JP7246586B2 - 侵入検知装置、侵入検知方法、及び、侵入検知プログラム - Google Patents
侵入検知装置、侵入検知方法、及び、侵入検知プログラム Download PDFInfo
- Publication number
- JP7246586B2 JP7246586B2 JP2022576560A JP2022576560A JP7246586B2 JP 7246586 B2 JP7246586 B2 JP 7246586B2 JP 2022576560 A JP2022576560 A JP 2022576560A JP 2022576560 A JP2022576560 A JP 2022576560A JP 7246586 B2 JP7246586 B2 JP 7246586B2
- Authority
- JP
- Japan
- Prior art keywords
- received packet
- intrusion detection
- entry
- packet
- payload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 140
- 239000012634 fragment Substances 0.000 claims description 73
- 238000012545 processing Methods 0.000 claims description 44
- 238000000034 method Methods 0.000 claims description 17
- 238000013467 fragmentation Methods 0.000 claims description 6
- 238000006062 fragmentation reaction Methods 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012804 iterative process Methods 0.000 description 2
- 230000007958 sleep Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、侵入検知装置、侵入検知方法、及び、侵入検知プログラムに関する。
フラグメント化されたパケットが正常ではないデータを含むパケットであるか否かを検知する技術がある。
特許文献1は、フラグメント化されたパケットをリアセンブルすることなく、フラグメント化されたパケットが正常ではないデータを含むパケットであるか否かを、オートマトンを用いて検知する技術を開示している。
特許文献1は、フラグメント化されたパケットをリアセンブルすることなく、フラグメント化されたパケットが正常ではないデータを含むパケットであるか否かを、オートマトンを用いて検知する技術を開示している。
フラグメント化されたパケットをリアセンブルせずに当該パケットが正常ではないデータを含むパケットであるか否かを、ホワイトリストを用いて検知する場合を考える。この場合において、特許文献1が開示している技術ではオートマトンを用いているため、ホワイトリストが含むデータは所定のパターンに従うデータに限られるという課題がある。また、この場合において、事前に複雑なオートマトンを用意しなければならないことがあるという課題がある。
本開示は、インターネットプロトコルスイートに従うフラグメント化されたパケットを再構築せずに当該パケットが正常ではないデータを含むパケットであるか否かを、所定のパターンに従うデータのみを含むとは限らないホワイトリストを用いた手法であって、比較的簡素な手法により検知することを目的とする。
本開示に係る侵入検知装置は、
インターネットプロトコルスイートに従うパケットに対するホワイトリストを格納しているデータベースを参照する侵入検知装置であって、
前記ホワイトリストが含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含み、
前記侵入検知装置は、
前記インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取るフラグメント計算部と、
前記正常エントリそれぞれが前記受信パケットに応じて定まる部分一致エントリであるか否かを、前記受信パケットを用いて判定する判定処理を実行する判定部と
を備え、
前記部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、前記受信パケットが示す送信元IPアドレスとペイロードと一致し、
前記対象部分ペイロードは、前記部分一致エントリのペイロード内の領域であって、前記受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータであり、
前記対象部分ペイロードのデータサイズは、前記受信パケットが示すペイロードのデータサイズと同じである。
インターネットプロトコルスイートに従うパケットに対するホワイトリストを格納しているデータベースを参照する侵入検知装置であって、
前記ホワイトリストが含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含み、
前記侵入検知装置は、
前記インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取るフラグメント計算部と、
前記正常エントリそれぞれが前記受信パケットに応じて定まる部分一致エントリであるか否かを、前記受信パケットを用いて判定する判定処理を実行する判定部と
を備え、
前記部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、前記受信パケットが示す送信元IPアドレスとペイロードと一致し、
前記対象部分ペイロードは、前記部分一致エントリのペイロード内の領域であって、前記受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータであり、
前記対象部分ペイロードのデータサイズは、前記受信パケットが示すペイロードのデータサイズと同じである。
本開示によれば、判定部は、インターネットプロトコルスイートに従うフラグメント化されたパケットを再構築せずに、当該パケットとホワイトリストが含むエントリとを比較する。従って、本開示によれば、インターネットプロトコルスイートに従うフラグメント化されたパケットを再構築せずに、当該パケットが正常ではないデータを含むパケットであるか否かを、所定のパターンに従うデータのみを含むとは限らないホワイトリストを用いた手法であって、比較的簡素な手法により検知することができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係る侵入検知装置101の構成例を示している。侵入検知装置101は、本図に示すように、ネットワークIF(Interface)102と、フラグメント計算部103と、ホワイトリスト格納部104と、判定部105と、警報部106とを備える。
侵入検知装置101は、パケットがパケットの送信元からパケットの送信先に至る経路の途中に設置されていてもよく、パケットの送信先である装置等に組み込まれていてもよい。
図1は、本実施の形態に係る侵入検知装置101の構成例を示している。侵入検知装置101は、本図に示すように、ネットワークIF(Interface)102と、フラグメント計算部103と、ホワイトリスト格納部104と、判定部105と、警報部106とを備える。
侵入検知装置101は、パケットがパケットの送信元からパケットの送信先に至る経路の途中に設置されていてもよく、パケットの送信先である装置等に組み込まれていてもよい。
ネットワークIF102は、侵入検知装置101とバス110とのインタフェースであり、バス110からパケットを受信する。パケットは、特に断りがない限り、インターネットプロトコルスイートに従うパケットを指す。インターネットプロトコルスイートはTCP/IP(Transmission Control Protocol /Internet Protocol)とも呼ばれる。ネットワークIF102が受信したパケットを受信パケットと呼ぶ。ネットワークIF102は、無線通信によりパケットを受信してもよく、バス110と接続していなくてもよい。ネットワークIF102は、受信パケットを受信する受信部でもある。
フラグメント計算部103は、インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取り、受信パケットを用いて処理を実行する。受信パケットは、送信元ポート番号を示す情報を含んでもよい。フラグメント計算部103は、元パケットを識別する情報と、元パケットをフラグメント化したパケットの少なくとも1つそれぞれに対応する部分一致エントリそれぞれを識別する正常エントリ識別子を示す情報それぞれとを対応させて管理データとして管理する。元パケットは、IPフラグメント化された受信パケットをIPフラグメント化する前のパケットである。部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、受信パケットが示す送信元IPアドレスとペイロードと一致する。対象部分ペイロードは、部分一致エントリのペイロード内の領域であって、受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータである。フラグメントオフセットは受信パケットのIPヘッダに示されている。対象部分ペイロードのデータサイズは、受信パケットが示すペイロードのデータサイズと同じである。部分一致エントリが送信元ポート番号を示す情報を含む場合、かつ、受信パケットが送信元ポート番号を示す情報を含む場合において、部分一致エントリが示す送信元ポート番号は、受信パケットが示す送信元ポート番号と一致する。
ホワイトリスト格納部104は、ホワイトリスト31を格納している。ホワイトリスト31はインターネットプロトコルスイートに従うパケットに対する検知ルールの集合である。ホワイトリスト31が含む検知ルールの数は何個であってもよい。ホワイトリスト格納部104はデータベースでもある。侵入検知装置101はホワイトリスト31を参照する。ホワイトリスト31が含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含む。正常エントリそれぞれは送信元ポート番号を示す情報を含んでもよい。ホワイトリスト31の各エントリのデータは、所定のパターンに従うデータでなくてもよい。
図2は、ホワイトリスト31の具体例を表形式により示している。本図に示す表の1つの行は、1つの検知ルールを示しており、また、ホワイトリスト31の1つのエントリを示している。本表において、「No.」欄のデータは検知ルールの識別子を示し、「状態」欄のデータは監視対象システムの運転状態に関する条件を示し、「送信元IP」欄のデータはパケットの送信元を示す送信元IPアドレスを示し、「送信元Port」欄のデータはパケットの送信時に用いたポートの番号を示し、「送信先IP」欄のデータはパケットの送信先を示す送信先IPアドレスを示し、「送信先Port」欄のデータはパケットの送信先であるポートの番号を示し、「サイズ」欄のデータはパケットのペイロードのデータサイズを示し、「ペイロード」欄のデータはパケットのペイロードのデータを示し、「周期」欄のデータは送信元がパケットを送信すべき周期の範囲を示す。「No.」欄のデータは検知ルール番号を示すデータでもある。監視対象システムは、パケットの送信先であるシステムであり、侵入検知装置101が侵入を検知する対象であるシステムである。「状態」欄の値は、具体例として、「制御中」と「立ち上げ中」と「保守中」とのいずれかである。具体例として、ある検知ルールの「状態」欄の値が「制御中」であるとき、監視対象システムの状態が「制御中」である場合にのみ当該ある検知ルールが適用される。なお、元パケットがIPフラグメント化されている場合において、「サイズ」欄のデータ及び「ペイロード」欄のデータそれぞれは元パケットについてのデータである。IPフラグメント化はフラグメント化とも呼ばれる。また、ホワイトリスト31の「No.」以外の各欄は条件を示している。即ち、具体例として、「サイズ」欄はサイズ条件を示しており、「ペイロード」欄はペイロード条件を示している。
図2は、ホワイトリスト31の具体例を表形式により示している。本図に示す表の1つの行は、1つの検知ルールを示しており、また、ホワイトリスト31の1つのエントリを示している。本表において、「No.」欄のデータは検知ルールの識別子を示し、「状態」欄のデータは監視対象システムの運転状態に関する条件を示し、「送信元IP」欄のデータはパケットの送信元を示す送信元IPアドレスを示し、「送信元Port」欄のデータはパケットの送信時に用いたポートの番号を示し、「送信先IP」欄のデータはパケットの送信先を示す送信先IPアドレスを示し、「送信先Port」欄のデータはパケットの送信先であるポートの番号を示し、「サイズ」欄のデータはパケットのペイロードのデータサイズを示し、「ペイロード」欄のデータはパケットのペイロードのデータを示し、「周期」欄のデータは送信元がパケットを送信すべき周期の範囲を示す。「No.」欄のデータは検知ルール番号を示すデータでもある。監視対象システムは、パケットの送信先であるシステムであり、侵入検知装置101が侵入を検知する対象であるシステムである。「状態」欄の値は、具体例として、「制御中」と「立ち上げ中」と「保守中」とのいずれかである。具体例として、ある検知ルールの「状態」欄の値が「制御中」であるとき、監視対象システムの状態が「制御中」である場合にのみ当該ある検知ルールが適用される。なお、元パケットがIPフラグメント化されている場合において、「サイズ」欄のデータ及び「ペイロード」欄のデータそれぞれは元パケットについてのデータである。IPフラグメント化はフラグメント化とも呼ばれる。また、ホワイトリスト31の「No.」以外の各欄は条件を示している。即ち、具体例として、「サイズ」欄はサイズ条件を示しており、「ペイロード」欄はペイロード条件を示している。
判定部105は、ホワイトリスト格納部104を参照して受信パケットが攻撃データを含むか否かを判定する。攻撃データは、パケットの送信先に対する何らかの攻撃を意図したデータを含む可能性があるデータであり、正常ではないデータである。判定部105は、受信パケットと、ホワイトリスト31のエントリの少なくともいずれかとの間に対応関係があるか否かを判定することにより、受信パケットが攻撃データを含むか否かを判定する。判定部105は、攻撃データが攻撃データの送信先に侵入しようとしているか否かを検知する。判定部105は、受信パケットがホワイトリスト31に示される各条件を満たすか否かを判定する。判定部105は、正常エントリそれぞれが受信パケットに応じて定まる部分一致エントリであるか否かを、受信パケットを用いて判定する判定処理を実行することにより、受信パケットが攻撃データを含むか否かを判定する。判定部105は、元パケットをフラグメント化したパケットであって受信パケットとは異なるパケットである他パケットそれぞれに対して判定処理と同じ処理を実行する。
受信パケットがIPフラグメント化されていない場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合、当該あるエントリの「送信元IP」欄と「送信元Port」欄と「送信先IP」欄と「送信先Port」欄と「サイズ」欄と「ペイロード」欄とが示すデータは、それぞれ、受信パケットが示す送信元IPアドレスと、受信パケットが示す送信元Portと、受信パケットが示す送信先IPアドレスと、受信パケットが示す送信先Portと、受信パケットが示すペイロードのデータサイズと、受信パケットが示すペイロードとは一致する。
受信パケットがIPフラグメント化されている場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合、当該あるエントリの「サイズ」欄と「ペイロード」欄とについて、前述の受信パケットがIPフラグメント化されていない場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合と異なる。具体的には、当該あるエントリの「サイズ」欄のデータは受信パケットのペイロードのデータサイズと一致しておらず、当該あるエントリの「ペイロード」欄のデータの一部である対象部分ペイロードは受信パケットのペイロードと一致する。
受信パケットがIPフラグメント化されている場合において、判定部105は、「サイズ」欄のデータと元パケットのペイロードのデータサイズとが一致するか否かを確認し、「周期」欄のデータと受信パケットを受信した周期とが一致するか否かを確認する。
なお、受信パケットがTCPヘッダを含まない場合において、ホワイトリスト31のあるエントリと受信パケットとの間の対応関係は、「送信元ポート」欄と「送信先ポート」欄とのデータとは無関係に定まる。
管理データによって元パケットに対応するデータが管理されている場合、かつ、判定部105が受信パケットに対して判定処理を実行していない場合を考える。この場合において、判定部105は、受信パケットに対する判定処理において、正常エントリのうち、管理データが示す正常エントリ識別子であって元パケットに対応する正常エントリ識別子それぞれに対応する正常エントリから成る絞り込みエントリのみを用いる。判定部105が判定処理を実行した後、フラグメント計算部103は、絞り込みエントリが含む正常エントリのうち、受信パケットに対応する部分一致エントリではないと判定処理において判定された正常エントリに対応する正常エントリ識別子であって元パケットに対応する正常エントリ識別子を示す情報を管理データから削除する。
受信パケットがIPフラグメント化されていない場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合、当該あるエントリの「送信元IP」欄と「送信元Port」欄と「送信先IP」欄と「送信先Port」欄と「サイズ」欄と「ペイロード」欄とが示すデータは、それぞれ、受信パケットが示す送信元IPアドレスと、受信パケットが示す送信元Portと、受信パケットが示す送信先IPアドレスと、受信パケットが示す送信先Portと、受信パケットが示すペイロードのデータサイズと、受信パケットが示すペイロードとは一致する。
受信パケットがIPフラグメント化されている場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合、当該あるエントリの「サイズ」欄と「ペイロード」欄とについて、前述の受信パケットがIPフラグメント化されていない場合においてホワイトリスト31のあるエントリと受信パケットとの間に対応関係がある場合と異なる。具体的には、当該あるエントリの「サイズ」欄のデータは受信パケットのペイロードのデータサイズと一致しておらず、当該あるエントリの「ペイロード」欄のデータの一部である対象部分ペイロードは受信パケットのペイロードと一致する。
受信パケットがIPフラグメント化されている場合において、判定部105は、「サイズ」欄のデータと元パケットのペイロードのデータサイズとが一致するか否かを確認し、「周期」欄のデータと受信パケットを受信した周期とが一致するか否かを確認する。
なお、受信パケットがTCPヘッダを含まない場合において、ホワイトリスト31のあるエントリと受信パケットとの間の対応関係は、「送信元ポート」欄と「送信先ポート」欄とのデータとは無関係に定まる。
管理データによって元パケットに対応するデータが管理されている場合、かつ、判定部105が受信パケットに対して判定処理を実行していない場合を考える。この場合において、判定部105は、受信パケットに対する判定処理において、正常エントリのうち、管理データが示す正常エントリ識別子であって元パケットに対応する正常エントリ識別子それぞれに対応する正常エントリから成る絞り込みエントリのみを用いる。判定部105が判定処理を実行した後、フラグメント計算部103は、絞り込みエントリが含む正常エントリのうち、受信パケットに対応する部分一致エントリではないと判定処理において判定された正常エントリに対応する正常エントリ識別子であって元パケットに対応する正常エントリ識別子を示す情報を管理データから削除する。
警報部106は、受信パケットが攻撃データを含む場合、即ち、部分一致エントリをホワイトリスト31が含まないと判定部105によって判定された場合に警報を発出する。警報は受信パケットが攻撃データを含むことを通知するものである。警報部106は、画面に警告メッセージを表示することによって警報を発出してもよく、音声を出力することにより警報を発出してもよい。
バス110は、具体例として、LAN(Local Area Network)ケーブルである。
図3は、本実施の形態に係る侵入検知装置101のハードウェア構成例を示している。侵入検知装置101は、コンピュータ10から成る。侵入検知装置101は、複数のコンピュータ10から成ってもよい。
コンピュータ10は、本図に示すように、プロセッサ11と、メモリ12と、補助記憶装置13と、入出力IF14と、通信装置15と等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線19を介して適宜接続されている。
プロセッサ11は、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ11は、具体例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、又はGPU(Graphics Processing Unit)である。
侵入検知装置101は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
侵入検知装置101は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
メモリ12は、典型的には、揮発性の記憶装置である。メモリ12は、主記憶装置又はメインメモリとも呼ばれる。メモリ12は、具体例として、RAM(Random Access Memory)である。メモリ12に記憶されたデータは、必要に応じて補助記憶装置13に保存される。
補助記憶装置13は、典型的には、不揮発性の記憶装置である。補助記憶装置13は、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置13に記憶されたデータは、必要に応じてメモリ12にロードされる。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
入出力IF14は、入力装置及び出力装置が接続されるポートである。入出力IF14は、具体例として、USB(Universal Serial Bus)端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。
通信装置15は、レシーバ及びトランスミッタである。通信装置15は、具体例として、通信チップ又はNIC(Network Interface Card)である。ネットワークIF102は通信装置15により実現される。
侵入検知装置101の各部は、他の装置等と通信する際に、通信装置15を適宜用いてもよい。侵入検知装置101の各部は、入出力IF14を介してデータを受け付けてもよく、また、通信装置15を介してデータを受け付けてもよい。
補助記憶装置13は、侵入検知プログラムを記憶している。侵入検知プログラムは、侵入検知装置101が備える各部の機能をコンピュータに実現させるプログラムである。侵入検知プログラムは、メモリ12にロードされて、プロセッサ11によって実行される。侵入検知装置101が備える各部の機能は、ソフトウェアにより実現される。
侵入検知プログラムを実行する際に用いられるデータと、侵入検知プログラムを実行することによって得られるデータと等は、記憶装置に適宜記憶される。侵入検知装置101の各部は、適宜記憶装置を利用する。記憶装置は、具体例として、メモリ12と、補助記憶装置13と、プロセッサ11内のレジスタと、プロセッサ11内のキャッシュメモリとの少なくとも1つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータ10と独立したものであってもよい。記憶装置は、ホワイトリスト31とデータベース32とを記憶する。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
侵入検知プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。侵入検知プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
侵入検知装置101の動作手順は、侵入検知方法に相当する。また、侵入検知装置101の動作を実現するプログラムは、侵入検知プログラムに相当する。
侵入検知装置101の動作手順は、侵入検知方法に相当する。また、侵入検知装置101の動作を実現するプログラムは、侵入検知プログラムに相当する。
図4から図6は、侵入検知装置101の動作の一例を示すフローチャートである。なお、1つのフローチャートが図4から図6に分割して示されている。図4から図6を参照して侵入検知装置101の動作を説明する。なお、以下の説明において、侵入検知装置101は、「状態」欄が示す条件が満たされている検知ルールを用いるものとする。
(ステップS101)
ネットワークIF102は、バス110からパケットを受信し、受信したパケットをフラグメント計算部103に送る。以下、本フローチャートの説明において、特に断りがない限り受信パケットは本ステップにおいてネットワークIF102が受信したパケットを指す。
ネットワークIF102は、バス110からパケットを受信し、受信したパケットをフラグメント計算部103に送る。以下、本フローチャートの説明において、特に断りがない限り受信パケットは本ステップにおいてネットワークIF102が受信したパケットを指す。
(ステップS102)
フラグメント計算部103は、受信パケットのIPヘッダを参照して受信パケット長を求める。以下、本フローチャートの説明において、受信パケット長は、受信パケットのペイロードのデータサイズであり、[数式1]により求められる値である。フラグメント計算部103は、[数式1]における全長及びヘッダ長それぞれとして、受信パケットのIPヘッダが示すデータを用いる。なお、受信パケット長の値の単位はバイトである。なお、[数式1]等における[文字列]という表記は、文字列に対応する数値を意味する。
フラグメント計算部103は、受信パケットのIPヘッダを参照して受信パケット長を求める。以下、本フローチャートの説明において、受信パケット長は、受信パケットのペイロードのデータサイズであり、[数式1]により求められる値である。フラグメント計算部103は、[数式1]における全長及びヘッダ長それぞれとして、受信パケットのIPヘッダが示すデータを用いる。なお、受信パケット長の値の単位はバイトである。なお、[数式1]等における[文字列]という表記は、文字列に対応する数値を意味する。
[数式1]
[受信パケット長]=[全長]-[ヘッダ長]×4
[受信パケット長]=[全長]-[ヘッダ長]×4
(ステップS103)
フラグメント計算部103は、受信パケットのIPヘッダが示すフラグの最終ビットを確認する。当該最終ビットの値が0である場合、侵入検知装置101はステップS104に進む。それ以外の場合、侵入検知装置101はステップS109に進む。
ここで、受信パケットがIPフラグメント化されたパケットである場合において、フラグの最終ビットの値が0であるとき、受信パケットは最終パケットである。最終パケットは、元パケットをIPフラグメント化したパケットであって、元パケットのペイロードの終端部分のデータを含むパケットである。
フラグメント計算部103は、受信パケットのIPヘッダが示すフラグの最終ビットを確認する。当該最終ビットの値が0である場合、侵入検知装置101はステップS104に進む。それ以外の場合、侵入検知装置101はステップS109に進む。
ここで、受信パケットがIPフラグメント化されたパケットである場合において、フラグの最終ビットの値が0であるとき、受信パケットは最終パケットである。最終パケットは、元パケットをIPフラグメント化したパケットであって、元パケットのペイロードの終端部分のデータを含むパケットである。
(ステップS104)
フラグメント計算部103は、受信パケットのIPヘッダが示すフラグメントオフセットを確認する。フラグメントオフセットの値が0である場合、侵入検知装置101はステップS105に進む。それ以外の場合、侵入検知装置101はステップS108に進む。
フラグメント計算部103は、受信パケットのIPヘッダが示すフラグメントオフセットを確認する。フラグメントオフセットの値が0である場合、侵入検知装置101はステップS105に進む。それ以外の場合、侵入検知装置101はステップS108に進む。
(ステップS105)
判定部105は、ホワイトリスト格納部104を参照して、ホワイトリスト31のエントリのいずれかと受信パケットとの間に対応関係があるか否かを判定する。
判定部105は、ホワイトリスト格納部104を参照して、ホワイトリスト31のエントリのいずれかと受信パケットとの間に対応関係があるか否かを判定する。
(ステップS106)
ホワイトリスト31のエントリのいずれかと受信パケットとの間に対応関係がある場合、侵入検知装置101は本フローチャートの処理を終了する。それ以外の場合、侵入検知装置101はステップS107に進む。
ホワイトリスト31のエントリのいずれかと受信パケットとの間に対応関係がある場合、侵入検知装置101は本フローチャートの処理を終了する。それ以外の場合、侵入検知装置101はステップS107に進む。
(ステップS107)
警報部106は警報を出力する。
警報部106は警報を出力する。
(ステップS108)
フラグメント計算部103は、分割前パケット長を求める。分割前パケット長は、元パケットのペイロードのデータサイズであり、[数式2]により求められる。ここで、元パケットは受信パケットをIPフラグメント化する前のデータである。また、フラグメント計算部103は、[数式2]におけるフラグメントオフセットとして受信パケットのIPヘッダが示すフラグメントオフセットを用い、[数式2]における受信パケット長としてステップS102において求めた受信パケット長を用いる。分割前パケット長の値の単位はバイトである。
フラグメント計算部103は、分割前パケット長を求める。分割前パケット長は、元パケットのペイロードのデータサイズであり、[数式2]により求められる。ここで、元パケットは受信パケットをIPフラグメント化する前のデータである。また、フラグメント計算部103は、[数式2]におけるフラグメントオフセットとして受信パケットのIPヘッダが示すフラグメントオフセットを用い、[数式2]における受信パケット長としてステップS102において求めた受信パケット長を用いる。分割前パケット長の値の単位はバイトである。
[数式2]
[分割前パケット長]=[フラグメントオフセット]×8+[受信パケット長]
[分割前パケット長]=[フラグメントオフセット]×8+[受信パケット長]
(ステップS109)
フラグメント計算部103は、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とが、データベース32に登録されているものであるか否かを判定する。データベース32は、侵入検知装置101が受信した受信パケットであってIPフラグメント化された受信パケットに対応するデータを記録するものであり、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とに応じてデータをまとめて管理する。即ち、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との少なくともいずれかが異なる2つの受信パケットを侵入検知装置101が受信した場合において、データベース32は当該2つの受信パケットそれぞれに対応するデータを別々に管理する。「DB」はデータベースの略記である。以下、本フローチャートの説明において、データベース32のエントリであって、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との双方に対応するエントリを記録対象エントリとする。
フラグメント計算部103は、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とが、データベース32に登録されているものであるか否かを判定する。データベース32は、侵入検知装置101が受信した受信パケットであってIPフラグメント化された受信パケットに対応するデータを記録するものであり、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とに応じてデータをまとめて管理する。即ち、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との少なくともいずれかが異なる2つの受信パケットを侵入検知装置101が受信した場合において、データベース32は当該2つの受信パケットそれぞれに対応するデータを別々に管理する。「DB」はデータベースの略記である。以下、本フローチャートの説明において、データベース32のエントリであって、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との双方に対応するエントリを記録対象エントリとする。
図7は、侵入検知装置101の動作を説明する図である。本図は、本図の最上部に示されている元パケットがIPフラグメント化により3つのパケットに分割され、IPフラグメント化された3つのパケットを侵入検知装置101が順に受信する動作を説明する図である。侵入検知装置101は、まず(2)に対応するパケットを受信し、次に(3)に対応するパケットを受信し、次に(1)に対応するパケットを受信するものとする。なお、元パケットのペイロードは元パケットのTCPヘッダに続くデータである。受信パケットのペイロードは、受信パケットのTCPヘッダに続くデータ、又は、受信パケットのIPヘッダに続くデータである。また、本図は、データベース32の具体例を表形式により示している。本図において、データベース32を、「送信元IP」欄と「識別番号」欄と「分割前パケット長」欄と「受信パケット長」欄と「検知ルール番号」欄とを有する表により表現している。「送信元IP」欄には受信パケットのIPヘッダが示すIPアドレスが記録される。「識別番号」欄には受信パケットのIPヘッダが示す識別番号が記録される。「分割前パケット長」欄には前述の分割前パケット長が記録される。「受信パケット長」欄には元パケットをIPフラグメント化したパケットであって侵入検知装置101が受信したパケットのペイロードのデータサイズの累積値が記録される。本図に示すデータベース32において、侵入検知装置101が受信した受信したパケットであって、IPヘッダが示す送信元IPアドレスが“192.168.1.100”であり、かつ、IPヘッダが示す識別番号の値が100であるパケットがまとめて管理される。また、本図のデータベース32の1行は、1つの元パケットに対応し、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との1つの組み合わせに対応し、また、データベース32の1つのエントリである。ここで、本図のデータベース32の最も上の行であって各欄のラベルを示している行をデータベース32の行として捉えていない。侵入検知装置101が受信した複数の受信パケットについて、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号との組み合わせが複数種類存在する場合において、データベース32を図7に示すように表形式により表現したとき、データベース32の行数は送信元IPアドレスと識別番号との組み合わせの種類数である。なお、本図の“-1”等は互いに内容が異なる複数のデータベース32を区別するための表記である。データベース32の各エントリは管理データでもある。「送信元IP」欄と「識別番号」欄とのデータは元パケットを識別する情報でもある。「検知ルール番号」欄のデータは正常エントリ識別子でもある。
(ステップS110)
受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とが、それぞれ、データベース32のいずれかのエントリの「送信元IP」欄のデータと「識別番号」欄のデータとに一致する場合、侵入検知装置101はステップS115に進む。それ以外の場合、侵入検知装置101はステップS111に進む。
受信パケットのIPヘッダが示す送信元IPアドレスと識別番号とが、それぞれ、データベース32のいずれかのエントリの「送信元IP」欄のデータと「識別番号」欄のデータとに一致する場合、侵入検知装置101はステップS115に進む。それ以外の場合、侵入検知装置101はステップS111に進む。
(ステップS111)
判定部105は、ホワイトリスト31が含む全ての検知ルールを対象として受信パケットが攻撃データを含むか否かを判定する。この際、判定部105は、ホワイトリスト31の各エントリについて部分一致エントリであるか否かを判定し、ホワイトリスト31に部分一致エントリが存在しない場合に受信パケットが攻撃データを含むと判定する。ここで、部分一致エントリは、ホワイトリスト31のエントリであり、複数存在することもある。部分一致エントリの「送信元Port」欄のデータと「送信先Port」欄のデータと「ペイロード」欄のデータの対象部分ペイロードとは、それぞれ、受信パケットのTCPヘッダが示す送信元ポート番号と、当該TCPヘッダが示す送信先ポート番号と、受信パケットのペイロードと一致する。ここで、対象部分ペイロードの起点は、「ペイロード」欄のデータの([フラグメントオフセット]×8+1)バイト目である。対象部分ペイロードの終点は、「ペイロード」欄のデータの([フラグメントオフセット]×8+[受信パケット長])バイト目である。ポート番号は送信元ポート番号と送信先ポート番号との総称である。
なお、受信パケットがTCPヘッダを含まない場合、判定部105は、「送信元Port」欄と「送信先Port」欄とに関する判定を実行しない。即ち、この場合において、部分一致エントリの「ペイロード」欄のデータの対象部分ペイロードと、受信パケットのペイロードとが一致する。
判定部105は、ホワイトリスト31が含む全ての検知ルールを対象として受信パケットが攻撃データを含むか否かを判定する。この際、判定部105は、ホワイトリスト31の各エントリについて部分一致エントリであるか否かを判定し、ホワイトリスト31に部分一致エントリが存在しない場合に受信パケットが攻撃データを含むと判定する。ここで、部分一致エントリは、ホワイトリスト31のエントリであり、複数存在することもある。部分一致エントリの「送信元Port」欄のデータと「送信先Port」欄のデータと「ペイロード」欄のデータの対象部分ペイロードとは、それぞれ、受信パケットのTCPヘッダが示す送信元ポート番号と、当該TCPヘッダが示す送信先ポート番号と、受信パケットのペイロードと一致する。ここで、対象部分ペイロードの起点は、「ペイロード」欄のデータの([フラグメントオフセット]×8+1)バイト目である。対象部分ペイロードの終点は、「ペイロード」欄のデータの([フラグメントオフセット]×8+[受信パケット長])バイト目である。ポート番号は送信元ポート番号と送信先ポート番号との総称である。
なお、受信パケットがTCPヘッダを含まない場合、判定部105は、「送信元Port」欄と「送信先Port」欄とに関する判定を実行しない。即ち、この場合において、部分一致エントリの「ペイロード」欄のデータの対象部分ペイロードと、受信パケットのペイロードとが一致する。
(ステップS112)
ホワイトリスト31が部分一致エントリを少なくとも1つ含む場合、侵入検知装置101はステップS114に進む。それ以外の場合、侵入検知装置101はステップS113に進む。
ホワイトリスト31が部分一致エントリを少なくとも1つ含む場合、侵入検知装置101はステップS114に進む。それ以外の場合、侵入検知装置101はステップS113に進む。
(ステップS113)
本ステップの処理はステップS107と同様の処理である。
本ステップの処理はステップS107と同様の処理である。
(ステップS114)
フラグメント計算部103は、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号と、ステップS102において求めた受信パケット長の値と、ステップS111において判定された部分一致エントリ全てのそれぞれに対応する検知ルール番号とをデータベース32に新規に登録する。なお、ホワイトリスト31が部分一致エントリを含まない場合に、フラグメント計算部103は、検知ルール番号をデータベース32に登録する代わりに、部分一致エントリがないことを示すデータをデータベース32に登録する。この場合において、フラグメント計算部103は検知ルールの個数を示すパラメータに0を設定してもよい。
具体例として、フラグメント計算部103は、データベース32-1に示すようにデータを新規に登録する。
フラグメント計算部103は、受信パケットのIPヘッダが示す送信元IPアドレスと識別番号と、ステップS102において求めた受信パケット長の値と、ステップS111において判定された部分一致エントリ全てのそれぞれに対応する検知ルール番号とをデータベース32に新規に登録する。なお、ホワイトリスト31が部分一致エントリを含まない場合に、フラグメント計算部103は、検知ルール番号をデータベース32に登録する代わりに、部分一致エントリがないことを示すデータをデータベース32に登録する。この場合において、フラグメント計算部103は検知ルールの個数を示すパラメータに0を設定してもよい。
具体例として、フラグメント計算部103は、データベース32-1に示すようにデータを新規に登録する。
(ステップS115)
本ステップの処理はステップS111の処理と同様である。ただし、判定部105は、ホワイトリスト31が含む全ての検知ルールを用いるとは限らない。具体的には、判定部105は、データベース32の「検知ルール番号」欄に記録されている検知ルール番号に対応する検知ルールのみを用いる。ここで、当該検知ルール番号に対応するホワイトリスト31のエントリを対象エントリとする。
具体例として、本ステップを実行する時点におけるデータベース32がデータベース32-1である場合において、判定部105は、検知ルール番号が1と2と3と4とのいずれかである検知ルールに対応する各エントリについて、部分一致エントリであるか否かを判定する。本例において対象エントリは、検知ルール番号が1と2と3と4とのそれぞれに対応するエントリの集合である。
本ステップの処理はステップS111の処理と同様である。ただし、判定部105は、ホワイトリスト31が含む全ての検知ルールを用いるとは限らない。具体的には、判定部105は、データベース32の「検知ルール番号」欄に記録されている検知ルール番号に対応する検知ルールのみを用いる。ここで、当該検知ルール番号に対応するホワイトリスト31のエントリを対象エントリとする。
具体例として、本ステップを実行する時点におけるデータベース32がデータベース32-1である場合において、判定部105は、検知ルール番号が1と2と3と4とのいずれかである検知ルールに対応する各エントリについて、部分一致エントリであるか否かを判定する。本例において対象エントリは、検知ルール番号が1と2と3と4とのそれぞれに対応するエントリの集合である。
(ステップS116)
対象エントリが部分一致エントリを少なくとも1つ含む場合、侵入検知装置101はステップS118に進む。それ以外の場合、侵入検知装置101はステップS117に進む。
対象エントリが部分一致エントリを少なくとも1つ含む場合、侵入検知装置101はステップS118に進む。それ以外の場合、侵入検知装置101はステップS117に進む。
(ステップS117)
本ステップの処理はステップS107と同様の処理である。
本ステップの処理はステップS107と同様の処理である。
(ステップS118)
フラグメント計算部103は、記録対象エントリの「検知ルール番号」欄に記録されているデータを、ステップS115において判定された部分一致エントリに対応する検知ルール番号に対応するデータのみに絞り込む。なお、対象エントリが部分一致エントリを含まない場合に、フラグメント計算部103は、記録対象エントリの「検知ルール番号」欄に記録されているデータを抹消する。この場合において、フラグメント計算部103は検知ルールの個数を示すパラメータに0を設定してもよい。
フラグメント計算部103は、図7に示す具体例において、データベース32-2の「検知ルール番号」欄に示すように、データベース32-1の「検知ルール番号」欄から1及び4を示すデータを削除する。なお、本例において、検知ルール番号2及び3それぞれに対応する各エントリと、受信パケットとの間には対応関係がある。本例において、検知ルール番号が1及び4である各検知ルールに対応する正常エントリは、受信パケットである(3)に対応するパケットに対応する部分一致エントリではないと判定処理において判定されている。
フラグメント計算部103は、記録対象エントリの「検知ルール番号」欄に記録されているデータを、ステップS115において判定された部分一致エントリに対応する検知ルール番号に対応するデータのみに絞り込む。なお、対象エントリが部分一致エントリを含まない場合に、フラグメント計算部103は、記録対象エントリの「検知ルール番号」欄に記録されているデータを抹消する。この場合において、フラグメント計算部103は検知ルールの個数を示すパラメータに0を設定してもよい。
フラグメント計算部103は、図7に示す具体例において、データベース32-2の「検知ルール番号」欄に示すように、データベース32-1の「検知ルール番号」欄から1及び4を示すデータを削除する。なお、本例において、検知ルール番号2及び3それぞれに対応する各エントリと、受信パケットとの間には対応関係がある。本例において、検知ルール番号が1及び4である各検知ルールに対応する正常エントリは、受信パケットである(3)に対応するパケットに対応する部分一致エントリではないと判定処理において判定されている。
(ステップS119)
フラグメント計算部103は、記録対象エントリの「受信パケット長」欄が示す値を、当該値に対して、ステップS102で求めた受信パケット長の値を加算した値に更新する。
具体例として、図7のデータベース32-2に示すように、フラグメント計算部103は、ステップS102で求めた受信パケット長の値を「受信パケット長」欄が示す値に加算することにより「受信パケット長」欄が示す値を更新する。本例において、ペイロード3のデータサイズを500バイトとしている。
フラグメント計算部103は、記録対象エントリの「受信パケット長」欄が示す値を、当該値に対して、ステップS102で求めた受信パケット長の値を加算した値に更新する。
具体例として、図7のデータベース32-2に示すように、フラグメント計算部103は、ステップS102で求めた受信パケット長の値を「受信パケット長」欄が示す値に加算することにより「受信パケット長」欄が示す値を更新する。本例において、ペイロード3のデータサイズを500バイトとしている。
(ステップS120)
フラグメント計算部103は、ステップS108において分割前パケット長を求めていた場合、記録対象エントリの「分割前パケット長」欄に当該分割前パケット長の値を登録する。
具体例として、フラグメント計算部103は、図7のデータベース32-2に示すように、データベース32-1の「分割前パケット長」欄に元パケットのペイロードのデータサイズを登録する。本例において、元パケットのペイロードのデータサイズを2500バイトとしている。
フラグメント計算部103は、ステップS108において分割前パケット長を求めていた場合、記録対象エントリの「分割前パケット長」欄に当該分割前パケット長の値を登録する。
具体例として、フラグメント計算部103は、図7のデータベース32-2に示すように、データベース32-1の「分割前パケット長」欄に元パケットのペイロードのデータサイズを登録する。本例において、元パケットのペイロードのデータサイズを2500バイトとしている。
(ステップS121)
判定部105は、記録対象エントリの「分割前パケット長」欄に値が登録されているか否かを判定する。
記録対象エントリの「分割前パケット長」欄に値が登録されている場合、侵入検知装置101はステップS122に進む。それ以外の場合、侵入検知装置101は本フローチャートの処理を終了する。
判定部105は、記録対象エントリの「分割前パケット長」欄に値が登録されているか否かを判定する。
記録対象エントリの「分割前パケット長」欄に値が登録されている場合、侵入検知装置101はステップS122に進む。それ以外の場合、侵入検知装置101は本フローチャートの処理を終了する。
(ステップS122)
判定部105は、記録対象エントリの「分割前パケット長」欄の値と、記録対象エントリの「受信パケット長」欄の値とが一致するか否かを判定する。
記録対象エントリの「分割前パケット長」欄の値と、記録対象エントリの「受信パケット長」欄の値とが一致する場合、侵入検知装置101はステップS123に進む。それ以外の場合、侵入検知装置101は本フローチャートの処理を終了する。
判定部105は、記録対象エントリの「分割前パケット長」欄の値と、記録対象エントリの「受信パケット長」欄の値とが一致するか否かを判定する。
記録対象エントリの「分割前パケット長」欄の値と、記録対象エントリの「受信パケット長」欄の値とが一致する場合、侵入検知装置101はステップS123に進む。それ以外の場合、侵入検知装置101は本フローチャートの処理を終了する。
(ステップS123)
判定部105は、元パケットのペイロードのデータサイズと元パケットの周期とに関して、記録対象エントリの「検知ルール番号」欄が示す各値に対応するエントリのいずれかと元パケットとの間に対応関係があるか否かを判定する。判定部105は、元パケットのペイロードのデータサイズと「検知ルール番号」欄が示す値に対応するエントリの「サイズ」欄が示すデータサイズと一致し、かつ、元パケットに関する受信周期が当該エントリの「周期」欄が示す周期の範囲内である場合に、当該対応関係があると判定する。具体的には、判定部105は、元パケットをフラグメント化したパケットを全て受信した時点において元パケットの受信時刻を決定し、元パケットの受信時刻と元パケットと同じ条件のパケットを前回受け取った時刻との差分に基づいて周期を計算し、計算した周期が「周期」欄が示す周期の範囲内であるか否かを判定する。
なお、元パケットと同じ条件のパケットを受信したことがない場合、判定部105は周期に関する条件を判定しなくてもよい。
判定部105は、元パケットのペイロードのデータサイズと元パケットの周期とに関して、記録対象エントリの「検知ルール番号」欄が示す各値に対応するエントリのいずれかと元パケットとの間に対応関係があるか否かを判定する。判定部105は、元パケットのペイロードのデータサイズと「検知ルール番号」欄が示す値に対応するエントリの「サイズ」欄が示すデータサイズと一致し、かつ、元パケットに関する受信周期が当該エントリの「周期」欄が示す周期の範囲内である場合に、当該対応関係があると判定する。具体的には、判定部105は、元パケットをフラグメント化したパケットを全て受信した時点において元パケットの受信時刻を決定し、元パケットの受信時刻と元パケットと同じ条件のパケットを前回受け取った時刻との差分に基づいて周期を計算し、計算した周期が「周期」欄が示す周期の範囲内であるか否かを判定する。
なお、元パケットと同じ条件のパケットを受信したことがない場合、判定部105は周期に関する条件を判定しなくてもよい。
(ステップS124)
ステップS123における対応関係が記録対象エントリの「検知ルール番号」欄が示す各値に対応するエントリのいずれかと元パケットとの間にある場合、侵入検知装置101はステップS126に進む。それ以外の場合、侵入検知装置101はステップS125に進む。
ステップS123における対応関係が記録対象エントリの「検知ルール番号」欄が示す各値に対応するエントリのいずれかと元パケットとの間にある場合、侵入検知装置101はステップS126に進む。それ以外の場合、侵入検知装置101はステップS125に進む。
(ステップS125)
本ステップの処理はステップS107と同様の処理である。
本ステップの処理はステップS107と同様の処理である。
(ステップS126)
フラグメント計算部103は、記録対象エントリをデータベース32から抹消する。
具体例として、フラグメント計算部103は、図7のデータベース32-3に示すようにデータベース32-2の記録対象エントリを抹消する。
本ステップの処理の終了後、侵入検知装置101は本フローチャートの処理を終了する。
なお、フラグメント計算部103は、本フローチャートの処理を終了する前に受信パケットを適宜抹消する。
フラグメント計算部103は、記録対象エントリをデータベース32から抹消する。
具体例として、フラグメント計算部103は、図7のデータベース32-3に示すようにデータベース32-2の記録対象エントリを抹消する。
本ステップの処理の終了後、侵入検知装置101は本フローチャートの処理を終了する。
なお、フラグメント計算部103は、本フローチャートの処理を終了する前に受信パケットを適宜抹消する。
***実施の形態1の効果の説明***
以上のように、本実施の形態によれば、IPフラグメント化されたパケットを元パケットに再構築することなく、攻撃データを検知することができる。そのため、本実施の形態によれば、攻撃データを検知する際のメモリの使用量を削減することができる。また、本実施の形態によれば、データベース32を用いることにより攻撃データを比較的簡素に検知することができる。さらに、本実施の形態によれば、データベース32の「検知ルール番号」欄を用いて検知ルールを徐々に絞り込むことにより、比較的高速に攻撃データを検知することができる。
以上のように、本実施の形態によれば、IPフラグメント化されたパケットを元パケットに再構築することなく、攻撃データを検知することができる。そのため、本実施の形態によれば、攻撃データを検知する際のメモリの使用量を削減することができる。また、本実施の形態によれば、データベース32を用いることにより攻撃データを比較的簡素に検知することができる。さらに、本実施の形態によれば、データベース32の「検知ルール番号」欄を用いて検知ルールを徐々に絞り込むことにより、比較的高速に攻撃データを検知することができる。
***他の構成***
<変形例1>
図8は、本変形例に係る侵入検知装置101のハードウェア構成例を示している。
侵入検知装置101は、本図に示すように、プロセッサ11とメモリ12と補助記憶装置13との少なくとも1つに代えて、処理回路18を備える。
処理回路18は、侵入検知装置101が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
<変形例1>
図8は、本変形例に係る侵入検知装置101のハードウェア構成例を示している。
侵入検知装置101は、本図に示すように、プロセッサ11とメモリ12と補助記憶装置13との少なくとも1つに代えて、処理回路18を備える。
処理回路18は、侵入検知装置101が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(ASICはApplication Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
侵入検知装置101は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
侵入検知装置101は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
侵入検知装置101において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、侵入検知装置101の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る侵入検知装置101についても、本変形例と同様の構成であってもよい。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、侵入検知装置101の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る侵入検知装置101についても、本変形例と同様の構成であってもよい。
実施の形態2.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
***構成の説明***
図9は、本実施の形態に係る侵入検知装置101を示している。本図に示すように、侵入検知装置101は、実施の形態1に係る侵入検知装置101が備える構成要素に加えて、計時部107を備える。
図9は、本実施の形態に係る侵入検知装置101を示している。本図に示すように、侵入検知装置101は、実施の形態1に係る侵入検知装置101が備える構成要素に加えて、計時部107を備える。
計時部107は、時計を備えており、フラグメント計算部103に時計が示す時刻を伝える。
本実施の形態に係るフラグメント計算部103は、データベース32の古いエントリを抹消する。フラグメント計算部103は、侵入検知装置101が受信パケットを受信した時刻に対応する時刻を受信時刻として記録する。受信時刻から削除時間が経過した場合、かつ、フラグメント計算部103が管理データによって受信パケットに対応するデータを管理している場合に、フラグメント計算部103は、管理データにおける受信パケットに対応するデータを抹消する。
***動作の説明***
図10は、侵入検知装置101の動作の一例を示すフローチャートの一部を示している。本図を参照して、主に実施の形態1に係る侵入検知装置101と本実施の形態に係る侵入検知装置101との差異を説明する。なお、本実施の形態に係る侵入検知装置101は、図4及び図6に示す処理も実行する。
図10は、侵入検知装置101の動作の一例を示すフローチャートの一部を示している。本図を参照して、主に実施の形態1に係る侵入検知装置101と本実施の形態に係る侵入検知装置101との差異を説明する。なお、本実施の形態に係る侵入検知装置101は、図4及び図6に示す処理も実行する。
(ステップS114)
本ステップの処理は、実施の形態1に係るステップS114の処理と同様である。ただし、フラグメント計算部103は計時部107を参照し、受信パケットを侵入検知装置101が受信した時刻を記録対象エントリの「登録時刻」欄に登録する。
本ステップの処理は、実施の形態1に係るステップS114の処理と同様である。ただし、フラグメント計算部103は計時部107を参照し、受信パケットを侵入検知装置101が受信した時刻を記録対象エントリの「登録時刻」欄に登録する。
図11は、侵入検知装置101の動作を説明する図である。本図は図7と同様である。ただし、本実施の形態に係るデータベース32は、「登録時刻」欄を有する。「登録時刻」欄には、受信パケットを受信した時刻が登録される。
具体例として、本ステップにおいて、図11のデータベース32-5に示すように、フラグメント計算部103は、記録対象エントリの「登録時刻」欄に、図11の(2)に対応する受信パケットを侵入検知装置101が受信した時刻を登録する。なお、当該時刻は、侵入検知装置101が受信パケットを受信した時刻に厳密に一致する時刻でなくてもよい。
具体例として、本ステップにおいて、図11のデータベース32-5に示すように、フラグメント計算部103は、記録対象エントリの「登録時刻」欄に、図11の(2)に対応する受信パケットを侵入検知装置101が受信した時刻を登録する。なお、当該時刻は、侵入検知装置101が受信パケットを受信した時刻に厳密に一致する時刻でなくてもよい。
(ステップS118)
本ステップの処理は、実施の形態1に係るステップS118の処理と同様である。ただし、フラグメント計算部103は、計時部107を参照して受信パケットを侵入検知装置101が受信した時刻を記録対象エントリの「登録時刻」欄に登録する。典型的には、フラグメント計算部103は、「登録時刻」欄に登録されている時刻を、受信パケットを受信した時刻に更新する。
本ステップの処理は、実施の形態1に係るステップS118の処理と同様である。ただし、フラグメント計算部103は、計時部107を参照して受信パケットを侵入検知装置101が受信した時刻を記録対象エントリの「登録時刻」欄に登録する。典型的には、フラグメント計算部103は、「登録時刻」欄に登録されている時刻を、受信パケットを受信した時刻に更新する。
図12は、フラグメント計算部103の動作の一例を示すフローチャートである。本フローチャートが示す処理は、典型的には、前述のフローチャートが示す処理と平行に実行される。本図を参照してフラグメント計算部103の動作を説明する。
(ステップS241)
フラグメント計算部103は、所定時間スリープする。所定時間は、一定値であってもよく、侵入検知装置101の運用中に適宜変更されてもよい。
フラグメント計算部103が所定時間スリープした後、フラグメント計算部103は、ステップS242とステップS243とから成る反復処理を実行する。フラグメント計算部103は、当該反復処理においてデータベース32の全てのエントリを検索する。
フラグメント計算部103は、所定時間スリープする。所定時間は、一定値であってもよく、侵入検知装置101の運用中に適宜変更されてもよい。
フラグメント計算部103が所定時間スリープした後、フラグメント計算部103は、ステップS242とステップS243とから成る反復処理を実行する。フラグメント計算部103は、当該反復処理においてデータベース32の全てのエントリを検索する。
(ステップS242)
フラグメント計算部103は、データベース32のエントリであって、この反復処理においてまだ選択されていないエントリを1つ選択エントリとして選択し、選択エントリの「受信時刻」欄を確認する。また、フラグメント計算部103は計時部107を参照して現在時刻を確認する。選択エントリの「受信時刻」欄が示す時刻と現在時刻との差が一定以上である場合、フラグメント計算部103はパケットのロストが発生したものとしてステップS243に進む。なお、当該差が一定以上である場合において、「受信時刻」欄が示す時刻から削除時間が経過している。それ以外の場合、フラグメント計算部103はステップS243をスキップする。
フラグメント計算部103は、データベース32のエントリであって、この反復処理においてまだ選択されていないエントリを1つ選択エントリとして選択し、選択エントリの「受信時刻」欄を確認する。また、フラグメント計算部103は計時部107を参照して現在時刻を確認する。選択エントリの「受信時刻」欄が示す時刻と現在時刻との差が一定以上である場合、フラグメント計算部103はパケットのロストが発生したものとしてステップS243に進む。なお、当該差が一定以上である場合において、「受信時刻」欄が示す時刻から削除時間が経過している。それ以外の場合、フラグメント計算部103はステップS243をスキップする。
(ステップS243)
フラグメント計算部103は、選択エントリをデータベース32から削除する。
具体例として、フラグメント計算部103は、図11に示すように、(2)に対応するパケットを侵入検知装置101が受信してから一定時間が経過しても(1)及び(3)に対応するいずれのパケットも侵入検知装置101が受信することができなかった場合に、データベース32-5のエントリであって(2)に対応するエントリを抹消することによりデータベース32-5をデータベース32-6に更新する。なお、この場合において、フラグメント計算部103は、(1)及び(3)に対応する各パケットがロストしたものと判断する。
フラグメント計算部103は、選択エントリをデータベース32から削除する。
具体例として、フラグメント計算部103は、図11に示すように、(2)に対応するパケットを侵入検知装置101が受信してから一定時間が経過しても(1)及び(3)に対応するいずれのパケットも侵入検知装置101が受信することができなかった場合に、データベース32-5のエントリであって(2)に対応するエントリを抹消することによりデータベース32-5をデータベース32-6に更新する。なお、この場合において、フラグメント計算部103は、(1)及び(3)に対応する各パケットがロストしたものと判断する。
***実施の形態2の効果の説明***
以上のように、本実施の形態によれば、ロストが発生したと考えられるパケットに対応するエントリをデータベース32から抹消する。そのため、本実施の形態によれば、ロストが発生したと考えられるパケットがデータベース32に残ることを防ぐことができるため、よりメモリの使用量を削減することができる。
以上のように、本実施の形態によれば、ロストが発生したと考えられるパケットに対応するエントリをデータベース32から抹消する。そのため、本実施の形態によれば、ロストが発生したと考えられるパケットがデータベース32に残ることを防ぐことができるため、よりメモリの使用量を削減することができる。
***他の実施の形態***
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
10 コンピュータ、11 プロセッサ、12 メモリ、13 補助記憶装置、14 入出力IF、15 通信装置、18 処理回路、19 信号線、31 ホワイトリスト、32 データベース、101 侵入検知装置、102 ネットワークIF、103 フラグメント計算部、104 ホワイトリスト格納部、105 判定部、106 警報部、107 計時部、110 バス。
Claims (7)
- インターネットプロトコルスイートに従うパケットに対するホワイトリストを格納しているデータベースを参照する侵入検知装置であって、
前記ホワイトリストが含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含み、
前記侵入検知装置は、
前記インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取るフラグメント計算部と、
前記正常エントリそれぞれが前記受信パケットに応じて定まる部分一致エントリであるか否かを、前記受信パケットを用いて判定する判定処理を実行する判定部と
を備え、
前記部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、前記受信パケットが示す送信元IPアドレスとペイロードと一致し、
前記対象部分ペイロードは、前記部分一致エントリのペイロード内の領域であって、前記受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータであり、
前記対象部分ペイロードのデータサイズは、前記受信パケットが示すペイロードのデータサイズと同じである侵入検知装置。 - 前記正常エントリそれぞれは、送信元ポート番号を示す情報を含み、
前記受信パケットは、送信元ポート番号を示す情報を含み、
前記部分一致エントリが示す送信元ポート番号は、前記受信パケットが示す送信元ポート番号と一致する請求項1に記載の侵入検知装置。 - 前記侵入検知装置は、前記受信パケットをフラグメント化する前のパケットを元パケットとし、
前記判定部は、前記元パケットをフラグメント化したパケットであって前記受信パケットとは異なるパケットである他パケットそれぞれに対して前記判定処理と同じ処理を実行し、
前記フラグメント計算部は、前記元パケットを識別する情報と、前記元パケットをフラグメント化したパケットの少なくとも1つそれぞれに対応する部分一致エントリそれぞれを識別する正常エントリ識別子を示す情報それぞれとを対応させて管理データとして管理し、
前記管理データによって前記元パケットに対応するデータが管理されている場合、かつ、前記判定部が前記受信パケットに対して前記判定処理を実行していない場合に、
前記判定部は、前記受信パケットに対する判定処理において、前記正常エントリのうち、前記管理データが示す正常エントリ識別子であって前記元パケットに対応する正常エントリ識別子それぞれに対応する正常エントリから成る絞り込みエントリのみを用い、
前記フラグメント計算部は、前記絞り込みエントリが含む正常エントリのうち、前記受信パケットに対応する部分一致エントリではないと前記判定処理において判定された正常エントリに対応する正常エントリ識別子であって前記元パケットに対応する正常エントリ識別子を示す情報を前記管理データから抹消する請求項1又は2に記載の侵入検知装置。 - 前記侵入検知装置は、さらに、
前記受信パケットを受信する受信部
を備え、
前記フラグメント計算部は、前記侵入検知装置が前記受信パケットを受信した時刻に対応する時刻を受信時刻として記録し、
前記受信時刻から削除時間が経過した場合、かつ、前記フラグメント計算部が前記管理データによって前記受信パケットに対応するデータを管理している場合に、前記フラグメント計算部は、前記管理データにおける前記受信パケットに対応するデータを抹消する請求項3に記載の侵入検知装置。 - 前記侵入検知装置は、さらに、
前記部分一致エントリを前記ホワイトリストが含まないと判定された場合に警報を発出する警報部
を備える請求項1から4のいずれか1項に記載の侵入検知装置。 - インターネットプロトコルスイートに従うパケットに対するホワイトリストを格納しているデータベースを参照する侵入検知方法であって、
前記ホワイトリストが含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含み、
フラグメント計算部が、前記インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取り、
判定部が、前記正常エントリそれぞれが前記受信パケットに応じて定まる部分一致エントリであるか否かを、前記受信パケットを用いて判定する判定処理を実行する侵入検知方法であって、
前記部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、前記受信パケットが示す送信元IPアドレスとペイロードと一致し、
前記対象部分ペイロードは、前記部分一致エントリのペイロード内の領域であって、前記受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータであり、
前記対象部分ペイロードのデータサイズは、前記受信パケットが示すペイロードのデータサイズと同じである侵入検知方法。 - インターネットプロトコルスイートに従うパケットに対するホワイトリストを格納しているデータベースを参照する侵入検知プログラムであって、
前記ホワイトリストが含むエントリである正常エントリそれぞれは、送信元IPアドレスとペイロードとのそれぞれを示す情報を含み、
前記インターネットプロトコルスイートに従うフラグメント化されたパケットを受信パケットとして受け取るフラグメント計算処理と、
前記正常エントリそれぞれが前記受信パケットに応じて定まる部分一致エントリであるか否かを、前記受信パケットを用いて判定する判定処理と
をコンピュータである侵入検知装置に実行させる侵入検知プログラムであって、
前記部分一致エントリが示す送信元IPアドレスと対象部分ペイロードとは、それぞれ、前記受信パケットが示す送信元IPアドレスとペイロードと一致し、
前記対象部分ペイロードは、前記部分一致エントリのペイロード内の領域であって、前記受信パケットが示すフラグメントオフセットに対応する位置を起点とする領域に存在するデータであり、
前記対象部分ペイロードのデータサイズは、前記受信パケットが示すペイロードのデータサイズと同じである侵入検知プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/005894 WO2022176056A1 (ja) | 2021-02-17 | 2021-02-17 | 侵入検知装置、侵入検知方法、及び、侵入検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022176056A1 JPWO2022176056A1 (ja) | 2022-08-25 |
| JP7246586B2 true JP7246586B2 (ja) | 2023-03-27 |
Family
ID=82930319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022576560A Active JP7246586B2 (ja) | 2021-02-17 | 2021-02-17 | 侵入検知装置、侵入検知方法、及び、侵入検知プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230353589A1 (ja) |
| JP (1) | JP7246586B2 (ja) |
| CN (1) | CN116868546A (ja) |
| WO (1) | WO2022176056A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030048793A1 (en) | 2001-08-30 | 2003-03-13 | Bastian Pochon | Method and apparatus for data normalization |
| JP2006236080A (ja) | 2005-02-25 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス検知装置および方法 |
| JP2007228449A (ja) | 2006-02-27 | 2007-09-06 | Alaxala Networks Corp | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4391455B2 (ja) * | 2005-09-05 | 2009-12-24 | 日本電信電話株式会社 | DDoS攻撃に対する不正アクセス検知システム及びプログラム |
-
2021
- 2021-02-17 CN CN202180093460.1A patent/CN116868546A/zh active Pending
- 2021-02-17 JP JP2022576560A patent/JP7246586B2/ja active Active
- 2021-02-17 WO PCT/JP2021/005894 patent/WO2022176056A1/ja active Application Filing
-
2023
- 2023-06-23 US US18/213,492 patent/US20230353589A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030048793A1 (en) | 2001-08-30 | 2003-03-13 | Bastian Pochon | Method and apparatus for data normalization |
| JP2006236080A (ja) | 2005-02-25 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス検知装置および方法 |
| JP2007228449A (ja) | 2006-02-27 | 2007-09-06 | Alaxala Networks Corp | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022176056A1 (ja) | 2022-08-25 |
| JPWO2022176056A1 (ja) | 2022-08-25 |
| US20230353589A1 (en) | 2023-11-02 |
| CN116868546A (zh) | 2023-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8358592B2 (en) | Network controller and control method with flow analysis and control function | |
| WO2020209085A1 (ja) | 登録システム、登録方法及び登録プログラム | |
| US20050171937A1 (en) | Memory efficient hashing algorithm | |
| US8397025B2 (en) | Apparatus and method for determining a cache line in an N-way set associative cache using hash functions | |
| US20090094699A1 (en) | Apparatus and method of detecting network attack situation | |
| JP2009110270A (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US7840655B2 (en) | Address resolution protocol change enabling load-balancing for TCP-DCR implementations | |
| US6788680B1 (en) | Defferrable processing option for fast path forwarding | |
| US20060250954A1 (en) | Method and apparatus for controlling connection rate of network hosts | |
| US11316804B2 (en) | Forwarding entry update method and apparatus in a memory | |
| US10623323B2 (en) | Network devices and a method for signature pattern detection | |
| US7602789B2 (en) | Low overhead method to detect new connection rate for network traffic | |
| CN108683606B (zh) | IPsec防重放的方法、装置、网络设备及可读存储介质 | |
| US9503552B2 (en) | System and method for adapting to network protocol updates | |
| US7032032B2 (en) | Method and apparatus for providing tandem connection, performance monitoring, and protection architectures over ethernet protocols | |
| JP7246586B2 (ja) | 侵入検知装置、侵入検知方法、及び、侵入検知プログラム | |
| JP2007274056A (ja) | データグラム再組立装置 | |
| CN111224997B (zh) | 一种抑制病毒在局域网中传播的方法及装置 | |
| KR101518852B1 (ko) | Ips 장치 및 ids 장치를 포함하는 보안 시스템 및 그것의 동작 방법 | |
| CN110868388B (zh) | 用于操作联网设备的系统和方法 | |
| KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
| CN111245855B (zh) | 一种抑制病毒在局域网中传播的方法及装置 | |
| JP4311682B2 (ja) | 最適メモリ割当て方法 | |
| JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
| TWI807454B (zh) | 用於監測機動車輛的控制單元間的資料流量之方法以及經適當裝備之機動車輛 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221212 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20221212 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230214 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230314 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7246586 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |