JP5925287B1 - 情報処理装置、方法およびプログラム - Google Patents
情報処理装置、方法およびプログラム Download PDFInfo
- Publication number
- JP5925287B1 JP5925287B1 JP2014265806A JP2014265806A JP5925287B1 JP 5925287 B1 JP5925287 B1 JP 5925287B1 JP 2014265806 A JP2014265806 A JP 2014265806A JP 2014265806 A JP2014265806 A JP 2014265806A JP 5925287 B1 JP5925287 B1 JP 5925287B1
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- analysis
- communication flow
- data
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/02—Protocol performance
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
【課題】リアルタイムでより正確性の高いプロトコル判定を行うことを課題とする。【解決手段】情報処理装置に、データが受信される毎に、予め設定された第一のプロトコルの特徴に従って該データを解析することで、通信フローに係るプロトコルが該第一のプロトコルであるか否かを推定する第一の解析部と、第一の解析部による解析結果に拘らず、当該通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析部と、を備えた。【選択図】図3
Description
本開示は、プロトコルを判定するための技術に関する。
従来、外部ネットワークからのパケットがTCPによる通信である場合に、パケット中に含まれるデータセグメントのコピーをセッション情報と関連付けして一時的に保留し、セッション情報と同一で最後のデータセグメントを有するパケットを受信すると、同一のセッション情報を有するデータセグメントを組み立てるデータセグメント組立部と、受信したデータセグメントまたは組み立てたデータセグメントを解析し、不正アクセスが含まれている場合には最後に受信したデータセグメントが含まれるパケットを廃棄する不正アクセス解析部と、を備える侵入検知装置が提案されている(特許文献1を参照)。
また、受信されたデータパケットのヘッダーおよびコンテンツに含まれる情報を用いてデータパケットを分類し、ヘッダー情報およびコンテンツの双方に基づいてパケットを処理するフロー命令を決定し、フロー命令を用いてパケットを処理する、データパケット検査方法が提案されている(特許文献2を参照)。
従来、通信の分類には、通信プロトコルによる分類が使われており、宛先ポート番号による識別が行なわれてきた。しかし、この方法では、プロトコル標準のポート番号を利用しない通信や、故意にポート番号を偽装した通信について、正しくプロトコルを識別することが出来ない。また、他の識別方法として、通信初期のデータを用いてプロトコルを識別する方法があるが、この方法では、類似したプロトコル(例えば、HTTP(Hypertext Transfer Protocol)とSIP(Session Initiation Protocol)、FTP(File Transfer Protocol)とPOP3(Post Office Protocol version 3)等)について、プロトコル識別の誤りが発生し得る。更に、このような類似プロトコル以外にも、プロトコル標準に任意のメソッドやコマンドを追加して利用することや、プロトコル仕様が改訂され新しいメソッドやコマンドが追加される場合もある。このため、初期データでプロトコルを正しく識別することは困難であり、正しく識別する場合にはプロトコルを一意に識別できるまで全ての受信データを蓄積する必要があり、リアルタイム性に乏しかった。
本開示は、上記した問題に鑑み、リアルタイムでより正確性の高いプロトコル判定を行うことを課題とする。
本開示の一例は、取得されたデータが属する通信フローを識別するフロー管理手段と、前記通信フローに属するデータが受信される毎に、予め設定された第一のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第一のプロトコルであるか否かを推定する第一の解析手段と、前記第一の解析手段による解析結果に拘
らず、前記通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析手段と、を備え、前記フロー管理手段は、前記通信フローに属するデータの解析の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止させる、情報処理装置である。
らず、前記通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析手段と、を備え、前記フロー管理手段は、前記通信フローに属するデータの解析の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止させる、情報処理装置である。
本開示は、情報処理装置、システム、コンピューターによって実行される方法またはコンピューターに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピューターその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピューター等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピューター等から読み取ることができる記録媒体をいう。
本開示によれば、リアルタイムでより正確性の高いプロトコル判定を行うことが可能となる。
以下、本開示に係る情報処理装置、方法およびプログラムの実施の形態を、図面に基づいて説明する。但し、以下に説明する実施の形態は、実施形態を例示するものであって、本開示に係る情報処理装置、方法およびプログラムを以下に説明する具体的構成に限定するものではない。実施にあたっては、実施の態様に応じた具体的構成が適宜採用され、また、種々の改良や変形が行われてよい。
本実施形態では、本開示に係る情報処理装置、方法およびプログラムを、ネットワークを監視するためのシステムにおいて実施した場合の実施の形態について説明する。但し、本開示に係る情報処理装置、方法およびプログラムは、プロトコルを判定するための技術について広く用いることが可能であり、本開示の適用対象は、本実施形態において示した例に限定されない。
<システムの構成>
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「ノード90」と称する)が接続されるネットワークセグメント2と、ノード90に係る通信を監視するためのネットワーク監視装置20と、を備える。また、ネットワークセグメント2内のノード90は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバーと、ルータ10を介して通信可能である。本実施形態において、ネットワーク監視装置20は、ネットワ
ークセグメント2のスイッチまたはルータ(図1に示した例では、ルータ10)と、その上位にある他のスイッチまたはルータと、の間に接続されることで、通過するパケットやフレーム等を取得する。この場合、ネットワーク監視装置20は、取得したパケットのうち、遮断しなくてもよいパケットについては転送するインラインモードで動作する。
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「ノード90」と称する)が接続されるネットワークセグメント2と、ノード90に係る通信を監視するためのネットワーク監視装置20と、を備える。また、ネットワークセグメント2内のノード90は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバーと、ルータ10を介して通信可能である。本実施形態において、ネットワーク監視装置20は、ネットワ
ークセグメント2のスイッチまたはルータ(図1に示した例では、ルータ10)と、その上位にある他のスイッチまたはルータと、の間に接続されることで、通過するパケットやフレーム等を取得する。この場合、ネットワーク監視装置20は、取得したパケットのうち、遮断しなくてもよいパケットについては転送するインラインモードで動作する。
図2は、本実施形態に係るネットワーク監視装置20のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20以外の構成(ルータ10、ノード90等)については、図示を省略している。ネットワーク監視装置20は、CPU(Central Processing Unit)11、RAM(Random Access Memory)13、ROM(Read Only Memory)12、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Network Interface Card)15等の通信ユニット、等を備えるコンピューターである。
図3は、本実施形態に係るネットワーク監視装置20の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20以外の構成(ルータ10およびノード90等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、通信取得部21、フロー管理部22、複数のプロトコル解析部23.1−23.n(単に何れか1のプロトコル解析部を指す場合は、単に「プロトコル解析部23」と記載する)、複数の検査部24.1−24.m(単に何れか1の検査部を指す場合は、単に「検査部24」と記載する)およびイベント処理部25を備える情報処理装置として機能する。なお、本実施形態では、ネットワーク監視装置20の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。また、これらの機能の一部または全部は、クラウド技術等を用いて、遠隔値に設置された装置や、分散設置された複数の装置によって実行されてもよい。
通信取得部21は、ネットワークに接続された端末によって送受信される通信のデータを取得する。なお、本実施形態において、ネットワーク監視装置20による監視および検知の対象となる「端末」には、ネットワークセグメント2に接続されたノード90の他、ノード90とルータ10を介して通信するその他の装置(他のネットワークに属するノードや外部サーバー等)を含む。
フロー管理部22は、通信取得部21によって取得されたデータが属する通信フロー(以下、単に「フロー」とも称する)を識別し、また、夫々のフローに属するデータが受信される毎に、取得されたデータや解析結果、検査結果に基づいてフローテーブルを更新することで、フローを管理する。ここで、フローとは、TCP(Transmission
Control Protocol)のコネクション等、1まとまりのデータの送受信を識別するための単位である。
Control Protocol)のコネクション等、1まとまりのデータの送受信を識別するための単位である。
図4は、本実施形態に係る、フローテーブルの概要を示す図である。フローテーブルには、ネットワーク監視装置20によって取得される通信のフロー毎に、当該フローに係る情報(以下、「フロー関連情報」と称する)が管理されている。本実施形態において、フローはフローIDが付されることで識別されており、フロー管理部22は、フローIDをキーとして、フローテーブルから目的のフロー関連情報を索出することが出来る。また、フローは、パケットのヘッダーに含まれるプロトコル番号(但し、偽装されている可能性がある)、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号等を参照することで識別される。このため、新たなフローに係るパケットが受信されると
、フロー管理部22は、フローIDを採番し、先述したフローの識別に用いられる情報との対応関係を保持する。
、フロー管理部22は、フローIDを採番し、先述したフローの識別に用いられる情報との対応関係を保持する。
夫々のフロー関連情報には、各プロトコル解析部23がその関連付けられたフローに対しデータを継続して解析するかどうかの解析ステータス、およびその解析コンテキストが格納されている。解析ステータスには、「解析する」もしくは「解析しない」が設定される。解析ステータスの初期値は「解析する」である。また、解析コンテキストには、そのプロトコルとフローに関連した検査部24が検査に必要とする情報と、その検査状況(本実施形態では、「検査項目に該当」、「検査項目に非該当」および「保留」の何れか)が格納される。
また、フロー管理部22は、対象データの解析結果および検査結果を参照し、フローに属するデータの解析または検査の結果が1または複数の中止条件の何れかを満たした場合に、当該中止条件を満たしたプロトコル解析部23による、当該フローに係るデータの解析を中止させる。ここで、あるプロトコル解析部23による解析を中止するための1または複数の中止条件は、フローにおいて当該プロトコルに係る全ての検査項目の検査が完了したこと、フローにおいて当該プロトコルが終了したこと、およびフローの当該プロトコルとしての解釈が失敗したこと、の少なくとも何れかを含む。例えば、HTTP解析部23.1による解析を中止するための中止条件は、フローにおいてHTTPに係る全ての検査項目の検査が完了したこと、フローにおいてHTTPが終了したこと(例えば、TCPコネクションの終了等)、およびフローのHTTPとしての解釈が失敗したこと、の少なくとも何れかを含む。また、例えば、FTP解析部23.4による解析を中止するための中止条件は、フローにおいてFTPに係る全ての検査項目の検査が完了したこと、フローにおいてFTPが終了したこと(例えば、QUITコマンドによる終了等)、およびフローのFTPとしての解釈が失敗したこと、の少なくとも何れかを含む。
更に、フロー管理部22は、あるプロトコル解析部23によって、あるフローのプロトコルが他のプロトコルに遷移したことが検知された場合に、当該他のプロトコルを担当するプロトコル解析部23による、当該フローに係るデータの解析を再開させる。例えば、フロー管理部22は、HTTP解析部23.1によって、フローがCONNECTメソッドを利用し他のプロトコルに遷移したことが検知された場合に、SSL/TLS(HTTPS)解析部23.2やFTP解析部23.4等を含む他のプロトコル解析部23による、フローに係るデータの解析を再開させる。
更に、フロー管理部22は、あるプロトコル解析部23によって、あるフローのプロトコルが当該プロトコル解析部23が担当するプロトコルであると確定された場合に、他のプロトコル解析部23による、当該フローに係るデータの解析を中止させる。例えば、フロー管理部22は、HTTP解析部23.1によって、フローのプロトコルがHTTPであると確定された場合に、SIP解析部23.3による、当該フローに係るデータの解析を中止させる。
プロトコル解析部23は、例えば、HTTP解析部23.1、SIP解析部23.3およびFTP解析部23.4等、ネットワーク監視装置20が解析の対象とするプロトコル毎に用意され、対象データを並列的に解析する。夫々のプロトコル解析部23は、他のプロトコル解析部23による解析結果に拘らず、フローに属するデータが受信される毎に、予め設定されたプロトコルの特徴に従って対象データを解析することで、当該フローに係るプロトコルが当該プロトコルであるか否かを推定する。例えば、HTTP解析部23.1は、SIP解析部23.3やFTP解析部23.4等の解析結果に拘らず、フローに属するデータが受信される毎に、HTTPの特徴に従って対象データを解析することで、当該フローに係るプロトコルがHTTPであるか否かを推定する。
検査部24は、プロトコル解析部23によって、フローに係るプロトコルが当該プロトコル解析部23の担当するプロトコルであると判定された場合に、当該プロトコルに応じて定められた検査項目に従ってデータを検査する。例えば、HTTP検査部24.1は、HTTP解析部23.1によってフローに係るプロトコルがHTTPであると判定された場合に、HTTPについて定められた検査項目に従ってデータを検査する。
イベント処理部25は、プロトコル解析部23または検査部24によって、フローにおけるイベントが検知された場合に、当該イベントに係るデータ(証跡)を保存または当該イベントの検知をユーザーに通知する。本実施形態において検知されるイベントとしては、例えば、業務に不要なアプリケーションによるネットワーク上での通信や、プロトコルに沿っていない通信、マルウェアによる通信、等がある。
<処理の流れ>
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本開示を実施するための一例である。具体的な処理内容および処理順序は、本開示の実施の形態に応じて適宜選択されてよい。
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本開示を実施するための一例である。具体的な処理内容および処理順序は、本開示の実施の形態に応じて適宜選択されてよい。
図5は、本実施形態に係るデータ処理の流れの概要を示すフローチャートである。本実施形態に係るデータ処理は、ネットワーク監視装置20によって、ネットワーク上を流れるデータが取得される度に実行される。なお、本実施形態では、データが複数のパケットに分割されている場合には、複数のパケットが受信されることで所定の単位のデータが取得される毎に実行される。但し、本フローチャートに示された処理は、パケットが受信される毎に実行されてもよい。
ステップS101およびステップS102では、データが取得され、対象データに係るフローが識別される。通信取得部21は、ネットワーク上を流れるデータを取得する(ステップS101)。ここで、通信取得部21は、データが複数のパケットに分割されている場合には、分割された複数のパケットの受信を待つことで、所定の単位のデータを取得する。データが取得されると、フロー管理部22は、対象データを含むパケットのヘッダー等を参照することで、対象データに係るフローを識別する(ステップS102)。
より具体的には、フロー管理部22は、通信取得部21によって新たに通信(入力パケット)が取得されると、入力パケットの整形、分類、および有効な既存フローへの関連付けを行う。また、ネットワーク監視装置20は、入力パケットを端末単位(送信元/宛先IPアドレス(MACアドレス)単位)、トランスポート層のプロトコル(TCP、UDP、ICMP等)単位に分類、および既存フローとの関連付けを行う。そして、フロー管理部22は、フローテーブルを参照することで、識別されたフローに係る情報を取得する。その後、処理はステップS103へ進む。
ステップS103では、対象データが、各プロトコル解析部23による解析の対象であるか否かが判定される。本実施形態では、複数のプロトコル解析部23が、解析の対象となるプロトコル毎に用意されている。フロー管理部22は、フローテーブルを参照することで、対象データが、各プロトコル解析部23による解析の対象であるか否かを判定する。具体的には、フロー管理部22は、対象データが属するフローの各プロトコルの解析ステータスが「解析する」に設定されているか「解析しない」に設定されているかを判定することで、解析対象であるか否かを判定する。なお、解析ステータスには、対象データがフローにおける2回目以降のデータである場合、前回のプロトコル解析/検査の結果に応じて何れかの値が設定されている(ステップS105を参照)。対象データがフローにお
ける最初のデータである場合、解析ステータスには、初期値である「解析する」が設定されている。その後、処理はステップS104へ進む。
ける最初のデータである場合、解析ステータスには、初期値である「解析する」が設定されている。その後、処理はステップS104へ進む。
ステップS104では、必要なプロトコル解析部23に対してプロトコル解析が依頼される。フロー管理部22は、対象データのフローが解析の対象に設定されているプロトコル解析部23を呼び出し、対象データのプロトコル解析を依頼する。プロトコル解析部23による解析処理の詳細は、プロトコル解析/検査処理の流れの概要を示すフローチャート(図6)を参照して後述する。依頼を受けた全てのプロトコル解析部23から処理が戻されると、処理はステップS105へ進む。
ステップS105では、フローテーブルが更新される。各プロトコル解析部23の処理が終了すると、フロー管理部22は、プロトコル解析/検査処理の結果(後述するステップS210における、各プロトコル解析部23による設定内容)に従って、フローテーブルの解析ステータスを更新し、次回データを待ち合わせる。具体的には、フロー管理部22は、当該フローについて解析を継続するよう設定したプロトコル解析部23について、当該フローの当該プロトコルについての解析ステータスを「解析する」へ更新し、当該フローについて解析を中止するよう設定したプロトコル解析部23について、当該フローの当該プロトコルについての解析ステータスを「解析しない」に更新する。その後、本フローチャートに示された処理は終了する。
図6は、本実施形態に係る、予め定義されたプロトコル毎に実行されるプロトコル解析/検査処理の流れの概要を示すフローチャートである。プロトコル解析部23および検査部24は、プロトコル毎に用意されており、本実施形態に係るプロトコル解析/検査処理は、データ処理において、各プロトコルについてのプロトコル解析部23が呼び出される毎に実行される。即ち、本実施形態では、HTTP、FTP、およびSSL/TLS等のプロトコル毎に、HTTP解析部23.1、FTP解析部23.4およびSSL/TLS解析部23.2等の各プロトコルに対応したプロトコル解析部23が用意される。また、プロトコル毎に、HTTP検査部24.1、FTP検査部24.4およびSSL/TLS検査部24.2等の各プロトコルに対応した検査部24が用意される。そして、データが取得される毎にこれらのプロトコル解析部23.1−23.nおよび検査部24.1−24.mが呼び出され、並列に実行されることで、1のデータに対してプロトコル毎のプロトコル解析/検査処理が実行される。
ステップS201では、対象データが、当該プロトコルであるか否かの解析(パース)が行われる。各プロトコル解析部23は、対象データを参照し、データのパース処理やトランザクションの管理など各プロトコルの必要に応じた解析を行なう。解析は、具体的には、予め定義されたプロトコルのデータパターンとの比較等によって行われる。この際、本実施形態に係るプロトコル解析部23は、パケットヘッダーに設定されたプロトコル番号等が偽装されている可能性も考慮して、プロトコル番号のみに依拠せずに、対象データが当該プロトコル解析部23の担当するプロトコルであるか否かを解析する。
各プロトコル解析部23は、例えば、対象データを当該プロトコル解析部23の担当するプロトコルとして解析し、対象データが当該プロトコルのデータとして成立するために必須の要素を含んでいるか否かを判定することで、対象データが当該プロトコルであるか否かを解析する。但し、プロトコルの解析に用いられる方法は、本開示における例示に限定されない。例えば、当該プロトコル解析部23に係るプロトコルのデータパターンとの一致点や不一致点についてポイントを累積し、このポイントと閾値とを比較する方法を用いて、これまでに受信された対象データの当該プロトコルらしさを判定することで、対象データが当該プロトコル解析部23の担当するプロトコルであるか否かが解析されてもよい。解析の結果得られた情報(例えば、前記ポイント等)はフロー管理部22へ渡され、
上記説明したステップS105のフローテーブル更新処理において、解析コンテキストへ格納される。なお、対象データが当該フローに係る2回目以降のデータである場合、即ち、以前に当該フローに係るデータを当該プロトコル解析部23が解析したことがある場合、解析にあたって、対象データに加えて前回までの解析コンテキストも参照される。その後、処理はステップS202へ進む。
上記説明したステップS105のフローテーブル更新処理において、解析コンテキストへ格納される。なお、対象データが当該フローに係る2回目以降のデータである場合、即ち、以前に当該フローに係るデータを当該プロトコル解析部23が解析したことがある場合、解析にあたって、対象データに加えて前回までの解析コンテキストも参照される。その後、処理はステップS202へ進む。
ステップS202では、プロトコル解析の結果が判定される。ステップS201におけるプロトコル解析の結果、対象データのプロトコルが、当該プロトコル解析部23が対象としているプロトコルであると判定された場合(例えば、HTTP解析部23.1が、対象データがHTTPのデータであると判定した場合等)、処理はステップS203へ進む。一方、プロトコル解析の結果、対象データのプロトコルが、当該プロトコル解析部23が対象としているプロトコルでないと判定された場合、処理はステップS210へ進む。
ステップS203およびステップS204では、対象データが、当該プロトコルについて予め用意された複数の検査ルールによる検査の対象であるか否かが判定される。各プロトコル解析部23は、プロトコル解析によって当該プロトコルであると判定された対象データについて、フローテーブルの解析コンテキストを参照することで、解析の進捗にあわせて検査可能かつ、検査結果が明らかでない検査項目を特定する。具体的には、プロトコル解析部23は、当該プロトコルについて予め設定された各検査項目について、対象データが、例えば対象データが当該フローにおける検査項目を検査可能な段階に相当している等の理由で検査可能であり(ステップS203)、且つ当該検査項目について未検査であるかまたは検査結果が「保留」である(ステップS204)場合、その検査項目について対象データを検査可能であると判定する。その後、処理はステップS205へ進む。
ステップS205では、各検査部24に対して検査が依頼される。各プロトコル解析部23は、ステップS203およびステップS204において特定された検査項目について、検査部24に対して検査を依頼する。検査の依頼を受けた各検査部24は、解析結果をもとに検査項目を検査し、プロトコル解析部23へ検査結果をフィードバックする。なお、検査部24による各検査項目の検査は並列的に処理される。フィードバックされる検査結果は、「検査項目に該当」、「検査項目に非該当」および「保留」の何れかである。ここで、「保留」は、現時点までに受信したデータでは検査の結論が出なかった事を意味する。その後、処理はステップS206へ進む。
ステップS206では、フィードバックの結果に応じて、各プロトコルについて解析の継続/中止が決定される。各プロトコル解析部23は、検査を依頼した各検査部24からフィードバックされた検査結果を集約し、当該プロトコル解析部23が担当するプロトコルの解析および検査を継続するか中止するかを決定する。その後、処理はステップS207へ進む。
具体的には、例えば、当該プロトコルについて、結論が出ていない検査項目がある場合、即ち、結論が「保留」されている検査項目または未検査の検査項目が有る場合、当該プロトコルの解析および検査の継続が決定される。即ち、検査結果が「保留」された検査項目が残っている限り、プロトコル解析部23は次のデータの解析を継続する。但し、プロトコル解析部23がプロトコル解釈上の終了を検出した場合、「保留」された検査項目が残っている場合であっても、当該フローの、当該プロトコル解析部23による解析は終了となる。
また、例えば、当該プロトコルについて、全ての検査項目の結論が出た場合、具体的には、全ての検査項目について「検査項目に該当」または「検査項目に非該当」というフィードバックが得られ、「保留」または未検査の検査項目が無くなった場合、当該プロトコ
ルの解析および検査の中止が決定される。
ルの解析および検査の中止が決定される。
ステップS207からステップS209では、当該プロトコル解析部23による解析が完了したフローについて、イベント処理が行われる。具体的な判定基準は、ステップS206における解析の継続/中止の決定のための基準と同様である。即ち、対象データが属するフローについて、当該プロトコルに係る検査が全て完了した(未完了の検査項目が無い)と判定された場合(ステップS207のYES)、または、当該プロトコルの手続き(フロー)等が終了したと判定された場合(ステップS208のYES)に、イベント処理が行われる。各プロトコル解析部23は、検査結果に基づいて処理するべきイベントがある場合には、イベント処理部25へイベント処理を依頼する(ステップS209)。
イベント処理部25は、処理の依頼を受けて、証跡の保存や管理者へ通知などの処理を行なう。その後、処理はステップS210へ進む。例えば、イベント処理部25は、検査の結果、端末が不正な活動を行っていると判定された場合に、当該端末による通信を遮断してもよい。なお、端末が不正な活動を行っていると判定された場合の対処方法は、通信の遮断に限定されない。ネットワーク監視装置20は、端末が不正な活動を行っていると判定された場合に、アラート(警告)の通知を行ってもよいし、不正な活動を行っている端末の治癒(例えば、マルウェアの除去や脆弱性の除去)を行ってもよい。
ステップS210では、各プロトコルについて解析の継続/中止が設定される。プロトコル解析部23は、ステップS206における決定の結果に従って、当該プロトコルとして次のデータを期待し解析を継続するか中止するかを設定する。また、ステップS202においてプロトコル解析部23が解析に失敗したと判定された場合、プロトコル解析部23は、自身のプロトコルに該当しないと判断し、次データ以降の解析の中止を決定する。その後、処理はステップS211へ進む。
ステップS211およびステップS212では、プロトコルの遷移または確定が検知された場合に、他のプロトコル解析部23に対して再開/中止依頼が行われる。先述の通り、あるフローに対し、あるプロトコル解析部23が解析を中止した場合、次回以降の当該フローに属するデータはそのプロトコル解析部23の解析対象とならない。このため、単一のフローにおいて、解析継続中のプロトコルから、他のプロトコルへの遷移が起こった場合に、本実施形態では、プロトコルの遷移を検知したプロトコル解析部23から他のプロトコル解析部23に対し、解析を再開するよう依頼する。
一方、フォーマットが類似したプロトコルに係る複数のプロトコル解析部23が重複して解析を継続している場合、あるプロトコル解析部23が、当該フローのプロトコルが自身の担当するプロトコルであると確信した場合でも、他のプロトコル解析部23が解析を継続してしまう可能性がある。このため、本実施形態では、より確度の高い識別が可能であったプロトコル解析部23は、他のプロトコル解析部23に対し、当該他のプロトコル解析部23の解析を中止するよう依頼する。その後、本フローチャートに示された処理は終了し、処理はデータ処理のステップS105(図5を参照)へ戻る。
図7は、本実施形態に係る解析再開/中止処理の流れを示すフローチャートである。本フローチャートに示された処理は、各プロトコル解析部23が、他のプロトコル解析部23から発行された解析再開/中止の依頼(ステップS212を参照)を受けたことを契機として、プロトコル解析部23毎に実行される。
解析再開/中止の依頼を受けたプロトコル解析部23は、当該依頼に応じるか否かを判定する(ステップS301)。判定の結果、解析再開の依頼に応じる場合には、当該プロトコル解析部23として次のデータを期待して解析を再開することを決定する(ステップ
S302)。また、解析中止の依頼に応じる場合には、当該プロトコル解析部23としての解析を中止することを決定する(ステップS302)。その後、本フローチャートに示された処理は終了し、処理はデータ処理のステップS105(図5を参照)へ戻る。
S302)。また、解析中止の依頼に応じる場合には、当該プロトコル解析部23としての解析を中止することを決定する(ステップS302)。その後、本フローチャートに示された処理は終了し、処理はデータ処理のステップS105(図5を参照)へ戻る。
ステップS302において解析の再開の決定が行われた場合、フロー管理部22は、フローテーブル中の、当該フローの当該プロトコルに係る解析ステータスを「解析する」に更新する(ステップS105)。また、ステップS302において解析の中止の決定が行われた場合、フロー管理部22は、フローテーブル中の、当該フローの当該プロトコルに係る解析ステータスを「解析しない」に更新する(ステップS105)。
<実施例1>
ここで、本実施形態に係るネットワーク監視装置20によって、HTTP通信の識別と検査が行われる場合の実施例を説明する。はじめに、ノード90とサーバーがTCP3WAYハンドシェイクをおこない通信を開始すると、フロー管理部22がこれを識別し、ノード90対サーバーの通信フローがフローテーブルに登録される。そして、ネットワーク監視装置20が、ノード90が発行したGETリクエストを取得すると、フロー管理部22がフローを識別し、フローテーブルを参照する。フローテーブルにはプロトコル解析部23のプロトコル毎にデータ解析フラグが設定されており、初期値は「解析する」である。このため、フロー管理部22は、データを解析する各プロトコル解析部23へ受信データと解析コンテキストを参照させて解析を開始する。
ここで、本実施形態に係るネットワーク監視装置20によって、HTTP通信の識別と検査が行われる場合の実施例を説明する。はじめに、ノード90とサーバーがTCP3WAYハンドシェイクをおこない通信を開始すると、フロー管理部22がこれを識別し、ノード90対サーバーの通信フローがフローテーブルに登録される。そして、ネットワーク監視装置20が、ノード90が発行したGETリクエストを取得すると、フロー管理部22がフローを識別し、フローテーブルを参照する。フローテーブルにはプロトコル解析部23のプロトコル毎にデータ解析フラグが設定されており、初期値は「解析する」である。このため、フロー管理部22は、データを解析する各プロトコル解析部23へ受信データと解析コンテキストを参照させて解析を開始する。
HTTP解析部23.1は、例えば、データ先頭文字列GETをGETメソッドと解釈し、スペースの後の文字列をURI、その後のスペースから改行までをHTTPバージョン文字列と解釈する。この解析結果は解析コンテキストに格納される。メソッド、URI、バージョンを参照するHTTPの検査項目がある場合、検査結果が確定していなければ、検査をHTTP検査部24.1へ依頼し、検査する。
HTTP検査部24.1は解析コンテキストを参照し、検査項目に基づいて検査する。検査結果は解析コンテキストへ格納されるが、プロトコル解析の進捗が足りず、結論が出ない場合は検査結果を「保留」として、次回以降のデータを待つ。HTTP解析部23.1は、HTTP検査部24.1の検査結果に「保留」があるか、未検査の項目がある場合、検査のために次回以降のデータが必要であるため、解析を継続する。一方、例えばSMB解析部23.5は、期待するSMBマジックがなく解釈できるデータではないため、解析失敗として解析を中止する。
<実施例2>
次に、本実施形態に係るネットワーク監視装置20によって、「検査項目X:通信がHTTP/1.1通信であった場合にHostヘッダーが設定されているか否か」を検査するが実行される場合の実施例を説明する。
次に、本実施形態に係るネットワーク監視装置20によって、「検査項目X:通信がHTTP/1.1通信であった場合にHostヘッダーが設定されているか否か」を検査するが実行される場合の実施例を説明する。
取得された1つ目のデータが「GET / HTTP/1.1」であり、2つ目のデータが「Host: aaa.bbb.ccc」である場合、1つ目のデータをHTTP解析部23.1が解析し、メソッド、URI、バージョンまで解析が成功し、解析コンテキストに格納する。HTTP検査部24.1は、検査項目Xについて、この解析コンテキストを参照して検査を行うが、この時点ではHostヘッダーの情報が無く検査の結論を出せない。このため、検査結果は「保留」となり、次回のデータが待ち受けられる。HTTP解析部23.1は、検査結果が「保留」であるため、フローテーブルを「解析する」に更新する。
続いて2つ目のデータがHTTP解析部23.1によって解析され、メソッド、URI
、バージョンに加え、Hostヘッダーが存在することが分かり、この情報が解析コンテキストに格納される。HTTP検査部24.1は、検査項目Xについて、この解析コンテキストを参照し、HTTP/1.1通信であり且つHostヘッダーが設定されていることを確認することで、当該検査結果を「検査項目Xに該当」と判定する。
、バージョンに加え、Hostヘッダーが存在することが分かり、この情報が解析コンテキストに格納される。HTTP検査部24.1は、検査項目Xについて、この解析コンテキストを参照し、HTTP/1.1通信であり且つHostヘッダーが設定されていることを確認することで、当該検査結果を「検査項目Xに該当」と判定する。
一方、もし、取得された1つ目のデータが「GET / HTTP/1.0」であった場合、1つ目のデータをHTTP解析部23.1が解析し、メソッド、URI、バージョンまで解析が成功するが、HTTP検査部24.1は、検査項目Xについて、HTTPのバージョンが1.0であるため、1つ目のデータの時点で「検査項目Xに非該当」と判定する。そして、検査項目が検査項目Xのみであるならば、HTTP解析部23.1は、解析を継続する必要が無いため、以降の解析を中止する。
<実施例3>
次に、本実施形態に係るネットワーク監視装置20によって、ノード90がHTTPのCONNECTメソッドを使用したリクエストを送信後、プロキシサーバーから「200
Connection Establishedレスポンス」を受信し、トンネルを利用したHTTPS通信を開始する通信フローのデータが取得された場合の実施例を説明する。
次に、本実施形態に係るネットワーク監視装置20によって、ノード90がHTTPのCONNECTメソッドを使用したリクエストを送信後、プロキシサーバーから「200
Connection Establishedレスポンス」を受信し、トンネルを利用したHTTPS通信を開始する通信フローのデータが取得された場合の実施例を説明する。
HTTP解析部23.1は、フロー最初の取得データを用いてCONNECTメソッドを解釈できるため、解析は継続される。SSL/TLS解析部23.2等の他のプロトコル解析部23は、CONNECTリクエストのフォーマットが自身のプロトコルに従って解釈できないため、解析に失敗し以降の解析を中止する。続いて、ネットワーク監視装置20によって「200レスポンス」が受信されると、このデータは前回の解析に成功し解析を継続中であるHTTP解析部23.1が解析する。
ここで、「200レスポンス」はCONNECTメソッドの成功を表しているため、以降、プロキシサーバーがトンネルとなり、任意のプロトコルによる通信が可能であることがわかる。このため、HTTP解析部23.1は、解析を中止した他のプロトコル解析部23に対し、解析再開の依頼を行なう。再開の依頼を受け入れた各プロトコル解析部23は、次回以降のデータについて解析を再開する。ここで、トンネル通信がHTTPSであった場合、次のデータは「Client Hello」である。解析を再開したSSL/TLS解析部23.2は、このデータについて解析に成功し、以降解析を継続する。一方、HTTP解析部23.1や他のプロトコル解析部23は解析に失敗するため、以降の解析を中止する。
<バリエーション>
上記実施形態では、ネットワーク監視装置20が、スイッチまたはルータと、その上位にある他のスイッチまたはルータと、の間に接続されることでノード90によって送受信されるパケットやフレーム等を取得し、遮断しなくてもよいパケットについては転送するインラインモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。
上記実施形態では、ネットワーク監視装置20が、スイッチまたはルータと、その上位にある他のスイッチまたはルータと、の間に接続されることでノード90によって送受信されるパケットやフレーム等を取得し、遮断しなくてもよいパケットについては転送するインラインモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。
例えば、ネットワーク監視装置20は、スイッチまたはルータ(図1に示した例では、ルータ10)のモニタリングポート(ミラーポート)に接続されることで、ノード90によって送受信されるパケットやフレーム等を取得してもよい(図8を参照)。この場合、ネットワーク監視装置20は、取得したパケットを転送しないパッシブモードで動作する。また、例えば、ネットワーク監視装置20は、モニタリングポート(ミラーポート)に接続されず、単にネットワークセグメント2に接続されている場合であっても、ネットワ
ークセグメント2を流れるフレームを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置20は、パッシブモードで動作する。また、例えば、ネットワーク監視装置20は、ルータまたはスイッチに内包されてもよい。
ークセグメント2を流れるフレームを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置20は、パッシブモードで動作する。また、例えば、ネットワーク監視装置20は、ルータまたはスイッチに内包されてもよい。
<効果>
本実施形態に係る情報処理装置、方法およびプログラムによれば、リアルタイムでより正確性の高いプロトコル判定を行うことが可能となる。更に、本実施形態によれば、プロトコルを一意に識別できるまでの受信データを蓄積する必要がないため、少ないデータ蓄積量で、正確性の高いプロトコル判定を行うことが出来る。
本実施形態に係る情報処理装置、方法およびプログラムによれば、リアルタイムでより正確性の高いプロトコル判定を行うことが可能となる。更に、本実施形態によれば、プロトコルを一意に識別できるまでの受信データを蓄積する必要がないため、少ないデータ蓄積量で、正確性の高いプロトコル判定を行うことが出来る。
1 システム
20 ネットワーク監視装置
90 ノード
20 ネットワーク監視装置
90 ノード
Claims (11)
- 取得されたデータが属する通信フローを識別するフロー管理手段と、
前記通信フローに属するデータが受信される毎に、予め設定された第一のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第一のプロトコルであるか否かを推定する第一の解析手段と、
前記第一の解析手段による解析結果に拘らず、前記通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析手段と、を備え、
前記フロー管理手段は、前記通信フローに属するデータの解析の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止させる、
情報処理装置。 - 前記第一の解析手段によって前記通信フローに係るプロトコルが前記第一のプロトコルであると判定された場合に、該第一のプロトコルに応じて定められた検査項目に従って前記データを検査する第一の検査手段と、
前記第二の解析手段によって前記通信フローに係るプロトコルが前記第二のプロトコルであると判定された場合に、該第二のプロトコルに応じて定められた検査項目に従って前記データを検査する第二の検査手段と、を更に備え、
前記フロー管理手段は、前記通信フローに属するデータの解析または検査の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止させる、
請求項1に記載の情報処理装置。 - 前記第一の解析手段による解析を中止するための前記1または複数の中止条件は、前記通信フローにおいて前記第一のプロトコルに係る全ての検査項目の検査が完了したこと、前記通信フローにおいて該第一のプロトコルが終了したこと、および前記通信フローの該第一のプロトコルとしての解釈が失敗したこと、の少なくとも何れかを含み、
前記第二の解析手段による解析を中止するための前記1または複数の中止条件は、前記通信フローにおいて前記第二のプロトコルに係る全ての検査項目の検査が完了したこと、
前記通信フローにおいて該第二のプロトコルが終了したこと、および前記通信フローの該第二のプロトコルとしての解釈が失敗したこと、の少なくとも何れかを含む、
請求項2に記載の情報処理装置。 - 前記フロー管理手段は、前記第一の解析手段による解析結果および前記第二の解析手段による解析結果を保持し、前記通信フローに属するデータが受信される毎に更新する、
請求項1から3の何れか一項に記載の情報処理装置。 - 前記フロー管理手段は、保持されている解析結果を参照することで、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止するか否かを判定する、
請求項4に記載の情報処理装置。 - 前記フロー管理手段は、前記第一の解析手段によって、前記通信フローのプロトコルが前記第二のプロトコルに遷移したことが検知された場合に、前記第二の解析手段による、前記通信フローに係るデータの解析を再開させ、
前記フロー管理手段は、前記第二の解析手段によって、前記通信フローのプロトコルが前記第二のプロトコル以外のプロトコルに遷移したことが検知された場合に、前記第一の解析手段による、前記通信フローに係るデータの解析を再開させる、
請求項1から5の何れか一項に記載の情報処理装置。 - 前記フロー管理手段は、前記第一の解析手段によって、前記通信フローのプロトコルが該第一のプロトコルであると確定された場合に、前記第二の解析手段による、前記通信フローに係るデータの解析を中止させ、
前記フロー管理手段は、前記第二の解析手段によって、前記通信フローのプロトコルが該第二のプロトコルであると確定された場合に、前記第一の解析手段による、前記通信フローに係るデータの解析を中止させる、
請求項1から6の何れか一項に記載の情報処理装置。 - 前記解析手段または前記検査手段によって、前記通信フローにおけるイベントが検知された場合に、当該イベントに係るデータを保存または当該イベントの検知をユーザーに通知するイベント処理手段を更に備える、
請求項2に記載の情報処理装置。 - ネットワークに接続された端末による通信のデータを取得する通信取得手段を更に備える、
請求項1から8の何れか一項に記載の情報処理装置。 - コンピューターが、
取得されたデータが属する通信フローを識別するフロー管理ステップと、
前記通信フローに属するデータが受信される毎に、予め設定された第一のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第一のプロトコルであるか否かを推定する第一の解析ステップと、
前記第一の解析ステップにおける解析結果に拘らず、前記通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析ステップと、を実行し、
前記フロー管理ステップでは、前記通信フローに属するデータの解析の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析ステップまたは前記第二の解析ステップによる、前記通信フローに係るデータの解析を中止させる、
方法。 - コンピューターを、
取得されたデータが属する通信フローを識別するフロー管理手段と、
前記通信フローに属するデータが受信される毎に、予め設定された第一のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第一のプロトコルであるか否かを推定する第一の解析手段と、
前記第一の解析手段による解析結果に拘らず、前記通信フローに属するデータが受信される毎に、予め設定された第二のプロトコルの特徴に従って該データを解析することで、該通信フローに係るプロトコルが該第二のプロトコルであるか否かを推定する第二の解析手段と、として機能させ、
前記フロー管理手段は、前記通信フローに属するデータの解析の結果が1または複数の中止条件の何れかを満たした場合に、前記第一の解析手段または前記第二の解析手段による、前記通信フローに係るデータの解析を中止させる、
プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014265806A JP5925287B1 (ja) | 2014-12-26 | 2014-12-26 | 情報処理装置、方法およびプログラム |
US14/683,620 US10257093B2 (en) | 2014-12-26 | 2015-04-10 | Information processing device, method, and medium |
CN201510456152.7A CN105743875B (zh) | 2014-12-26 | 2015-07-29 | 信息处理装置以及信息处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014265806A JP5925287B1 (ja) | 2014-12-26 | 2014-12-26 | 情報処理装置、方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5925287B1 true JP5925287B1 (ja) | 2016-05-25 |
JP2016127394A JP2016127394A (ja) | 2016-07-11 |
Family
ID=56069521
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014265806A Active JP5925287B1 (ja) | 2014-12-26 | 2014-12-26 | 情報処理装置、方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10257093B2 (ja) |
JP (1) | JP5925287B1 (ja) |
CN (1) | CN105743875B (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018173883A (ja) * | 2017-03-31 | 2018-11-08 | オムロン株式会社 | 制御装置、制御プログラム、制御システム、および制御方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131164B (zh) * | 2016-07-01 | 2018-07-03 | 北京百度网讯科技有限公司 | 在云端进行协议解析的数据处理方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004040196A (ja) * | 2002-06-28 | 2004-02-05 | Matsushita Electric Ind Co Ltd | パケットデータ処理装置およびパケットデータ処理方法 |
JP2006099324A (ja) * | 2004-09-29 | 2006-04-13 | Matsushita Electric Ind Co Ltd | 非接触カード |
JP2014175781A (ja) * | 2013-03-07 | 2014-09-22 | Hitachi High-Technologies Corp | 並列パケット処理装置、方法およびプログラム |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6839751B1 (en) * | 1999-06-30 | 2005-01-04 | Hi/Fn, Inc. | Re-using information from data transactions for maintaining statistics in network monitoring |
US7058821B1 (en) * | 2001-01-17 | 2006-06-06 | Ipolicy Networks, Inc. | System and method for detection of intrusion attacks on packets transmitted on a network |
US6904057B2 (en) * | 2001-05-04 | 2005-06-07 | Slt Logic Llc | Method and apparatus for providing multi-protocol, multi-stage, real-time frame classification |
JP4027213B2 (ja) | 2002-11-27 | 2007-12-26 | 三菱電機株式会社 | 侵入検知装置およびその方法 |
US7420975B1 (en) * | 2002-12-20 | 2008-09-02 | Cypress Semiconductor Corporation | Method and apparatus for a high-speed frame tagger |
US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
CN1571440A (zh) * | 2003-07-25 | 2005-01-26 | 中兴通讯股份有限公司 | 一种跨越私网实现多媒体呼叫的系统和方法 |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
CN101060456B (zh) * | 2007-06-12 | 2010-04-21 | 中兴通讯股份有限公司 | 基于以太网上点对点协议的宽带接入方法和系统 |
CN101127782B (zh) * | 2007-07-19 | 2011-04-20 | 中兴通讯股份有限公司 | 一种强制门户业务的实现方法 |
CN101359975B (zh) * | 2007-08-03 | 2011-05-11 | 中兴通讯股份有限公司 | 一种检测gb链路是否丢包的方法 |
US8638793B1 (en) * | 2009-04-06 | 2014-01-28 | Marvell Israle (M.I.S.L) Ltd. | Enhanced parsing and classification in a packet processor |
CN102413141B (zh) * | 2011-11-30 | 2014-10-08 | 华为技术有限公司 | 网络消息解析方法及通信设备 |
-
2014
- 2014-12-26 JP JP2014265806A patent/JP5925287B1/ja active Active
-
2015
- 2015-04-10 US US14/683,620 patent/US10257093B2/en not_active Expired - Fee Related
- 2015-07-29 CN CN201510456152.7A patent/CN105743875B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004040196A (ja) * | 2002-06-28 | 2004-02-05 | Matsushita Electric Ind Co Ltd | パケットデータ処理装置およびパケットデータ処理方法 |
JP2006099324A (ja) * | 2004-09-29 | 2006-04-13 | Matsushita Electric Ind Co Ltd | 非接触カード |
JP2014175781A (ja) * | 2013-03-07 | 2014-09-22 | Hitachi High-Technologies Corp | 並列パケット処理装置、方法およびプログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018173883A (ja) * | 2017-03-31 | 2018-11-08 | オムロン株式会社 | 制御装置、制御プログラム、制御システム、および制御方法 |
US10901398B2 (en) | 2017-03-31 | 2021-01-26 | Omron Corporation | Controller, control program, control system, and control method |
Also Published As
Publication number | Publication date |
---|---|
JP2016127394A (ja) | 2016-07-11 |
CN105743875B (zh) | 2020-03-10 |
US20160191389A1 (en) | 2016-06-30 |
CN105743875A (zh) | 2016-07-06 |
US10257093B2 (en) | 2019-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10277614B2 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
US11316878B2 (en) | System and method for malware detection | |
US11057423B2 (en) | System for distributing virtual entity behavior profiling in cloud deployments | |
US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
US20190075049A1 (en) | Determining Direction of Network Sessions | |
US11909606B2 (en) | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection | |
US10263975B2 (en) | Information processing device, method, and medium | |
US20180083987A1 (en) | System and method for generating rules for attack detection feedback system | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
JP2020014061A (ja) | 情報処理装置、通信検査方法及びプログラム | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
US10554678B2 (en) | Malicious content detection with retrospective reporting | |
CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
WO2018035770A1 (zh) | 网络异常的处理方法及系统 | |
JP5738042B2 (ja) | ゲートウェイ装置、情報処理装置、処理方法およびプログラム | |
JP2006135885A (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム | |
JP5893787B2 (ja) | 情報処理装置、処理方法およびプログラム | |
JP5986695B2 (ja) | 情報処理装置、処理方法およびプログラム | |
JP2017069856A (ja) | 情報処理装置、方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160318 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160405 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160419 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5925287 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |