JP2008165601A - 通信監視システム、通信監視装置、及び通信制御装置 - Google Patents
通信監視システム、通信監視装置、及び通信制御装置 Download PDFInfo
- Publication number
- JP2008165601A JP2008165601A JP2006356062A JP2006356062A JP2008165601A JP 2008165601 A JP2008165601 A JP 2008165601A JP 2006356062 A JP2006356062 A JP 2006356062A JP 2006356062 A JP2006356062 A JP 2006356062A JP 2008165601 A JP2008165601 A JP 2008165601A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- nodes
- shell code
- monitoring
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 174
- 238000012544 monitoring process Methods 0.000 title claims abstract description 43
- 238000012806 monitoring device Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 44
- 230000000694 effects Effects 0.000 abstract description 21
- 238000001514 detection method Methods 0.000 abstract description 14
- 238000000034 method Methods 0.000 abstract description 9
- 230000010365 information processing Effects 0.000 description 34
- 208000015181 infectious disease Diseases 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】悪意あるソフトウェアの活動を監視する通信監視システム、通信監視装置、及び通信制御装置の提供。
【解決手段】シェルコードの検出処理を行い(S11)、シェルコードが検出されたか否かを判断する(S12)。シェルコードが検出された場合(S12:YES)、シェルコードの送信元及び送信先を起点とする通信を一定時間記録し(S13)、通信記録を基に隣接度マップを作成する(S14)。次いで、発信源が同じ複数の攻撃事例を収集し(S15)、複数の事例に出現するホストを列挙する(S16)。そして、列挙されたホストを事例数で並べ替え(S17)、上位のホストは攻撃に関与する虞が高いと判定する(S18)。
【選択図】図7
【解決手段】シェルコードの検出処理を行い(S11)、シェルコードが検出されたか否かを判断する(S12)。シェルコードが検出された場合(S12:YES)、シェルコードの送信元及び送信先を起点とする通信を一定時間記録し(S13)、通信記録を基に隣接度マップを作成する(S14)。次いで、発信源が同じ複数の攻撃事例を収集し(S15)、複数の事例に出現するホストを列挙する(S16)。そして、列挙されたホストを事例数で並べ替え(S17)、上位のホストは攻撃に関与する虞が高いと判定する(S18)。
【選択図】図7
Description
本発明は、悪意あるソフトウェアの活動を監視する通信監視システム、通信監視装置、及び通信制御装置に関する。
近年、ボットネットがインターネット上の深刻な脅威となっている(例えば、非特許文献1を参照)。ボットネットとは、攻撃者、指令サーバ、ボットに感染した多数のコンピュータで構成されるネットワークである。ボットとは、指令サーバと通信を行う有害プログラムであり、他のコンピュータへの感染機能、プログラムの更新機能を持ち、他のコンピュータへのDoS攻撃、スパムメール発信といった攻撃活動、キーロガーなどのスパイウェア機能による情報収集活動を行う。
ボットが用いる感染手段には、OS(Operating System)又はアプリケーションの脆弱性を利用するもの、他のウィルスが開くバックドアボードを利用するもの、パスワードの辞書攻撃といったものが存在する。脆弱性を攻撃する場合、攻撃者は感染対象とするコンピュータを限定し、局所的な攻撃を実行することが多い。また、感染した直後に自分自身のIPアドレスを基準に攻撃先を決定することもあり、この場合、プライベートアドレスを利用しているのであれば、そのセグメント内が攻撃対象となりうる。
日経パソコン、2006年8月14日号、66−75頁
日経パソコン、2006年8月14日号、66−75頁
このようなボットは、パターンファイル(定義ファイル)を利用した従来のウィルス対策ソフトを用いて検出し、駆除することが非常に困難である。ウィルスやワームは、プログラムを解析することで動作や脅威を予測し、定義ファイルを作成することによって対策を行うことができるが、ボットネットは、人的な操作によって任意の活動を行うため、存在が潜在化するだけでなく、任意のタイミングで任意の活動を行うことが可能であり、検出自体が困難となっている。また、ボットのソースコードはインターネット上で大量に流通しているため、非常に多くの亜種が存在し、対策ソフトの定義ファイルの作成が間に合っていないのが現状である。
更に、ボットネットは、攻撃者に富をもたらす道具として使用されている。そのため、高度にメンテナンスされ、攻撃者にとってより経済価値を生むように進化している。したがって、ますます検出および駆除が困難になり被害が深刻化してゆく傾向にある。
本発明は斯かる事情に鑑みてなされたものであり、通信網上の2つのノード間で送受信される通信データにシェルコードが含まれているか否かを検出し、シェルコードを含んだ通信データを検出した場合、前記ノードを起点として所定時間の間に送信される通信データを監視して通信制御の要否を判断する構成とすることにより、感染活動の初期の通信を検出することが可能であり、それに引き続いて起こる悪意あるソフトウェアの活動を監視することができる通信監視システム、通信監視装置、及び通信制御装置を提供することを目的とする。
第1発明に係る通信監視システムは、通信網上に設けられた複数のノード間で送受信される通信データを監視する通信監視システムにおいて、前記ノードのうち少なくとも2つのノードの間で送受信される通信データにシェルコードが含まれているか否かを検出する検出手段と、該検出手段がシェルコードを含んだ通信データを検出した場合、前記ノードを起点として所定時間の間に送信される通信データを記録する記録手段と、該記録手段が記録した通信データに係る情報を外部へ通知する通知手段とを備える第1通信監視装置、及び該第1通信監視装置からの通知を受信する受信手段と、受信した通知に基づいて前記ノード間における通信制御の要否を判断する判断手段とを備える第2通信監視装置を備えることを特徴とする。
第2発明に係る通信監視システムは、前記通信データに係る情報は、前記通信データの送信元に係る情報を含むことを特徴とする。
第3発明に係る通信監視システムは、前記第2通信監視装置は、前記ノード間における通信頻度を計数する手段を備え、計数した通信頻度が高い場合、前記ノード間の通信制御が必要であると判断するようにしてあることを特徴とする。
第4発明に係る通信監視装置は、通信網上に設けられた複数のノードの間で送受信される通信データを監視する通信監視装置において、前記ノードのうち少なくとも2つのノードの間で送受信される通信データにシェルコードが含まれているか否かを検出する検出手段と、該検出手段がシェルコードを含んだ通信データを検出した場合、前記ノードを起点として送信される通信データを所定時間だけ記録する記録手段とを備えることを特徴とする。
第5発明に係る通信制御装置は、通信網上で送受信される通信データに基づいて通信制御を行う通信制御装置において、シェルコードを含んだ通信データの送信元及び送信先を起点とした通信に係る情報を外部から取得する手段と、取得した情報に基づいて前記送信元及び送信先間の通信制御の要否を判断する手段と、通信制御が必要であると判断した場合、前記送信元及び送信先間の通信制御を行う手段とを備えることを特徴とする。
第6発明に係る通信制御装置は、前記送信元及び送信先間における通信頻度を計数する手段を備え、計数した通信頻度が高い場合、前記送信元及び送信先間の通信制御が必要であると判断するようにしてあることを特徴とする。
ボットが感染活動を行う場合、ネットワーク感染型のワームと同様に、OS又はソフトウェアの脆弱性が利用されている。セキュリティホール利用型の感染は、セキュリティホールを利用するためのデータとともに制御を奪った後、最初に実行される小さな機械語プログラム(シェルコード)を送信することで行われる。本発明にあっては、そのシェルコードを検出する手段を備えているため、感染活動の初期の通信が検出され、それに引き続いて起こる悪意あるソフトウェア(ここではボット)の活動が記録される。
更に、本発明にあっては、感染直後にボット本体を送信しているような場合にはボット本体を捕獲することができる。また、シェルコードの送信元はボットに感染している可能性が高く、シェルコードの送信先はボットに感染した虞がある。ボットに感染している可能性が高いホストを選択的に監視できるため、高い確度でボットの活動が捉えられる。
本発明による場合は、シェルコードを検出する手段とシェルコードの検出後の通信を記録する手段とを備えているため、感染活動の初期の通信を検出することができ、それに引き続いて起こる悪意あるソフトウェア(ここではボット)の活動を監視することができる。
また、シェルコードの送信元がボットでない場合であっても、シェルコードを含んだ通信は、ほぼ間違いなくシステムの乗っ取りを狙ったものなので、送信元では悪意あるソフトウェアが動作しており、攻撃に成功した場合、送信先は攻撃者に操作される虞が高い。本発明では、シェルコードの送信元及び送信先のホストの通信を監視記録することで、悪意あるソフトウェアや攻撃者の活動を記録することができる。
更に、本発明による場合は、感染直後にボット本体を送信しているような場合にはボット本体を捕獲することができる。また、シェルコードの送信元はボットに感染している可能性が高く、シェルコードの送信先はボットに感染した虞がある。ボットに感染している可能性が高いホストを選択的に監視できるため、高い確度でボットの活動を捉えることができる。
特に、本発明に係る通信監視装置をネットワーク上に広く配置してその情報を共有できる場合、ある地点で観測されたシェルコードの送信元又は送信先が、他の地点でシェルコードの送信元として検出される可能性がある。このようなシステムにおいては攻撃者が利用している大規模なネットワークを特定して活動を監視することも可能である。
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
実施の形態1.
図1はボットネットの概略構成を説明する説明図である。インターネットN上には多数のホストが存在し、そのうちの1つ(又は複数)がシェルコードを送出する指令サーバ1となる。指令サーバ1は、他のホストである情報処理装置PC1,PC2,PC3,…,PCnに対してシェルコードを送出し、シェルコードが実行されたホスト(図1に示した例では情報処理装置PC2及びPCn)がツール配付サーバ2からツール又はボット本体を取得する。
実施の形態1.
図1はボットネットの概略構成を説明する説明図である。インターネットN上には多数のホストが存在し、そのうちの1つ(又は複数)がシェルコードを送出する指令サーバ1となる。指令サーバ1は、他のホストである情報処理装置PC1,PC2,PC3,…,PCnに対してシェルコードを送出し、シェルコードが実行されたホスト(図1に示した例では情報処理装置PC2及びPCn)がツール配付サーバ2からツール又はボット本体を取得する。
ツール又はボット本体を取得した(すなわち、ボットに感染した)情報処理装置PC2及びPCnは、他のホストである被害ホスト3に対してDoS攻撃を行ったり、SPAMの送出を行ったりする。
図2〜図4はボットネットによる攻撃事例を説明する説明図である。図2は通信網上の2つのノード(例えば、情報処理装置PC1及びPC2とする)間の攻撃事例を示している。この例では、攻撃者の情報処理装置PC1からシェルコードの送出、及び指令・ツールの送出が行われ、情報処理装置PC2でツールが実行されることにより、攻撃者(情報処理装置PC1)は必要な情報を取得する。
シェルコードの送出元から見た隣接度を定義した場合、自分自身(情報処理装置PC1)は隣接度0、送出先(情報処理装置PC2)は隣接度1と定義することができる。本実施の形態では、比較的大きな通信量の流れに着目し、どの隣接度のホスト間でどの向きに発生したか、どの順序で発生したか、に基づき攻撃者の活動を推測する。
すなわち、隣接度0のホスト(情報処理装置PC1)と隣接度1のホスト(情報処理装置PC2)とが継続的に通信を行う場合、特に隣接度1のホストから隣接度0のホストへの通信量が多い場合、又は隣接度1のホストが多数存在する場合、隣接度1のホストがボットに感染している確度が高いと判定することができる。
図3は3つのノード(例えば、情報処理装置PC1,PC2,PC3)の間で成立している攻撃事例を示している。この例では、情報処理装置PC1から情報処理装置PC2に対してシェルコードが送出され、情報処理装置PC3から情報処理装置PC2に対して指令・ツールが送出される。そして、情報処理装置PC2でツールが実行されることにより、情報処理装置PC1(攻撃者)は必要な情報を取得する。
前述と同様に、シェルコードの送出元から見た隣接度を定義した場合、自分自身(情報処理装置PC1)は隣接度0、送出先(情報処理装置PC2)は隣接度1、指令・ツールの送出元(情報処理装置PC3)は隣接度2と定義することができる。
図4は4つのノード(例えば、情報処理装置PC1〜PC4)の間で成立している攻撃事例を示している。この例では、情報処理装置PC1から情報処理装置PC2に対してシェルコードが送出され、情報処理装置PC3から情報処理装置PC2に対して指令・ツールが送出される。そして、情報処理装置PC2でツールが実行されることにより、情報処理装置PC1(攻撃者)は必要な情報を取得する。さらに、情報処理装置PC1と他の情報処理装置PC4との間で交信が始まり、DoS攻撃、SPAM送出などが行われる。
本実施の形態では、隣接度2以上で攻撃に関与する虞が高いホストが存在する場合にも通信の監視強化を行い、比較的大きな通信量の流れに着目し、どの隣接度のホスト間でどの向きに発生したか、どの順序で発生したか、に基づき攻撃者の活動を推測する。
そのため、本実施の形態では、通信の監視を行い、前述した攻撃アクションを検出するために通信監視装置(S1,S2,…,Sn)をインターネットNの適宜の通信経路上に配置する。図5は通信監視装置S1,S2,…,Snを用いた通信監視システムの構成を説明する説明図である。例えば、通信監視装置S1は、シェルコード及び指令を送出する指令サーバ1と情報処理装置PC1との間の通信を監視できるような通信経路上に設置される。通信監視装置S2,S3,…,Snについても同様である。
なお、通信監視装置S1〜Snは、1対1の通信を監視するものである必要はなく、1対多の通信を監視するもの、多対多の通信を監視するものであってもよい。
図6は通信監視装置S1の内部構成を示すブロック図である。通信監視装置S1は、CPU101、フォワーディングエンジン102の他に、外部に通信装置(例えば、指令サーバ1)が接続されるPHY103及びMAC104、並びに別の通信装置(例えば、情報処理装置PC1)が接続されるPHY106及びMAC105を備える。なお、図6に示した例では、入出力をそれぞれ1組ずつ設ける構成としたが、複数組のPHY及びMACを設けて複数の通信装置を接続できるようにしてもよいことは勿論のことである。
CPU101は、受信した通信データのチェックを行った後に最適な通信経路を設定し、設定した情報をフォワーディングエンジン102に通知する。フォワーディングエンジン102は、CPU101から通知される情報と、受信した通信データのヘッダ情報とを参照して、受信した通信データの出力先を決定する。
通信監視装置S1が、通信データを受信した場合、インラインで挿入された通信監視部110が通信データの監視を行う。通信監視部110は、MAC105とPHY106との間に挿入されており、制御部111、検出部112、メモリ113、及びMAC114,115を備える。
制御部111は、MAC114又は115から入力された通信データから所定単位でデータを抽出し、検出部112へ渡してシェルコードの検出を行う。検出部112がシェルコードを検出した場合、制御部111は、シェルコードの送信元及び送信先(図6の例では、指令サーバ1が送信元であり、情報処理装置PC1が送信先である)を起点とする通信データを所定時間だけメモリ113に記憶し、通信の監視を行う。
図7は通信監視装置S1が実行する処理の手順を説明するフローチャートである。通信監視装置S1は、まず、PHY103又はPHY106を通じて受信した通信データに基づいてシェルコードの検出処理を行う(ステップS11)。シェルコードの検出方法としては、本願発明者らがPCT/JP2003/09894号明細書、PCT/JP2004/002319号明細書、PCT/JP2004/002310号明細書で開示しているデータ処理方法、不正処理判定方法を利用することができる。これらの明細書では、攻撃者からの指示に従ってプログラムの起動や制御を行うシェルコードを不正コードとして検出する方法を記載しており、これらの方法を用いることによって、通信データからリアルタイムにシェルコードを検出することができる。
次いで、通信監視装置S1は、ステップS11の処理によりシェルコードが検出されたか否かを判断し(ステップS12)、シェルコードが検出されていないと判断した場合(S12:NO)、処理をステップS11へ戻す。
シェルコードが検出されたと判断した場合(S12:YES)、シェルコードの送信元はボットに感染している可能性が高く、シェルコードの送信先はボットに感染した虞があるため、以降の通信を監視強化するためにシェルコードの送信元及び送信先を起点とする通信を一定時間メモリ113に記録する(ステップS13)。
次いで、制御部111は、メモリ113に記録された通信記録を基に隣接度マップを作成し(ステップS14)、シェルコードの発信源が同じとなる複数の攻撃事例を収集する(ステップS15)。
次いで、制御部111は、複数の事例に出現するホストを列挙し(ステップS16)、列挙されたホストを出現する事例数で並び替え(ステップS17)、上位のホストは攻撃に関与する虞が高いと判定する(ステップS18)。
なお、図6及び図7では、通信監視装置S1についてのみ説明したが、通信監視装置S2,S3,…,Snについても、全く同様の構成により、シェルコードの検出及び攻撃に関与する虞が高いホストの検出を行う。
このように本発明では、シェルコードの検出により一連の攻撃活動の最初の一手を検出することができる。また、シェルコードの送信元及び送信先を手掛かりにして攻撃に関連するホストの特定が可能であり、複数の通信監視装置S1〜Snを用いた網で通信を監視することにより、一連の攻撃の全貌を把握できる可能性が高く、従来のウィルス対策ソフトでは不可能であった予防的対策へとつなげることができる。
実施の形態2.
実施の形態1では、複数の通信監視装置S1〜SnによりインターネットN上の通信を監視する構成としたが、各通信監視装置S1〜Snでの監視結果を集計して通信制御を行う構成としてもよい。
実施の形態1では、複数の通信監視装置S1〜SnによりインターネットN上の通信を監視する構成としたが、各通信監視装置S1〜Snでの監視結果を集計して通信制御を行う構成としてもよい。
図8は実施の形態2に係る通信監視システムの概略構成を説明する説明図である。図8に示した例では、インターネットとLANとの間に通信監視装置A1〜Anが設けられており、各通信監視装置A1,A2,…,Anは監視結果を通信制御装置10へ送出する。
各通信監視装置A1,A2,…,AnにIDSモード(IDS : Intrusion Detection System)とIDPモード(IDP : Intrusion Detection and Prevention)との2つのモードを持たせ、通常、IDSモードで攻撃情報を収集し、その結果を通信制御装置10へ伝達する。
通信制御装置10は、情報収集、攻撃者の活動モニタリングよりも攻撃活動を停止すべき事態では、適宜の通信監視装置に指示を与えてIDPモードへ移行させる。IDPモードに移行した通信監視装置は、シェルコードを含む通信を遮断し、コネクションを強制的に切断する。
1 指令サーバ
2 ツール配付サーバ
3 被害ホスト
N インターネット
PC1〜PCn 情報処理装置
S1〜S4 通信監視装置
2 ツール配付サーバ
3 被害ホスト
N インターネット
PC1〜PCn 情報処理装置
S1〜S4 通信監視装置
Claims (6)
- 通信網上に設けられた複数のノード間で送受信される通信データを監視する通信監視システムにおいて、
前記ノードのうち少なくとも2つのノードの間で送受信される通信データにシェルコードが含まれているか否かを検出する検出手段と、該検出手段がシェルコードを含んだ通信データを検出した場合、前記ノードを起点として所定時間の間に送信される通信データを記録する記録手段と、該記録手段が記録した通信データに係る情報を外部へ通知する通知手段とを備える第1通信監視装置、及び該第1通信監視装置からの通知を受信する受信手段と、受信した通知に基づいて前記ノード間における通信制御の要否を判断する判断手段とを備える第2通信監視装置を備えることを特徴とする通信監視システム。 - 前記通信データに係る情報は、前記通信データの送信元に係る情報を含むことを特徴とする請求項1に記載の通信監視システム。
- 前記第2通信監視装置は、前記ノード間における通信頻度を計数する手段を備え、計数した通信頻度が高い場合、前記ノード間の通信制御が必要であると判断するようにしてあることを特徴とする請求項1又は2に記載の通信監視システム。
- 通信網上に設けられた複数のノードの間で送受信される通信データを監視する通信監視装置において、
前記ノードのうち少なくとも2つのノードの間で送受信される通信データにシェルコードが含まれているか否かを検出する検出手段と、該検出手段がシェルコードを含んだ通信データを検出した場合、前記ノードを起点として送信される通信データを所定時間だけ記録する記録手段とを備えることを特徴とする通信監視装置。 - 通信網上で送受信される通信データに基づいて通信制御を行う通信制御装置において、
シェルコードを含んだ通信データの送信元及び送信先を起点とした通信に係る情報を外部から取得する手段と、取得した情報に基づいて前記送信元及び送信先間の通信制御の要否を判断する手段と、通信制御が必要であると判断した場合、前記送信元及び送信先間の通信制御を行う手段とを備えることを特徴とする通信制御装置。 - 前記送信元及び送信先間における通信頻度を計数する手段を備え、計数した通信頻度が高い場合、前記送信元及び送信先間の通信制御が必要であると判断するようにしてあることを特徴とする請求項5に記載の通信制御装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006356062A JP2008165601A (ja) | 2006-12-28 | 2006-12-28 | 通信監視システム、通信監視装置、及び通信制御装置 |
| US11/966,032 US20080215721A1 (en) | 2006-12-28 | 2007-12-28 | Communication monitoring system, communication monitoring apparatus and communication control apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006356062A JP2008165601A (ja) | 2006-12-28 | 2006-12-28 | 通信監視システム、通信監視装置、及び通信制御装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008165601A true JP2008165601A (ja) | 2008-07-17 |
Family
ID=39694983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006356062A Pending JP2008165601A (ja) | 2006-12-28 | 2006-12-28 | 通信監視システム、通信監視装置、及び通信制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20080215721A1 (ja) |
| JP (1) | JP2008165601A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014086821A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
| CN104731708A (zh) * | 2015-03-25 | 2015-06-24 | 北京信息控制研究所 | 一种Shellcode的动态检测方法 |
| JP2017117354A (ja) * | 2015-12-25 | 2017-06-29 | 株式会社日立ソリューションズ | 情報漏洩防止システム及び方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2480475A1 (en) * | 2002-04-17 | 2003-10-30 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
| US7159149B2 (en) * | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
| US7472418B1 (en) * | 2003-08-18 | 2008-12-30 | Symantec Corporation | Detection and blocking of malicious code |
-
2006
- 2006-12-28 JP JP2006356062A patent/JP2008165601A/ja active Pending
-
2007
- 2007-12-28 US US11/966,032 patent/US20080215721A1/en not_active Abandoned
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014086821A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
| CN104731708A (zh) * | 2015-03-25 | 2015-06-24 | 北京信息控制研究所 | 一种Shellcode的动态检测方法 |
| JP2017117354A (ja) * | 2015-12-25 | 2017-06-29 | 株式会社日立ソリューションズ | 情報漏洩防止システム及び方法 |
| WO2017110363A1 (ja) * | 2015-12-25 | 2017-06-29 | 株式会社日立ソリューションズ | 情報漏洩防止システム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080215721A1 (en) | 2008-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
| Zou et al. | Honeypot-aware advanced botnet construction and maintenance | |
| Wang et al. | Honeypot detection in advanced botnet attacks | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
| US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
| KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| WO2015153093A1 (en) | Using trust profiles for network breach detection | |
| JP2008011537A (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| KR20130124692A (ko) | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 | |
| US7873998B1 (en) | Rapidly propagating threat detection | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| Zeidanloo et al. | All About Malwares (Malicious Codes). | |
| CN115499236B (zh) | 一种访问请求处理方法、装置、介质及计算设备 | |
| JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN115442128A (zh) | 网络入侵检测方法及装置 | |
| JP4084317B2 (ja) | ワーム検出方法 | |
| JP2010212916A (ja) | スキャン攻撃不正侵入防御装置 | |
| KR101812732B1 (ko) | 보안 장치 및 이의 동작 방법 | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090224 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090518 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090623 |