特許
J-GLOBAL ID:201303018141127939

通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム

発明者:
出願人/特許権者:
代理人 (2件): 伊東 忠彦 ,  石原 隆治
公報種別:公開公報
出願番号(国際出願番号):特願2011-140864
公開番号(公開出願番号):特開2013-009185
出願日: 2011年06月24日
公開日(公表日): 2013年01月10日
要約:
【課題】 低対話型ハニーポットのメリットを継承しつつ、高対話型と同様に、未知の攻撃パターンに対しても擬似的な応答パケットを返す。【解決手段】 本発明は、通信監視装置では、受信したパケットのペイロードのパターンが登録されている攻撃パターンと一致する、類似するかにより新たに攻撃パターン、攻撃応答パターンを登録する。仮想ホスト装置では、受信したパケットからペイロードを抽出し、ペイロードのパターンが攻撃応答パターンに一致する場合は擬似応答パケットを生成する。類似する場合はマスキングルールを適用してマスキングを行い、マスキング後のパターンが攻撃応答パターンに一致する場合は、擬似応答パケットを生成する。類似しない場合、一致しない場合は攻撃パターンに追加する。【選択図】 図1
請求項(抜粋):
悪意のある攻撃者からの未知の攻撃に対して、攻撃者に対してあたかも攻撃が成功しているかのように擬似的な応答を生成するための通信監視システムであって、 悪意のある攻撃者の攻撃ホスト装置と、 通常の通信を行わず、受信するパケットは悪意があると推定できる擬似的なホスト装置である仮想ホスト装置と、 通信監視装置と、 前記仮想ホスト装置及び前記通信監視装置で共有される、受信したパケットから抽出された攻撃パターンを格納する攻撃パターンDB、攻撃パターンを検出するためのマスキングルールを格納するマスキングルールDB、悪意のある攻撃パターンとその応答パターンを格納する攻撃応答パターンDBと、 を有し、 前記通信監視装置は、 パケットを受信すると、該パケットからペイロードとヘッダ情報を抽出し、該ペイロードのパターンが前記攻撃応答パターンDBの攻撃パターンと一致するかを判定し、一致しない場合には、類似するかを判定し、類似する場合は、前記マスキングルールDBからマスキングルールを取得して該ペイロードのパターンに適用することによりマスキングを行い、マスキングされたパターンが、前記攻撃パターンDBの攻撃パターンと一致する場合は、該マスキングされたパターンを該攻撃パターンDB及び該攻撃応答パターンDBに追加登録し、一致しない場合は、該マスキングされたパターンを該攻撃パターンDBに追加登録する攻撃応答パターン生成手段を有し、 前記仮想ホスト装置は、 前記攻撃ホスト装置からパケットを受信すると、該パケットからペイロードを抽出し、前記マスキングルールDBのマスキングルールを適用してマスキングを行い、マスキング後のパターンが前記攻撃パターンDBに登録されているかを判定するパターン判定手段と、 前記パターン判定手段において、前記マスキング後のパターンが前記攻撃パターンDBに登録されていなかった場合は、該マスキング後のパターンを該攻撃パターンDBに登録し、登録されていた場合は、該パケットノセッション情報、該マスキングルール、マスキング後のパターン及び前記攻撃応答パターンDBから取得した応答パターンにより擬似応答パケットを生成する応答生成手段と、 を有することを特徴とする通信監視システム。
IPC (2件):
H04L 12/70 ,  H04M 3/00
FI (2件):
H04L12/56 400Z ,  H04M3/00 E
Fターム (10件):
5K030GA15 ,  5K030HA08 ,  5K030JA10 ,  5K030LC13 ,  5K201AA07 ,  5K201DC02 ,  5K201EA04 ,  5K201EC01 ,  5K201EE08 ,  5K201FA01
引用特許:
審査官引用 (3件)

前のページに戻る