JP6078179B1 - セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム - Google Patents
セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム Download PDFInfo
- Publication number
- JP6078179B1 JP6078179B1 JP2016008831A JP2016008831A JP6078179B1 JP 6078179 B1 JP6078179 B1 JP 6078179B1 JP 2016008831 A JP2016008831 A JP 2016008831A JP 2016008831 A JP2016008831 A JP 2016008831A JP 6078179 B1 JP6078179 B1 JP 6078179B1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- security
- packet
- information
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 96
- 238000012545 processing Methods 0.000 claims abstract description 116
- 238000004891 communication Methods 0.000 claims abstract description 27
- 238000004458 analytical method Methods 0.000 claims description 56
- 230000005540 biological transmission Effects 0.000 claims description 36
- 230000002776 aggregation Effects 0.000 claims description 16
- 238000004220 aggregation Methods 0.000 claims description 16
- 230000003139 buffering effect Effects 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 7
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 238000000034 method Methods 0.000 description 78
- 230000008569 process Effects 0.000 description 66
- 238000012795 verification Methods 0.000 description 65
- 238000010586 diagram Methods 0.000 description 14
- 230000004044 response Effects 0.000 description 9
- 238000004519 manufacturing process Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 208000015181 infectious disease Diseases 0.000 description 6
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 6
- 241000700605 Viruses Species 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000001174 ascending effect Effects 0.000 description 3
- 239000000872 buffer Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000006424 Flood reaction Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
まず、既存技術について詳細に説明する。
既に説明した通り、近年サーバやクライアントなどが電子的攻撃を受けることによって情報流出やサービス停止など被害が生じ問題となっている。この問題の原因に対処する方法には複数手法があるが、各々の手法には課題があった。検知方法としては、シグニチャ型とアノマリ型があり、設置方法としては、ホスト型とネットワーク型がある。
(1)ポートスキャン
ポートスキャン攻撃は宛先毎にUDP/TCPのポート番号がインクリメントされるため、セッション単位に攻撃を特定できず、閾値を設けることが難しい。よって、既存技術ではポートスキャン対策が難しく、使用しないポートは閉塞して運用している。
SYNフラッド攻撃はセッション単位に攻撃を特定できないため、既存技術では、宛先毎に一定期間のSYNフラッド回数の閾値を設ける対策が一般的である。よって、左記閾値を超えるセキュリティ攻撃があった場合、正常な通信も遮断される課題がある。
外部からの命令によりレジストリや各種設定の漏洩や改竄などのトロイの木馬系のウイルスは、亜種マルウェアが多く発生しており、シグネチャによるパターンマッチでは検知できない課題がある。
情報漏えいを目的とした亜種マルウェアは多く発生しており、シグネチャによるパターンマッチでは検知できない課題がある。
不正アクセス・ログインによく使用される文字列についてはシグネチャによるパターンマッチで検知可能であるが、辞書攻撃などあまり使用されない文字列を用いた不正アクセス・ログインについては検知ができない課題がある。
DNSアンプはフレーム長の小さいDNS要求に対してフレーム長の大きいDNS返答が返るパターンを繰り返す。DNS要求に含まれる文字列をパターンマッチによって検出するため、要求される文字列が変化した場合に検知できない課題がある。
ルータ攻撃はルータを通過するパケットによって実施されるため、攻撃を特定することが難しい。よって、既存技術では通過できるパケットの条件を制限して運用している。
サーバ攻撃はサーバへのセッションをむやみに継続することでリソース不足を発生させるため、NW側での対策は難しく、サーバ側でのセッション維持時間などの設定により運用している。
図2は、ポートスキャンの説明図である。この図に示すように、ポートスキャンは、ポート閉塞や周辺装置のF/Wによって、パケットの廃棄もしくは攻撃対象ホストからのRST返信によりTCP 3ウェイ・ハンドシェイクによるセッションが確立しないため、以下の特徴を持つ。
・攻撃者からの送信パケットおよびその返信パケットの長さが極めて小さい。
・攻撃者から宛先到達不能(ICMP Type=3)と到達不能理由(Code=3(ポート到達不能)、Code=10(廃止予定)、Code=13(フィルタリングによる到達不能))のパケットが返される。
・TCPのフラグシーケンスがTCP SYN,TCP SYNで完了する。
図3は、SYNフラッドの説明図である。この図に示すように、SYNフラッドは、送信元アドレスを詐称して大量のSYNパケットを送信することによって、メモリ領域を枯渇させるため、以下の特徴を持つ。
・攻撃者からの送信パケットおよびその返信パケットの長さが極めて小さい。
・セッションの両方向のフレーム長の最大値が小さくなる。
図4は、マルウェア感染の説明図である。この図に示すように、マルウェアに感染し、マルウェアが起動したタイミングでC&Cサーバに起動を通知するため、以下の特徴を持つ。
・UDP 1パケットで感染を通知する。
・両方向のフレーム長の最大値が極めて小さい。
・通知先のIPアドレスがブラックIPリストに登録されていることがある。
図5は、情報漏えいの説明図である。この図に示すように、情報漏えいは、帯域を広げて機密情報ファイルの速やかな転送を試みるため、以下の特徴を持つ。
・TCPウィンドウサイズが大きくなる(TCPウィンドウ・スケール・オプションを拡張)
・送信側のTCPフラグのACKのみの比率が高くなる。
図6は、不正アクセス、ログインの試みの説明図である。この図に示すように、不正アクセス、ログインの試みは事象が繰り返されるため、以下の特徴を持つ。
・存在しないID・パスワードでのログイン、存在しないファイルへのアクセスのため、正常な通信と比較して応答時間は大きくなる。
・応答メッセージのサイズは通常のWebコンテンツのダウンロードと比較して小さいため、応答パケット数が少なく、TCPフラグのPSH ACK比率が高くなる。
図7は、DNSアンプの説明図である。この図に示すように、DNSアンプは、DNS要求に対するDNS応答のパケットサイズが大きいため、以下の特徴を持つ。
・小さいパケットサイズのDNS要求に対して、DNS応答のパケットサイズが大きい。
・DNSの512バイト制限を越える応答パケットを生成させる。
・ポートはUDPの53(DNS)を使用する。
図8は、ルータ攻撃(DoS)の説明図である。この図に示すように、ルータ攻撃(DoS)は、大量のTTLが小さいパケットや大量のジャンボフレームを送信し、ルータのCPU負荷をかけるため、以下の特徴を持つ。
・TTL値の小さいパケットを大量に送信し、経路中のルータにTTL超過(ICMP Type=11)を大量に発生させてルータにCPU負荷をかける。
・ジャンボフレームを送信し、ICMP到達不能メッセージ(ICMP Type=3 code=4)を大量に発生させてルータにCPU負荷をかける。
図9は、サーバ攻撃(DoS)の説明図である。この図に示すように、サーバ攻撃(DoS)は、サーバのリソース不足を招く攻撃を行うため、以下の特徴を持つ。
・メモリ、帯域のリソースを不足させるため、TCPウィンドウサイズが大きくなる(TCPウィンドウ・スケール・オプションを拡張)
・TCPセッションのリソースを不足させるため、セッションを維持するためだけのパケットが一定周期で送信される。
次に、本発明の実施の形態におけるセキュリティ脅威検出システムについて説明する。
図10は、本発明の実施の形態におけるセキュリティ脅威検出システムの構成図である。このセキュリティ脅威検出システムでは、パターンマッチングによるセキュリティ攻撃の検出方法と異なり、セキュリティ攻撃の通信パターンを通信の秘密に抵触する恐れがないペイロード部分を除いたパケットのIPアドレス、TCPフラグ、送信間隔などヘッダ部分で生成できる要素と、ネットワークを流れるパケットのヘッダ情報から事前に生成した要素とを照合し、セキュリティ攻撃を検出するようになっている。
・ネットワークを流れるパケットの送信元IPアドレスのロケーションやTCPヘッダシーケンスや流量などのセキュリティ攻撃の特徴からセキュリティ攻撃を検出する。
・パケットのペイロード以外の部分を用いてセキュリティ攻撃を検出する。
・単一セッションのみならず、複数セッション(送信元/宛先IPアドレス)ごとでのセキュリティ攻撃を検出する。
図11は、本発明の実施の形態におけるセキュリティ脅威検出システムの要部の機能ブロック図である。この図に示すように、攻撃学習処理部10は、攻撃パケット検知部11と、付加情報生成部12と、説明変数生成部13と、攻撃解析学習部14と、攻撃情報テーブルT1と、国情報テーブルT2(図示せず)と、マルウェアドメインリストテーブルT3(図示せず)と、PerPacket学習データテーブルT4と、PerSession学習データテーブルT5と、攻撃判定基準テーブルT6とを備える。また、攻撃検知部20は、パケット受信部21と、パケット送信部22と、パケットバッファリング部23と、セッション集約部24と、攻撃パターン照合部25と、攻撃者被害者特定部26と、攻撃判定テーブルT7と、照合結果テーブルT8と、攻撃者テーブルT9と、被害者テーブルT10とを備える。照合結果テーブルT8、攻撃者テーブルT9、被害者テーブルT10には、セキュリティ攻撃の検知結果が保存される。なお、攻撃学習処理部10、攻撃検知部20、各テーブルT1〜T10は、物理的に同一の装置に設けてもよいし、別々の装置に設けてもよい。
図12は、本発明の実施の形態におけるセキュリティ脅威検出システムがセキュリティ攻撃を判断するための照合用データ(特徴)の説明図である。この図に示すように、照合用データ(特徴)は、実値代入、算出値、シーケンスから構成される。
本セキュリティ脅威検出システムによれば、以下の効果が得られる。
以下、本セキュリティ脅威検出システムをより具体的に説明する。
図13は、攻撃パケット検知部11の処理を示すフローチャートである。
図14は、付加情報生成部12の処理を示すフローチャートである。
図15及び図16は、説明変数生成部13の処理を示すフローチャートである。
図17は、説明変数生成部13(攻撃1)の処理を示すフローチャートである。
・合計値1:該当レコードの該当フィールドの値すべての合計値を登録
・最大値1:該当レコードの該当フィールドの最大値を登録
・最大値2:受信パケットがipdst=1st宛先IPアドレスの場合の該当フィールドの最大値を登録
・平均値:該当レコードの該当フィールドの平均値を登録
・合計値2:該当レコードの数を登録
ステップS65:抽出したレコードから、フレーム送受信時刻が最も古い時刻と、新しい時刻のフレームを抽出し、その差分時間を計算し、PerSession学習データテーブルT5へ登録する。
・合計値1:該当レコードの該当フィールドの値すべての合計値を登録
・最大値1:該当レコードの該当フィールドの最大値を登録
・最大値2:受信パケットがipdst=1st宛先IPアドレスの場合の該当フィールドの最大値を登録
・平均値:該当レコードの該当フィールドの平均値を登録
・合計値2:該当レコードの数を登録
ステップS68:抽出したレコードから、フレーム送受信時刻が最も古い時刻と、新しい時刻のフレームを抽出し、その差分時間を計算し、PerSession学習データテーブルT5へ登録する。
・比率1〜4:該当フィールドの値のパケット個数の比率
図18は、説明変数生成部13(攻撃2)の処理を示すフローチャートである。
・合計値:該当レコードの該当フィールドの値すべての合計値を登録
・最大値1:該当レコードの該当フィールドの最大値を登録
・最大値2:該当レコードの内、ip.dst=1st宛先IPアドレスの該当フィールドの最大値を登録
・平均値:該当レコードの該当フィールドの平均値を登録
ステップS75:1(ICMP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。
・比率1〜4:該当フィールドの値のパケット個数の比率
図19は、説明変数生成部13(攻撃3)の処理を示すフローチャートである。
・合計値1:該当レコードの該当フィールドの値すべての合計値を登録
・合計値2:該当レコードの数を登録
・最大値1:該当レコードの該当フィールドの最大値を登録
図20は、説明変数生成部13(攻撃4)の処理を示すフローチャートである。
・中央値1:該当レコードの該当フィールドの中央値を登録
・比率1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールド値のパケット個数の比率
・比率2:該当レコードの内 ip.dst=1st送信元IPアドレスの場合の該当フィールド値のパケット個数の比率
・合計値1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値すべての合計値を登録
ステップS95:受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算し、その減算結果の中から最大の値を登録する。
図21は、説明変数生成部13(攻撃5)の処理を示すフローチャートである。
・比率1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値のパケット個数の比率
ステップS104:抽出したレコードの該当のフィールドから、標準偏差1を計算し、登録する。
・標準偏差1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合、受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算し、その減算結果から標準偏差を計算し、登録する。
図22は、説明変数生成部13(攻撃6)の処理を示すフローチャートである。
図23は、説明変数生成部13(攻撃7)の処理を示すフローチャートである。
・最大値1:該当レコードの該当フィールドの最大値を登録
・平均値1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・平均値2:該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・合計値1:該当レコードの数を登録
ステップS124:17(UDP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。
・最大値1:該当レコードの該当フィールドの最大値を登録
・平均値1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・平均値2:該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・合計値1:該当レコードの数を登録
ステップS126:1(ICMP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。
・比率1〜4:該当フィールドの値のパケット個数の比率
図24は、説明変数生成部13(攻撃8)の処理を示すフローチャートである。
・合計値1:該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値すべての合計値を登録
ステップS134:受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算し、その減算結果の中から最大の値を登録する。
図25は、攻撃解析学習部14の処理を示すフローチャートである。
図26は、攻撃解析学習部14(攻撃判定1)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
ステップS165:抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図27は、攻撃解析学習部14(攻撃判定2)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
ステップS174:抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図28は、攻撃解析学習部14(攻撃判定3)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図29は、攻撃解析学習部14(攻撃判定4)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図30は、攻撃解析学習部14(攻撃判定5)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図31は、攻撃解析学習部14(攻撃判定6)の処理を示すフローチャートである。
図32は、攻撃解析学習部14(攻撃判定7)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
ステップS223:抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図33は、攻撃解析学習部14(攻撃判定8)の処理を示すフローチャートである。
・平均値:該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差:該当レコードの該当フィールドの値すべての標準偏差を登録
図34は、パケット受信部21/パケット送信部22〜パケットバッファリング部23の処理を示すフローチャートである。
図35〜図37は、セッション集約部24の処理を示すフローチャートである。
・最大値1:該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2:受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3:
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップS276:受信したパケットが同一のセッションの2パケット目か、また、攻撃判定テーブルT7の合計フレーム数が1か判定する。
・最大値1:該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2:受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3:
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップS279:受信したパケットの該当のフィールドから、最大値1、最大値2、最大値3を計算し、登録する。
・最大値1:該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2:受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3:
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップS281:受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値4、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11、合計値12、合計値13、合計値14を計算し、登録する。
・合計値1:該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2:該当レコードの数に1を加算して登録
・合計値3:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値4:受信パケットがipdst=1st送信元IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5:該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8:
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10:受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11:受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
・合計値12:受信パケットがipdst=1st送信元IPアドレスの場合でTCPフラグがACKのみの場合、該当レコードの数に1を加算して登録
・合計値13:受信パケットがipdst=1st宛先IPアドレスの場合でTCPフラグがPSHACKの場合、該当レコードの数に1を加算して登録
・合計値14:受信パケットがipdst=1st宛先IPアドレスの場合でTCPウィンドウ・スケール・オプションshift=5の場合、該当レコードの数に1を加算して登録
ステップS282:受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11を計算し、登録する。
・合計値1:該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2:該当レコードの数に1を加算して登録
・合計値3:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5:該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8:
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10:受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11:受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
ステップS283:受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11、合計値15、合計値16、合計値17、合計値18、合計値19、合計値20を計算し、登録する。
・合計値1:該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2:該当レコードの数に1を加算して登録
・合計値3:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5:該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7:受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻(順方向)を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8:
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9:受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10:受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11:受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
合計値15:受信パケットがICMPタイプ=3の場合、該当レコードの数に1を加算して登録
合計値16:受信パケットがICMPタイプ=11の場合、該当レコードの数に1を加算して登録
合計値17:受信パケットがICMPタイプ=3、ICMPコード=3の場合、該当レコードの数に1を加算して登録
合計値18:受信パケットがICMPタイプ=3、ICMPコード=4の場合、該当レコードの数に1を加算して登録
合計値19:受信パケットがICMPタイプ=3、ICMPコード=10の場合、該当レコードの数に1を加算して登録
合計値20:受信パケットがICMPタイプ=3、ICMPコード=13の場合、該当レコードの数に1を加算して登録
ステップS284:受信したパケットの受信時刻を、PerSession攻撃判定テーブルT7の
(1)最終フレーム受信時刻に登録
(2)受信パケットがipdst=1st送信元IPアドレス場合、最終フレーム受信時刻(順方向)にも登録
図38は、セッション集約部24(付加情報付与)の処理を示すフローチャートである。
図39〜図42は、攻撃パターン照合部25の処理を示すフローチャートである。
・平均値1:該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2:該当レコードの該当フィールドの値にTTL合計値をパケット数(順方向)で割った値を登録
・中央値:フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差:
(1)パケット間隔合計値(順方向)をパケット数(順方向)で割り、その値の二乗を算出
(2)パケット間隔平方合計値(順方向)をパケット数(順方向)で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1:該当レコードの該当フィールドの値にDSCPフィールド2のパケット数(順方向)をパケット数(順方向)で割った値を登録
・比率2:該当レコードの該当フィールドの値にTCPフラグACKのみパケット数(逆方向)をパケット数(逆方向)で割った値を登録
・比率3:該当レコードの該当フィールドの値にTCPフラグPSHACKパケット数(順方向)をパケット数(順方向)で割った値を登録
ステップS312:該当レコードの平均値1、平均値2、中央値、標準偏差、比率1を計算し、登録する。
・平均値1:該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2:該当レコードの該当フィールドの値にTTL合計値をパケット数(順方向)で割った値を登録
・中央値:フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差:
(1)パケット間隔合計値(順方向)をパケット数(順方向)で割り、その値の二乗を算出
(2)パケット間隔平方合計値(順方向)をパケット数(順方向)で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1:該当レコードの該当フィールドの値にDSCPフィールド2のパケット数(順方向)をパケット数(順方向)で割った値を登録
ステップS313:該当レコードの平均値1、平均値2、中央値、標準偏差、比率1、比率4、比率5、比率6、比率7、比率8、比率9を計算し、登録する。
・平均値1:該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2:該当レコードの該当フィールドの値にTTL合計値をパケット数(順方向)で割った値を登録
・中央値:フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差:
(1)パケット間隔合計値(順方向)をパケット数(順方向)で割り、その値の二乗を算出
(2)パケット間隔平方合計値(順方向)をパケット数(順方向)で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1:該当レコードの該当フィールドの値にDSCPフィールド2のパケット数(順方向)をパケット数(順方向)で割った値を登録
・比率4:該当レコードの該当フィールドの値にICMPタイプ3パケット数をパケット数で割った値を登録
・比率5:該当レコードの該当フィールドの値にICMPタイプ11パケット数をパケット数で割った値を登録
・比率6:該当レコードの該当フィールドの値にICMPタイプ3コード3パケット数をパケット数で割った値を登録
・比率7:該当レコードの該当フィールドの値にICMPタイプ3コード4パケット数をパケット数で割った値を登録
・比率8:該当レコードの該当フィールドの値にICMPタイプ3コード10パケット数をパケット数で割った値を登録
・比率9:該当レコードの該当フィールドの値にICMPタイプ3コード13パケット数をパケット数で割った値を登録
ステップS322:攻撃判定テーブルT7から、セッション完了フラグ = 1 且つ照合処理完了フラグ = NULL のレコードを読み込む。
図43〜図44は、攻撃パターン照合部25(TCPセッション一次照合処理)の処理を示すフローチャートである。
図45は、攻撃パターン照合部25(UDPセッション一次照合処理)の処理を示すフローチャートである。
図46は、攻撃パターン照合部25(ICMPセッション一次照合処理)の処理を示すフローチャートである。
図47〜図49は、攻撃パターン照合部25(二次照合処理)を示すフローチャートである。
図50〜図54は、攻撃者被害者特定部26(攻撃者、被害者特定)の処理を示すフローチャートである。
図55は、攻撃者被害者特定部26(攻撃者纏め)の処理を示すフローチャートである。
図56は、攻撃者被害者特定部26(被害者纏め)の処理を示すフローチャートである。
以下、図57〜図71を用いてデータベースの構成例を説明する。
以上説明したように、本発明の実施の形態におけるセキュリティ脅威検出システムは、正常パケット及びセキュリティ攻撃パケットのヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部10と、ネットワークを流れるパケットと攻撃学習処理部10で生成したセキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部20とを備える。これにより、通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することが可能である。
11…攻撃パケット検知部
12…付加情報生成部
13…説明変数生成部
14…攻撃解析学習部
20…攻撃検知部(攻撃検知装置)
21…パケット受信部
22…パケット送信部
23…パケットバッファリング部
24…セッション集約部
25…攻撃パターン照合部
26…攻撃者被害者特定部
T1…攻撃情報テーブル
T2…国情報テーブル
T3…マルウェアドメインリストテーブル
T4…PerPacket学習データテーブル
T5…PerSession学習データテーブル
T6…攻撃判定基準テーブル
T7…攻撃判定テーブル
T8…照合結果テーブル
T9…攻撃者テーブル
T10…被害者テーブル
Claims (7)
- 正常パケット及びセキュリティ攻撃パケットのレイヤ2、レイヤ3、及びレイヤ4のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部と、
ネットワークを流れるパケットと前記攻撃学習処理部で生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部と
を備え、
前記攻撃学習処理部は、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知部と、
前記攻撃パケット検知部でパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成部と、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成部と、
前記説明変数生成部で生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習部と
を備える
ことを特徴とするセキュリティ脅威検出システム。 - ネットワークを流れるパケットの送信元IPアドレス及び宛先IPアドレスのロケーション、又はTCPヘッダシーケンスの特徴からセキュリティ攻撃を検出することを特徴とする請求項1に記載のセキュリティ脅威検出システム。
- ネットワークを流れるパケットのペイロード部分を参照することなくセキュリティ攻撃を検出することを特徴とする請求項1又は2に記載のセキュリティ脅威検出システム。
- 前記攻撃検知部は、
ネットワークを流れるパケットを受信するパケット受信部と、
バッファリングしたパケットをネットワークへ送信するパケット送信部と、
受信したパケットをメモリにバッファリングするパケットバッファリング部と、
バッファリングした受信パケットをヘッダに組み立て、組み立てたヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を生成し、セッション単位にセキュリティ攻撃を判定するために要素の値を検出して攻撃判定テーブルに情報を保存するセッション集約部と、
一定周期で前記セッション集約部で生成したセッション単位の攻撃判定テーブルから、セッションごとにセッション完了を判断し、セッションごとにセキュリティ攻撃の特徴を捉える要素の値を作成し、作成した要素の値と攻撃判定基準テーブルに格納された値を照合してセキュリティ脅威のパケットであるか判断する攻撃パターン照合部と
を備えることを特徴とする請求項1から3のいずれか1項に記載のセキュリティ脅威検出システム。 - 前記攻撃検知部は、さらに、一定周期で前記攻撃パターン照合部で検知したセキュリティ攻撃結果をもとに攻撃者及び被害者を特定する攻撃者被害者特定部を備えることを特徴とする請求項4に記載のセキュリティ脅威検出システム。
- 正常パケット及びセキュリティ攻撃パケットのレイヤ2、レイヤ3、及びレイヤ4のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、
ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップと
を含み、
前記攻撃学習ステップは、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、
前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、
前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップと
を含む
ことを特徴とするセキュリティ脅威検出方法。 - 正常パケット及びセキュリティ攻撃パケットのレイヤ2、レイヤ3、及びレイヤ4のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、
ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップと
をコンピュータに実行させるためのセキュリティ脅威検出プログラムであって、
前記攻撃学習ステップは、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、
前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、
前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップと
を含む
ことを特徴とするセキュリティ脅威検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016008831A JP6078179B1 (ja) | 2016-01-20 | 2016-01-20 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016008831A JP6078179B1 (ja) | 2016-01-20 | 2016-01-20 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6078179B1 true JP6078179B1 (ja) | 2017-02-08 |
JP2017130037A JP2017130037A (ja) | 2017-07-27 |
Family
ID=57981506
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016008831A Active JP6078179B1 (ja) | 2016-01-20 | 2016-01-20 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6078179B1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788009A (zh) * | 2020-12-30 | 2021-05-11 | 绿盟科技集团股份有限公司 | 一种网络攻击预警方法、装置、介质和设备 |
CN114490302A (zh) * | 2022-03-04 | 2022-05-13 | 大庆火兔网络科技有限公司 | 一种基于大数据分析的威胁行为分析方法及服务器 |
US11729135B2 (en) | 2020-05-29 | 2023-08-15 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6911723B2 (ja) * | 2017-11-16 | 2021-07-28 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
JPWO2019181005A1 (ja) * | 2018-03-19 | 2021-03-11 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
US20220201028A1 (en) * | 2019-05-17 | 2022-06-23 | Nippon Telegraph And Telephone Corporation | Caution-needed ip address estimation apparatus, monitoring system, caution-needed ip address providing method and program |
WO2020250444A1 (ja) | 2019-06-14 | 2020-12-17 | 日本電信電話株式会社 | 情報保護装置、情報保護方法及びプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008545343A (ja) * | 2005-06-29 | 2008-12-11 | トラスティーズ オブ ボストン ユニバーシティ | 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 |
JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
JP2014123996A (ja) * | 2014-04-02 | 2014-07-03 | Mitsubishi Electric Corp | ネットワーク監視装置及びプログラム |
WO2016002915A1 (ja) * | 2014-07-04 | 2016-01-07 | 日本電信電話株式会社 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
-
2016
- 2016-01-20 JP JP2016008831A patent/JP6078179B1/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008545343A (ja) * | 2005-06-29 | 2008-12-11 | トラスティーズ オブ ボストン ユニバーシティ | 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 |
JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
JP2014123996A (ja) * | 2014-04-02 | 2014-07-03 | Mitsubishi Electric Corp | ネットワーク監視装置及びプログラム |
WO2016002915A1 (ja) * | 2014-07-04 | 2016-01-07 | 日本電信電話株式会社 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11729135B2 (en) | 2020-05-29 | 2023-08-15 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access |
CN112788009A (zh) * | 2020-12-30 | 2021-05-11 | 绿盟科技集团股份有限公司 | 一种网络攻击预警方法、装置、介质和设备 |
CN112788009B (zh) * | 2020-12-30 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种网络攻击预警方法、装置、介质和设备 |
CN114490302A (zh) * | 2022-03-04 | 2022-05-13 | 大庆火兔网络科技有限公司 | 一种基于大数据分析的威胁行为分析方法及服务器 |
Also Published As
Publication number | Publication date |
---|---|
JP2017130037A (ja) | 2017-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6078179B1 (ja) | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム | |
US10498803B1 (en) | Identifying communicating network nodes in the same local network | |
Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
Alsmadi et al. | Security of software defined networks: A survey | |
Dhawan et al. | Sphinx: detecting security attacks in software-defined networks. | |
US20180131717A1 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
JP6737610B2 (ja) | 通信装置 | |
US20230289631A1 (en) | Multiple granularity classification | |
Ahuja et al. | Ascertain the efficient machine learning approach to detect different ARP attacks | |
US20230115046A1 (en) | Network security system for preventing unknown network attacks | |
Bankovic et al. | Improving security in WMNs with reputation systems and self-organizing maps | |
Deri et al. | Using deep packet inspection in cybertraffic analysis | |
García-Teodoro et al. | Taxonomy and holistic detection of security attacks in MANETs | |
TWI785374B (zh) | 網路惡意行為偵測方法與利用其之交換系統 | |
US20240114052A1 (en) | Network security system for preventing spoofed ip attacks | |
Shalini et al. | Intrusion detection system for software-defined networks using fuzzy system | |
Alsadhan et al. | Detecting distributed denial of service attacks in neighbour discovery protocol using machine learning algorithm based on streams representation | |
Lange et al. | Using a deep understanding of network activities for network vulnerability assessment | |
Fu et al. | FNF: Flow-net based fingerprinting and its applications | |
Watkins et al. | Methodology for evaluating the effectiveness of intrusion detection in tactical mobile ad-hoc networks | |
Beukema | Enhancing network intrusion detection through host clustering | |
Alattar et al. | Trust-enabled link spoofing detection in MANET | |
Bannat Wala et al. | Insights into doh: Traffic classification for dns over https in an encrypted network | |
CN115189905B (zh) | 网络通信与安全管控一体机及其工作方法 | |
Tolle et al. | Impact of sanitized message flows in a cooperative intrusion warning system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170113 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6078179 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |