JP6683673B2 - 異常検知システム、異常検知方法、および、異常検知プログラム - Google Patents

異常検知システム、異常検知方法、および、異常検知プログラム Download PDF

Info

Publication number
JP6683673B2
JP6683673B2 JP2017237772A JP2017237772A JP6683673B2 JP 6683673 B2 JP6683673 B2 JP 6683673B2 JP 2017237772 A JP2017237772 A JP 2017237772A JP 2017237772 A JP2017237772 A JP 2017237772A JP 6683673 B2 JP6683673 B2 JP 6683673B2
Authority
JP
Japan
Prior art keywords
tunnel
sampling rate
packets
flow
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017237772A
Other languages
English (en)
Other versions
JP2019106621A (ja
Inventor
裕志 鈴木
裕志 鈴木
裕平 林
裕平 林
孟朗 西岡
孟朗 西岡
勝彦 阪井
勝彦 阪井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017237772A priority Critical patent/JP6683673B2/ja
Publication of JP2019106621A publication Critical patent/JP2019106621A/ja
Application granted granted Critical
Publication of JP6683673B2 publication Critical patent/JP6683673B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、異常検知システム、異常検知方法、および、異常検知プログラムに関する。
近年、インターネットの普及に伴い、DDoS(Distributed Denial of Service attack)攻撃等の様々なサイバー攻撃が急増している。このような攻撃に対する検知・対処装置として、DoS対策製品やIPS(Intrusion Prevention System)やWAF(Web Application Firewall)等の検知・対処装置が使用される。
これらの検知・対処装置では、パケット転送においてトンネリングを行っているネットワークに対し、トンネルプロトコルをサポートしていない場合があった。そこで、従来、トンネルプロトコルをサポートしていない検知・対処装置でもパケットを解析できるようにするために、パケットのトンネルプロトコルを検知してプロトコルヘッダ部分を削除し、パケットフォーマットを変換する技術が提案されている(例えば、非特許文献1,2参照)。
Ixia,"Vision ONE",[平成29年10月26日検索],インターネット<URL:https://www.ixiacom.com/ja/products/vision-one> Ixia,"Vision ONE Data Sheet",[平成29年10月26日検索],インターネット<URL:https://www.ixiacom.com/sites/default/files/2017-07/915-6691-01-V-DS-Vision-ONE.pdf>
上記のパケットフォーマットを変換するフォーマット変換装置を、ネットワークのトンネル通信の経路ごとに設置するとコストが高くなる。そこで、本発明は、前記した問題を解決し、複数のトンネルを備えるネットワークにおいて、トンネルパケットを解析ツールが解析可能なフォーマットに変換するためのコストを低減することを課題とする。
前記した課題を解決するため、本発明は、トンネルのパケットを所定のサンプリングレートでサンプリングし、コピーするルータと、コピーされた前記トンネルのパケットのフォーマットをセキュリティ装置で解析可能なフォーマットに変換するフォーマット変換装置と、前記ルータの制御を行うコントローラとを備える異常検知システムであって、前記フォーマット変換装置は、前記ルータから、1以上の前記トンネルのパケットのコピーを受信し、前記受信したパケットのフォーマットの変換を行う変換部を備え、前記コントローラは、前記パケットのフローの異常が検知された場合、前記異常が検知されたフローを収容するトンネルを特定するトンネル特定部と、特定した前記トンネルのパケットのサンプリングレートを、前記所定のサンプリングレートよりも高くするよう、前記トンネルを中継するルータに設定し、前記トンネル以外のトンネルのパケットのコピーの中止を、当該トンネルを中継するルータに設定するサンプリングレート設定部と、を備えることを特徴とする。
本発明によれば、複数のトンネルを備えるネットワークにおいて、トンネルパケットを解析ツールが解析可能なフォーマットに変換するためのコストを低減することができる。
図1は、本実施形態のシステムの構成例と動作概要とを説明する図である。 図2は、図1のフォーマット変換装置の構成例を示す図である。 図3は、図1のフローコレクタの構成例を示す図である。 図4は、図1のコントローラの構成例を示す図である。 図5は、図1のシステムの初期状態の動作例を説明する図である。 図6は、図1のシステムの初期状態の動作例を説明する図である。 図7は、図1のフローコレクタがフローの異常を検知した場合の動作例を説明する図である。 図8は、図1のフローコレクタがフローの異常を検知した場合の動作例を説明する図である。 図9は、図8において、セキュリティ装置が異常を検知しなかった場合の動作例を説明する図である。 図10は、図9のシステムが、各トンネルの監視状態を初期状態に戻す場合の動作例を説明する図である。 図11は、図1のシステムの処理手順を示すフローチャートである。 図12は、図1のシステムの処理手順例を示すシーケンス図である。 図13は、図1のシステムの処理手順例を示すシーケンス図である。 図14は、図1のシステムにおけるサンプリングレートの決定方法を説明するための図である。 図15は、各トンネルのサンプリングレートの決定に用いられるトラフィックデータを説明するための図である。 図16は、サンプリングレートの決定方法と、帯域の取得方法とを説明するための図である。 図17は、サンプリングレートの計算方法を説明するための図である。 図18は、被疑トンネルを1本ずつ順番に検査する場合におけるサンプリングレートの計算方法を説明するための図である。 図19は、異常検知プログラムを実行するコンピュータを示す図である。
[概要]
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。図1を用いて、本実施形態のシステムの構成例と動作概要とを説明する。システム1は、例えば、複数のCPE(Customer-Premises Equipment)と、CPEを収容するユーザエッジと、網(ネットワーク)を終端する網終端装置と、網を集約し、ISP(Internet Services Provider)のネットワーク等に接続する網集約装置とを備える。
ここで、ユーザエッジと網終端装置との間には、例えば、トンネルが設定される。そして、ユーザエッジと網終端装置との間には、トンネルを中継するバックボーンルータ(ルータ)10が設置される。このトンネルを用いて、CPEは他の装置(例えば、サーバ)との間でトンネル通信を行う。また、システムは、フォーマット変換装置20と、SW(スイッチ)30と、セキュリティ装置40と、フローコレクタ50と、コントローラ60とを備える。
フォーマット変換装置20は、バックボーンルータ10でサンプリングされコピーされた、各トンネルのトンネルパケットをセキュリティ装置40で解析可能なフォーマットに変換する。SW30は、フォーマット変換装置20から出力されたパケットのフローのトラフィック情報(例えば、xFlow情報)をフローコレクタ50へ出力する。また、SW30は、フォーマット変換装置20から出力されたパケットのうち、フィルタの対象となっていないパケットをセキュリティ装置40へ出力する。なお、以下の説明において、SW30は、初期の状態では、フィルタリングによりいずれのパケットもセキュリティ装置40へ出力しないものとする。
セキュリティ装置40は、入力されたパケットの解析を行う。例えば、セキュリティ装置40は、SW30経由で入力されたフォーマット変換済みのパケットの解析を行う。ここでの解析は、例えば、入力されたパケットが攻撃パケットである場合、その攻撃の詳細の検知等である。
フローコレクタ50は、入力されたパケットのフローのトラフィック状況の監視を行う。例えば、フローコレクタ50は、入力されたパケットのフローのトラフィック状況を監視した結果、あるフローのトラフィック(帯域)が所定値以上である場合、当該フローに異常が発生していることを検知する。
コントローラ60は、システム1内の各装置の制御を行う。例えば、コントローラ60は、バックボーンルータ10における各トンネルのパケットのサンプリングレートやコピーの設定を行う。また、コントローラ60は、SW30におけるフィルタの設定等を行う。
このようなシステム1は、まず、バックボーンルータ10が中継するトンネルパケットのサンプリングコピーにより各トンネルの常時監視を行う((1))。なお、ここでの各トンネルのサンプリングレートは、例えば、単位時間内にサンプリングされたパケットの合計が、フォーマット変換装置20に設定された帯域を超えないような値とする。その後、フォーマット変換装置20は、(1)でサンプリングコピーされたトンネルパケット(パケット)のフォーマット変換を行い、SW30へ出力する。そして、SW30は、フォーマット変換された全パケットのフローをフローコレクタ50に出力する((2))。例えば、SW30は、全パケットのフローのxFlow情報をフローコレクタ50に出力する。
(2)の後、フローコレクタ50は、各フローの帯域による異常検知を行う((3))。例えば、フローコレクタ50は、(2)でSW30から出力された各トンネルのフローのうち、帯域が所定値以上になっているフローがあった場合、当該フローに異常が発生したと判定する。そして、フローコレクタ50は、異常検知の結果を、コントローラ60へ通知する。
その後、コントローラ60は、(3)でフローコレクタ50から通知されたフローの異常検知の結果に基づき、バックボーンルータ10に対し、異常が発生しているフローのトンネル(被疑トンネル)のパケットのサンプリングレートの変更指示を行う((4))。例えば、コントローラ60は、バックボーンルータ10に対し、被疑トンネルのパケットのサンプリングレートを今までよりも大きくするよう指示する。また、コントローラ60は、バックボーンルータ10に対し、被疑トンネル以外のトンネルのパケットのコピーを中止するよう指示する。
(4)の後、コントローラ60は、SW30へのフィルタ解除指示を行う((5))。これにより、被疑トンネルからサンプリングされ、フォーマット変換されたパケットは、SW30からセキュリティ装置40に転送される。そして、セキュリティ装置40は、受信したパケットの攻撃(検知された異常)の詳細検知を行う((6))。
このようにすることで、システム1は、複数のトンネルを備えるネットワークにおいて、トンネルごとにフォーマット変換装置20を装備する必要がなくなる。よって、複数のトンネルを備えるネットワークにおいて、トンネルパケットをセキュリティ装置40等の解析ツールが解析可能なフォーマットに変換するためのコストを低減することができる。
[構成]
次に、図1のフォーマット変換装置20、フローコレクタ50、および、コントローラ60の構成を詳細に説明する。
フォーマット変換装置20は、例えば、図2に示すように、入出力部21、記憶部22および制御部23を備える。入出力部21は、フォーマット変換対象のパケットの入力や、フォーマット変換後のパケットの出力を司る入出力インタフェースである。
記憶部22は、制御部23が処理を実行する際に必要な各種情報を記憶する。この記憶部22は、トンネルDB(データベース)を記憶する。このトンネルDBは、加入者アドレス(例えば、CPEのアドレス)と当該加入者が利用するトンネルのトンネルアドレス(トンネルの識別情報)とを対応付けた情報である。このトンネルDBは、システム1の管理者等により入力される。なお、このトンネルDBは、フォーマット変換装置20以外の装置に記憶されていてもよい。
制御部23は、フォーマット変換装置20全体の制御を司り、例えば、変換部231を備える。変換部231は、入力されたパケットを、セキュリティ装置40で解析可能なフォーマットに変換する。
フローコレクタ50は、例えば、図3に示すように、入出力部51、記憶部52、および制御部53を備える。入出力部51は、フローのトラフィック情報(例えば、xFlow情報)の入力や、フローの検査結果の出力を司る入出力インタフェースである。
記憶部52は、制御部53が処理を実行する際に必要な各種情報を記憶する。また、記憶部52は、トンネルトラフィックDBと、ユーザトラフィックDBとを記憶する。トンネルトラフィックDBは、トンネルごとのトラフィック状況(例えば、トンネルごとの使用帯域等)を示した情報である。ユーザトラフィックDBは、フローごとのトラフィック状況を示した情報である。なお、記憶部52は、各装置(例えば、フォーマット変換装置20、SW30、セキュリティ装置40)の利用帯域の情報も記憶する。
制御部53は、フローコレクタ50全体の制御を司り、例えば、異常検知部531と、トラフィック情報処理部532とを備える。異常検知部531は、フローやトンネルのトラフィック情報に基づき、当該フローやトンネルの異常検知を行う。例えば、異常検知部531は、SW30から出力されたxFlow情報を参照して、帯域が所定値以上のフローを検知した場合、当該フローに異常が発生していることを検知する。
トラフィック情報処理部532は、各トンネルのトラフィック状況をトンネルトラフィックDBに記録する。例えば、トラフィック情報処理部532は、バックボーンルータ10から取得した各トンネルのトラフィック状況(トラフィック情報)をトンネルトラフィックDBに記録する。また、トラフィック情報処理部532は、各トンネルを流れるフローのトラフィック状況をユーザトラフィックDBに記録する。例えば、トラフィック情報処理部532は、SW30から出力されたフローのxFlow情報に示される帯域情報、プロトコル情報等をユーザトラフィックDBに記録する。
コントローラ60は、例えば、図4に示すように、入出力部61、記憶部62および制御部63を備える。入出力部61は、フローコレクタ50による異常検知の結果の入力や、バックボーンルータ10へのサンプリングレートの設定の出力等を司る。記憶部62は、制御部53が処理を実行する際に必要な各種情報を記憶する。制御部63は、コントローラ60全体の制御を司り、例えば、トンネル特定部630、サンプリングレート算出部631、サンプリングレート設定部632、フィルタ設定部633を備える。
トンネル特定部630は、サンプリングレート設定部632によるサンプリングレートの変更の対象となるトンネル(被疑トンネル)を特定する。例えば、トンネル特定部630は、フローコレクタ50から、フローの異常を検知した旨の検知通知を受信した場合、異常が検知されたフローと同じ通信元または通信先を持つフローを収容するトンネルを特定する。一例を挙げると、トンネル特定部630は、フローコレクタ50から、攻撃者と思われるサーバと通信を行っているフローを検知した旨の検知結果を受信した場合、フォーマット変換装置20に記憶されるトンネルDBにアクセスし、当該サーバとの通信に用いられているトンネル(被疑トンネル)を特定する。
サンプリングレート算出部631は、各トンネルのサンプリングレートを算出する。例えば、サンプリングレート算出部631は、全トンネルのトラフィック量に基づき、全トンネルのサンプリングレート(初期状態のサンプリングレート)を算出する。また、サンプリングレート算出部631は、トンネル特定部630により、被疑トンネルが特定された場合、当該被疑トンネルのパケットのサンプリングレートを、初期状態のサンプリングレートよりも高くするよう設定する。
なお、サンプリングレート算出部631による各トンネルのサンプリングレートの算出の詳細は後記する。
サンプリングレート設定部632は、バックボーンルータ10に対し、各トンネルのサンプリングレートの設定を行う。例えば、サンプリングレート設定部632は、バックボーンルータ10に対し、サンプリングレート算出部631により算出された各トンネルのサンプリングレートを設定する。また、トンネル特定部630により被疑トンネルが特定された場合、サンプリングレート設定部632は、バックボーンルータ10に対し、被疑トンネル以外のトンネルのパケットのコピーの中止を指示する(コピーの設定解除を行う)。
また、サンプリングレート設定部632は、バックボーンルータ10に対し、被疑トンネルのパケットのサンプリングレートを高く設定したが、セキュリティ装置40において、当該被疑トンネルのパケットのフローの異常が検知されなかった場合、セキュリティ装置40において当該被疑トンネルをさらに詳細に検査させるようにする。例えば、サンプリングレート設定部632は、セキュリティ装置4において当該被疑トンネルを1本ずつさらに詳細に検査させるようにする。
例えば、被疑トンネルがトンネルA,Bである場合を考える。この場合、サンプリングレート設定部632は、まず、トンネルA,Bを収容するバックボーンルータ10に対し、トンネルAにパケットのコピーを設定し、トンネルBについてはパケットのコピーの中止を設定する。その後、サンプリングレート設定部632は、バックボーンルータ10に対し、トンネルBにパケットのコピーを設定し、トンネルAについてはパケットのコピーの中止を設定する。これにより、セキュリティ装置40においてトンネルA→トンネルBの順に1本ずつトンネルのパケットの検査が行われることになる。
フィルタ設定部633は、SW30に対するフィルタの設定を行う。例えば、フィルタ設定部633は、初期状態(例えば、全トンネルのパケットのサンプリングが行われている状態)では、SW30に全パケットを遮断するようフィルタを設定する。また、被疑トンネルのパケットのサンプリングの開始後は、フィルタ設定部633は、例えば、SW30に被疑サーバ等との通信トラフィックのみを通すようフィルタを設定する。また、被疑トンネルのパケットのサンプリングの開始後、フィルタ設定部633は、SW30にフィルタをすべて解除するよう設定してもよい。
[初期状態]
次に、システム1の動作例を説明する。まず、図5、図6を用いて、システム1の初期状態の動作例を説明する。
図5に示すように、システム1は、全トンネルのトラフィックをフローコレクタ50で監視する((1))。つまり、フローコレクタ50は、バックボーンルータ10から全トンネルのトラフィック情報を取得し、このトラフィック情報により全トンネルのトラフィックを監視する。
その後、コントローラ60(図5、図6において図示省略)は、フローコレクタ50による全トンネルのトラフィックの監視結果に基づき、各トンネルのサンプリングレートを決定する。
例えば、コントローラ60のサンプリングレート算出部631は、全トンネルのトラフィック量に基づき、全トンネルからサンプリングされた時間あたりのパケットの合計が、フォーマット変換装置20に設定された帯域を超えないような値となるよう、各トンネルのサンプリングレート(例えば、サンプリングレートx)を決定する。そして、サンプリングレート設定部632は、バックボーンルータ10に対し、サンプリングレートxで各トンネルのパケットをサンプリングし、コピーするよう設定する。
これにより、バックボーンルータ10は、サンプリングレートxで各トンネルのパケットをサンプリングし、コピーし((2))、フォーマット変換装置20へ出力する。フォーマット変換装置20は、フォーマット変換後の各トンネルのパケットをSW30へ出力する。
図6の説明に移る。図5の(2)の後、SW30は、フォーマット変換装置20から出力されたパケット(つまり、各トンネルからサンプリングされたパケット)のxFlow情報をフローコレクタ50へ送信する(図6の(3))。フローコレクタ50は、(3)でSW30から送信されたxFlow情報により、各トンネルのパケットのフローを監視する((4))。
[フローコレクタがフローの異常を検知した場合]
次に、図7、図8を用いて、図6において、システム1のフローコレクタ50がフローの異常を検知した場合の動作例を説明する。
例えば、図6の(4)の後、フローコレクタ50が攻撃者(IP:A)との通信を検知すると(図7の(5))、コントローラ60のトンネル特定部630は、フォーマット変換装置20のトンネルDBへアクセスし、攻撃者(IP:A)と通信を行っているトンネル(被疑トンネル)を特定する((6))。そして、コントローラ60は、被疑トンネルに対して、サンプリングレートをy(y>x)に変更し、他のトンネルに対しては、コピー設定を解除する((7))。これにより、サンプリングレートyでサンプリングされたパケットは、フォーマット変換装置20により変換され、SW30に出力される。
図8の説明に移る。図7の(7)の後、コントローラ60は、SW30に対し、特定のトラフィック(攻撃者と通信しているトラフィック)のみ通すようにフィルタの設定を行う(図8の(8))。これにより、被疑トンネルからサンプリングされたパケットは、セキュリティ装置40に到達する。そして、セキュリティ装置40は、被疑トンネルからサンプリングされたパケットの詳細検知を実施し((9))、検知情報をコントローラ60へ送信する((10))。これにより、コントローラ60は、被疑トンネルを流れるパケットの詳細な検知結果を得ることができる。
[被疑トンネルを1本ずつ検査する場合]
次に、図9、図10を用いて、図8において、セキュリティ装置40が異常を検知しなかった場合の動作例を説明する。
例えば、図8の(9)において、セキュリティ装置40が被疑トンネルのパケットの詳細検知を実施したが、異常を検知できなかった場合、コントローラ60は、被疑トンネル(図7の(6)で特定した被疑トンネル)の中から1つずつ検査を行うために、特定のトンネルトラフィックのみサンプリングレートzでコピー設定を行う(図9の(11))。例えば、コントローラ60は、被疑トンネルの中から選択した特定のトンネルに対し、サンプリングレートz(z>y)でのパケットのコピー設定を行い、その他のトンネルのパケットのコピー設定を解除する。
(11)の後、特定のトンネルからコピーされたパケットはフォーマット変換装置20によりフォーマット変換され、SW30経由でセキュリティ装置40に到達する。そして、セキュリティ装置40は、パケットの詳細検知を実施し((12))、検知情報をコントローラ60へ送信する((13))。コントローラ60は、(11)の特定のトンネルのコピー設定と、他のトンネルのコピー設定の解除とを、他の被疑トンネルに対しても実行する。これにより、セキュリティ装置40において、被疑トンネルを1本ずつ、より詳細に検査することができる。
(13)の後、システム1は、各トンネルの監視状態を初期状態に戻す。例えば、コントローラ60は、図10に示すように、バックボーンルータ10の全トンネルに対し、初期状態であるサンプリングレートxを再設定する(図10の(14))。また、コントローラ60は、SW30のフィルタの再設定を実施する((15))。
[処理手順]
次に、図11を用いて、システム1の処理手順を説明する。まず、システム1は、各トンネルの常時監視を行う(図11の(1))。ここでの監視トンネルは全トンネルである。
例えば、システム1のフローコレクタ50のトラフィック情報処理部532は、バックボーンルータ10から全トンネルのトラフィック情報を取得する(S1)。そして、コントローラ60は、S1で取得された各トンネルのトラフィック情報を参照して、全トンネルのサンプリングレートの計算・決定を行い(S2)、バックボーンルータ10に対し、各トンネルに、S2で決定したサンプリングレートxを設定する(S3)。
S3の後、SW30は、各トンネルからサンプリングされ、フォーマット変換装置20によりフォーマット変換されたパケットを受信すると、フローコレクタ50へ、受信したパケットのフローのxFlow情報を通知する。そして、フローコレクタ50は、通知されたxFlow情報による異常検知を行う(S4)。例えば、フローコレクタ50は、xFlow情報を参照して、帯域が所定値以上のフローがあった場合、そのフローの異常を検知する。
S4の後、システム1は、フローコレクタ50において異常が検知されたフローを収容するトンネル(被疑トンネル)のパケットの詳細検知を行う((2))。つまり、システム1は、被疑トンネルに対する詳細な検知を行う。
すなわち、S4の後、まず、コントローラ60のトンネル特定部630は、パケットのサンプリングを行うトンネルの決定(被疑トンネル)を行う(S5)。例えば、コントローラ60のトンネル特定部630は、S4において異常が検知されたフローを収容するトンネルや、当該フローの通信先のサーバと同じサーバとトンネル通信を行うトンネルを被疑トンネルとして決定(特定)する。ここでの、被疑トンネルの決定には、例えば、フォーマット変換装置20のトンネルDBの情報が参照される。
S5の後、コントローラ60は、S5で決定した被疑トンネルのサンプリングレートの計算・決定を行う(S6)。そして、コントローラ60は、バックボーンルータ10に対し、S6で決定した、被疑トンネルのサンプリングレートy(例えば、上記のサンプリングレートxより大きいサンプリングレート)を設定する(S7)。また、サンプリングレート設定部632は、被疑トンネル以外のトンネルのコピー設定を解除する。
S7の後、サンプリングレートyでサンプリングされた被疑トンネルのパケットが、フォーマット変換装置20、SW30経由でセキュリティ装置40に到達すると、セキュリティ装置40は、当該パケットの詳細な検査を実施する。そして、セキュリティ装置40において当該パケットの詳細な検査の結果、攻撃(異常)を検知した場合(S8でYes)、攻撃に対する何らかの対処が行われた後、システム1は、各トンネルの監視状態を初期状態に戻す(S15)。
一方、セキュリティ装置40における被疑トンネルのパケットの詳細な検査の結果、いずれの被疑トンネルのパケットについても攻撃(異常)を検知しなかった場合(S7でNo)、システム1は被疑トンネルを順番に検査する((3))。つまり、システム1は、被疑トンネルを1本ずつ順番にさらに詳細に検査する。
例えば、セキュリティ装置40が、いずれの被疑トンネルのパケットについても攻撃(異常)を検知しなかった場合(S8でNo)、コントローラ60は、被疑トンネルの検査順を決定する(S9)。例えば、被疑トンネルがトンネルA,Bであった場合、コントローラ60は、トンネルA→トンネルBの順で検査することを決定する。
ここで、S9で決定された検査対象のトンネルの帯域が、各装置(例えば、フォーマット変換装置20、セキュリティ装置40)の帯域以上であれば(S10でYes)、コントローラ60はサンプリングレートの再計算を行う。つまり、コントローラ60は、検査対象のトンネルのサンプリングレートの計算・決定を行う(S11)。そして、コントローラ60は、バックボーンルータ10に対し、検査対象のトンネルのサンプリングレートとして、S11で決定したサンプリングレートzを設定する(S12)。
一方、S9で決定された検査対象のトンネルの帯域が、各装置(例えば、フォーマット変換装置20、SW30、セキュリティ装置40)の帯域未満であれば(S10でNo)、コントローラ60は、バックボーンルータ10に対し、検査対象のトンネルのサンプリングレートを1/1に設定する(S13)。例えば、コントローラ60は、検査対象のトンネルの帯域が、フォーマット変換装置20、SW30およびセキュリティ装置40のいずれの帯域よりも小さければ、当該検査対象のトンネルに対し、すべてのパケットをコピーし、フォーマット変換装置20へ出力するよう設定する。
コントローラ60は、上記のS10〜S13の処理を、被疑トンネルすべてに対し実行する。そして、コントローラ60は、被疑トンネルすべてについて検査完了を確認すると(S14でYes)、全トンネルの監視状態を初期状態に戻す(S15)。例えば、コントローラ60は、バックボーンルータ10の全トンネルを低サンプリングレート(サンプリングレートx)に戻し、SW30のフィルタの再設定を行う。なお、コントローラ60は、いずれかの被疑トンネルの検査がまだ完了していなければ(S14でNo)、S14の処理に戻る。
[動作シーケンス]
次に、システム1の処理手順の詳細を、図12、図13に示すシーケンス図を用いて説明する。まず、図12を用いて、システム1の常時監視フェーズ(初期の状態)について説明する。
例えば、システム1は、図12に示すように、バックボーンルータ10は、自身の収容するトンネルのトラフィック情報をフローコレクタ50へ送信する(S101)。その後、フローコレクタ50は、受信したトンネルのトラフィック情報をコントローラ60へ通知する(S102)。コントローラ60は、S102で通知されたトンネルのトラフィック情報に基づき、当該トンネルのサンプリングレートを決定する(S103)。そして、コントローラ60は、当該トンネルを収容するバックボーンルータ10に対し、S103で決定した当該トンネルのサンプリングレートxを設定する(S104)。
バックボーンルータ10は、S104で設定されたサンプリングレートxでトンネルのパケットのサンプリング(サンプリングコピー)を行い、サンプリングしたパケットをフォーマット変換装置20へ送信する(S105)。フォーマット変換装置20は、S105で送信されたパケットのフォーマットを変換し、フォーマット変換後のパケットをSW30へ出力する(S106)。その後、SW30は、S106で出力されたパケットのフローのxFlow情報をフローコレクタ50へ出力する(S107)。
次に、システム1の詳細検知フェーズについて説明する。フローコレクタ50は、S107で出力されたxFlow情報に基づき、フローの異常を検知すると、異常を検知したフローにおける被疑サーバと通信しているCPEのアドレス情報をコントローラ60へ通知する(S111)。
S111の後、コントローラ60は、フォーマット変換装置20のトンネルDBを参照して、S111で通知されたCPEのアドレス情報に対応するトンネルアドレスを特定する(S112)。そして、コントローラ60は、S112で特定したトンネルアドレスのトンネルを、パケットのサンプリングを行うトンネル(被疑トンネル)とする(S113:サンプリングを行うトンネルの決定)。
S113の後、コントローラ60は、フローコレクタ50に対し、各装置(例えば、フォーマット変換装置20、SW30、セキュリティ装置40)の利用帯域を問い合わせ(S114)、フローコレクタ50から各装置の利用帯域を取得する(S115)。そして、コントローラ60は、S115で取得した各装置の利用帯域の値を参照して、各トンネル(被疑トンネル)のサンプリングレートを決定する(S116)。
例えば、S116において、コントローラ60は、各トンネルのサンプリングレートが、フォーマット変換装置20、SW30およびセキュリティ装置40のいずれの帯域未満となるよう、各トンネルのサンプリングレートyを決定する。なお、ここで決定されるサンプリングレートyは、常時監視フェーズにおいて全トンネルに設定されていたサンプリングレートxよりも高いものとする。
図13の説明に移る。コントローラ60は、被疑トンネルを収容するバックボーンルータ10に対し、S116で決定した被疑トンネルのサンプリングレートyへ変更する(S120)。また、コントローラ60は、SW30に対し、特定のトラフィック(被疑サーバと通信しているトラフィック)のみ通すようにフィルタを設定する(S121)。その後、バックボーンルータ10は、S121で変更されたサンプリングレート(常時監視フェーズよりも高いサンプリングレート)でパケットのサンプリングを行い、サンプリングしたパケットをフォーマット変換装置20へ送信する(S122)。そして、フォーマット変換装置20によるフォーマット変換後のパケットはSW30経由でセキュリティ装置40に到達する(S123)。その後、セキュリティ装置40は、受信したパケットの詳細な検知を行い(S124)、検知情報をコントローラ60へ送信する(S125)。
このようにすることで、システム1は、まず全トンネルの監視を行った後、異常が発生している可能性のあるトンネル(被疑トンネル)について、セキュリティ装置40に詳細な検知(検査)を行わせることができる。
ここで、上記の詳細検知フェーズにおいて、セキュリティ装置40がいずれの被疑トンネルについても異常を検知しなかった場合、システム1は、被疑トンネルを順番に検査するフェーズ(さらに詳細な検知を行うフェーズ)を実行する。
例えば、コントローラ60は、S125で受信した検知情報がいずれの被疑トンネルについても異常を検知しなかった旨の情報であった場合、被疑トンネルに対しさらに詳細な検査を行うための検査順を決定する。そして、コントローラ60は、最初に検査するトンネルから順に以下の処理を実行する。すなわち、コントローラ60は、検査対象のトンネルを収容するバックボーンルータ10に対し、当該トンネルのサンプリングレートz(S121で設定したサンプリングレートyよりもさらに高いサンプリングレート)に変更する(S126)。例えば、サンプリングレートを1/1に設定する。また、コントローラ60は、SW30に対し、特定のトラフィック(被疑サーバと通信しているトラフィック)のみ通すようにフィルタを設定する(S127)。
S127の後、バックボーンルータ10は、S126で変更されたサンプリングレートzでパケットのサンプリングを行い、サンプリングしたパケットをフォーマット変換装置20へ送信する(S128)。S129〜S131の処理は、S123〜S125の処理と同様なので説明を省略する。S131の後、コントローラ60は、次の被疑トンネルについて、S126〜S131の処理を実行する。コントローラ60は、このような処理をすべての被疑トンネルについて実行する。
このようにすることで、システム1は、被疑トンネルについて、詳細検知フェーズで異常が検知されなかった場合、被疑トンネル1本1本について、さらに詳細な検知(検査)を行うことができる。
システム1は、詳細検知フェーズ、または、順番に検査するフェーズが終了すると、初期状態(常時監視フェーズ)への再設定フェーズを実行する。すなわち、コントローラ60は、バックボーンルータ10に対し、全トンネルにサンプリングレートをサンプリングレートxに再設定し(S132)、SW30にフィルタの再設定を行う(S133)。このようにすることで、システム1は、被疑トンネルの検査終了後、再度、全トンネルの常時監視状態に戻すことができる。
[サンプリングレートの決定の詳細]
次に、コントローラ60のサンプリングレート算出部631におけるサンプリングレートの決定について詳細に説明する。
コントローラ60のサンプリングレート算出部631は、図14に示すように、フォーマット変換装置20、SW30およびセキュリティ装置40の帯域を溢れさせないように各バックボーンルータ10のトンネルのサンプリングレートを決定する。例えば、サンプリングレート算出部631は、フォーマット変換装置20、SW30およびセキュリティ装置40それぞれの帯域のうち、最少の帯域未満で、最大のサンプリングレートを決定する。つまり、サンプリングレート算出部631は、フォーマット変換装置20、SW30およびセキュリティ装置40の帯域のボトルネックを考慮しつつ、各トンネルのサンプリングレートを最大限上げるようにする。
ここで、サンプリングレートの決定にあたり、事前に各トンネルのトラフィック(帯域)を学習しておく必要がある。そこで、例えば、フローコレクタ50は、図15に示すように、全トンネルのトラフィックを監視し、過去のトラフィックデータを蓄積する。例えば、フローコレクタ50は、トンネル(1)〜トンネル(4)の帯域を時間ごとに監視し、蓄積する。また、フローコレクタ50は、時間ごとの各トンネルの合計トラフィックについても蓄積しておく。そして、コントローラ60のサンプリングレート算出部631は、フローコレクタ50に蓄積された、時間ごとの各トンネルのトラフィック、時間ごとの各トンネルの合計トラフィック等を用いて、各トンネルのサンプリングレートを決定する。
ここで、サンプリングレート算出部631によるサンプリングレートの決定方法には、例えば、2つの方法がある。例えば、図16の方法(1)に示すように、各トンネルのサンプリングレートを同一(例えば、サンプリングレートx)にする方法と、方法(2)に示すように、各トンネルのコピー後(サンプリング後)のトラフィックを同一にするようなサンプリングレート(サンプリングレートx、サンプリングレートy)にする方法とがある。方法(2)の場合、サンプリングレート算出部631は、トラフィックの多いトンネルについてはサンプリングレートを低く決定し、トラフィックの少ないトンネルについてはサンプリングレートを高く決定する。
また、各トンネルの帯域(トラフィック)の取得方法は、例えば、2つの方法がある。例えば、図16の帯域取得方法(1)に示すように、各トンネル(トンネル(1)〜トンネル(N))のトラフィックの最大値を利用する方法と、帯域取得方法(2)に示すように各トンネルの合計トラフィックの最大値を利用する方法とがある。
ここでサンプリングレートの決定方法と、帯域取得方法との組み合わせごとに、各トンネルのサンプリングレートrの算出方法をまとめると、図17に示すようになる。
すなわち、図17に示すように、帯域取得方法(1)(各トンネルのトラフィックの最大値を利用する方法)で、サンプリングレートの決定方法(1)(各トンネルのサンプリングレートを同一にする方法)を用いた場合、サンプリングレート算出部631は、フォーマット変換装置20、SW30およびセキュリティ装置40(各装置)の帯域を溢れさせないようにするため、全トンネルのサンプリングレートrを、式(1)により計算する。
また、帯域取得方法(1)(各トンネルのトラフィックの最大値を利用する方法)で、サンプリングレートの決定方法(2)(各トンネルのコピー後のトラフィックを同一にする方法)を用いた場合、サンプリングレート算出部631は、各装置の帯域を溢れさせないようにするため、トンネルiのサンプリングレートrを、式(2)により計算する。なお、式(2)におけるT/Nは、トンネル1本当たりの帯域を示す。
さらに、帯域取得方法(2)(各トンネルの合計トラフィックの最大値を利用する方法)で、サンプリングレートの決定方法(1)(各トンネルのサンプリングレートを同一にする方法)を用いた場合、サンプリングレート算出部631は、各装置の帯域を溢れさせないようにするため、全トンネルのサンプリングレートrを、式(3)により計算する。
なお、帯域取得方法(2)(各トンネルの合計トラフィックの最大値を利用する方法)で、サンプリングレートの決定方法(2)(各トンネルのコピー後のトラフィックを同一にする方法)を用いる場合については、該当する方法はない。
なお、システム1が被疑トンネルを1本ずつ順番に検査する場合、サンプリングレート算出部631は、図18に示す方法で、検査対象のトンネルのサンプリングレートを決定する。すなわち、各装置の最低帯域(フォーマット変換装置20、SW30およびセキュリティ装置40の帯域のうち、最低の帯域)が、検査対象のトンネルの帯域以下の場合、サンプリングレート算出部631は、フォーマット変換装置20、SW30およびセキュリティ装置40の帯域を溢れさせないようにするため、検査対象のトンネルiのサンプリングレートrを、式(4)により決定する。
一方、各装置の最低帯域が、検査対象のトンネルの帯域よりも大きい場合、単一トンネルの全てのトラフィックをサンプリングしても、いずれの装置の帯域も溢れさせないので、サンプリングレート算出部631は、サンプリングレートを1/1に決定する。
このようにすることで、コントローラ60は、フォーマット変換装置20、SW30およびセキュリティ装置40の帯域を溢れさせないように、各バックボーンルータ10のトンネルのサンプリングレートを設定することができる。
[プログラム]
また、上記の各実施形態で述べたコントローラ60の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置をコントローラ60として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、コントローラ60の機能を、クラウドサーバに実装してもよい。
図19を用いて、上記のプログラム(異常検知プログラム)を実行するコンピュータの一例を説明する。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図19に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記の実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU(Central Processing Unit)1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 システム
10 バックボーンルータ
20 フォーマット変換装置
30 SW
40 セキュリティ装置
50 フローコレクタ
60 コントローラ
231 変換部
531 異常検知部
532 トラフィック情報処理部
630 トンネル特定部
631 サンプリングレート算出部
632 サンプリングレート設定部
633 フィルタ設定部

Claims (6)

  1. トンネルのパケットを所定のサンプリングレートでサンプリングし、コピーするルータと、コピーされた前記トンネルのパケットのフォーマットをセキュリティ装置で解析可能なフォーマットに変換するフォーマット変換装置と、前記ルータの制御を行うコントローラとを備える異常検知システムであって、
    前記フォーマット変換装置は、
    前記ルータから、1以上の前記トンネルのパケットのコピーを受信し、前記受信したパケットのフォーマットの変換を行う変換部を備え、
    前記コントローラは、
    前記パケットのフローの異常が検知された場合、前記異常が検知されたフローを収容するトンネルを特定するトンネル特定部と、
    特定した前記トンネルのパケットのサンプリングレートを、前記所定のサンプリングレートよりも高くするよう、前記トンネルを中継するルータに設定し、前記トンネル以外のトンネルのパケットのコピーの中止を、当該トンネルを中継するルータに設定するサンプリングレート設定部と、
    を備えることを特徴とする異常検知システム。
  2. 前記トンネル特定部は、
    前記パケットのフローの異常が検知された場合、前記異常が検知されたフローと同じ通信元または通信先を持つフローを収容するトンネルを特定する
    ことを特徴とする請求項1に記載の異常検知システム。
  3. 前記サンプリングレート設定部は、
    特定した前記トンネルのパケットのサンプリングレートを設定する際、前記所定のサンプリングレートよりも高く、かつ、前記サンプリングされるパケットのトラフィック量の合計が、前記フォーマット変換装置および前記セキュリティ装置のいずれの帯域よりも低くなるようサンプリングレートを設定する
    ことを特徴とする請求項1に記載の異常検知システム。
  4. 前記サンプリングレート設定部は、
    特定した前記トンネルのパケットのサンプリングレートを設定する際、前記所定のサンプリングレートよりも高く、かつ、過去所定期間における、特定した前記トンネルのトラフィック量の最大値の合計、または、特定した前記トンネルのトラフィック量の合計の最大値が、前記フォーマット変換装置および前記セキュリティ装置のいずれの帯域よりも低くなるようサンプリングレート設定する
    ことを特徴とする請求項1に記載の異常検知システム。
  5. トンネルのパケットを所定のサンプリングレートでサンプリングし、コピーするルータと、前記コピーされたトンネルのパケットのフォーマットをセキュリティ装置で解析可能なフォーマットに変換するフォーマット変換装置と、前記ルータの制御を行うコントローラとを備える異常検知システムにおける異常検知方法であって、
    前記フォーマット変換装置が、
    前記ルータから、1以上の前記トンネルのパケットのコピーを受信し、前記受信したパケットのフォーマットの変換を行うステップと、
    前記コントローラが、
    前記パケットのフローの異常が検知された場合、前記異常が検知されたフローを収容するトンネルを特定するステップと、
    特定した前記トンネルのパケットのサンプリングレートを、前記所定のサンプリングレートよりも高くするよう、前記トンネルを中継するルータに設定し、前記異常が検知されなかったフローを中継するトンネルのパケットのコピーの中止を、前記トンネルを中継するルータに設定するステップと、
    を含んだことを特徴とする異常検知方法。
  6. トンネルのパケットを所定のサンプリングレートでサンプリングし、コピーするルータと、前記コピーされたトンネルのパケットのフォーマットをセキュリティ装置で解析可能なフォーマットに変換するフォーマット変換装置と、前記ルータの制御を行うコンピュータとを備える異常検知システムにおける異常検知プログラムであって、
    前記コンピュータに、
    前記パケットのフローの異常が検知された場合、前記異常が検知されたフローを収容するトンネルを特定するステップと、
    特定した前記トンネルのパケットのサンプリングレートを、前記所定のサンプリングレートよりも高くするよう、前記トンネルを中継するルータに設定し、前記異常が検知されなかったフローを中継するトンネルのパケットのコピーの中止を、前記トンネルを中継するルータに設定するステップと、
    を実行させることを特徴とする異常検知プログラム。
JP2017237772A 2017-12-12 2017-12-12 異常検知システム、異常検知方法、および、異常検知プログラム Active JP6683673B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017237772A JP6683673B2 (ja) 2017-12-12 2017-12-12 異常検知システム、異常検知方法、および、異常検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017237772A JP6683673B2 (ja) 2017-12-12 2017-12-12 異常検知システム、異常検知方法、および、異常検知プログラム

Publications (2)

Publication Number Publication Date
JP2019106621A JP2019106621A (ja) 2019-06-27
JP6683673B2 true JP6683673B2 (ja) 2020-04-22

Family

ID=67062087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017237772A Active JP6683673B2 (ja) 2017-12-12 2017-12-12 異常検知システム、異常検知方法、および、異常検知プログラム

Country Status (1)

Country Link
JP (1) JP6683673B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021149245A1 (ja) * 2020-01-24 2021-07-29 日本電信電話株式会社 変換装置、変換方法及び変換プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006191433A (ja) * 2005-01-07 2006-07-20 Nippon Telegr & Teleph Corp <Ntt> 踏み台パケット・進入中継装置特定装置
JP2007142841A (ja) * 2005-11-18 2007-06-07 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
JP2009130664A (ja) * 2007-11-26 2009-06-11 Yokogawa Electric Corp 不正侵入検出システムおよび不正侵入検出方法
JP2010088031A (ja) * 2008-10-02 2010-04-15 Nec Corp アンダーレイネットワーク障害検知方法及びネットワークシステム
EP3145130B1 (en) * 2014-06-18 2019-02-27 Nippon Telegraph and Telephone Corporation Network system, communication control method, and communication control program
JP6290849B2 (ja) * 2015-11-27 2018-03-07 日本電信電話株式会社 トラフィック解析システムおよびトラフィック解析方法

Also Published As

Publication number Publication date
JP2019106621A (ja) 2019-06-27

Similar Documents

Publication Publication Date Title
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
EP1682990B1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US7752307B2 (en) Technique of analyzing an information system state
JP6691268B2 (ja) 監視装置、監視方法および監視プログラム
WO2021061250A1 (en) Detection and mitigation ddos attacks performed over quic communication protocol
US11558410B2 (en) Measurement and analysis of traffic filtered by network infrastructure
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP2014123996A (ja) ネットワーク監視装置及びプログラム
JP6683673B2 (ja) 異常検知システム、異常検知方法、および、異常検知プログラム
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP4161989B2 (ja) ネットワーク監視システム
US11611584B2 (en) Smart bits
JP6649296B2 (ja) セキュリティ対処案設計装置及びセキュリティ対処案設計方法
US20180191744A1 (en) System and method to implement cloud-based threat mitigation for identified targets
JP6325993B2 (ja) サービス監視装置、および、サービス監視方法
JP2013121008A (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
JP2020136888A (ja) 検知装置および検知方法
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
JP6563872B2 (ja) 通信システム、および、通信方法
EP3964988B1 (en) Sensing device, sensing method, and sensing program
US20080271148A1 (en) Anti-worm program, anti-worm apparatus, and anti-worm method
JP2016170651A (ja) 不正アクセス検出方法、装置、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190522

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200324

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200326

R150 Certificate of patent or registration of utility model

Ref document number: 6683673

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150