JP6599538B2 - ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 - Google Patents
ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 Download PDFInfo
- Publication number
- JP6599538B2 JP6599538B2 JP2018502243A JP2018502243A JP6599538B2 JP 6599538 B2 JP6599538 B2 JP 6599538B2 JP 2018502243 A JP2018502243 A JP 2018502243A JP 2018502243 A JP2018502243 A JP 2018502243A JP 6599538 B2 JP6599538 B2 JP 6599538B2
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- record
- data stream
- identification
- association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 436
- 230000008569 process Effects 0.000 claims description 306
- 238000012545 processing Methods 0.000 claims description 118
- 230000006870 function Effects 0.000 claims description 51
- 230000000694 effects Effects 0.000 claims description 39
- 230000009471 action Effects 0.000 claims description 3
- 238000011112 process operation Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 31
- 238000005516 engineering process Methods 0.000 description 29
- 230000003993 interaction Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 238000012546 transfer Methods 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
第1のデータストリームの、ネットワークセキュリティ装置によって送信された識別子を受信するステップと、
第1の対応関係表において端末機器が、第1のレコード内のプロセスの識別子を取得するために、第1のデータストリームの識別子が格納されている第1のレコードを探索するステップと、
第2の対応関係表において端末機器が、第2のレコードからアプリケーションの識別子を取得するために、第1のレコード内のプロセスの識別子が格納されている第2のレコードを探索するステップと、
アプリケーションの識別子をネットワークセキュリティ装置に送信するステップと
を含む。
オペレーティングシステムによって提供されたインターフェースを用いて端末機器が、端末機器上で動作している少なくとも1つのプロセスの識別子を取得するステップと、
取得したプロセスの識別子ごとに、端末機器が、プロセスによって作成されたデータストリームの識別子を取得し、プロセスの識別子とデータストリームの識別子とを含むレコードを生成し、レコードを第1の対応関係表に格納するステップと
を用いて取得する。
フック関数を用いて端末機器が、オペレーティングシステムがプロセスを作成するイベントを取得するステップと、
プロセスを作成するイベントから新しく作成されたプロセスの識別子を取得するステップと、
新しく作成されたプロセスによって作成されたデータストリームの識別子を取得し、新しく作成されたプロセスの識別子と新しく作成されたプロセスによって作成されたデータストリームの識別子とを含むレコードを生成し、レコードを第1の対応関係表に格納するステップと
を用いて取得し、
端末機器が第1の対応関係表を取得することは、
フック関数を用いて端末機器が、オペレーティングシステムがプロセスを終了するイベントを取得するステップと、
プロセスを終了するイベントから終了したプロセスの識別子を取得し、第1の対応関係表から、終了したプロセスの識別子を含むレコードを削除するステップと
をさらに含む。
端末機器が、第1の対応関係表における期限切れレコードを判定するステップであって、期限切れレコードは、データストリームのものである、期限切れレコードに含まれる最終アクティビティ時刻と現在時刻との間の時間間隔が所定の時間間隔を超えるレコードである、ステップと、
期限切れレコードを削除するステップと
をさらに含む。
フック関数を用いて端末機器が、端末機器によって送信されたパケットを取得するステップと、
取得したパケットから、パケットが属するデータストリームの識別子を取得するステップと、
第1の対応関係表内の、パケットが属するデータストリームの識別子を含むレコード内のデータストリームの最終アクティビティ時刻を現在時刻に更新するステップと
をさらに含む。
フック関数を用いて端末機器が、端末機器によって送信されたパケットを取得するステップと、
取得したパケットから、パケット状況識別子とパケットが属するデータストリームの識別子とを取得するステップと、
パケット状況識別子がFINである場合、第1の対応関係表から、パケットが属するデータストリームの識別子を含むレコードを削除するステップと
をさらに含む。
プロセスの識別子のパケット収集フラグを設定するステップであって、パケット収集フラグは、端末機器に、オペレーティングシステムのインターフェースを用いてプロセスによって送信されたパケットを取り込んだ後で、プロセスによって続いて送信される完全なデータストリームを取得し、格納するよう命令するのに用いられる、ステップ
をさらに含む。
第1の対応関係表において、第1のレコード内のプロセスの識別子を取得するために、第1のデータストリームの識別子が格納されている第1のレコードを探索するステップと、第2の対応関係表において、第2のレコードからアプリケーションの識別子を取得するために、第1のレコード内のプロセスの識別子が格納されている第2のレコードを探索するステップと
を行う。
フック関数を用いて、オペレーティングシステムがプロセスを作成するイベントを取得する動作と、プロセスを作成するイベントから新しく作成されたプロセスの識別子を取得する動作と、新しく作成されたプロセスによって作成されたデータストリームの識別子を取得し、新しく作成されたプロセスの識別子と新しく作成されたプロセスによって作成されたデータストリームの識別子とを含むレコードを生成し、レコードを第1の対応関係表に格納する動作と、
フック関数を用いて、オペレーティングシステムがプロセスを終了するイベントを取得する動作と、プロセスを終了するイベントから終了したプロセスの識別子を取得し、第1の対応関係表から、終了したプロセスの識別子を含むレコードを削除する動作と
を用いて取得するようにさらに構成される。
プロセッサは、第1の対応関係表における期限切れレコードを判定し、期限切れレコードは、データストリームのものである、期限切れレコードに含まれる最終アクティビティ時刻と現在時刻との間の時間間隔が所定の時間間隔を超えるレコードであり、期限切れレコードを削除する、ようにさらに構成される。
取得したパケットから、パケットが属するデータストリームの識別子を取得し、
第1の対応関係表内の、パケットが属するデータストリームの識別子を含むレコード内のデータストリームの最終アクティビティ時刻を現在時刻に更新する、
ようにさらに構成される。
取得したパケットから、パケット状況識別子とパケットが属するデータストリームの識別子とを取得し、
パケット状況識別子がFINである場合、第1の対応関係表から、パケットが属するデータストリームの識別子を含むレコードを削除する、
ようにさらに構成される。
第1のデータストリームを送信したアプリケーションを識別できない場合、第1のデータストリームの識別子を取得するステップであって、データストリームの識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含む5タプルである、ステップと、ネットワークインターフェースに、第1のデータストリームの識別子内の送信元アドレスまたは宛先アドレスに従って端末機器にデータストリームの識別子を送信するよう命令するステップであって、端末機器のアドレスは第1のデータストリームの識別子内の送信元アドレスまたは宛先アドレスである、ステップと
を行うように構成される。
第2のデータストリームを受信し、第2のデータストリームの宛先3タプルまたは送信元3タプルのうちの少なくとも1つを取得し、第2のデータストリームの宛先3タプルは、第2のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルであり、第2のデータストリームの送信元3タプルは、第2のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルであり、
取得した3タプルが、第1のアソシエーション識別規則と第2のアソシエーション識別規則のどちらかに含まれる3タプルと一致する場合、第2のデータストリームを送信したアプリケーションの識別子は、アソシエーション識別規則のどちらかに含まれるアプリケーションの識別子であると判定する、ようにさらに構成される。
ネットワークセキュリティ装置から第1の識別レコードを受信するステップであって、第1の識別レコードは第1のデータストリームの識別子とアプリケーションの識別子とを含み、第1のデータストリームの識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含む5タプルである、ステップと、
端末機器から第2の識別レコードと対応関係表とを受信するステップであって、第2の識別レコードは第2のデータストリームの識別子とプロセスの識別子とを含み、対応関係表内の各レコードは、アプリケーションの識別子とアプリケーションによって作成されたプロセスの識別子とを格納している、すなわち、アプリケーションの識別子とプロセスの識別子との間の対応関係が対応関係表内のレコードを用いて格納されている、ステップと、
第1の識別レコードに含まれる第1のデータストリームの識別子が第2の識別レコードに含まれる第2のデータストリームの識別子と同じである場合、対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第1のアソシエーションレコードは、第1の識別レコードに含まれるアプリケーションの識別子と、第2の識別レコードに含まれるプロセスの識別子とを格納している、ステップと、
第1のアソシエーションレコードが存在しない場合、第1の識別レコードは誤った識別レコードであると判定するステップと
を含む。
端末機器がプロセスの識別子のパケット収集フラグを設定するように、端末機器に、第2の識別レコードに含まれるプロセスの識別子を送信するステップであって、パケット収集フラグは、端末機器に、オペレーティングシステムのインターフェースを用いてプロセスによって送信されたパケットを取り込んだ後で、プロセスによって続いて送信される完全なデータストリームを取得し、格納するよう命令するのに用いられる、ステップ
をさらに含む。
ネットワークセキュリティ装置に通知メッセージを送信するステップであって、通知メッセージは、ネットワークセキュリティ装置に、第1のアソシエーション識別規則または第2のアソシエーション識別規則を削除するよう命令するのに用いられ、第1のアソシエーション識別規則は、第1のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルを含み、第2のアソシエーション識別規則は、第1のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルを含む、ステップ
をさらに含む。
対応関係表に第2のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第2のアソシエーションレコードは第2の識別レコードに含まれるプロセスの識別子と対応するアプリケーションの識別子とを格納している、ステップと、
第2のアソシエーションレコードが存在する場合、第3のアソシエーション識別規則と第4のアソシエーション識別規則とを生成するステップであって、第3のアソシエーション識別規則は、第2のアソシエーションレコード内のアプリケーションの識別子と、第1のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルとを含み、第4のアソシエーション識別規則は、第2のアソシエーションレコード内のアプリケーションの識別子と、第1のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルとを含む、ステップと、
第3のアソシエーション識別規則と第4のアソシエーション識別規則とをネットワークセキュリティ装置に送信するステップと
をさらに含む。
ネットワークセキュリティ装置から第3の識別レコードを受信するステップであって、第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、未識別のフラグは、ネットワークセキュリティ装置が第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられる、ステップと、
端末機器から第4の識別レコードを受信するステップであって、第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ステップと、
第3の識別レコードに含まれる第3のデータストリームの識別子が第4の識別レコードに含まれる第4のデータストリームの識別子と同じである場合、対応関係表に第2のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第3のアソシエーションレコードは、第4の識別レコードに含まれるプロセスの識別子を格納している、ステップと、
第3のアソシエーションレコードが存在する場合、第5のアソシエーション識別規則と第6のアソシエーション識別規則とを生成するステップであって、第5のアソシエーション識別規則は、第3のアソシエーションレコードに含まれるアプリケーションの識別子と、第3のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルとを含み、第6のアソシエーション識別規則は、第3のアソシエーションレコードに含まれるアプリケーションの識別子と、第3のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルとを含む、ステップと、
第5のアソシエーション識別規則と第6のアソシエーション識別規則とをネットワークセキュリティ装置に送信するステップと
をさらに含む。
ネットワークセキュリティ装置から第3の識別レコードを受信するステップであって、第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、未識別のフラグは、ネットワークセキュリティ装置が第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられる、ステップと、
端末機器から第4の識別レコードを受信するステップであって、第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ステップと、
第3の識別レコードに含まれる第3のデータストリームの識別子が第4の識別レコードに含まれる第4のデータストリームの識別子と同じである場合、対応関係表に第3のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第3のアソシエーションレコードは、第4の識別レコードに含まれるプロセスの識別子を格納している、ステップと、
第3のアソシエーションレコードが存在する場合、第3のアソシエーションレコードに含まれるアプリケーションの識別子と第3のデータストリームの識別子とをネットワークセキュリティ装置に送信するステップと
をさらに含む。
ネットワークセキュリティ装置から第1の識別レコードを受信するステップであって、第1の識別レコードは第1のデータストリームの識別子、アプリケーションの識別子、および識別方式の識別子を含み、データストリームの識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含む5タプルであり、識別方式は、アソシエーション識別、特徴識別、およびヒューリスティック識別を含む、ステップと、
端末機器から第2の識別レコードと対応関係表とを受信するステップであって、第2の識別レコードは第2のデータストリームの識別子とプロセスの識別子とを含み、対応関係表内の各レコードは、アプリケーションの識別子とアプリケーションによって作成されたプロセスの識別子との間の対応関係を格納している、ステップと、
第1の識別レコードに含まれる第1のデータストリームの識別子が第2の識別レコードに含まれる第2のデータストリームの識別子と同じである場合、対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第1のアソシエーションレコードは、第1の識別レコードに含まれるアプリケーションの識別子と、第2の識別レコードに含まれるプロセスの識別子とを格納している、ステップと、
第1の識別レコード内の識別方式の識別子がアソシエーション識別方式の識別子である場合、第1のアソシエーションレコードが存在しないときに、ネットワークセキュリティ装置に通知メッセージを送信するステップであって、通知メッセージは、ネットワークセキュリティ装置に、第1のアソシエーション識別規則または第2のアソシエーション識別規則を削除するよう命令するのに用いられ、第1のアソシエーション識別規則は、第1のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルを含み、第2のアソシエーション識別規則は、第1のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルを含む、ステップと
を含む。
端末機器から、第2の識別レコードと対応関係表とを受信し、第2の識別レコードは、第2のデータストリームの識別子とプロセスの識別子とを含み、対応関係表内の各レコードがアプリケーションの識別子とアプリケーションによって作成されたプロセスの識別子とを格納している、ように構成される。
第1の識別レコードに含まれる第1のデータストリームの識別子が第2の識別レコードに含まれる第2のデータストリームの識別子と同じである場合、対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第1のアソシエーションレコードは、第1の識別レコードに含まれるアプリケーションの識別子と、第2の識別レコードに含まれるプロセスの識別子とを格納している、ステップと、
第1のアソシエーションレコードが存在しない場合、第1の識別レコードは誤った識別レコードであると判定するステップと
を行う。
端末機器から第4の識別レコードを受信し、第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ようにさらに構成される。
第3のアソシエーションレコードが存在する場合、第5のアソシエーション識別規則と第6のアソシエーション識別規則とを生成し、第5のアソシエーション識別規則は、第3のアソシエーションレコードに含まれるアプリケーションの識別子と、第3のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルとを含み、第6のアソシエーション識別規則は、第3のアソシエーションレコードに含まれるアプリケーションの識別子と、第3のデータストリームの送信元アドレス、送信元ポート、およびプロトコル識別子を含む3タプルとを含む、ようにさらに構成される。
端末機器から第4の識別レコードを受信し、第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ようにさらに構成される。
図1Aおよび図1Bは、本出願の一実施形態によるネットワークトラフィックにおけるアプリケーション情報を識別するためのシステムの概略図である。本システムは、端末機器110とネットワークセキュリティ装置120とを含む。
第1の対応関係表において、第1のデータストリームの識別子が格納されている第1のレコード内のプロセスの識別子を取得するために、第1のレコードを探索するステップと、第2の対応関係表において、第1のレコード内のプロセスの識別子が格納されている第2のレコードからアプリケーションの識別子を取得するために、第2のレコードを探索するステップと
を行う。
図7は、本出願の一実施形態によるネットワークトラフィックにおけるアプリケーション情報を識別するためのシステムの概略図である。本システムは、端末機器710とネットワークセキュリティ装置720とデータ処理装置730とを含む。図1Aおよび図1Bに示す識別システムと比べて、図7に示すシステムには、データ処理装置730が付加されている。データ処理装置730は、論理モジュールとして用いられ、ネットワークセキュリティ装置720または端末機器710に組み込まれていてもよく、端末機器710とネットワークセキュリティ装置720との別々の通信を確保できるならば、独立した物理装置として別個に配置されていてもよい。
第1の識別レコードに含まれる第1のデータストリームの識別子が第2の識別レコードに含まれる第2のデータストリームの識別子と同じである場合、対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、第1のアソシエーションレコードは、第1の識別レコードに含まれるアプリケーションの識別子と第2の識別レコードに含まれるプロセスの識別子とを格納している、ステップと、第1のアソシエーションレコードが存在しない場合、第1の識別レコードは誤った識別レコードであると判定するステップと
を行う。
120 ネットワークセキュリティ装置
510 メモリ
520 プロセッサ
530 ネットワークインターフェース
540 バス
560 記憶モジュール
570 受信モジュール
580 処理モジュール
590 送信モジュール
610 メモリ
620 プロセッサ
630 ネットワークインターフェース
640 バス
660 受信モジュール
670 処理モジュール
680 送信モジュール
710 端末機器
720 ネットワークセキュリティ装置
730 データ処理装置
910 メモリ
920 プロセッサ
930 ネットワークインターフェース
940 バス
970 受信モジュール
980 処理モジュール
990 送信モジュール
Claims (27)
- ネットワークトラフィックにおけるアプリケーション情報を識別するための方法であって、前記方法は端末機器によって実行され、前記端末機器の第1の対応関係表は、前記端末機器上で動作しているプロセスの識別子と前記プロセスによって作成されたデータストリームの識別子との間の対応関係をレコード形式で格納しており、前記端末機器の第2の対応関係表は、アプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子との間の対応関係をレコード形式で格納しており、前記データストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、
前記方法は、
第1のデータストリームの、ネットワークセキュリティ装置によって送信された識別子を受信するステップと、
前記第1の対応関係表において、前記第1のデータストリームの前記識別子が格納されている第1のレコードを問い合わせるステップと、
前記第1のレコードが発見された場合、前記第1のレコード内のプロセスの識別子を取得し、前記第2の対応関係表において、前記第1のレコード内の前記プロセスの前記識別子が格納されている第2のレコードを問い合わせるステップと、
前記第2のレコードが発見された場合、前記第2のレコードからアプリケーションの識別子を取得するステップと、
前記アプリケーションの前記識別子を前記ネットワークセキュリティ装置に送信するステップと
を含む、方法。 - 前記端末機器は、前記第1の対応関係表を、
フック関数を用いて前記端末機器が、オペレーティングシステムがプロセスを作成するイベントを取得するステップと、
プロセスを作成する前記イベントから新しく作成されたプロセスの識別子を取得するステップと、
前記新しく作成されたプロセスによって作成されたデータストリームの識別子を取得し、前記新しく作成されたプロセスの前記識別子と前記新しく作成されたプロセスによって作成された前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納するステップと
を用いて取得し、
前記端末機器が前記第1の対応関係表を取得することは、
前記フック関数を用いて前記端末機器が、前記オペレーティングシステムがプロセスを終了するイベントを取得するステップと、
プロセスを終了する前記イベントから前記終了したプロセスの識別子を取得し、前記第1の対応関係表から、前記終了したプロセスの前記識別子を含むレコードを削除するステップと
をさらに含む、請求項1に記載の方法。 - 前記端末機器は、前記第1の対応関係表を、
オペレーティングシステムによって提供されたインターフェースを用いて前記端末機器が、前記端末機器上で動作している少なくとも1つのプロセスの識別子を取得するステップと、
取得したプロセスの識別子ごとに、前記端末機器が、前記プロセスによって作成されたデータストリームの識別子を取得し、前記プロセスの前記識別子と前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納するステップと
を用いて取得する、請求項1に記載の方法。 - 前記端末機器は、前記第1の対応関係表を、
前記オペレーティングシステムによって提供されたインターフェースを用いて前記端末機器が、前記端末機器上で動作している少なくとも1つのプロセスの識別子を取得するステップと、
取得したプロセスの識別子ごとに、前記端末機器が、前記プロセスによって作成されたデータストリームの識別子を取得し、前記プロセスの前記識別子と前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納するステップと
を用いて取得する、請求項2に記載の方法。 - 前記第1の対応関係表内のレコードはデータストリームの最終アクティビティ時刻をさらに含み、前記方法は、
前記端末機器が、前記第1の対応関係表における期限切れレコードを判定するステップであって、前記期限切れレコードは、データストリームのものである、前記期限切れレコードに含まれる最終アクティビティ時刻と現在時刻との間の時間間隔が所定の時間間隔を超えるレコードである、ステップと、
前記期限切れレコードを削除するステップと
をさらに含む、請求項2に記載の方法。 - 前記端末機器が前記第1の対応関係表を取得した後に、前記方法は、
前記フック関数を用いて前記端末機器が、前記端末機器によって送信されたパケットを取得するステップと、
前記取得したパケットから、前記パケットが属するデータストリームの識別子を取得するステップと、
前記第1の対応関係表内の、前記パケットが属する前記データストリームの前記識別子を含むレコード内のデータストリームの最終アクティビティ時刻を前記現在時刻に更新するステップと
をさらに含む、請求項5に記載の方法。 - 前記端末機器が前記第1の対応関係表を取得した後に、前記方法は、
前記フック関数を用いて前記端末機器が、前記端末機器によって送信されたパケットを取得するステップと、
前記取得したパケットから、パケット状況識別子と前記パケットが属するデータストリームの識別子とを取得するステップと、
前記パケット状況識別子がFINである場合、前記第1の対応関係表から、前記パケットが属する前記データストリームの前記識別子を含むレコードを削除するステップと
をさらに含む、請求項2に記載の方法。 - 端末機器であって、端末機器はメモリとプロセッサとネットワークインターフェースとを含み、前記メモリと前記プロセッサと前記ネットワークインターフェースとはバスを用いて相互に通信し、
前記メモリは、プログラムコード、第1の対応関係表、および第2の対応関係表を格納するように構成され、前記第1の対応関係表は、前記端末機器上で動作しているプロセスの識別子と前記プロセスによって作成されたデータストリームの識別子との間の対応関係をレコード形式で格納しており、前記第2の対応関係表は、アプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子との間の対応関係をレコード形式で格納しており、前記データストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、
前記ネットワークインターフェースは、第1のデータストリームの、ネットワークセキュリティ装置によって送信された識別子を受信するように構成され、
前記プロセッサは、前記メモリに格納された前記プログラムコードを読み出して、
前記第1の対応関係表において、前記第1のデータストリームの前記識別子が格納されている第1のレコードを問い合わせるステップと、前記第1のレコードが発見された場合、前記第1のレコード内のプロセスの識別子を取得し、前記第2の対応関係表において、前記第1のレコード内の前記プロセスの前記識別子が格納されている第2のレコードを問い合わせるステップと、前記第2のレコードが発見された場合、前記第2のレコードからアプリケーションの識別子を取得するステップと、
を行い、
前記ネットワークインターフェースは、前記プロセッサによって取得された前記アプリケーションの前記識別子を前記ネットワークセキュリティ装置に送信するようにさらに構成される、
端末機器。 - 前記プロセッサは、前記第1の対応関係表を、
フック関数を用いて、オペレーティングシステムがプロセスを作成するイベントを取得する動作と、プロセスを作成する前記イベントから新しく作成されたプロセスの識別子を取得する動作と、前記新しく作成されたプロセスによって作成されたデータストリームの識別子を取得し、前記新しく作成されたプロセスの前記識別子と前記新しく作成されたプロセスによって作成された前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納する動作と、
前記フック関数を用いて、前記オペレーティングシステムがプロセスを終了するイベントを取得する動作と、プロセスを終了する前記イベントから前記終了したプロセスの識別子を取得し、前記第1の対応関係表から、前記終了したプロセスの前記識別子を含むレコードを削除する動作と
を用いて取得するようにさらに構成される、
請求項8に記載の端末機器。 - 前記プロセッサは、前記第1の対応関係表を、オペレーティングシステムによって提供されたインターフェースを用いて、前記端末機器上で動作している少なくとも1つのプロセスの識別子を取得する動作と、取得したプロセスの識別子ごとに、前記端末機器が、前記プロセスによって作成されたデータストリームの識別子を取得し、前記プロセスの前記識別子と前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納する動作と、を用いて取得するようにさらに構成される、
請求項8に記載の端末機器。 - 前記プロセッサは、前記第1の対応関係表を、
前記オペレーティングシステムによって提供されたインターフェースを用いて前記端末機器が、前記端末機器上で動作している少なくとも1つのプロセスの識別子を取得するステップと、
取得したプロセスの識別子ごとに、前記端末機器が、前記プロセスによって作成されたデータストリームの識別子を取得し、前記プロセスの前記識別子と前記データストリームの前記識別子とを含むレコードを生成し、前記レコードを前記第1の対応関係表に格納するステップと
を用いて取得するようにさらに構成される、請求項9に記載の端末機器。 - 前記第1の対応関係表内のレコードはデータストリームの最終アクティビティ時刻をさらに含み、
前記プロセッサは、前記第1の対応関係表における期限切れレコードを判定し、前記期限切れレコードは、データストリームのものである、前記期限切れレコードに含まれる最終アクティビティ時刻と現在時刻との間の時間間隔が所定の時間間隔を超えるレコードであり、前記期限切れレコードを削除する、ようにさらに構成される、
請求項9に記載の端末機器。 - 前記プロセッサは、前記第1の対応関係表を取得した後で、前記フック関数を用いて前記端末機器が、前記端末機器によって送信されたパケットを取得し、
前記取得したパケットから、前記パケットが属するデータストリームの識別子を取得し、
前記第1の対応関係表内の、前記パケットが属する前記データストリームの前記識別子を含むレコード内のデータストリームの最終アクティビティ時刻を前記現在時刻に更新する、
ようにさらに構成される、
請求項12に記載の端末機器。 - 前記プロセッサは、前記第1の対応関係表を取得した後で、前記フック関数を用いて前記端末機器が、前記端末機器によって送信されたパケットを取得し、
前記取得したパケットから、パケット状況識別子と前記パケットが属するデータストリームの識別子とを取得し、
前記パケット状況識別子がFINである場合、前記第1の対応関係表から、前記パケットが属する前記データストリームの前記識別子を含むレコードを削除する、ようにさらに構成される、
請求項9に記載の端末機器。 - ネットワークセキュリティ装置と端末機器とを含む、ネットワークトラフィックにおけるアプリケーション情報を識別するためのシステムであって、
前記ネットワークセキュリティ装置は、第1のデータストリームを受信し、前記第1のデータストリームの識別子を取得し、前記第1のデータストリームの識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、前記第1のデータストリームの前記識別子内の前記送信元アドレスまたは前記宛先アドレスに従って前記端末機器に前記第1のデータストリームの前記識別子を送信し、前記端末機器のアドレスは、前記第1のデータストリームの前記識別子内の前記送信元アドレスまたは前記宛先アドレスであり、前記端末機器によって送信されたアプリケーションの識別子を受信し、受信した前記アプリケーションの前記識別子は前記第1のデータストリームを送信したアプリケーションの識別子であると判定する、ように構成され、
前記端末機器は、第1の対応関係表と第2の対応関係表とを格納しており、前記第1の対応関係表は、前記端末機器上で動作しているプロセスの識別子と前記プロセスによって作成されたデータストリームの識別子との間の対応関係をレコード形式で格納しており、前記第2の対応関係表は、アプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子との間の第2の対応関係をレコード形式で格納しており、前記データストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、
前記端末機器は、前記第1のデータストリームの、前記ネットワークセキュリティ装置によって送信された前記識別子を受信し、前記第1の対応関係表において、前記第1のデータストリームの前記識別子が格納されている第1のレコードを問い合わせ、前記第1のレコードが発見された場合、前記第1のレコード内のプロセスの識別子を取得し、前記第2の対応関係表において、前記第1のレコード内の前記プロセスの前記識別子が格納されている第2のレコードを問い合わせ、前記第2のレコードが発見された場合、前記第2のレコードからアプリケーションの識別子を取得し、前記アプリケーションの前記識別子を前記ネットワークセキュリティ装置に送信する、ように構成される、
システム。 - 前記ネットワークセキュリティ装置は、第1のアソシエーション識別規則と第2のアソシエーション識別規則とを生成し、前記第1のアソシエーション識別規則は、前記アプリケーションの前記識別子と、前記第1のデータストリームの前記宛先アドレス、前記宛先ポート、および前記プロトコル識別子を含む3タプルとを含み、前記第2のアソシエーション識別規則は、前記アプリケーションの前記識別子と、前記第1のデータストリームの前記送信元アドレス、前記送信元ポート、および前記プロトコル識別子を含む3タプルとを含み、
第2のデータストリームを受信し、前記第2のデータストリームの宛先3タプルまたは送信元3タプルのうちの少なくとも1つを取得し、前記第2のデータストリームの前記宛先3タプルは、前記第2のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルであり、前記第2のデータストリームの前記送信元3タプルは、または前記第2のデータストリームの送信元アドレス、送信元ポート、および前記プロトコル識別子を含む3タプルであり、
前記取得した3タプルが、前記第1のアソシエーション識別規則と前記第2のアソシエーション識別規則のどちらかに含まれる3タプルと一致する場合、前記第2のデータストリームを送信したアプリケーションの識別子は、前記アソシエーション識別規則のどちらかに含まれる前記アプリケーションの前記識別子であると判定する、ようにさらに構成される、
請求項15に記載のシステム。 - ネットワークトラフィックにおけるアプリケーション情報を識別するための方法であって、
ネットワークセキュリティ装置から第1の識別レコードを受信するステップであって、前記第1の識別レコードは第1のデータストリームの識別子とアプリケーションの識別子とを含み、前記第1のデータストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含む、ステップと、
端末機器から第2の識別レコードと対応関係表とを受信するステップであって、前記第2の識別レコードは第2のデータストリームの識別子とプロセスの識別子とを含み、前記対応関係表内の各レコードは、アプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子とを格納している、ステップと、
前記第1の識別レコードに含まれる前記第1のデータストリームの前記識別子が前記第2の識別レコードに含まれる前記第2のデータストリームの前記識別子と同じである場合、前記対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、前記第1のアソシエーションレコードは、前記第1の識別レコードに含まれる前記アプリケーションの前記識別子と、前記第2の識別レコードに含まれる前記プロセスの前記識別子とを格納している、ステップと、
前記第1のアソシエーションレコードが存在しない場合、前記第1の識別レコードは誤った識別レコードであると判定するステップと
を含む、識別方法。 - 前記第1の識別レコードは識別方式の識別子をさらに含み、前記識別方式は、アソシエーション識別方式、特徴識別方式、およびヒューリスティック識別方式を含み、
前記第1の識別レコード内の前記識別方式の前記識別子がアソシエーション識別方式の識別子である場合、前記第1のアソシエーションレコードが存在しないときに、前記方法は、
前記ネットワークセキュリティ装置に通知メッセージを送信するステップであって、前記通知メッセージは、前記ネットワークセキュリティ装置に、第1のアソシエーション識別規則または第2のアソシエーション識別規則を削除するよう命令するのに用いられ、前記第1のアソシエーション識別規則は、前記第1のデータストリームの前記宛先アドレス、前記宛先ポート、および前記プロトコル識別子を含む3タプルを含み、前記第2のアソシエーション識別規則は、前記第1のデータストリームの前記送信元アドレス、前記送信元ポート、および前記プロトコル識別子を含む3タプルを含む、ステップ
をさらに含む、請求項17に記載の識別方法。 - 前記第1のアソシエーションレコードが存在しない場合、前記方法は、
前記端末機器が前記プロセスの前記識別子のパケット収集フラグを設定するように、前記端末機器に、前記第2の識別レコードに含まれる前記プロセスの前記識別子を送信するステップであって、前記パケット収集フラグは、前記端末機器に、オペレーティングシステムのインターフェースを用いて前記プロセスによって送信されたパケットを取り込んだ後で、前記プロセスによって続いて送信される完全なデータストリームを取得し、格納するよう命令するのに用いられる、ステップ
をさらに含む請求項17または18に記載の識別方法。 - 前記第1のアソシエーションレコードが存在しない場合、前記方法は、
前記対応関係表に第2のアソシエーションレコードが存在するかどうか問い合わせるステップであって、前記第2のアソシエーションレコードは、前記第2の識別レコードに含まれるプロセスの識別子と対応するアプリケーションの識別子とを格納している、ステップと、
前記第2のアソシエーションレコードが存在する場合、第3のアソシエーション識別規則と第4のアソシエーション識別規則とを生成するステップであって、前記第3のアソシエーション識別規則は、前記第2のアソシエーションレコード内の前記アプリケーションの前記識別子と、前記第1のデータストリームの前記宛先アドレス、前記宛先ポート、および前記プロトコル識別子を含む3タプルとを含み、前記第4のアソシエーション識別規則は、前記第2のアソシエーションレコード内の前記アプリケーションの前記識別子と、前記第1のデータストリームの前記送信元アドレス、前記送信元ポート、および前記プロトコル識別子を含む3タプルとを含む、ステップと、
前記第3のアソシエーション識別規則と前記第4のアソシエーション識別規則とを前記ネットワークセキュリティ装置に送信するステップと
をさらに含む、請求項17に記載の識別方法。 - 前記ネットワークセキュリティ装置から第3の識別レコードを受信するステップであって、前記第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、前記未識別のフラグは、前記ネットワークセキュリティ装置が前記第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられる、ステップと、
前記端末機器から第4の識別レコードを受信するステップであって、前記第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ステップと、
前記第3の識別レコードに含まれる前記第3のデータストリームの前記識別子が前記第4の識別レコードに含まれる前記第4のデータストリームの前記識別子と同じである場合、前記対応関係表に第3のアソシエーションレコードが存在するかどうか問い合わせるステップであって、前記第3のアソシエーションレコードは、前記第4の識別レコードに含まれる前記プロセスの前記識別子を格納している、ステップと、
前記第3のアソシエーションレコードが存在する場合、第5のアソシエーション識別規則と第6のアソシエーション識別規則とを生成するステップであって、前記第5のアソシエーション識別規則は、前記第3のアソシエーションレコードに含まれるアプリケーションの識別子と、前記第3のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルとを含み、前記第6のアソシエーション識別規則は、前記第3のアソシエーションレコードに含まれる前記アプリケーションの前記識別子と、前記第3のデータストリームの送信元アドレス、送信元ポート、および前記プロトコル識別子を含む3タプルとを含む、ステップと、
前記第5のアソシエーション識別規則と前記第6のアソシエーション識別規則とを前記ネットワークセキュリティ装置に送信するステップと
をさらに含む、請求項17から20のいずれか一項に記載の識別方法。 - 前記ネットワークセキュリティ装置から第3の識別レコードを受信するステップであって、前記第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、前記未識別のフラグは、前記ネットワークセキュリティ装置が前記第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられる、ステップと、
前記端末機器から第4の識別レコードを受信するステップであって、前記第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ステップと、
前記第3の識別レコードに含まれる前記第3のデータストリームの前記識別子が前記第4の識別レコードに含まれる前記第4のデータストリームの前記識別子と同じである場合、前記対応関係表に第3のアソシエーションレコードが存在するかどうか問い合わせるステップであって、前記第3のアソシエーションレコードは、前記第4の識別レコードに含まれる前記プロセスの前記識別子を格納している、ステップと、
前記第3のアソシエーションレコードが存在する場合、前記第3のアソシエーションレコードに含まれるアプリケーションの識別子と前記第3のデータストリームの前記識別子とを前記ネットワークセキュリティ装置に送信するステップと
をさらに含む、請求項17から20のいずれか一項に記載の識別方法。 - データ処理装置であって、前記データ処理装置はメモリとプロセッサとネットワークインターフェースとを含み、前記メモリと前記プロセッサと前記ネットワークインターフェースとはバスを用いて相互に通信し、
前記メモリはプログラムコードを格納し、
前記ネットワークインターフェースは、ネットワークセキュリティ装置から第1の識別レコードを受信し、前記第1の識別レコードは、第1のデータストリームの識別子とアプリケーションの識別子とを含み、前記第1のデータストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、
端末機器から、第2の識別レコードと対応関係表とを受信し、前記第2の識別レコードは、第2のデータストリームの識別子とプロセスの識別子とを含み、前記対応関係表内の各レコードがアプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子とを格納している、
ように構成され、
前記プロセッサは、前記メモリに格納された前記プログラムコードを読み出して、
前記第1の識別レコードに含まれる前記第1のデータストリームの前記識別子が前記第2の識別レコードに含まれる前記第2のデータストリームの前記識別子と同じである場合、前記対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせるステップであって、前記第1のアソシエーションレコードは、前記第1の識別レコードに含まれる前記アプリケーションの前記識別子と、前記第2の識別レコードに含まれるプロセスの識別子とを格納している、ステップと、
前記第1のアソシエーションレコードが存在しない場合、前記第1の識別レコードは誤った識別レコードであると判定するステップと
を行う、データ処理装置。 - 前記第1の識別レコードは識別方式の識別子をさらに含み、前記識別方式は、アソシエーション識別方式、特徴識別方式、およびヒューリスティック識別方式を含み、
前記ネットワークインターフェースは、前記第1の識別レコード内の前記識別方式の前記識別子がアソシエーション識別方式の識別子である場合、前記第1のアソシエーションレコードが存在しないときに、前記ネットワークセキュリティ装置に通知メッセージを送信し、前記通知メッセージは、前記ネットワークセキュリティ装置に、第1のアソシエーション識別規則または第2のアソシエーション識別規則を削除するよう命令するのに用いられ、前記第1のアソシエーション識別規則は、前記第1のデータストリームの前記宛先アドレス、前記宛先ポート、および前記プロトコル識別子を含む3タプルを含み、前記第2のアソシエーション識別規則は、前記第1のデータストリームの前記送信元アドレス、前記送信元ポート、および前記プロトコル識別子を含む3タプルを含む、
ようにさらに構成される、
請求項23に記載のデータ処理装置。 - 前記ネットワークインターフェースは、前記ネットワークセキュリティ装置から第3の識別レコードを受信し、前記第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、前記未識別のフラグは、前記ネットワークセキュリティ装置が前記第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられ、
前記端末機器から第4の識別レコードを受信し、前記第4の識別レコードは、第4のデータストリームの識別子とプロセスの識別子とを含む、ようにさらに構成され、
前記プロセッサは、前記第3の識別レコードに含まれる前記第3のデータストリームの前記識別子が前記第4の識別レコードに含まれる前記第4のデータストリームの前記識別子と同じであるかどうか判定し、第3の識別レコードに含まれる第3のデータストリームの識別子が第4の識別レコードに含まれる第4のデータストリームの識別子と同じである場合、前記対応関係表に第3のアソシエーションレコードが存在するかどうか問い合わせ、第3のアソシエーションレコードは、前記第4の識別レコードに含まれる前記プロセスの前記識別子を格納しており、
前記第3のアソシエーションレコードが存在する場合、第5のアソシエーション識別規則と第6のアソシエーション識別規則とを生成し、前記第5のアソシエーション識別規則は、前記第3のアソシエーションレコードに含まれるアプリケーションの識別子と、前記第3のデータストリームの宛先アドレス、宛先ポート、およびプロトコル識別子を含む3タプルとを含み、前記第6のアソシエーション識別規則は、前記第3のアソシエーションレコードに含まれる前記アプリケーションの前記識別子と、前記第3のデータストリームの送信元アドレス、送信元ポート、および前記プロトコル識別子を含む3タプルとを含む、ようにさらに構成され、
前記ネットワークインターフェースは、前記第5のアソシエーション識別規則と前記第6のアソシエーション識別規則とを前記ネットワークセキュリティ装置に送信するようにさらに構成される、
請求項23に記載のデータ処理装置。 - 前記ネットワークインターフェースは、前記ネットワークセキュリティ装置から第3の識別レコードを受信し、前記第3の識別レコードは、第3のデータストリームの識別子と未識別のフラグとを含み、前記未識別のフラグは、前記ネットワークセキュリティ装置が前記第3のデータストリームを送信したアプリケーションを識別していないことを指示するのに用いられ、
前記端末機器から第4の識別レコードを受信し、前記第4の識別レコードは第4のデータストリームの識別子とプロセスの識別子とを含む、ようにさらに構成され、
前記プロセッサは、前記第3の識別レコードに含まれる前記第3のデータストリームの前記識別子が前記第4の識別レコードに含まれる前記第4のデータストリームの前記識別子と同じであるかどうか判定し、前記第3の識別レコードに含まれる前記第3のデータストリームの前記識別子が前記第4の識別レコードに含まれる前記第4のデータストリームの前記識別子と同じである場合、前記対応関係表に第3のアソシエーションレコードが存在するかどうか問い合わせ、前記第3のアソシエーションレコードは、前記第4の識別レコードに含まれる前記プロセスの前記識別子を格納している、ようにさらに構成され、
前記ネットワークインターフェースは、前記プロセッサが前記第3のアソシエーションレコードは存在すると判定した場合、前記第3のアソシエーションレコードに含まれるアプリケーションの識別子と前記第3のデータストリームの前記識別子とを前記ネットワークセキュリティ装置に送信する、ようにさらに構成される、
請求項23に記載のデータ処理装置。 - データ処理装置と端末機器とネットワークセキュリティ装置とを含む、ネットワークトラフィックにおけるアプリケーション情報を識別するためのシステムであって、
前記ネットワークセキュリティ装置は、第1のデータストリームを受信し、前記第1のデータストリームを送信したアプリケーションの識別子を判定した後で、第1の識別レコードを生成し、前記第1の識別レコードは、前記第1のデータストリームの識別子と前記アプリケーションの前記識別子とを含み、前記第1のデータストリームの前記識別子は、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、およびプロトコル識別子を含み、前記第1の識別レコードを前記データ処理装置に送信する、ように構成され、
前記端末機器は、第2の識別レコードを生成するために、前記端末機器上で動作しているプロセスの識別子と、前記プロセスによって作成された第2のデータストリームの識別子とを取得し、前記第2の識別レコードは、前記第2のデータストリームの前記識別子と前記プロセスの前記識別子とを含み、対応関係表を取得し、前記対応関係表内の各レコードがアプリケーションの識別子と前記アプリケーションによって作成されたプロセスの識別子とを格納し、前記第2の識別レコードと前記対応関係表とを前記データ処理装置に送信する、ように構成され、
前記データ処理装置は、前記ネットワークセキュリティ装置から前記第1の識別レコードを受信し、前記端末機器から前記第2の識別レコードと前記対応関係表とを受信し、前記第1の識別レコードに含まれる前記第1のデータストリームの前記識別子が前記第2の識別レコードに含まれる前記第2のデータストリームの前記識別子と同じである場合、前記対応関係表に第1のアソシエーションレコードが存在するかどうか問い合わせ、前記第1のアソシエーションレコードは、前記第1の識別レコードに含まれる前記アプリケーションの前記識別子と前記第2の識別レコードに含まれる前記プロセスの前記識別子とを格納し、前記第1のアソシエーションレコードが存在しない場合、前記第1の識別レコードは誤った識別レコードであると判定する、ように構成される、
システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511000809.5A CN106921637B (zh) | 2015-12-28 | 2015-12-28 | 网络流量中的应用信息的识别方法和装置 |
CN201511000809.5 | 2015-12-28 | ||
PCT/CN2016/099891 WO2017113900A1 (zh) | 2015-12-28 | 2016-09-23 | 网络流量中的应用信息的识别方法和装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018531527A JP2018531527A (ja) | 2018-10-25 |
JP2018531527A6 JP2018531527A6 (ja) | 2018-12-13 |
JP6599538B2 true JP6599538B2 (ja) | 2019-10-30 |
Family
ID=59224582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018502243A Expired - Fee Related JP6599538B2 (ja) | 2015-12-28 | 2016-09-23 | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US11582188B2 (ja) |
EP (2) | EP3496338B1 (ja) |
JP (1) | JP6599538B2 (ja) |
CN (1) | CN106921637B (ja) |
ES (2) | ES2746351T3 (ja) |
WO (1) | WO2017113900A1 (ja) |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
CN106921637B (zh) | 2015-12-28 | 2020-02-14 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
CN110168499B (zh) | 2016-12-06 | 2023-06-20 | Nicira股份有限公司 | 在主机上执行上下文丰富的基于属性的服务 |
US10802857B2 (en) * | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10803173B2 (en) * | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US10812451B2 (en) * | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
CN107483411B (zh) * | 2017-07-25 | 2020-01-31 | 中国联合网络通信集团有限公司 | 业务识别方法及*** |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
CN108282414B (zh) * | 2017-12-29 | 2020-05-29 | 网宿科技股份有限公司 | 一种数据流的引导方法、服务器和*** |
US10958622B2 (en) * | 2018-01-10 | 2021-03-23 | Cisco Technology, Inc. | Hierarchical security group identifiers |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
CN108400909B (zh) * | 2018-02-12 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 一种流量统计方法、装置、终端设备和存储介质 |
US10635346B2 (en) * | 2018-06-11 | 2020-04-28 | Western Digital Technologies, Inc. | Self-trimming of data stored in non-volatile memory using data storage controller |
CN108900430B (zh) * | 2018-06-15 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
CN109005227A (zh) * | 2018-07-28 | 2018-12-14 | 安徽捷兴信息安全技术有限公司 | 一种手机网络包与手机应用的对应方法及装置 |
CN109194756A (zh) * | 2018-09-12 | 2019-01-11 | 网宿科技股份有限公司 | 应用程序特征信息提取方法及装置 |
US11552874B1 (en) * | 2019-01-18 | 2023-01-10 | Keysight Technologies, Inc. | Methods, systems and computer readable media for proactive network testing |
CN110096363B (zh) * | 2019-04-29 | 2021-11-30 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
US11023896B2 (en) * | 2019-06-20 | 2021-06-01 | Coupang, Corp. | Systems and methods for real-time processing of data streams |
CN110347047B (zh) * | 2019-06-21 | 2022-09-09 | 深圳绿米联创科技有限公司 | 设备删除的方法、装置、***、电子设备以及存储介质 |
CN112583767A (zh) * | 2019-09-29 | 2021-03-30 | 北京安云世纪科技有限公司 | 流量统计方法及装置 |
CN110891025B (zh) * | 2019-10-31 | 2022-04-05 | 上海众链科技有限公司 | 获取应用程序对端目的地址的***和方法 |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
CN111147523A (zh) * | 2020-02-09 | 2020-05-12 | 福建奇点时空数字科技有限公司 | 一种基于服务伪装探测技术的综合性应用协议识别方法 |
US11985045B2 (en) * | 2020-03-31 | 2024-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for subscribing change notification of network function |
CN113660174B (zh) * | 2020-05-12 | 2024-01-09 | 华为技术有限公司 | 一种业务类型确定方法及相关设备 |
CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
CN111988320B (zh) * | 2020-08-21 | 2023-05-12 | 深信服科技股份有限公司 | 一种应用识别方法、装置、***、设备和介质 |
US11336541B2 (en) * | 2020-09-14 | 2022-05-17 | Charter Communications Operating, Llc | Real-time enrichment for deep packet inspection |
WO2022083509A1 (zh) * | 2020-10-19 | 2022-04-28 | 华为技术有限公司 | 一种数据流识别方法以及装置 |
CN113746692A (zh) * | 2021-07-21 | 2021-12-03 | 网宿科技股份有限公司 | 网络流量统计的方法、电子设备及存储介质 |
CN113923013A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及*** |
CN115277502B (zh) * | 2022-06-17 | 2023-10-10 | 广州根链国际网络研究院有限公司 | 一种针对APP应用的自动化测量IPv6流量的方法 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9240945B2 (en) * | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
US8606911B2 (en) * | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
CN102026151B (zh) * | 2009-09-16 | 2013-04-17 | ***通信集团公司 | 一种基于进程监测的服务推送方法、装置和*** |
CN102098272B (zh) * | 2009-12-10 | 2014-02-19 | 华为技术有限公司 | 一种协议识别的方法、装置和*** |
US8190564B2 (en) * | 2010-02-25 | 2012-05-29 | Ebay, Inc. | Temporary session data storage |
US8520538B2 (en) * | 2010-02-25 | 2013-08-27 | Clearwire Ip Holdings Llc | Method and system for managing traffic in a wireless communication system |
CN101873640B (zh) * | 2010-05-27 | 2013-04-24 | 华为终端有限公司 | 流量处理方法、装置和移动终端 |
CN102201982A (zh) * | 2011-04-29 | 2011-09-28 | 北京网康科技有限公司 | 一种应用识别方法及其设备 |
CN102195816B (zh) * | 2011-05-24 | 2014-08-20 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
CN103384213B (zh) * | 2011-12-31 | 2017-07-21 | 华为数字技术(成都)有限公司 | 一种检测规则优化配置方法及设备 |
US20130238782A1 (en) * | 2012-03-09 | 2013-09-12 | Alcatel-Lucent Usa Inc. | Method and apparatus for identifying an application associated with an ip flow using dns data |
US9258313B1 (en) * | 2012-09-28 | 2016-02-09 | Juniper Networks, Inc. | Distributed application awareness |
CN103095604A (zh) * | 2013-01-04 | 2013-05-08 | 海信集团有限公司 | 识别家庭网络具体应用的***及方法 |
US9185015B2 (en) * | 2013-02-19 | 2015-11-10 | Broadcom Corporation | Application aware elephant flow identification |
US10015102B2 (en) * | 2013-04-11 | 2018-07-03 | Qualcomm Incorporated | Application traffic pairing |
CN103746768B (zh) * | 2013-10-08 | 2017-06-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据包的识别方法及设备 |
JP6081386B2 (ja) * | 2014-01-30 | 2017-02-15 | 日本電信電話株式会社 | 情報共有装置、情報共有方法、および、情報共有プログラム |
US9680739B2 (en) | 2014-01-31 | 2017-06-13 | The University Of Tokyo | Information transmission system, information communication apparatus, and information transmission apparatus |
CN103916294B (zh) * | 2014-04-29 | 2018-05-04 | 华为技术有限公司 | 协议类型的识别方法和装置 |
US10033747B1 (en) * | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
CN106921637B (zh) | 2015-12-28 | 2020-02-14 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
CN105812188A (zh) * | 2016-04-25 | 2016-07-27 | 北京网康科技有限公司 | 流量识别方法及装置 |
-
2015
- 2015-12-28 CN CN201511000809.5A patent/CN106921637B/zh active Active
-
2016
- 2016-09-23 EP EP18200601.5A patent/EP3496338B1/en active Active
- 2016-09-23 JP JP2018502243A patent/JP6599538B2/ja not_active Expired - Fee Related
- 2016-09-23 WO PCT/CN2016/099891 patent/WO2017113900A1/zh active Application Filing
- 2016-09-23 EP EP16880693.3A patent/EP3297213B1/en active Active
- 2016-09-23 ES ES16880693T patent/ES2746351T3/es active Active
- 2016-09-23 ES ES18200601T patent/ES2880369T3/es active Active
-
2017
- 2017-12-12 US US15/839,329 patent/US11582188B2/en active Active
-
2020
- 2020-01-08 US US16/737,373 patent/US11855967B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11855967B2 (en) | 2023-12-26 |
WO2017113900A1 (zh) | 2017-07-06 |
EP3496338B1 (en) | 2021-05-26 |
ES2746351T3 (es) | 2020-03-05 |
EP3297213A4 (en) | 2018-05-30 |
JP2018531527A (ja) | 2018-10-25 |
EP3496338A1 (en) | 2019-06-12 |
EP3297213A1 (en) | 2018-03-21 |
ES2880369T3 (es) | 2021-11-24 |
US20180103011A1 (en) | 2018-04-12 |
CN106921637B (zh) | 2020-02-14 |
CN106921637A (zh) | 2017-07-04 |
US11582188B2 (en) | 2023-02-14 |
US20200145380A1 (en) | 2020-05-07 |
EP3297213B1 (en) | 2019-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6599538B2 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
JP2018531527A6 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
CN106815112B (zh) | 一种基于深度包检测的海量数据监控***及方法 | |
CN107888605B (zh) | 一种物联网云平台流量安全分析方法和*** | |
JP4988674B2 (ja) | ネットワーク監視装置、ネットワーク監視方法、および、ネットワーク監視プログラム | |
US8949462B1 (en) | Removing personal identifiable information from client event information | |
CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
CN103023906A (zh) | 针对远程过程调用协议进行状态跟踪的方法及*** | |
CN107645480B (zh) | 数据监控方法及***、装置 | |
CN109600385B (zh) | 一种访问控制方法及装置 | |
US20140337471A1 (en) | Migration assist system and migration assist method | |
US20180316702A1 (en) | Detecting and mitigating leaked cloud authorization keys | |
US9055113B2 (en) | Method and system for monitoring flows in network traffic | |
CN112685270A (zh) | 一种***监控日志的采集方法、装置、电子设备及介质 | |
CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
WO2015154416A1 (zh) | 一种上网行为管理方法及装置 | |
US20170223136A1 (en) | Any Web Page Reporting and Capture | |
JP4717106B2 (ja) | フロー情報処理装置及びネットワークシステム | |
CN111064729A (zh) | 报文的处理方法及装置、存储介质和电子装置 | |
CN103036895A (zh) | 一种状态跟踪方法及*** | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
CN107124293B (zh) | 一种分布式网络***的协议管理方法及*** | |
CN116032762A (zh) | 网络业务的处理方法、***和网关设备 | |
CN114422232B (zh) | 一种违规流量的监测方法、装置、电子设备、***及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180227 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190218 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190909 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191002 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6599538 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |