JP7380868B2 - プロトコル識別装置、プロトコル識別方法、及びプログラム - Google Patents

プロトコル識別装置、プロトコル識別方法、及びプログラム Download PDF

Info

Publication number
JP7380868B2
JP7380868B2 JP2022527418A JP2022527418A JP7380868B2 JP 7380868 B2 JP7380868 B2 JP 7380868B2 JP 2022527418 A JP2022527418 A JP 2022527418A JP 2022527418 A JP2022527418 A JP 2022527418A JP 7380868 B2 JP7380868 B2 JP 7380868B2
Authority
JP
Japan
Prior art keywords
protocol
communication
destination
destination port
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022527418A
Other languages
English (en)
Other versions
JPWO2021240752A1 (ja
Inventor
弘樹 長山
貴広 濱田
麻美 宮島
知暁 鷲尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021240752A1 publication Critical patent/JPWO2021240752A1/ja
Application granted granted Critical
Publication of JP7380868B2 publication Critical patent/JP7380868B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、産業用ネットワークにおける、特定のアプリケーションプロトコルによる通信を識別するための技術に関連するものである。
セキュリティアセスメントの観点では、意図しないアプリケーションが悪意をもって利用されていないか判断するために、ネットワーク上で利用されているアプリケーションプロトコルを把握することが重要である。
アプリケーションプロトコルの識別は一般的に宛先ポート番号の情報を利用して行われるが、産業用ネットワークでは多数の宛先ポート番号を利用するプロトコル(以降、複数宛先ポート利用プロトコルと記載)が存在することがあり、その結果、同一のプロトコルが多数の異なるプロトコルとして識別されてしまい、プロトコルの誤認や可読性低下を引き起こしてしまう。
アプリケーションプロトコルを識別する方法としては主に宛先ポート番号を利用する方法とペイロード内の情報を直接解析する方法がある。
宛先ポート番号を利用する方法として、プロトコル毎に個別に利用ポート番号表(対応表)を作成し、保持しておく方法がある。個別に対応表を保持しておけば、異なる多数の宛先ポート番号を利用するパケットに対しても、それが同一のプロトコルによるものであると識別可能である。
ペイロード内の情報を直接解析する方法としては、ペイロードのバイト列や文字列に関する辞書情報を保持し、その辞書情報を参照することで、あるプロトコルに固有のバイト列や文字列がパケット内に存在した場合にプロトコルを識別する方法がある。この方法はポート番号によらないプロトコル識別を可能とするため、辞書情報があれば複数宛先ポート利用プロトコルによるパケットを同一のプロトコルによるものと識別可能である(非特許文献1)。
S. Dharmapurikar ; P. Krishnamurthy ; T. Sproull ; J. Lockwood; Deep packet inspection using parallel Bloom filters, Proc. of 11th Symposium on High Performance Interconnects
しかし、複数宛先ポート利用プロトコルは産業用ネットワーク機器を製造するベンダ固有のプロトコルであり、仕様非公開なことが大半である。従って、宛先ポート番号やペイロード構造等の辞書情報を事前に入手することは困難である。そのため、上述したような事前情報を用いる従来の方法では、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することは困難である。
本発明は上記の点に鑑みてなされたものであり、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することを可能とする技術を提供することを目的とする。
開示の技術によれば、ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置が提供される。
開示の技術によれば、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することを可能とする技術が提供される。
本発明の実施の形態におけるシステムの全体構成図である。 プロトコルの定義を説明するための図である。 プロトコルの定義を説明するための図である。 プロトコル識別装置の処理の流れを説明するためのフローチャートである。 S104を説明するための図である。 S105を説明するための図である。 S106を説明するための図である。 S106を説明するための図である。 S107を説明するための図である。 S107を説明するための図である。 実施例1のプロトコル識別装置の構成図である。 本発明に係る技術を適用せずに可視化した場合の例を示す図である。 本発明に係る技術を適用して可視化した場合の例を示す図である。 実施例2のプロトコル識別装置の構成図である。 装置のハードウェア構成例を示す図である。
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
本実施の形態では、「ポート」を、ポート番号で識別される、通信データ(パケットと称してもよい)の入口(宛先の場合)又は出口(送信元の場合)の意味で使用する。また、srcPortは送信元ポートであり、dstPortは宛先ポートである。なお、srcPortを送信元ポート番号、dstPortを宛先ポート番号の意味で使用する場合もある。また、「アプリケーションプロトコル」を「プロトコル」と呼ぶ場合がある。
(実施の形態の概要)
本実施の形態では、プロトコル識別装置100が、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別する。
上記の同一プロトコルとして識別される複数宛先ポート利用プロトコルの多くは、送信元ポートを固定して多数の宛先ポート宛にパケットを送信するという一般的なプロトコルにない挙動を示す。そこで、プロトコル識別装置100は、2ホスト間の通信に関して、送信元ポート番号と宛先ポート番号の対応関係を全て洗い出した上で、同一の送信元ポートから複数の宛先ポートに向けて行われる通信を複数宛先ポート利用プロトコルによる通信として識別する。
その際、プロトコル識別装置100は、複数宛先ポート利用プロトコルと一般的なプロトコルとの間、もしくは複数の複数宛先ポート利用プロトコルの間で、利用する宛先ポート番号が重複してまった場合でも、それぞれの通信を正しく区別可能とする例外対応処理も実施することとしている。
本実施の形態におけるプロトコル識別装置100により、従来技術では複数の異なるアプリケーションプロトコルとして誤認識されてしまう複数宛先ポート利用プロトコルの識別が可能となる。これにより、セキュリティリスクをより正確に認識可能となる。
(システム構成)
図1に、本実施の形態におけるシステム構成図を示す。図1に示すように、本実施の形態におけるシステムは、プロトコル識別装置100、通信元装置200、通信先装置300を有し、これらがネットワークを介してSW(スイッチ)400に接続されている。
通信元装置200、通信先装置300はそれぞれIP通信を行う装置であり、通信元装置200がパケットを送信し、通信先装置300がパケットを受信する。通信元装置200と通信先装置300をそれぞれホストと称してもよい。また、図1には、通信元装置200と通信先装置300がそれぞれ1つずつ示されているが、複数の通信元装置200と複数の通信先装置300が存在してもよい。
通信元装置200から通信先装置300へ送信されるパケットは、SW400により、プロトコル識別装置100へも送信され、プロトコル識別装置100が当該パケットを受信する。プロトコル識別装置100は、受信したパケットを解析することで、プロトコルの識別を行う。
図1に示すとおり、プロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140を有する。プロトコル識別装置100の詳細動作については後述する。
(プロトコルの定義及び前提条件)
本実施の形態におけるプロトコル識別装置100の動作を説明するにあたり、まず、本実施の形態におけるプロトコルの定義及び前提条件を説明する。
<プロトコルの定義>
「複数宛先ポート利用プロトコル」は、図2に示すように、ある送信元IPアドレス(srcIP)-宛先IPアドレス(dstIP)間の通信であって、同一の送信元ポート(srcPort)から複数の宛先ポート(dstPort)宛に通信を行うプロトコルである。
「単一宛先ポート利用プロトコル」は、図3に示すように、ある送信元IPアドレス(srcIP)-宛先IPアドレス(dstIP)間の通信であって、同一のdstPortに対して、通信のセッション毎に異なるsrcPortで通信を行うプロトコルである。
なお、図2、図3(及び以降の図も同様)に示される「〇」は、ポート番号で識別されるポートを示す。
<本実施の形態におけるネットワークの前提条件>
本実施の形態では、複数宛先ポート利用プロトコル(識別対象)と単一宛先ポート利用プロトコルによる通信が混在することを前提としている。また、複数宛先ポート利用プロトコルはUDP(User Datagram Protocol)での通信であることを前提としている。
(プロトコル識別装置の動作例)
次に、図4のフローチャートに示す手順に沿って、図1に示す構成を備えるプロトコル識別装置100の動作例を説明する。
<S101、S102、S103:前処理>
プロトコル識別装置100は、前処理として、下記のS101~S103を実行する。
S101において、受信部110が、通信データ(パケットと称してもよい)を受信する。S101においては、受信部110は、例えば、予め定めた期間における複数の通信データを受信する。受信部110により受信した通信データはUDP通信抽出部120に入力される。
S102において、UDP通信抽出部120は、入力された通信データから、UDP通信の通信データを抽出する。S103において、通信データ分割部130は、送信元と宛先のIPアドレスの組(srcIP,dstIP)毎に通信データを分割する。
例えば、(srcIP1,dstIP2)である10個の通信データ、(srcIP1,dstIP3)である20個の通信データ、(srcIP1,dstIP3)である10個の通信データ、(srcIP2,dstIP1)である20個の通信データ、のようにして、送信元と宛先のIPアドレスの組(srcIP,dstIP)毎に通信データが分割される。
分割により得られた通信データは、プロトコル識別装置100におけるメモリやハードディスク等の記憶媒体(記憶部と呼んでもよい)に格納され、プロトコル識別部140により読み出されて、後述するプロトコル識別処理が実行される。
なお、受信部110、UDP通信抽出部120、及び通信データ分割部130により、ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データが取得されることから、「受信部+UDP通信抽出部+通信データ分割部」を「取得部」と呼んでもよい。
続いて、S104~S107において、プロトコル識別装置100のプロトコル識別部140は、S103で得られた通信データを分析することで、複数宛先ポート利用プロトコルを識別する処理を行う。以下、S104~S107の各ステップを、図面を参照しながら詳細に説明する。
S104~S107は、送信元と宛先のIPアドレスの組毎に実行される。以下では、処理対象の送信元と宛先のIPアドレスの組として、特定の(srcIP,dstIP)の組を対象とした処理について説明する。
また、S104~S107の説明において、(送信元IPアドレス,送信元ポート番号,宛先IPアドレス,宛先ポート番号)の組で識別されるものを「通信」と呼ぶ。S104~S107では、特定の(srcIP,dstIP)の組を対象としているので、(送信元ポート番号,宛先ポート番号)の組で識別されるものを「通信」と呼んでよい。
また、例えば、複数の通信データから、送信元ポートA(ポート番号=A)から宛先ポートB(ポート番号=B)への通信を抽出するとは、当該複数の通信データから、(srcPort=A,dstPort=B)にマッチする通信データを抽出することに相当する。
<S104:複数宛先ポート利用プロトコル通信候補の抽出>
S104において、プロトコル識別部140は、対象の通信データの中から、複数のdstPort宛の通信の送信元となるsrcPortを、複数宛先ポート利用プロトコル通信候補のsrcPortとして特定し、特定したsrcPortから当該複数のdstPortへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
図5に抽出の一例を示す。図5の例では、プロトコル識別部140は、(srcIP,dstIP)の組の複数の通信データに基づいて、srcPort-Aを送信元とする複数のdstPort-B、C、D、E、F宛の通信を検出したので、srcPort-Aを複数宛先ポート利用プロトコル通信候補のsrcPortとして特定し、特定したsrcPort‐Aから当該複数のdstPort-B、C、D、E、Fへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
同様にして、プロトコル識別部140は、srcPort‐HからdstPort-L、Mへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出し、srcPort‐IからdstPort-L、Mへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
なお、図5には、S105の処理により識別されることになる単一宛先ポート利用プロトコル1、2も示されている。
<S105:単一宛先ポート利用プロトコル通信の除外>
S105において、プロトコル識別部140は、S104において抽出した複数宛先ポート利用プロトコル通信の候補から、単一宛先ポート利用プロトコル通信の除外を行う。具体的には下記のとおりである。
プロトコル識別部140は、対象の通信データの中から、複数のsrcPortを送信元とする通信の宛先のdstPortと、そのdstPort宛の通信の送信元の各srcPortを識別し、当該各srcPortから宛先のdstPortへの通信を単一宛先ポート利用プロトコルの通信であると判定し、単一宛先ポート利用プロトコルの通信を、S104において抽出した複数宛先ポート利用プロトコル通信の候補から除外する。
プロトコル識別部140は、単一宛先ポート利用プロトコルの通信を除外することにより残った通信を複数宛先ポート利用プロトコルの通信として識別し、その通信のsrcPortを複数宛先ポート利用プロトコル通信の識別子として抽出する。
図6の具体例では、プロトコル識別部140は、(srcIP,dstIP)の組の複数の通信データに基づいて、srcPort‐GからdstPort‐Lへの通信、srcPort‐HからdstPort‐Lへの通信、及びsrcPort‐IからdstPort‐Lへの通信を単一宛先ポート利用プロトコル1の通信として抽出する。また、プロトコル識別部140は、srcPort‐GからdstPort‐Jへの通信、srcPort‐HからdstPort‐Jへの通信、及びsrcPort‐IからdstPort‐Jへの通信を単一宛先ポート利用プロトコル1の通信として抽出する。
また、プロトコル識別部140は、srcPort‐HからdstPort‐Mへの通信、srcPort‐IからdstPort‐Mへの通信、srcPort‐JからdstPort‐Mへの通信、及びsrcPort‐KからdstPort‐Mへの通信を単一宛先ポート利用プロトコル2の通信として抽出する。
上記の単一宛先ポート利用プロトコル1、2の通信のうち、srcPort‐HからdstPort‐Lへの通信と、srcPort‐HからdstPort‐Mへの通信は、srcPort‐HをsrcPortとする複数宛先ポート利用プロトコル通信であり、srcPort‐IからdstPort‐Lへの通信とsrcPort‐IからdstPort‐Mへの通信は、srcPort‐IをsrcPortとする複数宛先ポート利用プロトコル通信である。
これらの複数宛先ポート利用プロトコル通信は、S104において、複数宛先ポート利用プロトコル通信の候補として抽出されていたものである。S105では、これらの通信が、S104において複数宛先ポート利用プロトコル通信の候補として抽出された通信から除外される。
<S106:複数宛先ポート利用プロトコル間のdstPort重複対応処理>
まず、S106の必要性を説明する。複数の複数宛先ポート利用プロトコル間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
このことについて、図7を参照して説明する。図7は、S104において、複数宛先ポート利用プロトコル1の通信(srcPort-AからdstPort‐B、C、D、E、Fへの通信)と、複数宛先ポート利用プロトコル2の通信(srcPort-GからdstPort‐E、F、H、I、Jへの通信)の2つの複数宛先ポート利用プロトコルの通信が抽出された場合の例を示している。
これら2つの複数宛先ポート利用プロトコルの通信の間で、dstPort‐E、Fが重複している。
この場合、S105において、srcPort-A、GからdstPort-Eへの単一宛先ポート利用プロトコル通信と、srcPort-A、GからdstPort-Fへの単一宛先ポート利用プロトコル通信とが除外される。しかし、これらの通信はいずれも、複数宛先ポート利用プロトコルの通信の中の一部の通信であるため、除外されるべきではない。そのため、例外的に複数宛先ポート利用プロトコルの通信として判定し直す必要がある。
そこで、S106において、プロトコル識別部140は、S105で除外された通信であっても、それが複数宛先ポート利用プロトコルのsrcPortからのみ発信される通信であれば、当該通信を複数宛先ポート利用プロトコルの通信として識別し直す。つまり、複数宛先ポート利用プロトコルのsrcPortのみをsrcPortとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する。
図7に示した具体例では、S105で除外されたsrcPort-A、GからdstPort-Eへの通信と、srcPort-A、GからdstPort-Fへの通信はいずれも、srcPort-A、GをsrcPortとしており、srcPort-A、Gは、複数宛先ポート利用プロトコルのsrcPortのみを有する。
従って、図8に示すように、プロトコル識別部140は、srcPort-A、GからdstPort-Eへの通信、及びsrcPort-A、GからdstPort-Fへの通信のうち、srcPort-AからdstPort-E、Fへの通信を複数宛先ポート利用プロトコル1の通信として再識別し、srcPort-GからdstPort-E、Fへの通信を複数宛先ポート利用プロトコル2の通信として再識別する。
<S107:複数宛先ポート利用-単一宛先ポート利用プロトコル間のdstPort重複対応処理>
まず、S107の必要性を説明する。複数宛先ポート利用プロトコルの通信と単一宛先ポート利用プロトコルの通信との間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
このことについて、図9を参照して説明する。図9の例では、S104において、srcPort-AからdstPort‐B、C、D、Eへの通信である複数宛先ポート利用プロトコルの通信が抽出される。また、S105において、srcPort-A、F、G、H、IからdstPort‐Eへの通信である単一宛先ポート利用プロトコルの通信が抽出され、srcPort-AからdstPort‐Eへの通信が、複数宛先ポート利用プロトコルの通信から除外される。
しかし、srcPort-AからdstPort‐Eへの通信は、複数宛先ポート利用プロトコルの通信の中の一部の通信であるため、除外されるべきではない。そのため、複数宛先ポート利用プロトコルの通信として判定し直す必要がある。
そこで、S107において、プロトコル識別部140は、S105で除外された通信であっても、それが複数宛先ポート利用プロトコルのsrcPortからのみ発信される通信であれば、当該通信を複数宛先ポート利用プロトコルの通信として識別し直す。
すなわち、プロトコル識別部140は、S105において候補から除外された単一宛先ポート利用プロトコルの通信のうち、当該候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、当該候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する。
図9で説明した具体例では、S105で除外されたsrcPort-AからdstPort-Eへの通信は、複数宛先ポート利用プロトコルのdstPort-Eを宛先ポートとする単一宛先ポート利用プロトコルにおける、複数宛先ポート利用プロトコルのsrcPort-Aからの通信である。
よって、図10に示すように、rcPort-AからdstPort-Eへの通信を複数宛先ポート利用プロトコルの通信として再識別する。
以下、これまでに説明したプロトコル識別技術を用いた実施例として、実施例1、2を説明する。なお、実施例1と実施例2は組み合わせて実施してもよい。
(実施例1)
実施例1では、産業用制御システムネットワークにおいて、プロトコル識別装置100が、各ホストが利用するアプリケーションの特定を行う。
図11に、実施例1におけるプロトコル識別装置100を有するシステムの構成例を示す。図11に示すように、実施例1のプロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140、可視化部150を有する。受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140は、既に説明したとおりである。
可視化部150は、プロトコル識別部140により識別されたアプリケーションプロトコル名を表示する。プロトコル識別部140によりアプリケーションプロトコルが識別できなかった場合、可視化部150は、(ポート番号/L4プロトコル名)の組をアプリケーション名として表示する
実施例1では、送信元ポート番号13000番を利用して10000個以上の宛先ポート番号のポートに通信する仕様非公開のアプリケーションプロトコルが存在することをネットワーク環境条件としている。
図12は、本発明に係る技術を適用せずに、宛先ポート番号に基づいてアプリケーションプロトコルを識別して可視化した表示例を示している。図12には、送信元のIPアドレス及びMACアドレスと、識別されたアプリケーションプロトコルが示されている。
図12に示すように、本発明に係る技術を適用しない場合、10000個以上存在するポート番号毎にアプリケーションプロトコルが動作しているように見えてしまう。そのため、本来存在するアプリケーションの数を正確に把握することができず、また可視化結果の可読性も大きく低下させる。
図13は、実施例1のプロトコル識別装置100により可視化した表示例を示す。図13には、送信元のIPアドレス及びMACアドレスと、識別されたサービスが示されている。
図13に示すように、同一の送信元ポート(ポート番号13000番)から複数の宛先ポートを利用する通信を、送信元ポート番号を識別キーとして一つアプリケーション(サービス)として識別し、表示する。これにより、アプリケーション数を正しく把握でき、可読性も向上する。
(実施例2)
実施例2では、プロトコル識別装置100が、産業用制御システムネットワークにおけるホワイトリストエントリの自動生成を行う。
図14に、実施例2におけるプロトコル識別装置100を有するシステムの構成例を示す。図14に示すように、実施例2のプロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140、ホワイトリスト生成部160を有する。受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140は、既に説明したとおりである。ホワイトリスト生成部160は、後述する方法でホワイトリストのエントリを生成する。
実施例2でも、送信元ポート番号13000番を利用して10000個以上の宛先ポート番号のポートに通信する仕様非公開のアプリケーションプロトコルが存在することをネットワーク環境条件としている。
実施例2では、まず、プロトコル識別部140が、取得した通信データ(パケットと称してもよい)に対して本発明に係る技術を適用し、複数宛先ポート利用プロトコルのsrcPortを抽出する。説明の便宜上、この抽出されたsrcPortをsrcPort-Aとする。抽出されたsrcPortが複数である場合は、各srcPortに対して以下の処理を行う。
ホワイトリスト生成部160は、(1)複数宛先ポート利用プロトコル通信に関する処理、及び(2)単一宛先ポート利用プロトコル通信に関する処理を実行する。以下、(1)、(2)それぞれの処理を説明する。
(1)複数宛先ポート利用プロトコル通信に関する処理
ホワイトリスト生成部160は、srcPort―Aにより識別される複数宛先ポート利用プロトコルの当該srcPort‐Aを送信元ポート番号とする各通信データの宛先ポート番号(dstPort)を抽出し、抽出したdstPortの最小値と最大値を計算する。
続いて、ホワイトリスト生成部160は、当該複数宛先ポート利用プロトコルのsrcPort‐Aを送信元ポート番号とする通信データの(srcIP,dstIP,srcPort,dstPort,udp/tcp)をエントリ情報として設定する。なお、dstPortのみ範囲指定とし、範囲は事前に抽出した最小値から最大値までとする。範囲指定が不可能な場合はワイルドカードとする。
以上の処理により、複数宛先ポート利用プロトコル通信に関するホワイトリストが生成される。
(2)単一宛先ポート利用プロトコル通信に関する処理
ホワイトリスト生成部160は、srcPort‐Aにより識別される複数宛先ポート利用プロトコルの当該srcPort-Aを送信元ポート番号としない通信データについて、通信データ内の(srcIP,dstIP,dstPort,udp/tcp)をエントリ情報として設定し、srcPortはワイルドカードとする。
以上の処理により、単一宛先ポート利用プロトコル通信に関するホワイトリストが生成される。
<実施例2の期待される効果>
実施例2により、機器リソース及び運用管理コストの削減が可能である。すなわち、実施例2により、10000個以上利用されることがある複数宛先ポート利用プロトコルのdstPortを別エントリとして登録せず、範囲指定の1エントリに圧縮することでホワイトリストエントリ数を大幅に削減し、IDS(Intrusion Detection System)等の機器リソース及びIDS運用者のホワイトリスト運用管理コストを削減することが可能となる。
(ハードウェア構成例)
図1、図11、図14を参照して説明した本実施の形態におけるプロトコル識別装置100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現することができる。
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
図15は、上記コンピュータのハードウェア構成例を示す図である。図15のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、プロトコル識別装置100に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
(実施の形態の効果)
本実施の形態に係る技術により、従来技術では複数の異なるアプリケーションプロトコルとして誤認識されてしまう複数宛先ポート利用プロトコルの識別を行うことが可能となり、セキュリティリスクをより正確に認識可能となる。
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載したプロトコル識別装置、プロトコル識別方法、及びプログラムが記載されている。
(第1項)
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置。
(第2項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、複数宛先ポート利用プロトコルの送信元ポートのみを複数の送信元ポートとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項に記載のプロトコル識別装置。
(第3項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、前記候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、前記候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項又は第2項に記載のプロトコル識別装置。
(第4項)
前記プロトコル識別部は、複数宛先ポート利用プロトコルの通信として識別された通信の送信元ポートを、当該複数宛先ポート利用プロトコルの識別子として抽出し、前記プロトコル識別装置は、前記識別子を表示する可視化部を備える
第1項ないし第3項のうちいずれか1項に記載のプロトコル識別装置。
(第5項)
前記プロトコル識別部により抽出された複数宛先ポート利用プロトコルの通信の送信元ポート番号と、当該複数宛先ポート利用プロトコルの通信の宛先ポート番号の最小値と最大値による範囲指定とを有するホワイトリストを生成するホワイトリスト生成部
を備える第1項ないし第4項のうちいずれか1項に記載のプロトコル識別装置。
(第6項)
プロトコル識別装置が実行するプロトコル識別方法であって、
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得するステップと、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するステップと
を備えるプロトコル識別方法。
(第7項)
コンピュータを、第1項ないし第5項のうちいずれか1項に記載のプロトコル識別装置における各部として機能させるためのプログラム。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 プロトコル識別装置
110 受信部
120 UDP通信抽出部
130 通信データ分割部
140 プロトコル識別部
150 可視化部
160 ホワイトリスト生成部
200 通信元装置
300 通信先装置
400 SW
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置

Claims (7)

  1. ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
    前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
    を備えるプロトコル識別装置。
  2. 前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、複数宛先ポート利用プロトコルの送信元ポートのみを複数の送信元ポートとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する
    請求項1に記載のプロトコル識別装置。
  3. 前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、前記候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、前記候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する
    請求項1又は2に記載のプロトコル識別装置。
  4. 前記プロトコル識別部は、複数宛先ポート利用プロトコルの通信として識別された通信の送信元ポートを、当該複数宛先ポート利用プロトコルの識別子として抽出し、前記プロトコル識別装置は、前記識別子を表示する可視化部を備える
    請求項1ないし3のうちいずれか1項に記載のプロトコル識別装置。
  5. 前記プロトコル識別部により抽出された複数宛先ポート利用プロトコルの通信の送信元ポート番号と、当該複数宛先ポート利用プロトコルの通信の宛先ポート番号の最小値と最大値による範囲指定とを有するホワイトリストを生成するホワイトリスト生成部
    を備える請求項1ないし4のうちいずれか1項に記載のプロトコル識別装置。
  6. プロトコル識別装置が実行するプロトコル識別方法であって、
    ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得するステップと、
    前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するステップと
    を備えるプロトコル識別方法。
  7. コンピュータを、請求項1ないし5のうちいずれか1項に記載のプロトコル識別装置における各部として機能させるためのプログラム。
JP2022527418A 2020-05-28 2020-05-28 プロトコル識別装置、プロトコル識別方法、及びプログラム Active JP7380868B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/021222 WO2021240752A1 (ja) 2020-05-28 2020-05-28 プロトコル識別装置、プロトコル識別方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2021240752A1 JPWO2021240752A1 (ja) 2021-12-02
JP7380868B2 true JP7380868B2 (ja) 2023-11-15

Family

ID=78723231

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022527418A Active JP7380868B2 (ja) 2020-05-28 2020-05-28 プロトコル識別装置、プロトコル識別方法、及びプログラム

Country Status (3)

Country Link
US (1) US20230208944A1 (ja)
JP (1) JP7380868B2 (ja)
WO (1) WO2021240752A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049262A (ja) 2005-08-08 2007-02-22 Sony Computer Entertainment Inc 端末、通信装置、通信確立方法および認証方法
JP2010057034A (ja) 2008-08-29 2010-03-11 Nec Infrontia Corp ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム
JP2014236461A (ja) 2013-06-05 2014-12-15 日本電信電話株式会社 遮断システム、遮断サーバ、遮断方法、およびプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049262A (ja) 2005-08-08 2007-02-22 Sony Computer Entertainment Inc 端末、通信装置、通信確立方法および認証方法
JP2010057034A (ja) 2008-08-29 2010-03-11 Nec Infrontia Corp ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム
JP2014236461A (ja) 2013-06-05 2014-12-15 日本電信電話株式会社 遮断システム、遮断サーバ、遮断方法、およびプログラム

Also Published As

Publication number Publication date
JPWO2021240752A1 (ja) 2021-12-02
US20230208944A1 (en) 2023-06-29
WO2021240752A1 (ja) 2021-12-02

Similar Documents

Publication Publication Date Title
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US8701192B1 (en) Behavior based signatures
US10313370B2 (en) Generating malware signatures based on developer fingerprints in debug information
WO2014112185A1 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
US10616270B2 (en) Optimization apparatus, optimization method, and optimization program
JP6308601B2 (ja) パケット処理方法およびデバイス
EP3796196A1 (en) Abnormality sensing device and abnormality sensing method
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
US10659361B2 (en) Packet processing
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN111953552A (zh) 数据流的分类方法和报文转发设备
WO2017157335A1 (zh) 报文识别的方法及装置
CN114172854A (zh) 报文镜像、镜像配置方法、虚拟交换机及镜像配置装置
US8910281B1 (en) Identifying malware sources using phishing kit templates
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP6962374B2 (ja) ログ分析装置、ログ分析方法及びプログラム
CN112822204A (zh) 一种nat的检测方法、装置、设备及介质
JP2018148267A (ja) 検知装置、検知方法および検知プログラム
JP7380868B2 (ja) プロトコル識別装置、プロトコル識別方法、及びプログラム
WO2015058665A1 (zh) 虚拟化环境下支付应用的合规性检测方法
WO2020170802A1 (ja) 検知装置および検知方法
CN109040089B (zh) 网络策略审计方法、设备及计算机可读存储介质
JP2007165990A (ja) Ipアドレス変換方法及び情報処理装置
CN115065592A (zh) 信息处理方法、装置及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231016

R150 Certificate of patent or registration of utility model

Ref document number: 7380868

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150