WO2021240752A1 - プロトコル識別装置、プロトコル識別方法、及びプログラム - Google Patents
プロトコル識別装置、プロトコル識別方法、及びプログラム Download PDFInfo
- Publication number
- WO2021240752A1 WO2021240752A1 PCT/JP2020/021222 JP2020021222W WO2021240752A1 WO 2021240752 A1 WO2021240752 A1 WO 2021240752A1 JP 2020021222 W JP2020021222 W JP 2020021222W WO 2021240752 A1 WO2021240752 A1 WO 2021240752A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- communication
- protocol
- destination port
- destination
- protocol identification
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
Definitions
- Non-Patent Document 1 As a method of directly analyzing the information in the payload, by holding the dictionary information about the byte string and character string of the payload and referring to the dictionary information, the byte string and character string peculiar to a certain protocol exist in the packet. If so, there is a way to identify the protocol. Since this method enables protocol identification regardless of the port number, it is possible to identify a packet using a plurality of destination port utilization protocols from the same protocol if there is dictionary information (Non-Patent Document 1).
- the protocol for using multiple destination ports is a protocol unique to vendors that manufacture industrial network equipment, and most of the specifications are not disclosed. Therefore, it is difficult to obtain dictionary information such as the destination port number and the payload structure in advance. Therefore, it is difficult to identify a packet of a protocol using a plurality of destination ports as a packet of the same protocol by the conventional method using the prior information as described above.
- port is used to mean an inlet (in the case of a destination) or an exit (in the case of a source) of communication data (which may be referred to as a packet) identified by a port number.
- srcPort is a source port and dstPort is a destination port.
- srcPort means a source port number and dstPort means a destination port number.
- application protocol may be referred to as a "protocol”.
- the protocol identification device 100 identifies all the correspondences between the source port number and the destination port number in the communication between the two hosts, and then performs the communication from the same source port to the plurality of destination ports. Identified as communication using a protocol that uses multiple destination ports.
- FIG. 1 shows a system configuration diagram according to the present embodiment.
- the system in the present embodiment has a protocol identification device 100, a communication source device 200, and a communication destination device 300, which are connected to a SW (switch) 400 via a network.
- SW switch
- the protocol identification device 100 includes a reception unit 110, a UDP communication extraction unit 120, a communication data division unit 130, and a protocol identification unit 140. The detailed operation of the protocol identification device 100 will be described later.
- ⁇ Prerequisites for the network in this embodiment> it is premised that communication using a plurality of destination port usage protocols (identification targets) and a single destination port usage protocol coexist. Further, it is premised that the protocol for using multiple destination ports is communication using UDP (User Datagram Protocol).
- UDP User Datagram Protocol
- the receiving unit 110, the UDP communication extracting unit 120, and the communication data dividing unit 130 acquire a plurality of communication data related to communication from a certain source IP address to a certain destination IP address, "reception unit + UDP".
- the "communication extraction unit + communication data division unit” may be referred to as a "acquisition unit”.
- the protocol identification unit 140 of the protocol identification device 100 performs a process of identifying a plurality of destination port utilization protocols by analyzing the communication data obtained in S103.
- each step of S104 to S107 will be described in detail with reference to the drawings.
- the protocol identification unit 140 extracts each communication from srcPort-H to dstPort-L and M as a communication candidate for a protocol using a plurality of destination ports, and each communication from srcPort-I to dstPort-L and M. Is extracted as a communication candidate for a protocol using multiple destination ports.
- the protocol identification unit 140 identifies the dstPort of the communication destination having a plurality of srcPorts as the transmission source and each srcPort of the transmission source of the communication addressed to the dstPort from the target communication data, and the protocol identification unit 140 identifies the destination from each srcPort. It is determined that the communication to the dstPort is the communication of the single destination port use protocol, and the communication of the single destination port use protocol is excluded from the candidates of the multiple destination port use protocol communication extracted in S104.
- the communication from srcPort-H to dstPort-L and the communication from srcPort-H to dstPort-M are multiple destination ports with srcPort-H as srcPort.
- the communication from srcPort-I to dstPort-L and the communication from srcPort-I to dstPort-M are protocol communication using a plurality of destination ports with srcPort-I as srcPort.
- S106 dstPort duplication handling processing between protocols using multiple destination ports> First, the necessity of S106 will be described. When the used dstPorts are duplicated among a plurality of multiple destination port use protocols, the communication associated with the duplicated dstPorts is determined by S105 to be the communication of the single destination port use protocol and is excluded.
- DstPort-E and F overlap between the communication of these two multiple destination port usage protocols.
- Example 1 and 2 will be described as examples using the protocol identification technology described so far.
- Example 1 and Example 2 may be carried out in combination.
- FIG. 13 shows a display example visualized by the protocol identification device 100 of the first embodiment.
- FIG. 13 shows the source IP address and MAC address and the identified service.
- FIG. 14 shows a configuration example of the system having the protocol identification device 100 in the second embodiment.
- the protocol identification device 100 of the second embodiment has a reception unit 110, a UDP communication extraction unit 120, a communication data division unit 130, a protocol identification unit 140, and a white list generation unit 160.
- the receiving unit 110, the UDP communication extraction unit 120, the communication data dividing unit 130, and the protocol identification unit 140 are as described above.
- the white list generation unit 160 generates a white list entry by a method described later.
- the white list generation unit 160 uses the srcPort-A of the multi-destination port use protocol identified by srcPort-A as the source port number for each communication data destination port number (1). dstPort) is extracted, and the minimum and maximum values of the extracted dstPort are calculated.
- the white list generation unit 160 sets (srcIP, dstIP, srcPort, dstPort, udp / tcp) of communication data having srcPort-A of the multiple destination port utilization protocol as the source port number as entry information.
- dstPort is specified as a range, and the range is from the minimum value to the maximum value extracted in advance. If the range cannot be specified, use a wild card.
- FIG. 15 is a diagram showing an example of the hardware configuration of the computer.
- the computer of FIG. 15 has a drive device 1000, an auxiliary storage device 1002, a memory device 1003, a CPU 1004, an interface device 1005, a display device 1006, an input device 1007, an output device 1008, and the like, which are connected to each other by a bus BS, respectively.
- This specification describes at least the protocol identification device, the protocol identification method, and the program described in each of the following sections.
- (Section 1) An acquisition unit that acquires multiple communication data related to communication from a certain source IP address to a certain destination IP address, and Based on the plurality of communication data, the communication from one source port to a plurality of destination ports is extracted as a communication candidate of the multiple destination port utilization protocol, and is simply selected from the communication candidates of the multiple destination port utilization protocol.
- a protocol identification device including a protocol identification unit that excludes communication of one destination port utilization protocol and identifies the remaining communication as communication of multiple destination port utilization protocols.
Abstract
プロトコル識別装置において、ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部とを備える。
Description
本発明は、産業用ネットワークにおける、特定のアプリケーションプロトコルによる通信を識別するための技術に関連するものである。
セキュリティアセスメントの観点では、意図しないアプリケーションが悪意をもって利用されていないか判断するために、ネットワーク上で利用されているアプリケーションプロトコルを把握することが重要である。
アプリケーションプロトコルの識別は一般的に宛先ポート番号の情報を利用して行われるが、産業用ネットワークでは多数の宛先ポート番号を利用するプロトコル(以降、複数宛先ポート利用プロトコルと記載)が存在することがあり、その結果、同一のプロトコルが多数の異なるプロトコルとして識別されてしまい、プロトコルの誤認や可読性低下を引き起こしてしまう。
アプリケーションプロトコルを識別する方法としては主に宛先ポート番号を利用する方法とペイロード内の情報を直接解析する方法がある。
宛先ポート番号を利用する方法として、プロトコル毎に個別に利用ポート番号表(対応表)を作成し、保持しておく方法がある。個別に対応表を保持しておけば、異なる多数の宛先ポート番号を利用するパケットに対しても、それが同一のプロトコルによるものであると識別可能である。
ペイロード内の情報を直接解析する方法としては、ペイロードのバイト列や文字列に関する辞書情報を保持し、その辞書情報を参照することで、あるプロトコルに固有のバイト列や文字列がパケット内に存在した場合にプロトコルを識別する方法がある。この方法はポート番号によらないプロトコル識別を可能とするため、辞書情報があれば複数宛先ポート利用プロトコルによるパケットを同一のプロトコルによるものと識別可能である(非特許文献1)。
S. Dharmapurikar ; P. Krishnamurthy ; T. Sproull ; J. Lockwood; Deep packet inspection using parallel Bloom filters, Proc. of 11th Symposium on High Performance Interconnects
しかし、複数宛先ポート利用プロトコルは産業用ネットワーク機器を製造するベンダ固有のプロトコルであり、仕様非公開なことが大半である。従って、宛先ポート番号やペイロード構造等の辞書情報を事前に入手することは困難である。そのため、上述したような事前情報を用いる従来の方法では、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することは困難である。
本発明は上記の点に鑑みてなされたものであり、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することを可能とする技術を提供することを目的とする。
開示の技術によれば、ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置が提供される。
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置が提供される。
開示の技術によれば、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別することを可能とする技術が提供される。
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
本実施の形態では、「ポート」を、ポート番号で識別される、通信データ(パケットと称してもよい)の入口(宛先の場合)又は出口(送信元の場合)の意味で使用する。また、srcPortは送信元ポートであり、dstPortは宛先ポートである。なお、srcPortを送信元ポート番号、dstPortを宛先ポート番号の意味で使用する場合もある。また、「アプリケーションプロトコル」を「プロトコル」と呼ぶ場合がある。
(実施の形態の概要)
本実施の形態では、プロトコル識別装置100が、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別する。
本実施の形態では、プロトコル識別装置100が、事前情報を用いず、複数宛先ポート利用プロトコルのパケットを同一プロトコルのパケットとして識別する。
上記の同一プロトコルとして識別される複数宛先ポート利用プロトコルの多くは、送信元ポートを固定して多数の宛先ポート宛にパケットを送信するという一般的なプロトコルにない挙動を示す。そこで、プロトコル識別装置100は、2ホスト間の通信に関して、送信元ポート番号と宛先ポート番号の対応関係を全て洗い出した上で、同一の送信元ポートから複数の宛先ポートに向けて行われる通信を複数宛先ポート利用プロトコルによる通信として識別する。
その際、プロトコル識別装置100は、複数宛先ポート利用プロトコルと一般的なプロトコルとの間、もしくは複数の複数宛先ポート利用プロトコルの間で、利用する宛先ポート番号が重複してまった場合でも、それぞれの通信を正しく区別可能とする例外対応処理も実施することとしている。
本実施の形態におけるプロトコル識別装置100により、従来技術では複数の異なるアプリケーションプロトコルとして誤認識されてしまう複数宛先ポート利用プロトコルの識別が可能となる。これにより、セキュリティリスクをより正確に認識可能となる。
(システム構成)
図1に、本実施の形態におけるシステム構成図を示す。図1に示すように、本実施の形態におけるシステムは、プロトコル識別装置100、通信元装置200、通信先装置300を有し、これらがネットワークを介してSW(スイッチ)400に接続されている。
図1に、本実施の形態におけるシステム構成図を示す。図1に示すように、本実施の形態におけるシステムは、プロトコル識別装置100、通信元装置200、通信先装置300を有し、これらがネットワークを介してSW(スイッチ)400に接続されている。
通信元装置200、通信先装置300はそれぞれIP通信を行う装置であり、通信元装置200がパケットを送信し、通信先装置300がパケットを受信する。通信元装置200と通信先装置300をそれぞれホストと称してもよい。また、図1には、通信元装置200と通信先装置300がそれぞれ1つずつ示されているが、複数の通信元装置200と複数の通信先装置300が存在してもよい。
通信元装置200から通信先装置300へ送信されるパケットは、SW400により、プロトコル識別装置100へも送信され、プロトコル識別装置100が当該パケットを受信する。プロトコル識別装置100は、受信したパケットを解析することで、プロトコルの識別を行う。
図1に示すとおり、プロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140を有する。プロトコル識別装置100の詳細動作については後述する。
(プロトコルの定義及び前提条件)
本実施の形態におけるプロトコル識別装置100の動作を説明するにあたり、まず、本実施の形態におけるプロトコルの定義及び前提条件を説明する。
本実施の形態におけるプロトコル識別装置100の動作を説明するにあたり、まず、本実施の形態におけるプロトコルの定義及び前提条件を説明する。
<プロトコルの定義>
「複数宛先ポート利用プロトコル」は、図2に示すように、ある送信元IPアドレス(srcIP)-宛先IPアドレス(dstIP)間の通信であって、同一の送信元ポート(srcPort)から複数の宛先ポート(dstPort)宛に通信を行うプロトコルである。
「複数宛先ポート利用プロトコル」は、図2に示すように、ある送信元IPアドレス(srcIP)-宛先IPアドレス(dstIP)間の通信であって、同一の送信元ポート(srcPort)から複数の宛先ポート(dstPort)宛に通信を行うプロトコルである。
「単一宛先ポート利用プロトコル」は、図3に示すように、ある送信元IPアドレス(srcIP)-宛先IPアドレス(dstIP)間の通信であって、同一のdstPortに対して、通信のセッション毎に異なるsrcPortで通信を行うプロトコルである。
なお、図2、図3(及び以降の図も同様)に示される「〇」は、ポート番号で識別されるポートを示す。
<本実施の形態におけるネットワークの前提条件>
本実施の形態では、複数宛先ポート利用プロトコル(識別対象)と単一宛先ポート利用プロトコルによる通信が混在することを前提としている。また、複数宛先ポート利用プロトコルはUDP(User Datagram Protocol)での通信であることを前提としている。
本実施の形態では、複数宛先ポート利用プロトコル(識別対象)と単一宛先ポート利用プロトコルによる通信が混在することを前提としている。また、複数宛先ポート利用プロトコルはUDP(User Datagram Protocol)での通信であることを前提としている。
(プロトコル識別装置の動作例)
次に、図4のフローチャートに示す手順に沿って、図1に示す構成を備えるプロトコル識別装置100の動作例を説明する。
次に、図4のフローチャートに示す手順に沿って、図1に示す構成を備えるプロトコル識別装置100の動作例を説明する。
<S101、S102、S103:前処理>
プロトコル識別装置100は、前処理として、下記のS101~S103を実行する。
プロトコル識別装置100は、前処理として、下記のS101~S103を実行する。
S101において、受信部110が、通信データ(パケットと称してもよい)を受信する。S101においては、受信部110は、例えば、予め定めた期間における複数の通信データを受信する。受信部110により受信した通信データはUDP通信抽出部120に入力される。
S102において、UDP通信抽出部120は、入力された通信データから、UDP通信の通信データを抽出する。S103において、通信データ分割部130は、送信元と宛先のIPアドレスの組(srcIP,dstIP)毎に通信データを分割する。
例えば、(srcIP1,dstIP2)である10個の通信データ、(srcIP1,dstIP3)である20個の通信データ、(srcIP1,dstIP3)である10個の通信データ、(srcIP2,dstIP1)である20個の通信データ、のようにして、送信元と宛先のIPアドレスの組(srcIP,dstIP)毎に通信データが分割される。
分割により得られた通信データは、プロトコル識別装置100におけるメモリやハードディスク等の記憶媒体(記憶部と呼んでもよい)に格納され、プロトコル識別部140により読み出されて、後述するプロトコル識別処理が実行される。
なお、受信部110、UDP通信抽出部120、及び通信データ分割部130により、ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データが取得されることから、「受信部+UDP通信抽出部+通信データ分割部」を「取得部」と呼んでもよい。
続いて、S104~S107において、プロトコル識別装置100のプロトコル識別部140は、S103で得られた通信データを分析することで、複数宛先ポート利用プロトコルを識別する処理を行う。以下、S104~S107の各ステップを、図面を参照しながら詳細に説明する。
S104~S107は、送信元と宛先のIPアドレスの組毎に実行される。以下では、処理対象の送信元と宛先のIPアドレスの組として、特定の(srcIP,dstIP)の組を対象とした処理について説明する。
また、S104~S107の説明において、(送信元IPアドレス,送信元ポート番号,宛先IPアドレス,宛先ポート番号)の組で識別されるものを「通信」と呼ぶ。S104~S107では、特定の(srcIP,dstIP)の組を対象としているので、(送信元ポート番号,宛先ポート番号)の組で識別されるものを「通信」と呼んでよい。
また、例えば、複数の通信データから、送信元ポートA(ポート番号=A)から宛先ポートB(ポート番号=B)への通信を抽出するとは、当該複数の通信データから、(srcPort=A,dstPort=B)にマッチする通信データを抽出することに相当する。
<S104:複数宛先ポート利用プロトコル通信候補の抽出>
S104において、プロトコル識別部140は、対象の通信データの中から、複数のdstPort宛の通信の送信元となるsrcPortを、複数宛先ポート利用プロトコル通信候補のsrcPortとして特定し、特定したsrcPortから当該複数のdstPortへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
S104において、プロトコル識別部140は、対象の通信データの中から、複数のdstPort宛の通信の送信元となるsrcPortを、複数宛先ポート利用プロトコル通信候補のsrcPortとして特定し、特定したsrcPortから当該複数のdstPortへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
図5に抽出の一例を示す。図5の例では、プロトコル識別部140は、(srcIP,dstIP)の組の複数の通信データに基づいて、srcPort-Aを送信元とする複数のdstPort-B、C、D、E、F宛の通信を検出したので、srcPort-Aを複数宛先ポート利用プロトコル通信候補のsrcPortとして特定し、特定したsrcPort‐Aから当該複数のdstPort-B、C、D、E、Fへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
同様にして、プロトコル識別部140は、srcPort‐HからdstPort-L、Mへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出し、srcPort‐IからdstPort-L、Mへのそれぞれの通信を複数宛先ポート利用プロトコル通信候補として抽出する。
なお、図5には、S105の処理により識別されることになる単一宛先ポート利用プロトコル1、2も示されている。
<S105:単一宛先ポート利用プロトコル通信の除外>
S105において、プロトコル識別部140は、S104において抽出した複数宛先ポート利用プロトコル通信の候補から、単一宛先ポート利用プロトコル通信の除外を行う。具体的には下記のとおりである。
S105において、プロトコル識別部140は、S104において抽出した複数宛先ポート利用プロトコル通信の候補から、単一宛先ポート利用プロトコル通信の除外を行う。具体的には下記のとおりである。
プロトコル識別部140は、対象の通信データの中から、複数のsrcPortを送信元とする通信の宛先のdstPortと、そのdstPort宛の通信の送信元の各srcPortを識別し、当該各srcPortから宛先のdstPortへの通信を単一宛先ポート利用プロトコルの通信であると判定し、単一宛先ポート利用プロトコルの通信を、S104において抽出した複数宛先ポート利用プロトコル通信の候補から除外する。
プロトコル識別部140は、単一宛先ポート利用プロトコルの通信を除外することにより残った通信を複数宛先ポート利用プロトコルの通信として識別し、その通信のsrcPortを複数宛先ポート利用プロトコル通信の識別子として抽出する。
図6の具体例では、プロトコル識別部140は、(srcIP,dstIP)の組の複数の通信データに基づいて、srcPort‐GからdstPort‐Lへの通信、srcPort‐HからdstPort‐Lへの通信、及びsrcPort‐IからdstPort‐Lへの通信を単一宛先ポート利用プロトコル1の通信として抽出する。また、プロトコル識別部140は、srcPort‐GからdstPort‐Jへの通信、srcPort‐HからdstPort‐Jへの通信、及びsrcPort‐IからdstPort‐Jへの通信を単一宛先ポート利用プロトコル1の通信として抽出する。
また、プロトコル識別部140は、srcPort‐HからdstPort‐Mへの通信、srcPort‐IからdstPort‐Mへの通信、srcPort‐JからdstPort‐Mへの通信、及びsrcPort‐KからdstPort‐Mへの通信を単一宛先ポート利用プロトコル2の通信として抽出する。
上記の単一宛先ポート利用プロトコル1、2の通信のうち、srcPort‐HからdstPort‐Lへの通信と、srcPort‐HからdstPort‐Mへの通信は、srcPort‐HをsrcPortとする複数宛先ポート利用プロトコル通信であり、srcPort‐IからdstPort‐Lへの通信とsrcPort‐IからdstPort‐Mへの通信は、srcPort‐IをsrcPortとする複数宛先ポート利用プロトコル通信である。
これらの複数宛先ポート利用プロトコル通信は、S104において、複数宛先ポート利用プロトコル通信の候補として抽出されていたものである。S105では、これらの通信が、S104において複数宛先ポート利用プロトコル通信の候補として抽出された通信から除外される。
<S106:複数宛先ポート利用プロトコル間のdstPort重複対応処理>
まず、S106の必要性を説明する。複数の複数宛先ポート利用プロトコル間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
まず、S106の必要性を説明する。複数の複数宛先ポート利用プロトコル間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
このことについて、図7を参照して説明する。図7は、S104において、複数宛先ポート利用プロトコル1の通信(srcPort-AからdstPort‐B、C、D、E、Fへの通信)と、複数宛先ポート利用プロトコル2の通信(srcPort-GからdstPort‐E、F、H、I、Jへの通信)の2つの複数宛先ポート利用プロトコルの通信が抽出された場合の例を示している。
これら2つの複数宛先ポート利用プロトコルの通信の間で、dstPort‐E、Fが重複している。
この場合、S105において、srcPort-A、GからdstPort-Eへの単一宛先ポート利用プロトコル通信と、srcPort-A、GからdstPort-Fへの単一宛先ポート利用プロトコル通信とが除外される。しかし、これらの通信はいずれも、複数宛先ポート利用プロトコルの通信の中の一部の通信であるため、除外されるべきではない。そのため、例外的に複数宛先ポート利用プロトコルの通信として判定し直す必要がある。
そこで、S106において、プロトコル識別部140は、S105で除外された通信であっても、それが複数宛先ポート利用プロトコルのsrcPortからのみ発信される通信であれば、当該通信を複数宛先ポート利用プロトコルの通信として識別し直す。つまり、複数宛先ポート利用プロトコルのsrcPortのみをsrcPortとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する。
図7に示した具体例では、S105で除外されたsrcPort-A、GからdstPort-Eへの通信と、srcPort-A、GからdstPort-Fへの通信はいずれも、srcPort-A、GをsrcPortとしており、srcPort-A、Gは、複数宛先ポート利用プロトコルのsrcPortのみを有する。
従って、図8に示すように、プロトコル識別部140は、srcPort-A、GからdstPort-Eへの通信、及びsrcPort-A、GからdstPort-Fへの通信のうち、srcPort-AからdstPort-E、Fへの通信を複数宛先ポート利用プロトコル1の通信として再識別し、srcPort-GからdstPort-E、Fへの通信を複数宛先ポート利用プロトコル2の通信として再識別する。
<S107:複数宛先ポート利用-単一宛先ポート利用プロトコル間のdstPort重複対応処理>
まず、S107の必要性を説明する。複数宛先ポート利用プロトコルの通信と単一宛先ポート利用プロトコルの通信との間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
まず、S107の必要性を説明する。複数宛先ポート利用プロトコルの通信と単一宛先ポート利用プロトコルの通信との間で利用dstPortが重複した場合、重複したdstPortに紐づく通信がS105により単一宛先ポート利用プロトコルの通信と判定され除外されてしまう。
このことについて、図9を参照して説明する。図9の例では、S104において、srcPort-AからdstPort‐B、C、D、Eへの通信である複数宛先ポート利用プロトコルの通信が抽出される。また、S105において、srcPort-A、F、G、H、IからdstPort‐Eへの通信である単一宛先ポート利用プロトコルの通信が抽出され、srcPort-AからdstPort‐Eへの通信が、複数宛先ポート利用プロトコルの通信から除外される。
しかし、srcPort-AからdstPort‐Eへの通信は、複数宛先ポート利用プロトコルの通信の中の一部の通信であるため、除外されるべきではない。そのため、複数宛先ポート利用プロトコルの通信として判定し直す必要がある。
そこで、S107において、プロトコル識別部140は、S105で除外された通信であっても、それが複数宛先ポート利用プロトコルのsrcPortからのみ発信される通信であれば、当該通信を複数宛先ポート利用プロトコルの通信として識別し直す。
すなわち、プロトコル識別部140は、S105において候補から除外された単一宛先ポート利用プロトコルの通信のうち、当該候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、当該候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する。
図9で説明した具体例では、S105で除外されたsrcPort-AからdstPort-Eへの通信は、複数宛先ポート利用プロトコルのdstPort-Eを宛先ポートとする単一宛先ポート利用プロトコルにおける、複数宛先ポート利用プロトコルのsrcPort-Aからの通信である。
よって、図10に示すように、rcPort-AからdstPort-Eへの通信を複数宛先ポート利用プロトコルの通信として再識別する。
以下、これまでに説明したプロトコル識別技術を用いた実施例として、実施例1、2を説明する。なお、実施例1と実施例2は組み合わせて実施してもよい。
(実施例1)
実施例1では、産業用制御システムネットワークにおいて、プロトコル識別装置100が、各ホストが利用するアプリケーションの特定を行う。
実施例1では、産業用制御システムネットワークにおいて、プロトコル識別装置100が、各ホストが利用するアプリケーションの特定を行う。
図11に、実施例1におけるプロトコル識別装置100を有するシステムの構成例を示す。図11に示すように、実施例1のプロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140、可視化部150を有する。受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140は、既に説明したとおりである。
可視化部150は、プロトコル識別部140により識別されたアプリケーションプロトコル名を表示する。プロトコル識別部140によりアプリケーションプロトコルが識別できなかった場合、可視化部150は、(ポート番号/L4プロトコル名)の組をアプリケーション名として表示する
実施例1では、送信元ポート番号13000番を利用して10000個以上の宛先ポート番号のポートに通信する仕様非公開のアプリケーションプロトコルが存在することをネットワーク環境条件としている。
実施例1では、送信元ポート番号13000番を利用して10000個以上の宛先ポート番号のポートに通信する仕様非公開のアプリケーションプロトコルが存在することをネットワーク環境条件としている。
図12は、本発明に係る技術を適用せずに、宛先ポート番号に基づいてアプリケーションプロトコルを識別して可視化した表示例を示している。図12には、送信元のIPアドレス及びMACアドレスと、識別されたアプリケーションプロトコルが示されている。
図12に示すように、本発明に係る技術を適用しない場合、10000個以上存在するポート番号毎にアプリケーションプロトコルが動作しているように見えてしまう。そのため、本来存在するアプリケーションの数を正確に把握することができず、また可視化結果の可読性も大きく低下させる。
図13は、実施例1のプロトコル識別装置100により可視化した表示例を示す。図13には、送信元のIPアドレス及びMACアドレスと、識別されたサービスが示されている。
図13に示すように、同一の送信元ポート(ポート番号13000番)から複数の宛先ポートを利用する通信を、送信元ポート番号を識別キーとして一つアプリケーション(サービス)として識別し、表示する。これにより、アプリケーション数を正しく把握でき、可読性も向上する。
(実施例2)
実施例2では、プロトコル識別装置100が、産業用制御システムネットワークにおけるホワイトリストエントリの自動生成を行う。
実施例2では、プロトコル識別装置100が、産業用制御システムネットワークにおけるホワイトリストエントリの自動生成を行う。
図14に、実施例2におけるプロトコル識別装置100を有するシステムの構成例を示す。図14に示すように、実施例2のプロトコル識別装置100は、受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140、ホワイトリスト生成部160を有する。受信部110、UDP通信抽出部120、通信データ分割部130、プロトコル識別部140は、既に説明したとおりである。ホワイトリスト生成部160は、後述する方法でホワイトリストのエントリを生成する。
実施例2でも、送信元ポート番号13000番を利用して10000個以上の宛先ポート番号のポートに通信する仕様非公開のアプリケーションプロトコルが存在することをネットワーク環境条件としている。
実施例2では、まず、プロトコル識別部140が、取得した通信データ(パケットと称してもよい)に対して本発明に係る技術を適用し、複数宛先ポート利用プロトコルのsrcPortを抽出する。説明の便宜上、この抽出されたsrcPortをsrcPort-Aとする。抽出されたsrcPortが複数である場合は、各srcPortに対して以下の処理を行う。
ホワイトリスト生成部160は、(1)複数宛先ポート利用プロトコル通信に関する処理、及び(2)単一宛先ポート利用プロトコル通信に関する処理を実行する。以下、(1)、(2)それぞれの処理を説明する。
(1)複数宛先ポート利用プロトコル通信に関する処理
ホワイトリスト生成部160は、srcPort―Aにより識別される複数宛先ポート利用プロトコルの当該srcPort‐Aを送信元ポート番号とする各通信データの宛先ポート番号(dstPort)を抽出し、抽出したdstPortの最小値と最大値を計算する。
ホワイトリスト生成部160は、srcPort―Aにより識別される複数宛先ポート利用プロトコルの当該srcPort‐Aを送信元ポート番号とする各通信データの宛先ポート番号(dstPort)を抽出し、抽出したdstPortの最小値と最大値を計算する。
続いて、ホワイトリスト生成部160は、当該複数宛先ポート利用プロトコルのsrcPort‐Aを送信元ポート番号とする通信データの(srcIP,dstIP,srcPort,dstPort,udp/tcp)をエントリ情報として設定する。なお、dstPortのみ範囲指定とし、範囲は事前に抽出した最小値から最大値までとする。範囲指定が不可能な場合はワイルドカードとする。
以上の処理により、複数宛先ポート利用プロトコル通信に関するホワイトリストが生成される。
(2)単一宛先ポート利用プロトコル通信に関する処理
ホワイトリスト生成部160は、srcPort‐Aにより識別される複数宛先ポート利用プロトコルの当該srcPort-Aを送信元ポート番号としない通信データについて、通信データ内の(srcIP,dstIP,dstPort,udp/tcp)をエントリ情報として設定し、srcPortはワイルドカードとする。
ホワイトリスト生成部160は、srcPort‐Aにより識別される複数宛先ポート利用プロトコルの当該srcPort-Aを送信元ポート番号としない通信データについて、通信データ内の(srcIP,dstIP,dstPort,udp/tcp)をエントリ情報として設定し、srcPortはワイルドカードとする。
以上の処理により、単一宛先ポート利用プロトコル通信に関するホワイトリストが生成される。
<実施例2の期待される効果>
実施例2により、機器リソース及び運用管理コストの削減が可能である。すなわち、実施例2により、10000個以上利用されることがある複数宛先ポート利用プロトコルのdstPortを別エントリとして登録せず、範囲指定の1エントリに圧縮することでホワイトリストエントリ数を大幅に削減し、IDS(Intrusion Detection System)等の機器リソース及びIDS運用者のホワイトリスト運用管理コストを削減することが可能となる。
実施例2により、機器リソース及び運用管理コストの削減が可能である。すなわち、実施例2により、10000個以上利用されることがある複数宛先ポート利用プロトコルのdstPortを別エントリとして登録せず、範囲指定の1エントリに圧縮することでホワイトリストエントリ数を大幅に削減し、IDS(Intrusion Detection System)等の機器リソース及びIDS運用者のホワイトリスト運用管理コストを削減することが可能となる。
(ハードウェア構成例)
図1、図11、図14を参照して説明した本実施の形態におけるプロトコル識別装置100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現することができる。
図1、図11、図14を参照して説明した本実施の形態におけるプロトコル識別装置100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現することができる。
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
図15は、上記コンピュータのハードウェア構成例を示す図である。図15のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、プロトコル識別装置100に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
(実施の形態の効果)
本実施の形態に係る技術により、従来技術では複数の異なるアプリケーションプロトコルとして誤認識されてしまう複数宛先ポート利用プロトコルの識別を行うことが可能となり、セキュリティリスクをより正確に認識可能となる。
本実施の形態に係る技術により、従来技術では複数の異なるアプリケーションプロトコルとして誤認識されてしまう複数宛先ポート利用プロトコルの識別を行うことが可能となり、セキュリティリスクをより正確に認識可能となる。
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載したプロトコル識別装置、プロトコル識別方法、及びプログラムが記載されている。
(第1項)
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置。
(第2項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、複数宛先ポート利用プロトコルの送信元ポートのみを複数の送信元ポートとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項に記載のプロトコル識別装置。
(第3項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、前記候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、前記候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項又は第2項に記載のプロトコル識別装置。
(第4項)
前記プロトコル識別部は、複数宛先ポート利用プロトコルの通信として識別された通信の送信元ポートを、当該複数宛先ポート利用プロトコルの識別子として抽出し、前記プロトコル識別装置は、前記識別子を表示する可視化部を備える
第1項ないし第3項のうちいずれか1項に記載のプロトコル識別装置。
(第5項)
前記プロトコル識別部により抽出された複数宛先ポート利用プロトコルの通信の送信元ポート番号と、当該複数宛先ポート利用プロトコルの通信の宛先ポート番号の最小値と最大値による範囲指定とを有するホワイトリストを生成するホワイトリスト生成部
を備える第1項ないし第4項のうちいずれか1項に記載のプロトコル識別装置。
(第6項)
プロトコル識別装置が実行するプロトコル識別方法であって、
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得するステップと、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するステップと
を備えるプロトコル識別方法。
(第7項)
コンピュータを、第1項ないし第5項のうちいずれか1項に記載のプロトコル識別装置における各部として機能させるためのプログラム。
本明細書には、少なくとも下記の各項に記載したプロトコル識別装置、プロトコル識別方法、及びプログラムが記載されている。
(第1項)
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置。
(第2項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、複数宛先ポート利用プロトコルの送信元ポートのみを複数の送信元ポートとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項に記載のプロトコル識別装置。
(第3項)
前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、前記候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、前記候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する
第1項又は第2項に記載のプロトコル識別装置。
(第4項)
前記プロトコル識別部は、複数宛先ポート利用プロトコルの通信として識別された通信の送信元ポートを、当該複数宛先ポート利用プロトコルの識別子として抽出し、前記プロトコル識別装置は、前記識別子を表示する可視化部を備える
第1項ないし第3項のうちいずれか1項に記載のプロトコル識別装置。
(第5項)
前記プロトコル識別部により抽出された複数宛先ポート利用プロトコルの通信の送信元ポート番号と、当該複数宛先ポート利用プロトコルの通信の宛先ポート番号の最小値と最大値による範囲指定とを有するホワイトリストを生成するホワイトリスト生成部
を備える第1項ないし第4項のうちいずれか1項に記載のプロトコル識別装置。
(第6項)
プロトコル識別装置が実行するプロトコル識別方法であって、
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得するステップと、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するステップと
を備えるプロトコル識別方法。
(第7項)
コンピュータを、第1項ないし第5項のうちいずれか1項に記載のプロトコル識別装置における各部として機能させるためのプログラム。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 プロトコル識別装置
110 受信部
120 UDP通信抽出部
130 通信データ分割部
140 プロトコル識別部
150 可視化部
160 ホワイトリスト生成部
200 通信元装置
300 通信先装置
400 SW
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
110 受信部
120 UDP通信抽出部
130 通信データ分割部
140 プロトコル識別部
150 可視化部
160 ホワイトリスト生成部
200 通信元装置
300 通信先装置
400 SW
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
Claims (7)
- ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得する取得部と、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するプロトコル識別部と
を備えるプロトコル識別装置。 - 前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、複数宛先ポート利用プロトコルの送信元ポートのみを複数の送信元ポートとして有する単一宛先ポート利用プロトコルの通信を複数宛先ポート利用プロトコルの通信として再識別する
請求項1に記載のプロトコル識別装置。 - 前記プロトコル識別部は、前記候補から除外された単一宛先ポート利用プロトコルの通信のうち、前記候補に係る複数宛先ポート利用プロトコルの宛先ポートを宛先ポートとする単一宛先ポート利用プロトコルにおける、前記候補に係る複数宛先ポート利用プロトコルの送信元ポートからの通信を複数宛先ポート利用プロトコルの通信として再識別する
請求項1又は2に記載のプロトコル識別装置。 - 前記プロトコル識別部は、複数宛先ポート利用プロトコルの通信として識別された通信の送信元ポートを、当該複数宛先ポート利用プロトコルの識別子として抽出し、前記プロトコル識別装置は、前記識別子を表示する可視化部を備える
請求項1ないし3のうちいずれか1項に記載のプロトコル識別装置。 - 前記プロトコル識別部により抽出された複数宛先ポート利用プロトコルの通信の送信元ポート番号と、当該複数宛先ポート利用プロトコルの通信の宛先ポート番号の最小値と最大値による範囲指定とを有するホワイトリストを生成するホワイトリスト生成部
を備える請求項1ないし4のうちいずれか1項に記載のプロトコル識別装置。 - プロトコル識別装置が実行するプロトコル識別方法であって、
ある送信元IPアドレスからある宛先IPアドレスへの通信に係る複数の通信データを取得するステップと、
前記複数の通信データに基づいて、1つの送信元ポートから複数の宛先ポートへの通信を、複数宛先ポート利用プロトコルの通信の候補として抽出し、当該複数宛先ポート利用プロトコルの通信の候補から、単一宛先ポート利用プロトコルの通信を除外し、残った通信を複数宛先ポート利用プロトコルの通信として識別するステップと
を備えるプロトコル識別方法。 - コンピュータを、請求項1ないし5のうちいずれか1項に記載のプロトコル識別装置における各部として機能させるためのプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/999,431 US20230208944A1 (en) | 2020-05-28 | 2020-05-28 | Protocol identifying apparatus, protocol identifying method and program |
| PCT/JP2020/021222 WO2021240752A1 (ja) | 2020-05-28 | 2020-05-28 | プロトコル識別装置、プロトコル識別方法、及びプログラム |
| JP2022527418A JP7380868B2 (ja) | 2020-05-28 | 2020-05-28 | プロトコル識別装置、プロトコル識別方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/021222 WO2021240752A1 (ja) | 2020-05-28 | 2020-05-28 | プロトコル識別装置、プロトコル識別方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2021240752A1 true WO2021240752A1 (ja) | 2021-12-02 |
Family
ID=78723231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2020/021222 WO2021240752A1 (ja) | 2020-05-28 | 2020-05-28 | プロトコル識別装置、プロトコル識別方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230208944A1 (ja) |
| JP (1) | JP7380868B2 (ja) |
| WO (1) | WO2021240752A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007049262A (ja) * | 2005-08-08 | 2007-02-22 | Sony Computer Entertainment Inc | 端末、通信装置、通信確立方法および認証方法 |
| JP2010057034A (ja) * | 2008-08-29 | 2010-03-11 | Nec Infrontia Corp | ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
-
2020
- 2020-05-28 US US17/999,431 patent/US20230208944A1/en active Pending
- 2020-05-28 JP JP2022527418A patent/JP7380868B2/ja active Active
- 2020-05-28 WO PCT/JP2020/021222 patent/WO2021240752A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007049262A (ja) * | 2005-08-08 | 2007-02-22 | Sony Computer Entertainment Inc | 端末、通信装置、通信確立方法および認証方法 |
| JP2010057034A (ja) * | 2008-08-29 | 2010-03-11 | Nec Infrontia Corp | ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7380868B2 (ja) | 2023-11-15 |
| JPWO2021240752A1 (ja) | 2021-12-02 |
| US20230208944A1 (en) | 2023-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US8701192B1 (en) | Behavior based signatures | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| US7703138B2 (en) | Use of application signature to identify trusted traffic | |
| US8881271B2 (en) | System and method for forensic identification of elements within a computer system | |
| US20060130145A1 (en) | System and method for analyzing malicious code protocol and generating harmful traffic | |
| US10313370B2 (en) | Generating malware signatures based on developer fingerprints in debug information | |
| US20230362182A1 (en) | Abnormality sensing device and abnormality sensing method | |
| US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| JP6308601B2 (ja) | パケット処理方法およびデバイス | |
| CN106133742B (zh) | 确定装置、确定方法以及确定程序 | |
| US20100287304A1 (en) | Internet Protocol Version 6 Network Connectivity in a Virtual Computer System | |
| US11647032B2 (en) | Apparatus and method for classifying attack groups | |
| JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN114422387A (zh) | 一种网络资产探测方法、装置、电子设备和存储介质 | |
| US20070266431A1 (en) | Firewall Inspecting System and Firewall Information Extraction System | |
| US10097567B2 (en) | Information processing apparatus and identifying method | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| US20160028628A1 (en) | Communication system, control apparatus, address allocation method, and program | |
| KR101772681B1 (ko) | 방화벽 장치 및 그의 구동방법 | |
| WO2021240752A1 (ja) | プロトコル識別装置、プロトコル識別方法、及びプログラム | |
| US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
| US8607310B2 (en) | Association of in-band and out-of-band identification credentials of a target device | |
| US10909243B2 (en) | Normalizing entry point instructions in executable program files | |
| WO2024038566A1 (ja) | 抽出装置、抽出方法および抽出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20937707 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2022527418 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 20937707 Country of ref document: EP Kind code of ref document: A1 |