JP7231016B2 - 特定装置、特定方法及び特定プログラム - Google Patents
特定装置、特定方法及び特定プログラム Download PDFInfo
- Publication number
- JP7231016B2 JP7231016B2 JP2021515440A JP2021515440A JP7231016B2 JP 7231016 B2 JP7231016 B2 JP 7231016B2 JP 2021515440 A JP2021515440 A JP 2021515440A JP 2021515440 A JP2021515440 A JP 2021515440A JP 7231016 B2 JP7231016 B2 JP 7231016B2
- Authority
- JP
- Japan
- Prior art keywords
- response information
- similarity
- network
- scan
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
[通信システムの概要]
まず、図1を用いて、実施の形態1に係る通信システムの構成について説明する。図1は、実施の形態に係る通信システムの構成の一例を示す図である。
次に、図1を参照して、特定装置10の構成について説明する。特定装置10は、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、特定装置10は、NIC(Network Interface Card)等を有し、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置との間の通信を行うことも可能である。特定装置10は、ネットワークスキャン部11(収集部)と、応答蓄積部12(蓄積部)と、類似度計算部13(計算部)と、特定部14とを有する。
次に、ネットワークスキャン部11の処理について説明する。ネットワークスキャン部11は、与えられたIPアドレスのリストに基づいてネットワークスキャンを行う。ネットワークスキャンは、何らかのリクエストパケットを対象のIPアドレスに対して送信し、そのレスポンスを受信する処理である。
応答蓄積部12は、ネットワークスキャン部11から受信したスキャンのレスポンス情報を蓄積する。応答蓄積部12は、ある時刻に行った特定のIPアドレスリストに対する一連の各スキャンのレスポンスに対して同一のスキャンIDを付与して、ネットワークスキャンの時刻ごとに管理できるようにしている。
次に、類似度計算部13について説明する。類似度計算部13は、同一のIPアドレスリストに対する異なる2つのスキャンのレスポンス内容がどの程度類似しているかを計算する。図3-1は、時刻t1のネットワークスキャン(第1のネットワークスキャン)の応答結果を示す図である。図3-2は、時刻t2(≠t1)のネットワークスキャン(第2のネットワークスキャン)の応答結果を示す図である。
次に、図1に示す特定部14について説明する。特定部14は、異なる2つのネットワークスキャン間において、レスポンスの類似性から、どのIPアドレス上の機器が同一であるかを特定する。
次に、特定装置10が実行する特定処理の処理手順について説明する。図8は、実施の形態に係る特定処理の処理手順を示すフローチャートである。
このように、実施の形態に係る特定装置10は、対象となるネットワークアドレス帯に対し、ネットワークスキャンにより機器2のレスポンスを収集し、収集したレスポンスを蓄積する。そして、特定装置10は、蓄積したレスポンスのうち、スキャン時期が異なるレスポンス同士を比較して応答内容の類似度を計算し、計算した類似度を基に、最も類似するレスポンスを送信した機器が同一であると特定する。具体的には、特定装置10は、異なるネットワークスキャン間で類似度の高いIPアドレスの組み合わせを求め、このIPアドレスの組み合わせから、ある機器2が、異なる時刻のスキャン間において、IPアドレスがどのIPアドレスに変化したか、或いは、IPアドレスが変化しなかったかを特定する。
図1に示した特定装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、特定装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
図9は、プログラムが実行されることにより、特定装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 ネットワークスキャン部
12 応答蓄積部
13 類似度計算部
14 特定部
Claims (6)
- 対象となるネットワークアドレス帯に対し、ネットワークスキャンとして、HTTP(HyperText Transfer Protocol)またはHTTPS(Hypertext Transfer Protocol Secure)のプロトコルを対象としてリクエストパケットを送信し、機器の応答情報として、前記機器が保有しているWebコンテンツを取得する、及び/または、ネットワークスキャンとして、HTTPSのプロトコルを対象としてリクエストパケットを送信して、SSL証明書を機器の応答情報として収集する収集部と、
前記収集部が収集した応答情報を蓄積する蓄積部と、
前記蓄積部が蓄積した応答情報のうち、スキャン時期が異なる応答情報同士を比較して応答内容の類似度を計算する計算部と、
前記計算部が計算した類似度を基に、最も類似する応答情報を送信した機器が同一であると特定する特定部と、
を有することを特徴とする特定装置。 - 前記計算部は、スキャン対象のX個のIPアドレスのうち、第1の時刻における第1のネットワークスキャンにおいて応答があったIPアドレスがn(≦X)個であり、前記第1の時刻と異なる第2の時刻における第2のネットワークスキャンにおいて応答があったIPアドレスがm(≦X)個である場合、前記第1のネットワークスキャンにおけるn個の各応答情報と、前記第2のネットワークスキャンにおけるm個の各応答情報とをそれぞれ比較し、n×m組のIPアドレスの組み合わせ毎に類似度を計算することを特徴とする請求項1に記載の特定装置。
- 前記計算部は、計算したn×m組の各類似度を、n行m列の類似度行列の各要素として表し、
前記特定部は、前記類似度行列の各要素に基づいて、前記第1のネットワークスキャンと前記第2のネットワークスキャンとの間で類似する応答内容を返すIPアドレスの最も適切な組み合わせを求め、求めた組み合わせのIPアドレス上の機器が同一の機器であると特定することを特徴とする請求項2に記載の特定装置。 - 前記特定部は、前記類似度行列において所定の閾値を下回る要素については、該要素に対応する組み合わせのIPアドレス上の機器が、異なる機器であると特定することを特徴とする請求項3に記載の特定装置。
- 特定装置が実行する特定方法であって、
対象となるネットワークアドレス帯に対し、ネットワークスキャンとして、HTTP(HyperText Transfer Protocol)またはHTTPS(Hypertext Transfer Protocol Secure)のプロトコルを対象としてリクエストパケットを送信し、機器の応答情報として、前記機器が保有しているWebコンテンツを取得する、及び/または、ネットワークスキャンとして、HTTPSのプロトコルを対象としてリクエストパケットを送信して、SSL証明書を機器の応答情報として収集する工程と、
前記収集する工程において収集された応答情報を蓄積する工程と、
前記蓄積する工程において蓄積された応答情報のうち、スキャン時期が異なる応答情報同士を比較して応答内容の類似度を計算する工程と、
前記計算する工程において計算された類似度を基に、最も類似する応答情報を送信した機器が同一であると特定する工程と、
を含んだことを特徴とする特定方法。 - 対象となるネットワークアドレス帯に対し、ネットワークスキャンとして、HTTP(HyperText Transfer Protocol)またはHTTPS(Hypertext Transfer Protocol Secure)のプロトコルを対象としてリクエストパケットを送信し、機器の応答情報として、前記機器が保有しているWebコンテンツを取得する、及び/または、ネットワークスキャンとして、HTTPSのプロトコルを対象としてリクエストパケットを送信して、SSL証明書を機器の応答情報として収集するステップと、
前記収集するステップにおいて収集された応答情報を蓄積するステップと、
前記蓄積するステップにおいて蓄積された応答情報のうち、スキャン時期が異なる応答情報同士を比較して応答内容の類似度を計算するステップと、
前記計算するステップにおいて計算された類似度を基に、最も類似する応答情報を送信した機器が同一であると特定するステップと、
をコンピュータに実行させることを特徴とする特定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/017800 WO2020217431A1 (ja) | 2019-04-25 | 2019-04-25 | 特定装置、特定方法及び特定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020217431A1 JPWO2020217431A1 (ja) | 2021-12-16 |
JP7231016B2 true JP7231016B2 (ja) | 2023-03-01 |
Family
ID=72941629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021515440A Active JP7231016B2 (ja) | 2019-04-25 | 2019-04-25 | 特定装置、特定方法及び特定プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US12041687B2 (ja) |
JP (1) | JP7231016B2 (ja) |
WO (1) | WO2020217431A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115942042A (zh) * | 2022-12-26 | 2023-04-07 | 中国电子产业工程有限公司 | 一种基于改进lcs的网络视频识别匹配方法、装置和设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010034915A (ja) | 2008-07-30 | 2010-02-12 | Fujitsu Ltd | ネットワーク構成管理プログラム、ネットワーク構成管理装置およびネットワーク構成管理方法 |
JP2019061399A (ja) | 2017-09-26 | 2019-04-18 | 日本電信電話株式会社 | デバイス識別装置およびデバイス識別方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8180916B1 (en) * | 2009-07-17 | 2012-05-15 | Narus, Inc. | System and method for identifying network applications based on packet content signatures |
JP6181884B2 (ja) * | 2014-11-14 | 2017-08-16 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
WO2016147944A1 (ja) * | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
-
2019
- 2019-04-25 US US17/605,658 patent/US12041687B2/en active Active
- 2019-04-25 WO PCT/JP2019/017800 patent/WO2020217431A1/ja active Application Filing
- 2019-04-25 JP JP2021515440A patent/JP7231016B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010034915A (ja) | 2008-07-30 | 2010-02-12 | Fujitsu Ltd | ネットワーク構成管理プログラム、ネットワーク構成管理装置およびネットワーク構成管理方法 |
JP2019061399A (ja) | 2017-09-26 | 2019-04-18 | 日本電信電話株式会社 | デバイス識別装置およびデバイス識別方法 |
Non-Patent Citations (1)
Title |
---|
野口 博史 ほか,通信の類似性分析にもとづくIoTデバイス識別手法,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会,2018年07月04日,Vol. 118 No. 123,p. 45-50 |
Also Published As
Publication number | Publication date |
---|---|
WO2020217431A1 (ja) | 2020-10-29 |
US12041687B2 (en) | 2024-07-16 |
US20220217520A1 (en) | 2022-07-07 |
JPWO2020217431A1 (ja) | 2021-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6832951B2 (ja) | 自動デバイス検出のためのシステムおよび方法 | |
US11070569B2 (en) | Detecting outlier pairs of scanned ports | |
US11184377B2 (en) | Malicious port scan detection using source profiles | |
US20130332456A1 (en) | Method and system for detecting operating systems running on nodes in communication network | |
US11711389B2 (en) | Scanner probe detection | |
US20200169582A1 (en) | Identifying a potential ddos attack using statistical analysis | |
US11770396B2 (en) | Port scan detection using destination profiles | |
US11316872B2 (en) | Malicious port scan detection using port profiles | |
JP6691240B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
JP7231016B2 (ja) | 特定装置、特定方法及び特定プログラム | |
KR101359378B1 (ko) | 보안 무결성 검사 장치와 방법 | |
EP3918762B1 (en) | Port scan detection | |
JP2020502703A (ja) | ネットワーク・マッピングのためのフィンガープリントの決定 | |
US11296868B1 (en) | Methods and system for combating cyber threats using a related object sequence hash | |
CN111368294B (zh) | 病毒文件的识别方法和装置、存储介质、电子装置 | |
KR102672651B1 (ko) | IoT 장치 식별 방법 및 이를 구현한 네트워크 관리 장치 | |
JP7366690B2 (ja) | 機器種別推定システム | |
WO2023284809A1 (zh) | 设备识别的方法、装置和系统 | |
CN117749778A (zh) | 信息处理方法、装置、电子设备及存储介质 | |
CN118353803A (zh) | 一种网络空间资产测绘的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220726 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220920 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7231016 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |