JP2012169731A - Unauthorized packet extraction device - Google Patents
Unauthorized packet extraction device Download PDFInfo
- Publication number
- JP2012169731A JP2012169731A JP2011026987A JP2011026987A JP2012169731A JP 2012169731 A JP2012169731 A JP 2012169731A JP 2011026987 A JP2011026987 A JP 2011026987A JP 2011026987 A JP2011026987 A JP 2011026987A JP 2012169731 A JP2012169731 A JP 2012169731A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- illegal
- unit
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク内で通信される不正パケットを抽出する不正パケット抽出装置
に関する。
The present invention relates to an illegal packet extraction device that extracts illegal packets communicated in a network.
近年、遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、コンピュー
タウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を
行なったり、情報を外部に漏洩させたりする有害なソフトウェアによる感染被害が重大な
問題となっている。以下、コンピュータウイルス、ワーム、スパイウエアなどの悪意をも
ったソフトウェアを総称してマルウエアと呼ぶ。
In recent years, software that can invade and attack remote computers, and viruses such as computer viruses can infect and destroy other computers and leak information to the outside. Infection damage caused by complicated software is a serious problem. Hereinafter, malicious software such as computer viruses, worms, and spyware are collectively referred to as malware.
このようなマルウエアに由来する通信を早期に発見して被害拡大に対処するために、各
企業においてはマルウエア対策が取られている。例えば、上位ネットワークと下位ネット
ワークとの境界にファイヤーウォールを設置し、このファイヤーウォールでログを取り込
んで、分析者がログを分析することでマルウエアに由来する「想定外の通信」を検出する
方法が広く行われている。
In order to detect such communication originating from malware at an early stage and deal with the damage expansion, each company takes countermeasures against malware. For example, there is a method of detecting a “unexpected communication” derived from malware by installing a firewall at the boundary between the upper network and the lower network, capturing the log with this firewall, and analyzing the log by the analyst. Widely done.
図10は、従来におけるファイヤーウォールのログ解析を行うためのログ解析用コンピ
ュータを備えたネットワークシステムの一例を示している。プラントネットワーク510
と上位ネットワーク520との境界にはファイヤーウォール500が設置されている。フ
ァイヤーウォール500は、ファイヤーウォール500を通過するログを取り、このログ
をメモリ502に保存する。ログ解析用PC504は、ファイヤーウォール500に接続
されており、メモリ502からログを読み出してファイヤーウォール500のログの分析
作業を行う。
FIG. 10 shows an example of a network system including a conventional log analysis computer for performing log analysis of a firewall.
And the
図11は、従来におけるファイヤーウォールのログの分析を行う場合のフローチャート
を示している。なお、ログの分析作業では、ファイヤーウォールに到達した全てのパケッ
トを分析する必要があるので、ファイヤーウォールでは「通過パケット」および「廃棄パ
ケット」の両方を記録するようにログ機能の設定が行われる。
FIG. 11 shows a flowchart in the case of analyzing a log of a conventional firewall. In log analysis work, it is necessary to analyze all packets that arrived at the firewall, so the firewall sets the log function to record both "passed packets" and "discarded packets". .
ステップS300で分析者は、一定期間が経過すると、ファイヤーウォールのログを一
行取り出す。そして、ステップS302で取り出したログが通過ログか否かを判断する。
ログが通過ログであると判断した場合にはステップS304に進み、ログが通過ログでな
いと判断した場合にはステップS306に進む。
In step S300, the analyst takes out one line of the firewall log when a certain period of time has elapsed. Then, it is determined whether or not the log extracted in step S302 is a passing log.
If it is determined that the log is a passing log, the process proceeds to step S304. If it is determined that the log is not a passing log, the process proceeds to step S306.
ステップS304で分析者は、通過ログに対して対応するログがあるか否かを判断する
。対応する通過ログがあると判断した場合には、次の行のログを取り出し、上述したよう
な不正パケット抽出作業を行う。一方、通過ログに対して対応するログがないと判断した
場合には、この通過ログが想定外の通信である可能性が高いと判断する。
In step S304, the analyst determines whether there is a corresponding log for the passing log. If it is determined that there is a corresponding passage log, the log on the next line is extracted and the illegal packet extraction operation described above is performed. On the other hand, if it is determined that there is no corresponding log for the passing log, it is determined that there is a high possibility that this passing log is an unexpected communication.
ログが通過ログでないと判断した場合には、ステップS306で分析者は、そのログが
廃棄ログであるかいなかを判断する。分析者は、ログが廃棄ログであると判断した場合に
は、このログが想定外の通信である可能性が高いと判断する。一方、廃棄ログでないと判
断した場合には、次の行のログを取り出し、上述したような不正パケット抽出作業を行う
。ステップS308では、ログが最後の行であるか否かを判断し、最後のログである場合
には一連の処理を終了し、最後のログでない場合にはステップS300に戻って上述した
ログの分析を行う。
If it is determined that the log is not a passing log, the analyst determines in step S306 whether the log is a discard log. When the analyst determines that the log is a discard log, the analyst determines that there is a high possibility that the log is an unexpected communication. On the other hand, if it is determined that the log is not a discard log, the log on the next line is extracted and the illegal packet extraction operation as described above is performed. In step S308, it is determined whether or not the log is the last line. If the log is the last log, the series of processes is terminated. If the log is not the last log, the process returns to step S300 to analyze the log described above. I do.
このログ分析において、ファイヤーウォールが最低限必要な通信のみを正しく許可する
ような設定が行われている場合には、ファイヤーウォールのログに廃棄のログが出ていれ
ば、「想定外の通信」が発生したと判断できる。また、分析結果において、「通過ログ」
に対応するログが存在しない場合にも「想定外の通信」が発生したと判断できる。これは
、「通過パケット」に対して対応するパケットが存在しなければ、「通過パケット」がマ
ルウエアの由来による通信である可能性が高いからである。ここで、「対応」とは、クラ
イアントからサーバに向かうパケットと、サーバからクライアントに向かうパケットの通
信の対応を意味している。特に、あるPCのIPアドレスから、複数の通信先への通過ロ
グがあり、それに対応する通過ログがない場合、マルウエアからの通信と考えることがで
きる。
In this log analysis, if the firewall is configured to correctly allow only the minimum required communication, if the discard log appears in the firewall log, "Unexpected communication" Can be determined to have occurred. In addition, in the analysis result, “passing log”
It can be determined that “unexpected communication” has occurred even when there is no log corresponding to. This is because if there is no packet corresponding to the “passing packet”, there is a high possibility that the “passing packet” is communication originating from malware. Here, “correspondence” means correspondence of communication between a packet from the client to the server and a packet from the server to the client. In particular, when there is a passage log from a certain PC IP address to a plurality of communication destinations and there is no passage log corresponding thereto, it can be considered that the communication is from malware.
マルウエアに由来する「想定外の通信」としては、以下に示す(1)〜(8)が想定さ
れる。
(1)感染したPCと同一ネットワークにサービススキャンする。
(2)感染したPCと同一ネットワークに感染を広げるための通信を行う。
(3)感染したPCとは違うネットワークにサービススキャンする。
(4)感染したPCとは違うネットワークに感染を広げるための通信を行う。
(5)攻撃パケットを様々な宛先に送信する。
(6)インターネットのどこかに接続して、プログラムをダウンロードする。
(7)インターネットのどこかに接続して、指令を受ける。
(8)インターネットのどこかに情報を送信する。
As “unexpected communication” derived from malware, the following (1) to (8) are assumed.
(1) A service scan is performed on the same network as the infected PC.
(2) Communication is performed to spread the infection to the same network as the infected PC.
(3) A service scan is performed on a different network from the infected PC.
(4) Communication is performed to spread the infection to a different network from the infected PC.
(5) Send attack packets to various destinations.
(6) Connect to somewhere on the Internet and download the program.
(7) Connect to somewhere on the Internet and receive a command.
(8) Send information somewhere on the Internet.
また、他のマルウエアによる不正パケットの抽出方法として、ネットワークを流れるI
Pパケットを記憶部に記憶し、監視手段によりネットワークのIPパケットを監視し、侵
入パターンにより侵入検知し、転送手段に通知する侵入監視方法が提案されている(特許
文献1参照)。この侵入監視方法によれば、データ量が少なく、確実に侵入解析を行うこ
とができる。
In addition, as a method of extracting illegal packets by other malware, I
An intrusion monitoring method has been proposed in which P packets are stored in a storage unit, a network IP packet is monitored by a monitoring unit, an intrusion is detected by an intrusion pattern, and notified to a transfer unit (see Patent Document 1). According to this intrusion monitoring method, the amount of data is small and intrusion analysis can be performed reliably.
しかしながら、上記従来の不正パケット抽出装置や特許文献1等に開示される侵入監視
方法では、以下のような問題がある。
(1)特許文献1等に開示される侵入監視方法では、ファイヤーウォールで廃棄および通
過の両方のログを取る必要がある。そのため、両方のログを取らなければならないので、
ファイヤーウォールに負荷がかかるという問題がある。
(2)ファイヤーウォールのログの分析において、廃棄ログについては不正なログあるこ
とが容易に判断できるが、通過ログについては対応の確認を行う必要がある(対応作業)
。この対応作業には、通信の流れを組み立てて分析する必要があり、高い技能が要求され
るので、分析者の負担が増えてしまうという問題がある。
(3)ファイヤーウォールのログフォーマットは、ファイヤーウォールを提供するベンダ
毎に異なっているため、各ベンダ毎にログを解釈するアプリケーションを開発しなければ
ならず、高い開発コストがかかるという問題がある。
However, the intrusion monitoring method disclosed in the above-described conventional illegal packet extraction device and Patent Document 1 has the following problems.
(1) In the intrusion monitoring method disclosed in Patent Document 1 and the like, it is necessary to log both discard and passage through a firewall. So you have to take both logs,
There is a problem that a load is applied to the firewall.
(2) In the analysis of firewall logs, it can be easily determined that the discard log is an illegal log, but it is necessary to confirm the correspondence for the passing log (corresponding work)
. In this handling work, it is necessary to assemble and analyze the communication flow, and a high skill is required. Therefore, there is a problem that the burden on the analyst increases.
(3) Since the log format of the firewall is different for each vendor that provides the firewall, an application for interpreting the log must be developed for each vendor, and there is a problem that high development costs are required.
そこで、本発明は、上記課題に鑑みてなされたものであり、自動的に不正パケットを抽
出することが可能なパケット抽出装置を提供することを目的とする。
Therefore, the present invention has been made in view of the above problems, and an object thereof is to provide a packet extraction device capable of automatically extracting illegal packets.
上記課題を解決するために、本発明に係る不正パケット抽出装置は、第1のネットワー
クで発生した不正パケットを抽出する不正パケット抽出装置において、第1のネットワー
クで通信されるパケットを取得し、取得したパケットを少なくとも第1のネットワークか
ら第2のネットワークに向かうパケットのタイプを含む複数のタイプに分類するパケット
キャプチャ部と、パケットキャプチャ部により分類されたパケットのうち第1のネットワ
ークから第2のネットワークに向かうパケットが存在する場合に、このパケットに対応し
た応答パケットが存在するか否かを検査して判定を行うパケット検査部と、パケット検査
部により判定されたパケットと、このパケットの応答パケットが存在するか否かの判定結
果を示す判定情報とを対応付けて記憶する記憶部と、記憶部に記憶されているパケットの
判定情報に基づいてこのパケットが不正パケットであるか否かを判定して出力するメモリ
管理部とを備えるものである。
In order to solve the above-described problem, an illegal packet extraction device according to the present invention acquires and acquires a packet communicated in the first network in the illegal packet extraction device that extracts an illegal packet generated in the first network. A packet capture unit for classifying the received packet into a plurality of types including a type of packet directed from at least the first network to the second network, and the second network from the first network among the packets classified by the packet capture unit When there is a packet destined for the packet, a packet inspection unit that determines whether there is a response packet corresponding to the packet, a packet determined by the packet inspection unit, and a response packet of the packet Corresponding to judgment information indicating the judgment result of whether or not it exists A storage unit for storing for, the packet is provided with a memory management unit and outputs the determination whether a bad packet based on the determination information of the packet stored in the storage unit.
本発明において、不正パケットとは、「想定外の通信」を意味しており、ボット、スパ
イウエア、ワーム・ウイルスなどのマルウエアによりユーザの意思に関係なく行われる通
信や、設定ミスに由来する通信等を含むものである。具体的には、第1のネットワークか
ら第2のネットワークへ通信されるパケットに対して応答パケットの存在しない通信や、
第1のネットワークから第2のネットワークに向かい、ファイヤーウォールで遮断される
通信等が挙げられる。
In the present invention, the illegal packet means “unexpected communication”, communication performed regardless of the user's intention by malware such as bot, spyware, worm and virus, communication derived from a setting error, etc. Is included. Specifically, communication without a response packet for a packet communicated from the first network to the second network,
For example, communication that goes from the first network to the second network and is blocked by a firewall can be used.
本発明によれば、第1のネットワーク内で通信されるパケットを取得することで不正パ
ケットを自動的に抽出することができる。その結果、従来のようにファイヤーウォールの
ログ解析作業をする必要がなくなるので、作業負担の軽減を図ることができると共に、開
発の低コスト化を図ることができる。
According to the present invention, an illegal packet can be automatically extracted by acquiring a packet communicated in the first network. As a result, there is no need to perform firewall log analysis work as in the prior art, so the work burden can be reduced and development costs can be reduced.
以下、発明を実施するための最良の形態(以下実施の形態とする)について説明する。
[ネットワークシステムの構成例]
図1は、本発明に係るネットワークシステム200の構成の一例について説明する。図
1に示すように、ネットワークシステム200は、上位ネットワーク(第2のネットワー
ク)60と下位ネットワーク(第1のネットワーク)70とファイヤーウォール20とス
イッチ30と複数のコンピュータ50a,50bと不正パケット抽出装置10とを備えて
いる。
Hereinafter, the best mode for carrying out the invention (hereinafter referred to as an embodiment) will be described.
[Network system configuration example]
FIG. 1 illustrates an example of the configuration of a
上位ネットワーク60は、下位ネットワーク70のデフォルトゲートウェイの先の外部
ネットワークである。下位ネットワーク70は、例えば組織内のイントラネットである。
下位ネットワーク70内には、スイッチ30と複数のコンピュータ50a,50bと不正
パケット抽出装置10とが設置されている。
The
In the
ファイヤーウォール20は、上位ネットワーク60と下位ネットワーク70との境界部
に設置され、一端が上位ネットワーク60に接続されると共に他端がスイッチ30の例え
ば通信ポート30aに接続され、上位ネットワーク60から下位ネットワーク70に向か
うパケットおよび下位ネットワーク70から上位ネットワーク60に向かうパケットを監
視して不正なパケットを検出・遮断する。例えば、ファイヤーウォール20は、宛先や送
信元のIPアドレス、ポート番号などを監視し、予め設定した条件によって、その通信を
受け入れる、廃棄する、拒否する等の動作によりパケット通信を制御する。なお、本例に
おいてファイヤーウォール20は、ルーティング機能を備えているものとする。
The
スイッチ30は、コンピュータ50a,50bや上位ネットワーク60から供給される
パケットのスイッチング制御等を行うものであり、複数の通信ポート30a〜30dとミ
ラーポート30eとを有している。ミラーポート30eは、ネットワーク監視用のポート
であり、スイッチ30の通常の通信ポート30a〜30dを通過する全てのパケット(デ
ータ)を複製して、ミラーポート30eに接続される不正パケット抽出装置10に供給す
る。なお、スイッチ30の通信ポート30bにはプラントネットワークが接続される。
The
コンピュータ50aは、スイッチ30の例えば通信ポート30cに接続され、スイッチ
30およびファイヤーウォール20を介して上位ネットワーク60や下位ネットワーク内
のコンピュータ50b、ファイヤーウォール20等と双方向のパケット通信を行う機能を
有する。コンピュータ50bはコンピュータ50aと同様の構成であるため、説明を省略
する。
The computer 50a is connected to, for example, the communication port 30c of the
不正パケット抽出装置10は、スイッチ30のミラーポート30eにLAN等のケーブ
ルを介して接続され、スイッチ30を通過する全てのパケットを検査することにより下位
ネットワーク70内に流れる「想定外の通信(不正パケットを含む)」を検出する。
The illegal
[不正パケット抽出装置の構成例]
図2は、不正パケット抽出装置10のブロック構成の一例を示している。図2に示すよ
うに、不正パケット抽出装置10は、パケットキャプチャ部100とパケット検査部10
2とメモリ管理部104とパケット情報用メモリ106とログ用メモリ108とを備えて
いる。これらのパケットキャプチャ部100、パケット検査部102およびメモリ管理部
104は、例えばCPU(Central Processing Unit)等の演算処理回路から構成できる
。
[Configuration example of illegal packet extractor]
FIG. 2 shows an example of a block configuration of the illegal
2, a
パケットキャプチャ部100は、スイッチ30のミラーポート30eから入力されるト
ラフィックとしてのパケットを取得して、取得したパケットのヘッダのIPアドレスやM
ACアドレスを検査することで、ファイヤーウォール20との通信方向の関係において複
数のタイプに分類する。このように、下位ネットワーク70で通信される全てのパケット
を複数のタイプに分類することで、「想定外の通信」に該当するパケット候補を抜き出す
処理を行う。また、パケットキャプチャ部100は、分類したパケットと、このパケット
の分類結果とを対応づけてパケット検査部102に出力する。
The
By examining the AC address, it is classified into a plurality of types in relation to the communication direction with the
ここで、パケットのタイプについて説明する。図3A〜図3Fは、ファイヤーウォール
20との関係におけるパケットのタイプを説明するための図である。ファイヤーウォール
20には、下位ネットワーク70側のNIC20aと上位ネットワーク60側のNIC2
0bとが設けられる。
Here, the packet type will be described. 3A to 3F are diagrams for explaining packet types in relation to the
0b is provided.
パケットのタイプは、図3A〜図3Fおよび下記表1に示すように、例えば6タイプに
分類される。
As shown in FIGS. 3A to 3F and Table 1 below, the packet types are classified into, for example, six types.
第1のタイプT1は、図3Aおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークへの通信である。第1のタイプT1に分類されるパケ
ットをパケットP1と呼ぶ。第2のタイプT2は、図3Bおよび表1に示すように、上位
ネットワークから、プラントネットワークまたはコンピュータ群への通信である。第2の
タイプT2に分類されるパケットをパケットP2と呼ぶ。第3のタイプT3は、図3Cお
よび表1に示すように、プラントネットワークとスイッチに接続されたコンピュータ群、
および、コンピュータ群同士の通信である。第3のタイプT3に分類されるパケットをパ
ケットP3と呼ぶ。
As shown in FIG. 3A and Table 1, the first type T1 is communication from a plant network or a computer group to an upper network. A packet classified as the first type T1 is referred to as a packet P1. As shown in FIG. 3B and Table 1, the second type T2 is communication from an upper network to a plant network or a computer group. A packet classified as the second type T2 is referred to as a packet P2. As shown in FIG. 3C and Table 1, the third type T3 includes a group of computers connected to the plant network and switches,
Communication between computer groups. A packet classified into the third type T3 is called a packet P3.
第4のタイプT4は、図3Dおよび表1に示すように、プラントネットワークまたはコ
ンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(ブロック)さ
れる通信である。第4のタイプT4に分類されるパケットをパケットP4と呼ぶ。第5の
タイプT5は、図3Eおよび表1に示すように、ファイヤーウォール自身への通信である
。第5のタイプT5に分類されるパケットをパケットP5と呼ぶ。第6のタイプT6は、
図3Fおよび表1に示すように、ファイヤーウォール自身からの通信である。第6のタイ
プT6に分類されるパケットをパケットP6と呼ぶ。
As shown in FIG. 3D and Table 1, the fourth type T4 is communication that is blocked (blocked) by the firewall from the plant network or the computer group toward the upper network. A packet classified into the fourth type T4 is referred to as a packet P4. As shown in FIG. 3E and Table 1, the fifth type T5 is communication to the firewall itself. A packet classified into the fifth type T5 is referred to as a packet P5. The sixth type T6 is
As shown in FIG. 3F and Table 1, the communication is from the firewall itself. A packet classified into the sixth type T6 is referred to as a packet P6.
ここで、「想定外の通信」としては、コンピュータ群から上位ネットワークに通信(送
信)されるタイプT1のパケットP1のうち対応した返信パケットが存在しないパケット
、および、コンピュータ群から上位ネットワークに向かい、ファイヤーウォールで遮断(
ブロック)されるタイプT4のパケットP4が該当する。本例では、分類結果により、「
想定外の通信」の候補となるタイプT1のパケットP1とタイプT4のパケットP4とが
混在してしまう。そのため、これらの中から「想定外の通信」を分離するために、タイプ
T1、タイプT2およびタイプT4のパケットPをパケット検査部102に出力する。
Here, as “unexpected communication”, a packet for which there is no corresponding return packet among the packets T1 of type T1 communicated (transmitted) from the computer group to the upper network, and from the computer group to the upper network, Shut off by firewall (
This corresponds to the packet P4 of type T4 to be blocked. In this example, “
Type T1 packet P1 and type T4 packet P4, which are candidates for “unexpected communication”, are mixed. Therefore, in order to separate “unexpected communication” from these, the packet P of type T1, type T2, and type T4 is output to the
図2に戻り、パケット検査部102は、パケットキャプチャ部100で分類されて入力
される「想定外の通信」の候補となるパケットのオブジェクトを作成する。そして、この
作成したオブジェクトのうち下位ネットワーク70から上位ネットワーク60に向かうパ
ケットに対応した応答パケットが存在しないものをパケット情報用メモリ106の対応判
定用オブジェクトを参照して検査し、その検査結果をパケット情報用メモリ106に書き
込む処理を行う。これにより、パケットキャプチャ部100から入力されるタイプ1とタ
イプ4の混在した結果から、タイプ1のパケットP1に対応するタイプ2のパケットP2
が存在しないものを探すことで、「想定外の通信」を検索できる。
Returning to FIG. 2, the
You can search for “unexpected communication” by searching for items that do not exist.
ここで、入力パケットデータのオブジェクトは、「パケットそのもの」と「判定結果」
とを有している。「パケットそのもの」は、「パケットの向き」、「送信元IPアドレス
」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および「プロトコル
種別」等のパケット情報で構成される。「判定結果」は、タイプT1のパケットP1に対
応するタイプT2のパケットP2が存在する場合には「対応」を示す情報となり、存在し
ない場合には「非対応」を示す情報となる。本例では、初期値を「非対応」に設定してい
る。
Here, the input packet data objects are “packet itself” and “judgment result”.
And have. The “packet itself” is composed of packet information such as “packet direction”, “source IP address”, “destination IP address”, “source port”, “destination port”, and “protocol type”. . The “determination result” is information indicating “corresponding” when the packet P2 of type T2 corresponding to the packet P1 of type T1 is present, and is information indicating “non-corresponding” when not existing. In this example, the initial value is set to “not supported”.
対応判定用オブジェクトとは、タイプT1に分類された入力パケットP1に対応するパ
ケットが存在するか否かを判定する際に用いられるパケットであり、例えば、パケットキ
ャプチャ部100から入力されるタイプT1のパケットP1、タイプT2のパケットP2
およびタイプT4のパケットP4が対応判定用オブジェクトの対象となる。対応判定用オ
ブジェクトは、入力パケットPのオブジェクトと同様に、「パケットの向き」、「送信元
IPアドレス」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」および
「プロトコル種別」等のパケット情報で構成される。
The correspondence determination object is a packet used when determining whether or not there is a packet corresponding to the input packet P1 classified into the type T1, for example, the type T1 input from the
The packet P4 of type T4 is the target of the correspondence determination object. Similar to the object of the input packet P, the correspondence determination object is “packet direction”, “source IP address”, “destination IP address”, “source port”, “destination port”, and “protocol type”. "Or the like.
パケット情報用メモリ106は、例えば、不揮発性の半導体メモリやHDD(Hard Dis
k Drive)等から構成されている。図4は、パケット情報用メモリ106の構成の一例を
示している。パケット検査部102で作成されたパケットデータのオブジェクトや、対応
判定用オブジェクト等のパケット情報を格納するための複数個のメモリ106a〜106
gを有している。本例では7個のメモリ106a〜106gで構成したが、この個数に限
定されるものではない。メモリ106a〜106gのそれぞれには、入力されるパケット
のオブジェクトが格納されるパケットデータオブジェクト部Maと、対応判定用オブジェ
クトが格納される対応判定用オブジェクト部Mbとが設けられている。
The
k Drive). FIG. 4 shows an example of the configuration of the
g. In this example, seven memories 106a to 106g are used, but the number is not limited to this. Each of the memories 106a to 106g is provided with a packet data object portion Ma for storing an object of an input packet and a correspondence determination object portion Mb for storing a correspondence determination object.
ログ用メモリ108は、例えば不揮発性の半導体メモリやHDD等から構成され、メモ
リ管理部104の書き込み制御によりパケット情報用メモリ106から出力される「想定
外の通信が検出された」と判定されたパケットデータのオブジェクトを格納する。ユーザ
またはコンピュータ等の情報処理装置は、このログ用メモリ108に格納されたパケット
を確認することにより、下位ネットワーク70内で「想定外の通信」が発生したことを確
認できる。なお、ログ用メモリ108は、パケット情報用メモリ106内に設けても良い
。
The
メモリ管理部104は、パケット情報用メモリ106およびログ用メモリ108を管理
するための装置であり、パケット情報用メモリ106のメモリ106a〜106gをポイ
ンタを用いたリングバッファによりメモリ管理する(図7参照)。例えば、メモリ管理部
104は、N秒間隔で、パケット情報を書き込むメモリおよびパケット情報を削除(読み
出す)するメモリを移動し、パケット情報用メモリ106のうち一番古いメモリが削除さ
れる時間がきたとき、このメモリ内の判定結果を確認し、「非対応」なっているパケット
を「想定外の通信が検出された」という判定にしてログ用メモリ108に出力する。
The
[パケットキャプチャ部の動作例]
次に、パケットキャプチャ部100の動作の一例について説明する。図5は、パケット
キャプチャ部100が入力パケットのタイプを分類するときの動作の一例を示すフローチ
ャートである。下記表2は、図5で使用している記号とその意味の対応関係を示している
。
[Operation example of packet capture unit]
Next, an example of the operation of the
図5に示すように、ステップS100でパケットキャプチャ部100は、スイッチ30
を介して入力されたパケットPのヘッダを検査し、入力パケットの送信元MACアドレス
がファイヤーウォール20のNIC20bのMACアドレスと一致しているか否かを判断
する。パケットキャプチャ部100は、入力パケットの送信元MACアドレスがファイヤ
ーウォール20のMACアドレスと一致していると判断した場合にはステップS110に
進み、一致していないと判断した場合にはステップS120に進む。
As shown in FIG. 5, in step S100, the
The header of the packet P input via the network is inspected, and it is determined whether or not the source MAC address of the input packet matches the MAC address of the
ステップS110でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信元IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信元IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプT6に分類する。一方、入力パケットの送信元IPアド
レスがファイヤーウォール20のIPアドレスと一致していないと判断した場合には、入
力パケットをタイプT2に分類する。
In step S110, the
It is determined whether or not the source IP address of the input packet matches the IP address of the
送信元MACアドレスとファイヤーウォール20のMACアドレスが不一致であると判
断した場合、パケットキャプチャ部100は、ステップS120で送信先MACアドレス
がファイヤーウォール20のMACアドレスと一致しているか否かを判断する。パケット
キャプチャ部100は、送信先MACアドレスがファイヤーウォール20のMACアドレ
スと一致していると判断した場合にはステップS130に進み、送信先MACアドレスが
ファイヤーウォール20のMACアドレスと一致していないと判断した場合には入力パケ
ットをタイプT3に分類する。
If it is determined that the source MAC address and the MAC address of the
ステップS130でパケットキャプチャ部100は、入力パケットのヘッダを検査し、
入力パケットの送信先IPアドレスがファイヤーウォール20のNIC20bのIPアド
レスと一致しているか否かを判断する。パケットキャプチャ部100は、入力パケットの
送信先IPアドレスがファイヤーウォール20のIPアドレスと一致していると判断した
場合には、入力パケットをタイプ5に分類する。一方、入力パケットの送信先IPアドレ
スがファイヤーウォール20のIPアドレスと一致していない判断した場合には、入力パ
ケットをタイプT1またはT4に分類する。
In step S130, the
It is determined whether the destination IP address of the input packet matches the IP address of the
このように、ファイヤーウォール20のIPアドレス、MACアドレスとファイヤーウ
ォール20のIPアドレス、MACアドレスとによりパケットのヘッダを検査して行くと
、パケットのタイプT2,T3,T5,T6は容易に分離できる。また、パケットのタイ
プT1,T4については混在した結果が得られる。そのため、以下のパケット検査部10
2では、パケットのタイプT1,T4が混在した結果から、タイプT1に対応するタイプ
T2が存在しないものを探すことで、「想定外の通信」を特定する。パケットのタイプT
4については、ファイヤーウォール20で遮断されるので、対応するパケットが存在しな
いことは明らかであるからである。したがって、本例では、混在した結果から「想定外の
通信」を抜き出すため、6分類したパケットのタイプのうち例えばタイプT1,T2,T
4に分類されたパケットP1、P2,P4をパケット検査部102に出力する。
As described above, when the packet header is inspected based on the IP address and MAC address of the
2, “unexpected communication” is specified by searching for a packet in which the type T2 corresponding to the type T1 does not exist from the result of mixing the packet types T1 and T4. Packet type T
4 is blocked by the
The packets P1, P2, and P4 classified into 4 are output to the
[パケット検査部の動作例]
次に、パケット検査部102の動作の一例について説明する。図6は、パケットキャプ
チャ部100から入力されるパケットのうち、「想定外の通信」のパケットを検出する際
のパケット検査部102の動作の一例を示すフローチャートである。
[Operation example of packet inspection unit]
Next, an example of the operation of the
図6に示すように、ステップS200でパケット検査部102は、パケットキャプチャ
装置から入力されたパケットから、パケットデータのオブジェクトを作成する。例えば、
パケット検査部102は、パケットキャプチャ部100から「想定外の通信」の候補とな
るパケットP1,P2,P4が入力されると、これらのパケットP1,P2,P4のオブ
ジェクトを作成する。
As shown in FIG. 6, in step S200, the
When packets P1, P2, and P4 that are candidates for “unexpected communication” are input from the
ステップS210でパケット検査部102は、入力されたパケットのオブジェクトに関
連した対応判定用オプジェクトを、パケット情報用メモリ106のメモリ106a〜10
6gの中から検索する。ここで、入力パケットのオブジェクトの内容と対応判定用オブジ
ェクトの内容の一例を下記表3に示す。
In step S <b> 210, the
Search from 6g. Here, an example of the content of the object of the input packet and the content of the correspondence determination object is shown in Table 3 below.
また、表3のパケットの向きについての詳細を下記表4に示す。表4は、ファイヤーウ
ォール20のNIC20bのMACアドレス使用したパケットの向きの判定方法を示して
いる。
Table 4 below shows details of the packet direction in Table 3. Table 4 shows a packet direction determination method using the MAC address of the
パケット検査部102は、入力されたパケットのオブジェクトに対して、下記表5に示
す条件Aまたは条件Bの関係を満たす対応判定用オブジェクトをパケット情報用メモリ1
06のメモリ106a〜106gの中から検索する。
The
The memory 106a to 106g of 06 is searched.
条件Aとは、表5に示すように、2つのパケットが同じセッションで同じ向きの関係に
ある場合であり、例えば、下位ネットワーク70から上位ネットワーク60に送信される
パケットが何らかの障害により中断した場合に、同一パケットが再送信されるようなパケ
ットを含んでいる。条件Bとは、表5に示すように、2つのパケットが同じセッションで
対応関係にある(反対向きにある)場合であり、例えば、下位ネットワーク70から上位
ネットワーク60に送信されるパケットに応答して、上位ネットワーク60から下位ネッ
トワーク70に向かう返信パケットである。
The condition A is a case where two packets are in the same direction in the same session as shown in Table 5, for example, when a packet transmitted from the
ステップS220でパケット検査部102は、検索結果に基づいて、入力されたパケッ
トのオブジェクトに関連する対応判定用オブジェクトが、パケット情報用メモリ106の
メモリ106a〜106gの中に存在するか否かを判断する。本例では、例えば、タイプ
1のパケットP1、タイプ4のパケットP4が表5の条件A、条件Bの条件を満たすもの
とする。パケット検査部102は、入力パケットのオブジェクトに関連する対応判定用オ
ブジェクトがパケット情報用メモリ106に存在すると判断した場合にはステップS23
0に進み、入力パケットのオブジェクトに関連する対応判定用オブジェクトがパケット情
報用メモリ106に存在しないと判断した場合にはステップS280に進む。
In step S <b> 220, the
If it is determined that the correspondence determination object related to the object of the input packet does not exist in the
関連する対応判定用オブジェクトが存在しない場合、ステップS280でパケット検査
部102は、対応判定用のオブジェクトを作成する。例えば、パケット検査部102は、
パケットキャプチャ部100から入力されるパケットP1,P2,P4の対応判定用オブ
ジェクトを作成する。この対応判定用オブジェクトは、表3に示したパラメータを有して
いる。対応判定用のオブジェクトを作成したらステップS290に進む。
If there is no related correspondence determination object, the
A correspondence determination object for the packets P1, P2, and P4 input from the
ステップS290でパケット検査部102は、作成した対応判定用のオブジェクトを、
パケット情報用メモリ106のメモリ106a〜106gのうちリングバッファで管理さ
れる最新のメモリに書き込む。対応判定用オブジェクトをパケット情報用メモリ106に
書き込んだらステップS270に進む。
In step S290, the
Of the memories 106 a to 106 g of the
一方、関連する対応判定用オブジェクトが存在する場合、ステップS230でパケット
検査部102は、入力パケットのオブジェクトに関連する対応判定用オブジェクトをパケ
ット情報用メモリ106のメモリ106a〜106gのうち最新のメモリに移動する。こ
れは、パケット情報用メモリ106がリングバッファにより管理されるため、古いメモリ
から所定時間おきにデータが削除されてしまうからである。対応判定用オブジェクトの移
動が完了したらステップS240に進む。
On the other hand, if there is a related correspondence determination object, the
ステップS240でパケット検査部102は、入力されたパケットのオブジェクトと、
対応判定用オブジェクトとの対応関係が成立するか否かを検査する。パケット検査部10
2は、入力されたパケットと対応判定用オブジェクトに関して、表5中の条件Bが成立す
るか否かを検査する。すなわち、入力されたパケットのオブジェクトがタイプT1のパケ
ットP1であって、かつ、対応判定用オブジェクトがタイプT2のパケットP2であるか
否かを検査する。検査が終了したらステップS250に進む。
In step S240, the
It is checked whether or not a correspondence relationship with the correspondence determination object is established.
2 checks whether the condition B in Table 5 is satisfied for the input packet and the correspondence determination object. That is, it is checked whether or not the input packet object is a type T1 packet P1 and the correspondence determination object is a type T2 packet P2. When the inspection is completed, the process proceeds to step S250.
ステップS250でパケット検査部102は、検査結果に基づいて、入力されたパケッ
トのオブジェクトと対応判定用オブジェクトとの対応関係が成立するか否かを判断する。
パケット検査部102は、入力されたパケットのオブジェクトに対応する対応判定用オブ
ジェクトが存在する、つまり、表5の条件Bを満たしていると判断した場合にはステップ
S260に進む。例えば、入力されたパケットP1でこれに対応するパケットP2が存在
した場合である。一方、入力されたパケットのオブジェクトに対応する対応判定用オブジ
ェクトが存在しない、つまり、表5の条件Bを満たしていないと判断した場合にはステッ
プS270に進む。
In step S250, the
If the
対応関係が成立すると判断した場合、ステップS260でパケット検査部102は、入
力されたパケットのオブジェクトの「判定結果」の項目内容を更新する。具体的には、こ
の場合のパケットは「想定外の通信」ではないので、判定結果の項目内容を初期値の「非
対応」から「対応」に書き換えて更新する。同様に、入力されたパケットと表3に示す同
じパラメータを有するパケット情報用メモリ106の全てのパケットについても、判定結
果を更新する。判定結果の項目内容を更新したらステップS270に進む。
When it is determined that the correspondence relationship is established, the
最後に、ステップS270でパケット検査部102は、オンジェクトの存在や対応関係
の成立が判断された入力パケットを、パケット情報用メモリ106のメモリ106a〜1
06gの最新のメモリに書き込む。例えば、対応関係が成立した入力パケットP1のオブ
ジェクトについては判定結果が「対応」とされたオブジェクトが保存され、対応関係が成
立していない入力パケットP1,P4のオブジェクトについては判定結果が初期値の「非
対応」のままのオブジェクトが保存される。このような一連の動作により、タイプ1とタ
イプ4とが混在した状態から、タイプ1に対応するタイプ2が存在するものを検出するこ
とができ、その結果、「想定外の通信」のパケットを抽出することができる。
Finally, in step S270, the
Write to 06g latest memory. For example, an object whose determination result is “corresponding” is stored for the object of the input packet P1 for which the correspondence relationship is established, and the determination result is an initial value for the objects of the input packets P1 and P4 for which the correspondence relationship is not satisfied. Objects that remain “not supported” are saved. Through such a series of operations, it is possible to detect the type 2 corresponding to the type 1 from the state where the type 1 and the type 4 coexist. As a result, the packet of “unexpected communication” is detected. Can be extracted.
[メモリ管理部の動作例]
次に、パケット情報用メモリ106を管理する場合のメモリ管理部104の動作の一例
について説明する。図7および図8は、パケット情報用メモリ106のリングバッファの
動作を説明するための図を示している。なお、本例では、メモリ106cに書き込みポイ
ンタを設定すると共にメモリ106bに読み込みポインタを設定している。したがって、
メモリ106cに書き込まれるデータが最も新しいパケットデータであり、メモリ106
bに書き込まれるデータが最も古いパケットデータとなる。
[Operation example of memory management unit]
Next, an example of the operation of the
The data written to the memory 106c is the newest packet data, and the
The data written to b is the oldest packet data.
メモリ管理部104は、書き込みポインタが設定されているメモリ106cに、パケッ
トデータオブジェクトおよび対応判定用オブジェクトを、N(正の整数)秒間書き込む。
例えば、メモリ管理部104は、パケット検査部102からパケットデータが供給された
場合に、メモリ106cにパケットデータを書き込む。そして、N秒間が経過したら、図
7に示す反時計回り方向に隣接したメモリ106bに書き込みポインタを移動し、N秒間
、パケットデータのオブジェクトおよび対応判定用オブジェクトをメモリ106b(図8
の点線部)に書き込む。このような書き込み処理をN秒間隔で行う。
The
For example, when the packet data is supplied from the
(Dotted line). Such a writing process is performed at intervals of N seconds.
一方、メモリ管理部104は、読み込みポインタが設定されたメモリ106bに保存さ
れているパケットデータのオブジェクトに関して、「判定結果」を確認する。そして、メ
モリ管理部104は、判定結果が「非対応」となっているパケットデータのオブジェクト
を読み出し、この読み出したパケットデータのオブジェクトについては「想定外の通信が
検出された」という判定にしてログ用メモリ108に記録する。N秒間が経過したら、メ
モリ106cの保存期間が経過したと判断してメモリ106b内のデータを削除すると共
に、図7に示す反時計回りに隣接したメモリ106aに読み込みポインタが移動してこの
メモリ106a内の入力オブジェクト内の判定結果を確認する。このような処理を上記書
き込みポインタの処理と同期してN秒毎に行う。
On the other hand, the
以上説明したように、本実施の形態によれば、下位ネットワーク70をパケットキャプ
チャ部100によりキャプチャするだけで、「想定外の通信」に該当するか否かの対応関
係を自動的に分析できるようになる。これにより、従来のように、ファイヤーウォール2
0のログを分析する作業を省略できるので、作業の効率化を図ることができる。また、既
設のファイヤーウォールを改良する必要も無いので、ファイヤーウォール20の性能に影
響を与えることなく、不正パケットを抽出することができる。さらに、不正パケット抽出
装置10が自動的に不正パケットを判定するので、高い技能が不要であると共に、低コス
トで不正パケットの監視を行うことができる。
As described above, according to the present embodiment, it is possible to automatically analyze the correspondence relationship of whether or not it corresponds to “unexpected communication” simply by capturing the
Since the work of analyzing the zero log can be omitted, the work efficiency can be improved. Further, since it is not necessary to improve the existing firewall, it is possible to extract illegal packets without affecting the performance of the
[応用例]
上記実施の形態では、ファイヤーウォールの設定やログに頼らずに、組織内から上位ネ
ットワークへの想定されない通信を抽出する方法について説明したが、応用例として、イ
ンターネット観測用のセンサが考えられる。インターネットに接続された端末ノードで、
インターネットからのスキャンを観測したようとする場合、観測専用の回線を確保して、
スキャンの様子を観測するのが一般的である。実利用されている実ネットワークを使って
観測する場合は、ファイヤーウォールのドロップログをとり、インターネットからのパケ
ットでドロップされたものを集める方法がある。
[Application example]
In the above-described embodiment, the method of extracting unexpected communication from the organization to the upper network without depending on the firewall setting or log has been described. However, as an application example, a sensor for Internet observation can be considered. A terminal node connected to the Internet.
If you want to observe scanning from the Internet, secure a dedicated line for observation,
It is common to observe the scan. When observing using a real network that is actually used, there is a method of collecting the dropped logs of packets from the Internet by taking a firewall drop log.
しかし、ファイヤーウォールのドロップログを収集するには、ファイヤーウォールの性
能に与える影響に関する説明、ログ収集の仕組みの構築、ログの内容を解釈する仕組みの
構築等を実行する必要がある。また、組織の壁や予算等の問題も大きい。そこで、本発明
の不正パケット抽出装置10を適用することで、インターネットからの不正アクセスの抽
出を効率的に行うことができる。
However, in order to collect the drop log of the firewall, it is necessary to execute explanation on the influence on the performance of the firewall, construction of a log collection mechanism, construction of a mechanism for interpreting log contents, and the like. There are also major problems such as organizational barriers and budgets. Therefore, by applying the illegal
図9は、実ネットワークを使用したインターネットの観測に本発明の不正パケット抽出
装置10を適用したネットワークシステムの図である。不正パケット抽出装置10は、イ
ンターネット公開用ネットワーク300でインターネット400からのトラフィック(パ
ケット)を観測する。このとき、一般ユーザ402がアドレスDの公開されているFTP
サーバ302にアクセスするために行っている正しい通信と、攻撃者404がサーバの存
在しない、例えばアドレスAのPC308やアドレスBのPC306をスキャンしている
ものとを分離する必要がある。本発明の不正パケット抽出装置10の技術を使うことで、
一般ユーザ402からのトラフィックは対応のあるパケットに分類できるので、正常な通
信と判定できる。一方、攻撃者404からのトラフィックは、対応のないものに分類でき
るので、想定外の通信(不正パケット)であると判断できる。
FIG. 9 is a diagram of a network system in which the illegal
It is necessary to separate the correct communication that is performed to access the
Since traffic from the
なお、本発明の技術範囲は、上述した実施形態に限定されるものではなく、本発明の趣
旨を逸脱しない範囲において、上述した実施形態に種々の変更を加えたものを含む。
It should be noted that the technical scope of the present invention is not limited to the above-described embodiments, and includes those in which various modifications are made to the above-described embodiments without departing from the spirit of the present invention.
10 不正パケット抽出装置
20 ファイヤーウォール
60 上位ネットワーク
70 下位ネットワーク
100 パケットキャプチャ部
102 パケット検査部
104 メモリ管理部
106 パケット情報用メモリ
DESCRIPTION OF
Claims (5)
、
前記第1のネットワークで通信されるパケットを取得し、取得した前記パケットを少な
くとも前記第1のネットワークから第2のネットワークに向かうパケットのタイプを含む
複数のタイプに分類するパケットキャプチャ部と、
該パケットキャプチャ部により分類された前記パケットのうち前記第1のネットワーク
から前記第2のネットワークに向かう前記パケットが存在する場合に、該パケットに対応
した応答パケットが存在するか否かを検査して判定を行うパケット検査部と、
該パケット検査部により判定された前記パケットと、該パケットの前記応答パケットが
存在するか否かの判定結果を示す判定情報とを対応付けて記憶する記憶部と、
該記憶部に記憶されている前記パケットの前記判定情報に基づいて該パケットが不正パ
ケットであるか否かを判定して出力するメモリ管理部と
を備えることを特徴とする不正パケット抽出装置。 In the illegal packet extracting device for extracting illegal packets generated in the first network,
A packet capture unit that obtains packets communicated in the first network, and classifies the obtained packets into a plurality of types including at least a type of packets directed from the first network to the second network;
When there is the packet from the first network to the second network among the packets classified by the packet capture unit, it is checked whether a response packet corresponding to the packet exists. A packet inspection unit for making a determination;
A storage unit that associates and stores the packet determined by the packet inspection unit and determination information indicating a determination result of whether or not the response packet of the packet exists;
An illegal packet extraction apparatus comprising: a memory management unit that determines and outputs whether or not the packet is an illegal packet based on the determination information of the packet stored in the storage unit.
パケットが存在するか否かを検査する際に用いる対応判定用パケットとして記憶し、
前記パケット検査部は、前記第1のネットワークから前記第2のネットワークに向かう
前記パケットに対応する前記応答パケットが存在するか否かを、前記記憶部に記憶されて
いる前記対応判定用パケットを検索することにより検査する
ことを特徴とする請求項1に記載の不正パケット抽出装置。 The storage unit stores the packets classified by the packet capture unit as correspondence determination packets used when checking whether or not the response packet exists,
The packet inspection unit searches the correspondence determination packet stored in the storage unit to determine whether or not the response packet corresponding to the packet going from the first network to the second network exists. The illegal packet extraction apparatus according to claim 1, wherein the inspection is performed by performing the inspection.
クから前記第2のネットワークに向かう前記パケットの前記判定情報を非対応として前記
記憶部に記憶し、前記対応パケットが存在する場合には前記第1のネットワークから前記
第2のネットワークに向かう前記パケットの前記判定情報を対応として前記記憶部に記憶
し、
前記メモリ管理部は、前記記憶部に記憶されている前記パケットの前記判定情報が非対
応である場合には該パケットを不正パケットであると判定する
ことを特徴とする請求項1または請求項2に記載の不正パケット抽出装置。 When the response packet does not exist, the packet inspection unit stores the determination information of the packet from the first network to the second network as non-corresponding, and the corresponding packet exists. If so, the determination information of the packet going from the first network to the second network is stored in the storage unit as a correspondence,
The memory management unit determines that the packet is an illegal packet when the determination information of the packet stored in the storage unit is not compatible. The illegal packet extraction device described in 1.
るパケットと、前記第1のネットワークと前記第2のネットワークとの境界部に設けられ
たファイヤーウォールで遮断されるパケットである
ことを特徴とする請求項3に記載の不正パケット抽出装置。 The illegal packet is a packet communicated from the first network to the second network, and a packet blocked by a firewall provided at a boundary between the first network and the second network. The unauthorized packet extracting apparatus according to claim 3, wherein
前記メモリ管理部は、前記複数のメモリをリングバッファにより管理し、前記複数のメ
モリで一番古いメモリに格納されている前記パケットの前記判定情報を確認して記パケッ
トを不正パケットであるか否かを判定する
ことを特徴とする請求項1から請求項4の何れか一項に記載の不正パケット抽出装置。 The storage unit has a plurality of memories,
The memory management unit manages the plurality of memories by a ring buffer, confirms the determination information of the packet stored in the oldest memory among the plurality of memories, and determines whether the packet is an illegal packet. The fraudulent packet extraction device according to any one of claims 1 to 4, wherein the packet is extracted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011026987A JP5659839B2 (en) | 2011-02-10 | 2011-02-10 | Illegal packet extractor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011026987A JP5659839B2 (en) | 2011-02-10 | 2011-02-10 | Illegal packet extractor |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012169731A true JP2012169731A (en) | 2012-09-06 |
JP5659839B2 JP5659839B2 (en) | 2015-01-28 |
Family
ID=46973481
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011026987A Active JP5659839B2 (en) | 2011-02-10 | 2011-02-10 | Illegal packet extractor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5659839B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016194123A1 (en) * | 2015-06-02 | 2016-12-08 | 三菱電機ビルテクノサービス株式会社 | Relay device, network monitoring system, and program |
JP2018510576A (en) * | 2015-03-30 | 2018-04-12 | アマゾン・テクノロジーズ、インコーポレイテッド | Network flow log for multi-tenant environments |
CN114039708A (en) * | 2021-11-17 | 2022-02-11 | 西门子(中国)有限公司 | Communication method, device and computer readable medium for crane remote control |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
JP2004164107A (en) * | 2002-11-11 | 2004-06-10 | Kddi Corp | Unauthorized access monitoring system |
-
2011
- 2011-02-10 JP JP2011026987A patent/JP5659839B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
JP2004164107A (en) * | 2002-11-11 | 2004-06-10 | Kddi Corp | Unauthorized access monitoring system |
Non-Patent Citations (2)
Title |
---|
CSNG200800480025; 鎌田 暢広、寺田 真敏、土居 範久: '通信の双方向性を利用したDDoS攻撃遮断システムの提案' 情報処理学会研究報告 Vol.2008 No.21 , 20080306, p.165-170, 社団法人情報処理学会 * |
JPN6014032725; 鎌田 暢広、寺田 真敏、土居 範久: '通信の双方向性を利用したDDoS攻撃遮断システムの提案' 情報処理学会研究報告 Vol.2008 No.21 , 20080306, p.165-170, 社団法人情報処理学会 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018510576A (en) * | 2015-03-30 | 2018-04-12 | アマゾン・テクノロジーズ、インコーポレイテッド | Network flow log for multi-tenant environments |
US10469536B2 (en) | 2015-03-30 | 2019-11-05 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
JP2020039137A (en) * | 2015-03-30 | 2020-03-12 | アマゾン・テクノロジーズ、インコーポレイテッド | Network flow log for multi-tenant environment |
US11659004B2 (en) | 2015-03-30 | 2023-05-23 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
WO2016194123A1 (en) * | 2015-06-02 | 2016-12-08 | 三菱電機ビルテクノサービス株式会社 | Relay device, network monitoring system, and program |
JPWO2016194123A1 (en) * | 2015-06-02 | 2017-07-20 | 三菱電機ビルテクノサービス株式会社 | Relay device, network monitoring system, and program |
US10826915B2 (en) | 2015-06-02 | 2020-11-03 | Mitsubishi Electric Corporation | Relay apparatus, network monitoring system, and program |
CN114039708A (en) * | 2021-11-17 | 2022-02-11 | 西门子(中国)有限公司 | Communication method, device and computer readable medium for crane remote control |
Also Published As
Publication number | Publication date |
---|---|
JP5659839B2 (en) | 2015-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5557623B2 (en) | Infection inspection system, infection inspection method, recording medium, and program | |
JP5440973B2 (en) | Computer inspection system and computer inspection method | |
US10164839B2 (en) | Log analysis system | |
US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
US10104108B2 (en) | Log analysis system | |
US20060083180A1 (en) | Packet analysis system | |
CN106133742B (en) | Determining device determines method and determines program | |
JP2012015684A (en) | Internal network management system and internal network management method and program | |
US7684339B2 (en) | Communication control system | |
JP2009282983A (en) | System for checking vulnerable point of server and its method | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
JP5659839B2 (en) | Illegal packet extractor | |
JP2014123996A (en) | Network monitoring apparatus and program | |
CN111859374A (en) | Method, device and system for detecting social engineering attack event | |
CN111131180B (en) | Distributed deployed HTTP POST (hyper text transport protocol) interception method in large-scale cloud environment | |
CN104504338A (en) | Method and device for identifying, acquiring and collecting virus propagation routes | |
JP2010250607A (en) | System, method and program for analysis of unauthorized access | |
JP2009302625A (en) | Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
JP2010239392A (en) | System, device and program for controlling service disabling attack | |
JP2019186686A (en) | Network monitoring device, network monitoring program, and network monitoring method | |
JP7111249B2 (en) | Analysis system, method and program | |
JP4235907B2 (en) | Worm propagation monitoring system | |
JP4887081B2 (en) | Communication monitoring device, communication monitoring method and program | |
KR100632204B1 (en) | Attack detection device on network and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140805 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141104 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5659839 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |