (Claim 13 ) is a network monitoring program for causing a computer to function as each means constituting the network monitoring device according to Claim 12 .

上述のように本発明は、外部のネットワークのホスト(外部ホスト)から通信要求があったにも関わらず、一切の応答を返さず、かつ、ある一定の時間内で自ら外部に通信要求を出さなかった内部ホストを検出し、そのアドレスをハニーポットやセンサ・サーバ等の監視サーバに仮に割り当て、その監視サーバを囮サーバとして動作させることにより、マルウェアの情報収集及び分析を行うことが可能となる。   As described above, the present invention does not return any response despite a communication request from an external network host (external host), and issues a communication request to the outside itself within a certain period of time. It is possible to collect and analyze malware information by detecting the internal host that did not exist, temporarily assigning the address to a monitoring server such as a honeypot or sensor server, and operating the monitoring server as a trap server. .

本発明のシステム構成例である。It is a system configuration example of the present invention. 本発明の第1の実施の形態におけるトラヒック分析装置の動作を示す図である。It is a figure which shows operation | movement of the traffic analyzer in the 1st Embodiment of this invention. 本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。It is an additional flowchart to the monitoring address list in the first embodiment of the present invention. 本発明の第1の実施の形態における監視対象アドレスの場合のトラヒック転送の例である。It is an example of the traffic transfer in the case of the monitoring object address in the 1st Embodiment of this invention. 本発明の第1の実施の形態における一連の動作を示す図である。It is a figure which shows a series of operation | movement in the 1st Embodiment of this invention. 本発明の第2の実施の形態における動作を示す図である。It is a figure which shows the operation | movement in the 2nd Embodiment of this invention. 本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。It is a flowchart of operation | movement when the internal host in the 2nd Embodiment of this invention is a transmission origin.

以下図面と共に、本発明の実施の形態を説明する。   Embodiments of the present invention will be described below with reference to the drawings.

以下の例ではネットワークをTCP/IPによるIPパケットネットワーク、アドレスをTCP/IPネットワークにおけるIPv4アドレスとし、通信の種類を内部ホスト向けパケットにおける宛先ポート番号で指定される数値とする例を示すが、本発明の適用範囲はこの限りではない。   In the following example, the network is an IP packet network based on TCP / IP, the address is an IPv4 address in the TCP / IP network, and the communication type is a numerical value specified by the destination port number in the packet for the internal host. The scope of the invention is not limited to this.

[第1の実施の形態]
図1は、本発明のシステム構成例を示す。 [First embodiment]
FIG. 1 shows a system configuration example of the present invention.

同図に示すシステムの構成例は、外部ネットワーク1と内部ネットワーク100から構成され、内部ネットワーク100には、ハニーポットやセンサ・サーバとして機能する2つの監視サーバ110a,110b、トラヒック転送装置120、トラヒック分析装置130、内部ホスト140a,140b,140cから構成される。なお、当該システム構成は、以降の第2〜第4の実施の形態においても同様であるものとして説明する。また、監視サーバ110、内部ホスト140の数は図1の例に限定されるものではなく、任意の数設定することが可能である。   The system configuration example shown in FIG. 1 includes an external network 1 and an internal network 100. The internal network 100 includes two monitoring servers 110a and 110b that function as honeypots and sensor servers, a traffic transfer device 120, and a traffic. The analyzer 130 is composed of internal hosts 140a, 140b, and 140c. The system configuration will be described as the same in the following second to fourth embodiments. Further, the numbers of the monitoring servers 110 and the internal hosts 140 are not limited to the example in FIG. 1, and any number can be set.

ネットワーク上のトラヒックはトラヒック分析装置130において分析され、ネットワーク内部のホスト140a,140b,140c毎の通信が分析される。   Traffic on the network is analyzed by the traffic analysis device 130, and communication for each of the hosts 140a, 140b, 140c in the network is analyzed.

トラヒック転送装置120および監視サーバ110a,110bは、トラヒック分析装置130と同一の物理的装置上で実装しても構わないが、ここでは個別の装置としている。   The traffic transfer device 120 and the monitoring servers 110a and 110b may be mounted on the same physical device as the traffic analysis device 130, but here are separate devices.

トラヒック分析装置130は、ネットワーク回線上に挿入される、または、タップやミラー等の方法によって外付けされ、ネットワーク上のトラヒックをネットワークの内部ホスト140毎に分析する。   The traffic analysis device 130 is inserted on a network line or externally attached by a method such as a tap or a mirror, and analyzes the traffic on the network for each internal host 140 in the network.

トラヒック分析装置130は、以下のような機能を有する。   The traffic analyzer 130 has the following functions.

トラヒック分析装置130は、図2に示すように、観測した内部ホスト140のうち、外部のネットワーク1のホスト(以下、「外部ホスト」と記す)から通信要求があった場合には一切の応答を返さず、かつ、ある一定の時間内で自ら外部ネットワーク1に通信要求を出さなかった内部ホストの集合を抽出し、前記ホスト集合内の個々の内部ホストに割り当てられているアドレスの集合を監視用アドレスリスト131として、当該トラヒック分析装置130内部の記憶手段(例えば、メモリ)内に構成する。図2の例では、
(1)内部ホスト140aのように双方向通信の場合は、監視用アドレスリスト131には追加しない。 As shown in FIG. 2, the traffic analysis device 130 sends out any response when there is a communication request from a host of the external network 1 (hereinafter referred to as “external host”) among the observed internal hosts 140. A set of internal hosts that did not return and did not issue a communication request to the external network 1 within a certain time is extracted, and a set of addresses assigned to each internal host in the host set is monitored. The address list 131 is configured in a storage unit (for example, a memory) inside the traffic analysis device 130. In the example of FIG.
(1) In the case of bidirectional communication like the internal host 140a, it is not added to the monitoring address list 131.

(2)また、内部ホスト140cのように一定以上の期間にわたって外部から内部への片方向通信のみが観測された、あるいは、まったく通信が観測されなかった場合は監視用アドレスリストに追加する。   (2) If only one-way communication from the outside to the inside is observed over a certain period of time as in the case of the internal host 140c, or if no communication is observed at all, it is added to the monitoring address list.

表1に前記処理を行う際にトラヒック分析装置130が内部の記憶手段(例えば、メモリ)で管理するアドレス毎の通信記録の例を示す。トラヒック分析装置130で管理する表1には、観測する内部ホスト140のアドレス、一定期間内の内部発通信の有無、最後に観測された内部発通信の時刻が格納される。   Table 1 shows an example of a communication record for each address managed by the traffic analysis device 130 by an internal storage means (for example, a memory) when performing the above processing. Table 1 managed by the traffic analyzer 130 stores the address of the internal host 140 to be observed, the presence / absence of internal communication within a certain period, and the time of the last internal communication observed.

Figure 0005582499
以下に、トラヒック分析装置130の監視用アドレスリスト131への追加処理について説明する。図3は、本発明の第1の実施の形態における監視用アドレスリストへの追加のフローチャートである。
Figure 0005582499
 In the following, a process for adding the traffic analyzer 130 to the monitoring address list 131 will be described. FIG. 3 is a flowchart of addition to the monitoring address list according to the first embodiment of this invention.

トラヒック分析装置130は、ネットワークの内部ホストXが着信先であるパケットを受信した場合(図3)には(ステップ101)、該内部ホストが既に監視用アドレスリスト131に登録されている場合には(ステップ102、Yes)何もせずに終了する。   The traffic analyzer 130 receives a packet addressed to the internal host X of the network (FIG. 3) (step 101), and if the internal host is already registered in the monitoring address list 131. (Step 102, Yes) The process ends without doing anything.

登録されていない場合は(ステップ102、No)現在時刻と該内部ホストX発パケットの最直近の到着時刻を比較し、その時刻の差が一定以上の時間経過していれば(例えば360分以上離れていたら)(ステップ103、Yes)該ホストは非アクティブであるとみなし、監視用アドレスリスト131に追加する(ステップ104)。   If not registered (step 102, No), the current time is compared with the latest arrival time of the packet originating from the internal host X, and if the time difference exceeds a certain time (for example, 360 minutes or more) If separated (step 103, Yes), the host is considered inactive and added to the monitoring address list 131 (step 104).

すなわち、ある内部ホスト140宛のパケットが到着したことをトリガとし、その内部ホスト140が過去に自らパケットの送信元になったことがあった場合、どのくらい前であったかを把握し、その時間がある一定の閾値を超える場合に非アクティブである未利用IPアドレスとみなす。ここで360分は一例であり、任意に設置が可能な値とすることができる。   That is, when a packet addressed to a certain internal host 140 arrives as a trigger, and that internal host 140 has once become a packet transmission source in the past, it knows how long ago it is and has that time. It is considered as an unused IP address that is inactive when a certain threshold is exceeded. Here, 360 minutes is an example, and can be set to a value that can be arbitrarily installed.

トラヒック分析装置130は上記の監視用アドレスリスト131をトラヒック転送装置120に所定の周期毎に送信する。このとき、すべてのアドレスを送信するか、前回との差分のみを送信することで情報の更新を行う。   The traffic analysis device 130 transmits the monitoring address list 131 to the traffic transfer device 120 at predetermined intervals. At this time, information is updated by transmitting all addresses or transmitting only the difference from the previous time.

トラヒック転送装置120は、トラヒックの転送が可能な箇所に設置され、例えば、トラヒック分析装置130と同一の物理的装置上で実装されてもよいし、別の装置として実装されても構わない。   The traffic transfer device 120 is installed at a location where traffic can be transferred. For example, the traffic transfer device 120 may be mounted on the same physical device as the traffic analysis device 130 or may be mounted as a separate device.

トラヒック転送装置120は、図4に示すように、監視用アドレスリスト131に記載されたアドレスを有する内部ホスト140宛に向けたパケットを単数あるいは複数の監視サーバ110へと転送する。図4では複数のケースを示している。また、図中に示されているように、それ以外のホスト宛のパケットに対しては何も行わない。すなわち、通常の手続きに従って後段のネットワーク装置へと転送される。   As shown in FIG. 4, the traffic transfer device 120 transfers a packet destined for the internal host 140 having an address described in the monitoring address list 131 to one or more monitoring servers 110. FIG. 4 shows a plurality of cases. Also, as shown in the figure, nothing is done for packets addressed to other hosts. That is, it is transferred to the subsequent network device according to a normal procedure.

トラヒック転送装置120は、図4の例では、監視対象の宛先アドレス"192.168,233.63"のパケットについては、監視サーバ110aに転送し(図4(1))、監視対象ではない宛先アドレス"192.168.3.19"のパケットに対してはそのまま通過させ内部ホスト140aに転送する(図4(2))。   In the example of FIG. 4, the traffic transfer apparatus 120 transfers the packet with the monitoring destination address “192.168,233.63” to the monitoring server 110 a (FIG. 4 (1)), and the destination address “192.168.” That is not the monitoring target. The 3.19 "packet is passed as it is and transferred to the internal host 140a (FIG. 4 (2)).

表2に監視用アドレスと対応する監視サーバ110の対応表の例を示す。   Table 2 shows an example of a correspondence table of the monitoring server 110 corresponding to the monitoring address.

Figure 0005582499
監視用アドレスと監視サーバの対応関係は任意に決定するか、あるいは、後述するように本発明の第3の実施の形態で示す方法によって決定することができる。この対応表は時間的に変更することもできる。
Figure 0005582499
 The correspondence relationship between the monitoring address and the monitoring server can be determined arbitrarily, or can be determined by the method described in the third embodiment of the present invention as described later. This correspondence table can be changed over time.

表2において、内部ホスト140cのアドレス"192.168.233.63"を割り当てられた監視サーバID=aの監視サーバ110aは、トラヒック転送装置120によって転送された外部サーバのアドレス"10.4.99.8" 発のパケットを受信し、所望の処理、例えば、受信したパケットがTCP の SYNパケットであれば 3-way hand shake を確立するために TCP SYN/ACK パケットを送信するが、このパケットの送信元アドレスを"192.168.233.63"としたパケットをトラヒック転送装置120を経由するか、あるいは直接送信元の外部サーバのアドレス"10.4.99.8"に宛てて送信する。   In Table 2, the monitoring server 110a with the monitoring server ID = a to which the address “192.168.233.63” of the internal host 140c is assigned sends the packet originating from the address “10.4.99.8” of the external server transferred by the traffic transfer device 120. Receive and perform desired processing, for example, if the received packet is a TCP SYN packet, send a TCP SYN / ACK packet to establish a 3-way hand shake. The packet “233.63” is transmitted via the traffic transfer apparatus 120 or directly to the address “10.4.99.8” of the external server that is the transmission source.

これにより、外部ホスト"10.4.99.8"からはあたかもアドレス"192.168.233.63"を有する唯一の物理的実体が存在するかのように通信の確立が実現される。この様子を図5に示す。トラヒック分析装置130の監視用アドレスリスト131には、予め内部ホスト140cのアドレス"192.168.233.63"については予め監視サーバ110aに転送するよう設定されているものとする。   As a result, the establishment of communication is realized from the external host “10.4.99.8” as if there is only one physical entity having the address “192.168.233.63”. This is shown in FIG. In the monitoring address list 131 of the traffic analysis device 130, it is assumed that the address “192.168.233.63” of the internal host 140c is set in advance to be transferred to the monitoring server 110a.

(1)送信元である外部ネットワーク1の外部ホスト(アドレス=10.4.99.8)が内部ホスト140cのアドレス"192.168.233.63"宛てにパケットを送信する。   (1) The external host (address = 10.4.99.8) of the external network 1 that is the transmission source transmits a packet to the address “192.168.233.63” of the internal host 140c.

(2)トラヒック分析装置130は、外部ホストから送信されたパケットを受信して、内部の監視用アドレスリスト131を参照し、アドレス"192.168.233.63"が監視サーバaに対応すると判定し、トラヒック転送装置120を介して監視サーバ110aに転送する。   (2) The traffic analyzer 130 receives the packet transmitted from the external host, refers to the internal monitoring address list 131, determines that the address “192.168.233.63” corresponds to the monitoring server a, and forwards the traffic. The data is transferred to the monitoring server 110a via the device 120.

(3)監視サーバ110aは、受信したパケットを処理した後、送信元のアドレスを"192.168.233.63"として、外部ホスト(アドレス=10.4.99.8)宛てに処理結果のパケットを送信する。ここで、監視サーバ100aから送信されるパケットは、トラヒック転送装置120及びトラヒック分析装置130を経由しない。   (3) After processing the received packet, the monitoring server 110a transmits the processing result packet to the external host (address = 10.4.99.8) by setting the transmission source address to “192.168.233.63”. Here, the packet transmitted from the monitoring server 100 a does not pass through the traffic transfer device 120 and the traffic analysis device 130.

図5の例では監視サーバ110の発アドレスの設定を監視サーバ110が自ら受信したパケットの宛先アドレスを元に監視サーバ自身が実施しているが、この例に限定されることなく、トラヒック転送装置120が実現してもよい。   In the example of FIG. 5, the monitoring server 110 performs the setting of the source address of the monitoring server 110 based on the destination address of the packet received by the monitoring server 110, but the traffic transfer device is not limited to this example. 120 may be realized.

以上の仕組みにより、監視サーバが未使用IPアドレス宛のパケットを代理で受け取ることができ、かつ未使用IPアドレスを意図的に詐称して通信を成立することができる。   With the above mechanism, the monitoring server can receive a packet addressed to an unused IP address by proxy, and can establish communication by intentionally spoofing the unused IP address.

[第2の実施の形態]
本実施の形態では、第1の実施の形態で抽出したトラヒック分析装置130の監視用アドレスリスト131に掲載された内部ホスト140毎の通信を継続的に監視し、内部ホスト140が自ら通信要求を出した時点で監視用アドレスリスト131から当該ホストのアドレスを削除する例を説明する。 [Second Embodiment]
In this embodiment, the communication for each internal host 140 listed in the monitoring address list 131 of the traffic analysis device 130 extracted in the first embodiment is continuously monitored, and the internal host 140 makes a communication request by itself. An example in which the address of the host is deleted from the monitoring address list 131 at the time of release will be described.

図6は、本発明の第2の実施の形態における動作を示す図である。   FIG. 6 is a diagram showing operations in the second embodiment of the present invention.

図6において、トラヒック分析装置130の監視用アドレスリスト131には、内部ホスト140のアドレス"192.168.233.63"が登録されている状態において、
(1)アドレスが"192.168.233.63"の内部ホスト140が任意の外部ホストに対してパケットを送信する。 In FIG. 6, in the state where the address “192.168.233.63” of the internal host 140 is registered in the monitoring address list 131 of the traffic analyzer 130.
(1) The internal host 140 whose address is “192.168.233.63” transmits a packet to an arbitrary external host.

(2)トラック分析装置130は、内部ホスト140からのパケットを検出すると、監視用アドレスリスト131から当該内部ホスト140のアドレス"192.168.233.63"を削除する。   (2) When the track analyzer 130 detects a packet from the internal host 140, it deletes the address “192.168.233.63” of the internal host 140 from the monitoring address list 131.

図7は、本発明の第2の実施の形態における内部ホストが発信元である場合の動作のフローチャートである。   FIG. 7 is a flowchart of the operation when the internal host is the source in the second embodiment of the present invention.

トラヒック分析装置130は、あるネットワーク内部の内部ホストXが発信元であるパケットを受信した場合には(ステップ201)、まず当該内部ホストXのパケットが最直近で到着した時刻を現在の時刻に更新する(ステップ202)。次に、当該ホストXのアドレスが既に監視用アドレスリスト131に登録されている場合には(ステップ203、Yes)、当該内部ホストXのアドレスを監視用アドレスリスト131から削除し(ステップ204)、そうでない場合は何もせずに終了する。   When the traffic analyzer 130 receives a packet originating from the internal host X in a certain network (step 201), it first updates the time when the packet of the internal host X arrived most recently to the current time. (Step 202). Next, when the address of the host X is already registered in the monitoring address list 131 (step 203, Yes), the address of the internal host X is deleted from the monitoring address list 131 (step 204). If not, exit without doing anything.

ここで、あるパケットが実際の内部ホストXが発信元であるか、あるいは監視用サーバ110が発信元であるかを区別する必要が生じるが、これには二通りの解決方法がある。図5に示したような構成では、監視用サーバ110が発信するパケットはトラヒック分析装置130を経由しないため、当該トラヒック分析装置130においてパケットを観測した時点で実際の内部ホスト140が発信元であることが特定される。他の方法としては、監視用サーバ110が内部ホストXのアドレスを偽装するパケットがトラヒック転送装置120を経由する構成も考えられる。   Here, it is necessary to distinguish whether a certain packet is originating from the actual internal host X, or whether the monitoring server 110 is originating. There are two solutions. In the configuration shown in FIG. 5, since the packet transmitted from the monitoring server 110 does not pass through the traffic analysis device 130, the actual internal host 140 is the transmission source when the packet is observed in the traffic analysis device 130. It is specified. As another method, a configuration in which a packet for which the monitoring server 110 spoofs the address of the internal host X passes through the traffic transfer device 120 is also conceivable.

すなわちパケットがトラヒック転送装置120から到着した場合には監視用サーバ110が発信元であり、そうでない場合には内部ホスト140が発信元であることがわかる。
いずれの場合であっても本方式では実際のネットワーク内部のホストXが発信元であるパケットを観測した時点でそのアドレスを監視用アドレスリスト131から削除する。 That is, when the packet arrives from the traffic transfer device 120, it can be seen that the monitoring server 110 is the source, and otherwise the internal host 140 is the source.
In any case, in this method, the address is deleted from the monitoring address list 131 when a packet originating from the actual host X in the network is observed.

[第3の実施の形態]
本実施の形態では、第1の実施の形態において示した監視用アドレスリスト131に含まれるアドレスをランダム、あるいは、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する例を示す。 [Third Embodiment]
In the present embodiment, a hash function H (X) having a feature that returns a random value for the address included in the monitoring address list 131 shown in the first embodiment or a unique value for the same address X. An example of classifying into multiple groups using

トラヒック分析装置130は、ランダムにアドレスXを分類する場合には、例えば分類するグループの数をMとした場合、ランダムに1からMの値を返す乱数によって各々のアドレスX が1からMのいずれかに分類する。   When the traffic analyzer 130 classifies the addresses X at random, for example, when the number of groups to be classified is M, each address X 1 is 1 to M by a random number that returns a value from 1 to M at random. Categorize.

また、アドレスXに対してハッシュ関数H(X)を適用する際に、アドレスXに対する任意の変換X'を適用してからハッシュ関数H(X')を利用してもよい。   Further, when applying the hash function H (X) to the address X, the hash function H (X ′) may be used after applying an arbitrary conversion X ′ to the address X.

Mでの剰余を計算し1を追加した H(X') % M + 1 を計算するとその値は必ず1からMの値となり、同一のアドレスX に対して一意の値となる。グループ数Mは制御が可能なパラメタであり、監視対象のネットワークのサイズや、各グループに割り当てるアドレス数などを元に決定することができる。   When H (X ′)% M + 1 is calculated by calculating the remainder at M and adding 1, the value is always a value from 1 to M, and is unique for the same address X. The number of groups M is a controllable parameter, and can be determined based on the size of the network to be monitored, the number of addresses assigned to each group, and the like.

以下ではハッシュ関数としてよく知られた SHA-1 を用い、グループの数を5とするケースを例示する。   In the following example, SHA-1, which is well-known as a hash function, is used and the number of groups is five.

また最初はXに何も変換を施さないケースを示し、次に変換を施す例を示す。   First, a case where no conversion is applied to X is shown, and then an example of conversion is shown.

X を文字列 "192.168.233.63" とする。この X に SHA-1 を適用した結果は16進表記で
"b08bfacb35f261690ce5fa14d6d9828a4c59a9d9"
となる。この値は10進表記で
"1007904026468102533226922959238641403105044441561"
である。この値を5で割った余りに1を加えると2となる。したがって、"192.168.233.63"はグループ2に分類することができる。 Let X be the string "192.168.233.63". The result of applying SHA-1 to this X is in hexadecimal notation.
"b08bfacb35f261690ce5fa14d6d9828a4c59a9d9"
It becomes. This value is in decimal notation
"1007904026468102533226922959238641403105044441561"
It is. If 1 is added to this value divided by 5, it becomes 2. Therefore, “192.168.233.63” can be classified into group 2.

32ビットで表現されているアドレス X に対して下位 8 ビットを"0"とする変換を施すケースを示す。すなわち X ="192.168.233.63"に対するX'は X'="192.168.233.0"となる。   The following shows a case in which the lower 8 bits are converted to "0" for address X expressed in 32 bits. That is, X 'for X = "192.168.233.63" becomes X' = "192.168.233.0".

X' にSHA-1 を適用した結果は10進表記で
"668294084579058110983956357411212418693232089851"
となる。この値を5で割った剰余は1であるのでグループは1を足すことによって2となる。 The result of applying SHA-1 to X 'is in decimal notation
"668294084579058110983956357411212418693232089851"
It becomes. Since the remainder obtained by dividing this value by 5 is 1, the group becomes 2 by adding 1.

[第4の実施の形態]
本実施の形態では、通信(プロトコル)の種類も加えて非監視用アドレス・通信リストを構成する。表3に「非監視用アドレス・通信リスト」の例を示す。 [Fourth Embodiment]
In the present embodiment, a non-monitoring address / communication list is configured in addition to the type of communication (protocol). Table 3 shows an example of “non-monitoring address / communication list”.

Figure 0005582499
トラヒック分析装置130は外部ホスト1から内部ホストX宛に向けたパケットを分析し、該パケットの通信プロトコルが表3に示す「非監視用アドレス・通信リスト」にマッチするか否かをチェックする。例えば該通信の内部ホストの宛先アドレスが"192.168.233.33"であり、通信のプロトコル種類がhttp であった場合は、非監視用アドレス・通信リストにマッチするので非監視の対象となり、該通信は通常通り"192.168.233.33"へと転送される。
Figure 0005582499
 The traffic analyzer 130 analyzes a packet directed from the external host 1 to the internal host X, and checks whether the communication protocol of the packet matches the “non-monitoring address / communication list” shown in Table 3. For example, if the destination address of the internal host of the communication is "192.168.233.33" and the communication protocol type is http, it matches the non-monitoring address / communication list, so it becomes a non-monitoring target. Forwarded to "192.168.233.33" as usual.

同様に該パケットの宛先アドレスが"192.168.233.33"であり、通信の種類が smtp であった場合はリストにマッチしないので、監視の対象となり、該パケットはトラヒック転送装置120を経由して監視サーバ110へと転送される。   Similarly, if the destination address of the packet is “192.168.233.33” and the type of communication is smtp, the packet does not match the list, and is subject to monitoring. The packet is monitored via the traffic transfer device 120. 110.

すなわち同じ宛先アドレスであっても通信の種類によっては監視対象となったりならなかったりする。この非監視用アドレス・通信リストは本発明の第1から第3の実施の形態に示した監視用アドレスリスト131と同様に更新・管理することができる。   That is, even if the destination address is the same, it may or may not be monitored depending on the type of communication. This non-monitoring address / communication list can be updated and managed in the same manner as the monitoring address list 131 shown in the first to third embodiments of the present invention.

[第5の実施の形態]
第1の実施の形態における監視アドレスリストまたは、第4の実施の形態で示した非監視用アドレス・通信リストに対し、予めアドレスリストを記憶手段に用意し、当該アドレスリストを参照することにより、当該アドレスリストに含まれる内部ホスト140のみを対象として、または、アドレスリストに掲載されていないホストのみを対象として、監視アドレスリストまたは非監視用アドレスリストを構築するリストを構築する。 [Fifth Embodiment]
For the monitoring address list in the first embodiment or the non-monitoring address / communication list shown in the fourth embodiment, an address list is prepared in the storage means in advance, and by referring to the address list, A list for constructing a monitoring address list or a non-monitoring address list is constructed only for the internal hosts 140 included in the address list or only for hosts not listed in the address list.

また、上記の図1に示すトラヒック分析装置、トラヒック転送装置を1つのトラヒック監視装置とし、当該装置の動作をプログラムとして構築し、トラヒック管理装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。   Further, the traffic analysis device and the traffic transfer device shown in FIG. 1 are set as one traffic monitoring device, the operation of the device is constructed as a program, and installed and executed on a computer used as a traffic management device, or It is possible to distribute through a network.

また、構築されたプログラムをハードディスクやフレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。   Further, the constructed program can be stored in a portable storage medium such as a hard disk, a flexible disk, or a CD-ROM, and can be installed or distributed in a computer.

なお、本発明は、上記の実施の形態に限定されるものではなく、特許請求の範囲内において種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications can be made within the scope of the claims.

1 外部ネットワーク
100 内部ネットワーク
110 監視サーバ
120 トラヒック転送装置
130 トラヒック分析装置
131 監視用アドレスリスト
140 内部ホスト 1 External Network 100 Internal Network 110 Monitoring Server 120 Traffic Transfer Device 130 Traffic Analysis Device 131 Monitoring Address List 140 Internal Host

Claims (13)

ネットワークのトラヒックを監視するネットワーク監視システムであって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホストを有し、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加手段と、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有し、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のパケットの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理手段を、
有することを特徴とするネットワーク監視システム。 A network monitoring system for monitoring network traffic,
At least one or more monitoring servers, a traffic analysis device for analyzing traffic on a network line or externally attached network, a traffic transfer device for transferring received packets to any monitoring server, and an internal host,
The traffic analyzer is
Analyzes the traffic from the external host of the external network to the internal host inside the network, and when there is a communication request from the external host to the internal host for a certain period of time, does not return any response, but requests communication to the external host by itself Monitoring address list generating means for extracting the internal hosts that did not transmit and registering the set of addresses assigned to each of the internal host sets and the identifier of the monitoring server in the storage means as a monitoring address list; ,
May be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and only one-way communication from the external host to the internal host is observed over a certain period with reference to the communication recording unit, or An additional means for adding the address of the internal host to the monitoring address list when no communication is observed;
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion means for deleting the address of the internal host from the monitoring address list;
Monitoring address list transfer means for transmitting the monitoring address list to the traffic transfer device at a predetermined cycle;
Have
The traffic forwarding device is:
Referring to the monitoring address list acquired from the traffic analysis device, the packet addressed to the internal server address is set to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. A transfer control means for transmitting to the server and not forwarding to the internal server of the destination address of the packet;
The monitoring server is
The packet transferred from the traffic transfer device is received, the packet is processed instead of the internal host of the original packet destination, and the processing result is directly or addressed to the address of the external host of the packet source, Proxy processing means for transmitting via the traffic transfer device,
A network monitoring system comprising: 前記監視アドレスリストに含まれる内部ホストのみを対象として、または、該監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納する手段を更に有する
請求項1記載のネットワーク監視システム。 2. The apparatus according to claim 1, further comprising means for generating an address list for only an internal host included in the monitoring address list or for only an internal host not included in the monitoring address list and storing the address list in a storage unit. Network monitoring system. 前記トラヒック分析装置の前記監視用アドレスリスト生成手段は、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類するグループ化手段を含む
請求項1記載のネットワーク監視システム。 The monitoring address list generating means of the traffic analyzer is
The internal host addresses X included in the monitoring address list are classified into a plurality of groups at random or using a hash function H (X) having a characteristic of returning a unique value for the same address X 2. The network monitoring system according to claim 1, further comprising grouping means. 前記トラヒック分析装置は、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成する手段を含み、
前記トラヒック転送装置は、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する手段を含む
請求項1記載のネットワーク監視システム。 The traffic analyzer is
Means for generating a non-monitoring address list comprising a set of addresses assigned to each of the internal host sets and a communication type classified by a protocol type;
The traffic forwarding device is:
2. The network monitoring system according to claim 1, further comprising means for transferring only packets that do not match the address of the internal host described in the non-monitoring address list and the communication type to the monitoring server. 前記非監視アドレスリストに含まれる内部ホストのみを対象として、または、該非監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納する手段を更に有する
請求項4記載のネットワーク監視システム。 5. A means for generating an address list for only an internal host included in the non-monitoring address list or for an internal host not included in the non-monitoring address list and storing the address list in a storage unit. The network monitoring system described. ネットワークのトラヒックを監視するネットワーク監視方法であって、
少なくとも1つ以上の監視サーバ、ネットワーク回線上または、外付けされ、ネットワーク上のトラヒックを分析するトラヒック分析装置、受信したパケットをいずれかの監視サーバに転送するトラヒック転送装置、内部ホストを有するシステムにおいて、
前記トラヒック分析装置は、
外部ネットワークの外部ホストから前記ネットワーク内部の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成ステップと
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加ステップと、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除ステップと、
前記監視用アドレスリストを所定の周期で前記トラヒック転送装置に送信する監視用アドレスリスト転送ステップと、
を行い、
前記トラヒック転送装置は、
前記トラヒック分析装置から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御ステップを行い、
前記監視サーバは、
前記トラヒック転送装置から転送された前記パケットを受信して、本来のトラヒックの宛先の内部ホストの代わりに該パケットの処理を行い、処理結果を該パケットの送信元の外部ホストのアドレスに直接または、前記トラヒック転送装置を介して送信する代理処理ステップを行う
ことを特徴とするネットワーク監視方法。 A network monitoring method for monitoring network traffic,
In a system having at least one or more monitoring servers, a traffic analysis device that analyzes traffic on a network line or externally attached network, a traffic transfer device that transfers received packets to any monitoring server, and an internal host ,
The traffic analyzer is
Analyzes the traffic from the external host of the external network to the internal host inside the network, and when there is a communication request from the external host to the internal host for a certain period of time, does not return any response, but requests communication to the external host by itself A monitoring address list generating step for extracting an internal host that has not transmitted a message and associating a set of addresses assigned to each of the internal host sets with the identifier of the monitoring server and registering them in the storage means as a monitoring address list; may be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and the communication recording means is If only one-way communication from the external host to the internal host is observed over a certain period of time, or if no communication is observed, the address of the internal host is added to the monitoring address list. And additional steps to
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion step of deleting the address of the internal host from the monitoring address list;
A monitoring address list transfer step of transmitting the monitoring address list to the traffic transfer device at a predetermined period;
And
The traffic forwarding device is:
Referring to the monitoring address list acquired from the traffic analysis device, the packet addressed to the internal server address is set to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. A transfer control step that transmits to the server and does not forward to the internal server of the destination address of the packet,
The monitoring server is
The packet transferred from the traffic transfer device is received, the packet is processed instead of the internal host of the original traffic destination, and the processing result is directly or directly to the address of the external host that is the source of the packet, A network monitoring method comprising: performing a proxy processing step of transmitting via the traffic transfer device. 前記監視アドレスリストに含まれる内部ホストのみを対象として、または、該監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納するステップを更に行う
請求項6記載のネットワーク監視方法。 7. The step of generating an address list for only an internal host included in the monitoring address list or for only an internal host not included in the monitoring address list and storing the address list in a storage unit is further performed. Network monitoring method. 前記トラヒック分析装置における、前記監視用アドレスリスト生成ステップにおいて、
前記監視用アドレスリストに含まれる前記内部ホストのアドレスXをランダムに、または、同一のアドレスXに対して一意な値を返す特徴を有するハッシュ関数H(X)を利用して複数グループに分類する
請求項6記載のネットワーク監視方法。 In the monitoring address list generation step in the traffic analyzer,
The internal host addresses X included in the monitoring address list are classified into a plurality of groups at random or using a hash function H (X) having a characteristic of returning a unique value for the same address X The network monitoring method according to claim 6. 前記アドレスXに対してハッシュ関数H(X)を適用する際に、
前記アドレスXに対する任意の変換X’を適用してからハッシュ関数を適用したH(X)を利用する
請求項8記載のネットワーク監視方法。 When applying the hash function H (X) to the address X,
9. The network monitoring method according to claim 8, wherein H (X) to which a hash function is applied after applying an arbitrary conversion X ′ to the address X is used. 前記トラヒック分析装置において、
前記内部ホスト集合の個々に割り当てられているアドレスの集合とプロトコル種別によって分類される通信種別からなる非監視用アドレスリストを生成し、
前記トラヒック転送装置において、
前記非監視用アドレスリストに記載された内部ホストのアドレスと前記通信種別に合致しないパケットのみを前記監視サーバに転送する
請求項6記載のネットワーク監視方法。 In the traffic analyzer,
Generating a non-monitoring address list comprising a set of addresses assigned to each of the internal host sets and a communication type classified by a protocol type;
In the traffic transfer device,
7. The network monitoring method according to claim 6, wherein only packets that do not match the address of the internal host described in the non-monitoring address list and the communication type are transferred to the monitoring server. 前記非監視アドレスリストに含まれる内部ホストのみを対象として、または、該非監視アドレスリストに含まれていない内部ホストのみを対象としてアドレスリストを生成し、記憶手段に格納するステップを更に行う
請求項10記載のネットワーク監視方法。 11. The step of generating an address list for only an internal host included in the non-monitoring address list or for only an internal host not included in the non-monitoring address list and storing the address list in a storage unit is further performed. The network monitoring method described. ネットワークのトラヒックを監視するネットワーク監視装置であって、
ネットワーク上のトラヒックを分析するトラヒック分析手段、受信したパケットをいずれかの監視サーバに転送するトラヒック転送手段、を含み、
前記トラヒック分析手段は、
外部ネットワークの外部ホストから監視対象のネットワーク内の内部ホストに対するトラヒックを分析し、一定期間において該外部ホストから該内部ホストへの通信要求があった場合に一切の応答を返さず、自ら外部ホストに通信要求を送信しなかった内部ホストを抽出し、内部ホスト集合の個々に割り当てられているアドレスの集合と前記トラヒック転送手段に接続される監視サーバの識別子を対応付けて監視用アドレスリストとして記憶手段に登録する監視用アドレスリスト生成手段と、
前記内部ホストのアドレスに対応する一定期間の内部通信の有無および最後に観測された内部発信の時刻を通信記録手段に保持しておき、前記内部ホスト宛てのパケットを検出した際に、該内部ホストのアドレスが前記監視用アドレスリストに登録されておらず、かつ、該通信記録手段を参照して一定以上の期間にわたって前記外部ホストから該内部ホストへの片方向通信のみ観測された、あるいは、全く通信が観測されなかった場合には該内部ホストのアドレスを該監視用アドレスリストに追加する追加手段と、
前記内部ホスト毎のトラヒックを継続的に分析し、該内部ホストが発信元である通信要求を検出した場合は、前記監視用アドレスリストから、当該内部ホストのアドレスを削除する削除手段と、
前記監視用アドレスリストを所定の周期で前記トラヒック転送手段に送信する監視用アドレスリスト転送手段と、
を有し、
前記トラヒック転送手段は、
前記トラヒック分析手段から取得した前記監視用アドレスリストを参照して、前記内部サーバのアドレス宛のパケットを、該内部サーバのアドレスに対応付けられている監視サーバの識別子に対応する少なくとも1つの前記監視サーバに送信し、該パケットの宛先のアドレスの内部サーバには転送しない転送制御手段を有する
ことを特徴とするネットワーク監視装置。 A network monitoring device for monitoring network traffic,
Traffic analysis means for analyzing traffic on the network, traffic forwarding means for forwarding the received packet to any monitoring server,
The traffic analysis means includes:
Analyze the traffic from the external host of the external network to the internal host in the monitored network. If there is a communication request from the external host to the internal host for a certain period of time, no response will be returned to the external host. A means for extracting an internal host that has not transmitted a communication request, and storing a set of addresses assigned to each of the internal host sets and an identifier of a monitoring server connected to the traffic transfer means as a monitoring address list Monitoring address list generation means to be registered in
May be held in the communication record means the presence and time of the last observed internal oscillator internal onset communications for a period of time corresponding to the address of the internal host, upon detecting a packet of the internal host destined internal The host address is not registered in the monitoring address list, and only one-way communication from the external host to the internal host is observed over a certain period with reference to the communication recording unit, or An additional means for adding the address of the internal host to the monitoring address list when no communication is observed;
When continuously analyzing the traffic for each internal host and detecting a communication request originating from the internal host, a deletion means for deleting the address of the internal host from the monitoring address list;
Monitoring address list transfer means for transmitting the monitoring address list to the traffic transfer means at a predetermined cycle;
Have
The traffic transfer means includes:
Referring to the monitoring address list acquired from the traffic analysis means, the packet addressed to the internal server address is sent to at least one monitoring server corresponding to the monitoring server identifier associated with the internal server address. A network monitoring apparatus comprising transfer control means for transmitting to a server and not forwarding to an internal server at the destination address of the packet. 請求項12に記載のネットワーク監視装置を構成する各手段としてコンピュータを機能させるためのネットワーク監視プログラム。   The network monitoring program for functioning a computer as each means which comprises the network monitoring apparatus of Claim 12.
JP2010162168A 2010-07-16 2010-07-16 Network monitoring method, system, apparatus and program Expired - Fee Related JP5582499B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010162168A JP5582499B2 (en) 2010-07-16 2010-07-16 Network monitoring method, system, apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010162168A JP5582499B2 (en) 2010-07-16 2010-07-16 Network monitoring method, system, apparatus and program

Publications (2)

Publication Number Publication Date
JP2012023686A JP2012023686A (en) 2012-02-02
JP5582499B2 true JP5582499B2 (en) 2014-09-03

Family

ID=45777530

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010162168A Expired - Fee Related JP5582499B2 (en) 2010-07-16 2010-07-16 Network monitoring method, system, apparatus and program

Country Status (1)

Country Link
JP (1) JP5582499B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11202100631VA (en) * 2018-09-14 2021-02-25 Toshiba Kk Communication control device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0879248A (en) * 1994-09-01 1996-03-22 Fujitsu Ltd Network address management device
JP2007325293A (en) * 2002-08-20 2007-12-13 Nec Corp System and method for attack detection
JP4020835B2 (en) * 2003-07-10 2007-12-12 株式会社日立製作所 Network monitoring device
JP2006237790A (en) * 2005-02-23 2006-09-07 Seiko Epson Corp Device and method for allocating ip address, ip address allocating program and recording medium

Also Published As

Publication number Publication date
JP2012023686A (en) 2012-02-02

Similar Documents

Publication Publication Date Title
US20220045990A1 (en) Methods and systems for api deception environment and api traffic control and security
CN112422481B (en) Trapping method, system and forwarding equipment for network threats
JP6014280B2 (en) Information processing apparatus, method, and program
US9584531B2 (en) Out-of band IP traceback using IP packets
US9838421B2 (en) Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks
US8561188B1 (en) Command and control channel detection with query string signature
US7814546B1 (en) Method and system for integrated computer networking attack attribution
Berk et al. Designing a framework for active worm detection on global networks
Sieklik et al. Evaluation of TFTP DDoS amplification attack
JP5713445B2 (en) Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program
Chen et al. Detecting amplification attacks with software defined networking
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Saad et al. Rule-based detection technique for ICMPv6 anomalous behaviour
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
Devi et al. Detection of DDoS attack using optimized hop count filtering technique
CN102546587B (en) Prevent gateway system Session Resources by the method that maliciously exhausts and device
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
JP5582499B2 (en) Network monitoring method, system, apparatus and program
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
Shing An improved tarpit for network deception
Zhou et al. Limiting self-propagating malware based on connection failure behavior
Takemori et al. Detection of Bot Infected PCs using Destination-based IP and Domain Whitelists during a non-operating term
Burke et al. Using network flow data to analyse distributed reflection denial of service (DRDoS) attacks, as observed on the South African national research and education network (SANReN) a postmortem analysis of the memcached attack on the SANReN
JP5922622B2 (en) Control device, communication system, and communication control method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20121029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20121029

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140708

R150 Certificate of patent or registration of utility model

Ref document number: 5582499

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees