JP6246943B2 - ネットワークフォレンジクスのための記憶媒体、装置及び方法 - Google Patents
ネットワークフォレンジクスのための記憶媒体、装置及び方法Info
- Publication number
- JP6246943B2 JP6246943B2 JP2016549004A JP2016549004A JP6246943B2 JP 6246943 B2 JP6246943 B2 JP 6246943B2 JP 2016549004 A JP2016549004 A JP 2016549004A JP 2016549004 A JP2016549004 A JP 2016549004A JP 6246943 B2 JP6246943 B2 JP 6246943B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- network
- security threat
- forensic context
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 38
- 238000003860 storage Methods 0.000 title claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 20
- 238000004891 communication Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 9
- 238000007689 inspection Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000012552 review Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Description
本開示は一般にネットワークのセキュリティ管理に関連し、特に、ネットワークフォレンジクスを行うためのシステム及び方法に関連する。
様々なコンピュータ及び/又はコンピュータネットワークの間でディジタルデータを伝送する場合、或る程度のリスクが本来的に存在する。他のネットワークと相互作用するコンピュータネットワークは、ウィルス、ワーム(worms)及びトロイの木馬(Trojan horse)等のようなマルウェアや悪意のソフトウェアに常にさらされ、マルウェア等はコンピュータソフトウェアアーキテクチャのどのレベルにも侵入して構築される。そのようなセキュリティの脅威(threat)を検出し、ネットワーク上のデバイスに及ぶ可能性がある害を防止するために、セキュリティアドミニストレータによりネットワークトラフィックが監視され及び/又は後に分析される。ネットワークトラフィックのそのような監視及び分析は、しばしば、ネットワークフォレンジクス又はネットワークフォレンジック(network forensics)と言及される。ネットワーク規模に基づくフォレンジクスを実行することは有意義であり、なぜなら、攻撃者(attacker)は、感染したホストにおける全てのログファイルを消去する可能性があり、従って、ネットワークベースの証拠がフォレンジック分析に利用可能な唯一の証拠となるかもしれないからである。
セキュリティ目的のネットワークフォレンジクスを実行する第1段階の1つは、一般に、特異なトラフィックに関してネットワークをモニタリングし、侵入(intrusions)を識別することを含む。ネットワークのフォレンジックデータを後に分析できるようにするため、多くのネットワークは、ネットワークを通る全ての又はほとんどのデータフローを保存する。大規模なネットワークの場合、これは、月毎に何テラバイト(1テラ=1012)ものデータを保存することを意味し、そのような保存はストレージスペースを速やかに消尽してしまう。更に、セキュリティ分析は、しばしば、セキュリティリスクを分析できるようにデータを探索しなければならない。関わるデータ量に起因して、行われる問い合わせ(又はクエリ)の各々は処理に長時間を費やし、検索を実行するための大量のデータにより情報の取得はしばしば困難になり且つ時間を費やしてしまう。
これらの問題を解決するため、ある種のネットワークシステムは、それらが保存するデータを要約(summarizing)しつつある。全てのデータフローを保存する代わりに、これらのネットワークは、バイト数などのようなデータに関する上位レベルのサマリーを長期間にわたって保存する。データフローのサマリーのみを保存することは、ストレージ空間の限界や大量のデータの検索などの問題の回避を支援することができる。しかしながらこのアプローチは理想的なものより劣っており、なぜなら、データフローに関する多くの重要な情報をシステムが失ってしまう結果となるからである。失われた情報は、安全性の脅威又はセキュリティスレット(security threat)を適切に特定及び除去するために、セキュリティ分析にとって有用又は必要であるかもしれない。以下の開示はこれら及びその他の問題に対処する。
ネットワークフォレンジクスは、セキュリティスレットを検討、分析及び除去するためのセキュリティ分析を支援するために、ネットワークにおけるデータフローをモニタリングして分析することを包含する。ネットワーク環境におけるセキュリティスレットは、一般に、ネットワークにおける1つ以上のデバイスにより検出される。検出された各々のセキュリティスレット又はリスクに関し、しばしば、システムにセキュリティイベントが作成されて保存される。多くの場合、セキュリティイベントの重要性は、ネットワーク管理コンピュータにおいて又は分析者(アナリスト)の検討によって速やかには認識されない。と同時に、多くのセキュリティイベントは、それらが生じるコンテキスト(context)について限られた情報しか含んでいない。コンテキスト情報は、つかの間のものであり(fleeting)、外部アプリケーション又はユーザー又はセキュリティ分析者がクエリを発行することを決めた頃には、既に失われているかもしれない。このような問題は、ネットワークセキュリティイベントに関するコンテキスト情報をタイムリーに関連付けて収集し、そのようなコンテキスト情報をセキュリティイベントとともに保存することにより、解決されることが可能である。セキュリティイベントを検出し、セキュリティイベントとともに関連するコンテキスト情報を保存することにより、この方法は、大量のデータを保存して検索する必要性を排除し、ひいては重要なフォレンジクスデータを効果的かつ効率的に提供する。
図1に関し、インフラストラクチャ100が概略的に示されている。インフラストラクチャ100はコンピュータネットワーク102を含み、コンピュータネットワーク102は、インターネット、企業ネットワーク又はローカルエリアネットワーク(LAN)等のような今日利用可能な多種多様なコンピュータネットワークを含んでよい。これらのネットワークの各々は、有線又は無線のデバイスを含み、(例えば、TCP/IP等のような)任意のネットワークプロトコルを用いて動作することが可能である。ネットワーク102は、ゲートウェイ及びルーター(108により表現される)、エンドユーザーコンピュータ106、及び、コンピュータサーバー104に接続される。モバイル通信デバイスとともに使用するセルラネットワーク103もインフラストラクチャ100の中に示されている。当該技術分野で知られているように、モバイルセルラネットワークは、移動電話及び他の多くのタイプのデバイス(例えば、不図示のタブレットコンピュータ等)をサポートする(又は使用することが可能である)。インフラストラクチャ100におけるモバイルデバイスは、移動電話機110として示される。
図1に示されるようなネットワークでは、データフロー(データの流れ)が、フォレンジクスの目的で監視及び分析されることが可能である。ネットワーク内の全てのデータフローにおけるネットワークパケットを監視し、データフローにおけるセキュリティスレットを検出し、検出されたスレットに基づいてセキュリティイベントを生成し、セキュリティイベントに関連するフォレンジクス情報を収集し、そのような情報を、後のアクセス及び/又は分析に備えてセキュリティイベントとともに保存するために、1つ以上のソフトウェアプログラム又はアプリケーションが使用されてよい。
図2には、一実施形態によるネットワークフォレンジクスを実行するために使用する処理デバイス例200が、ブロック図形式で示されている。処理デバイス200は、移動電話機110、ゲートウェイ又はルーター108、クライアントコンピュータ106、サーバーコンピュータ104等におけるプロセッサとして機能してもよい。例示的な処理デバイス200は、システム230に対する入力デバイス(例えば、キーボード、マウス、タッチスクリーン等)及びディスプレイ235に選択的に接続されてよいシステムユニット205を有する。プログラムストレージデバイス(PSD)240(しばしば、ハードディスク、フラッシュメモリ、又は、非一時的なコンピュータ読み取り可能な媒体などと言及される)は、システムユニット205に含まれている。ネットワーク(又はセルラ又はコンピュータ)を介して他のモバイルの及び/又は組み込まれたデバイス(図示せず)と通信するためのネットワークインターフェース220も、システムユニット205に含まれている。ネットワークインターフェース220は、システムユニット205の中に含まれてもよいし、あるいは、システムユニット205に対して外部にあってもよい。何れにせよ、システムユニット205は、ネットワークインターフェース220に通信可能に結合される。プログラムストレージデバイス248は任意の形態の不揮発性ストレージを表現し(例えば、ソリッドステート、ストレージ要素を含み、取り外し可能な媒体を含む全ての形態の光学的及び磁気的なメモリを含んでもよいが、これらに限定されない)、システムユニット205の中に含まれてもよいし、あるいは、システムユニット205に対して外部にあってもよい。プログラムストレージデバイス240は、システムユニット205を制御するためのソフトウェアや、処理デバイス200により使用するためのデータ等の保存のために使用されてよい。
システムユニット205は、本開示による方法を実行するようにプログラムされてもよい。システムユニット205は、1つ以上の処理ユニット、入出力(I/O)バス225、及び、メモリ215を有する。メモリ215に対するアクセスは、通信リンク215を用いて実行されることが可能である。通信リンク225は、1対1のリンク及びバスを含む任意のタイプの相互接続であってよい。処理ユニット210は、任意のプログラム可能なコントローラデバイスを含んでもよく、例えば、メインフレームプロセッサ、モバイル電話プロセッサを含んでもよく、一例として、インテルコーポレーションによるINTEL ATOM(登録商標)及びINTEL CORE(登録商標)プロセッサファミリ、及び、ARMリミテッドコーポレーションによるCortex(登録商標)及びARM(登録商標)プロセッサファミリのうちの1つ以上のメンバである。(INTEL, INTEL ATOM及びCOREはインテルコーポレーションの商標である。CORTEXはARMリミテッドコーポレーションの登録商標である。ARMはARMリミテッドコーポレーションの登録商標である)。メモリ215は、1つ以上のメモリモジュールを含み、及び、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、プログラム可能なリードオンリメモリ(PROM)、プログラム可能な読み書き可能なメモリ、及び、ソリッドステートメモリを含んでもよい。図2に示されるように、システムユニット205は通信最適化モジュール245も含み、通信最適化モジュール245は、本願で説明される通信最適化技術の実行を促すようにファームウェアで実現されてもよい。
上述したように、本願で開示される発明の実施形態はソフトウェアを含んでもよい。従って、通常のコンピューティングソフトウェアアーキテクチャの説明を提供する。ハードウェアの具体例と同様に、ここで議論されるソフトウェアアーキテクチャは、如何なる形態でも排他的であるようには意図されておらず、例示的であるように意図されている。
次に、コンテキストアウェアネットワークフォレンジクス(context aware network forensics)を実行する様々な実施形態の説明に移る。図3に関し、ブロック図300は、コンテキストアウェアネットワークフォレンジクスを実現するシステムの一例を示す。このシステムはセキュリティ管理コンソール302を含み、セキュリティ管理コンソール302は、一実施形態では、ネットワークの警戒姿勢への単一視点 (a single point of visibility into the network's security posture)を提供することにより、全体的なネットワークインフラストラクチャのセキュリティを一括して管理する方法を、情報技術(IT)アドミニストレータに提供する。一実施形態において、セキュリティ管理コンソール302は、クラウド又はネットワークにおけるデバイスにインストールされるソフトウェアプログラムである。
セキュリティ管理オプションの一部分として、セキュリティ管理コンソール302は、セキュリティスレットを検討、分析及び評価するオプションをユーザーに提供してもよい。それを行うため、セキュリティ管理コンソール302は、各々のセキュリティスレットに関連するネットワークフォレンジクスコンテキストを実行及び検討するための候補を含んでいてもよい。これは、セキュリティゲートウェイ304及びネットワークフロー分析プラットフォーム(NFAP)306との接続及びそれらからのデータを通じて実行されてよい。一実施形態において、セキュリティ管理コンソール302は、セキュリティゲートウェイ304及びNFAP306の双方を管理するように構成され、従って、双方に対する共通の管理コンソールである。
一実施形態において、セキュリティゲートウェイ304は、ディープパケットインスペクション(Deep Packet Inspection:DPI)を実行する責務を担う機器である。セキュリティゲートウェイ304は、ネットワークからのトラフィック供給を受け、ネットワークにおけるデータフローを監視及び検査し、ウィルス、ワーム、スパム、データ欠落、侵入(intrusion)、又は、その他の潜在的なセキュリティスレットを探す。一実施形態では、セキュリティゲートウェイ304は、悪意の活動に関するネットワーク活動を監視する侵入防止システム(IPS)である。代替的に、セキュリティゲートウェイ304はファイヤウォールであってもよい。
セキュリティゲートウェイ304が潜在的なセキュリティスレットを検出すると、そのスレットをセキュリティイベントとして指定すべきか否かを判断する。一実施形態において、この判断は、セキュリティスレットのセキュリティレベルに基づいてなされてもよい。セキュリティレベルは、低、中、高、及び、重要又はその他の所望の任意の指定により指定されてもよい。一実施形態において、セキュリティスレットがセキュリティレベルの特定の閾値をパスする(又は超える)場合、そのスレットはセキュリティイベントとして指定される。例えば、中及び高のセキュリティレベルを有するセキュリティスレットはセキュリティイベントとして指定されるが、低のセキュリティレベルを有するスレットは無視されてもよい。セキュリティレベル及びスレットがセキュリティイベントとして指定されるか否かの閾値は、予め決定されていてもよいし、あるいは、後述するようにアドミニストレータにより設定されてもよい。
セキュリティスレットのセキュリティレベルは、一実施形態では、セキュリティゲートウェイ304により強制(又は実施)されるポリシーに基づいて決定される。ポリシーは、セキュリティスレットのタイプのリスト及びそれらの関連する重大性レベル(severity level)を含んでもよい。リスト中のセキュリティスレットのタイプ及びそれらの関連する重大性は、セキュリティゲートウェイベンダー(図示せず)により規定されてもよい。代替的に、セキュリティスレットのタイプ及び/又はそれらの関連する重大性レベルは、アドミニストレータにより規定されてもよい。
セキュリティスレットがセキュリティイベントとして指定された後、セキュリティゲートウェイ304の中のアプリケーションフロー生成部308は、検出されたセキュリティイベントに対するアプリケーションフロー記録(又はレコード)を生成し、そのセキュリティイベントのセキュリティIDを割り振ってもよい。図4は、セキュリティゲートウェイ304により生成されるアプリケーションフロー記録400を表現する一例を示す。
フロー記録(又はフローレコード)400は、IP/TCP/UDPヘッダーメタデータのためのフィールド402を含む。フィールド402は、そのセキュリティイベントを引き起こしたデータフローにより使用されるプロトコルのタイプを識別する。例えば、フィールド402は、Netflow、IPFIX、Jflow又はSflow等のようなタイプを指定するエントリを含む。フローレコード400は、セキュリティイベントIDを記録するフィールド404、及び、アプリケーションIDを記録するためのフィールド406も含む。アプリケーションIDは、如何なるタイプのアプリケーションがセキュリティスレットを引き起こしたかを示す。フローレコード400のフィールド408は、セキュリティイベントにより使用されるプロトコルに関連するヘッダデータ及び/又はアプリケーションのヘッダーメタデータを記録してもよい。アプリケーションフローレコード400は、他のフィールドを含んでもよい。一実施形態において、アプリケーションフロー生成部308は、フローに関してセキュリティイベントが検出されない場合でさえ、全てのネットワークフローについてアプリケーションフローレコードを生成する点に留意すべきである。そのような場合、生成されるアプリケーションフローレコードは、フローレコード400に示されるものと異なるフィールドを含んでいてもよい。
検出されたセキュリティイベントに関するアプリケーションフローレコードを生成することに加えて、セキュリティゲートウェイ304は、フローレコードをNFAP306に送信するようにも構成される。NFAP306は、一実施形態では、アプリケーションフローレコードの広範囲にわたる取得を実行するサーバーグレードシャーシ(server-grade chassis)である。代替的に、NFAP306は、セキュリティゲートウェイ304の内部に組み込まれるソフトウェアモジュール又は仮想装置であるとすることが可能である。一実施形態によれば、NFAP306はネットワークスレット動作装置(Network Threat Behavior Appliance:NTBA)である。NFAP306は、一般に、フローレコードの処理を行い、長期間にわたってネットワークの動作を要約する責務を担う。この要約(サマリー)は、一実施形態では、ネットワークフォレンジクスコンテキストを含む。そのようなサマリーのスコアを付けるため(又は評価するため)、NFAP306はメモリ314を含む。メモリ314は、1つ以上のメモリモジュールを含み、及び、ハードディスク、フラッシュメモリ、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、プログラマブルリードオンリメモリ(PROM)、プログラマブルリードライトメモリ、ソリッドステートメモリ、又は、その他の所望のタイプのストレージ媒体を含んでよい。
ネットワークフォレンジクス情報を確保するために全てのデータフローが保存されていた従来のシステムでは、NFAP306は極めて大量のストレージ容量を必要としていた。しかしながら、コンテキストアウェアネットワークフォレンジクス法を利用することは、フォレンジクスの目的のために保存される必要のあるデータ量を大幅に減らし、従って、NFAP306に必要とされるストレージ容量を減らす。例えば、一実施形態において、本開示で議論されるコンテキストアウェアネットワークフォレンジクス法を利用することは、事実上のストレージ要求を90%減らす。従って、従来のNFAPが全てのフローレコードのうち1日しか保存できないのに対して、本開示で議論されるアプローチを利用すると、バックアップスペースを別途必要とすることなく、詳細なフォレンジクスコンテキストを何週間も保存できる。これは、コストを削減できるだけでなく、フォレンジクスレコードを検索及びアクセスするのに要する時間を大幅に短縮できる点で有利である。
セキュリティイベントに関する総合的なフォレンジクスデータを提供するために、セキュリティゲートウェイ304からアプリケーションフロー情報を受信することに加えて、NFAP306は、1つ以上のエンドポイントエージェント312A-312Nから何らかの情報を受信してもよい。エンドポイントエージェント312A-312Nは、一実施形態では、例えばエンドポイントユーザーコンピュータ106及びエンドポイント移動電話機110(図1参照)等のようなエンドポイントデバイスで動作するモジュールであって、そのモジュールはエンドポイントプロセスデータを収集してNFAP306に送信するように構成されている。エンドポイントプロセスデータは、プロセス情報及び関連するメタデータを含んでもよく、例えば、プロセス名、関連するDLL及びその他の経験則(疑わしい動作のエンドポイントによる検出を可能にするもの)を含んでもよい。
アプリケーションフローデータ及びプロセスデータに加えて、NFAP306は、ルーター310のようなルーターから、或いは、ネットワークにおけるスイッチ、ファイヤウォール又はその他のゲートウェイから、ネットワークフローデータ(例えば、Netflow、sFlow、J-Flow、IPFIX等)を受信してもよい。ネットワークフローデータは、(例えば、IP/TCP/UPD等のような)ヘッダーメタデータ情報を含んでもよい。これらの情報の全てを受信した後、NFAP306は、エンドポイントプロセスフローデータ及びネットワークフローデータとともにアプリケーションフローレコードを検査し、全ての受信した情報の相互関係を調べ、重複を排除し、適合するフローを標準化(normalize)し、各々のセキュリティイベントに対する包括的なフォレンジクス情報を有するフローレコードを生成して保存する。図5は、NFAP306のメモリ314に保存されるそのようなフローレコードのフィールド例を示す。図示されるように、フローレコード400に存在するフィールド(IP/TCO/UDPヘッダーメタデータ502、セキュリティイベントID504、アプリケーションID506、及び、アプリケーションヘッダメタデータ508)に加えて、フローレコードテーブル500は、エンドポイントプロセスメタデータを記録するフィールド510を含む。フローレコードテーブル500においてレコードを作成することに加えて、NFAP386は、各々のセキュリティイベントについて、フォレンジクスコンテキストテーブル520におけるレコードを生成するように構成される。
生成されて保存されるフォレンジクスコンテキストは或る情報を含み、その情報は、データが保存される対象のセキュリティイベントの前又は後の特定の時間期間の間に開始されたサービス、同じ時間期間の間にアクセスされたアプリケーションに関連するメタデータ、開始されたエンドポイントプロセス、並びに、同じ期間中の内部ホストコネクション及び外部ホストコネクションに関する情報を含んでもよい。追加的に、セキュリティイベントに関連する未処理データフローレコードが、収集され、1つ以上のフローレコードファイルに保存されてもよい。
1つ以上の他のタイプのフォレンジクスデータが収集及び保存されてもよい。例えば、一実施形態において、システムは、セキュリティイベントが再帰的又は帰納的(recursive)であるか否かを識別し、そうである場合、再帰的なイベントと、関連する他のイベントとの間のリンクを生成する。イベントは、別のセキュリティイベントの前又は後の指定された時間フレームの間で生じる場合、或いは、先行するイベントと所定の特徴を共有する場合に、「再帰的」として識別されてもよい。例えば、自動ダウンロード(drive-by-download)の30分以内に生じるスキャンは、再帰的イベントになる傾向がある。自動ダウンロードの後に見受けられる新たな疑義のあるプロセスに続くデータ漏洩も、自動ダウンロードにリンクされるべき再帰的イベントである。これらのイベントが再帰的イベントとしてリンクされる場合、それら全てに関連するフォレンジクスコンテキストは、何れかが選択される場合にアクセスされてよい。
一実施形態において、収集されたフォレンジクスコンテキストデータは、フォレンジクスコンテキストテーブル520に記録される。フォレンジクスコンテキストテーブル520は、様々なタイプのフォレンジクスコンテキストデータを記録する幾つものフィールドを含む。例えば、フィールド504はセキュリティイベントIDを記録するために提供される。セキュリティイベントIDは、各々のセキュリティイベントについての固有の識別子として機能し、そのデータを、フローレコードテーブル500からフォレンジクスコンテキストテーブル520へリンクする。一実施形態において、セキュリティイベントIDは、セキュリティゲートウェイ304、NFAP314、及び、セキュリティ管理コンソール302により同じ固有のセキュリティイベントを指すために使用されることが可能な固有の数字の識別子である。従って、セキュリティイベントIDは、各々のセキュリティイベントに関連するフォレンジクスコンテキストを探して取り出すための主要なキー(primary key)として機能する。一実施形態において、セキュリティイベントIDは、特定の時間における固有のセキュリティイベントを識別するタイムスタンプ又は類似するインジケータを含む。他の実施形態において、セキュリティイベントIDは、固有のセキュリティイベントに関わるスレットのタイプ(例えば、自動ダウンロード、サーバー利用型(server exploit)、ポートスキャン(port scan)等)を識別するインジケータを含んでもよい。
フォレンジクスコンテキストテーブル520は、サービス522、エンドポイントプロセス524、アプリケーションメタデータ526(例えば、URL、FTPサーバー、SMTPアドレス等)、インターナル(内部)ホストコネクション528、及び、エキスターナル(外部)ホストコネクション538に関するフィールドを含んでよい。フィールド532は、再帰的なセキュリティイベントの場合に、関連するイベントのセキュリティイベントIDを記録するために設けられてもよい。更に、フィールド534は、セキュリティイベントに関連する未処理フローレコード(raw flow records)を保存する1つ以上のフローレコードファイル540のファイル名を記録してもよい。フォレンジクスコンテキストテーブル520に保存されるコンテキストは、様々な実施形態で異なってよい。一実施形態では、セキュリティイベントに関して保存されるフォレンジクスコンテキストのタイプを選択するために、ITアドミニストレータに、SMC302のユーザーインターフェースによるオプションが与えられてもよい。そのような実施形態の一例は図6に示されている。
ユーザーインターフェース600は、フォレンジックコンテキストが保存されるべき対象のセキュリティアタックの重大性レベルを選択するための選択ボックス602を含む。重大性レベルは、重大、高、中又は低、或いはその他の所望のレベルに設定されることが可能である。インターフェース600は、フォレンジクスコンテキストがイネーブルにされるべきアタック(攻撃)のタイプを選択するためのボックス604を含んでもよく、そのタイプは例えばエクスプロイト(exploit)アタック、アノマリー(anomaly)、レコン(recon)、マルウェア等である。一実施形態では、唯1つのタイプのセキュリティアタックの選択が可能である。代替的な実施形態では、2つ以上のタイプのセキュリティアタックが同時に選択されることが可能である。ユーザーインターフェース600は、フォレンジクスコンテキストが保存されるべき場所(ロケーション)を選択するためのボックス606も含む。ITアドミニストレータは、フォレンジクスコンテキストを保存するためにセキュリティ管理コンソールSMC302又はNFAP606の何れかを選択することが可能である。代替的に、バックアップを提供するために、双方が選択されてもよい。ボックス622は、フォレンジックコンテキストが、ハイリスクホスト(リスクの高いホスト)に対して保存されるべきか否かをアドミニストレータが選択することを許容するために提供される。これについては以下において更に詳細に説明される。
ユーザーインターフェース600は、各々のセキュリティイベントについてコンテキストデータが保存されるべき時間の長さを設定するオプションを含んでもよい。例えば、ユーザーインターフェース600は、セキュリティイベントの前(608A)及び後(608B)による期間を選択するためのボックス608A及び608Bを提供し、その期間にわたって、セキュリティスレットにより使用されるサービスに関する情報が保存される。同様に、ボックス610A及び610Bは、アプリケーション関連データの保存のための時間期間の前後を選択するためのオプションを提供し、ボックス612A及び612Bは、外部ホスト情報の保存のための時間期間を選択するためのものであり、ボックス614A及び614Bは、エンドポイントプロセス情報の保存のための時間期間を選択するためのものであり、ボックス616A及び616Bは、USL情報の保存のための時間期間を選択するためのものであり、そして、ボックス618A及び618Bは、内部ホスト情報の保存のための時間期間を選択するためのものである。一実施形態において、持続時間は、イベントの180分前から1分前まで、及び、イベントの1分後から180分後までの範囲内の選択肢から選択されてもよい。代替的な実施形態では、何れかのボックスにおける持続時間の前又は後に関して所望の長さの時間を、ITアドミニストレータが入力できてもよい。
ユーザーインターフェース600は、再帰的なコンテキストにアクセスできるようにセキュリティイベントをリンクするか否かを選択するためのボックス620Aを含んでもよい。上述したように、異なるイベントを「再帰的」としてリンクするように選択することは、セキュリティイベントに関するタイムライン(timeline)を構築する能力を提供する。タイムラインを構築することにより、ユーザーは、同じ問題で関連付けられる又は引き起こされる選択されたセキュリティイベントの前及び/又は後で生じた他のセキュリティイベントを検討することができる。これは、ITアドミニストレータが、ネットワークで何が生じたかについての幅広い視点を得ることを許容し、セキュリティ違反のソース及び/又はそれが引き起こした後続イベントを、ITアドミニストレータが特定することが許容する。再帰的コンテキストをイネーブルにするようにボックス620Aにおいて「YES」のオプションが選択される場合、ボックス620Bは、「再帰的」としてリンクされることが可能なイベントの最大数を選択するために使用され、ボックス620Cは、「再帰的」としてイベントを探してリンク付ける最短持続時間を選択するために使用されることが可能である。
図7はセキュリティイベントに関する再帰的なコンテンツ(又は内容)を格納する具体例を与える。図に見受けられるように、自動ダウンロードエクスプロイトに関わるセキュリティイベント706が、3:01pmに特定のホストで検出されている。セキュリティイベント706は自身のフォレンジックコンテキスト716とともにシステムに保存される。再帰的コンテキストがイネーブルにされている場合、システムは、関連付けられるべきと思われるイベントにリンクする各セキュリティイベントの前及び後の選択された時間フレームの間に生じたセキュリティイベントを探す。図7に示される例では、フォレンジックコンテキスト712を有するセキュリティイベント702とフォレンジックコンテキスト714を有するセキュリティイベント704とが、同じホストでセキュリティイベント706に先行する60分間の間に生じており、それらは再帰的イベントとしてリンクされる。同様に、フォレンジックコンテキスト718を有するセキュリティイベント708とフォレンジックコンテキスト720を有するセキュリティイベント710とが、同じホストでセキュリティイベント706以降の60分間の間に生じており、それらもセキュリティイベント706に関して再帰的イベントとしてリンクされる。従って、セキュリティイベント706を見ることを選択したアドミニストレータに、同じスクリーン上でセキュリティイベント702,704,708,710が提示される。代替的に、関連する再帰的イベントを眺めるか否かの選択肢がアドミニストレータに与えられてもよい。
図7は、セキュリティイベントを検討するのに利用可能な保存されるフォレンジックコンテキストのタイプの具体例も与えている。ボックス722は、セキュリティイベント706に関連して保存される幾つかのフォレンジックコンテキストを示し、セキュリティイベント706は、ホスト10.10.100.xで検出されたXYZと名付けられる自動ダウンロードエクスプロイトである。このイベントに関して保存されるフォレンジックコンテキストは、1つの新しいプロセスxyz.dllが検出されたこと、5つのURLアクセスが生じたこと、IRCアプリケーションが検出されたこと、新たなサービスがポート2202で確立されたこと、及び、vbdfdg.xyzへの新たなftpコネクション(接続)が設定されたこと等を示す。この情報を調べることにより、アドミニストレータは、セキュリティイベントが実際にセキュリティスレットであったか否かを判定し、そうである場合には、スレットにより生じた漏洩やダメージの及ぶ範囲を確認することが可能である。
図8はSMC302により提供される例示的なユーザーインターフェース画面(スクリーン)800を示し、このスクリーンは、セキュリティスレット及びそれらに関連するデータにアクセスして管理するために使用されることが可能である。ユーザーインターフェーススクリーン800は、セキュリティ関連情報を閲覧する選択肢(オプション)のリストを提供するビューペイン(閲覧領域)802を含み、セキュリティ関連情報は、例えば、スレットエクスプローラ(Threat Explorer)、マルウェアダウンロード(Malware Downloads)、アクティブボットネット(Active Botnets)、ハイリスクホスト(High-Risk Hosts)、ネットワークフォレンジクス(Network Forensics)、スレットアナライザ(Threat Analyzer)及びイベント報告(Event Reporting)等である。これらのオプション各々の何れかを選択することは、別のスクリーン部分804を提示することになり、スクリーン部分804は、選択されたオプションに特有のセキュリティ関連情報を表示する。例えば、ユーザーインターフェース800に見受けられるように、スレットエクスプローラの選択肢を選択することは、ネットワークにおけるセキュリティスレットを分類及びリスト化するスクリーン部分804を提示することになる。スレットは、トップアタック(Top Attacks)、トップアタッカー(Top Attackers)及びトップターゲット(Top Targets)のカテゴリによりスクリーン部分804の中で分類される。
SMC302(図3)により提供されるユーザーインターフェースは、アドミニストレータが、セキュリティイベント及びそれらに関連するフォレンジックコンテキストを眺めて管理できるように、使用されることが可能である。一実施形態において、アドミニストレータは、スクリーン上で、セキュリティイベントを見ること、削除すること又は自動確認することが可能であってもよい。あるコンフィギュレーションでは、フォレンジックコンテキストは、セキュリティイベントのライフサイクルの一部分として管理される。すなわち、或るアクションが或るセキュリティイベントに関して行われる場合、そのイベントのフォレンジックコンテキストに関して、同じアクションが自動的に行われてもよい。例えば、或るイベントが削除される場合、そのフォレンジックコンテキストも自動的に削除される。ユーザーインターフェースは、NFAP306(図3)に保存されるセキュリティイベントを管理するために、SMC302を介してNFAP306と通信することが可能である。
SMC302により提供されるユーザーインターフェースは、キーワード、ホスト、URL又はその他の基準により、セキュリティイベントを探すために使用されてもよい。URLをサーチすることは、アドミニストレータが、悪いURL又は悪意のプログラムを探し出し、検討し、そこでのイベントを分析することを許容する。ホストのサーチをアドミニストレータに許容することは、そのホストに関連するセキュリティイベントを見るためにそのホストを、アドミニストレータが選択できるようにする。これは、特に、ハイリスクホストに対して有益である。ホストが、悪意のファイルのダウンロード、不適切なウェブサイトへのアクセス、内部のサーバーのスキャニング、ビットトレント(bittorrent)ダウンロード等のような所定の挙動を特定の時間期間の間に示す場合、そのホストは「ハイリスク」としてラベル付けされてもよい。ホストが危険なホストであるか否かを判断するために、内的に生成される又は第三者モジュールにより提供されるアルゴリズムが使用されてもよい。一実施形態において、ハイリスクホストの確認は、NFAP306により実行される。NFAP306は、セキュリティイベント、トラフィックプロファイル、サービス、アプリケーションの評判(reputation)、コネクションの評判などに基づいて、個々のホストの挙動をモニタリングするアルゴリズムを含んでもよい。この情報は、ホストスレット要因(host threat factor: HTF)を導出するためにNFAP306により収集及び分析されてもよい。HTFは、以後、ホストがハイリスクであるか否かを判定するために使用されてもよい。ハイリスクホストを識別する他の如何なる所望の技術が使用されてもよい。ホストがハイリスクとして識別されると、システムは、そのホストで生じるセキュリティイベントについて、拡張されたフォレンジックコンテキストを保存し始める。一実施形態では、図9に示されるように、NFAP306が、内部ハイリスクホストテーブル900の中のホストに関連するフローデータの収集及び格納を開始してもよい。
テーブル900はインターナルホストIDのためのフィールド902を含んでよい。インターナルホストは、ハイリスクホストに関して指定された内的に使用されるIDであってもよい。開始時間フィールド904は、ホストがハイリスクホストとしてラベル付けされるようになった時間を記録するために使用されてもよい。開始時間の始まりにおいて、NFAP306は、ハイリスクホストのフォレンジックコンテキストを収集し、フォレンジックコンテキストテーブル520に保存することを開始する。従って、ホストがハイリスクホストとしてラベル付けされている期間の間、NFAP306はそのホストに関する完全なフォレンジックコンテキストを収集する。ホストの挙動は刻々と変化するので、所定の時間期間の後、ハイリスクホストはノーマル(normal)になるかもしれない。その場合、NFAPは、ホストがノーマルになることをマーク(又は通知)するセキュリティイベントをトリガする。以後、テーブル900の終了時間フィールド906は、ホストがハイリスクホストであることを止める時間を記録するために使用されてもよい。フィールド908は、ホストの臨界的なレベル(判断基準レベル)を記録するために提供されてもよく、セキュリティイベントIDフィールド910は、ホストがハイリスクになる又はホストが再びノーマルになるイベントに関連するセキュリティイベントIDを記録するために使用されてもよい。セキュリティイベント及びハイリスクホストで生じるその関連するフォレンジクスコンテキストを検討することにより、アドミニストレータは、そのホストにおける問題の根本的な原因を判別することが可能になり、従って、その問題に対する対策(ソリューション)を確認することが可能になる。
一実施形態において、ユーザーインターフェースは、ハイリスクホストについて、拡張されたフォレンジックコンテキストを保存するオプションを選択するように提供されてもよい。例えば、アドミニストレータは、ハイリスクホストで生じるセキュリティイベントについて、より長い期間の間フォレンジックコンテキストを保存することを選択できてもよい。代替的に、システムは、ハイリスクホストに関して拡張されたフォレンジックコンテキストを保存するように予め設定されていてもよい。
SMC302により提供されるユーザーインターフェースは、所与のエンドポイントデバイスに関するフォレンジックデータ及びフォレンジックコンテキストを保存することを選択するために使用されてもよい。そのようなオプションが選択される場合、保存されているフォレンジックデータは、図10のユーザーインターフェーススクリーン1000等のようなユーザーインターフェーススクリーンにおいて、閲覧されることが可能である。図に見受けられるように、ユーザーインターフェース1000は、エンドポイントに関するサマリー情報を提供し、サマリー情報は、エンドポイントからのコネクション及びエンドポイントへのサーバーコネクションのサマリーを含む。ユーザーインターフェース1000は、セキュリティイベントのサマリー(最新の50個のイベント)、上位10個のコネクション、並びに、ファイル及びURLアクセスも提供する。ユーザーインターフェースは、自動的に又はマニュアルでフォレンジックコンテキストデータを除去する(又はパージする)選択肢を提供してもよい。
具体例
以下の具体例は更なる実施形態に関連する。具体例1は、命令を含む非一時的なコンピュータ読み取り可能な媒体であって、媒体に保存される命令は、1つ以上のプロセッサが:ネットワークトラフィックのモニタリングを実行するように構成される1つ以上のネットワークデバイスにおいてネットワークにおけるデータフローを監視すること;前記データフローにおける少なくとも1つのセキュリティスレットを識別すること;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジクスコンテキストを取得すること;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジクスコンテキストをメモリに保存すること;を引き起こす。
具体例2は具体例1の対象事項を含み、前記1つ以上のプロセッサが、前記少なくとも1つのセキュリティスレットにアクセスすることに関する前記のフォレンジックコンテキストへのアクセスを提供すること、を引き起こす命令を更に有する。
具体例3は具体例1の対象事項を含み、前記1つ以上のプロセッサが、前記少なくとも1つのセキュリティスレットにセキュリティイベントIDを指定すること、を引き起こす命令を更に有する。
具体例4は具体例3の対象事項を含み、前記少なくとも1つのセキュリティスレットに関連するデータは、前記セキュリティイベントIDのためのフィールドを含むフロー記録テーブルに保存される。
具体例5は具体例4の対象事項を含み、前記フロー記録テーブルは、ヘッダーメタデータのフィールド及びアプリケーションIDのフィールドを更に含む。
具体例6は具体例4の対象事項を含み、前記のフォレンジックコンテキストは、前記セキュリティイベントIDのフィールドを含むフォレンジックコンテキストテーブルに保存される。
具体例7は具体例6の対象事項を含み、前記少なくとも1つのセキュリティスレットに対して割り当てられる前記セキュリティイベントIDは、前記少なくとも1つのセキュリティスレットに関連する前記フォレンジックコンテキストについて使用される。
具体例8は具体例1又は2の対象事項を含み、前記のフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する。
具体例9は具体例1-7のうちの何れかの対象事項を含み、前記1つ以上のプロセッサが、前記セキュリティスレットはセキュリティイベントであるか否かを判定すること、を引き起こす命令を更に有する。
具体例10は具体例1-7のうちの何れかの対象事項を含み、前記セキュリティスレットはセキュリティイベントであると判断された場合に限り、前記セキュリティスレットに関してネットワークフォレンジックコンテキストが取得される。
具体例11は具体例9の対象事項を含み、前記1つ以上のプロセッサが、前記セキュリティイベントは再帰的であるか否かを判定し、再帰的であると判断された場合に、前記セキュリティイベントについて再帰的フォレンジックコンテキストを保存すること、を引き起こす命令を更に有する。
具体例12は、ネットワークトラフィックの分析を実行するように構成されるネットワーク装置であり、本装置は:1つ以上のプロセッサ;ネットワーク通信インターフェース手段;及び、前記1つ以上のプロセッサに通信可能に結合されたメモリ;を有し、前記メモリ手段は命令を保存し、前記命令は、前記1つ以上のプロセッサが:ネットワークのデータフローに関連するネットワークパケットを、1つ以上の通信インターフェースから受信すること;少なくとも1つのセキュリティスレットを識別するために前記データフローを監視すること;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得すること;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストをメモリに保存すること;を引き起こす。
具体例13は具体例12の対象事項を含み、前記データフローを監視することは、ディープパケットインスペクションを含む。
具体例14は具体例12の対象事項を含み、前記のフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する。
具体例15は具体例12の対象事項を含み、前記命令は、1つ以上のプロセッサが、前記少なくとも1つのセキュリティスレットについて保存したフォレンジックコンテキストのタイプをユーザーが決定できるようにすることを、引き起こす。
具体例16は具体例12の対象事項を含み、前記命令は1つ以上のプロセッサがユーザーインターフェースを提供することを引き起こし、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレット及び保存されているフォレンジックコンテキストを見るために使用されることが可能である。
具体例17は具体例16の対象事項を含み、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレットに関連するアクションを行うために使用されることが可能である。
具体例18は具体例17の対象事項を含み、前記少なくとも1つのセキュリティスレットに関して行われる何らかのアクションが、前記セキュリティスレットのフォレンジックコンテキストに関しても行われる。
具体例19は具体例12の対象事項を含み、前記命令は、1つ以上のプロセッサが、前記セキュリティスレットはセキュリティイベントであるか否かを判定し、前記セキュリティスレットはセキュリティイベントであると判断された場合に、前記セキュリティスレットに関するフォレンジックコンテキストを取得するだけであることを、引き起こす。
具体例20は方法であり、本方法は:ネットワークのデータフローに関連するネットワークパケットを、ネットワークトラフィックモニタリングを実行するように構成されるデバイスにおいて、1つ以上の通信インターフェース手段から受信するステップ;少なくとも1つのセキュリティスレットを識別するために前記データフローを監視するステップ;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得するステップ;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストをメモリに保存するステップ;を有する。
具体例21は具体例20の対象事項を含み、前記少なくとも1つのセキュリティスレット及び前記のフォレンジックコンテキストを見るためにユーザーインターフェーススクリーンを提供するステップを更に有する。
具体例22は具体例21の対象事項を含み、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレット及び前記フォレンジックコンテキストの管理を可能にするように構成される。
具体例23は具体例20の対象事項を含み、前記少なくとも1つのセキュリティスレットがセキュリティイベントであるか否かを判定し、前記少なくとも1つのセキュリティスレットに関連するフォレンジックコンテキストを取得し、前記セキュリティスレットがセキュリティイベントであることが確認された場合に限り、前記少なくとも1つのセキュリティスレット及び関連するフォレンジックコンテキストを保存するステップを更に有する。
具体例24は具体例20の対象事項を含み、前記セキュリティスレットがセキュリティイベントであるか否かを判定するステップを更に有する。
具体例25は具体例20の対象事項を含み、前記ネットワークフォレンジックコンテキストは、前記セキュリティスレットがセキュリティイベントであることが確認された場合に限り、前記セキュリティスレットに関して取得される。
具体例26は具体例20の対象事項を含み、セキュリティスレットは、セキュリティスレットの重大性レベルが所定の閾レベルを上回る場合に、セキュリティイベントであると判断される。
具体例27は、ネットワークトラフィックの分析を実行するように構成される装置を含み、本装置は:メモリ手段;ネットワーク通信インターフェース手段;及び、前記メモリ手段に通信可能に結合された処理手段;を有し、前記メモリ手段は命令を保存し、前記命令は:ネットワークのデータフローに関連するネットワークパケットを、前記ネットワーク通信インターフェース手段から受信すること;少なくとも1つのセキュリティスレットを識別するために前記データフローを監視すること;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得すること;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストを前記メモリ手段に保存すること;を行うように前記処理手段を構成する。
具体例28は具体例27の対象事項を含み、前記データフローを監視することは、ディープパケットインスペクションを含む。
具体例29は具体例27の対象事項を含み、前記のフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する。
具体例30は具体例27の対象事項を含み、前記命令は、前記処理手段が、前記少なくとも1つのセキュリティスレットについて保存したフォレンジックコンテキストのタイプをユーザーが決定できるようにすることを、引き起こす。
具体例31は具体例27の対象事項を含み、前記命令は前記処理手段がユーザーインターフェースを提供することを引き起こし、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレット及び保存されているフォレンジックコンテキストを見るために使用されることが可能である。
具体例32は具体例31の対象事項を含み、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレットに関連するアクションを行うために使用されることが可能である。
具体例33は具体例32の対象事項を含み、前記少なくとも1つのセキュリティスレットに関して行われる何らかのアクションが、前記セキュリティスレットのフォレンジックコンテキストに関しても行われる。
具体例34は具体例27の対象事項を含み、前記命令は、前記処理手段が、前記セキュリティスレットはセキュリティイベントであるか否かを判定し、前記セキュリティスレットはセキュリティイベントであると判断された場合に、前記セキュリティスレットに関するフォレンジックコンテキストを取得するだけであることを、引き起こす。
具体例35は装置を含み、本装置は:メモリ;1つ以上の処理ユニット;及び、保存されるコンピュータで実行可能な命令を有する非一時的なコンピュータ読み取り可能な媒体;を有し、前記命令は、前記1つ以上の処理ユニットが:ネットワークのデータフローに関連するネットワークパケットを、1つ以上のネットワーク通信インターフェースから受信すること;少なくとも1つのセキュリティスレットを識別するために前記データフローを監視すること;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得すること;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストを前記メモリに保存すること;を引き起こす。
具体例36は具体例35の対象事項を含み、前記データフローを監視することは、ディープパケットインスペクションを含む。
具体例37は具体例35の対象事項を含み、前記のフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する。
具体例38は具体例35の対象事項を含み、前記命令は、1つ以上の処理ユニットが、前記少なくとも1つのセキュリティスレットについて保存したフォレンジックコンテキストのタイプをユーザーが決定できるようにすることを引き起こす。
具体例39はネットワークトラフィックの分析を実行するシステムを含み、本システムは、メモリ;1つ以上のネットワーク通信インターフェース;及び、メモリに通信可能に結合される1つ以上のプロセッサ;を含み、メモリは命令を保存し、命令は、ネットワークのデータフローに関連するネットワークパケットを、1つ以上のネットワーク通信インターフェースから受信すること;少なくとも1つのセキュリティスレットを識別するために前記データフローを監視すること;前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得すること;及び、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストをメモリ手段に保存すること;を行うように1つ以上のプロセッサを構成する。
具体例40は具体例39の対象事項を含み、前記のフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する。
具体例41は具体例39の対象事項を含み、前記命令は1つ以上のプロセッサがユーザーインターフェースを提供することを引き起こし、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレット及び保存されているフォレンジックコンテキストを見るために使用されることが可能である。
具体例41は上記の具体例の対象事項を含み、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレットに関連するアクションを行うために使用されることが可能であり、及び、前記少なくとも1つのセキュリティスレットに関して行われる何らかのアクションが、前記セキュリティスレットのフォレンジックコンテキストに関しても行われる。
上記の記述では、説明の目的のため、多くの特定の詳細事項が述べられ、開示される実施形態の十分な理解を促している。しかしながら、開示される実施形態はそれらの具体的な詳細によらずに実施されてもよいことは、当業者にとって明らかであろう。また、開示される実施形態を曖昧にしないように、構造及びデバイスはブロック図形式で示される場合がある。下付き文字又は添え字の無い参照番号は、参照番号に対応する下付き文字及び添え字についての全ての例を指すように理解される。更に、本開示で使用される言葉は、読みやすさや教示的な目的で主に選択されており、発明特定事項を表現又は制限するようには選択されておらず、そのような発明特定事項を判断するには特許請求の範囲を参照しなければならない。「一実施形態」又は「一形態」のような明細書中の言い回しは、その実施形態に関連して説明される特定の特徴、構造又は事項が、少なくとも1つの開示される実施形態に含まれることを意味し、及び、「一実施形態」又は「一形態」という複数回の言い回しに関し、全て同じ実施形態を指すとは限らないことが理解されるべきである。
上記の記述は例示的であって限定的ではないように意図されていることは、理解されるべきである。例えば、上記の複数の実施形態は、互いに組み合わせて使用されてもよく、また、説明されたプロセス処理は説明されたものと異なる順序で実行されてもよい。上記の説明を理解した当業者にとって、他の多くの実施形態も明らかであろう。従って、本発明の範囲は、請求項に与えられる全範囲の均等物とともに、添付の特許請求の範囲により決定されるべきである。添付の特許請求の範囲において、「含む(including)」及び「において(in which)」のような用語は、それぞれ「有する(comprising)」及び「において(wherein)」のような関連する用語と同等に使用される。
Claims (27)
- 命令を含む非一時的なコンピュータ読み取り可能な媒体であって、前記媒体に保存される命令は、1つ以上のプロセッサが:
ネットワークトラフィックのモニタリングを実行するように構成される1つ以上のネットワークデバイスにおいてネットワークにおけるデータフローを監視すること;
データフローを表す1つ以上のフローレコードを生成すること;
前記データフローにおける少なくとも1つのセキュリティスレットを識別することであって、前記1つ以上のフローレコードの生成は、前記少なくとも1つのセキュリティスレットの識別前になされる、こと;
前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得することであって、前記ネットワークフォレンジックコンテキストは、前記少なくとも1つのセキュリティスレットに関連付けられ且つ1つ以上の過去に生成されたフローレコードから選択される1つ以上のフローレコードを含む、こと;及び
前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストをメモリに保存すること;
を引き起こす、非一時的なコンピュータ読み取り可能な媒体。 - 前記1つ以上のプロセッサが、前記少なくとも1つのセキュリティスレットにアクセスすることに関する前記ネットワークフォレンジックコンテキストへのアクセスを提供すること、を引き起こす命令を更に有する、請求項1に記載のコンピュータ読み取り可能な媒体。
- 前記1つ以上のプロセッサが、前記少なくとも1つのセキュリティスレットにセキュリティイベントIDを指定すること、を引き起こす命令を更に有する、請求項1に記載のコンピュータ読み取り可能な媒体。
- 前記少なくとも1つのセキュリティスレットに関連するデータは、前記セキュリティイベントIDのためのフィールドを含むフロー記録テーブルに保存されている、請求項3に記載のコンピュータ読み取り可能な媒体。
- 前記フロー記録テーブルは、ヘッダーメタデータのフィールド及びアプリケーションIDのフィールドを含む、請求項4に記載のコンピュータ読み取り可能な媒体。
- 前記ネットワークフォレンジックコンテキストは、前記セキュリティイベントIDのフィールドを含むフォレンジックコンテキストテーブルに保存されている、請求項4に記載のコンピュータ読み取り可能な媒体。
- 前記少なくとも1つのセキュリティスレットに対して指定される前記セキュリティイベントIDは、前記少なくとも1つのセキュリティスレットに関連する前記ネットワークフォレンジックコンテキストについて使用される、請求項6に記載のコンピュータ読み取り可能な媒体。
- 前記ネットワークフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する、請求項1又は2に記載のコンピュータ読み取り可能な媒体。
- 前記1つ以上のプロセッサが、前記セキュリティスレットはセキュリティイベントであるか否かを判定すること、を引き起こす命令を更に有する、請求項1ないし7のうちの何れか一項に記載のコンピュータ読み取り可能な媒体。
- 前記セキュリティスレットはセキュリティイベントであると判断された場合に限り、前記セキュリティスレットに関してネットワークフォレンジックコンテキストが取得される、請求項1ないし7のうちの何れか一項に記載のコンピュータ読み取り可能な媒体。
- 前記1つ以上のプロセッサが、前記セキュリティイベントは再帰的であるか否かを判定し、再帰的であると判断された場合であっても、前記セキュリティイベントについて再帰的なネットワークフォレンジックコンテキストを保存すること、を引き起こす命令を更に有する、請求項9に記載のコンピュータ読み取り可能な媒体。
- ネットワークトラフィックの分析を実行するように構成される装置であって:
メモリ手段;
ネットワーク通信インターフェース手段;及び
前記メモリ手段に通信可能に結合された処理手段;
を有し、前記メモリ手段は命令を保存し、前記命令は:
ネットワークのデータフローに関連するネットワークパケットを、前記ネットワーク通信インターフェース手段から受信すること;
ネットワークのデータフローを表す1つ以上のフローレコードを生成することであって、前記1つ以上のフローレコードの生成は、少なくとも1つのセキュリティスレットの識別前になされる、こと;
少なくとも1つのセキュリティスレットを識別するために前記データフローを監視すること;
前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得することであって、前記ネットワークフォレンジックコンテキストは、前記少なくとも1つのセキュリティスレットに関連付けられ且つ1つ以上の過去に生成されたフローレコードから選択される1つ以上のフローレコードを含む、こと;及び
前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストを前記メモリ手段に保存すること;
を行うように前記処理手段を構成する、装置。 - 前記データフローを監視することは、ディープパケットインスペクションを含む、請求項12に記載の装置。
- 前記ネットワークフォレンジックコンテキストは、1つ以上のフロー記録ファイルに保存された、アプリケーションメタデータ、エンドポイントプロセス、外部ホスト接続、内部ホスト接続、及び、データフロー記録のうちの1つ以上を有する、請求項12に記載の装置。
- 前記命令は、前記処理手段が、前記少なくとも1つのセキュリティスレットについて保存したネットワークフォレンジックコンテキストのタイプをユーザーが決定できるようにすること、を引き起こす、請求項12に記載の装置。
- 前記命令は前記処理手段がユーザーインターフェースを提供することを引き起こし、前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレット及び保存されているネットワークフォレンジックコンテキストを見るために使用されることが可能である、請求項12に記載の装置。
- 前記ユーザーインターフェースは、前記少なくとも1つのセキュリティスレットに関連するアクションを行うために使用されることが可能である、請求項16に記載の装置。
- 前記少なくとも1つのセキュリティスレットに関して行われる何らかのアクションが、前記少なくとも1つのセキュリティスレットの前記ネットワークフォレンジックコンテキストに関しても行われる、請求項17に記載の装置。
- 前記命令は、前記処理手段が、前記セキュリティスレットはセキュリティイベントであるか否かを判定し、前記セキュリティスレットはセキュリティイベントであると判断された場合に、前記セキュリティスレットに関するネットワークフォレンジックコンテキストを取得するだけである、ことを引き起こす、請求項12に記載の装置。
- ネットワークのデータフローに関連するネットワークパケットを、ネットワークトラフィックモニタリングを実行するように構成されるデバイスにおいて、1つ以上の通信インターフェースから受信するステップ;
少なくとも1つのセキュリティスレットを識別するために前記データフローを監視するステップ;
データフローを表す1つ以上のフローレコードを生成するステップであって、前記1つ以上のフローレコードの生成は、前記少なくとも1つのセキュリティスレットの識別前になされる、ステップ;
前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得するステップであって、前記ネットワークフォレンジックコンテキストは、前記少なくとも1つのセキュリティスレットに関連付けられ且つ1つ以上の過去に生成されたフローレコードから選択される1つ以上のフローレコードを含む、ステップ;及び
前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストをメモリに保存するステップ;
を有する方法。 - 前記少なくとも1つのセキュリティスレット及び前記ネットワークフォレンジックコンテキストを見るためにユーザーインターフェーススクリーンを提供するステップを更に有する請求項20に記載の方法。
- 前記ユーザーインターフェーススクリーンは、前記少なくとも1つのセキュリティスレット及び前記ネットワークフォレンジックコンテキストの管理を可能にするように構成されている、請求項21に記載の方法。
- 前記少なくとも1つのセキュリティスレットがセキュリティイベントであるか否かを判定し、前記少なくとも1つのセキュリティスレットに関連するネットワークフォレンジックコンテキストを取得し、前記セキュリティスレットがセキュリティイベントであることが確認された場合に限り、前記少なくとも1つのセキュリティスレット及び関連するネットワークフォレンジックコンテキストを保存するステップを更に有する請求項20に記載の方法。
- 前記セキュリティスレットがセキュリティイベントであるか否かを判定するステップを更に有する請求項20に記載の方法。
- 前記ネットワークフォレンジックコンテキストは、前記セキュリティスレットがセキュリティイベントであることが確認された場合に限り、前記セキュリティスレットに関して取得される、請求項20に記載の方法。
- 請求項20ないし25のうち何れか一項に記載の方法を装置のコンピュータに実行させるコンピュータプログラム。
- 請求項26に記載のコンピュータプログラムを保存する記憶媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/068779 WO2015069243A1 (en) | 2013-11-06 | 2013-11-06 | Context-aware network forensics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016535557A JP2016535557A (ja) | 2016-11-10 |
| JP6246943B2 true JP6246943B2 (ja) | 2017-12-13 |
Family
ID=53008100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016549004A Active JP6246943B2 (ja) | 2013-11-06 | 2013-11-06 | ネットワークフォレンジクスのための記憶媒体、装置及び方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150128267A1 (ja) |
| EP (1) | EP3066608A4 (ja) |
| JP (1) | JP6246943B2 (ja) |
| KR (1) | KR101836016B1 (ja) |
| CN (1) | CN105659245A (ja) |
| WO (1) | WO2015069243A1 (ja) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7937344B2 (en) | 2005-07-25 | 2011-05-03 | Splunk Inc. | Machine data web |
| US10965711B2 (en) | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9967282B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling computing objects for improved threat detection |
| US10462156B2 (en) * | 2014-09-24 | 2019-10-29 | Mcafee, Llc | Determining a reputation of data using a data visa |
| US10127258B2 (en) * | 2014-09-30 | 2018-11-13 | Splunk Inc. | Event time selection output techniques |
| US9910984B2 (en) * | 2015-02-27 | 2018-03-06 | Qualcomm Incorporated | Methods and systems for on-device high-granularity classification of device behaviors using multi-label models |
| US9516052B1 (en) * | 2015-08-01 | 2016-12-06 | Splunk Inc. | Timeline displays of network security investigation events |
| US10254934B2 (en) | 2015-08-01 | 2019-04-09 | Splunk Inc. | Network security investigation workflow logging |
| US9363149B1 (en) | 2015-08-01 | 2016-06-07 | Splunk Inc. | Management console for network security investigations |
| KR101794187B1 (ko) * | 2016-01-19 | 2017-11-06 | 한국인터넷진흥원 | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체 |
| US11100046B2 (en) | 2016-01-25 | 2021-08-24 | International Business Machines Corporation | Intelligent security context aware elastic storage |
| KR101794179B1 (ko) * | 2016-01-26 | 2017-11-06 | 한국인터넷진흥원 | 침해정보 인텔리젼스 분석 시스템을 구성하는 수집정보 분석모듈 |
| US20170214715A1 (en) * | 2016-01-26 | 2017-07-27 | Korea Internet & Security Agency | Violation information intelligence analysis system |
| US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
| US10419494B2 (en) | 2016-09-26 | 2019-09-17 | Splunk Inc. | Managing the collection of forensic data from endpoint devices |
| US10425442B2 (en) * | 2016-09-26 | 2019-09-24 | Splunk Inc. | Correlating forensic data collected from endpoint devices with other non-forensic data |
| CN107968803B (zh) * | 2016-10-20 | 2021-06-15 | 中国电信股份有限公司 | 针对移动终端的远程取证方法、装置、移动终端和系统 |
| EP3639179A1 (en) * | 2017-05-24 | 2020-04-22 | Siemens Aktiengesellschaft | Collection of plc indicators of compromise and forensic data |
| US11122064B2 (en) * | 2018-04-23 | 2021-09-14 | Micro Focus Llc | Unauthorized authentication event detection |
| US10855702B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| CN108932329B (zh) * | 2018-07-04 | 2021-05-25 | 北京奇安信科技有限公司 | 一种数据查询处理方法及装置 |
| US11134057B2 (en) * | 2018-08-27 | 2021-09-28 | The Boeing Company | Systems and methods for context-aware network message filtering |
| US11584020B2 (en) * | 2018-12-04 | 2023-02-21 | Cloudminds Robotics Co., Ltd. | Human augmented cloud-based robotics intelligence framework and associated methods |
| CN111027056A (zh) * | 2019-01-31 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种图形化展示安全威胁事件的方法、装置及存储介质 |
| CN111464528A (zh) * | 2020-03-30 | 2020-07-28 | 绿盟科技集团股份有限公司 | 网络安全防护方法、系统、计算设备和存储介质 |
| US11330074B2 (en) * | 2020-08-12 | 2022-05-10 | Fortinet, Inc. | TCP (transmission control protocol) fast open for classification acceleration of cache misses in a network processor |
| US11785048B2 (en) | 2020-10-30 | 2023-10-10 | Palo Alto Networks, Inc. | Consistent monitoring and analytics for security insights for network and security functions for a security service |
| US11095612B1 (en) * | 2020-10-30 | 2021-08-17 | Palo Alto Networks, Inc. | Flow metadata exchanges between network and security functions for a security service |
| US11418397B1 (en) | 2021-02-01 | 2022-08-16 | Cisco Technology, Inc. | Automated generation of standard network device configurations |
| US11438226B2 (en) | 2021-02-02 | 2022-09-06 | Cisco Technology, Inc. | Identification of network device configuration changes |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20030084349A1 (en) * | 2001-10-12 | 2003-05-01 | Oliver Friedrichs | Early warning system for network attacks |
| US7644365B2 (en) * | 2003-09-12 | 2010-01-05 | Cisco Technology, Inc. | Method and system for displaying network security incidents |
| US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
| US7761919B2 (en) * | 2004-05-20 | 2010-07-20 | Computer Associates Think, Inc. | Intrusion detection with automatic signature generation |
| US7926107B2 (en) * | 2005-11-15 | 2011-04-12 | At&T Intellectual Property Ii, Lp | Internet security news network |
| JP4699893B2 (ja) * | 2005-12-19 | 2011-06-15 | 三菱スペース・ソフトウエア株式会社 | パケット解析システム、パケット解析プログラム、パケット解析方法及びパケット取得装置 |
| WO2007099507A2 (en) * | 2006-03-02 | 2007-09-07 | International Business Machines Corporation | Operating a network monitoring entity |
| US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
| CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
| CA2700866C (en) * | 2007-09-26 | 2016-06-21 | Martin Casado | Network operating system for managing and securing networks |
| CN101902441B (zh) * | 2009-05-31 | 2013-05-15 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| US8032779B2 (en) * | 2009-08-31 | 2011-10-04 | Cisco Technology, Inc. | Adaptively collecting network event forensic data |
| US8731901B2 (en) * | 2009-12-02 | 2014-05-20 | Content Savvy, Inc. | Context aware back-transliteration and translation of names and common phrases using web resources |
| US8806620B2 (en) * | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
| WO2011149773A2 (en) * | 2010-05-25 | 2011-12-01 | Hewlett-Packard Development Company, L.P. | Security threat detection associated with security events and an actor category model |
-
2013
- 2013-11-06 CN CN201380080092.2A patent/CN105659245A/zh active Pending
- 2013-11-06 EP EP13897195.7A patent/EP3066608A4/en not_active Withdrawn
- 2013-11-06 JP JP2016549004A patent/JP6246943B2/ja active Active
- 2013-11-06 KR KR1020167009010A patent/KR101836016B1/ko active IP Right Grant
- 2013-11-06 WO PCT/US2013/068779 patent/WO2015069243A1/en active Application Filing
- 2013-11-06 US US14/126,332 patent/US20150128267A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015069243A1 (en) | 2015-05-14 |
| US20150128267A1 (en) | 2015-05-07 |
| JP2016535557A (ja) | 2016-11-10 |
| EP3066608A4 (en) | 2017-04-12 |
| CN105659245A (zh) | 2016-06-08 |
| EP3066608A1 (en) | 2016-09-14 |
| KR101836016B1 (ko) | 2018-03-07 |
| KR20160051886A (ko) | 2016-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6246943B2 (ja) | ネットワークフォレンジクスのための記憶媒体、装置及び方法 | |
| US10979391B2 (en) | Cyber threat attenuation using multi-source threat data analysis | |
| JP7250703B2 (ja) | 相関関係駆動型脅威の評価と修復 | |
| US10057284B2 (en) | Security threat detection | |
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| US9860265B2 (en) | System and method for identifying exploitable weak points in a network | |
| US10616258B2 (en) | Security information and event management | |
| EP2715975B1 (en) | Network asset information management | |
| US9401932B2 (en) | Device and method for detection of anomalous behavior in a computer network | |
| US7894350B2 (en) | Global network monitoring | |
| Hunt et al. | Network forensics: an analysis of techniques, tools, and trends | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US11100046B2 (en) | Intelligent security context aware elastic storage | |
| WO2006080930A1 (en) | Integrated data traffic monitoring system | |
| US9479523B2 (en) | System and method for automated configuration of intrusion detection systems | |
| WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
| Гарасимчук et al. | Analysis of principles and systems for detecting remote attacks through the internet | |
| TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| Raut et al. | Ensuring Smartphone Security Through Real-Time Log Analysis | |
| Nurdin et al. | Network Forensic on Distributed Denial of Service Attacks using National Institute of Standards and Technology Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170517 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171017 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6246943 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |