JP4887081B2 - 通信監視装置、通信監視方法およびプログラム - Google Patents
通信監視装置、通信監視方法およびプログラム Download PDFInfo
- Publication number
- JP4887081B2 JP4887081B2 JP2006162205A JP2006162205A JP4887081B2 JP 4887081 B2 JP4887081 B2 JP 4887081B2 JP 2006162205 A JP2006162205 A JP 2006162205A JP 2006162205 A JP2006162205 A JP 2006162205A JP 4887081 B2 JP4887081 B2 JP 4887081B2
- Authority
- JP
- Japan
- Prior art keywords
- feature vector
- transmission
- identifier
- classifying
- unauthorized access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 83
- 238000012544 monitoring process Methods 0.000 title claims description 37
- 238000000034 method Methods 0.000 title claims description 29
- 238000012806 monitoring device Methods 0.000 title claims description 18
- 239000013598 vector Substances 0.000 claims description 61
- 230000005540 biological transmission Effects 0.000 claims description 51
- 238000012545 processing Methods 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 11
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 238000013480 data collection Methods 0.000 claims description 2
- 239000000284 extract Substances 0.000 claims 1
- 230000008569 process Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 239000000470 constituent Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ウェブクライアントとウェブサーバ間の通信を監視する装置等に関し、特に、例えば、SSLやTLSといったアルゴリズムによって暗号化された送受信データを監視するのに好適な通信監視装置、通信監視方法およびプログラムに関する。
近年、インターネットの普及により、必要な情報を迅速に取得することができるようになった反面、特定のウェブサーバをターゲットに不正な攻撃を行う事例が増えており、こうした事態が大きな問題となっている。これに対して、ネットワークからの不正な通信を監視し、制御する装置として侵入検知システム(IDS:Intrusion Detection System)やファイアーウォールといった技術が開発されている。
これらの装置は、通信データ自体が暗号化されていないことを前提に、通信をプロトコル解析して、予め登録されているパターンと比較することにより、不正な通信を検出するものであり、従来、通信がSSLやTLS、IPsec、SSHといった暗号化プロトコルによって暗号化されている場合には、この暗号化された通信データを一度、復号してから監視を行う手法がとられていた。
こうした方法では、暗号化された通信データを復号するために、使用されている鍵が必要であることから、これに対応するために、監視装置内に複製した鍵を保存する方法(例えば、非特許文献1および2参照。)や、監視装置を暗号化通路間に配置して暗号化通信を終端する方法(例えば、非特許文献2および3参照。)が提案されている。
NetCoCoon Analyzer、available at http://www.comworth.co.jp/products/p_a/netcocoonanlyzer.html Web Application Firewall Evaluation Criteria.available at http://www.webappsec.org/projects/wafec/v1/wasc−wafec−v1.0.pdf F−Secure Site Guard、available at http://www.f−secure.co.jp/download/trial/siteguard/siteguard.pdf
NetCoCoon Analyzer、available at http://www.comworth.co.jp/products/p_a/netcocoonanlyzer.html Web Application Firewall Evaluation Criteria.available at http://www.webappsec.org/projects/wafec/v1/wasc−wafec−v1.0.pdf F−Secure Site Guard、available at http://www.f−secure.co.jp/download/trial/siteguard/siteguard.pdf
しかしながら、上記の従来技術のように、鍵を複製して監視装置内に保存する方式では、安全に保管・管理すべき鍵を複数の監視装置に保存する必要があるため、鍵を保管するためのコストが多くかかってしまうという問題がある。また、鍵を複製して監視装置内に保存したとしても、通信データを暗号化するアルゴリズムによっては、その内容を適切に復号化することができない場合があるといった問題がある。
そこで、本発明は、上述の問題点に鑑みてなされたものであり、インターネット網で送受信される暗号化された通信データを復号することなく、暗号化された状態で不正なアクセスを検出する通信監視装置、通信監視方法およびプログラムを提供することを目的とする。
本発明は、上記した課題を解決するために以下の事項を提案している。
(1)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを監視する通信監視装置であって、前記送受信データのデータサイズに基づいて、通信内容を識別し、該識別された通信内容ごとに不正なアクセスの有無を判別することを特徴とする通信監視装置を提案している。
(1)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを監視する通信監視装置であって、前記送受信データのデータサイズに基づいて、通信内容を識別し、該識別された通信内容ごとに不正なアクセスの有無を判別することを特徴とする通信監視装置を提案している。
この発明によれば、暗号化された送受信データのデータサイズに基づいて、通信内容を識別し、識別された通信内容ごとに不正なアクセスの有無を判別することから、暗号化された通信データを復号する処理が不要であるとともに、低コストで不正なアクセスを検出することができる。
(2)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する送受信データ収集手段(例えば、図2のネットワークインターフェースカード10およびCPU12に相当)と、IPアドレスごとに、該収集した送受信データを分類してクライアントを識別するクライアント識別手段(例えば、図2のCPU12に相当)と、該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する分類手段(例えば、図2のCPU12に相当)と、該分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する保存手段(例えば、図2のメモリ11に相当)と、該特徴ベクトルをその類似度に基づいて、分類して識別子を付与する識別手段(例えば、図2のCPU12に相当)と、該付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する検出手段(例えば、図2のCPU12に相当)と、を備えたことを特徴とする通信監視装置を提案している。
この発明によれば、収集手段がインターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集し、クライアント識別手段がIPアドレスごとに、収集した送受信データを分類してクライアントを識別する。そして、分類手段が識別したクライアントについて、パケットの到着タイミングに基づいて、送受信データをリクエストごとに分類するとともに、保存手段が分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する。さらに、識別手段は、特徴ベクトルをその類似度に基づいて、分類して識別子を付与し、検出手段が付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。
したがって、識別手段により、特徴ベクトルをその類似度に基づいて、分類して識別子を付与し、検出手段が付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。したがって、特徴ベクトルをその類似度に基づいて、分類して識別子を付与することにより、識別の精度が向上することから、この識別結果を用いることによって不正なアクセスを検出する精度を向上させることができる。また、任意の通信が不正なアクセスであるか否かの識別方法として、特定のパターンとの厳密な比較を行うのではなく、その類似度に基づいて、判断を行うことから、通信データの欠損や暗号化アルゴリズムの相違、あるいはパディング処理等の影響があっても、的確に不正なアクセスを特定できる。
(3)本発明は、(2)に記載の通信監視装置について、前記検出手段が、前記予め定められた条件として、所定の閾値よりも高い頻度でアクセスされるアクセス先、あるいは、これまでにアクセスされたことのないアクセス先を検出したときに、このアクセスを不正なアクセス情報として格納することを特徴とする通信監視装置を提案している。
これまでの経験則によれば、不正なアクセスは、通常よりも高い頻度でアクセスされるアクセス先やこれまでにアクセスされたことのないアクセス先に集中している傾向にある。そこで、本発明においては、検出手段が、予め定められた条件として、所定の閾値よりも高い頻度でアクセスされるアクセス先、あるいは、これまでにアクセスされたことのないアクセス先を検出したときに、このアクセスを不正なアクセス情報として検出する。
(4)本発明は、(2)または(3)に記載の通信監視装置について、前記識別手段により、識別子を付与する際に、付与する識別子の候補を時系列的に古い順番から削除する識別子候補削除手段(例えば、図2のCPU12に相当)を備えたことを特徴とする通信監視装置を提案している。
一般に、インターネット上のウェブサイト等の移り変わりは、めまぐるしく、保存期間によっては不要なデータも存在する。一方で、パーソナルコンピュータ等の端末を想定すると、その記憶容量には一定の限界がある。そこで、本発明においては、識別子候補削除手段が識別手段により、識別子を付与する際に、付与する識別子の候補を時系列的に古い順番から削除する。
(5)本発明は、(2)から(4)に記載の通信監視装置について、前記検出手段において予め定められた条件に当てはまるアクセスを検出する際に、条件を満たさない候補を時系列的に古い順番から削除する不正アクセス候補削除手段(例えば、図2のCPU12に相当)を備えたことを特徴とする通信監視装置を提案している。
この発明によれば、不正アクセス候補削除手段が検出手段において予め定められた条件に当てはまるアクセスを検出する際に、条件を満たさない候補を時系列的に古い順番から削除することから、候補の総数を削減して、効率的な計算を実行することができる。
(6)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを監視する通信監視方法であって、前記送受信データのデータサイズに基づいて、通信内容を識別し、該識別された通信内容ごとに不正なアクセスの有無を判別することを特徴とする通信監視方法を提案している。
この発明によれば、送受信データのデータサイズに基づいて、通信内容を識別し、識別された通信内容ごとに不正なアクセスの有無を判別する。したがって、暗号化された通信データを復号する処理が不要であるとともに、低コストで不正なアクセスを検出することができる。
(7)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する第1のステップ(例えば、図3のステップS101に相当)と、IPアドレスごとに、該収集した送受信データを分類してクライアントを識別する第2のステップ(例えば、図3のステップS102に相当)と、該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する第3のステップ(例えば、図3のステップS103に相当)と、該分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する第4のステップ(例えば、図3のステップS104に相当)と、該特徴ベクトルをその類似度に基づいて、分類して識別子を付与する第5のステップ(例えば、図3のステップS105に相当)と、該付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する第6のステップ(例えば、図3のステップS106に相当)と、を備えたことを特徴とする通信監視方法を提案している。
この発明によれば、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集し、IPアドレスごとに、収集した送受信データを分類してクライアントを識別する。次いで、識別したクライアントについて、パケットの到着タイミングに基づいて、送受信データをリクエストごとに分類し、分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する。そして、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。
したがって、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。したがって、特徴ベクトルをその類似度に基づいて、分類して識別子を付与することにより、識別の精度が向上することから、この識別結果を用いることによって不正なアクセスを検出する精度を向上させることができる。また、任意の通信が不正なアクセスであるか否かの識別方法として、特定のパターンとの厳密な比較を行うのではなく、その類似度に基づいて、判断を行うことから、通信データの欠損や暗号化アルゴリズムの相違、あるいはパディング処理等の影響があっても、的確に不正なアクセスを特定できる。
(8)本発明は、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを監視する処理をコンピュータに実行させるためのプログラムであって、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する第1のステップ(例えば、図3のステップS101に相当)と、IPアドレスごとに、該収集した送受信データを分類してクライアントを識別する第2のステップ(例えば、図3のステップS102に相当)と、該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する第3のステップ(例えば、図3のステップS103に相当)と、該分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する第4のステップ(例えば、図3のステップS104に相当)と、該特徴ベクトルをその類似度に基づいて、分類して識別子を付与する第5のステップ(例えば、図3のステップS105に相当)と、該付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する第6のステップ(例えば、図3のステップS106に相当)と、をコンピュータに実行させるためのプログラムを提案している。
この発明によれば、プログラムによって、インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集し、IPアドレスごとに、収集した送受信データを分類してクライアントを識別する。次いで、識別したクライアントについて、パケットの到着タイミングに基づいて、送受信データをリクエストごとに分類し、分類されたリクエストごとにデータサイズを抽出し、特徴ベクトルとして保存する。そして、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。
したがって、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する。したがって、特徴ベクトルをその類似度に基づいて、分類して識別子を付与することにより、識別の精度が向上することから、この識別結果を用いることによって不正なアクセスを検出する精度を向上させることができる。また、任意の通信が不正なアクセスであるか否かの識別方法として、特定のパターンとの厳密な比較を行うのではなく、その類似度に基づいて、判断を行うことから、通信データの欠損や暗号化アルゴリズムの相違、あるいはパディング処理等の影響があっても、的確に不正なアクセスを特定できる。
本発明によれば、インターネット網で送受信される暗号化された通信データを復号することなく、暗号化された状態で不正なアクセスを検出できる低コストの監視装置を提供できるという効果がある。また、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出することから、予め定められた条件に該当する通信を不正なアクセスとして早期に発見できるという効果がある。
さらに、任意の通信が不正なアクセスであるか否かの識別方法として、特定のパターンとの厳密な比較を行うのではなく、その類似度に基づいて、判断を行うことから、通信データの欠損や暗号化アルゴリズムの相違、あるいはパディング処理等の影響があっても、的確に不正なアクセスを特定できるという効果がある。
以下、図面を用いて、本発明の実施形態に係る通信監視装置について詳細に説明する。
ここで、本発明は、従来のように、予め不正なアクセスと思われる候補となる特徴ベクトルを用意することなく、検出の結果、他に候補のない新たな通信については、これを新たな候補としての特徴ベクトルとして記憶し、候補が十分にある場合には、時系列的に古い候補を削除して、検出精度を高めるものである。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
ここで、本発明は、従来のように、予め不正なアクセスと思われる候補となる特徴ベクトルを用意することなく、検出の結果、他に候補のない新たな通信については、これを新たな候補としての特徴ベクトルとして記憶し、候補が十分にある場合には、時系列的に古い候補を削除して、検出精度を高めるものである。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<システムの構成>
本実施形態に係る通信監視装置が用いられるシステム構成は、図1に示すように、ウェブクライアント(端末)1と、インターネット網2と、ウェブサーバ3と、通信監視装置4とからなっている。図1に示すように、本実施形態に係る通信監視装置4は、例えば、SSL等のプロトコルで暗号化された通信データによるウェブサーバ3への不正な攻撃を監視するために、ウェブサーバ3側に配置され、ウェブクライアント(端末)1からのアクセスを監視する。
本実施形態に係る通信監視装置が用いられるシステム構成は、図1に示すように、ウェブクライアント(端末)1と、インターネット網2と、ウェブサーバ3と、通信監視装置4とからなっている。図1に示すように、本実施形態に係る通信監視装置4は、例えば、SSL等のプロトコルで暗号化された通信データによるウェブサーバ3への不正な攻撃を監視するために、ウェブサーバ3側に配置され、ウェブクライアント(端末)1からのアクセスを監視する。
<通信監視装置の構成>
本実施形態に係る通信監視装置は、例えば、パーソナルコンピュータ等を想定しており、その構成は、図2に示すように、ネットワークインターフェースカード(NIC)10と、メモリ11と、CPU(Central Processing Unit)12と、HDD(Hard Disk Drive)13とからなっている。
本実施形態に係る通信監視装置は、例えば、パーソナルコンピュータ等を想定しており、その構成は、図2に示すように、ネットワークインターフェースカード(NIC)10と、メモリ11と、CPU(Central Processing Unit)12と、HDD(Hard Disk Drive)13とからなっている。
ここで、ネットワークインターフェースカード(NIC)10は、通信監視装置4をネットワークに接続するための拡張カードであり、通信監視装置4は、ネットワークインターフェースカード(NIC)10を介して、ウェブサーバ3において送受信される暗号化された通信データを収集する。
メモリ11は、書き換え可能なRAM(Random Access Memory)等で構成され、IPアドレスごとに、収集した送受信データを分類して、クライアントを識別し、識別したクライアントについて、パケットの到着タイミングに基づいて、送受信データをリクエストごとに分類した後、分類されたリクエストごとにデータサイズを抽出した特徴ベクトルを保存する。
CPU12は、図示しないROM(Read Only Memory)等に格納された制御プログラムに基づいて、通信監視装置4の全体の機能を制御する。具体的には、ネットワークインターフェースカード(NIC)10において収集した送受信データをIPアドレスに基づいて、クライアントごとに識別する機能や、識別したクライアントについて、パケットの到着タイミングに基づいて、送受信データをリクエストごとに分類する機能、分類されたリクエストごとにデータサイズを抽出した特徴ベクトルを生成する機能、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出する機能等を実行する。
HDD13は、CPU12が予め定められた条件に基づいて、不正なアクセス先として検出したデータを格納する記憶手段である。
<通信監視装置の処理動作>
次に、図3から図5を用いて、本実施形態に係る通信監視装置の処理動作について説明する。
まず、CPU12は、図5(a)に示すように、時間の経過とともに、ネットワークを流れる暗号化された送受信データ(トラヒックデータ)をネットワークインターフェースカード(NIC)10を介して読み取り、この読み取った暗号化された送受信データ(トラヒックデータ)をメモリ11上に展開する(ステップS101)。
次に、図3から図5を用いて、本実施形態に係る通信監視装置の処理動作について説明する。
まず、CPU12は、図5(a)に示すように、時間の経過とともに、ネットワークを流れる暗号化された送受信データ(トラヒックデータ)をネットワークインターフェースカード(NIC)10を介して読み取り、この読み取った暗号化された送受信データ(トラヒックデータ)をメモリ11上に展開する(ステップS101)。
次に、送受信データ(トラヒックデータ)をIP(Internet Protocol)パケットとして解析し、図5(b)に示すように、IPヘッダのソースIPアドレスおよびディスティネーションIPアドレスの組をひとつのクライアントからの通信とみなすことによりクライアントごとに分類する。(ステップS102)。
さらに、図5(c)に示すように、ワンクリックに相当する通信量を抜き出して、特定のクライアントからの通信をパケットの到着タイミングの相違により異なるリクエストであると判断して、特定のクライアントからの送受信データ(トラヒックデータ)をリクエストごとに分類する。具体的には、パケットの到着タイミングを比較して、到着タイミングが異なる場合には(ステップS103の「NO」)、ステップS101に処理を戻し、タイミングが同一であれば(ステップS103の「YES」)、次のステップS104に移行する。
特定のクライアントについて、リクエストごとの分類が終了すると、特定のリクエストに関してTCP(Transmission Control Protocol)再構築を行い、さらに、例えば、SSLとして解析することにより送受信データ(トラヒックデータ)のデータサイズを図5(d)に示すように、通信の束として取り出す。これにより、特定のリクエストからいくつかの送信データや受信データが取り出され、これらのデータのサイズを特徴ベクトルとして、メモリ11に保存する(ステップS104)。
具体的には、例えば、図5下段に示す例では、特定のクライアント(IPアドレス:172.19.94.167)と特定のウェブサーバ(IPアドレス:172.19.94.112)との間で、432バイトのデータ、3952バイトのデータ、2448バイトのデータ、2272バイトのデータ、288バイトのデータおよび288バイトのデータが送受信され、これらのデータが特徴ベクトルとして保存される。
次に、メモリ11に保存された特徴ベクトルをその類似度に基づいて、分類して識別子を付与する(ステップS105)。具体的には、いま、N個の特徴ベクトル{x_i|i=1、・・・、N}が、すでにL個のクラスタ{c_l|l=1、・・・、L}に分類されているとする。また、各クラスタに割当てられたベクトルの数をN_l{l=1、・・・、l}とし、クラスタの平均ベクトルを、x_l=1/N_l Σ_{i∈c_l}x_iとする。
特徴ベクトルxが新しく与えられるとき、x_lとxの類似度として、次式のように、ユークリッド距離の最小値E_minを求める。
E_l=euclid(x、x_l)
E_min=min_{l}[E_l]
E_l=euclid(x、x_l)
E_min=min_{l}[E_l]
そして、E_minの値が予め定めた閾値Thよりも小さい場合には、E_minに対応するc_lにxを統合する。このとき、統合の際に、新しいクラスタの平均ベクトルは、x_new=1/(N_l+1)(N_l*x_l+1*x)となる。
一方で、E_minの値が予め定めた閾値Thよりも大きい場合には、xを新しいクラスタとする。また、長時間、通信を監視する場合には、メモリ11の記憶領域内のデータを記憶容量に応じて、過去から古い順番に逐次削除する。ここで、特徴ベクトルを類似度により分類する手法を用いたのは、不正な攻撃が一般に、過去に現れたことのないデータ構造によるものであり、これを検出するために正確なマッチングを行ってしまうと実データ内にパディング処理等が行われていた場合に、誤判定を生じてしまうからである。
また、逐次的な更新処理を行うのは、特定の頻度で出現する一般的な送受信データにおいても、そのデータサイズには、それなりのばらつきを有することから、データの蓄積と同時に、類似したデータの、いわば中心を抽出するためである。
なお、時系列順に古いデータを削除するアルゴリズムの一例として、以下に説明する最長未使用時間アルゴリズムを用いることが好ましい。
図4を用いて、最長未使用時間アルゴリズムの処理について説明する。
図4は最長未使用時間アルゴリズムを実行するためのメモリ内の構成を示しており、図4の例に示すように、メモリ内には、特徴ベクトルを格納するデータテーブルと、消去すべき特徴ベクトルの順番を規定するデータテーブルとが設けられている。
図4は最長未使用時間アルゴリズムを実行するためのメモリ内の構成を示しており、図4の例に示すように、メモリ内には、特徴ベクトルを格納するデータテーブルと、消去すべき特徴ベクトルの順番を規定するデータテーブルとが設けられている。
いま、抽出された特徴ベクトルは、時系列にしたがって、図面上部の記憶領域から順番に格納されていく。そして、記憶領域が特徴ベクトルでいっぱいになった状態で、新たな特徴ベクトルが入力されると、順番に各記憶領域に格納された特徴ベクトルと同じものがないかが判別される。そして、いま、図面上部から2つ目の記憶領域に格納されている特徴ベクトルと同じ特徴ベクトルが入力された場合には、順番を規定するデータテーブルのつなぎを図中の細線から太線に変えることにより、その値の順番を変更する。
図4の場合には、特徴ベクトルのデータテーブルにおいて、図面上部から2つ目の記憶領域に対応した順序用データテーブルの記憶領域を最も上位にする処理が行われる。なお、特徴ベクトルのデータテーブル内に同一のデータが見つからなかった場合には、最も古い記憶領域のデータを消去する。
なお、順序用データテーブルを設けることなく、特徴ベクトルのデータテーブルをソーティングして、消去の順番を変更する構成も可能であるが、ソーティングには、相当の処理時間を要することを考慮すると、上記の図4に示した構成が望ましい。
図3に戻って、類似度に基づいて分類を行い、識別子を付与する処理が終了すると、CPU12は、メモリ11内に格納された特徴ベクトルから予め定められた閾値よりも大きな頻度でアクセスされるアクセス先、あるいはこれまでに一度もアクセスされていないアクセス先を抽出し、これらを不正なアクセスと判断して、HDD13に格納する(ステップS106)。そして、すべてのデータについて処理が終了したか否かを判断し、終了していれば(ステップS107の「YES」)、一連の処理を終了し、終了していなければ(ステップS107の「NO」)、ステップS101に戻って、処理を続行する(ステップS107)。
以上、説明したように、本実施形態によれば、インターネット網で送受信される暗号化された通信データを復号することなく、暗号化された状態で不正なアクセスを検出できる低コストの監視装置を提供できる。また、特徴ベクトルをその類似度に基づいて、分類して識別子を付与するとともに、付与した識別子と予め定められた条件とに基づいて、不正なアクセスを検出することから、予め定められた条件に該当する通信を不正なアクセスとして早期に発見できる。
さらに、任意の通信が不正なアクセスであるか否かの識別方法として、特定のパターンとの厳密な比較を行うのではなく、その類似度に基づいて、判断を行うことから、通信データの欠損や暗号化アルゴリズムの相違、あるいはパディング処理等の影響があっても、的確に不正なアクセスを特定できる。
なお、上述の一連の処理をプログラムとしてコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを通信監視装置4に読み込ませ、実行することによって本発明の通信監視装置を実現することができる。
また、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1・・・ウェブクライアント(端末)、2・・・インターネット網、3・・・ウェブサーバ、4・・・通信監視装置、10・・・ネットワークインターフェースカード(NIC)、11・・・メモリ、12・・・CPU(Central Processing Unit)、13・・・HDD(Hard Disk Drive)
Claims (6)
- インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する送受信データ収集手段と、
IPアドレスごとに、該収集した送受信データを分類してクライアントを識別するクライアント識別手段と、
該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する分類手段と、
該分類されたリクエストごとに、送受信それぞれのデータサイズを抽出し、特徴ベクトルとして保存する保存手段と、
該特徴ベクトルを他の特徴ベクトルとの類似度に基づいて、分類して識別子を付与する識別手段と、
予め定められた条件に基づいて不正なアクセスと判断される特徴ベクトルと同一の前記識別子が付与されている特徴ベクトルを、不正なアクセスとして検出する検出手段と、
を備えたことを特徴とする通信監視装置。 - 前記検出手段が、前記予め定められた条件として、所定の閾値よりも高い頻度でアクセスされるアクセス先、あるいは、これまでにアクセスされたことのないアクセス先を検出したときに、このアクセスを不正なアクセス情報と判断することを特徴とする請求項1に記載の通信監視装置。
- 前記識別手段により、識別子を付与する際に、付与する識別子の候補を時系列的に古い順番から削除する識別子候補削除手段を備えたことを特徴とする請求項1または請求項2に記載の通信監視装置。
- 前記検出手段において予め定められた条件に当てはまるアクセスを検出する際に、条件を満たさない特徴ベクトルを時系列的に古い順番から削除する不正アクセス候補削除手段を備えたことを特徴とする請求項1から請求項3のいずれかに記載された通信監視装置。
- インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する第1のステップと、
IPアドレスごとに、該収集した送受信データを分類してクライアントを識別する第2のステップと、
該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する第3のステップと、
該分類されたリクエストごとに、送受信それぞれのデータサイズを抽出し、特徴ベクトルとして保存する第4のステップと、
該特徴ベクトルを他の特徴ベクトルとの類似度に基づいて、分類して識別子を付与する第5のステップと、
予め定められた条件に基づいて不正なアクセスと判断される特徴ベクトルと同一の前記識別子が付与されている特徴ベクトルを、不正なアクセスとして検出する第6のステップと、
を備えたことを特徴とする通信監視方法。 - インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを監視する処理をコンピュータに実行させるためのプログラムであって、
インターネット網を介して任意のクライアント端末と特定のウェブサーバ間とで送受信される暗号化された送受信データを収集する第1のステップと、
IPアドレスごとに、該収集した送受信データを分類してクライアントを識別する第2のステップと、
該識別したクライアントについて、パケットの到着タイミングに基づいて、前記送受信データをリクエストごとに分類する第3のステップと、
該分類されたリクエストごとに、送受信それぞれのデータサイズを抽出し、特徴ベクトルとして保存する第4のステップと、
該特徴ベクトルを他の特徴ベクトルとの類似度に基づいて、分類して識別子を付与する第5のステップと、
予め定められた条件に基づいて不正なアクセスと判断される特徴ベクトルと同一の前記識別子が付与されている特徴ベクトルを、不正なアクセスとして検出する第6のステップと、
をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006162205A JP4887081B2 (ja) | 2006-06-12 | 2006-06-12 | 通信監視装置、通信監視方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006162205A JP4887081B2 (ja) | 2006-06-12 | 2006-06-12 | 通信監視装置、通信監視方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007335951A JP2007335951A (ja) | 2007-12-27 |
| JP4887081B2 true JP4887081B2 (ja) | 2012-02-29 |
Family
ID=38935046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006162205A Expired - Fee Related JP4887081B2 (ja) | 2006-06-12 | 2006-06-12 | 通信監視装置、通信監視方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4887081B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11816249B2 (en) | 2017-04-09 | 2023-11-14 | Privacy Rating Ltd. | System and method for dynamic management of private data |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5607513B2 (ja) * | 2010-11-25 | 2014-10-15 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| JP2004104439A (ja) * | 2002-09-09 | 2004-04-02 | Sony Corp | 通信方法、送信装置及び受信装置 |
| JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
| JP3651610B2 (ja) * | 2003-01-24 | 2005-05-25 | 株式会社東芝 | サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP3697249B2 (ja) * | 2003-04-30 | 2005-09-21 | 株式会社エヌ・ティ・ティ・データ | ネットワーク状態監視システム及びプログラム |
| JP4278593B2 (ja) * | 2004-09-28 | 2009-06-17 | 日本電信電話株式会社 | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
| JP2006148778A (ja) * | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
-
2006
- 2006-06-12 JP JP2006162205A patent/JP4887081B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11816249B2 (en) | 2017-04-09 | 2023-11-14 | Privacy Rating Ltd. | System and method for dynamic management of private data |
| US12013971B2 (en) | 2017-04-09 | 2024-06-18 | Privacy Rating Ltd. | System and method for dynamic management of private data |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007335951A (ja) | 2007-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6453976B2 (ja) | ネットワークシステム、制御装置、通信制御方法および通信制御プログラム | |
| Wang et al. | Seeing through network-protocol obfuscation | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US20160234094A1 (en) | Streaming method and system for processing network metadata | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| JP5870009B2 (ja) | ネットワークシステム、ネットワーク中継方法及び装置 | |
| JP2001217834A (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
| JP3957712B2 (ja) | 通信監視システム | |
| WO2014110293A1 (en) | An improved streaming method and system for processing network metadata | |
| JP2017147575A (ja) | 制御プログラム、制御装置、および、制御方法 | |
| JP4887081B2 (ja) | 通信監視装置、通信監視方法およびプログラム | |
| JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
| JP2005323322A (ja) | ログ情報の蓄積および解析システム | |
| JP2008205954A (ja) | 通信情報監査装置、方法及びプログラム | |
| JP2020022133A (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| Juan et al. | Identification of tor anonymous network traffic based on machine learning | |
| CN115514537A (zh) | 一种加密流量中可疑流量的判断方法和系统 | |
| JP4235907B2 (ja) | ワーム伝播監視システム | |
| KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
| Fu et al. | Network storage covert channel detection based on data joint analysis | |
| US20240064060A1 (en) | Systems and methods for detecting system configuration changes | |
| Afzal et al. | Using features of encrypted network traffic to detect malware | |
| JP6721542B2 (ja) | トラヒック制御装置、方法、およびプログラム | |
| Nawaz et al. | Application profiling from encrypted traffic | |
| US20230412618A1 (en) | Stack-hac for machine learning based botnet detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101207 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110512 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111212 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141216 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4887081 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |