JP2014232923A - Communication equipment, cyber attack detection method and program - Google Patents
Communication equipment, cyber attack detection method and program Download PDFInfo
- Publication number
- JP2014232923A JP2014232923A JP2013111795A JP2013111795A JP2014232923A JP 2014232923 A JP2014232923 A JP 2014232923A JP 2013111795 A JP2013111795 A JP 2013111795A JP 2013111795 A JP2013111795 A JP 2013111795A JP 2014232923 A JP2014232923 A JP 2014232923A
- Authority
- JP
- Japan
- Prior art keywords
- session
- communication
- unit
- value
- service type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、サイバー攻撃による被害を最小限に抑える通信装置、サイバー攻撃検出方法、及びプログラムに関する。 The present invention relates to a communication apparatus, a cyber attack detection method, and a program that minimize damage caused by a cyber attack.
近年、ソフトウェアの脆弱性を悪用して個人情報を取得する攻撃や、ネットワーク上のトラフィックを増大させ、システムに大きな影響を及ぼすDoS(Denial of Service)攻撃などのサイバー攻撃による被害が増えてきている。このようなサイバー攻撃を防ぐために種々の技術が提案されている(例えば、特許文献1,2参照)。 In recent years, damages due to cyber attacks such as attacks that exploit software vulnerabilities to acquire personal information and DoS (Denial of Service) attacks that increase traffic on the network and have a major impact on the system are increasing. . Various techniques have been proposed to prevent such cyber attacks (see, for example, Patent Documents 1 and 2).
特許文献1には、外部ネットワークから内部ネットワークへパケットが送られてきた場合、ネットワーク境界に設けられているファイアウォール装置が上記パケットの送信元アドレスと宛先アドレスとに基づいて、パケットを破棄するか否かを制御する技術が記載されている。 In Patent Literature 1, when a packet is sent from an external network to an internal network, whether or not the firewall device provided at the network boundary discards the packet based on the source address and destination address of the packet A technique for controlling this is described.
また、特許文献2には、インターネットとWWWサーバとの間に設けられたコンピュータウイルス発生検出装置が、上記WWWサーバへ送られるデータのデータ量を測定し、データ量が異常に増加した場合、インターネット上にコンピュータウイルスが発生したと判断し、インターネットとWWWサーバとの接続を遮断する技術が記載されている。
In
特許文献1,2に記載されている技術を利用することにより、サイバー攻撃により被害を受ける危険性を少なくすることができる。しかしながら、上述した特許文献1,2に記載されている技術では、標的型メールなどを利用した標的型攻撃によってバックドアを開けられてしまった場合、情報の漏洩を全く防ぐことができないという課題がある。
By using the techniques described in
[発明の目的]
そこで、本発明の目的は、標的型攻撃によってバックドアを開けられてしまった場合、情報の漏洩を全く防ぐことができないという課題を解決した通信装置を提供することにある。
[Object of the invention]
Therefore, an object of the present invention is to provide a communication apparatus that solves the problem that information leakage cannot be prevented at all when a back door is opened by a targeted attack.
本発明に係る通信装置は、
内部ネットワークと外部ネットワークとの境界に設置される通信装置であって、
前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出するセッション管理手段と、
前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出する検出手段と、
サービス種別毎の閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値が記録された閾値記憶部と、
前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定する判定手段と、
該判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する遮断手段とを備える。
The communication device according to the present invention is
A communication device installed at the boundary between an internal network and an external network,
Session management means for detecting a service type of a service used in the session for each session established between a terminal on the internal network and an information processing apparatus on the external network;
Detection means for detecting, for each session, a feature amount indicating a feature of communication using the session, wherein the feature amount indicates a feature of communication in which data is transmitted from the internal network side toward the external network side. When,
A threshold value storage for storing a threshold value for each service type and for determining whether or not the feature value detected by the detection means is a value that appears in normal communication using a service of the service type And
For each session, based on the threshold value recorded in the threshold value storage unit in association with the service type detected by the session management unit, the feature value detected by the detection unit is a value that appears in normal communication. Determination means for determining whether or not,
The determination unit includes a blocking unit that blocks communication based on a session in which it is determined that the feature amount detected by the detection unit is not a value that appears in normal communication.
本発明に係るサイバー攻撃検出方法は、
閾値記憶部と、セッション管理手段と、検出手段と、判定手段と、遮断手段とを備え、且つ、内部ネットワークと外部ネットワークとの境界に設置されるコンピュータが実行するサイバー攻撃検出方法であって、
前記セッション管理手段が、前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出し、
前記検出手段が、前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出し、
前記判定手段が、前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定し、
前記遮断手段が、前記判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する。
The cyber attack detection method according to the present invention includes:
A cyber attack detection method executed by a computer that includes a threshold storage unit, a session management unit, a detection unit, a determination unit, and a blocking unit, and that is installed at a boundary between an internal network and an external network,
For each session established between the terminal on the internal network and the information processing apparatus on the external network, the session management means detects a service type of a service used in the session,
A feature amount indicating a feature of communication using the session for each session, wherein the detection means indicates a feature of communication in which data is transmitted from the internal network side to the external network side. Detect
The determination unit is a threshold value recorded in the threshold storage unit in association with the service type detected by the session management unit for each session, and the feature amount detected by the detection unit is the service type. Based on a threshold value for determining whether or not the value appears in normal communication using the service, it is determined whether or not the feature value detected by the detecting means is a value that appears in normal communication. ,
The blocking means blocks communication based on a session in which the determination means determines that the feature value detected by the detection means is not a value that appears in normal communication.
本発明に係るプログラムは、
閾値記憶部を備え、内部ネットワークと外部ネットワークとの境界に設置されるコンピュータを、
前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出するセッション管理手段、
前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出する検出手段、
前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定する判定手段、
該判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する遮断手段として機能させる。
The program according to the present invention is:
A computer having a threshold storage unit and installed at the boundary between the internal network and the external network,
Session management means for detecting a service type of a service used in a session for each session established between a terminal on the internal network and an information processing apparatus on the external network;
Detection means for detecting, for each session, a feature amount indicating a feature of communication using the session, wherein the feature amount indicates a feature of communication in which data is transmitted from the internal network side toward the external network side. ,
For each session, the threshold value recorded in the threshold value storage unit in association with the service type detected by the session management unit, and the feature amount detected by the detection unit uses the service of the service type Determining means for determining whether or not the feature amount detected by the detecting means is a value appearing in normal communication based on a threshold value for determining whether or not the value appears in normal communication;
The determination unit functions as a blocking unit that blocks communication by a session in which it is determined that the feature value detected by the detection unit is not a value that appears in normal communication.
本発明によれば、標的型攻撃によってバックドアを開けられてしまった場合であっても、情報の漏洩を最小限に抑えることができる。 According to the present invention, even when the back door is opened by a targeted attack, information leakage can be minimized.
次に、本発明の実施の形態について詳細に説明する。 Next, embodiments of the present invention will be described in detail.
[本発明の第1の実施の形態]
図1を参照すると、本発明の第1の実施の形態に係るセッションボーダコントローラ(SBC)等の通信装置1は、LAN等の内部ネットワークNW1とインターネット等の外部ネットワークNW2との境界に設置される。内部ネットワークNW1には、パーソナルコンピュータ等の利用者端末2−1〜2−Nが複数台接続されており、各利用者端末2−1〜2−Nは、内部ネットワークNW1、通信装置1、外部ネットワークNW2を介して、外部ネットワークNW2上の情報処理装置(パーソナルコンピュータやサーバなど)と相互に通信可能に接続されている。
[First embodiment of the present invention]
Referring to FIG. 1, a communication device 1 such as a session border controller (SBC) according to the first embodiment of the present invention is installed at the boundary between an internal network NW1 such as a LAN and an external network NW2 such as the Internet. . A plurality of user terminals 2-1 to 2-N such as personal computers are connected to the internal network NW1, and each of the user terminals 2-1 to 2-N includes the internal network NW1, the communication device 1, and the external Via the network NW2, it is connected to an information processing apparatus (such as a personal computer or a server) on the external network NW2 so that they can communicate with each other.
図2を参照すると、通信装置1は、セッション管理手段11と、パケットサイズ検出手段12と、通信レート検出手段13と、判定手段14と、遮断手段15と、ディスク装置などの記憶装置16とを備えている。
Referring to FIG. 2, the communication device 1 includes a
記憶装置16は、閾値記憶部161と、セッション情報記憶部162とを備えている。
The
閾値記憶部161には、内部ネットワークNW1上の利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置との間に確立されているセッションが、バックドアを利用した通信(バックドア通信)に使用されているか否かを判定するために使用する、サービス種別毎のサイズ閾値およびレート閾値が記録されている。サイズ閾値はパケットサイズに基づいてバックドア通信が行われているか否かを判定するために使用する閾値であり、該当サービスを利用する正常な通信において現れるパケットサイズよりも大きな値或いは最大パケットサイズが設定される。また、レート閾値はデータの通信レートに基づいてバックドア通信が行われているか否かを判定するために使用する閾値であり、該当サービスを利用する正常な通信において現れるデータの通信レートより大きな通信レート或いは最大通信レートが設定される。
In the
図3は閾値記憶部161の内容例を示す図である。同図の例は「音声サービス」、「映像サービス」、「Webサービス」を利用するために確立されたセッションがバックドア通信に利用されているか否かを判定するために使用するサイズ閾値がそれぞれ「100byte」、「2000byte」、「1000byte」であり、レート閾値がそれぞれ「100Kbps」、「10000Kbps」、「1000Kbps」であることを示している。
FIG. 3 is a diagram illustrating an example of the contents of the
セッション情報記憶部162には、内部ネットワークNW1上の利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置(図示せず)との間に確立したセッションのセッションIDと、そのセッションで利用しているサービスのサービス種別とを含むセッション情報が記録される。
The session
図4はセッション情報記憶部162の内容例を示した図である。同図の例は、セッションIDが「ID100」、「ID200」、「ID300」のセッションで利用しているサービスが、それぞれ「音声サービス」、「映像サービス」、「映像サービス」であることを示している。
FIG. 4 is a diagram showing an example of the contents of the session
セッション管理手段11は、内部ネットワークNW1上の利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置(図示せず)との間に確立したセッション毎に、そのセッションを一意に識別するセッションIDとそのセッションが利用するサービスのサービス種別とを含むセッション情報をセッション情報記憶部162に記録する機能を有する。例えば、SIP(Session Initiation Protocol)を利用してセッションを確立している場合は、SIPメッセージからセッションIDとサービス種別(メディア情報)を抽出し、抽出したセッションIDとサービス種別とを含むセッション情報をセッション情報記憶部162に記録する。更に、セッション管理手段11は、セッションが切断された場合、セッション情報記憶部162に記録されている該当するセッション情報を削除する機能や、判定手段14からセッションIDを含む削除指示が送られてきた場合、セッション情報記憶部162に記録されている上記セッションIDを含んだセッション情報を削除する機能を有する。
The
パケットサイズ検出手段12は、利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置との間に確立されたセッション毎に、そのセッションを利用して内部ネットワークNW1から外部ネットワークNW2へ送信されるパケットのパケットサイズ(byte)を検出する機能や、検出したパケットサイズと検出対象となったセッションのセッションIDとを判定手段14に渡す機能を有する。
For each session established between the user terminals 2-1 to 2-N and the information processing apparatus on the external network NW2, the packet
通信レート検出手段13は、利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置との間に確立されたセッション毎に、そのセッションを利用して内部ネットワークNW1から外部ネットワークNW2へ送信されるデータの通信レート(Kbps)を検出する機能や、検出した通信レートと検出対象となったセッションのセッションIDとを判定手段14に渡す機能を有する。
For each session established between the user terminals 2-1 to 2-N and the information processing apparatus on the external network NW2, the communication rate detecting means 13 uses the session to change from the internal network NW1 to the external network NW2. A function of detecting a communication rate (Kbps) of data transmitted to the network, and a function of passing the detected communication rate and the session ID of the session to be detected to the
判定手段14は、内部ネットワークNW1上の利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置との間に確立されたセッションがバックドア通信に利用されているか否かを判定する機能を有する。より具体的には、判定手段14は、次の機能を有する。
The
・パケットサイズ検出手段12からパケットサイズとセッションIDとが渡された場合、上記セッションIDを含むセッション情報をセッション情報記憶部162から検索する機能。
・検索したセッション情報中のサービス種別に関連付けて記録されているサイズ閾値を閾値記憶部161から検索する機能。
・検索したサイズ閾値よりもパケットサイズ検出手段12から渡されたパケットサイズの方が大きい場合、パケットサイズ検出手段12から渡されたセッションIDのセッションがバックドア通信に利用されていると判定し、遮断手段15に対して上記セッションIDを含む遮断指示を出力すると共にセッション管理手段11に対して上記セッションIDを含む削除指示を出力する機能。
・通信レート検出手段13から通信レートとセッションIDとが渡された場合、上記セッションIDを含むセッション情報をセッション情報記憶部162から検索する機能。
・検索したセッション情報中のサービス種別に関連付けて記録されているレート閾値を閾値記憶部161から検索する機能。
・検索したレート閾値よりもレート検出手段13から渡された通信レートの方が大きい場合、レート検出手段13から渡されたセッションIDのセッションがバックドア通信に利用されていると判定し、遮断手段15に対して上記セッションIDを含む遮断指示を出力すると共に、セッション管理手段11に対して上記セッションIDを含む削除指示を出力する機能。
A function of retrieving session information including the session ID from the session
A function of searching the
If the packet size passed from the packet
A function of retrieving session information including the session ID from the session
A function of searching the
If the communication rate passed from the
遮断手段15は、判定手段14から遮断指示が送られてきた場合、遮断指示に含まれているセッションIDが示すセッションによる通信を遮断する機能を有する。
The blocking
なお、通信装置1はコンピュータによって実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをセッション管理手段11、パケットサイズ検出手段12、通信レート検出手段13、判定手段14、および遮断手段15として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に上記各手段11〜15を実現する。
Note that the communication device 1 can be realized by a computer. When the communication device 1 is realized by a computer, for example, the following is performed. A disk, a semiconductor memory, and other recording media on which a program for causing a computer to function as the
次に、本実施の形態の動作について図面を参照して詳細に説明する。 Next, the operation of the present embodiment will be described in detail with reference to the drawings.
先ず、セッション管理手段11の動作について説明する。
First, the operation of the
図5を参照すると、セッション管理手段11は、内部ネットワークNW1上の利用者端末2−1〜2−Nと外部ネットワークNW2上の情報処理装置との間にセッションが確立すると(ステップS51がYes)、上記セッションのセッションIDと上記セッションで利用されるサービスのサービス種別とを含むセッション情報をセッション情報記憶部162に記録する(ステップS52)。
Referring to FIG. 5, the
また、セッション管理手段11は、セッションが切断された場合(ステップS53がYes)、上記セッションのセッションIDを含んだセッション情報をセッション情報記憶部162から削除する(ステップS54)。また、セッション管理手段11は、判定手段14からセッションIDを含む削除指示が送られてくると(ステップS55がYes)、上記セッションのセッションIDを含むセッション情報をセッション情報記憶部162から削除する(ステップS56)。
In addition, when the session is disconnected (Yes in step S53), the
次に、判定手段14の動作について説明する。
Next, the operation of the
パケットサイズ検出手段12は、前述したように、内部ネットワークNW1から外部ネットワークNW2へ送信されるパケットのパケットサイズを検出すると、検出したパケットサイズと、検出対象となったセッションのセッションIDとを判定手段14に渡す。
As described above, when the packet
これにより、判定手段14は、図6のフローチャートに示すように、パケットサイズ検出手段12から渡されたセッションIDを含んだセッション情報をセッション情報記憶部162から検索する(ステップS61)。次に、判定手段14は、上記セッション情報中のサービス種別に関連付けて記録されているサイズ閾値を閾値記憶部161から検索する(ステップS62)。その後、判定手段14は、パケットサイズ検出手段12から渡されたパケットサイズと、ステップS62で検索したサイズ閾値とを比較する(ステップS63)。
As a result, the
そして、パケットサイズがサイズ閾値以下である場合(ステップS63がNo)は、上記セッションIDのセッションはバックドア通信に利用されていないと判定し、その処理を終了する。これに対して、パケットサイズがサイズ閾値よりも大きい場合(ステップS63がYes)は、上記セッションはバックドア通信に利用されていると判定し、ステップS64の処理を行う。つまり、バックドア通信により送信されるパケットのパケットサイズは、該当するサービスで通常利用されるパケットのパケットサイズより大きいことが多いという特徴があるため、サイズ閾値よりもパケットサイズが大きいパケットが流れるセッションは、バックドア通信に利用されていると判定する。 If the packet size is equal to or smaller than the size threshold (No in step S63), it is determined that the session with the session ID is not used for backdoor communication, and the process ends. On the other hand, when the packet size is larger than the size threshold (Yes in step S63), it is determined that the session is used for backdoor communication, and the process of step S64 is performed. In other words, since the packet size of a packet transmitted by backdoor communication is often larger than the packet size of a packet normally used in the corresponding service, a session in which a packet whose packet size is larger than the size threshold flows. Is determined to be used for backdoor communication.
ステップS64では、遮断手段15に対して、バックドア通信が行われていると判定したセッションのセッションIDを含んだ遮断指示を出力する。これにより、遮断手段15は、例えば、上記セッションIDのセッションを切断することにより、上記セッションを利用した通信を遮断する。
In step S <b> 64, a blocking instruction including the session ID of the session determined to be backdoor communication is output to the blocking
その後、判定手段14は、上記セッションIDを含んだ削除指示をセッション管理手段11に出力する(ステップS65)。これにより、セッション管理手段11は、セッション情報記憶部162から上記セッションIDを含んだセッション情報を削除する。
Thereafter, the
また、通信レート検出手段13は、前述したように、利用者端末2−1〜2−Nから外部ネットワークNWへ送信されるデータの通信レートを検出すると、検出した通信レートと検出対象にしたセッションのセッションIDとを判定手段14に渡す。
Further, as described above, when the communication
これにより、判定手段14は、図7のフローチャートに示すように、通信レート検出手段13から渡されたセッションIDを含んだセッション情報をセッション情報記憶部162から検索する(ステップS71)。次に、判定手段14は、上記セッション情報中のサービス種別に関連付けて記録されているレート閾値を閾値記憶部161から検索する(ステップS72)。その後、判定手段14は、通信レート検出手段12から渡された通信レートと、ステップS72で検索したレート閾値とを比較する(ステップS73)。
Thereby, as shown in the flowchart of FIG. 7, the
そして、通信レートがレート閾値以下である場合(ステップS73がNo)は、上記セッションIDのセッションはバックドア通信に利用されていないと判定し、その処理を終了する。これに対して、通信レートがレート閾値よりも大きい場合(ステップS73がYes)は、上記セッションはバックドア通信に利用されていると判定し、ステップS74の処理を行う。つまり、バックドア通信に利用されるセッションの通信レートは、該当するサービスで通常利用される通信レートよりも大きいことが多いという特徴があるため、レート閾値よりも通信レートが大きいセッションは、バックドア通信に利用されていると判定する。 If the communication rate is equal to or lower than the rate threshold (No in step S73), it is determined that the session with the session ID is not used for backdoor communication, and the process ends. On the other hand, when the communication rate is larger than the rate threshold (step S73 is Yes), it is determined that the session is used for backdoor communication, and the process of step S74 is performed. In other words, since the communication rate of a session used for backdoor communication is often higher than the communication rate normally used for the corresponding service, a session with a communication rate higher than the rate threshold is It is determined that it is used for communication.
ステップS74では、遮断手段15に対して、バックドア通信が行われていると判定したセッションのセッションIDを含んだ遮断指示を出力する。これにより、遮断手段15は、例えば、上記セッションIDのセッションを切断することにより、上記セッションを利用した通信を遮断する。
In step S74, a blocking instruction including the session ID of the session determined to be backdoor communication is output to the blocking
その後、判定手段14は、上記セッションIDを含んだ削除指示をセッション管理手段11に出力する(ステップS75)。これにより、セッション管理手段11は、セッション情報記憶部162から上記セッションIDを含んだセッション情報を削除する。
Thereafter, the
次に、具体例を挙げて、本実施の形態の動作を説明する。 Next, the operation of the present embodiment will be described with a specific example.
今、例えば、図8に示すように、通信装置1を介して、利用者端末2−1と端末3−1との間にセッション4−1が張られ、利用者端末2−2とビデオオンデマンドサーバ(VoDサーバ)との間にセッション4−2が張られ、利用者端末2−3とWebサーバ3−3との間にセッション4−3が張られ、利用者端末2−1、2−2、2−3がそれぞれ音声サービス、映像サービス、Webサービスを利用しているとする。なお、セッション4−1、4−2、4−3のセッションIDは、それぞれID41、ID42、ID43であるとする。また、閾値記憶部161の内容は、図3に示すものであり、セッション情報記憶部162の内容は、図9に示すものであるとする。
Now, for example, as shown in FIG. 8, a session 4-1 is established between the user terminal 2-1 and the terminal 3-1 via the communication device 1, and the user terminal 2-2 and the video on A session 4-2 is established between the demand server (VoD server) and a session 4-3 is established between the user terminal 2-3 and the Web server 3-3. -2 and 2-3 use audio service, video service, and Web service, respectively. Note that the session IDs of the sessions 4-1, 4-2, and 4-3 are ID41, ID42, and ID43, respectively. The contents of the
今、パケットサイズ検出手段12が、セッション4−1を介して利用者端末2−1から端末3−1へ送信されるパケットのパケットサイズを検出し、判定手段14にパケットサイズ「50byte」とセッション4−1のセッションID「ID41」とを渡したとする。これにより、判定手段14は、図6のステップS61において、セッション情報記憶部162からセッションID「ID41」とサービス種別「音声」とを含んだセッション情報を検索し、ステップS62において、閾値記憶部161からサービス種別「音声」に対応するサイズ閾値「100byte」を検索する。
Now, the packet size detection means 12 detects the packet size of the packet transmitted from the user terminal 2-1 to the terminal 3-1 via the session 4-1, and the determination means 14 sends the packet size “50 bytes” to the session. Assume that the session ID “ID41” of 4-1 is passed. Accordingly, the
次のステップS63では、パケットサイズ「50byte」とサイズ閾値「100byte」とを比較する。この例では、パケットサイズ≦サイズ閾値となるので(ステップS63がNo)、セッション4−1はバックドア通信に利用されていないと判定し、その処理を終了する。 In the next step S63, the packet size “50 bytes” is compared with the size threshold value “100 bytes”. In this example, since packet size ≦ size threshold value (step S63: No), it is determined that the session 4-1 is not used for backdoor communication, and the process ends.
その後、パケット検出手段12が、セッション4−2を介して利用者端末2−2からVoDサーバ3−2へ送信されるパケットのパケットサイズを検出し、パケットサイズ「4000byte」とセッション4−2のセッションID「ID42」とを判定手段14に渡したとする。これにより、判定手段14は、ステップS61において、セッション情報記憶部162からセッションID「ID42」とサービス種別「映像」とを含んだセッション情報を検索し、ステップS62において、閾値記憶部161からサービス種別「映像」に対応するサイズ閾値「2000byte」を検索する。
Thereafter, the
次のステップS63では、パケットサイズ「4000byte」とサイズ閾値「2000byte」とを比較する。この例では、パケットサイズ>サイズ閾値となるので(ステップS63がYes)、セッション4−2はバックドア通信に利用されていると判定し、前述したステップS64以降の処理を行う。 In the next step S63, the packet size “4000 bytes” is compared with the size threshold “2000 bytes”. In this example, since packet size> size threshold (step S63 is Yes), it is determined that the session 4-2 is used for backdoor communication, and the processing from step S64 described above is performed.
また、例えば、通信レート検出手段13がセッション4−3の通信レートを検出し、通信レート「2000Kbps」とセッション4−3のセッションID「ID43」とを判定手段14に渡したとする。これにより、判定手段14は、図7のステップS71において、セッション情報記憶部162からセッションID「ID43」とサービス種別「Web」とを含むセッション情報を検索し、ステップS72において、閾値記憶部161からサービス種別「Web」に対応するレート閾値「1000Kbps」検索する。
For example, it is assumed that the communication
次のステップS73では、通信レート「2000Kbps」とレート閾値「1000Kbps」とを比較する。この例では、通信レート>レート閾値となるので、セッション4−3はバックドア通信に利用されていると判定し、ステップS74以降の処理を行う。 In the next step S73, the communication rate “2000 Kbps” is compared with the rate threshold “1000 Kbps”. In this example, since communication rate> rate threshold, it is determined that the session 4-3 is used for backdoor communication, and the processing after step S74 is performed.
[第1の実施の形態の効果]
本実施の形態によれば、標的型攻撃によってバックドアを開けられてしまった場合であっても、情報の漏洩を最小限に抑えることができる。その理由は、予め定められているサイズ閾値よりもパケットサイズが大きなパケットが送信されるセッションや、予め定められているレート閾値よりも通信レートが高いセッションは、バックドア通信に利用されていると判断し、そのセッションによる通信を遮断するようにしているからである。
[Effect of the first embodiment]
According to the present embodiment, even when the back door is opened by the targeted attack, information leakage can be minimized. The reason is that a session in which a packet having a packet size larger than a predetermined size threshold is transmitted or a session having a communication rate higher than a predetermined rate threshold is used for backdoor communication. This is because the communication by the session is cut off.
[本発明の第2の実施の形態]
次に、本発明の第2の実施の形態について図面を参照して説明する。本実施の形態に係る通信装置は、サイズ閾値およびレート閾値を学習するようにした点と、ウイルスによってバックドアを開けられている利用者端末にウイルス感染通知を送信するようにした点とを特徴とする。
[Second embodiment of the present invention]
Next, a second embodiment of the present invention will be described with reference to the drawings. The communication device according to the present embodiment is characterized in that a size threshold and a rate threshold are learned, and a virus infection notification is transmitted to a user terminal whose back door is opened by a virus. And
図10を参照すると、本実施の形態に係る通信装置1aは、判定手段14の代わりに判定手段14aを備えている点、および学習手段17を備えている点が、図2に示した第1の実施の形態の通信装置1と相違している。以下の説明では、第1の実施の形態との相違点を中心に説明する。
Referring to FIG. 10, the
判定手段14aは、バックドア通信に利用されていると判断したセッションを利用して通信を行っている利用者端末(バックドアが開けられた利用者端末)に対してウイルス感染通知を送信する機能を有している点が、第1の実施の形態の判定手段14と相違している。
The
学習手段17は、管理者によって学習開始指示が入力されてから一定時間が経過するまでの期間(学習期間)において、パケットサイズ検出手段12が検出したセッション毎のパケットサイズと、セッション情報記憶部162に記録されているセッション情報とに基づいて、サービス種別毎の最大パケットサイズを求め、求めたサービス種別毎の最大パケットサイズを、サービス種別毎のサイズ閾値として閾値記憶部161に記録する機能を有する。更に、学習手段17は、学習期間において通信レート検出手段13が検出したセッション毎の通信レートと、セッション情報記憶部162に記録されているセッション情報とに基づいて、サービス種別毎の最大通信レートを求め、求めたサービス種別毎の最大通信レートを、サービス種別毎のレート閾値として閾値記憶部161に記録する機能を有する。
The
なお、通信装置1aは、コンピュータにより実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをセッション管理手段11、パケットサイズ検出手段12、通信レート検出手段13、判定手段14a、遮断手段15、及び学習手段17として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、上記各手段を実現する。
The
次に、本実施の形態の動作について説明する。 Next, the operation of the present embodiment will be described.
先ず、判定手段14aの動作を図11及び図12のフローチャートを参照して説明する。
First, the operation of the
図11を参照すると、判定手段14aは、パケットサイズ検出手段12からパケットサイズとセッションIDとが渡されると、前述したステップS61〜S63と同様の処理を行う。そして、パケットサイズの方がサイズ閾値よりも大きい場合(ステップS63がYes)は、上記セッションIDのセッションがバックドア通信に利用されていると判定し、前述したステップS64、S63の処理を行い、その後、ステップS111の処理を行う。ステップS111では、上記セッションを利用して通信を行っている内部ネットワークNW1上の利用者端末に対して、ウイルスに感染し、バックドアが開けられていることを示すウイルス感染通知を送信する。なお、ウイルス感染通知の送信先にする利用者端末のアドレスは、上記セッションを利用して内部ネットワークNW1から外部ネットワークNW2へ送られるパケットの送信元アドレスから知ることができる。なお、ウイルス感染通知の送信先は、利用者端末2−1〜2−Nに限られるものではなく、利用者端末2−1〜2−Nの利用者によって指示された携帯端末などの他端末とすることもできる。そのようにする場合には、利用者端末のアドレスと、利用者によって指定された携帯端末などのアドレス(指定アドレス)とを関連付けて記憶装置16に記憶しておく。そして、バックドア通信に利用されているセッションを検出した場合には、そのセッションを利用して通信を行っている利用者端末のアドレスに関連付けて記録されている指定アドレスへウイルス感染通知を送信するようにしてもよい。
Referring to FIG. 11, when the packet size and the session ID are passed from the packet
また、図12を参照すると、判定手段14aは、通信レート検出手段13から通信レートとセッションIDとが渡されると、前述したステップS71〜S73と同様の処理を行う。そして、通信レートの方がレート閾値よりも大きい場合(ステップS73がYes)は、上記セッションIDのセッションがバックドア通信に利用されていると判断し、前述したステップS74、S75の処理を行い、その後、ステップS121の処理を行う。ステップS121では、上記セッションを利用して通信を行っている内部ネットワークNW1上の利用者端末に対して、ウイルスに感染し、バックドアが開けられていることを示すウイルス感染通知を送信する。この通知を受けた利用者端末の利用者は、自身の利用者端末がウイルスに感染し、バックドアを開けられていることを認識できるので、ウイルス駆除などの適切な処置をとることができる。
Referring to FIG. 12, when the communication rate and the session ID are passed from the communication
次に、学習手段17の動作を図13のフローチャートを参照して説明する。 Next, the operation of the learning means 17 will be described with reference to the flowchart of FIG.
管理者は、学習手段17を起動する場合、キー入力部などの入力部(図示せず)から学習手段17に対して学習開始指示を入力する。
When starting the
これにより、学習手段17は図13のフローチャートに示す処理を開始する。学習手段17は、パケットサイズ検出手段12からパケットサイズとセッションIDが渡されると(ステップS131がYes)、セッション情報記憶部162に記録されているセッション情報に基づいて、上記セッションIDのセッションで利用しているサービスのサービス種別を求める(ステップS132)。その後、学習手段17は、上記サービス種別に関連付けて保持している最大パケットサイズ(初期値は0とする)と、パケットサイズ検出手段12から渡されたパケットサイズとを比較する(ステップS133)。
Thereby, the learning means 17 starts the process shown in the flowchart of FIG. When the packet size and the session ID are passed from the packet size detection unit 12 (Yes in step S131), the
そして、パケットサイズ検出手段12から渡されたパケットサイズの方が大きい場合(ステップS133がYes)は、上記サービス種別に関連付けて保持している最大パケットサイズを、パケットサイズ検出手段12から渡されたパケットサイズで置き換え(ステップS134)、その後、ステップS135の処理を行う。これに対して、最大パケットサイズがパケットサイズ以上である場合(ステップS133がNo)は、ステップS135の処理を行う。
If the packet size passed from the packet
また、学習手段17は、通信レート検出手段13から通信レートとセッションIDが渡されると(ステップS135がYes)、セッション情報記憶部162に記録されているセッション情報に基づいて、上記セッションIDのセッションで利用しているサービスのサービス種別を求める(ステップS136)。その後、学習手段17は、上記サービス種別に関連付けて保持している最大通信レート(初期値は0)と通信レート検出手段13から渡された通信レートとを比較する(ステップS137)。
In addition, when the communication rate and the session ID are passed from the communication rate detection unit 13 (Yes in step S135), the
そして、通信レート検出手段13から渡された通信レートの方が大きい場合(ステップS137がYes)は、上記サービス種別に関連付けて保持している最大通信レートを、通信レート検出手段13から渡された通信レートで置き換え(ステップS138)、その後、ステップS139の処理を行う。これに対して、最大通信レートが通信レート以上である場合は(ステップS137がNo)は、ステップS139の処理を行う。
If the communication rate passed from the communication
学習手段17は、学習期間(学習開始指示が入力されてから一定時間が経過するまでの期間)が終了するまで、前述した処理と同様の処理を繰り返し行う。そして、学習期間が終了すると(139がYes)、学習手段17は、保持しているサービス種別毎の最大パケットサイズを、サービス種別毎のサイズ閾値として閾値記憶部161に記録すると共に、保持しているサービス種別毎の最大通信レートを、サービス種別毎のレート閾値として閾値記憶部161に記録する(ステップS140)。
The
[第2の実施の形態の効果]
本実施の形態によれば、サイズ閾値およびレート閾値として適切な値を設定することができる。その理由は、学習手段17により求めたサービス種別毎の最大パケットサイズ及び最大通信レートを、サービス種別毎のサイズ閾値およびレート閾値としているからである。
[Effect of the second embodiment]
According to the present embodiment, appropriate values can be set as the size threshold and the rate threshold. The reason is that the maximum packet size and the maximum communication rate for each service type obtained by the
また、本実施の形態では、バックドア通信に利用されているセッションを用いて通信を行っている利用者端末に対してウイルス感染通知を送信するようにしているので、利用者端末でウイルス駆除などの適切な処置を行うことが可能になるという効果を得ることができる。 In this embodiment, since a virus infection notification is transmitted to a user terminal that communicates using a session that is used for backdoor communication, virus removal or the like is performed at the user terminal. Thus, it is possible to obtain an effect that it is possible to perform an appropriate treatment.
[本発明の第3の実施の形態]
次に、本発明に係る通信装置の第3の実施の形態について説明する。
[Third embodiment of the present invention]
Next, a third embodiment of the communication apparatus according to the present invention will be described.
図14を参照すると、本実施の形態に係る通信装置100は、内部ネットワークNW1と外部ネットワークNW2との境界に設置されており、セッション管理手段101と、検出手段102と、閾値記憶部103と、判定手段104と、遮断手段105とを備えている。
Referring to FIG. 14,
セッション管理手段101は、LAN等の内部ネットワークNW1上の端末とインターネット等の外部ネットワークNW2上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出する。
The
検出手段102は、上記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、内部ネットワークNW1側から外部ネットワークNW2側に向かってデータが送信される通信の特徴を示す特徴量を検出する。特徴量としては、パケットサイズや、データの通信レートなどを使用することができる。 The detecting means 102 is a feature amount indicating a feature of communication using the session for each session, and a feature amount indicating a feature of communication in which data is transmitted from the internal network NW1 side to the external network NW2 side. Is detected. As the feature amount, a packet size, a data communication rate, or the like can be used.
閾値記憶部103には、サービス種別毎の閾値であって、検出手段102で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値が記録されている。
The threshold
判定手段104は、上記セッション毎に、セッション管理手段101で検出されたサービス種別に関連付けて閾値記憶部103に記録されている閾値に基づいて、検出手段102で検出された特徴量が正常な通信において現れる値であるか否かを判定する。つまり、検出手段102で検出された特徴量が正常な通信において現れる値であるか否かを判定することにより、バックドア通信に利用されているか否かを判定する。
For each session, the
遮断手段105は、判定手段104において、検出手段102で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する。
The blocking
[第3の実施の形態の効果]
本実施の形態によれば、標的型攻撃によってバックドアを開けられてしまった場合であっても、情報の漏洩を最小限に抑えることができる。その理由は、閾値記憶部に記録されている閾値に基づいて、検出手段で検出された特徴量が正常な通信では現れない値であると判定されたセッションは、バックドア通信に利用されていると判定し、そのセッションによる通信を遮断するようにしているからである。
[Effect of the third embodiment]
According to the present embodiment, even when the back door is opened by the targeted attack, information leakage can be minimized. The reason is that, based on the threshold value recorded in the threshold value storage unit, the session in which the feature amount detected by the detection unit is determined to be a value that does not appear in normal communication is used for backdoor communication. This is because the communication by the session is cut off.
1、1a…通信装置
11…セッション管理手段
12…パケットサイズ検出手段
13…通信レート検出手段
14、14a…判定手段
15…遮断手段
16…記憶装置
161…閾値記憶部
162…セッション情報記憶部
17…学習手段
2−1〜2−N…利用者端末
100…通信装置
101…セッション管理手段
102…検出手段
103…閾値記憶部
104…判定手段
105…遮断手段
NW1…内部ネットワーク
NW2…外部ネットワーク
DESCRIPTION OF
Claims (7)
前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出するセッション管理手段と、
前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出する検出手段と、
サービス種別毎の閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値が記録された閾値記憶部と、
前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定する判定手段と、
該判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する遮断手段とを備えたことを特徴とする通信装置。 A communication device installed at the boundary between an internal network and an external network,
Session management means for detecting a service type of a service used in the session for each session established between a terminal on the internal network and an information processing apparatus on the external network;
Detection means for detecting, for each session, a feature amount indicating a feature of communication using the session, wherein the feature amount indicates a feature of communication in which data is transmitted from the internal network side toward the external network side. When,
A threshold value storage for storing a threshold value for each service type and for determining whether or not the feature value detected by the detection means is a value that appears in normal communication using a service of the service type And
For each session, based on the threshold value recorded in the threshold value storage unit in association with the service type detected by the session management unit, the feature value detected by the detection unit is a value that appears in normal communication. Determination means for determining whether or not,
A communication apparatus, comprising: a determining unit configured to block communication based on a session in which it is determined that the feature amount detected by the detecting unit is not a value that appears in normal communication.
前記特徴量は、前記内部ネットワークから前記外部ネットワークへ送信されるパケットのパケットサイズであることを特徴とする通信装置。 The communication device according to claim 1.
The communication apparatus, wherein the feature amount is a packet size of a packet transmitted from the internal network to the external network.
前記特徴量は、前記内部ネットワークから前記外部ネットワークへ送信されるデータの通信レートであることを特徴とする通信装置。 The communication device according to claim 1.
The communication apparatus characterized in that the feature amount is a communication rate of data transmitted from the internal network to the external network.
学習期間において前記検出手段が検出した前記セッション毎の特徴量と、前記学習期間において前記セッション管理手段が検出した前記セッション毎のサービス種別とに基づいて、サービス種別毎の特徴量の最大値を求め、該求めたサービス種別毎の最大値を、サービス種別毎の閾値として前記閾値記憶部に記録する学習手段を備えたことを特徴とする通信装置。 The communication device according to claim 1, 2 or 3,
Based on the feature amount for each session detected by the detection unit during the learning period and the service type for each session detected by the session management unit during the learning period, a maximum value of the feature amount for each service type is obtained. A communication apparatus comprising learning means for recording the maximum value for each service type obtained in the threshold storage unit as a threshold for each service type.
前記判定手段は、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定したセッションを利用して通信を行っている前記内部ネットワーク上の端末に対して、ウイルスに感染したことを示すウイルス感染通知を送信することを特徴とする通信装置。 The communication apparatus according to any one of claims 1 to 4,
The determination unit is infected with a virus on a terminal on the internal network that performs communication using a session determined that the feature value detected by the detection unit is not a value that appears in normal communication. A communication apparatus that transmits a virus infection notification indicating the above.
前記セッション管理手段が、前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出し、
前記検出手段が、前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出し、
前記判定手段が、前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定し、
前記遮断手段が、前記判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断することを特徴とするサイバー攻撃検出方法。 A cyber attack detection method executed by a computer that includes a threshold storage unit, a session management unit, a detection unit, a determination unit, and a blocking unit, and that is installed at a boundary between an internal network and an external network,
For each session established between the terminal on the internal network and the information processing apparatus on the external network, the session management means detects a service type of a service used in the session,
A feature amount indicating a feature of communication using the session for each session, wherein the detection means indicates a feature of communication in which data is transmitted from the internal network side to the external network side. Detect
The determination unit is a threshold value recorded in the threshold storage unit in association with the service type detected by the session management unit for each session, and the feature amount detected by the detection unit is the service type. Based on a threshold value for determining whether or not the value appears in normal communication using the service, it is determined whether or not the feature value detected by the detecting means is a value that appears in normal communication. ,
The cyber attack detection method, wherein the blocking unit blocks communication by a session in which the determination unit determines that the feature value detected by the detection unit is not a value that appears in normal communication.
前記内部ネットワーク上の端末と前記外部ネットワーク上の情報処理装置との間に確立されたセッション毎に、そのセッションで利用されるサービスのサービス種別を検出するセッション管理手段、
前記セッション毎に、そのセッションを利用した通信の特徴を示す特徴量であって、前記内部ネットワーク側から前記外部ネットワーク側に向かってデータが送信される通信の特徴を示す特徴量を検出する検出手段、
前記セッション毎に、前記セッション管理手段で検出されたサービス種別に関連付けて前記閾値記憶部に記録されている閾値であって、前記検出手段で検出された特徴量がそのサービス種別のサービスを利用する正常な通信において現れる値であるか否かを判定するための閾値に基づいて、前記検出手段で検出された特徴量が正常な通信において現れる値であるか否かを判定する判定手段、
該判定手段において、前記検出手段で検出された特徴量が正常な通信において現れる値ではないと判定されたセッションによる通信を遮断する遮断手段として機能させるためのプログラム。 A computer having a threshold storage unit and installed at the boundary between the internal network and the external network,
Session management means for detecting a service type of a service used in a session for each session established between a terminal on the internal network and an information processing apparatus on the external network;
Detection means for detecting, for each session, a feature amount indicating a feature of communication using the session, wherein the feature amount indicates a feature of communication in which data is transmitted from the internal network side toward the external network side. ,
For each session, the threshold value recorded in the threshold value storage unit in association with the service type detected by the session management unit, and the feature amount detected by the detection unit uses the service of the service type Determining means for determining whether or not the feature amount detected by the detecting means is a value appearing in normal communication based on a threshold value for determining whether or not the value appears in normal communication;
A program for causing the determination unit to function as a blocking unit that blocks communication by a session in which it is determined that the feature value detected by the detection unit is not a value that appears in normal communication.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013111795A JP2014232923A (en) | 2013-05-28 | 2013-05-28 | Communication equipment, cyber attack detection method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013111795A JP2014232923A (en) | 2013-05-28 | 2013-05-28 | Communication equipment, cyber attack detection method and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014232923A true JP2014232923A (en) | 2014-12-11 |
Family
ID=52126096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013111795A Pending JP2014232923A (en) | 2013-05-28 | 2013-05-28 | Communication equipment, cyber attack detection method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014232923A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017059964A (en) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
| JP2018007179A (en) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Device, method and program for monitoring |
| WO2019225214A1 (en) * | 2018-05-21 | 2019-11-28 | 日本電信電話株式会社 | Determination method, determination device and determination program |
| JP2021512567A (en) * | 2018-01-26 | 2021-05-13 | オパンガ ネットワークス,インコーポレイテッド | Systems and methods for identifying candidate flows in data packet networks |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295212A (en) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | Apparatus and program for abnormal data detection |
| JP2006238043A (en) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Network abnormality detection apparatus |
| US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
| JP2007081454A (en) * | 2005-09-09 | 2007-03-29 | Oki Electric Ind Co Ltd | Abnormality detecting system, abnormality management apparatus, abnormality management method, probe and program thereof |
| JP2008146157A (en) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | Network abnormality decision device |
| US20100281539A1 (en) * | 2009-04-29 | 2010-11-04 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US20110055921A1 (en) * | 2009-09-03 | 2011-03-03 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
| JP2012015684A (en) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | Internal network management system and internal network management method and program |
-
2013
- 2013-05-28 JP JP2013111795A patent/JP2014232923A/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295212A (en) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | Apparatus and program for abnormal data detection |
| JP2006238043A (en) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Network abnormality detection apparatus |
| JP2007081454A (en) * | 2005-09-09 | 2007-03-29 | Oki Electric Ind Co Ltd | Abnormality detecting system, abnormality management apparatus, abnormality management method, probe and program thereof |
| US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
| JP2008146157A (en) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | Network abnormality decision device |
| US20100281539A1 (en) * | 2009-04-29 | 2010-11-04 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US20110055921A1 (en) * | 2009-09-03 | 2011-03-03 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
| JP2012015684A (en) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | Internal network management system and internal network management method and program |
Non-Patent Citations (1)
| Title |
|---|
| GARCIA-TEODORO, P. ET AL.: "Anomaly-based network intrusion detection: Techniques, systems and chllenges", COMPUTERS & SECURITY 28.1, JPN6017003960, 2009, pages 18 - 28, XP025839371, ISSN: 0003495820, DOI: 10.1016/j.cose.2008.08.003 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017059964A (en) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
| JP2018007179A (en) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Device, method and program for monitoring |
| JP2021512567A (en) * | 2018-01-26 | 2021-05-13 | オパンガ ネットワークス,インコーポレイテッド | Systems and methods for identifying candidate flows in data packet networks |
| WO2019225214A1 (en) * | 2018-05-21 | 2019-11-28 | 日本電信電話株式会社 | Determination method, determination device and determination program |
| JPWO2019225214A1 (en) * | 2018-05-21 | 2020-12-10 | 日本電信電話株式会社 | Judgment method, judgment device and judgment program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102039842B1 (en) | How to prevent network attacks, devices, and systems | |
| EP2533492B1 (en) | A node device and method to prevent overflow of pending interest table in name based network system | |
| CN109889547B (en) | Abnormal network equipment detection method and device | |
| TWI729320B (en) | Suspicious packet detection device and suspicious packet detection method thereof | |
| JP5009244B2 (en) | Malware detection system, malware detection method, and malware detection program | |
| US10187422B2 (en) | Mitigation of computer network attacks | |
| US20170310669A1 (en) | Device Blocking Tool | |
| JP5947838B2 (en) | Attack detection apparatus, attack detection method, and attack detection program | |
| US20130246605A1 (en) | Local reputation to adjust sensitivity of behavioral detection system | |
| US9055096B2 (en) | Apparatus and method for detecting an attack in a computer network | |
| CN102404741B (en) | Method and device for detecting abnormal online of mobile terminal | |
| WO2013152610A1 (en) | Phishing website detection method and device | |
| CN109040140B (en) | Slow attack detection method and device | |
| WO2008141584A1 (en) | Message processing method, system, and equipment | |
| US20170034208A1 (en) | Device blocking tool | |
| WO2013091534A1 (en) | Trojan detection method and device | |
| WO2018157626A1 (en) | Threat detection method and apparatus | |
| JP2014232923A (en) | Communication equipment, cyber attack detection method and program | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| JP2020031363A (en) | Communication control system, network controller and computer program | |
| US20140317718A1 (en) | IPS Detection Processing Method, Network Security Device, and System | |
| CN105812324A (en) | Method, device and system for IDC information safety management | |
| TW201132055A (en) | Routing device and related packet processing circuit | |
| KR101826728B1 (en) | Method, system and computer-readable recording medium for managing log data | |
| TWI666568B (en) | Method of Netflow-Based Session Detection for P2P Botnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160405 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170808 |