JP6142702B2 - 監視装置、監視方法及びプログラム - Google Patents
監視装置、監視方法及びプログラム Download PDFInfo
- Publication number
- JP6142702B2 JP6142702B2 JP2013140765A JP2013140765A JP6142702B2 JP 6142702 B2 JP6142702 B2 JP 6142702B2 JP 2013140765 A JP2013140765 A JP 2013140765A JP 2013140765 A JP2013140765 A JP 2013140765A JP 6142702 B2 JP6142702 B2 JP 6142702B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- communication
- communication data
- condition
- acquired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Description
本実施の形態に係るシステムの概要を図1を用いて説明する。図1に示すように、インターネット1000には、様々なサーバ2000や攻撃者が操作する攻撃者端末2100と、例えば企業におけるルータなどの通信装置1100も接続されている。通信装置1100には、検知装置1200と、ユーザ端末A、ユーザ端末B及び管理者端末1300を含む複数のユーザ端末や、サーバ等が接続されている。なお、通信装置1100は、当該通信装置1100を介して流れる通信データ(具体的にはパケット)をミラーリングで検知装置1200に出力する。
通常業務の通信において、外部通信とサービス開始の組み合わせ候補は多数存在することが想定されるので、処理負荷や精度の観点から絞り込みを行うことが好ましい。本実施の形態では、遠隔操作型のマルウェアは、コネクションを構築し且つ維持することで、リアルタイムな遠隔操作を実現する特徴があるため、この特徴に着目して第1の実施の形態を変形する。
一般的な業務の通信において、外部通信及びサービス開始の候補は多数存在することが想定され、問題のない外部通信及びサービス開始の候補を組み合わせてしまう可能性がある。
第3の実施の形態では、サービス開始と同一のプロトコルという条件で通信データを蓄積しているので、通信データバッファ1211に大量の通信データが蓄積されることになる。これによって記憶容量の問題や検索速度の問題が生ずる可能性がある。本実施の形態では、蓄積すべき通信データを限定することで、効率的にサービス開始シーケンスの先頭時刻を特定できるようにする。
通信データを取得する取得部と、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納する外部通信特定部と、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納するサービス開始抽出部と、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスとが一致するという条件を含む第3の条件を満たすか判断し、満たしている場合には攻撃検知を通知する検知部と、
を有する検知装置。
前記外部通信データが、取得された前記通信データの通信時刻をさらに含み、
前記サービス開始抽出部が、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ取得された前記通信データの通信時刻との通信時間差が第1の所定時間内である外部通信データを前記データ格納部において抽出する
付記1記載の検知装置。
前記サービス開始データが、取得された前記通信データの通信時刻をさらに含み、
前記第3の条件が、取得された前記通信データの通信時刻と前記サービス開始データに含まれる通信時刻との差が第2の所定時間内であるという条件をさらに含む
付記1又は2記載の検知装置。
前記第1の条件が、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションの継続時間が第3の所定時間以上であるという条件をさらに含む
付記1乃至3のいずれか1つ記載の検知装置。
前記サービス開始抽出部が、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当しない場合、バッファに当該通信データ及び当該通信データの通信時刻とを格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を満たす場合には、前記バッファにおいて、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションについての通信データであって且つ前記サービス開始までに行われ且つ予め規定された通信シーケンスのうち最も古い通信データの通信時刻を特定し、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ特定された前記通信時刻との通信時間差が第4の所定時間内である外部通信データを前記データ格納部において抽出する
付記1記載の検知装置。
前記サービス開始抽出部が、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当しない場合であって、予め規定された通信シーケンスの開始候補に該当する場合には、バッファに当該通信データ及び当該通信データの通信時刻とを格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を満たす場合には、前記バッファにおいて、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションについての通信データであって且つ最も古い通信データの通信時刻を特定し、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ特定された前記通信時刻との通信時間差が第5の所定時間内である外部通信データを前記データ格納部において抽出する
付記1記載の検知装置。
通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスとが一致するという条件を含む第3の条件を満たすか判断し、満たしている場合には攻撃検知を通知する
処理を、コンピュータに実行させるためのプログラム。
通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスとを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信である場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスとが一致するという条件を含む第3の条件を満たすか判断し、満たしている場合には攻撃検知を通知する
処理を含み、コンピュータにより実行される検知方法。
1202,1202b 外部通信抽出部
1203 IPアドレスリスト格納部
1204,1204c,1204d サービス開始抽出部
1205 外部接続抽出部
1206,1206c 関連付けデータ格納部
1207 判定条件格納部
1208 判定部
1209 出力部
1210 外部通信データ格納部
1211,1213 通信データバッファ
1212 想定シーケンス格納部
1214 候補リスト格納部
Claims (8)
- 通信データを取得する取得部と、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納する外部通信特定部と、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納するサービス開始抽出部と、
取得された前記通信データが、前記予め規定された範囲外への通信であるという条件を含む第3の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスと一致するという条件を含む第4の条件を満たすか判断し、満たしている場合には攻撃検知を通知する検知部と、
を有する検知装置。 - 前記外部通信データが、取得された前記通信データの通信時刻をさらに含み、
前記サービス開始抽出部が、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ取得された前記通信データの通信時刻との通信時間差が第1の所定時間内である外部通信データを前記データ格納部において抽出する
請求項1記載の検知装置。 - 前記サービス開始データが、取得された前記通信データの通信時刻をさらに含み、
前記第4の条件が、取得された前記通信データの通信時刻と前記サービス開始データに含まれる通信時刻との差が第2の所定時間内であるという条件をさらに含む
請求項1又は2記載の検知装置。 - 前記第1の条件が、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションの継続時間が第3の所定時間以上であるという条件をさらに含む
請求項1乃至3のいずれか1つ記載の検知装置。 - 前記サービス開始抽出部が、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ前記予め定められたサービスの開始に該当しない場合、バッファに当該通信データ及び当該通信データの通信時刻を格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ前記予め定められたサービスの開始に該当するという条件を満たす場合には、前記バッファにおいて、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションについての通信データであって且つ前記予め定められたサービスの開始までに行われ且つ予め規定された通信シーケンスのうち最も古い通信データの通信時刻を特定し、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ特定された前記通信時刻との通信時間差が第4の所定時間内である外部通信データを前記データ格納部において抽出する
請求項1記載の検知装置。 - 前記サービス開始抽出部が、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ前記予め定められたサービスの開始に該当しない場合であって、予め規定された通信シーケンスの開始候補に該当する場合には、バッファに当該通信データ及び当該通信データの通信時刻を格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ前記予め定められたサービスの開始に該当するという条件を満たす場合には、前記バッファにおいて、取得された前記通信データの送信元アドレスと送信先アドレスとの間のコネクションについての通信データであって且つ最も古い通信データの通信時刻を特定し、
取得された前記通信データの送信元アドレスを送信先アドレスとし且つ特定された前記通信時刻との通信時間差が第5の所定時間内である外部通信データを前記データ格納部において抽出する
請求項1記載の検知装置。 - 通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信であるという条件を含む第3の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスと一致するという条件を含む第4の条件を満たすか判断し、満たしている場合には攻撃検知を通知する
処理を、コンピュータに実行させるためのプログラム。 - 通信データを取得し、
取得された前記通信データが、ネットワークにおいて予め規定された範囲外からの通信であるという条件を含む第1の条件を満たす場合、送信元アドレス及び送信先アドレスを含む外部通信データをデータ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲内への通信であって且つ予め定められたサービスの開始に該当するという条件を含む第2の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとする外部通信データを前記データ格納部において抽出し、当該外部通信データに対応付けて前記通信データの送信先アドレスを含むサービス開始データを前記データ格納部に格納し、
取得された前記通信データが、前記予め規定された範囲外への通信であるという条件を含む第3の条件を満たす場合、取得された前記通信データの送信元アドレスを送信先アドレスとするサービス開始データが前記データ格納部に格納されており、取得された前記通信データの送信先アドレスが当該サービス開始データに対応付けられている外部通信データに含まれる送信元アドレスと一致するという条件を含む第4の条件を満たすか判断し、満たしている場合には攻撃検知を通知する
処理を含み、コンピュータにより実行される検知方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013140765A JP6142702B2 (ja) | 2013-07-04 | 2013-07-04 | 監視装置、監視方法及びプログラム |
US14/291,168 US9055096B2 (en) | 2013-07-04 | 2014-05-30 | Apparatus and method for detecting an attack in a computer network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013140765A JP6142702B2 (ja) | 2013-07-04 | 2013-07-04 | 監視装置、監視方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015015581A JP2015015581A (ja) | 2015-01-22 |
JP6142702B2 true JP6142702B2 (ja) | 2017-06-07 |
Family
ID=52133726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013140765A Active JP6142702B2 (ja) | 2013-07-04 | 2013-07-04 | 監視装置、監視方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US9055096B2 (ja) |
JP (1) | JP6142702B2 (ja) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6229504B2 (ja) * | 2014-01-09 | 2017-11-15 | 富士通株式会社 | ネットワーク監視装置、監視方法及びプログラム |
JP6476853B2 (ja) | 2014-12-26 | 2019-03-06 | 富士通株式会社 | ネットワーク監視システム及び方法 |
JP6454224B2 (ja) * | 2015-06-08 | 2019-01-16 | アラクサラネットワークス株式会社 | 通信装置 |
JP6641819B2 (ja) | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
JP6834385B2 (ja) * | 2016-11-15 | 2021-02-24 | 富士通株式会社 | プログラム、情報処理装置及び情報処理方法 |
CN110120932B (zh) | 2018-02-06 | 2020-10-23 | 华为技术有限公司 | 多路径建立方法及装置 |
JP7152657B2 (ja) * | 2018-09-14 | 2022-10-13 | 富士通株式会社 | 監視装置、監視方法及び監視プログラム |
US11012454B1 (en) * | 2018-12-21 | 2021-05-18 | NortonLifeLock Inc. | Detecting abnormal user behavior via temporally regularized tensor factorization |
US11184381B2 (en) * | 2020-01-08 | 2021-11-23 | Bank Of America Corporation | Real-time validation of application data |
US11297085B2 (en) | 2020-01-08 | 2022-04-05 | Bank Of America Corporation | Real-time validation of data transmissions based on security profiles |
US11627152B2 (en) | 2020-01-08 | 2023-04-11 | Bank Of America Corporation | Real-time classification of content in a data transmission |
US11637852B2 (en) * | 2021-01-04 | 2023-04-25 | Microsoft Technology Licensing, Llc | Internet-facing device identification |
CN116318993B (zh) * | 2023-03-16 | 2023-10-27 | 北京宏志国际科技有限公司 | 一种物联网产品防御网络有害指令攻击的方法及系统 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4027213B2 (ja) | 2002-11-27 | 2007-12-26 | 三菱電機株式会社 | 侵入検知装置およびその方法 |
JP4480422B2 (ja) * | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
JP4610240B2 (ja) | 2004-06-24 | 2011-01-12 | 富士通株式会社 | 分析プログラム、分析方法及び分析装置 |
JP2006033472A (ja) * | 2004-07-16 | 2006-02-02 | Kddi Corp | 不正アクセス検知装置 |
JP4416630B2 (ja) | 2004-11-25 | 2010-02-17 | 沖電気工業株式会社 | 監視装置、通信システム、監視方法、および監視プログラム |
US7735141B1 (en) * | 2005-03-10 | 2010-06-08 | Noel Steven E | Intrusion event correlator |
US7596097B1 (en) * | 2006-03-09 | 2009-09-29 | Cisco Technology, Inc. | Methods and apparatus to prevent network mapping |
JP2007323428A (ja) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | ボット検出装置、ボット検出方法、およびプログラム |
US20090276852A1 (en) * | 2008-05-01 | 2009-11-05 | International Business Machines Corporation | Statistical worm discovery within a security information management architecture |
-
2013
- 2013-07-04 JP JP2013140765A patent/JP6142702B2/ja active Active
-
2014
- 2014-05-30 US US14/291,168 patent/US9055096B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20150013005A1 (en) | 2015-01-08 |
US9055096B2 (en) | 2015-06-09 |
JP2015015581A (ja) | 2015-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6142702B2 (ja) | 監視装置、監視方法及びプログラム | |
KR102183897B1 (ko) | 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템 | |
JP6641819B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
Narayan et al. | A survey of automatic protocol reverse engineering tools | |
US9369435B2 (en) | Method for providing authoritative application-based routing and an improved application firewall | |
EP2924943B1 (en) | Virus detection method and device | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
CN104660584B (zh) | 基于网络会话的木马病毒分析技术 | |
JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
JP6229504B2 (ja) | ネットワーク監視装置、監視方法及びプログラム | |
TW201416851A (zh) | 檔案修復系統和方法 | |
CN111131180A (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
US10257093B2 (en) | Information processing device, method, and medium | |
CN105530098B (zh) | 一种协议指纹自动提取方法及系统 | |
JP2004318742A (ja) | 分散型サービス不能攻撃を防ぐネットワークシステム | |
JP6063340B2 (ja) | 指令元特定装置、指令元特定方法、及び指令元特定プログラム | |
CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160405 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170123 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170131 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170327 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170411 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170424 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6142702 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |